|
21-02-2007 |
|
L'ISO/ IEC 27005:2008 définit l'appréciation du risque comme une démarche qui détermine la valeur des actifs informationnels, identifie les menaces et les vulnérabilités applicables existantes ou susceptibles d'exister, identifie les mesures de sécurité existantes, et leurs effets sur les risques identifiés, détermine les conséquences potentielles puis classe les risques ainsi obtenus par ordre de priorité en cohérence avec les critères d'évaluation du risque définis lors de l'établissement du contexte.
La stratégie de traitement des risques visera à choisir entre les 4 scénarios suivants :
Réduire le risque
| Par la mise en place de mesures de sécurité, techniques
ou organisationnelles, permettant de combler les vulnérabilités; mais
aussi par la dissuasion ou une bonne communication externe comme interne.
| Rejeter le risque
| Soit on décide de ne rien faire car l'attaque et donc la
menace est jugée improbable, et l'entreprise se dit prète à assumer les
conséquences (impact) d'un sinistre
Soit on décide de renoncer à l'activité source du risque ou à l'application concernée, en acceptantun manque à gagner que l'on considère moindre que le risque lui-même.
| Accepter le risque
| L'impact est considéré comme tolérable face au coût des mesures de sécurité à mettre en face.
| Transférer le risque
| C'est le cas d'un contrat d'assurance qui assume une
partie du risque à la place de l'entreprise ou le cas de la sous-traitance d'une
fonction à un prestataire
|
Aller plus loin : Sur ce site : Risk Management : La norme ISO 27005:2008 Norme de Gestion des risques
|
|
Dernière mise à jour : ( 30-03-2012 )
|
Risques 
