À l’ère des outils de GRC (Gouvernance, Risques et Conformité) les registres sont des bases de données qui se nourrissent automatiquement des résultats des analyses de risque ou de toute autre activité d’évaluation aboutissant à un niveau de risque. Malheureusement, le budget des entreprises petites ou moyennes (ou celles dont la haute direction ignore ou ne s’intéresse pas à ce que les activités de GRC peuvent apporter) ne leur permet pas d’automatiser ce type de registre et elles doivent encore utiliser Excel exploitant des fonctions de base … à moins d’avoir un camarade actuaire qui ait un peu de temps à offrir.
La question qui revient souvent est qu’est-ce qu’un registre de risques et quel devrait être son contenu ? Comme souvent dans le domaine de la gestion des risques, les définitions diffèrent et l’étendue des informations contenues dans le registre varie considérablement. Je vous donne ma définition simple :
« Le registre des risques est une base d’autorité où sont consignés tous les risques évalués par une organisation afin de produire des statistiques utiles et permettre leur suivi périodique. »
Cela signifie que votre fichier Excel peut avoir autant que de colonnes que vous avez besoin de métadonnées pour permettre de rendre compte de l’état général des risques auxquels est exposée l’organisation et de les suivre aussi longtemps qu’ils sont pertinents. On peut y suivre les plans de mitigation approuvés et y réviser les scénarios de risques enregistrés au fil du temps. Certains auteurs veulent y enregistrer même les risques qui ne sont pas encore évalués, c’est un choix de vie que je respecte si l’organisation dispose d’une « armée mexicaine » d’analystes et de vérificateurs pour suivre les dizaines de milliers de risques qui finiront par s’y retrouver. J’en profite pour donner l’alerte à ceux qui seront tentés d’y consigner un peu n’importe quoi : les risques doivent être issus d’une analyse formelle, avec des résultats validés, cela exclut notamment des vulnérabilités qui seraient confondues avec des risques (ça arrive plus souvent qu’on le croit).
Comme vous avez peu de temps pour étudier la question voici un gabarit de registre de risque Excel qui vous permettra de commencer. Il utilise des listes de choix à personnaliser et quelques fonctions Excel basiques. Je ne suis pas allé très loin, je ne suis pas expert. Ceci dit si vous travaillez dans le domaine de la GRC, et particulièrement dans la gestion des risques, et vous ne connaissez pas les fonctions Excel de base pour vous faciliter la vie, c’est un peu faire preuve de négligence. Heureusement Youtube regorge de tutoriels pour être mieux initié. Il va sans dire que le temps que je mets pour partager tous ces artéfacts pour vous faciliter la vie, mérite que vous citiez toujours la source avant de les réutiliser et les rediffuser.
Vous pouvez même m’offrir un ou plusieurs cafés virtuels pour me remercier … 🙂 C’est par ici : https://www.buymeacoffee.com/igorscerbou
Exemple Excel de registre des risques TI et sécurité (empreinte SHA-1 : 8B2F5884759CC0A1924C6102909B45DABE234339)
Même si je ne partage rien qui utilise des macros, il vaut mieux toujours vérifier l’intégrité des fichiers partagés.
