Les 10 échecs les plus courants dans la gestion des risques liés à la sécurité de l'information (et comment y remédier)

La gestion des risques liés à la sécurité de l'information est un élément essentiel pour mettre en place une sécurité efficace, mais dans la pratique, elle est souvent insuffisante. Nous savons que ce n'est pas parce que les organisations ignorent complètement les risques. Le plus souvent, la gestion des risques existe dans les processus, mais elle ne guide pas les décisions réelles.

Pour comprendre les difficultés rencontrées par les équipes, il est utile de commencer par comprendre ce qu'est le risque lié à la sécurité de l'information et pourquoi la gestion de ce risque est si importante. Une fois les bases acquises, il est temps d'examiner les causes les plus courantes d'échec de la gestion des risques dans la pratique, comment reconnaître les signes avant-coureurs et comment les équipes peuvent changer de cap pour améliorer la gestion des risques.

1. Considérer la gestion des risques comme un exercice ponctuel

La gestion des risques est souvent considérée comme une opération ponctuelle, généralement effectuée une fois par an, juste avant un audit. Une évaluation formelle des risques est réalisée, documentée, puis laissée telle quelle jusqu'au prochain cycle d'audit. Entre-temps, l'entreprise évolue, de nouveaux outils sont introduits et les méthodes de travail changent, mais les risques restent les mêmes.

Vous pouvez même le remarquer dans cette pensée bien trop familière : « Nous mettrons cela à jour l'année prochaine. »

Pour changer de cap, la gestion des risques doit être continue et axée sur les événements. Les risques doivent être réexaminés lorsque quelque chose change dans l'organisation, et pas seulement lorsque le calendrier l'impose. Cela permet de garantir la pertinence des évaluations des risques et de s'assurer que les décisions en matière de sécurité sont fondées sur la réalité actuelle, et non sur les hypothèses de l'année dernière.

2. Trop d'attention accordée à la documentation, trop peu aux décisions

La gestion des risques met souvent davantage l'accent sur la documentation que sur la prise de décision. Les équipes créent des registres de risques soignés et des descriptions détaillées, mais on ne sait pas vraiment ce qu'il faudrait faire différemment pour y remédier. Des problèmes surviennent lorsque les actions ne sont pas clairement définies, que les choix ne sont pas faits et que le suivi fait défaut. Le signe familier est que la gestion des risques produit des documents, mais pas de résultats.

La gestion des risques doit servir à soutenir les décisions. La documentation doit aider les équipes à faire des choix et à en assurer le suivi, plutôt que de les remplacer.

3. Tous les risques finissent par être « élevés ».

Il arrive trop souvent que tous les risques identifiés finissent par être classés comme élevés. Il n'y a pas de véritable hiérarchisation et la notation des risques perd tout son sens. Au final, la direction se retrouve sans base claire pour prendre des décisions, ce qui nous ramène au problème évoqué précédemment. Quand tout est urgent, rien ne l'est vraiment.

Cela montre que le modèle de risque n'est pas vraiment utile. La hiérarchisation devrait permettre de faire des compromis, en indiquant clairement les risques qui nécessitent une attention immédiate et ceux qui peuvent être traités plus tard.

4. Absence de responsabilité claire en matière de risques

Un autre problème courant est le manque de clarté quant à l'attribution des risques. Les risques sont vaguement attribués au « service informatique » ou au « service de sécurité », sans qu'aucune personne ne soit responsable des décisions. L'acceptation des risques est informelle, si tant est qu'elle existe, et personne ne peut dire avec certitude qui est responsable d'un risque particulier.

Pour aller de l'avant, chaque risque doit avoir un responsable réel, quelqu'un qui comprend le contexte et qui a le pouvoir de prendre les décisions nécessaires.

5. Les décisions relatives au traitement des risques ne sont pas explicites.

Parfois, la décision prise concernant un risque n'est pas claire. Des contrôles sont mis en place, mais personne n'explique clairement pourquoi ils ont été choisis. L'acceptation des risques n'est pas documentée et les risques résiduels ne sont pas examinés. Des mesures de sécurité sont prises, mais les risques ne changent pas.

La gestion des risques fonctionne mieux lorsque le traitement des risques fait l'objet d'une décision claire et est consigné par écrit, plutôt que d'être laissé au stade de simple hypothèse.

6. La gestion des risques est dissociée des opérations quotidiennes.

La gestion des risques devrait faire partie intégrante du travail quotidien. Mais dans la pratique, de nouveaux systèmes sont souvent lancés sans analyse des risques, les fournisseurs sont intégrés sans évaluation et les changements contournent complètement la prise en compte des risques. Les risques finissent par n'apparaître que dans les documents relatifs à la sécurité.

Comment changer cela ? La gestion des risques doit être intégrée dans les opérations quotidiennes afin que la réflexion sur les risques soit naturellement déclenchée dès qu'un changement survient.

7. Trop nombreuses mesures de traitement des risques

Nous avons pris beaucoup de décisions, mais rien n'a réellement changé.

Lors des ateliers sur les risques, les équipes conviennent souvent de multiples mesures à prendre. Sur le papier, tout semble proactif, mais une fois le travail quotidien repris, la plupart des mesures ne sont jamais mises en œuvre. Le suivi s'estompe et rien ne change réellement.

Cela signifie généralement qu'il y a trop d'actions. Un nombre réduit de mesures de gestion des risques bien choisies est bien plus efficace qu'une longue liste qui ne sera jamais mise en œuvre.

8. Les risques sont trop génériques pour être exploitables.

Certains risques sont décrits de manière tellement générale qu'il est impossible d'agir en conséquence. Des termes tels que « violation de données », « défaillance du système » ou « cyberattaque » n'expliquent pas ce qui se passerait réellement, comment cela pourrait se produire ni quelles en seraient les conséquences. Une bonne gestion des risques se concentre sur des scénarios réalistes que les gens peuvent comprendre et auxquels ils peuvent réagir, plutôt que sur des termes abstraits désignant des menaces.

9. La conformité guide la gestion des risques, et non l'inverse.

Dans certaines organisations, la conformité finit par définir les priorités en matière de risques. Les listes de contrôle du cadre régissent les décisions, les risques sont analysés a posteriori pour correspondre aux contrôles, et les menaces émergentes sont négligées. L'hypothèse devient alors : « Nous sommes conformes, donc nous devons être en sécurité. »

La gestion des risques doit guider la conformité, et non être limitée par celle-ci.

10. Absence de boucle d'apprentissage issue du travail sur le SMSI

Enfin, de nombreuses organisations ne disposent pas d'un cycle d'apprentissage dans leur gestion des risques. Les incidents sont traités séparément, les conclusions des audits ne mettent pas à jour les risques et les commentaires des employés ne sont pas pris en compte dans les évaluations. En conséquence, les mêmes problèmes se répètent au fil du temps.

Cela devrait fonctionner dans l'autre sens : la gestion des risques devrait tirer continuellement des enseignements des incidents, des audits et de l'expérience concrète afin de rester pertinente et efficace.

Alors, que devez-vous garder à l'esprit ?

La plupart des échecs en matière de gestion des risques liés à la sécurité de l'information ne proviennent pas d'une ignorance totale des risques. Ils proviennent d'une gestion des risques trop lourde, trop éloignée du travail quotidien ou trop axée sur la documentation plutôt que sur les décisions.

Une bonne gestion des risques est pratique. Elle aide les gens à faire des choix, et ne se limite pas à remplir des modèles. Elle est continue, facile à mettre à jour et étroitement liée au fonctionnement réel de l'organisation. Lorsqu'elle est bien menée, la gestion des risques facilite la hiérarchisation des priorités, l'apprentissage et la clarification des responsabilités. Elle rend les risques visibles au moment opportun et aide les équipes à se concentrer sur ce qui compte vraiment, et pas seulement sur ce qui semble bien sur le papier.

En gardant ces principes à l'esprit, il est beaucoup plus facile de faire passer la gestion des risques d'une exigence formelle à un véritable moteur d'amélioration de la sécurité de l'information.