Risques
Manager ses risques pour les réduire
Pour obtenir une vue d’ensemble claire de votre exposition aux menaces cyber et aux attaques, nous réalisons une analyse approfondie des risques au sein de votre organisation.
Cette cartographie des risques, à la fois globale et spécifique aux métiers, fournit un support essentiel aux décideurs pour arbitrer les enjeux de sécurité de manière ciblée. Elle permet ainsi de définir un plan de traitement des risques avec des actions correctives pertinentes, adaptées et proportionnées
Etablissement du contexte de l'analyse de risque
Définir le cadre, le contexte, les critères de base et l'acceptabilité des risques
- Identifier les exigences des parties prenantes : Il est crucial d’identifier les exigences de base des parties prenantes et de s’assurer de la conformité à celles-ci. Cela inclut l’identification de tous les documents de référence qui définissent les règles et les moyens de maîtrise applicables au domaine d’application de l’appréciation des risques liés à la sécurité de l’information
- Définir les critères de risques : L’organisme doit définir ses critères de risque, c’est-à-dire les références qui lui permettront d’évaluer l’importance des risques identifiés. Les critères de risque sont fondés sur les objectifs de l’organisme, ainsi que sur les contextes externe et interne.
- Analyser le contexte interne et externe : La norme ISO 27005:2022 met l’accent sur l’importance de rassembler des informations sur les contextes externes et internes pour l’appréciation des risques liés à la sécurité de l’information
- Choisir une méthode d’appréciation du risque appropriée : Il est essentiel de choisir une approche et des méthodes de gestion des risques en cohérence avec celles utilisées pour gérer les autres risques de l’organisme. La méthode choisie doit être documentée et garantir des résultats cohérents, valides et comparables. La norme suggère deux approches principales : sur les évènements (EbiosRM) ou sur les biens
- Documenter les informations relatives au contexte : La norme ISO 27001 exige la conservation d’informations documentées sur le processus d’appréciation du risque et ses résultats (ISO 27005). Il est donc important de documenter toutes les informations collectées et les décisions prises lors de l’établissement du contexte
Appréciation des risques : Identification
Identifier et décrire les risques potentiels qui pourraient affecter la réalisation des objectifs
- Recherche, reconnaissance et description des risques : L’identification des risques consiste à trouver, reconnaître et décrire les risques qui pourraient affecter l’organisation.
- Identification des sources de risque : Il faut identifier les sources de risque, c’est-à-dire tout élément qui, seul ou combiné à d’autres, peut engendrer un risque. Ces sources peuvent être humaines, environnementales ou techniques.
- Identification des événements potentiels : L’identification des risques implique également l’identification des événements potentiels, qui sont les actions ou les situations qui peuvent se produire et avoir des conséquences négatives sur les objectifs de sécurité de l’information.
- Identification des conséquences potentielles : Il est crucial d’identifier les conséquences potentielles de ces événements, c’est-à-dire les impacts négatifs qui pourraient se produire si les événements se concrétisent.
- Approche basée sur les événements: Cette approche consiste à identifier les scénarios stratégiques en considérant les sources de risque et leur impact sur les parties prenantes pour atteindre l’objectif souhaité.
- Approche basée sur les biens: Cette approche identifie les scénarios opérationnels, qui sont détaillés en termes de biens, de menaces et de vulnérabilités.
APPRÉCIATION DES RISQUES : Analyse et Evaluation
Comprendre la nature des risques et déterminer leur niveau de risque
- Comprendre le type de risque : L’analyse des risques nécessite de comprendre la nature du risque, c’est-à-dire de déterminer s’il est intentionnel, accidentel ou environnemental (naturel).
- Identifier les causes et les sources du risque : Il faut identifier les causes et les sources du risque pour comprendre son origine et les facteurs qui peuvent le déclencher.
- Évaluer la vraisemblance : L’analyse des risques implique une estimation de la vraisemblance que l’événement se produise, en prenant en compte la fréquence d’apparition des sources de risque, leur capacité à exploiter les vulnérabilités et les motivations derrière l’attaque.
- Évaluer la gravité des conséquences : Il faut évaluer la gravité des conséquences potentielles, en tenant compte de l’impact sur les opérations de l’organisation, la perte de données, les dommages financiers et la réputation.
- Déterminer le niveau de risque : Le niveau de risque est généralement calculé en combinant l’appréciation de la vraisemblance et l’appréciation des conséquences
- Comparaison avec les critères d’acceptation du risque: Le niveau de risque de chaque risque est comparé aux seuils d’acceptation définis par l’organisme lors de la phase de contexte. Cette comparaison permet de déterminer si un risque peut être accepté en l’état, ou s’il nécessite un traitement.
Traitement des risques
Mettre en oeuvre des mesures concrètes pour gérer les risques
- Sélection des options de traitement: Le traitement des risques commence par le choix d’une ou plusieurs options pour chaque risque à traiter. Les options possibles sont : Refus, Modification, Partage et Prise de risque
- Détermination des moyens de maîtrise: Une fois les options de traitement sélectionnées, il faut déterminer les moyens de maîtrise à mettre en œuvre pour chaque risque. Un moyen de maîtrise est une action ou un ensemble d’actions visant à maintenir ou modifier un risque. Il peut s’agir de processus, de politiques, de dispositifs, de pratiques ou de toute autre mesure permettant de réduire la vraisemblance ou les conséquences d’un risque.
- Comparaison avec les moyens de contrôle de l’ISO 27001: L’étape suivante consiste à comparer les moyens de maîtrise identifiés avec ceux listés dans l’Annexe A de la norme ISO/IEC 27001:2022. Cette comparaison permet de s’assurer qu’aucun moyen de maîtrise pertinent n’a été oublié.
- Préparation de la déclaration d’applicabilité (DdA): La DdA documente les moyens de maîtrise jugés nécessaires pour traiter les risques, justifie leur inclusion et indique leur état de mise en œuvre.
- Formulation du plan de traitement du risque: Le plan de traitement du risque formalise les actions à entreprendre pour traiter chaque risque identifié. Il s’agit d’un plan d’action concret qui détaille les mesures à prendre, les ressources à allouer et les responsabilités de chacun.
- Approbation du plan: Le plan de traitement du risque doit être approuvé par les propriétaires du risque avant sa mise en œuvre.
- Acceptation du risque résiduel: Après la mise en œuvre du plan de traitement, il est important d’évaluer le risque résiduel, c’est-à-dire le risque qui subsiste malgré les mesures prises. Si le risque résiduel est jugé acceptable, il peut être accepté. Sinon, il faudra envisager des mesures de traitement complémentaires