🇬🇧 English version
ISO 2700110 min de lecture

Évaluation des risques ISO 27001 : Guide complet du processus

L'évaluation des risques est au cœur de l'ISO 27001. Elle guide votre sélection de contrôles et façonne l'ensemble de votre SMSI. Ce guide vous accompagne à travers le processus complet d'évaluation des risques.

Points clés

Point Résumé
Exigée par Clauses 6.1.2 (définir le processus), 8.2 (réaliser périodiquement), 8.3 (implémenter le traitement)
Processus en 4 étapes Établir le contexte → Identification des risques → Analyse des risques → Évaluation des risques
Options de traitement Modifier (implémenter des contrôles), Accepter, Éviter, ou Partager (transférer)
Livrables Registre des risques, plan de traitement des risques, Déclaration d'Applicabilité
Fréquence Évaluation initiale + revues annuelles + lors de changements significatifs

Réponse rapide : L'évaluation des risques est obligatoire pour l'ISO 27001. Identifiez les actifs informationnels, les menaces et les vulnérabilités, puis évaluez la probabilité et l'impact. Choisissez les options de traitement (modifier/accepter/éviter/partager) et documentez dans votre registre des risques et Déclaration d'Applicabilité.

Pourquoi l'évaluation des risques est importante

Exigences ISO 27001

L'évaluation des risques n'est pas optionnelle. C'est une exigence fondamentale :

Clause Exigence
6.1.2 Définir et appliquer un processus d'évaluation des risques
8.2 Réaliser des évaluations des risques à intervalles planifiés
8.3 Implémenter le plan de traitement des risques

Valeur business

Au-delà de la compliance, l'évaluation des risques apporte :

Valeur Description
Décisions éclairées Savoir où investir en sécurité
Priorisation des ressources Se concentrer sur ce qui compte le plus
Adhésion du management Justifier les investissements sécurité
Preuves d'audit Démontrer une approche systématique

Framework d'évaluation des risques

Vue d'ensemble

Framework d'évaluation des risques ISO 27001 :

1. Établir le contexte :

  • Définir le périmètre et les critères
  • Fixer les seuils d'acceptation du risque

2. Identification des risques :

  • Identifier les actifs
  • Identifier les menaces
  • Identifier les vulnérabilités
  • Identifier les conséquences

3. Analyse des risques :

  • Évaluer la probabilité
  • Évaluer l'impact
  • Calculer le niveau de risque

4. Évaluation des risques :

  • Comparer aux critères
  • Prioriser les risques
  • Déterminer le besoin de traitement

5. Traitement des risques :

  • Sélectionner l'option de traitement
  • Choisir les contrôles
  • Documenter dans la SoA

Étape 1 : Établir le contexte

Définir le périmètre

Avant d'évaluer les risques, établissez les limites :

Question Réponse nécessaire
Quels systèmes sont inclus ? Liste des systèmes dans le périmètre
Quelles données sont couvertes ? Types de données et classification
Quels emplacements ? Périmètre géographique
Quels processus ? Processus métier

Définir les critères de risque

Échelle de probabilité (Exemple) :

Niveau Note Description
1 Rare Moins d'une fois tous les 5 ans
2 Improbable Une fois tous les 2-5 ans
3 Possible Une fois par an
4 Probable Plusieurs fois par an
5 Quasi-certain Mensuel ou plus

Échelle d'impact (Exemple) :

Niveau Note Financier Opérationnel Réputation
1 Négligeable <10K€ Minutes Minimal
2 Mineur 10K-50K€ Heures Limité
3 Modéré 50K-250K€ Jours Modéré
4 Majeur 250K-1M€ Semaines Significatif
5 Sévère >1M€ Mois Sévère

Seuil d'acceptation du risque :

Niveau de risque Acceptation
Faible (1-4) Généralement acceptable
Moyen (5-12) Décision du management requise
Élevé (15-25) Non acceptable, traitement obligatoire

Étape 2 : Identification des risques

Identification des actifs

Identifiez ce que vous protégez :

Actifs informationnels :

Catégorie Exemples
Données clients PII, informations de paiement, données d'utilisation
Données business Registres financiers, contrats
Propriété intellectuelle Code source, algorithmes
Données opérationnelles Logs, configurations

Actifs de support :

Catégorie Exemples
Matériel Serveurs, laptops, équipements réseau
Logiciels Applications, systèmes d'exploitation
Services Services cloud, outils SaaS
Personnel Employés, prestataires

Template de registre des actifs :

ID Actif Nom de l'actif Type Propriétaire Classification Emplacement
A001 Base de données clients Données CTO Confidentiel AWS RDS
A002 Serveurs de production Infrastructure Lead DevOps Interne AWS EC2
A003 Code source PI Lead Engineering Confidentiel GitHub

Identification des menaces

Identifiez ce qui pourrait mal se passer :

Catégorie de menace Exemples
Délibérées Hacking, malware, attaque interne, vol
Accidentelles Mauvaise configuration, erreur humaine, perte de données
Environnementales Incendie, inondation, coupure électrique
Techniques Panne système, bugs logiciels

Menaces courantes pour les entreprises SaaS :

Menace Cible Probabilité
Attaque phishing Employés Élevée
Compromission d'identifiants Comptes utilisateurs Élevée
Ransomware Tous les systèmes Moyenne
Vol de données interne Données clients Faible
Mauvaise configuration cloud Infrastructure Moyenne
Attaque DDoS Application Moyenne
Attaque supply chain Logiciels tiers Moyenne

Identification des vulnérabilités

Identifiez les faiblesses que les menaces pourraient exploiter :

Type de vulnérabilité Exemples
Techniques Systèmes non patchés, chiffrement faible, ports ouverts
Processus Pas de revue d'accès, gestion des changements faible
Personnel Manque de formation, pas de vérification des antécédents
Physiques Contrôles d'accès inadéquats, pas de surveillance

Identification des conséquences

Identifiez les impacts potentiels :

Conséquence Description
Brèche de confidentialité Divulgation non autorisée de données
Violation d'intégrité Modification ou corruption de données
Perte de disponibilité Indisponibilité système ou perte de données
Violation compliance Pénalités réglementaires
Dommage à la réputation Perte de confiance des clients
Perte financière Coûts directs, perte de revenus

Étape 3 : Analyse des risques

Calcul du risque

(Note : l'ISO/IEC 27001 ne prescrit pas de formule spécifique de calcul du risque ; les organisations doivent définir et justifier leur approche. Ce qui suit est une méthode couramment utilisée.)

Text 
Niveau de risque = Probabilité × Impact

Matrice de risque :

Probabilité / Impact 1 2 3 4 5
5 5 10 15 20 25
4 4 8 12 16 20
3 3 6 9 12 15
2 2 4 6 8 10
1 1 2 3 4 5

Niveaux de risque : Faible (1-4), Moyen (5-12), Élevé (15-25)

Exemple d'analyse des risques

ID Risque Menace Actif Probabilité Impact Niveau de risque
R001 Attaque phishing Identifiants employés 4 4 16 (Élevé)
R002 Mauvaise configuration cloud Données clients 3 5 15 (Élevé)
R003 Vol de données interne Données clients 2 5 10 (Moyen)
R004 Attaque DDoS Disponibilité application 3 3 9 (Moyen)
R005 Vol de laptop Données corporate 3 2 6 (Moyen)

Étape 4 : Évaluation des risques

Comparer aux critères

Niveau de risque Traitement requis ?
Élevé (15-25) Oui, traitement obligatoire
Moyen (5-12) Décision du management
Faible (1-4) Accepter, surveiller

Prioriser les risques

Classez les risques pour traitement selon :

  • Niveau de risque (plus élevé d'abord)
  • Impact business
  • Coût du traitement
  • Quick wins disponibles

Matrice de priorité :

Niveau de risque / Effort de traitement Effort faible Effort élevé
Risque élevé Priorité 1 Priorité 2
Risque faible Priorité 3 Priorité 4

Étape 5 : Traitement des risques

Options de traitement

Option Description Quand utiliser
Modifier Implémenter des contrôles pour réduire le risque Option la plus courante
Accepter Conserver le risque tel quel Risque dans la tolérance
Éviter Éliminer l'activité Risque inacceptable
Partager Transférer à un tiers Assurance, externalisation

Sélection des contrôles

Pour chaque risque à modifier, sélectionnez les contrôles appropriés :

Risque Traitement Contrôles
Attaque phishing Modifier Formation sensibilisation sécurité (6.3), MFA (8.5)
Mauvaise configuration cloud Modifier Gestion de configuration (8.9), Sécurité cloud (5.23)
Vol de données interne Modifier Screening (6.1), Contrôle d'accès (5.15), Surveillance (8.16)
Attaque DDoS Partager + Modifier Service protection DDoS, Redondance (8.14)
Vol de laptop Modifier Chiffrement (8.24), MDM (8.1)

Risque résiduel

Après traitement, évaluez le risque restant :

Effet du traitement du risque :

Risque inhérent Contrôles appliqués Risque résiduel
16 MFA, Formation 6
15 Gestion config 5
10 Contrôle d'accès 4
9 Service DDoS 3
6 Chiffrement 2

Template de registre des risques

Champs essentiels

Champ Objectif
ID Risque Identifiant unique
Description du risque Ce qui pourrait se passer
Actif affecté Ce qui est menacé
Menace Ce qui pourrait le causer
Vulnérabilité Quelle faiblesse existe
Probabilité Quelle vraisemblance (1-5)
Impact Quelle gravité (1-5)
Niveau de risque Score calculé
Décision de traitement Modifier/Accepter/Éviter/Partager
Contrôles Mesures de mitigation sélectionnées
Propriétaire du risque Qui est responsable
Risque résiduel Risque après traitement
Statut Ouvert/En cours/Fermé

Exemple d'entrée de registre des risques

Exemple d'entrée du registre des risques :

ID Risque : R001

Description : Attaque phishing réussie menant à une compromission d'identifiants

Actif : Identifiants employés, systèmes corporate
Menace : Phishing/ingénierie sociale
Vulnérabilité : Sensibilisation sécurité insuffisante

Évaluation du risque inhérent :

  • Probabilité : 4 (Probable)
  • Impact : 4 (Majeur)
  • Niveau de risque : 16 (Élevé)

Traitement : Modifier

Contrôles :

  • 6.3 Formation sensibilisation sécurité
  • 8.5 MFA sur tous les systèmes
  • 8.7 Sécurité email/anti-phishing

Évaluation du risque résiduel :

  • Probabilité : 2 (Improbable)
  • Impact : 3 (Modéré, contenu par MFA)
  • Risque résiduel : 6 (Moyen, Acceptable)

Propriétaire du risque : RSSI
Statut : Contrôles implémentés, surveillance
Date de revue : Trimestrielle

Erreurs courantes d'évaluation des risques

Erreur 1 : Complexité excessive

Problème : 500+ risques, impossible à gérer

Solution :

  • Se concentrer sur les risques significatifs
  • Regrouper les risques similaires
  • Utiliser une granularité appropriée
  • Viser 30-75 risques clés pour la plupart des organisations

Erreur 2 : Focus uniquement sur les actifs

Problème : Risque = "la base de données se fait pirater"

Solution :

  • Lier les menaces à des vulnérabilités spécifiques
  • Considérer les acteurs de menace et leurs motivations
  • Rendre les risques actionnables

Erreur 3 : Critères incohérents

Problème : Différentes personnes notent le même risque différemment

Solution :

  • Échelles clairement définies avec exemples
  • Exercices de calibration
  • Méthodologie cohérente

Erreur 4 : Set and forget

Problème : Le registre des risques devient obsolète

Solution :

  • Revues régulières (trimestriellement minimum)
  • Mise à jour après les incidents
  • Revue après changements significatifs
  • Intégration dans les processus business

Erreur 5 : Évaluation des risques de façade

Problème : Faire les gestes sans insight

Solution :

  • Se concentrer sur les conclusions actionnables
  • Connecter aux vraies préoccupations business
  • Utiliser les résultats pour les décisions
  • Reporter au management de manière significative

Évaluation des risques pour les auditeurs

Ce que les auditeurs recherchent

Exigence Preuve
Méthodologie définie Document de procédure d'évaluation des risques
Application cohérente Registre des risques suivant la méthodologie
Critères appropriés Échelles définies, seuils d'acceptation
Couverture complète Tous les actifs/menaces considérés
Mises à jour régulières Preuve de revue périodique
Décisions de traitement des risques Justification documentée
Déclaration d'Applicabilité Contrôles mappés aux risques

Constats d'audit courants

Constat Prévention
Méthodologie non documentée Écrire la procédure avant de commencer
Critères non définis Établir les échelles dès le départ
Registre des risques incomplet Identification systématique des actifs/menaces
Pas de preuve de revue Documenter les revues, garder l'historique
SoA non liée aux risques Mapper explicitement les contrôles aux risques

L'approche Bastion

Évaluation des risques simplifiée

Bastion simplifie l'évaluation des risques sans sacrifier la rigueur :

Défi Solution Bastion
Développement de méthodologie Méthodologie pré-construite, approuvée par les auditeurs
Identification des actifs Découverte automatisée via les intégrations
Identification des menaces Bibliothèque de menaces spécifique à l'industrie
Analyse des risques Scoring guidé avec calibration
Mapping des contrôles Recommandations de contrôles automatiques
Documentation Registre des risques avec piste d'audit complète

Guidance experte

Votre vCISO vous aide avec :

  • Facilitation de l'évaluation des risques
  • Scoring cohérent dans toute l'organisation
  • Niveau de détail approprié
  • Reporting au management
  • Préparation à l'audit

Besoin d'aide avec votre évaluation des risques ? Parlez à notre équipe →

Sources

← PrécédentCombien de temps prend l'ISO 27001 ?Suivant →Déclaration d'Applicabilité (SoA) ISO 27001 : Guide complet
Retour aux guides ISO 27001