Livres et vidéosLa norme ISO 27005Surveillance et revue des risques

Imprimé
E x t r a i ts du livre 54 €

La norme ISO 27005

Ajouter au panier
Gestion des risques liés à la sécurité de l'information
Jean-Charles PONS
Toute reproduction de ces
commerciales, est
Tous droits rese

1 avis

Revenir à la page d'achat du livre

Surveillance et revue des risques

Introduction
Entrées Actions Sorties

Toutes les informations sur les Les risques et leurs facteurs (c’est- Alignement continu de la gestion des
risques obtenues à partir des à-dire la valeur des actifs, les risques sur les objectifs
activités de gestion des risques. impacts, les menaces, les commerciaux de l’organisation et sur
vulnérabilités, la probabilité les critères d’acceptation des
d’occurrence) doivent être surveillés risques.
et examinés pour identifier tout
changement dans le contexte de
l’organisation à un stade précoce et
pour maintenir une vue d’ensemble
de l’image complète des risques.

La surveillance et la revue des risques sont, tout comme la communication sur les risques, un processus
transverse et continu. C’est pourquoi il convient de surveiller et d’examiner régulièrement les risques
pour s’assurer que les hypothèses les concernant et sur lesquelles repose l’évaluation du risque sont
toujours valides. Il s’agira également de s’assurer que les résultats attendus sont atteignables et sont en
bonne voie, que les techniques d’évaluation des risques sont correctement appliquées et que les
traitements sont efficaces.

Processus de surveillance et revue des risques

Le processus de surveillance et revue des risques est composé de cinq actions :

Le suivi des risques identifiés.

La surveillance des risques résiduels.
L’identification de nouveaux risques.
La garantie de l’exécution des plans d’actions.
L’évaluation de l’efficacité des plans d’actions.

Il s’agit d’un processus continu car les risques sont susceptibles d’évoluer au fur et à mesure que le
projet mûrit, que de nouveaux risques apparaissent ou disparaissent. Il est donc nécessaire d’établir et
de correctement définir la responsabilité de cette surveillance et de la revue des risques. Si un
changement significatif se produit, il conviendra d’identifier la gravité de l’incident et de déterminer si son
traitement doit suivre le processus et attendre la prochaine itération de l’analyse de risques, ou si une
intervention doit avoir lieu immédiatement. Il est parfois possible d’effectuer une analyse localisée et
modifier juste un traitement pour pallier le nouveau risque, sans pour autant changer tout le plan
d’actions.
Les objectifs de ce processus sont les suivants :
 S’assurer que les contrôles sont efficaces, qu’ils fonctionnent et qu’ils sont conçus correctement.
Obtenir sans cesse de nouvelles informations afin d’améliorer l’évaluation des risques.
Analyser et apprendre des incidents, des évènements, des changements, des tendances, des
succès et des échecs.
Détecter si le contexte change ou évolue, qu’il soit interne ou externe. Détecter également si les
critères de risque doivent être modifiés, s’il est nécessaire de redéfinir et réviser...

Ceci est un extrait du livre.

Acheter le livre Je m'abonne
Pour poursuivre votre lecture...

Surveillance et revue des facteurs de risques

ISO 27005 : 2011, clause 12.1 : Monitoring and review of risk factors
Les organisations doivent s’assurer que les éléments suivants sont surveillés en permanence :
- Nouveaux actifs entrés dans le périmètre de gestion des risques
- Modification nécessaire des valeurs des actifs, par ex. en raison de l’évolution des besoins de
l’entreprise
- Nouvelles menaces qui pourraient être actives à la fois à l’extérieur et à l’intérieur de
l’organisation et qui n’ont pas été évaluées
- Possibilité que des vulnérabilités nouvelles ou accrues permettent à des menaces de les
exploiter
- Vulnérabilités identifiées pour déterminer celles qui sont exposées à des menaces nouvelles ou
ré-émergentes.

Il ne faut pas considérer l’évaluation des risques comme quelque chose de statique. Un risque
précédemment évalué comme faible peut évoluer via de nouvelles menaces, de nouvelles vulnérabilités,
une probabilité plus élevée ou plus faible, ou encore une modification des conséquences qui y sont
liées. La revue des risques acceptés, qu’ils soient faibles ou forts, est primordiale. Il convient d’évaluer
leurs impacts cumulés, et s’ils ne rentrent plus dans les critères d’acceptabilité, il faudra alors revoir le
plan d’actions et les traiter à nouveau. D’autres changements sont également à surveiller, tels qu’un
changement de direction, une évolution au niveau juridique ou réglementaire (comme le Règlement
général sur la protection des données...

Ceci est un extrait du livre.

Acheter le livre Je m'abonne
Pour poursuivre votre lecture...

Surveillance et revue de la gestion des risques

Le processus de la gestion des risques de sécurité de l’information doit être continuellement surveillé,
révisé, amélioré et approprié afin de s’assurer que le contexte, les résultats de l’évaluation des risques,
les plans d’actions restent pertinents et adaptés. Les mesures mises en place doivent être surveillées
afin de s’assurer qu’elles sont toujours pertinentes et qu’elles répondent bien au besoin.
Pour rappel, les mesures peuvent être préventives, détectives ou correctives. En voici quelques
exemples :

Mesures préventives Mesures détectives Mesures correctives

Sensibilisation du personnel à la Caméras de surveillance Installation d’extincteurs

sécurité de l’information

Utilisation de matériaux ignifugés Détecteur de fumée Mise en place d’une équipe de

dans les bureaux gestion des incidents

Utilisation d’une authentification forte Système de détection d’intrusion Rachat d’une nouvelle machine
(IDS)

Chiffrement des données Supervision du parc informatique

Pour ce faire, l’organisation doit s’assurer que les ressources d’évaluation et de traitement du risque
sont disponibles en permanence, à savoir tous les documents produits lors de la gestion du risque, mais
aussi les acteurs associés.
Il est également nécessaire de vérifier régulièrement que les critères utilisés pour mesurer les risques
sont toujours valables et cohérents. Nous parlons ici de cohérence avec les objectifs, les stratégies et
les politiques de l’organisation. La surveillance et la revue doivent aborder a minima les points
suivants :...

Ceci est un extrait du livre.

Acheter le livre Je m'abonne
Pour poursuivre votre lecture...

Amélioration continue
Le processus de gestion des risques s’inscrit dans une démarche d’amélioration continue et doit être
revu régulièrement, d’autant plus lors de changements majeurs au sein de l’organisation. La mise en
œuvre d’un tel processus peut être fastidieuse, et il est préférable de commencer par un périmètre limité
que l’on étendra au fil des itérations. Les normes ISO n’imposent jamais une façon de faire. De ce fait,
l’organisation est libre d’utiliser la méthode de son choix, ou d’inventer la sienne, du moment que les
exigences des normes sont respectées.
Les normes ISO 27005, ISO 27001 et ISO 31000 font référence à la méthode PDCA (Plan, Do, Check,
Act) que nous avons déjà détaillée dans le chapitre Programme de gestion du risque. Nous citerons ci-
dessous d’autres méthodes d’amélioration continue que nous serons libres d’adopter, ou non.

1. Démarche Kaizen
Cette démarche japonaise a vu le jour dans les années 50 dans l’entreprise Toyota. Elle prône le
changement au sein d’une organisation au travers de petites améliorations répétées. Le mot « Kaizen »
est la contraction des mots « Kai » et « Zen » signifiants respectivement « Changement » et « Meilleur ».
Cette démarche repose sur plusieurs principes :

La remise en question, en considérant que le travail n’est jamais terminé et qu’il peut toujours être
optimisé.
La recherche de la durabilité, en gardant la même méthode de travail que l’on améliorera...

Ceci est un extrait du livre.

Acheter le livre Je m'abonne
Pour poursuivre votre lecture...

Conclusion
Les données traitées dans le processus de gestion des risques ne sont pas figées dans le temps mais
évoluent au quotidien. C’est pourquoi il est vital de surveiller et revoir ce processus en continu,
notamment lors de changements majeurs opérés au sein de l’organisation. Ceci s’inscrit dans la
démarche d’amélioration continue et permet ainsi de détecter des besoins et d’y apporter les traitements
suffisamment tôt pour ne pas réduire le niveau de qualité.