1. Livres & vidéos
  2. La norme ISO/IEC 27005
  3. Communication des risques
Extrait - La norme ISO/IEC 27005 Maîtriser la gestion des risques en sécurité de l'information (2e édition)
Extraits du livre
La norme ISO/IEC 27005 Maîtriser la gestion des risques en sécurité de l'information (2e édition) Revenir à la page d'achat du livre

Communication des risques

Introduction

Entrées

Actions

Sorties

Toutes les informations sur les risques obtenues à partir des activités de gestion des risques.

Les informations sur les risques doivent être échangées et/ou partagées entre le décideur et les autres parties prenantes à chaque étape du processus de gestion des risques.

Compréhension continue du processus et des résultats de gestion des risques de sécurité de l’information de l’organisation.

Le processus de communication des risques est une activité continue qui consiste à échanger toutes les informations liées à la sécurité de l’information. L’échange s’effectue entre les décideurs et les parties prenantes. Cette communication vise à assurer une compréhension partagée, soutenir la prise de décision éclairée, renforcer l’adhésion aux actions de traitement, et favoriser l’amélioration continue.

Objectif de la communication des risques

Les informations soumises à ce processus de communication comprennent l’existence, la nature, la forme, la vraisemblance, la gravité, le traitement et l’acceptabilité des risques. Cette liste n’est toutefois pas exhaustive.

Il est primordial que la communication soit efficace entre les décideurs et les parties prenantes afin que les décisions soient prises en toute connaissance et compréhension de la réalité. Les conséquences d’un manque de communication peuvent être majeures et avoir un impact significatif. Ainsi, la direction, les responsables de la mise en œuvre des mesures de sécurité et les principaux intéressés du risque traité doivent maîtriser le sujet et entretenir une communication bidirectionnelle avant de prendre des décisions.

La compréhension du risque repose sur des données objectives, tandis que la perception est subjective et dépend de la sensibilité des individus. Les parties prenantes peuvent remettre en question l’acceptabilité du risque en fonction de leur perception. Celle-ci peut être influencée par leurs attentes, leurs intérêts, etc. C’est le rôle des décideurs d’identifier cela et d’en tenir compte lors de leurs prises de décisions. Il conviendra de former un comité...

Plan de communication sur les risques

Les plans de communication sont élaborés pour les activités opérationnelles habituelles mais également pour les activités liées à la gestion de crise, une situation dite exceptionnelle. C’est pourquoi on parle de processus continu, qui doit être mené en permanence.

Lors de l’établissement du plan de communication sur la sécurité de l’information, l’organisation doit définir clairement ses objectifs. Elle doit définir les enjeux, les cibles à couvrir et les moyens qu’elle utilisera pour communiquer. C’est également lors de la création du plan de communication qu’il faudra définir comment la stratégie retenue pourra coordonner tous les participants à la gestion des risques.

L’organisation identifie également toutes les parties prenantes, internes et externes ayant un intérêt dans ses activités, ses produits et ses services. Elle peut également identifier d’autres parties prenantes potentielles qui pourraient l’aider à atteindre les objectifs de sa stratégie de communication sur la sécurité de l’information.

Pour se conformer à la norme ISO 27001, il est nécessaire de conserver des enregistrements documentés (comptes-rendus...

Enregistrements

Toutes les activités liées à la gestion du risque doivent être traçables. Cela constituera la base de l’amélioration continue des méthodes et des outils utilisés dans le processus de gestion du risque mais également du renforcement du processus lui-même.

Les enregistrements seront ainsi créés en tenant compte :

  • des besoins de formation continue de l’organisation ;

  • des bénéfices à tirer de l’utilisation future de ces informations ;

  • des coûts et des efforts nécessaires à la création et au maintien des dossiers et systèmes d’archivage ;

  • des besoins juridiques, réglementaires et opérationnels ;

  • des méthodes d’accès, du support de stockage, de la sécurité et de la facilité de récupération des informations ;

  • de la durée de rétention ;

  • de la sensibilité des informations.

Toutes les décisions liées à ces informations, par leur traitement, leur conservation ou leur création, doivent être justifiées, commentées et documentées conformément aux exigences internes et externes. Par exemple, et conformément au RGPD, une entreprise ne peut stocker des données personnelles d’un citoyen européen sans son consentement, et ne peut garder...

Conclusion

La communication joue donc un rôle essentiel dans le processus de gestion des risques. Il s’agit d’une communication transversale et multilatérale entre tous les acteurs du processus. C’est une activité régie par des règles identifiées lors de la création de la stratégie de communication. En règle générale, l’absence de communication sur les risques est contre-productive et peut compromettre l’efficacité de la gestion globale.