Principes

Le référentiel distingue :

• Appétence au risque c’est-à-dire le niveau de risque qu'une entité est prête à accepter dans la poursuite de sa mission.
• Tolérance au risque correspondant à la fourchette acceptable par rapport à la réalisation d'un objectif. Par exemple, une tolérance de dépassement de 10% d’un budget ou de 20% en termes de délai d’un plan d’actions.

Le cycle d’analyse et de traitement des risques est similaire à celui proposé dans d’autres référentiels comme l’ISO 27005 ou EBIOS RM pour la cybersécurité.

Les scénarios de risque peuvent être construits suivant deux mécanismes :

• Approche descendante - La stratégie de la mission et les objectifs opérationnels servent de base à l'identification et à l'analyse des risques.
• Approche ascendante - En commençant par les actifs, systèmes et applications jugés critiques pour l’entité, une liste de menaces ou de scénarios génériques est définie. La liste est utilisée pour définir des scénarios concrets. L'approche ascendante est couramment utilisée dans les évaluations des cybermenaces et des vulnérabilités.

Scénarios de risques

Le référentiel comprend une partie détaillée (environ 300 pages) de scénarios de risques IT. Un scénario de risques est la description d'un événement possible qui, s'il se produit, aura un impact incertain, positif ou négatif sur la réalisation des objectifs de l'entreprise. Cette définition est compatible avec le cadre général de gestion de risques de l’ISO 31000.

Le référentiel fournit des exemples de scénarios de risques.

Par exemple dans le domaine des risques liés à la sous-traitance (voir aussi la norme ISO 27036 et SCRM) :

• Description du scénario retenu.
• Composants : menace, source, biens et durée.
• Types de risques et de réponses.
• Mitigations possibles reprenant les processus présents dans COBIT.
• Exemples de KRI possibles (Key Risk Indicators).