La clause 8.3 de la norme ISO 27001:2022 est cruciale parce qu'elle aborde la manière dont les organisations doivent réagir aux risques à la sécurité de l'information identifiés lors de l'évaluation des risques (lors de la clause 8.2).

Pour rafraîchir notre mémoire, à la clause 6.1.3 nous avons défini notre méthode d'analyse de risque. La clause 8.2 nous a demandé de réaliser l'analyse de risque. La clause 8.3 nous demande de traiter les risques!

Acceptation: Accepter le risque signifie reconnaître qu'un risque spécifique existe, mais décider de ne pas prendre de mesures correctives immédiates pour l'atténuer ou l'éliminer.

Transfert: Transférer le risque implique de déplacer la responsabilité et les conséquences potentielles d'un risque à une tierce partie. Exemple par l'utilisation d'une assurance.

Réduction: La réduction du risque désigne les actions ou les mesures entreprises pour diminuer la probabilité d'occurrence ou l'impact d'un événement.

Évitement ou éliminer: L'évitement du risque signifie choisir de ne pas s'engager dans l'activité ou le processus qui génère le risque.

La notion de risque résiduel

Le risque résiduel désigne le niveau de risque qui persiste après que toutes les mesures de gestion des risques aient été mises en œuvre.

Crée un registre des risques

Concrètement, l'organisation doit avoir un registre de ses risques. Le registre devrait comprendre les éléments suivants:

  • La liste des risques identifiés, avec la probabilité et impact;
  • Une description des stratégies de traitement des risques;
  • Une liste des contrôles qui seront mis en œuvre;
  • Les dates de mise en œuvre des contrôles;
  • Le niveau de risques résiduels;
  • Le propriétaire du risque;
  • L'acceptation formelle des risques résiduels.

Critères de succès

  • Quelles mesures de traitement des risques ont été mises en place ?
  • Quels contrôles l'organisation a-t-elle mis en œuvre en réponse aux risques identifiés ?
  • Comment ces contrôles sont-ils surveillés pour assurer leur efficacité continue ?
  • Les actions suivant le traitement des risques ont-elles été mises en œuvre ?
  • Les actions suivant le traitement des risques est-il revu et mis à jour régulièrement ?