Ce site internet utilise des cookies. Voir notre politique de cookies
Fermer

ISO 27001 - Evaluation des risques

 

La norme ISO 27001 est la norme internationale décrivant les spécifications d’un système de gestion de la sécurité de l’information (ISMS). Il s’agit d’une approche basée sur les bonnes pratiques en matière de sécurité de l’information et prenant en compte les personnes, les processus et les technologies. L’évaluation et la gestion des risques de sécurité de l’information sont au cœur de la norme ISO 27001.

 

Cinq étapes simples vers une évaluation des risques ISO 27001 efficace

Etablir un cadre de gestion des risques

Il s’agit des règles gouvernant la façon dont vous souhaitez identifier les risques, les personnes auxquelles vous souhaitez attribuer la responsabilité des risques, l’impact des risques sur la confidentialité, l’intégrité et la disponibilité de l’informations et les méthodes de calcul de l’impact estimé et la probabilité que le risque survienne. Une méthodologie formelle d’évaluation des risques doit aborder quatre problématiques et doit être validée par les cadres supérieurs :

  • Critères de sécurité
  • Echelle de risque
  • Goût du risque
  • Evaluation des risques basés sur le scénario - ou sur les actifs

Identifier les risques

L’identification des risques pouvant affecter la confidentialité, l’intégrité et la disponibilité des informations est la tâche la plus longue du process d’évaluation des risques. IT Governance recommande d’opter pour un processus d’évaluation des risques basée sur les actifs. Développer une liste des actifs informationnels est un bon point de départ. Il sera plus simple de partir d’une liste existante comprenant les copies papier des informations, les fichiers électroniques, les médias amovibles, les appareils mobiles et les intangibles tels que la propriété intellectuelle.

Analyse des risques

Identifier les menaces et les faiblesses de chaque actif. Par exemple, la menace peut être « vol d’un appareil mobile », et la faiblesse associée « pas de politique mise en place concernant l’utilisation d’appareils mobiles ». Attribuez une valeur d’impact et de probabilité selon vos critères de risques.

Evaluer les risques

Vous devrez mesure chacun des risques par rapport aux niveaux prédéterminés d’acceptabilité des risques et prioriser les risques devant être traités et dans quel ordre.

Sélectionner les options de traitement des risques

Il y a quatre différentes façons de traiter les risques :

  • 1. ‘Eviter’ le risque en l'éliminant complètement.
  • 2. ‘Modifier’ le risque en mettant en place des contrôles de sécurité.
  • 3. ‘Partager’ le risque avec une tierce partie (via une assurance ou en sous-traitant).
  • 4. ‘Conserver’ le risque (si le risque correspond au critère d'acceptation des risques).
 
 
Téléchargez votre guide gratuit sur l'évaluation des risques

 

Compiler les rapports de risques

La norme ISO 27001 requière de la part de l’entreprise qu’elle mette en place un ensemble de rapports basés sur l’évaluation des risques, à des fins d’audits et de certification. Les deux rapports suivants sont les plus importants :

  • Déclaration d’applicabilité (SoA)
    La déclaration d’applicabilité a pour but de créer une liste de contrôles comme recommandé par l’Annexe A de la norme ISO/IEC 27001 :2013, ainsi qu’un commentaire expliquant si le contrôle a, oui ou non, été mis en place et une justification de son inclusion ou de son exclusion.

  • Plan de traitement des risques (RTP)
    Le plan de traitement des risques décrit la façon dont l’organisation prévoit de gérer les risques identifiés dans l’évaluation des risques.

 

Réviser, contrôler et auditer

La norme ISO 27001 requière de la part de l’entreprise qu’elle revoit, mette à jour et améliore son ISMS de manière continue afin de s’assurer qu’il fonctionne de manière optimale et qu’il s’adapte à un environnement où les menaces changent continuellement.

Un des aspects de la révision et des tests est l’audit interne. Il requière de la part du manager de l’ISMS qu’il produise un ensemble de rapports fournissant la preuve que les risques sont traités de manière adéquate.

La certification accréditée est quant à elle un autre moyen encore plus efficace pour les entreprises d’obtenir l’assurance que leur plan de traitement des risques fonctionne comme prévu.

 

Comment fonctionne une évaluation des risques ISO 27001

Un ISMS est base sur les conclusions d’une évaluation des risques. Les entreprises doivent mettre en place un ensemble de contrôles permettant de minimiser les risques identifiés.

Les contrôles recommandés par la norme ISO 27001 ne sont pas seulement des solutions technologiques mais couvrent également le personnel et les processus de l’entreprise. L’Annexe A couvrent 114 contrôles concernant la gestion de la sécurité de l’information y compris le contrôle des accès physiques, les politiques de pare-feu, les programmes de sensibilisation du personnel aux questions de sécurité, les procédures de contrôle des menaces, les procédures de gestion des incidents et le chiffrement.

 

Les contrôles de l’Annexe A rentrent dans 14 catégories :

  • A.5 Politiques relatives à la sécurité de l’information.
  • A.6 L’organisation de la sécurité de l’information.
  • A.7 La sécurité des Ressources Humaines.
  • A.8 La gestion des actifs.
  • A.9 Les contrôles d’accès.
  • A.10 Cryptographie.
  • A.11 La sécurité physique et environnementale.
  • A.12 La sécurité opérationnelle.
  • A.13 La sécurité des communications.
  • A.14 Les systèmes d’acquisition, le développement et la maintenance.
  • A.15 Les relations fournisseurs.
  • A.16 La gestion des incidents relatifs à la sécurité de l’information.
  • A.17 Les aspects de sécurité de l’information de la gestion de la continuité des activités.
  • A.18 La conformité.

 

Les évaluations des risques sont menées à travers toute l’organisation. Elles couvrent tous les risques possibles liés à l’exposition des informations face à la probabilité de matérialisation de ces risques ainsi que leur impact potentiel. Une fois l’évaluation des risques terminée, l’entreprise doit décider comment elle compte gérer le limiter ces risques selon l’allocation des ressources et des budgets.

 

Normes d'évalaution des risques

Un certain nombre d’autres normes de sécurité de l’information et d’évaluation des risques supportent la norme ISO 27001 :

  • ISO/IEC 27005:2011 – Guide sur la gestion des risques relatifs à la sécurité de l’information.
  • ISO/IEC 31000:2009 – Principes et lignes directrices concernant la gestion des risques.
  • ISO/IEC 31010:2009 – Norme internationale concernant les techniques d’évaluation des risques.

 

GRATUIT : Livre Vert sur l’évaluation des risques et la norme ISO 27001

Téléchargez ce Livre Vert pour en savoir plus et pour éclaircir les problématiques liées aux processus d’évaluation des risques.

 

 

Commençons votre projet ISO 27001 d’évaluation des risques dès maintenant

IT Governance propose une large gamme de solutions d’évaluation des risques abordables, faciles à utiliser et prêtes à mettre en place.

ISO 27001 Ressources d’évaluation des risques