Registre des risques.

Le registre des risques est la liste de référence, vivante, des risques identifiés, avec leur analyse, leur évaluation, leur traitement et leurs responsables. Ce n'est pas un tableur à usage unique. Les auditeurs attendent des entrées datées, des propriétaires nommés, des modifications traçables et des cycles de revue liés à la revue de direction. La version destinée au conseil d'administration est synthétique ; la version opérationnelle contient l'intégralité des informations.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyRisk managementAll entries

La vision de Cyber Academy

Le registre des risques est la liste de référence, vivante, des risques identifiés, avec leur analyse, leur évaluation, leur traitement et leurs responsables. Ce n'est pas un tableur à usage unique. Les auditeurs attendent des entrées datées, des propriétaires nommés, des modifications traçables et des cycles de revue liés à la revue de direction. La version destinée au conseil d'administration est synthétique ; la version opérationnelle contient l'intégralité des informations.

Ce qu'est réellement le registre

Le registre des risques est l'unique endroit où l'organisation suit ce qui l'inquiète et ce qu'elle fait pour y remédier. Les gens imaginent un tableur, et cela commence souvent ainsi, mais l'artefact qui compte est la discipline qui le sous-tend : chaque risque identifié, analysé, évalué au regard de l'appétence, doté d'un propriétaire, assorti d'une décision de traitement et réexaminé selon un cycle. Un registre rempli une seule fois pour une certification et jamais retouché n'est pas un registre des risques, c'est une pièce de musée. Le test consiste à savoir si vous pouvez regarder n'importe quelle ligne et voir quand elle a été revue pour la dernière fois, qui en est propriétaire et ce qui a changé depuis.

Chaque entrée comporte généralement une description du risque, l'actif ou l'objectif qu'il menace, l'analyse (vraisemblance et impact, quelle que soit la façon dont vous les notez), l'évaluation au regard de vos critères, le traitement retenu, le propriétaire désigné, le risque résiduel après traitement et une date de revue. Le niveau de détail est délibéré : lorsqu'un auditeur ou un incident tire sur un fil, l'entrée doit tenir. Les entrées vagues, sans propriétaire ni date, sont la première chose qu'un auditeur compétent repère, et elles sapent la crédibilité de tout le programme.

Comment il se connecte à tout le reste

Le registre n'est pas un document autonome, c'est le pivot auquel se branche le reste du programme de gestion des risques. L'identification et l'analyse suivent une méthodologie telle qu'ISO 27005 ou EBIOS RM, et leur résultat aboutit ici. La colonne de traitement est l'endroit où chaque risque rencontre la décision d'éviter, réduire, transférer ou accepter, et dans un contexte ISO 27001 cette décision se prolonge jusqu'à la Déclaration d'applicabilité et aux mesures qui la mettent en œuvre. La colonne d'évaluation n'a de sens que s'il existe une appétence au risque écrite à laquelle se référer, sinon chaque notation n'est que l'opinion d'un analyste. Le registre se situe donc en aval de la méthodologie et de l'appétence, et en amont du traitement et de la preuve des mesures.

C'est aussi pourquoi le registre est un document vivant lié à la revue de direction plutôt qu'un livrable ponctuel. De nouveaux risques apparaissent, les risques traités voient évoluer leur notation résiduelle, les propriétaires changent de poste, et l'appétence elle-même peut évoluer. Un programme mature revoit le registre selon une cadence définie et fait remonter les mouvements significatifs vers la revue de direction, de sorte que la direction prenne ses décisions sur une image actuelle plutôt que sur celle de l'an dernier.

Ce que les praticiens maintiennent réellement

En pratique, le registre est l'endroit où les bonnes intentions rencontrent la maintenance. Le plus dur n'est pas la première passe, c'est de le garder honnête au fil des ans. Les entrées datées comptent parce qu'un auditeur s'attend à voir un changement traçable : quand un risque a été soulevé, quand sa notation a évolué, quand le traitement s'est achevé. Les propriétaires désignés comptent parce qu'un risque sans propriétaire est un risque que personne ne gère réellement.

Les cycles de revue comptent parce que les tolérances et les dépendances dérivent, et qu'un registre vieux de deux réorganisations priorisera les mauvaises choses. Les champs sont faciles à énumérer et difficiles à tenir dans la durée, ce qui est précisément pourquoi le registre, et non la politique, est l'endroit où l'on voit si un programme de gestion des risques est vivant.

Une confusion fréquente oppose le registre et le plan de traitement. Le registre est l'inventaire des risques et de leur état actuel. Le plan de traitement est l'ensemble des actions auxquelles vous vous êtes engagé, avec échéances et responsabilités, pour ramener les risques à des niveaux acceptables. Ils se renvoient l'un à l'autre mais ne sont pas le même document, et lorsqu'ils divergent l'audit le remarque. Gardez le registre comme source de vérité pour l'état, et laissez le plan de traitement être la source de vérité pour le travail en cours.

Frequently asked questions

01Un registre des risques est-il la même chose qu'une appréciation des risques ?

Non. L'appréciation des risques est l'activité d'identification, d'analyse et d'évaluation des risques. Le registre est l'enregistrement vivant qui conserve le résultat de cette activité et en assure le suivi dans le temps, y compris la propriété, le traitement et les dates de revue.

02ISO 27001 exige-t-elle un registre des risques ?

ISO 27001 n'impose pas nommément un document appelé « registre des risques », mais elle exige des résultats documentés de l'appréciation et du traitement des risques de sécurité de l'information. En pratique, le registre est la façon dont les organisations satisfont à cette exigence et la démontrent aux auditeurs.

03Que doit contenir chaque entrée ?

Au minimum : une description claire du risque, l'analyse (vraisemblance et impact), l'évaluation au regard de vos critères, un propriétaire désigné, la décision de traitement, le risque résiduel après traitement et une date de revue. Des entrées datées et traçables sont la première chose que recherchent les auditeurs.

04À quelle fréquence le registre doit-il être revu ?

Selon un cycle défini et après tout changement significatif, les mouvements importants alimentant la revue de direction. Les risques, les notations, les propriétaires et l'appétence elle-même dérivent tous, de sorte qu'un registre non revu cesse rapidement de refléter la réalité.

05Pourquoi conserver une version séparée pour le conseil ?

Le registre opérationnel porte chaque détail dont l'équipe risques a besoin pour faire son travail. Le conseil a besoin d'un résumé ciblé des risques qui comptent à son niveau afin de pouvoir prendre des décisions. Réconciliez les deux, mais n'obligez pas un seul document à servir les deux publics.

Besoin de plus qu'une définition ?

Réservez un appel découverte gratuit de 20 minutes. Nous identifions la cohorte qui transforme ce terme en pratique prête pour l'audit.