Aller au contenu principal

Introduction à la gestion des risques à plusieurs niveaux

La gestion des risques liés à la sécurité et à la confidentialité des systèmes d’information est une entreprise complexe qui nécessite l’implication de l’ensemble de l’organisation, des dirigeants principaux fournissant la vision stratégique et les objectifs globaux de l’organisation, aux dirigeants de niveau intermédiaire planifiant, exécutant et gérant les projets, aux individus qui développent, mettent en œuvre, exploitent et maintiennent les systèmes soutenant les missions et fonctions commerciales de l’organisation. La gestion des risques est une activité holistique qui affecte tous les aspects de l’organisation, y compris les activités de planification des missions et des affaires, l’architecture d’entreprise, les processus de cycle de vie du développement logiciel (SDLC) et les activités d’ingénierie des systèmes intégrées à ces processus du cycle de vie des systèmes.

Pour intégrer le processus de gestion des risques à l’ensemble de l’organisation, une approche en trois niveaux est employée, qui aborde le risque au niveau :

  1. De l’organisation ;
  2. Du processus de mission/affaires ; et
  3. Du système d’information.

Le processus de gestion des risques est mené de manière transparente à travers les trois niveaux, avec l’objectif global d’amélioration continue des activités liées aux risques de l’organisation et une communication efficace entre et au sein des niveaux parmi tous les acteurs ayant un intérêt partagé dans le succès missionnel/commercial de l’organisation.

[xxx Image]

Les activités réalisées aux niveaux 1 et 2 sont essentielles pour préparer l'organisation à exécuter le Cadre de Gestion des Risques (RMF). Cette préparation implique un large éventail d'activités qui vont au-delà de la simple gestion des risques de sécurité et de confidentialité liés à l'exploitation ou à l'utilisation de systèmes spécifiques et inclut des activités essentielles à une gestion adéquate des risques de sécurité et de confidentialité dans toute l'organisation.

Contrairement aux activités des niveaux 1 et 2 qui préparent l'organisation à l'exécution du RMF, le niveau 3 traite des risques d'un point de vue système d'information et est guidé et informé par les décisions de gestion des risques aux niveaux de l'organisation et des processus missionnels/commerciaux. Les décisions de gestion des risques aux niveaux 1 et 2 peuvent influencer la sélection et la mise en œuvre des contrôles au niveau du système. Les contrôles sont désignés par l'organisation comme spécifiques au système, hybrides ou communs (hérités) conformément à l'architecture d'entreprise, l'architecture de sécurité ou de confidentialité, et à toute base de contrôle adaptée ou superposition développée par l'organisation.

Sans une préparation adéquate en gestion des risques au niveau organisationnel, les activités de sécurité et de confidentialité peuvent devenir trop coûteuses, exiger trop de professionnels qualifiés en sécurité et confidentialité, et produire des solutions inefficaces. Par exemple, les organisations qui échouent à mettre en œuvre une architecture d'entreprise efficace auront des difficultés à consolider, optimiser et standardiser leurs infrastructures technologiques de l'information. De plus, l’effet des décisions architecturales et de conception peut nuire à la capacité des organisations à mettre en œuvre des solutions de sécurité et de confidentialité efficaces. Un manque de préparation adéquate de la part des organisations pourrait entraîner une redondance inutile ainsi que des systèmes, services et applications inefficaces, coûteux et vulnérables.

Pour aider à surmonter ces défis, CSFaaS propose une assistance experte dans la mise en place de pratiques efficaces de gestion des risques, garantissant que les risques de sécurité et de confidentialité sont gérés efficacement à tous les niveaux de votre organisation. Contactez-nous.

(Sources : NIST SP 800-30, NIST SP 800-37, NIST SP 800-39)