Comment fixer l’objet de sa gestion des risques

Objet de la Gestion des Risques

Gérer les risques est la première action concrète de notre ‘voyage’ vers la sécurité. Nous devons savoir ce qui est inacceptable pour nous et rechercher comment nous en préserver. C’est un processus complexe, alors allons-y pas à pas.

Il y a 4 étapes dans la gestion des risques. Attaquons-nous à la première : Que voulons-nous protéger et pourquoi ?

QUOI :

L’information

Déterminons l’objet de notre étude: cela peut aller d’une information à une entreprise complète. Si nous nous posons la question pour nous, cela peut être nos finances, ce que nous disons sur Facebook, nos SMS (ou textos) vers quelqu’un d’autre que notre conjoint(e), nos emails ou courriels.

Le système d’information

Nous identifions donc tout ce qui est relié à ce que nous voulons protéger : les informations, où elles sont stockées, comment elles sont transmises à leur destinataire on depuis leur source, comment elles sont ‘manipulées’ et exploitées, et avec quels ‘outils’.

Un inventaire (au moins de ce que nous considérons le plus important) est donc essentiel.

POURQUOI :

Pour quelle(s) raison(s) voulons-nous connaître les risques ? Que veut-on éviter ; contrôler, maîtriser ?

Tout dépend, naturellement, des informations concernées, de la valeur que nous y accordons et, parfois plus encore, de la valeur que ‘les autres’ leur donnent; ou du mal, du moins de l’embarras, que l’on veut nous infliger.

De quoi, selon quels axes, pouvons-nous bien souffrir si l’information est touchée ?

Nous spécifions donc la valeur de chaque élément dans l’inventaire.

POUR QUOI :

Dans quel(s) but(s) voulons-nous réaliser cette gestion des risques ? Que veut-on obtenir comme résultat ?

Parce que gérer les risques d’informations déjà ‘lancées’ dans l’air ou se poser la question avant même de les exploiter, nous amène à deux résultats fort différents. Nous pouvons également nous poser simplement la question pour voir si nous nous sommes vulnérables ou non à certaines menaces.

  • L’un est une recherche d’une solution pour couvrir un mal qui est déjà latent – voire présent mais pas encore détecté – ; elle peut vite devenir complexe car il y a plusieurs choses qui nous échappent.
  • L’autre nous permet de ‘bétonner’ les choses avant même de les mettre en œuvre ; c’est la solution la plus ‘sûre’ : réfléchir avant d’agir!
  • Le troisième est simplement informatif et est fort simple à réaliser.

Pour chacun des buts, nous pouvons prendre une approche différente, utiliser une autre méthode et d’autres outils. Autant choisir ce qui convient le mieux.

Répondre à cette question nous permet de bien fixer notre cadre de travail et de nous focaliser sur ce que nous voulons. Il est facile de dévier et de s’encombrer de pleins de choses inutiles … et de ne pas arriver où nous voulions. C’est une des raisons du rejet de la gestion des risques.

Nous définissons ce que nous voulons obtenir.

Petite recommandation :

Ne nous perdons pas en voulant trop en faire ! Choisissons un maximum de 3 informations qui ont beaucoup de valeur pour nous et déployons la démarche. Une fois que nous voyons comment ça marche, passons à un autre groupe d’informations.

Sans cela, nous sommes vite submergés par des questions divergentes, une longue liste de risques et une (très) longue liste de solutions à mettre en œuvre… ce qui va nous faire renoncer à faire ‘le’ pas critique qui nous mènera à une « sécurité qui répond à nos besoins. »

 

Ceci étant fait, nous passerons la semaine prochaine à la seconde étape : Etudier le contexte.

Cette première étape de la démystification de la gestion des risques vous incite-telle à poursuivre l’aventure ? Avez-vous des questions ? Interrogez-moi ci-dessous…

A bientôt, plus en sécurité avec vos informations…

Jean-Luc

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *