Traitement du risque.

Le traitement du risque, c'est ce que vous faites une fois le risque identifié : éviter, réduire, transférer, accepter. Chaque décision est documentée, justifiée par l'appétence au risque, et tracée depuis la SoA jusqu'aux mesures et aux preuves d'application. La majorité des audits échoués se résument à un seul point : le plan de traitement et la réalité ont divergé, et personne n'a mis à jour la SoA.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyRisk managementAll entries

La vision de Cyber Academy

Le traitement du risque, c'est ce que vous faites une fois le risque identifié : éviter, réduire, transférer, accepter. Chaque décision est documentée, justifiée par l'appétence au risque, et tracée depuis la SoA jusqu'aux mesures et aux preuves d'application. La majorité des audits échoués se résument à un seul point : le plan de traitement et la réalité ont divergé, et personne n'a mis à jour la SoA.

Les quatre options de traitement

Le traitement du risque est l'étape où l'évaluation se transforme en action. Une fois qu'un risque a été identifié, analysé et évalué au regard de vos critères, vous devez décider de la conduite à tenir. Le vocabulaire conventionnel, partagé par ISO 31000 et ISO/IEC 27005, vous propose quatre familles de réponse. Elles ne sont pas classées de la meilleure à la pire ; le bon choix dépend du risque, du coût de la mesure et de l'appétence validée par la direction.

  • Éviter : cesser l'activité qui crée le risque, ou la mener autrement. Vous décommissionnez le service exposé, abandonnez la fonctionnalité ou quittez le marché qui déclenche l'exposition.
  • Réduire (modifier) : appliquer des mesures qui abaissent la vraisemblance, l'impact, ou les deux. C'est la voie la plus courante et celle qui se rattache directement à votre ensemble de mesures.
  • Transférer (partager) : déplacer une partie des conséquences financières ou opérationnelles vers un tiers, généralement par une assurance ou une clause contractuelle. Le transfert déplace rarement la totalité du risque ; il vous reste le résidu réputationnel et réglementaire.
  • Accepter (conserver) : décider que le risque résiduel est tolérable et le supporter, de manière tracée. L'acceptation est une décision légitime, et non une absence d'action, dès lors que l'autorité compétente la signe.

De la décision à la preuve : la chaîne que suivent les auditeurs

Le plus difficile dans le traitement du risque n'est pas de choisir une option, c'est de garder la traçabilité cohérente. Chaque décision doit être justifiée par référence à l'appétence pour le risque documentée, consignée dans un plan de traitement du risque, puis reliée aux mesures qui la mettent en œuvre et aux preuves de leur fonctionnement. Dans un système de management de la sécurité de l'information ISO/IEC 27001, c'est là que vit la Déclaration d'applicabilité (SoA) : elle enregistre quelles mesures de l'Annexe A s'appliquent, pourquoi, et où se trouvent les preuves.

Le constat d'audit le plus fréquent dans ce domaine est la dérive. Le plan de traitement disait une chose, la SoA en disait une autre, et l'exploitation sur le terrain avait évolué au-delà des deux. Une mesure est retirée, un projet change de périmètre, un fournisseur est remplacé, et personne ne met à jour les documents. Les décisions ont pu être toutes raisonnables prises isolément, mais la chaîne ne se réconcilie plus, et c'est cette incohérence qui produit une non-conformité.

Risque résiduel et réévaluation

Le traitement ne fait pas disparaître un risque. Ce qui subsiste après l'application des mesures est le risque résiduel, et c'est le niveau que le propriétaire du risque accepte réellement. La bonne pratique consiste à relancer l'analyse sur le risque traité afin que le niveau résiduel soit explicite, puis à le réacheminer vers la même autorité d'acceptation. ISO/IEC 27005, aligné depuis sa révision de 2022 sur les principes d'ISO 31000, présente cela comme une boucle itérative plutôt qu'un exercice ponctuel : vous traitez, vous mesurez ce qui reste, vous acceptez ou vous traitez de nouveau.

Ce que font réellement les praticiens

Dans le travail GRC au quotidien, le traitement du risque est conduit comme un plan vivant plutôt que comme un livrable de projet. Un rythme praticable ressemble à ceci :

  1. Reliez chaque décision de traitement à un risque nommé dans le registre et à l'énoncé d'appétence qui la justifie, afin que la motivation survive au renouvellement du personnel.
  2. Affectez un unique responsable redevable et une date cible à chaque action « réduire », et suivez-les comme tout autre engagement.
  3. Maintenez la SoA, le plan de traitement et les preuves de mesures réconciliés selon une cadence fixe, et non seulement avant un audit.
  4. Consignez le risque résiduel et la signature d'acceptation pour tout ce que vous n'atténuez pas entièrement, y compris les risques que vous transférez.

Mené ainsi, le plan de traitement cesse d'être un théâtre d'audit et devient le lieu où l'organisation peut dire honnêtement à quoi elle est exposée et qui a jugé cela acceptable.

Frequently asked questions

01Quelles sont les quatre options de traitement du risque ?

Éviter, réduire (modifier), transférer (partager) et accepter (conserver). ISO 31000 et ISO/IEC 27005 partagent ce vocabulaire. Aucune n'est intrinsèquement supérieure ; le choix dépend du risque, du coût du traitement et de votre appétence pour le risque.

02Accepter un risque revient-il à l'ignorer ?

Non. L'acceptation est une décision délibérée et documentée, signée par une personne disposant de l'autorité requise. Ignorer un risque le laisse non traité et non consigné, ce qui est précisément ce qu'un auditeur relève comme une lacune.

03Comment le traitement du risque se relie-t-il à la Déclaration d'applicabilité ?

Dans un SMSI ISO/IEC 27001, les décisions de traitement visant à réduire le risque orientent les mesures que vous sélectionnez, et la SoA enregistre quelles mesures s'appliquent, pourquoi, et où vivent les preuves. Le plan de traitement et la SoA doivent rester cohérents l'un avec l'autre et avec la réalité.

04Qu'est-ce que le risque résiduel dans ce contexte ?

Le risque résiduel est ce qui subsiste après l'application des mesures que vous avez choisies. C'est le niveau que le propriétaire du risque accepte réellement, aussi la bonne pratique consiste-t-elle à le réévaluer explicitement et à le réacheminer vers votre autorité d'acceptation.

05Transférer un risque supprime-t-il votre responsabilité ?

Rarement. Une assurance ou une clause contractuelle peut déplacer la conséquence financière ou opérationnelle vers un tiers, mais vous conservez généralement l'exposition réputationnelle et réglementaire, et la redevabilité du risque demeure la vôtre.

Besoin de plus qu'une définition ?

Réservez un appel découverte gratuit de 20 minutes. Nous identifions la cohorte qui transforme ce terme en pratique prête pour l'audit.