|
|
Entreprendre c’est prendre des risques, prendre des risques sans les connaitre relève de l’ignorance. Ne pas tenir compte des risques relève de la négligence.
Un risque doit être identifié, évalué, hiérarchisé et contrôlé.
L’identification des risques repose sur l’expérience des responsables métiers, sur l’expertise des auditeurs, des juristes et, sans se limiter à cela, sur les référentiels de sécurité et les normes & bonnes pratiques. Il appartient à chaque entreprise de s’approprier ces différentes sources d’informations pour constituer une liste la plus exhaustive possible des risques auxquels elle s’expose. Bureau404 peut vous accompagner dans votre cyber-vigilance et vous aider à compléter votre tableau des risques avec un tour d’horizon des techniques d’espionnage et de hacking les plus déloyales contre lesquelles la naïveté ou le déni sont sans effet.
Les risques identifiés doivent ensuite être évalués, c’est-à-dire qu’il faut arriver à quantifier la criticité de la survenue d’un incident lié à ce risque. La priorité se porte toujours sur la sécurité des personnes, pour cela il peut être nécessaire de se rendre sur le poste de travail concerné et d’en inspecter les conditions (machines dangereuses pour les métiers industriels, habitudes de voyages pour les commerciaux, vis-à-vis important de vos salles de réunion sur la rue...) Vient ensuite le coût que leur survenue pourrait ajouter à vos charges d’exploitation. Cette étape du processus s’appuie sur l’expertise de vos responsables métiers, de votre direction d’entreprise et doit déboucher sur une valeur d’échelle de gravité (faible à très grave) ainsi que sur une probabilité de survenir (très peu probable à très probable). Bureau404 peut vous accompagner dans l’organisation des ateliers métiers permettant d’évaluer ces risques.
Une fois que vous disposez de la liste des risques et de leur gravité, il faut ensuite les hiérarchiser selon 3 catégories : les risques acceptables, les risques à surveiller et contrôler et les risques inacceptables qu’il est impossible de contrôler correctement et qu’il faudra alors chercher à éliminer totalement. La hiérarchie ainsi obtenue combinée à l’évaluation des risques permet d’établir un budget cohérent pour la mise en place des contrôles ou la conduite du changement nécessaire à l’élimination des risques inacceptables (réaménagement du poste de travail, embauches supplémentaires pour la séparation des pouvoirs, EPIs, logiciels anti-virus, etc.)
Le contrôle et la surveillance des risques est le processus qui vise à maintenir un niveau de risque acceptable ou contrôlé et qui prévient la réapparition de risques inacceptables. Ce processus auditable pour les entreprises cotées en bourse doit être rigoureux, efficace et pratique au quotidien. En effet, si le processus déployé est jugé impraticable par les utilisateurs, il y a un risque réel de contournement. Il faut mettre de vrais moyens humains et matériels sur la table pour que ce processus participe à votre valeur ajoutée et qu’il ne soit pas un simple centre de coût. La bonne organisation du référentiel des contrôles en place, de leur exécution et de la conservation des preuves font partie des sujets pour lesquels Bureau404 peut vous accompagner.
< Demande de contact