Qu’est ce que la norme ISO TR 18128 ?
Le référentiel ISO 31000 Management du risque recouvre la famille des normes internationales relatives à la gestion des risques. Dans ce cadre général, la gestion des risques est considérée comme un processus organisationnel central et critique dans lequel les risques sont pris en compte. Les directions générales comme le management considèrent que la gestion efficace des risques est essentielle pour la réalisation des objectifs de l’organisation qu’elle soit publique ou privée.
Les questions posées auxquelles il est nécessaire d’apporter des réponses en terme d'évaluation, de gouvernance, d’audit, de traitement et d’amélioration couvrent les activités supports (décisionnel, RH, finances, logistique, etc.) comme les activités métiers (culture, urbanisme, sécurité, etc. pour le secteur public, ou la construction, fabrication, services, etc. pour le secteur privé).
En parallèle des exigences exposées dans ces référentiels généraux de la grande famille des ISO 31000, on oublie trop souvent leur pendant pour le domaine général de la gestion documentaire. J'entends ainsi la documentation, les archives et autres contenus produits et reçus dans le cadre des activités de chaque organisation.
J'entends également la gestion des risques applicable aux informations dans le cadre d’un système de Records management et d’archivage. Les données collectées, les transferts de données ou encore des données personnelles (données client ou citoyens) sont bien entendu concernées !
On peut également associer les sources de données comme l'open data. Le cœur du sujet est donc bien d’utiliser les données dans une stratégie de réduction des risques !
Ce besoin est aujourd’hui couvert par le guide d’application (qualifié de technical report dans la production normative ISO) libellé ISO/TR 18128 et intitulé Risk identification and assessment for records systems (ou identification et évaluation pour les système de gestion des documents d’activités).
Le rapport technique fournit une méthode d’analyse des risques liés aux données et documents entrant dans le périmètre du records management et liés aux dispositifs organisationnels et techniques dans lesquels ils sont gérés et conservés.
Naturellement, l’analyse des risques qui est spécifique au périmètre du records management doit être intégrée au programme général de gestion des risques de l’organisation. On ne déploie pas du reste un système de records management sans l’inscrire dans le dispositif général d’organisation et de gestion.
Quels sont les rôles et outils pivots ?
Le Risk Manager (quand il existe) est par conséquent étroitement associé tout au long du processus de la mise en place de la gestion des risques pour le records management. Au delà de ce rôle pivot dans les organisations qui est souvent attaché au secteur privé, les profils de DPO pour la protection des données à caractère personnel (RGPD / CNIL) ou RSSI (pour la sécurité SI) sont également pleinement concernés par le sujet.
En compléments, il est utile de retenir les solutions comme les coffres forts numériques (CFN), les solutions de gestion de contenus (ECM), l’archivage numérique (SAE) ou encore les outils comme les plans de classement, durées de rétentions pour respecter les obligations légales, etc.
Que couvre l’ISO 18128 (2014) ?
L’ISO 18128 résonne avec la série de normes dites management de système ISO 3030X (soient 30300, 30301 et 30302 centrées sur la gouvernance d’un système de records management et sur la capacité de ce système d’être certifié). Du coup, c’est un référentiel important pour qui a ambition de déployer le records management et l’archivage ou encore une politique de gouvernance de l’information dans son organisation.
Le Guide est essentiel pour une application systématique dans le contexte du records management.
Il couvre trois processus dédiés à la maîtrise des risques relatifs à la gestion de l’information et donc à la criticité des données et des documents :
l’identification du risque (chapitre 5) ;
l’évaluation de ce risque (chapitre 6) ;
la tenue du registre des événements (chapitre 7).
Le premier point est le prérequis pour mettre en place et maintenir le processus de records management dans l’organisation. L’identification des risques va permettre de définir puis d’acter la politique de records management qui est, comme on le sait maintenant, le soutien de la gouvernance de l’information (GI, processus en cours de normalisation au niveau ISO actuellement).
L’analyse des risques est très pragmatique et immédiatement opérationnelle (nous l’utilisons la plupart du temps pour mener nos mission de conseil et d’AMOA). Elle permet de répondre aux questions suivantes : doit-on créer ou non tel ou tel document ou telle ou telle donnée formalisée (contenu de formulaires par exemple) pour répondre au risque de l’activité métier (contrat client, saisine citoyen, demande de subvention d’une association, contrat fournisseur ou marché, etc.).
Ces décisions doivent être éclairées par l’analyse des exigences avec les métiers et les professionnels du records management ou des archives, avec bien entendu en associant étroitement les professionnels du risque (RM, RSSI, DPO, etc.).
A partir de cette identification et sur la base de la détermination des données qui seront créés, créés et intégrés dans le système de records management et d’archivage pour chaque processus métier, vous avez besoin d’apporter la réponse à différentes questions. on peut les formuler selon :
- comment ?
- quand ?
- quelles métadonnées ?
- quelle signature ?
- quel scellement ?
- quel cryptage ?
- quel format ?
- quelle responsabilité ?
- quels contrôles humain ou informatique ?
- quel processus d’intégration dans le système ?
- quels accès ?
- quelles durées de rétention ?
- quel sort final ?
- quelle réversibilité ou migration ?
Quels sont les 20 points d’analyse de risque du Guide ?
Ce premier chapitre, du fait qu’il s’agit d’un Guide d’application, décline pragmatiquement les actions en sous chapitres qui sont eux mêmes présentés en 2 parties :
1. Les sujets à prendre en compte :
Pour exemple le sous chapitre 5.2.5 nommé “menaces externes”.
On y trouve une pré-liste de points à documenter, comme :
- Intrusion externe non autorisée dans le système de gestion RM
- Exploitation de vulnérabilités non surveillées entraînant une dégradation des informations
- Intrusion dans les espaces de stockage (matériel ou SI)
- Cyber-terrorisme...
2. Une check-list à compléter et personnaliser selon votre contexte et destinées à aider le professionnel à poser les bonnes questions, comme pour exemple toujours le sous-chapitre 5.2.5 :
- Des mesures de sécurité sont-elles mises en place pour protéger le système documentaire des accès non autorisés et des actions malveillantes?
- Les sauvegardes critiques sont-elles conservées dans un espace isolé hors du réseau standard, de sorte qu'une attaque malveillante ne puisse pas détruire le contenu via un seul point d’intrusion ?
Du coup quels sont les 20 points d’évaluation qui correspondent à chaque point de risque ?
Dans ce chapitre, on retrouve les méthodes d’évaluation des risques habituels de la famille des ISO 31000 mais qui sont ici appliqués au records management. L’intérêt est la mise à disposition des professionnels des matrices et tableaux opératoires dans lesquels ont retrouve les critères comme la probabilité (occurrence), les catégories d’impact (4 niveaux proposés).
Un registre des événements signalés doit-il être tenu ?
Le chapitre 7 expose des exemples d’enregistrement de signalements qui sont à noter dans un registre à jour (identifiant, nommage, dates, exposé, évaluation des impacts et du coût, exposé du traitement et de la mitigation, date de la dernière évaluation. C’est évidemment une action critique d’autant qu’elle constitue le pivot pour le bon fonctionnement de la “roue de Deming” (PDCA) indispensable à tout dispositif de management de systèmes.
Quelles sont les recommandations ?
Au plan méthodologique, nous accompagnons nos clients sur la base de cette approche à 3 niveaux (analyse, évaluation, registre). A notre expérience, les 20 points et critères ont systématiquement besoin d’être adaptés et simplifiés en fonction du métier, du secteur public ou privé, du périmètre et de la maturité en matière de management des risques voire de management “par” les risques.
A votre avis : y a-t-il donc bien un RM (records management) dans le RM (risks management) ?
Pour plus d'informations, n'hésitez pas à nous contacter : infos@serda.com. L'équipe Serda Conseil se fera un plaisir de répondre à vos questions. Suivez-nous sur Linkedin pour ne rien manquer de notre actualité.