Gérer les risques pour mieux protéger : pourquoi l’Enterprise Security Risk Management (ESRM) d’ASIS est indispensable pour les gestionnaires en sécurité

Fri, 27 Jun 2025 15:43:57 -0400

Clarté. Protection. Responsabilisation. Ces trois piliers définissent notre mission chez Hagal Sécurité. Ils s’appliquent parfaitement à l’approche ESRM — Enterprise Security Risk Management — promue par ASIS International. Mais qu’est-ce que l’ESRM, et pourquoi les gestionnaires en sécurité devraient-ils impérativement l’adopter?

Qu’est-ce que l’ESRM?

L’Enterprise Security Risk Management est une approche intégrée de la gestion des risques en sécurité. Plutôt que de traiter la sécurité comme une fonction isolée, l’ESRM l’intègre dans la stratégie globale de l’organisation. Il s’agit de gérer les risques liés à la sécurité comme tout autre risque d’entreprise, en les reliant directement aux actifs, aux processus et aux objectifs organisationnels.

L’approche ESRM repose sur quatre principes fondamentaux :

Aligner la sécurité sur les objectifs organisationnels : chaque décision de sécurité doit appuyer les résultats attendus par l’organisation.
Responsabiliser les propriétaires d’actifs : les gestionnaires opérationnels doivent être impliqués dans la gestion des risques affectant leurs activités.
Assigner clairement les responsabilités en sécurité : les rôles et responsabilités doivent être définis et partagés.
Appuyer les décisions sur les risques : les actions doivent être prises en fonction de l’évaluation réelle des menaces, des vulnérabilités et des impacts potentiels.

Comment ça marche?

Il y a trois étapes principales à suivre pour le mettre en oeuvre :

Comprendre et documenter le contexte organisationnel (mission & vision, valeurs fondamentales, environnement opérationnel, parties prenantes)
Établir les fondations (gestion holistique des risques relation avec les parties prenantes transparence, gouvernance)
Lancer le cycle continu de l'ESRM (voir ci-bas)

Le cycle ESRM : une démarche structurée

L’ESRM n’est pas une politique statique. C’est un cycle d’amélioration continue, composé de cinq étapes clés :

Identification des actifs critiques
On commence par cartographier les ressources à protéger. Il peut s’agir d’un bâtiment, d’un processus logistique, d’un système d’information ou d’un groupe de personnes.
Évaluation des risques
Chaque actif est analysé pour identifier les menaces auxquelles il est exposé, ses vulnérabilités, la probabilité d’un incident, et les conséquences possibles. On obtient ainsi un classement des risques par niveau de criticité.
Traitement des risques
On détermine les mesures à prendre : réduire le risque, le transférer (ex. : assurance), l’accepter (s’il est tolérable), ou le supprimer. Ces décisions doivent tenir compte des ressources disponibles et des priorités stratégiques.
Mise en œuvre des mesures de sécurité
Les contrôles (procédures, équipements, formations, changements organisationnels) sont déployés. Le tout est documenté, budgété et communiqué clairement aux parties prenantes.
Suivi et amélioration continue
L’efficacité des mesures est évaluée régulièrement. Des indicateurs de performance sont mis en place, les incidents sont analysés, les plans sont mis à jour. Ce suivi permet d’adapter les stratégies de sécurité à l’évolution des risques et de l’organisation.

Pourquoi l’ESRM est-il essentiel pour les gestionnaires en sécurité?

L’adoption de l’ESRM permet aux gestionnaires en sécurité de :

Passer d’une posture réactive à une approche proactive, en identifiant les vulnérabilités avant qu’elles ne deviennent des incidents.
Clarifier leur rôle au sein de la direction en montrant comment la sécurité contribue directement à la performance organisationnelle.
Mieux prioriser les investissements en sécurité, en les basant sur l’analyse de risques plutôt que sur des tendances technologiques.
Favoriser la collaboration interfonctionnelle, en responsabilisant les autres secteurs dans la protection des actifs dont ils ont la charge.
Renforcer la résilience de l’organisation, en structurant la gestion des risques à long terme, avec des indicateurs, des boucles de rétroaction et une gouvernance claire.

Envie d'en parler?

Prenez une minute pour prendre rendez-vous avec moi!