Préambule
Nous avons souvent entendu, chez nos clients ou dans les différents cabinets de conseil pour lesquels nous avons travaillé, des confusions de terminologie entre « analyse » et « appréciation » des risques, les termes étant employés de manière équivalente et symétrique. Or nous allons voir qu’il s’agit de deux choses différentes !
Analyse vs Appréciation, la différence
L’un est inclus dans l’autre
Pour les plus chanceux(ses) d’entre vous qui possèdent la norme ISO 31000 (gestion des risques) ou 27005 (gestion des risques de sécurité de l’information), vous verrez que ces deux termes apparaissent mais à des endroits différents. Pour être parfaitement précis, la phase d’analyse du risque fait partie intégrante du processus d’appréciation des risques. L’un est donc inclus dans l’autre.
Mais encore ?
Apprécier les risques, c’est d’abord faire un inventaire des scenarios de risques qui pourraient se produire (phase « identification »), valoriser ces risques en tenant compte de la possibilité qu’ils se produisent et de leur importance relative aux conséquences sur l’organisme (phase « analyse »). Cette valorisation amène à ce qu’on appelle un niveau de risque pour chaque risque. Enfin, une fois chaque risque valorisé, il s’agit alors de les classer afin de faciliter leur priorisation, en tenant compte des critères d’acceptation fixés par l’organisme (phase évaluation).
Vous savez tout !
En résumé, l’analyse du risque fait partie des 3 étapes du processus d’appréciation des risques. Ce processus fait lui même partie d’un processus plus global de gestion des risques, dans lequel vous devrez également établir un choix de traitement des risques.
Oui vous avez bien lu, le traitement du risque ne fait pas partie du processus d’appréciation des risques, c’est l’étape d’après pour être exact !
Pour aller plus loin
Si vous souhaitez approfondir ces notions, n’hésitez pas à suivre une de nos formations ISO 27005 RM sur la gestion des risques !
https://kedros-cybersecurite.fr/27005-risk-manager/
Retrouvez nous également sur Linkedin : https://www.linkedin.com/company/kedros-cybersécurité