P.I.L.O.T.E

3 min de lecture

08_Communication_Surveillance

Introduction

La communication et la surveillance des risques sont souvent traitées de manière générale, alors qu’elles constituent la clé pour maintenir un SMSI vivant et crédible. La norme ISO/IEC 27005 insiste sur la nécessité d’une revue continue, mais l’expérience montre que sans gouvernance claire, les registres de risques deviennent obsolètes et déconnectés de la réalité.

Gouvernance des risques

  • Mise en place d’un comité risques rassemblant RSSI, DSI, métiers, conformité, direction générale.
  • Fréquence recommandée : revue trimestrielle pour les risques majeurs, revue semestrielle globale.
  • Mandat du comité : valider les niveaux de risque, arbitrer les plans de traitement, approuver les seuils d’appétence et de tolérance.

Fréquences de revue

  • Mensuelle : suivi des indicateurs techniques (plans de traitement, incidents, vulnérabilités).
  • Trimestrielle : comité risques pour les risques critiques et majeurs.
  • Annuelle : revue complète intégrée à la clause 9.3 de l’ISO 27001 (revue de direction).

KRI vs KPI

  • KPI (Key Performance Indicators) : mesurent l’efficacité des actions de traitement. Exemple : % de risques critiques traités en < 3 mois.
  • KRI (Key Risk Indicators) : mesurent l’évolution de l’exposition au risque. Exemple : % de vulnérabilités critiques non corrigées, nombre d’incidents majeurs par trimestre.

Un bon reporting doit combiner les deux approches.

Reporting COMEX

Le comité exécutif (COMEX) doit recevoir un reporting synthétique et orienté décision, incluant :

  • Carte de chaleur des risques.
  • Risques critiques non traités > 90 jours.
  • Retards dans les plans de traitement.
  • Indicateurs de tendance (diminution ou aggravation).

Lien avec incidents et audit interne

  • Gestion des incidents : chaque incident doit réinjecter de l’information dans le registre de risques (nouveaux scénarios, ajustement des vraisemblances).
  • Audit interne : vérifier la mise en œuvre des plans de traitement, l’actualisation des registres, la cohérence des KPI/KRI.

Indicateurs types

  • % de risques « rouges » (critiques) non traités depuis plus de 90 jours.
  • % de plans de traitement en retard par rapport aux échéances fixées.
  • Temps moyen de réduction d’un risque critique (de l’identification à l’atteinte d’un niveau acceptable).

Cas concrets

  • Finance : une banque utilise un tableau de bord risques intégré au reporting COMEX, combinant KPI de traitement et KRI issus du SOC.
  • Santé : un hôpital a mis en place un comité trimestriel de revue des risques, intégré aux réunions qualité, afin de corréler incidents médicaux et incidents SI.
  • Industrie : une entreprise manufacturière alimente ses KPI risques directement via son outil GRC, et les auditeurs internes vérifient la cohérence avec les plans de traitement.

Objectifs pédagogiques

  • Comprendre le rôle central de la communication et de la surveillance.
  • Mettre en place une gouvernance des risques structurée (comité, fréquence).
  • Distinguer KPI et KRI et savoir les utiliser conjointement.
  • Relier la gestion des risques aux incidents et audits internes.
  • Produire un reporting COMEX clair et décisionnel.

Checklist RSSI

  • Un comité risques est-il formalisé avec une fréquence claire ?
  • Les KPI et KRI sont-ils définis et suivis ?
  • Le COMEX reçoit-il un reporting synthétique et actionnable ?
  • Les incidents réels alimentent-ils le registre de risques ?
  • L’audit interne vérifie-t-il la cohérence et l’actualisation des risques ?

Vue Graphique