La norme ISO 27001 est une norme internationale qui fournit des directives pour mettre en place un système de management de la sécurité de l’information (SMSI). La mise en œuvre de la norme ISO 27001 permet aux entreprises de mieux gérer et sécuriser leurs actifs informationnels, notamment la propriété intellectuelle, les données financières, les coordonnées des employés, les données clients et les informations confiées par des tiers.

En outre, les entreprises peuvent prouver qu’elles sont moins vulnérables aux incidents de sécurité informatique ou aux violations de données en obtenant la conformité ISO. Cette désignation peut renforcer leur réputation de fiabilité et réduire la probabilité de dommages financiers pouvant résulter d’un incident de cybersécurité.

Une procédure d’analyse de risques ISO 27001 constitue une base solide pour mettre en œuvre un SMSI et assurer la sécurité de l’information dans l’ensemble de l’entreprise. Une procédure d’analyse de risques solide peut vous aider à évaluer vos risques de sécurité de l’information, à les classer par ordre de priorité en fonction de la probabilité d’occurrence et de l’impact potentiel, et à trouver les moyens les plus appropriés pour les minimiser ou les atténuer.

Cet article décrit les principales étapes de la procédure d’analyse de risques ISO 27001 pour vous aider à mettre en place votre SMSI et à atteindre la conformité ISO 27001.

 

Vous pouvez faire réaliser votre analyse de risques par notre équipe pour vous assurer de présenter une analyse de risques en tous points conforme à la norme ISO 27001 le jour de votre audit de certification :

Faire réaliser mon analyse de risques par un expert

 

Méthode d’analyse de risques ISO 27001 : 7 étapes clés

1. Définir la méthodologie

La norme ISO 27001 n’impose pas de méthodologie d’analyse de risques standardisée, vous pouvez donc définir votre propre méthode. Pour commencer, examinez le contexte de votre organisation en prenant en compte :

  • les principaux objectifs de sécurité de l’information que vous souhaitez atteindre avec la norme ISO 27001
  • vos obligations commerciales, juridiques et de conformité
  • Les buts et objectifs généraux de l’entreprise
  • Les attentes et les besoins des parties prenantes.

Déterminez si vous allez utiliser une approche quantitative ou qualitative pour évaluer le risque. Une évaluation qualitative est subjective. Elle se concentre sur l’identification des risques, la mesure de leur probabilité d’occurrence et leur impact potentiel. Une approche quantitative utilise des données vérifiables pour analyser les effets des risques identifiés.

Utilisez la méthode la plus pertinente pour vos objectifs de sécurité de l’information. Identifiez également les règles et les échelles d’évaluation des risques, les critères de risque, la méthode de mesure des risques, les niveaux de risque acceptables, les critères d’acceptation des risques, etc. Toutes ces informations doivent guider votre méthodologie d’évaluation des risques.

 

2. Créer un inventaire des actifs

Vous pouvez effectuer une analyse de risques pour la norme ISO 27001 de deux manières :

  • Fondée sur les actifs : Se concentre sur les actifs, c’est-à-dire le risque pour les informations.
  • Fondée sur des scénarios : Se concentre sur les circonstances qui peuvent entraîner une violation des données.

Dans une analyse de risques basée sur des scénarios, les utilisateurs sont plus enclins à identifier les situations à risque, ce qui accélère souvent le processus d’identification des risques. Cependant, l’inconvénient est que les utilisateurs passent souvent à côté de certains éléments qui peuvent créer un risque. Par conséquent, l’identification des risques est incomplète et aboutit à un faux sentiment de sécurité, qui peut être dangereux.

Avec l’approche basée sur les actifs, l’identification des risques pertinents prend généralement plus de temps. Cependant, elle permet d’obtenir une vue plus complète de l’état des risques, c’est pourquoi vous devriez envisager cette méthode.

Commencez par dresser l’inventaire de vos actifs. Celui-ci doit inclure tous vos :

  • Matériel informatique
  • Logiciels
  • Serveurs
  • Bases de données d’information
  • Dispositifs amovibles
  • Dispositifs mobiles
  • Propriété intellectuelle

Pour dresser la liste, vérifiez auprès de tous les propriétaires des actifs, c’est-à-dire les personnes ou entités responsables du contrôle de l’utilisation, de la maintenance et de la sécurité des actifs.

 

3. Identifier les vulnérabilités et les menaces potentielles.

Une fois que vous avez le registre des actifs, commencez à analyser le risque pour chaque actif. Identifiez les vulnérabilités potentielles, comme une faiblesse qu’une menace pourrait exploiter. Par exemple, une faille ou une vulnérabilité de sécurité dans un logiciel ou un système d’exploitation peut rendre votre organisation vulnérable aux pirates qui pourraient s’infiltrer et compromettre vos actifs ou voler vos données.

 

4. Déterminez l’impact du risque.

Après avoir identifié les vulnérabilités et les menaces, analysez les risques qui leur sont associés. Tous les risques n’ont pas la même gravité, et vous ne voudrez peut-être pas mettre en œuvre des mesures ou des contrôles pour atténuer, éliminer ou prévenir chaque risque. C’est pourquoi il est essentiel de noter les risques en fonction de leur probabilité d’occurrence et des dommages qu’ils peuvent potentiellement causer.

Créez une matrice d’évaluation des risques basée sur ces facteurs pour comparer pour identifier et hiérarchiser les risques nécessitant une action. Examinez comment la confidentialité, l’intégrité et la disponibilité des données (CID) pourraient être affectées par chaque risque. Considérez également les différentes implications de chaque risque, notamment les implications commerciales, juridiques, contractuelles et réglementaires.

Pour commencer, demandez-vous :

  • Quel pourrait être le coût de remplacement d’un actif compromis ?
  • Quel est le potentiel de perte financière (perte de revenus, amendes, etc.) ?
  • Un incident de sécurité pourrait-il nuire à notre réputation ?

 

5. Créer un plan de traitement/de gestion des risques

Déterminez maintenant comment vous allez traiter chaque risque identifié. Vous avez le choix entre plusieurs options :

  • Éviter le risque : Prendre des mesures contre les circonstances qui en sont la cause. Par exemple, refuser un fournisseur qui ne présente pas suffisamment de garanties de sécurité
  • Réduire le risque : Appliquer des contrôles de sécurité pour réduire la probabilité d’occurrence et réduire le potentiel de dommages. Par exemple, mettre en œuvre un pare-feu ou une solution de détection et de réponse aux points de terminaison.
  • Partager le risque : Partager le risque avec un tiers. Par exemple, souscrire une assurance cybersécurité.
  • Accepter le risque : Accepter le risque s’il entre dans les critères d’acceptation des risques établis ou si le coût de son atténuation serait supérieur au risque de dommage.

Selon la norme ISO 27001, vous devez identifier des propriétaires de risques pour tous les risques. Cette entité est responsable de l’approbation de tout plan d’atténuation des risques et de l’acceptation du niveau de risque résiduel.

Dans le cadre du plan d’atténuation, mettez en œuvre les contrôles décrits dans l’annexe A de la norme ISO 27001. Par exemple, l’annexe A.12.2 exige des défenses pour atténuer le risque d’infection par des logiciels malveillants.

 

6. Compilation des rapports d’évaluation des risques

Pour l’audit et la certification, vous devez préparer des rapports sur vos conclusions et mettre en œuvre un plan d’action.

Préparez les documents suivants :

La déclaration d’applicabilité :

  • La DdA documente les différents contrôles ISO 27001 que vous allez mettre en œuvre pour faire face aux risques identifiés.
  • Chaque contrôle doit avoir sa propre entrée.
  • Liste de tous les contrôles que vous avez mis en place et pourquoi.
  • Expliquez pourquoi certains contrôles ont été omis.
  • Elle sera utilisée par l’auditeur de certification comme ligne directrice.

 

Le plan de traitement des risques :

  • Le PTR fournit un résumé de chaque risque identifié, les actions proposées pour traiter chaque risque et les parties responsables.

7. Mettre en œuvre l’atténuation, la surveillance et le contrôle des risques

Le plan de traitement des risques doit également inclure les stratégies d’atténuation, les responsabilités, le budget, le calendrier, etc.

La norme ISO 27001 vous impose de revoir et de mettre à jour régulièrement le SMSI mis en place après l’analyse de risques. Recherchez des moyens de l’améliorer pour vous assurer qu’il fonctionne comme prévu.

 

Dois-je effectuer une analyse de risques ISO 27001 ?

L’analyse de risques ISO 27001 fournit un moyen systématique d’évaluer les risques de votre organisation, de comprendre comment ils peuvent avoir un impact sur votre sécurité de l’information et de mettre en œuvre un plan d’action pour atténuer leur impact.

L’ISO 27001 se concentre à la fois sur l’évaluation et le traitement des risques, de sorte que vous pouvez non seulement découvrir quels incidents pourraient nuire à votre sécurité de l’information, mais aussi déterminer les moyens les plus appropriés pour les éviter ou les traiter.

En outre, vous pouvez également évaluer la priorité de chaque risque. Ainsi, au lieu de perdre du temps, des efforts ou de l’argent à traiter tous les risques, vous pouvez concentrer vos efforts sur les plus graves. Pour toutes ces raisons, une analyse de risques ISO 27001 peut être bénéfique pour votre organisation.

Que vous adoptiez ou non la norme ISO 27001 au sein de votre organisation, l’analyse de risques n’est pas un simple exercice d’audit. Une analyse de risques dynamique est un processus en temps réel dans lequel les risques sont traités au fur et à mesure qu’ils sont identifiés. Ces risques sont également documentés pour un suivi et un contrôle appropriés. La surveillance des risques est la responsabilité de chacun au quotidien.

 

Protectam vous aide à réaliser une analyse de risques conforme à la norme ISO 27001

Si vous avez besoin d’aide pour évaluer vos risques de sécurité conformément à la norme ISO 27001 , nos consultants, qui ont l’habitude de réaliser des analyses de risques conformes aux standards du marché, peuvent produire l’analyse de risque que vous présenterez lors de votre audit de certification.

Réserver un appel