Pourquoi ISO 27005 ?
La gestion des risques est au cœur de toute sécurité de l’information. Sans comprendre les risques auxquels l’organisation fait face, il est impossible de prioriser efficacement les mesures. ISO 27005 fournit un cadre structuré pour faire exactement cela.
Lien avec NIS2 : L’article 21 de NIS2 exige des « politiques d’analyse des risques et de sécurité des systèmes d’information ». ISO 27005 fournit une méthode éprouvée pour répondre à cette exigence.
Le processus de gestion des risques
ISO 27005 décrit la gestion des risques comme un processus cyclique en six étapes principales :
- Établir le contexte Définir la portée et les critères de gestion des risques. Que faut-il protéger ? Quelles menaces et vulnérabilités sont pertinentes ? Quels critères de risque utiliser ? Comment définir un niveau de risque acceptable ?
- Identifier les risques Trouver, reconnaître et décrire les risques. Identifier les actifs (systèmes, données, processus), les menaces (ce qui peut mal se passer), les vulnérabilités (faiblesses qui peuvent être exploitées), et les contrôles existants.
- Analyser les risques Évaluer la probabilité et les conséquences de chaque risque. Quelle est la probabilité que la menace se réalise ? Quel sera l'impact sur la confidentialité, l'intégrité et la disponibilité ? Calculer le niveau de risque.
- Évaluer les risques Comparer les risques analysés aux critères de risque. Quels risques sont acceptables ? Lesquels nécessitent un traitement ? Prioriser en fonction du niveau de risque et de l'appétit au risque de l'organisation.
- Traiter les risques Choisir et mettre en œuvre des mesures pour les risques inacceptables. Quatre options principales : éviter (éliminer le risque), réduire (diminuer la probabilité ou les conséquences), transférer (assurance, externalisation), accepter (décision éclairée).
- Surveiller et réviser S'assurer que le traitement des risques fonctionne. Surveiller les changements dans le paysage des menaces. Réviser et mettre à jour l'évaluation des risques régulièrement. Apprendre des incidents.
Identification des risques en pratique
Identification des actifs
Commencez par lister ce qui doit être protégé :
Types d’actifs :
- Information — Données clients, secrets commerciaux, données personnelles
- Systèmes — Applications, bases de données, réseaux
- Infrastructure — Serveurs, centres de données, communication
- Processus — Processus critiques, processus de support
- Personnel — Personnes clés, compétences
Identification des menaces
Quelles menaces peuvent affecter les actifs ?
| Catégorie de menace | Exemples |
|---|---|
| Cyberattaques | Ransomware, phishing, DDoS, violation de données |
| Menaces internes | Erreurs involontaires, personnes malveillantes |
| Menaces physiques | Incendie, inondation, vol |
| Défaillances techniques | Pannes système, corruption, manque de capacité |
| Liées aux fournisseurs | Compromission fournisseur, interruption de service |
Identification des vulnérabilités
Quelles faiblesses peuvent être exploitées ?
- Systèmes non corrigés
- Mots de passe faibles
- Segmentation insuffisante
- Absence de chiffrement
- Journalisation inadéquate
- Sauvegarde insuffisante
Analyse des risques
Évaluation de la probabilité
| Niveau | Description | Fréquence |
|---|---|---|
| 1 - Improbable | Très rare | <1 fois par 10 ans |
| 2 - Faible | Peut survenir | 1 fois par 1-10 ans |
| 3 - Moyen | Survient parfois | 1 fois par an |
| 4 - Élevé | Survient régulièrement | Plusieurs fois par an |
| 5 - Très élevé | Attendu | Mensuel ou plus |
Évaluation des conséquences
| Niveau | Description | Impact |
|---|---|---|
| 1 - Négligeable | Impact minimal | <10 k€, aucun impact service |
| 2 - Mineur | Impact limité | 10-100 k€, perturbation courte |
| 3 - Modéré | Impact significatif | 100 k€-1 M€, jours |
| 4 - Grave | Impact majeur | 1-10 M€, semaines |
| 5 - Catastrophique | Critique pour l’activité | >10 M€, mois |
Matrice des risques
| Négligeable | Mineur | Modéré | Grave | Catastrophique | |
|---|---|---|---|---|---|
| Très élevé | Moyen | Élevé | Élevé | Critique | Critique |
| Élevé | Faible | Moyen | Élevé | Élevé | Critique |
| Moyen | Faible | Faible | Moyen | Élevé | Élevé |
| Faible | Faible | Faible | Faible | Moyen | Moyen |
| Improbable | Faible | Faible | Faible | Faible | Moyen |
Interprétation : Les risques critiques et élevés nécessitent un traitement immédiat. Les moyens nécessitent un plan d’action. Les faibles peuvent être acceptés avec surveillance.
Traitement des risques
Éliminer le risque en ne réalisant pas l'activité, en supprimant le système, ou en choisissant une autre solution. Exemple : Arrêter un système legacy non sécurisé.
Mettre en œuvre des contrôles qui diminuent la probabilité ou les conséquences. Exemple : Installer un pare-feu, chiffrer les données, former le personnel.
Déplacer le risque vers un tiers par l'assurance ou l'externalisation. Exemple : Cyber-assurance, fournisseur cloud avec SLA.
Décision éclairée de vivre avec le risque. Documenter la décision et le responsable. Surveiller le risque en continu.
Documentation
Registre des risques
Un registre des risques doit contenir :
| Champ | Description |
|---|---|
| ID Risque | Identifiant unique |
| Description | Quel est le risque ? |
| Actif | Quel actif est affecté ? |
| Menace | Quelle menace ? |
| Vulnérabilité | Quelle vulnérabilité ? |
| Probabilité | 1-5 |
| Conséquence | 1-5 |
| Niveau de risque | Calculé |
| Traitement | Éviter/réduire/transférer/accepter |
| Action | Que faire ? |
| Responsable | Qui possède le risque ? |
| Statut | Ouvert/en cours/fermé |
| Date de révision | Quand réviser le risque ? |
Erreurs courantes
« Cyberattaques » comme un risque. Décomposer en scénarios spécifiques pour une analyse significative.
Les risques doivent être évalués en tenant compte des mesures déjà mises en œuvre.
L'IT ne peut pas évaluer seule les conséquences métier. L'activité doit participer.
La gestion des risques est continue, pas un projet annuel.
Comment Securapilot peut aider
Le module de gestion des risques de Securapilot s’appuie sur ISO 27005 :
- Processus structuré — Identification et évaluation guidées des risques
- Registre des risques — Gestion centralisée de tous les risques
- Matrice des risques — Présentation visuelle du paysage des risques
- Plans de traitement — Suivi des actions
- Tableau de bord — Vue d’ensemble pour la direction
- Historique — Traçabilité complète dans le temps
Réservez une démo et voyez comment nous pouvons soutenir votre gestion des risques.
Questions fréquentes
ISO 27005 est-elle obligatoire ?
Non, ISO 27005 est une norme d'orientation, pas une exigence certifiable. Mais NIS2 et ISO 27001 exigent la gestion des risques, et ISO 27005 fournit une méthode établie pour répondre à ces exigences.
Comment ISO 27005 s'articule-t-elle avec ISO 27001 ?
ISO 27001 exige la gestion des risques (clause 6.1.2) mais ne spécifie pas la méthode. ISO 27005 fournit des orientations détaillées sur la façon dont la gestion des risques peut être mise en œuvre.
À quelle fréquence les évaluations de risques doivent-elles être effectuées ?
Au moins annuellement, mais aussi lors de changements majeurs dans l'activité, l'environnement informatique ou le paysage des menaces. La surveillance continue des risques est recommandée.
Quelle est la différence entre évaluation des risques et gestion des risques ?
L'évaluation des risques fait partie de la gestion des risques. La gestion des risques est l'ensemble du processus, de l'établissement du contexte à la surveillance et à la révision. L'évaluation des risques est l'étape où les risques sont identifiés, analysés et évalués.
