Traitement des risques
Qu'est-ce que Traitement des risques ?
Traitement des risquesDécision et actions visant à modifier un risque, en général en l'acceptant, le réduisant, le transférant ou en l'évitant, selon les critères de l'organisation.
Le traitement des risques est l'étape du cycle de gestion où chaque risque évalué reçoit une réponse. Les options classiques sont : accepter (vivre avec le risque résiduel), réduire (appliquer des contrôles pour diminuer la vraisemblance ou l'impact), transférer (assurances, clauses contractuelles, externalisation) ou éviter (arrêter ou repenser l'activité). Le plan de traitement précise propriétaires, coûts, délais, risque résiduel cible et contrôles tirés de référentiels comme l'annexe A d'ISO/IEC 27001 ou NIST SP 800-53. Il est suivi dans le registre des risques et révisé lorsque les contrôles défaillent, que les menaces changent ou que les objectifs métier évoluent. Un traitement efficace est proportionné au risque et aligné sur l'appétence et la tolérance.
● Exemples
- 01
Déploiement du MFA et de l'accès conditionnel pour réduire le risque de compromission de compte.
- 02
Souscription d'une cyber-assurance pour transférer une partie de la perte due à un rançongiciel.
● Questions fréquentes
Qu'est-ce que Traitement des risques ?
Décision et actions visant à modifier un risque, en général en l'acceptant, le réduisant, le transférant ou en l'évitant, selon les critères de l'organisation. Cette notion relève de la catégorie Conformité et référentiels en cybersécurité.
Que signifie Traitement des risques ?
Décision et actions visant à modifier un risque, en général en l'acceptant, le réduisant, le transférant ou en l'évitant, selon les critères de l'organisation.
Comment fonctionne Traitement des risques ?
Le traitement des risques est l'étape du cycle de gestion où chaque risque évalué reçoit une réponse. Les options classiques sont : accepter (vivre avec le risque résiduel), réduire (appliquer des contrôles pour diminuer la vraisemblance ou l'impact), transférer (assurances, clauses contractuelles, externalisation) ou éviter (arrêter ou repenser l'activité). Le plan de traitement précise propriétaires, coûts, délais, risque résiduel cible et contrôles tirés de référentiels comme l'annexe A d'ISO/IEC 27001 ou NIST SP 800-53. Il est suivi dans le registre des risques et révisé lorsque les contrôles défaillent, que les menaces changent ou que les objectifs métier évoluent. Un traitement efficace est proportionné au risque et aligné sur l'appétence et la tolérance.
Comment se défendre contre Traitement des risques ?
Les défenses contre Traitement des risques combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Traitement des risques ?
Noms alternatifs courants : Réponse au risque, Plan de mitigation.
● Termes liés
- compliance№ 936
Gestion des risques
Processus coordonné d'identification, d'analyse, d'évaluation, de traitement, de suivi et de communication des risques afin de les maintenir dans la tolérance définie par l'organisation.
- compliance№ 935
Évaluation des risques
Activité structurée de la gestion des risques qui identifie menaces, vulnérabilités et impacts sur des actifs précis et note le risque obtenu pour étayer les décisions de traitement.
- compliance№ 937
Registre des risques
Inventaire vivant des risques identifiés avec description, propriétaire, scores, traitement et statut, utilisé pour suivre l'exposition de l'organisation dans le temps.
- compliance№ 923
Risque résiduel
Risque qui subsiste après l'application des contrôles et traitements prévus, que l'organisation doit accepter, transférer ou traiter davantage.
- compliance№ 557
ISO/IEC 27001
Norme internationale qui spécifie les exigences d'un Système de Management de la Sécurité de l'Information (SMSI) et permet une certification formelle des organisations.
- compliance№ 737
NIST SP 800-53
Publication NIST fournissant un catalogue exhaustif de contrôles de sécurité et de confidentialité pour les systèmes fédéraux américains et de nombreux adoptants du secteur privé.
● Voir aussi
- № 934Appétence au risque
- № 938Tolérance au risque