Un cadre de gestion des risques est créé par une entreprise pour mettre en place une série de règles pour ses pratiques de sécurité de l’information. Ces cadres décrivent une série de plans et d’instructions, qui peuvent ensuite être adaptés directement à l’organisation qui les utilise. Alors qu’un cadre de gestion des risques est généralement utilisé pour la sécurité informatique, des versions hybrides ou totalement non informatiques sont possibles avec très peu de modifications. En général, les étapes du cadre sont les mêmes, quelle que soit l’organisation qui le met en place.
La première étape d’un cadre de gestion des risques consiste à examiner le système en question. Il est important de connaître des détails tels que le nombre d’utilisateurs, les types d’informations stockées et les méthodes physiques utilisées pour accéder et sécuriser les systèmes. Plus un groupe dispose d’informations sur l’utilisation du système, plus il est facile de mettre en place des règles spécifiques qui s’appliquent à tous.
Après avoir collecté des informations, il est nécessaire d’établir une base de sécurité. Cette partie d’un cadre de gestion des risques crée essentiellement une frontière avec des informations sécurisées d’un côté et des informations non sécurisées de l’autre. A ce stade, soit tout le monde peut accéder à l’information, soit personne ne le peut. Puisqu’il s’agit d’une distinction tout ou rien, la section privée est généralement beaucoup plus grande que la section publique.
Ensuite, l’entreprise examine les utilisateurs des informations et commence à les diviser en groupes. Différents utilisateurs ont besoin d’accéder à différents types d’informations ; ainsi, un groupe aura besoin d’accéder à certaines données, mais pas à toutes les données. À ce stade, il est plus important que les groupes soient précis plutôt qu’efficaces. Des groupes similaires sont plus faciles à fusionner une fois que les paramètres complets sont établis.
Les groupes individuels sont associés à des types d’informations. Ce processus de correspondance est utilisé pour créer des tendances dans les données et empêcher les utilisateurs d’accéder à des informations auxquelles ils ne devraient pas accéder. Une fois les groupes établis et les informations appropriées attribuées, il est possible d’examiner les groupes et de trouver ceux qui ont un accès très similaire. La fusion de ces groupes à ce stade empêche tout accès inattendu et simplifie la phase de surveillance.
La dernière étape d’un cadre de gestion des risques consiste à surveiller le système. Une fois le système opérationnel, des problèmes de sécurité inattendus surgiront probablement. La phase de surveillance assure le suivi de ces problèmes et aide à les résoudre avant qu’ils ne deviennent un problème. Bien que cette phase soit continue après la mise en ligne du système, le nombre de problèmes de sécurité devrait commencer à diminuer après sa première utilisation. Si les problèmes de sécurité persistent, il y a probablement un problème avec une étape précédente et le cadre doit être réévalué.