Dans le cadre des normes ISO 27001 et ISO 27005, les notions de dérogation et acceptation du risque sont liées mais distinctes. Il est bon de se rappeler des bases et des définitions exactes et leur application en sécurité des systèmes d’information. Un vocabulaire précis permet souvent un raisonnement précis.
En résumé, l’acceptation du risque est une notion issue de l’analyse de risque et relève donc de la gestion du risque. Elle peut être temporaire ou permanente. La dérogation est issue d’une non conformité (en général à la PSSI) et ne peut être que temporaire.
Acceptation du risque (Risk Acceptance)
Définition ISO 27005
« Acceptation d’un risque sans prendre d’autres mesures pour le réduire, tout en assurant un suivi et une gestion adéquate. »
Explication
- L’acceptation du risque intervient lorsqu’un risque a été analysé et évalué mais qu’aucune action corrective immédiate n’est mise en place.
- Cette acceptation doit être documentée, validée par le propriétaire du risque et faire l’objet d’un suivi régulier.
- Elle est souvent utilisée lorsque le coût de la mitigation est supérieur au bénéfice obtenu ou que les alternatives ne sont pas réalisables (notamment en termes de délai).
Conditions ISO pour accepter un risque
- Le risque doit être connu, évalué et documenté.
- L’acceptation doit être formalisée par une autorité compétente (ex. : direction des risques, RSSI) et validée par le propriétaire du risque.
- Elle doit être réévaluée périodiquement pour s’assurer que les conditions restent acceptables.
Exemple en SSI
Une application critique nécessite une ancienne version d’un logiciel qui présente une vulnérabilité connue. Après analyse, l’organisation décide d’accepter temporairement le risque en raison du coût ou de la complexité de la mise à jour, tout en mettant en place une surveillance renforcée (ex. : isolation réseau, monitoring, durcissement).
Dérogation (Exception)
Définition ISO 27001 (via le principe de conformité aux politiques de sécurité)
« Autorisation temporaire accordée pour ne pas appliquer une exigence de sécurité sous réserve de mise en place de mesures compensatoires et d’un plan de remédiation. »
Explication
- Une dérogation est une exception temporaire accordée lorsqu’une règle de sécurité ne peut pas être respectée immédiatement.
- Elle doit être formellement demandée, justifiée, évaluée et approuvée.
- Contrairement à l’acceptation du risque, une dérogation nécessite un plan d’action pour rétablir la conformité.
Conditions ISO pour accorder une dérogation
- Justification claire : pourquoi l’exigence ne peut-elle pas être respectée ?
- Analyse de risques : quels sont les impacts ?
- Mesures compensatoires : quelles actions sont mises en place pour limiter l’exposition ?
- Durée limitée et réévaluation : date butoir définie, avec suivi régulier.
Exemple en SSI
Une entreprise impose que tous les OS soient supportés, mais une application métier critique fonctionne uniquement sur Windows 2012 (non supporté).
Une dérogation temporaire est accordée sous réserve de :
- Isoler le serveur du réseau principal.
- Mettre en place une supervision renforcée.
- Planifier une migration vers une version supportée sous 6 mois maximum.
A contrario, si le plan de migration est coûteux, long, complexe, et ne peut pas être réalisé rapidement, il faut alors une acceptation du risque.
Différences clés entre acceptation du risque et dérogation
| Critère | Acceptation du risque | Dérogation |
| Nature | Décision de ne pas traiter un risque immédiatement. | Autorisation temporaire de ne pas respecter une règle. |
| Justification requise | Analyse des coûts/bénéfices et impact. | Besoin technique, contrainte métier, etc. |
| Mesures compensatoires | Optionnelles (dépend de l’évaluation du risque). | Obligatoires (nécessaires pour réduire l’exposition). |
| Durée | Long terme (tant que l’évaluation du risque reste acceptable). | Temporaire (avec une date butoir et un plan d’action). |
| Réévaluation | Périodique, en fonction de l’évolution du contexte. | Régulière, jusqu’à la levée de la dérogation. |
Conclusion : quand utiliser quoi ?
Acceptation du risque
- Quand un risque est documenté et jugé tolérable.
- Quand aucune action immédiate ne peut être entreprise sans impact majeur.
Dérogation
- Quand une exigence de sécurité ne peut être respectée temporairement.
- Quand un plan d’action clair est défini pour revenir en conformité.