La vision de Cyber Academy
ISO 31000 est la norme internationale de lignes directrices pour la gestion des risques, principes, cadre, processus, applicable à toute organisation et à tout type de risque. Elle n'est pas certifiable ; le parcours PECB est Foundation, Risk Manager, puis Lead Risk Manager. Il n'existe pas de ISO 31000 Lead Auditor : ISO 31000 est une ligne directrice, pas une norme de système de management, il n'y a donc rien sur quoi auditer la conformité.
TL;DR
- 1ISO 31000 est une ligne directrice, pas un système de management certifiable. Aucun Lead Auditor n'existe.
- 2Parcours PECB : Foundation (2 jours), Risk Manager (5 jours), Lead Risk Manager (5 jours). Le titre senior est Lead Risk Manager.
- 3Foundation apporte le vocabulaire, les principes et le modèle de processus. Prérequis obligatoire pour les titres senior.
- 4Risk Manager applique ISO 31000 à un périmètre spécifique. Lead Risk Manager pilote le programme de gestion des risques d'entreprise à travers les fonctions.
- 5Complète ISO 27005 (risque propre à la sécurité de l'information) et EBIOS RM (scénarios cyber stratégiques), des angles différents sur une même discipline du risque.
Comment le parcours ISO 31000 fonctionne réellement dans une organisation
ISO 31000 n'est pas quelque chose que l'on met en œuvre comme on met en œuvre un système de management. Il n'y a pas de Statement of Applicability, pas de clauses obligatoires à satisfaire, pas de cycle d'audit de surveillance. Ce que vous construisez à la place, c'est un cadre de gestion des risques : un moyen pour que le risque soit identifié, analysé, traité, surveillé et reporté de façon cohérente dans toute l'organisation, et un processus que les personnes en rôle opérationnel suivent réellement. La norme vous donne les principes et le vocabulaire ; le travail consiste à les rendre concrets dans votre gouvernance, vos comités et vos points de décision.
C'est pourquoi le parcours se déroule de cette manière. Foundation vous donne le langage commun afin que « vraisemblance », « critères de risque », « appétence au risque » et « risque résiduel » signifient la même chose pour tout le monde dans la salle. Risk Manager vous apprend à mettre en œuvre le processus dans un périmètre défini : un département, un programme, une ligne de produits. Lead Risk Manager vous apprend à concevoir et à piloter le cadre lui-même à travers les fonctions, ce qui est autant un travail de gouvernance qu'un travail technique.
Le parcours est séquentiel par conception. Foundation est le prérequis des titres senior, c'est pourquoi la plupart des praticiens commencent par le cours ISO 31000 Foundation avant de décider s'ils ont besoin du niveau Risk Manager ou Lead Risk Manager.
Choisir votre niveau : Risk Manager ou Lead Risk Manager
La décision ne porte pas sur l'ancienneté sur le papier, elle porte sur ce dont vous serez responsable. Risk Manager s'adresse à la personne qui pilote le processus de risque dans un périmètre et qui détient un registre des risques : vous animez des ateliers, cotez les risques selon des critères convenus, proposez un traitement et maintenez le registre honnête dans la durée. Lead Risk Manager s'adresse à la personne qui doit rendre l'ensemble cohérent à travers l'organisation : définir les critères de risque et l'appétence, concevoir le cadre, l'intégrer à la stratégie et aux autres fonctions d'assurance, et rendre compte au conseil d'administration.
Un test utile : si votre travail consiste à répondre à « quels sont nos principaux risques dans ce domaine et que faisons-nous à leur sujet », Risk Manager est le bon niveau. Si votre travail consiste à répondre à « notre cadre de gestion des risques est-il adapté à sa finalité, et la direction peut-elle s'y fier pour prendre des décisions », vous avez besoin de Lead Risk Manager. Beaucoup de personnes suivent d'abord Risk Manager, pilotent un programme pendant un an ou deux, puis suivent Lead Risk Manager lorsqu'elles évoluent vers un rôle d'entreprise ou proche du CISO.
| Niveau | Durée | Périmètre | À qui il s'adresse |
|---|---|---|---|
| Foundation | 2 jours | Principes, cadre et modèle de processus ; vocabulaire seulement, aucune responsabilité de mise en œuvre | Toute personne ayant besoin du langage commun : analystes, chefs de projet, auditeurs d'autres domaines, nouveaux venus au risque |
| Risk Manager | 5 jours | Appliquer le processus ISO 31000 dans un périmètre défini ; détenir et piloter un registre des risques | Praticiens qui animent des évaluations et gèrent le risque pour un département, un programme ou un produit |
| Lead Risk Manager | 5 jours | Concevoir et piloter le cadre de gestion des risques d'entreprise ; définir les critères et l'appétence ; rendre compte à la direction | Responsables des risques, CISO et rôles GRC seniors responsables de l'ensemble du programme |
Pourquoi il n'existe pas de ISO 31000 Lead Auditor
Cette question revient constamment parce que la plupart des autres titres ISO vont par paires : Lead Implementer et Lead Auditor, reflétant la norme certifiable qui se trouve derrière eux. ISO 31000 n'a pas de Lead Auditor parce qu'il n'y a rien sur quoi auditer la conformité. Un audit vérifie la conformité aux exigences, les énoncés « shall » d'une norme de système de management telle qu'ISO 27001 ou ISO 9001. ISO 31000 contient des lignes directrices, le « should » de la bonne pratique, pas des exigences. Vous ne pouvez pas certifier une organisation à ISO 31000, vous ne pouvez donc pas mener un audit de certification à son égard, il n'existe donc pas de titre d'auditeur.
Cela ne signifie pas que la gestion des risques échappe à l'assurance. Elle est évaluée indirectement. Lorsqu'un auditeur ISO 27001 examine votre processus d'évaluation des risques et de traitement des risques, il vérifie la conformité aux clauses 6.1 et 8.2/8.3 d'ISO 27001, et ISO 31000 (souvent via ISO 27005) est la référence reconnue pour ce à quoi ce processus devrait ressembler. Ainsi, le Lead Risk Manager construit le cadre, et l'auditeur du système de management vérifie si le cadre est appliqué là où une norme certifiable l'exige. Ce sont deux travaux différents, et les confondre est le malentendu le plus courant que les gens apportent dans la salle de formation.
Comment ISO 31000 complète ISO 27005 et EBIOS RM
Ce ne sont pas des normes concurrentes ; ce sont des angles différents sur une même discipline, et les praticiens seniors les utilisent ensemble. ISO 31000 est le cadre générique qui s'applique à tout risque dans toute organisation. ISO 27005 resserre ce cadre sur le risque de sécurité de l'information, avec le détail d'actifs, de menaces et de vulnérabilités dont un ISMS a besoin. EBIOS Risk Manager, la méthode française (ANSSI), aborde le problème sous l'angle des scénarios d'attaque stratégiques et de l'écosystème d'attaquants et de parties prenantes, ce qui est puissant pour le risque cyber à fort enjeu et de plus en plus attendu dans les secteurs publics et réglementés de l'UE.
Le schéma pratique est en couches : ISO 31000 fixe les principes, le cadre et le processus que toute l'organisation partage ; ISO 27005 Risk Manager vous donne la méthode propre à la sécurité de l'information qui s'enclenche dans un ISMS ISO 27001 ; et EBIOS Risk Manager vous donne la vue dirigée par les scénarios et centrée sur l'attaquant pour les risques cyber qui comptent le plus. Ils ne se contredisent pas, et c'est le vocabulaire d'ISO 31000 qui permet à une équipe de passer de l'un à l'autre sans confusion.
| ISO 31000 | ISO 27005 | EBIOS RM | |
|---|---|---|---|
| Périmètre | Tout risque, toute organisation | Risque de sécurité de l'information | Scénarios de risque cyber stratégique |
| Rôle | Principes, cadre, processus | Méthode de risque propre à la SI pour un ISMS | Analyse dirigée par l'attaquant et l'écosystème |
| S'associe à | Gouvernance d'entreprise | Certification ISO 27001 | ANSSI / secteur réglementé et public |
| Approche | Générique et descendante | Actif, menace, vulnérabilité | Dirigée par les scénarios et les parties prenantes |
Pertinence au-delà du cyber, et les erreurs courantes
Parce qu'ISO 31000 est indépendant du type de risque, le même cadre couvre le risque opérationnel, financier, de la chaîne d'approvisionnement, projet, de sécurité, de conformité et stratégique. C'est là sa véritable valeur pour un CISO qui veut une place à la table de l'entreprise : parler ISO 31000, c'est parler le langage que le conseil d'administration et la fonction risque élargie utilisent déjà, et non un dialecte cyber qu'ils doivent traduire. Le titre voyage bien en dehors de la sécurité, ce qui explique en partie pourquoi il se situe au centre d'une carrière GRC sérieuse plutôt qu'à sa marge.
Les erreurs sont constantes d'une organisation à l'autre. Les gens traitent le registre des risques comme un artefact de conformité à produire une fois par an au lieu d'un outil de décision vivant. Ils définissent des critères de risque sur lesquels personne n'est d'accord, si bien que la cotation devient un théâtre. Ils confondent l'appétence au risque (une décision de la direction) avec la tolérance au risque (la plage opérationnelle), et ne laissent ni l'une ni l'autre être fixée explicitement, ce qui signifie que les décisions de traitement n'ont aucun ancrage. Et ils sautent Foundation, projetant toute une équipe dans un cours Risk Manager où la moitié de la salle débat encore de ce que signifie « vraisemblance ».
Si vous construisez un programme plutôt que de simplement passer un examen, l'ordre qui fonctionne est : faire passer l'équipe par ISO 31000 Foundation pour le vocabulaire commun, faire suivre à vos détenteurs de périmètre ISO 31000 Risk Manager, et faire suivre à celui qui détient le cadre d'entreprise ISO 31000 Lead Risk Manager. Cette séquence évite le mode de défaillance le plus coûteux, à savoir un cadre qu'une seule personne comprend.
Frequently asked questions
01Pourquoi n'existe-t-il pas de ISO 31000 Lead Auditor ?
ISO 31000 est une ligne directrice, pas une norme de système de management. Il n'existe aucun système certifiable sur lequel auditer la conformité. Certains catalogues de formation annoncent un ISO 31000 Lead Auditor ; ce titre n'existe pas dans le programme PECB. Les personnes qui le demandent visent généralement le ISO 27001 Lead Auditor (qui audite l'ISMS en utilisant la méthodologie de risque ISO 27005) ou le ISO/IEC 27005 Risk Manager (qui applique la méthodologie à la sécurité de l'information).
Si votre auditeur attend un audit ISO 31000, opposez-vous : il n'existe aucun critère de conformité certifiable. Il vise probablement une évaluation de maturité du cadre de gestion des risques, ce qui est un exercice différent.
02Risk Manager ou Lead Risk Manager, lequel me convient ?
Risk Manager (5 jours) s'adresse aux praticiens qui pilotent un périmètre de risque défini : un département, un programme, une filiale. Le cours vous apprend à mettre en œuvre ISO 31000 dans ce périmètre. La plupart des analystes GRC et des responsables des risques s'arrêtent ici.
Lead Risk Manager (5 jours) s'adresse aux praticiens seniors qui pilotent le programme de gestion des risques d'entreprise : définir l'appétence au risque, concevoir le cadre, intégrer le risque entre les unités opérationnelles, rendre compte au conseil d'administration. Requis lorsque l'intitulé du poste est Head of Risk, Chief Risk Officer ou équivalent.
03Comment ISO 31000 se positionne-t-il par rapport à ISO 27005 ?
Des périmètres différents. ISO 31000 est la ligne directrice générique de gestion des risques, applicable au risque financier, au risque opérationnel, au risque stratégique, au risque de conformité, au risque de sécurité de l'information, à tout. ISO 27005 est l'application des principes d'ISO 31000 spécifiquement au risque de sécurité de l'information dans le contexte d'un ISMS ISO 27001.
Un praticien du risque doté de titres ISO 31000 opère à l'échelle de l'entreprise. Un spécialiste du risque de sécurité de l'information doté de titres ISO 27005 opère à l'intérieur du périmètre de l'ISMS. Les praticiens seniors détiennent souvent les deux.
04ISO 31000 est-il pertinent en dehors de la cybersécurité ?
Oui, tout à fait. ISO 31000 est indépendant du secteur. Il est utilisé dans la gestion du risque financier (aux côtés des cadres Basel et Solvency), la gestion des risques d'entreprise (aux côtés de COSO ERM), le risque de la chaîne d'approvisionnement, le risque environnemental, le risque projet et le risque opérationnel. Les principes et le modèle de processus sont identiques d'un domaine à l'autre ; seules changent les catégories d'actifs et de menaces.




