ISMS Copilot
Documentation du SMSI

Gestion des risques et registre des risques

ISMS Copilot tient à jour un registre des risques complet afin d'identifier, d'évaluer et d'atténuer les risques liés à l'ensemble de nos opérations. Notre approche de gestion des risques suit les meilleures pratiques de l'industrie, alignées sur les cadres ISO 27001, SOC 2 et NIST.

Notre registre des risques est maintenu sous forme de code dans notre répertoire GitHub, ce qui permet le contrôle de version, la notation automatisée et des cycles de révision continus.

Catégories de risques

Nous organisons les risques en quatre catégories principales :

  • Risques de sécurité — Menaces pesant sur la confidentialité, l'intégrité et la disponibilité des données, y compris les contrôles d'accès, le chiffrement et la sécurité des infrastructures

  • Risques opérationnels — Menaces pesant sur la continuité de service telles que les dépendances vis-à-vis de tiers, les pannes d'infrastructure et les problèmes de capacité

  • Risques de conformité — Obligations réglementaires et légales, y compris le RGPD, la résidence des données et les certifications sectorielles

  • Risques spécifiques à l'IA — Défis uniques liés à notre plateforme d'IA, notamment l'exactitude des modèles, l'injection de commandes (prompt injection) et la gouvernance des données d'entraînement de l'IA

Méthodologie d'évaluation des risques

Chaque risque identifié est évalué à l'aide d'une approche structurée :

  • Probabilité — Notée de 1 à 5 en fonction de la probabilité d'occurrence

  • Impact — Noté de 1 à 5 en fonction des conséquences potentielles pour l'entreprise et les clients

  • Score de risque — Calculé par le produit probabilité × impact (échelle de 1 à 25)

  • Classification de la sévérité — Critique (20-25), Élevée (15-19), Moyenne (10-14), Faible (5-9), Minimale (1-4)

Les scores de risque sont calculés automatiquement à partir de nos définitions de risques basées sur YAML, réduisant ainsi les erreurs manuelles et garantissant la cohérence.

Atténuation des risques et contrôles

Pour chaque risque, nous documentons :

  • Les stratégies d'atténuation spécifiques et les échéanciers

  • Les contrôles techniques et administratifs en place

  • Le propriétaire du risque assigné, responsable de la surveillance

  • Les dates de révision et le suivi de l'état (Ouvert, En cours d'atténuation, Accepté, Résolu)

Notre registre des risques s'intègre à notre documentation ISMS plus large, incluant la gestion des changements, la réponse aux incidents et les politiques de sécurité pour assurer une couverture complète.

Révision et mises à jour

Les risques sont examinés selon des cycles planifiés en fonction de leur sévérité et de l'évolution des menaces. De nouveaux risques sont ajoutés au fur et à mesure que notre produit évolue, particulièrement pour les enjeux spécifiques à l'IA propres à notre plateforme d'automatisation de la conformité.

Les détails du registre des risques sont confidentiels et maintenus dans notre répertoire GitHub sécurisé avec un accès restreint.

Cela vous a-t-il été utile ?