Blog ENI : Toute la veille numérique !
Prolongation jusqu'à dimanche : -25€ dès 75€ sur les livres en ligne, vidéos... code FUSEE25. J'en profite !
Accès illimité 24h/24 à tous nos livres & vidéos ! 
Découvrez la Bibliothèque Numérique ENI. Cliquez ici
  1. Livres et vidéos
  2. La norme ISO 27005
  3. Communication des risques
Extrait - La norme ISO 27005 Gestion des risques liés à la sécurité de l'information
Extraits du livre
La norme ISO 27005 Gestion des risques liés à la sécurité de l'information
1 avis
Revenir à la page d'achat du livre

Communication des risques

Introduction

Entrées

Actions

Sorties

Toutes les informations sur les risques obtenues à partir des activités de gestion des risques.

Les informations sur les risques doivent être échangées et/ou partagées entre le décideur et les autres parties prenantes.

Compréhension continue du processus et des résultats de gestion des risques de sécurité de l’information de l’organisation.

Le processus de communication des risques est une activité continue qui consiste à échanger toutes les informations liées à la sécurité de l’information. L’échange s’effectue entre les décideurs et les parties prenantes. Cette communication vise à parvenir à un accord sur la manière de gérer les risques.

Objectif de la communication des risques

Les informations soumises à ce processus de communication comprennent l’existence, la nature, la forme, la vraisemblance, la gravité, le traitement et l’acceptabilité des risques. Cette liste n’est toutefois pas exhaustive.

Il est primordial que la communication soit efficace entre les décideurs et les parties prenantes afin que les décisions soient prises en toute connaissance et compréhension de la réalité. Les conséquences d’un manque de communication peuvent être importantes, voire significatives. Ainsi, la direction, les responsables de la mise en œuvre des mesures de sécurité et les principaux intéressés du risque traité doivent maîtriser le sujet et entretenir une communication bidirectionnelle avant de prendre des décisions.

La compréhension du risque ne doit pas être confondue avec la perception du risque. Les parties prenantes peuvent remettre en question l’acceptabilité du risque en fonction de leur perception. Celle-ci peut être influencée par leurs attentes, leurs intérêts, etc. C’est le rôle des décideurs d’identifier cela et d’en tenir compte lors de leurs prises de décisions. Il conviendra de former un comité qui permettra à ces personnes de débattre des risques, de leurs hiérarchisations et des solutions associées.

Nous trouverons ci-dessous une liste d’objectifs que le processus de communication des risques nous permet d’atteindre :

  • S’assurer que les documents produits par l’analyse de risques sont conformes.

  • Recueillir des informations sur les risques.

  • Partager les résultats obtenus et présenter le plan d’action.

  • Annuler ou réduire le manque de compréhension afin d’éviter...

Plan de communication sur les risques

Les plans de communication sont élaborés pour les activités opérationnelles habituelles mais également pour les activités lors d’une gestion de crise, une situation dite exceptionnelle. C’est pourquoi on parle de processus continu, qui doit être mené en permanence.

Lors de l’établissement du plan de communication sur la sécurité de l’information, l’organisation doit définir clairement ses objectifs. Elle doit définir les enjeux à couvrir et les moyens qu’elle utilisera pour communiquer. C’est également lors de la création du plan de communication qu’il faudra définir comment la stratégie retenue pourra coordonner tous les participants à la gestion des risques.

L’organisation identifie également toutes les parties prenantes, internes et externes ayant un intérêt dans ses activités, ses produits et ses services. Elle peut également identifier d’autres parties prenantes potentielles qui pourraient l’aider à atteindre les objectifs de sa stratégie de communication sur la sécurité de l’information.

Pour se conformer à la norme ISO 27001, il est nécessaire de conserver les comptes-rendus et les supports de toutes les réunions et interventions en matière de sécurité de l’information.

1. Principes d’une stratégie de communication efficace

Une stratégie de communication repose sur plusieurs piliers :

  • La transparence : toutes les parties intéressées doivent avoir accès aux processus, procédures, méthodes et données qui les concernent.

  • La pertinence : fournir les informations pertinentes aux parties prenantes...

Enregistrements

Toutes les activités liées à la gestion du risque doivent être traçables. Cela constituera la base de l’amélioration continue des méthodes et des outils utilisés dans le processus de gestion du risque mais également du processus lui-même.

Les enregistrements seront ainsi créés en tenant compte :

  • Des besoins de formation continue de l’organisation.

  • Des bénéfices à tirer de l’utilisation future de ces informations.

  • Des coûts et des efforts nécessaires à la création et au maintien des dossiers de sauvegarde.

  • Des besoins juridiques, réglementaires et opérationnels.

  • Des méthodes d’accès, du support de stockage, de la facilité de récupération des informations.

  • De la durée de rétention.

  • De la sensibilité des informations.

Toutes les décisions liées à ces informations, par leur traitement, leur conservation ou leur création, se doivent d’être justifiées, commentées et réglementées. Par exemple, et conformément au RGPD, une entreprise ne peut stocker des données personnelles d’un citoyen européen sans son consentement, et ne peut garder ces informations que pendant une période donnée.

Conclusion

La communication joue donc un rôle essentiel dans le processus de gestion des risques. Il s’agit d’une communication multilatérale entre tous les acteurs du processus. C’est une activité régie par des règles identifiées lors de la création de la stratégie de communication. D’une manière générale, ne pas communiquer sur les risques n’apportera jamais rien de positif.