Traitement des risques
Info
Une fois les risques évalués, il faut décider quoi faire pour les maîtriser.
1. Quatre stratégies possibles
| Stratégie | Description |
|---|---|
| Réduction | Mettre en place des mesures pour réduire l’impact ou la probabilité |
| Transfert | Transférer la responsabilité (ex : assurance, infogérance) |
| Évitement | Supprimer la cause du risque (ex : désactiver un service) |
| Acceptation | Accepter le risque sans autre action (doit être justifié) |
2. Plan de traitement des risques
Contenu attendu :
- Description du risque
- Mesures à mettre en œuvre (ISO 27002 / annexes A)
- Responsable de l’action
- Délai de mise en œuvre
- Niveau de risque résiduel estimé
Tip
Le plan de traitement est un document central pour l’audit ISO 27001.
3. Justification des exclusions
Warning
Toute exclusion de traitement (risque accepté tel quel) doit être justifiée, tracée et validée.
4. Suivi de la mise en œuvre
- Statut des actions (en cours / terminé / bloqué)
- Preuves documentées (ticket, log, capture écran…)
- Mise à jour du registre des risques