Les quatre commandements de la gestion des risques

Written by Manu Steens in Gestion des risques 
Les quatre commandements de la gestion des risques
L’objectif principal des quatre commandements de la gestion des risques est la sensibilisation des employés aux risques. Après tout, l’homme est le maillon le plus faible. La sensibilisation aux risques va dans les deux sens. D’une part, il s’agit de sensibiliser l’entreprise à la sécurité de l’information : où cela fait-il mal, que peut-on faire sur le plan technique et que doit-on faire soi-même ? D’autre part, il s’agit également de la sensibilisation des personnes chargées des TIC : qu’ont-elles besoin de savoir que l’entreprise juge important et qu’est-ce qui ne l’est pas ? En faire plus est souvent irresponsable et donne lieu à des dépenses inappropriées.Dans cette contribution, j’écris ma propre opinion, et non celle d’une quelconque organisation.

L’auteur : Manu Steens

Contenu

Qu’est-ce que la sécurité de l’information

L’objectif de la sécurité de l’information est de garantir la fiabilité des systèmes d’information. Cette fiabilité est envisagée sous les trois angles suivants :

Confidentialité : garantir que l’information n’est accessible qu’aux personnes autorisées.
Intégrité : garantir l’exactitude et l’exhaustivité des informations.
Disponibilité : veiller à ce que les utilisateurs autorisés aient accès aux informations/systèmes d’information en temps voulu et au bon moment.

Cela n’est évidemment possible qu’en prenant, en maintenant et en contrôlant un ensemble cohérent de mesures. Cela concerne généralement les informations contenues dans les systèmes d’information, mais aussi sur papier.

La politique de sécurité de l’information de l’organisation vise à garantir, sur la base de la gestion des risques, que les informations de l’organisation sont correctes, complètes et accessibles en temps utile aux personnes autorisées.

Comment

Pour assurer la sécurité de l’information de manière adéquate, il faut élaborer des mesures visant à garantir la confidentialité (C), l’intégrité (I) et la disponibilité (A : disponibilité).
Il n’est pas facile d’établir des critères généralement applicables à cet égard, car ceux-ci peuvent varier d’un département à l’autre au sein d’une organisation, et même entre les équipes d’un même département, les besoins peuvent être différents.

Ces mesures doivent également répondre aux domaines suivants :

  • Personnes et ressources,
  • Collaboration (au niveau des processus et au niveau global)
  • Systèmes
  • Contenu,

Comme instrument d’aide, nous avons élaboré la matrice ci-dessous. Dans cette matrice, nous abordons les quatre domaines selon les trois perspectives. Nous avons préparé un certain nombre de lignes directrices pour chaque combinaison. Pour ces questions, nous nous sommes inspirés des « quatre commandements de la gestion des risques » (voir ci-dessous). Chaque employé peut se familiariser avec ces questions. Mais ces questions conviennent également parfaitement pour obtenir une vision plus claire de la sécurité de l’information (tant du point de vue du « business » que du point de vue de l’IT).

Les questions :

 Personnes et ressourcesCollaboration au niveau des processus et au niveau globalSystèmesContenu

CQue partagez-vous avec qui ? De quel accès avez-vous besoin ? Quelqu’un connaît-il le responsable de la sécurité ? Quelle est l’intention de la direction en ce qui concerne sa politique de sécurité de l’information ?Les informations confidentielles restent-elles dans des cercles confidentiels ?  ces cercles sont-ils connus de tous ?Quelles sont les conditions à remplir pour être admis dans les systèmes ? Une étude de fond est-elle nécessaire ? Qui coordonne cette procédure ?Quelles lois relatives à la sécurité votre organisation doit-elle respecter (vie privée, normes ISO, BCM, …) ?
ITout le monde a-t-il de bonnes intentions ? Une enquête sur les antécédents est-elle nécessaire ?Les processus sont-ils élaborés et vérifiés pour détecter les bogues et les erreurs ? Le déroulement du processus a-t-il été testé ?Les systèmes sont-ils régulièrement entretenus et testés ? Est-ce nécessaire ?Quelle est l’importance de l’exactitude du contenu ? Utilisez-vous l’introduction volontaire d’erreurs pour des raisons de confidentialité ?
ADe quelles personnes et de quelles choses avez-vous besoin pour effectuer votre travail en toute sécurité ?Qu’en est-il d’une défaillance du système ? Des personnes ? Des bâtiments ? Les installations ? Les fournisseurs ? Une analyse des risques a-t-elle été effectuée pour la sécurité de l’information ?Qui a un accès physique à quels systèmes ? Qui a un accès logique à quels systèmes ? Quand ? Existe-t-il un accord de niveau de service avec le fournisseur ?Quand avez-vous besoin des informations ? Cela dépend-il de la période de l’année ?

Les réponses à ces questions sont quelques-uns des critères auxquels la sécurité de l’information doit satisfaire au sein de l’organisation.

Les quatre commandements de la gestion des risques et quatre exemples de valeurs : ouverture, esprit de décision, confiance et agilité

Un comportement conscient des risques peut se résumer aux quatre commandements suivants :

  • Ne te fais pas de mal à toi-même à moins que tu n’ailles mieux ;
  • Ne faites de mal à personne à moins qu’il/elle n’aille mieux ;
  • Ne brisez rien si vous ne pouvez pas faire quelque chose de mieux avec les pièces détachées ;
  • Saisir sa chance, à moins que cela ne soit contraire aux règles 1, 2 ou 3.

Ces quatre commandements sont

  • simples
  • faciles à retenir
  • clairement applicables

De plus, ces commandements sont relativement faciles à relier aux valeurs​​ d’une organisation. A titre d’illustration, nous indiquons ici comment ils s’inscrivent dans les valeurs​​ d’ouverture, d’esprit de décision, de confiance et d’agilité.

Ouverture :

Règle 2 : ne nuire à personne s’applique. Par exemple, l’ouverture de la gestion n’est valable que si quelqu’un est impliqué. La législation sur la protection de la vie privée soutient également ce principe selon lequel une personne peut faire appel du traitement de ses données. En outre, selon la législation sur la protection de la vie privée, il est possible d’établir des statistiques, mais pas d’exposer le cœur et l’âme d’une personne contre son gré. La transparence peut donc exister, mais dans la bonne mesure : la mesure dans laquelle vous ne blessez personne.

L’esprit de décision :

Règle 3 : ne rien casser et règle 4 : saisir sa chance. L’efficacité au sein de l’organisation nécessite de la créativité. Toutefois, pour mieux servir les clients, il peut s’avérer nécessaire d’être décisif, de briser les structures existantes et d’en construire de meilleures. Pour cela, il faut connaître les moyens d’agir efficacement au sein de l’organisation. Et si l’on connaît les objectifs et le chemin pour y parvenir, il est important de saisir les opportunités.

La confiance :

Règle 2 : ne nuire à personne et règle 1 : ne pas se nuire à soi-même. Pour une organisation, il est de la plus haute importance que tout le monde ait confiance en elle. Cela vaut tant pour le client que pour les employés. Vous devez avoir suffisamment confiance en vous pour savoir que vous allez dans la bonne direction avec ce que vous faites pour le marché. Si les gens se blessent les uns les autres de manière insensée, cette confiance sera rapidement rompue.

Agilité :

Cela signifie que les règles 1 à 4 peuvent toujours être assorties d’exceptions.

Mais cela signifie aussi la règle 4 : saisissez votre chance. S’écarter de la voie choisie peut apporter un certain nombre d’avantages que l’on aurait autrement manqués. Examiner attentivement les opportunités et s’attaquer à ces questions, tel est aussi le message !

Manu Steens

Manu travaille au sein du Gouvernement federale dans la gestion des risques et la gestion de la continuité des activités. Sur ce site Web, il partage ses propres opinions sur ces domaines et sur des domaines connexes.

Leave a Reply

Your email address will not be published. Required fields are marked *

Recent Posts