Comment réaliser une analyse de risques conforme à la norme ISO 27001 ?

par Jougier | Oct 21, 2021 | ISO 27001 | 0 commentaires

Table des matières

 Méthode d’analyse de risques ISO 27001 : 7 étapes clés

 1. Définir la méthodologie
 2. Créer un inventaire des actifs
 3. Identifier les vulnérabilités et les menaces potentielles.
 4. Déterminez l’impact du risque.
 5. Créer un plan de traitement/de gestion des risques
 6. Compilation des rapports d’évaluation des risques
 7. Mettre en œuvre l’atténuation, la surveillance et le contrôle des risques
 Dois-je effectuer une analyse de risques ISO 27001 ?
 Protectam vous aide à réaliser une analyse de risques conforme à la norme ISO 27001
Réaliser une analyse de risques ISO 27001 est essentiel pour mettre en œuvre votre SMSI et
assurer la sécurité de l’information dans l’ensemble de l’entreprise. Une analyse de risques
va vous aider à évaluer vos risques de sécurité de l’information, à les classer par ordre de
priorité en fonction de la probabilité d’occurrence et de l’impact potentiel, et à trouver les
moyens les plus appropriés pour les minimiser ou les atténuer. Cet article décrit les
principales étapes pour réaliser une analyse de risques ISO 27001 pour vous aider à mettre
en place votre SMSI et à atteindre la conformité ISO 27001. Vous pouvez faire réaliser votre
analyse de risques par notre équipe pour vous assurer de présenter une analyse de risques
en tout point conforme à la norme ISO 27001 le jour de votre audit de certification.
FAIRE RÉALISER MON ANALYSE DE RISQUES PAR UN EXPERT

Méthode d’analyse de risques ISO 27001 : 7 étapes clés

1. Définir la méthodologie
La norme ISO 27001 n’impose pas de méthodologie d’analyse de risques standardisée, vous
pouvez donc définir votre propre méthode. Pour commencer, examinez le contexte de votre
organisation en prenant en compte :
 les principaux objectifs de sécurité de l’information que vous souhaitez atteindre avec la
norme ISO 27001
 vos obligations commerciales, juridiques et de conformité
 Les buts et objectifs généraux de l’entreprise
 Les attentes et les besoins des parties prenantes.
Déterminez si vous allez utiliser une approche quantitative ou qualitative pour évaluer le
risque. Une évaluation qualitative est subjective. Elle se concentre sur l’identification des
risques, la mesure de leur probabilité d’occurrence et leur impact potentiel. Une approche
quantitative utilise des données vérifiables pour analyser les effets des risques identifiés.
Utilisez la méthode la plus pertinente pour vos objectifs de sécurité de l’information.
Identifiez également les règles et les échelles d’évaluation des risques, les critères de risque,
la méthode de mesure des risques, les niveaux de risque acceptables, les critères
d’acceptation des risques, etc. Toutes ces informations doivent guider votre méthodologie
d’évaluation des risques.
 2. Créer un inventaire des actifs
Vous pouvez effectuer une analyse de risques pour la norme ISO 27001 de deux manières :
 Fondée sur les actifs : Se concentre sur les actifs, c’est-à-dire le risque pour les informations.
 Fondée sur des scénarios : Se concentre sur les circonstances qui peuvent entraîner une
violation des données.
Dans une analyse de risques basée sur des scénarios, les utilisateurs sont plus enclins à
identifier les situations à risque, ce qui accélère souvent le processus d’identification des
risques. Cependant, l’inconvénient est que les utilisateurs passent souvent à côté de certains
éléments qui peuvent créer un risque. Par conséquent, l’identification des risques est
incomplète et aboutit à un faux sentiment de sécurité, qui peut être dangereux. Avec
l’approche basée sur les actifs, l’identification des risques pertinents prend généralement
plus de temps. Cependant, elle permet d’obtenir une vue plus complète de l’état des
risques, c’est pourquoi vous devriez envisager cette méthode. Commencez par dresser
l’inventaire de vos actifs. Celui-ci doit inclure tous vos :
 Matériel informatique
 Logiciels
 Serveurs
 Bases de données d’information
 Dispositifs amovibles
 Dispositifs mobiles
 Propriété intellectuelle
Pour dresser la liste, vérifiez auprès de tous les propriétaires des actifs, c’est-à-dire les
personnes ou entités responsables du contrôle de l’utilisation, de la maintenance et de la
sécurité des actifs.
3. Identifier les vulnérabilités et les menaces potentielles.
Une fois que vous avez le registre des actifs, commencez à analyser le risque pour chaque
actif. Identifiez les vulnérabilités potentielles, comme une faiblesse qu’une menace pourrait
exploiter. Par exemple, une faille ou une vulnérabilité de sécurité dans un logiciel ou un
système d’exploitation peut rendre votre organisation vulnérable aux pirates qui pourraient
s’infiltrer et compromettre vos actifs ou voler vos données.
4. Déterminez l’impact du risque.
Après avoir identifié les vulnérabilités et les menaces, analysez les risques qui leur sont
associés. Tous les risques n’ont pas la même gravité, et vous ne voudrez peut-être pas
mettre en œuvre des mesures ou des contrôles pour atténuer, éliminer ou prévenir chaque
risque. C’est pourquoi il est essentiel de noter les risques en fonction de leur probabilité
d’occurrence et des dommages qu’ils peuvent potentiellement causer. Créez une matrice
d’évaluation des risques basée sur ces facteurs pour comparer pour identifier et hiérarchiser
les risques nécessitant une action. Examinez comment la confidentialité, l’intégrité et la
disponibilité des données (CID) pourraient être affectées par chaque risque. Considérez
également les différentes implications de chaque risque, notamment les implications
commerciales, juridiques, contractuelles et réglementaires. Pour commencer, demandez-
vous :
 Quel pourrait être le coût de remplacement d’un actif compromis ?
 Quel est le potentiel de perte financière (perte de revenus, amendes, etc.) ?
 Un incident de sécurité pourrait-il nuire à notre réputation ?

5. Créer un plan de traitement/de gestion des risques

Déterminez maintenant comment vous allez traiter chaque risque identifié. Vous avez le
choix entre plusieurs options :
 Éviter le risque : Prendre des mesures contre les circonstances qui en sont la cause. Par
exemple, refuser un fournisseur qui ne présente pas suffisamment de garanties de sécurité
 Réduire le risque : Appliquer des contrôles de sécurité pour réduire la probabilité
d’occurrence et réduire le potentiel de dommages. Par exemple, mettre en œuvre un pare-
feu ou une solution de détection et de réponse aux points de terminaison.
 Partager le risque : Partager le risque avec un tiers. Par exemple, souscrire une assurance
cybersécurité.
 Accepter le risque : Accepter le risque s’il entre dans les critères d’acceptation des risques
établis ou si le coût de son atténuation serait supérieur au risque de dommage.
Selon la norme ISO 27001, vous devez identifier des propriétaires de risques pour tous les
risques. Cette entité est responsable de l’approbation de tout plan d’atténuation des risques
et de l’acceptation du niveau de risque résiduel. Dans le cadre du plan d’atténuation, mettez
en œuvre les contrôles décrits dans l’annexe A de la norme ISO 27001. Par exemple, l’annexe
A.12.2 exige des défenses pour atténuer le risque d’infection par des logiciels malveillants.
6. Compilation des rapports d’évaluation des risques
Pour l’audit et la certification, vous devez préparer des rapports sur vos conclusions et
mettre en œuvre un plan d’action. Préparez les documents suivants : La déclaration
d’applicabilité :
 La DdA documente les différents contrôles ISO 27001 que vous allez mettre en œuvre pour
faire face aux risques identifiés.
 Chaque contrôle doit avoir sa propre entrée.
 Liste de tous les contrôles que vous avez mis en place et pourquoi.
 Expliquez pourquoi certains contrôles ont été omis.
 Elle sera utilisée par l’auditeur de certification comme ligne directrice.
Le plan de traitement des risques :
 Le PTR fournit un résumé de chaque risque identifié, les actions proposées pour traiter
chaque risque et les parties responsables.
7. Mettre en œuvre l’atténuation, la surveillance et le contrôle des risques
Le plan de traitement des risques doit également inclure les stratégies d’atténuation, les
responsabilités, le budget, le calendrier, etc. La norme ISO 27001 vous impose de revoir et
de mettre à jour régulièrement le SMSI mis en place après l’analyse de risques. Recherchez
des moyens de l’améliorer pour vous assurer qu’il fonctionne comme prévu.
Dois-je effectuer une analyse de risques ISO 27001 ?
L’analyse de risques ISO 27001 fournit un moyen systématique d’évaluer les risques de votre
organisation, de comprendre comment ils peuvent avoir un impact sur votre sécurité de
l’information et de mettre en œuvre un plan d’action pour atténuer leur impact. L’ISO 27001
se concentre à la fois sur l’évaluation et le traitement des risques, de sorte que vous pouvez
non seulement découvrir quels incidents pourraient nuire à votre sécurité de l’information,
mais aussi déterminer les moyens les plus appropriés pour les éviter ou les traiter. En outre,
vous pouvez également évaluer la priorité de chaque risque. Ainsi, au lieu de perdre du
temps, des efforts ou de l’argent à traiter tous les risques, vous pouvez concentrer vos
efforts sur les plus graves. Pour toutes ces raisons, une analyse de risques ISO 27001 peut
être bénéfique pour votre organisation. Que vous adoptiez ou non la norme ISO 27001 au
sein de votre organisation, l’analyse de risques n’est pas un simple exercice d’audit. Une
analyse de risques dynamique est un processus en temps réel dans lequel les risques sont
traités au fur et à mesure qu’ils sont identifiés. Ces risques sont également documentés pour
un suivi et un contrôle appropriés. La surveillance des risques est la responsabilité de chacun
au quotidien.
Protectam vous aide à réaliser une analyse de risques conforme à la norme ISO 27001
Si vous avez besoin d’aide pour évaluer vos risques de sécurité conformément à la norme
ISO 27001 , nos consultants, qui ont l’habitude de réaliser des analyses de risques conformes
aux standards du marché, peuvent produire l’analyse de risque que vous présenterez lors de
votre audit de certification