Risk Management : le métier, les méthodes
- Date: 02 April, 2021
La cybersécurité est évidemment l'un des sujets brûlants de l'industrie et Global Knowledge a interrogé un expert, Béchir Sebaï, pour répondre à toutes nos questions sur ce qu'est la gestion des risques, son rôle associé et les méthodes pour réussir la mise en œuvre de la gestion des risques.
GK : Pouvez-vous nous expliquer en quelques mots en quoi consiste le Risk Management, et comment ou à quelle étape l’activité intervient dans le processus de « cybersécurisation » ?
"L’approche par les risques est une pratique indispensable dans un processus de sécurisation du système d’information, le management des risques garantie l’efficacité des mesures de sécurité et l’adéquation des options de traitement des risques afin de minimiser les impacts et les conséquences en cas d’incidents ou cyberattaques."
Le Risk management pour qui?
GK : Le risk management est-il un rôle unique, dédié à une seule personne dans l’entreprise, ou ce rôle est-il « cumulable » ?
"Il s’agit d’une culture à instaurer au sein de l’organisme (objectifs, méthodes, ressources, compétences etc…).
Même si l’entreprise se doit de désigner le « Risk Manger », personne en charge de la gestion des risques, l’activité en soi-même est du ressort de toutes les parties prenantes dans l’entreprise."
GK : Quel est le métier sinon le plus à même d’endosser ce rôle ?
"La condition première à la désignation du « Risk Manager » est qu’il soit impliqué dans les activités et les processus concernés par la gestion des risques, il doit également maitriser les méthodes de gestion des risques ainsi que le métier de la sécurité de l’information.
Le RSSI semble souvent être le mieux placé pour cette mission néanmoins les entreprises les plus matures créé de nouvelles fonctions de « Risk Security Officer » et coordinateur de risques cyber sécurité sous la responsabilité du RSSI, dont la mission est la gestion et la surveillance des risques IT."
GK : Est-ce qu’on s’adresse à un profil ultra Technique ou plutôt transverse/chef de projet ?
"Le Risk Manager n’est pas obligé d’être expert en cybersécurité, il doit néanmoins avoir en plus des prédispositions managériale, une compréhension des techniques pour échanger avec les experts techniques pour l’implémentation des mesures de sécurité qu’il est sensé préconiser et suivre."
GK : Un risk manager d’ailleurs n’intervient-il d’ailleurs uniquement que dans l’informatique?
"Le Risk Management est un domaine transverse qui concerne l’ensemble des métiers et des activités de l’entreprise, il doit néanmoins se concentrer sur les risques liés à la sécurité de l’information. Les coordinateurs des risques opérationnels consolident quant à eux l’ensemble des risques de l’organisme."
GK : Avez-vous constaté ou constatez-vous une évolution du métier ?
"Dans un cyberespace hyper connecté où les cyberattaques sont de plus en plus sophistiquées, le management des risques devient une activité centrale dans l’entreprise.
Les managers ont pris conscience de l’impact de ces risques sur les processus métier et l’activité de l’organisme et qu’une protection adéquate impliquait la gestion efficace de risque Cybersécurité, ils se donnent donc plus de moyens pour maitriser les risques Cybersécurité."
La gestion des risques requiert des standards et méthodes
GK : On associe au risk management une ou plusieurs méthodes : ISO27005, Ebios, Mehari, en existe-t-il d’autres?
"Les méthodes d’appréciation des risques servent à aider l’entreprise à automatiser puis industrialiser leurs processus de valorisation des risques et à les prioriser pour préparer leurs traitements. D’ailleurs chez ACG Cybersecurity nous avons développé une méthodologie de management des risques conforme à la norme ISO 27005, adaptée aux dernières techniques Cybersécurité et les risques numériques émergeants."
GK : Quelles sont les méthodes les plus utilisées dans le monde?
"EBIOS RM et MEHARI étant des méthodes françaises (la première créée par l’ANSSI et la seconde par le Club CLUSIF) elles sont très utilisées en France, en Europe, elles ont l’avantage d’être alignées avec la norme ISO 27005.
Évidemment d’autres méthodes existent mais les entreprises peuvent créer ou adapter leur propre méthode d’appréciation des risques."
GK : Dans quel contexte utilise-t-on l’une plus que l’autre ?
"La culture du risque ainsi que celle de sa gestion est spécifique à chaque organisme dans son contexte interne et externe.
Les critères que les entreprises prennent en compte pour le choix de leur méthode d’appréciation sont la langue de la méthode, l’existence de documentations et logiciels, le coût ainsi que les outils comparaison."
GK : Quand on parle de norme internationale comme ISO27005, cela veut donc dire qu’on a une gestion du risque égale partout ?
"ISO 27005 est la norme internationale de référence de gestion des risques liées à la sécurité de l’information d’autres standards et framework existent soit générique telle que ISO 31000, soit adaptés à d’autres cultures et approches telles que (Risk Management Framework de NIST et ISACA)."
Comment devenir Risk manager professionnel ?
GK : Peut-on exercer le métier de risk manager sans s’appuyer sur une norme ou une méthode ?
"Le Risk Management doit être une activité structurée et méthodique, l’activité doit produire des résultats reproductibles, comparables et efficace.
Au-delà de l’efficacité des mesures de sécurité de l’information l’utilisation de normes, standards et méthodes permet l’amélioration continue des activités de Risk Management."
GK : Peut-on suivre la formation ISO 27005RM sans bagage en sécurité informatique ?
"La formation ISO 27005 est destinée à tout publics et partie prenante, la conduite de projet de Management des risques sur le terrain nécessite néanmoins des aptitudes de gestion de projet, ouverture d’esprit, curiosité et toujours à la recherche de compromis et arbitrage."
GK : Pouvez-vous donner 3-4 conseils essentiels pour une mise en œuvre réussie du risk management?
"Chaque Gestionnaire de risques doit adapter sa mise en œuvre au contexte et la culture de son entreprise, néanmoins certaines activités peuvent aider à mieux cerner l’activité :
- Mise en place d’une veille en matière de sécurité des systèmes d’information.
- Généraliser la sensibilisation aux risques de sécurité de l’information pour les employés.
- Revoir périodiquement les risques et à chaque changement majeur dans l’entreprise
- Effectuer un suivi rigoureux des plans de traitements des risques et des risques résiduels.
Un grand merci à Béchir Sebai pour son temps et ses réponses détaillées.