Skip to main Content
Article

Risk Management : le métier, les méthodes

Bechir Sebai
  • Date: 03 April, 2021

La cybersécurité est évidemment l'un des sujets brûlants de l'industrie et Global Knowledge a interrogé un expert, Béchir Sebaï, pour répondre à toutes nos questions sur ce qu'est la gestion des risques, son rôle associé et les méthodes pour réussir la mise en œuvre de la gestion des risques.

GK : Pouvez-vous nous expliquer en quelques mots en quoi consiste le Risk Management, et comment ou à quelle étape l’activité intervient dans le processus de « cybersécurisation » ?

"L’approche par les risques est une pratique indispensable dans un processus de sécurisation du système d’information, le management des risques garantie l’efficacité des mesures de sécurité et l’adéquation des options de traitement des risques afin de minimiser les impacts et les conséquences en cas d’incidents ou cyberattaques."

Le Risk management pour qui?

GK : Le risk management est-il un rôle unique, dédié à une seule personne dans l’entreprise, ou ce rôle est-il « cumulable » ?

"Il s’agit d’une culture à instaurer au sein de l’organisme (objectifs, méthodes, ressources, compétences etc…).

Même si l’entreprise se doit de désigner le « Risk Manger », personne en charge de la gestion des risques, l’activité en soi-même est du ressort de toutes les parties prenantes dans l’entreprise."

GK : Quel est le métier sinon le plus à même d’endosser ce rôle ?

"La condition première à la désignation du « Risk Manager » est qu’il soit impliqué dans les activités et les processus concernés par la gestion des risques, il doit également maitriser les méthodes de gestion des risques ainsi que le métier de la sécurité de l’information.

Le RSSI semble souvent être le mieux placé pour cette mission néanmoins les entreprises les plus matures créé de nouvelles fonctions de « Risk Security Officer » et coordinateur de risques cyber sécurité sous la responsabilité du RSSI, dont la mission est la gestion et la surveillance des risques IT."

GK : Est-ce qu’on s’adresse à un profil ultra Technique ou plutôt transverse/chef de projet ?

"Le Risk Manager n’est pas obligé d’être expert en cybersécurité, il doit néanmoins avoir en plus des prédispositions managériale, une compréhension des techniques pour échanger avec les experts techniques pour l’implémentation des mesures de sécurité qu’il est sensé préconiser et suivre."

GK : Un risk manager d’ailleurs n’intervient-il d’ailleurs uniquement que dans l’informatique?

"Le Risk Management est un domaine transverse qui concerne l’ensemble des métiers et des activités de l’entreprise, il doit néanmoins se concentrer sur les risques liés à la sécurité de l’information. Les coordinateurs des risques opérationnels consolident quant à eux l’ensemble des risques de l’organisme."

GK : Avez-vous constaté ou constatez-vous une évolution du métier ?

"Dans un cyberespace hyper connecté où les cyberattaques sont de plus en plus sophistiquées, le management des risques devient une activité centrale dans l’entreprise.

Les managers ont pris conscience de l’impact de ces risques sur les processus métier et l’activité de l’organisme et qu’une protection adéquate impliquait la gestion efficace de risque Cybersécurité, ils se donnent donc plus de moyens pour maitriser les risques Cybersécurité."

La gestion des risques requiert des standards et méthodes

GK : On associe au risk management une ou plusieurs méthodes : ISO27005, Ebios, Mehari, en existe-t-il d’autres?

"Les méthodes d’appréciation des risques servent à aider l’entreprise à automatiser puis industrialiser leurs processus de valorisation des risques et à les prioriser pour préparer leurs traitements. D’ailleurs chez ACG Cybersecurity nous avons développé une méthodologie de management des risques conforme à la norme ISO 27005, adaptée aux dernières techniques Cybersécurité et les risques numériques émergeants."

GK : Quelles sont les méthodes les plus utilisées dans le monde?

"EBIOS RM et MEHARI étant des méthodes françaises (la première créée par l’ANSSI et la seconde par le Club CLUSIF) elles sont très utilisées en France, en Europe, elles ont l’avantage d’être alignées avec la norme ISO 27005.

Évidemment d’autres méthodes existent mais les entreprises peuvent créer ou adapter leur propre méthode d’appréciation des risques."

GK : Dans quel contexte utilise-t-on l’une plus que l’autre ?

"La culture du risque ainsi que celle de sa gestion est spécifique à chaque organisme dans son contexte interne et externe.

Les critères que les entreprises prennent en compte pour le choix de leur méthode d’appréciation sont la langue de la méthode, l’existence de documentations et logiciels, le coût ainsi que les outils comparaison."

GK : Quand on parle de norme internationale comme ISO27005, cela veut donc dire qu’on a une gestion du risque égale partout ?

"ISO 27005 est la norme internationale de référence de gestion des risques liées à la sécurité de l’information d’autres standards et framework existent soit générique telle que ISO 31000, soit adaptés à d’autres cultures et approches telles que (Risk Management Framework de NIST et ISACA)."

Comment devenir Risk manager professionnel ?

GK : Peut-on exercer le métier de risk manager sans s’appuyer sur une norme ou une méthode ?

"Le Risk Management doit être une activité structurée et méthodique, l’activité doit produire des résultats reproductibles, comparables et efficace.

Au-delà de l’efficacité des mesures de sécurité de l’information l’utilisation de normes, standards et méthodes permet l’amélioration continue des activités de Risk Management."

GK : Peut-on suivre la formation ISO 27005RM sans bagage en sécurité informatique ?

"La formation ISO 27005 est destinée à tout publics et partie prenante, la conduite de projet de Management des risques sur le terrain nécessite néanmoins des aptitudes de gestion de projet, ouverture d’esprit, curiosité et toujours à la recherche de compromis et arbitrage."

GK : Pouvez-vous donner 3-4 conseils essentiels pour une mise en œuvre réussie du risk management?

"Chaque Gestionnaire de risques doit adapter sa mise en œuvre au contexte et la culture de son entreprise, néanmoins certaines activités peuvent aider à mieux cerner l’activité :

  • Mise en place d’une veille en matière de sécurité des systèmes d’information.
  • Généraliser la sensibilisation aux risques de sécurité de l’information pour les employés.
  • Revoir périodiquement les risques et à chaque changement majeur dans l’entreprise
  • Effectuer un suivi rigoureux des plans de traitements des risques et des risques résiduels.

Un grand merci à Béchir Sebai pour son temps et ses réponses détaillées.

Nos formations en management de la sécurité d'information
Voir les domaines associés:

Bechir Sebai

Formateur senior accrédité PECB et consultant en Sécurité des Systèmes d’Information

Bechir SEBAI a plus de 15 ans d’expérience en conseil stratégique et opérationnel en Sécurité & Cybersécurité pour des grands groupes privés et publics en France, Europe et en Afrique.  Il a effectué et dirigé de nombreuses missions de conseil, d’audit, de formation, gestion de crise, d’implémentation et de certification de Système de Management de la Sécurité de l’information et de la continuité d’activité.

Formateur accrédité par PECB en Sécurité de l’information et en Cybersécurité et ancien enseignant à l’école supérieure de génie informatique de Paris (ESGI), Bechir anime pour le groupe Global Knowledge.

Meilleur formateur Francophone PECB 2019 et 2020 et titulaire des certifications : CISA, Lead Implementer & Lead Auditor ISO 27701, Master ISO/IEC 27001, Senior LA & LI ISO/IEC 27001, ISO/IEC 27005, ISO/IEC 31000, Senior LI ISO/IEC 22301, Lead Cybersecurity Manager ISO/IEC 27032, Data Protection Officer (GDPR), LA ISO/IEC 30301, ISO/IEC 21500 Lead Project et Ebios Risk Manager LI ISO 20000 & ISO 38500.

Béchir est fondateur et CEO de la société ACG Cybersecurity, cabinet d’Audit, de Conseil et de Gouvernance spécialisé en matière de Cybersécurité, RGPD, Continuité des activités et Gestion de crises. ACG Cybersecurity se positionne comme un pure-player de la cybersécurité.
https://acgcybersecurity.fr

Articles associés
02 mars 2021 Article

La transition numérique a apporté de nombreux progrès, mais internet et les espaces numériques deviennent de plus en plus des lieux propices aux actes... Lire la suite

05 août 2021 Annonce

Bénéficiez de 1000€ supplémentaires sur votre compte CPF pour vous former aux métiers du numérique. Les titulaires d’un compte personnel de formation ... Lire la suite

26 sept. 2017 Article

Glossaire des termes de la cybersécurité, vous trouverez ici les définitions des termes couramment utilisés dans l'industrie de la sécurité

"Nous nous soucions de votre vie privée"

Nous utilisons des cookies pour vous offrir la meilleure expérience sur notre site. Les cookies sont des fichiers stockés dans votre navigateur et sont utilisés par la plupart des sites Web pour personnaliser votre expérience en ligne. En continuant à utiliser notre site sans modifier les paramètres, vous acceptez notre utilisation des cookies.

Veuillez utiliser uniquement des paragraphes et des liens dans ce champ de texte enrichi. Un lien vers la page avec informations sur les cookies

Concernant votre vie privée.

Nous traitons vos données à des fins telles que la livraison de contenu ou de publicités et la mesure de la livraison de ce contenu ou de ces publicités pour obtenir des informations sur notre site web. Nous pouvons partager ces informations avec nos partenaires. Les cookies définis par Global Knowledge sont étiquetés “première partie”; vous pouvez exercer vos préférences concernant les cookies de première partie en basculant l'interrupteur pour chaque catégorie de cookies de première partie ci-dessous. Les cookies restants sont des cookies tiers; vous pouvez exercer vos préférences concernant chaque objectif en basculant l'interrupteur correspondant ci-dessous ou par fournisseur en cliquant sur “Liste des fournisseurs de l'IAB”. Ces choix seront signalés globalement à d'autres sites web participants au Cadre de Transparence et de Consentement.
Déclaration de confidentialité

Cookies nécessaires

Il s'agit de cookies nécessaires au bon fonctionnement du site Web de Global Knowledge et qui ne peuvent pas être désactivés dans nos systèmes. Ils incluent, par exemple, des cookies qui vous permettent d'utiliser un panier d'achat ou de vous connecter à la zone de réservation de notre site Web.

Cookies d'analyse

Les cookies d'analyse sont une partie facultative mais importante de la fonctionnalité de notre site Web. Ils nous aident à comprendre comment vous interagissez avec notre site en collectant et en rapportant des informations de manière anonyme. Les données collectées par les cookies d'analyse sont utilisées pour améliorer les performances du site Web et améliorer l'expérience utilisateur. Il est important de noter que ces cookies ne collectent aucune information personnelle pouvant être utilisée pour vous identifier.

Cookies de préférences

Les cookies de préférence sont utilisés pour suivre les visiteurs à travers les sites web dans le but d'afficher des publicités pertinentes et engageantes pour vos centres d'intérêt.

Cookies de performance

Ces cookies nous permettent de reconnaître et de compter le nombre de visiteurs sur notre site web, les sources de trafic et de voir comment les visiteurs du site web se déplacent sur le site lorsqu'ils l'utilisent. Cela nous aide à améliorer le fonctionnement du site web et à améliorer votre expérience sur le site web. Toutes les informations collectées par ces cookies sont agrégées et donc anonymes.

Cookie Control toggle icon