En résumé, l'objectif de l'ISO 27001 est assez simple. Identifier les incidents de sécurité qui pourraient affecter votre entreprise. Puis trouver les meilleurs moyens pour éviter que ces incidents ne se produisent ou pour en atténuer l'impact.
Les évaluations des risques sont essentielles à cet objectif. Sans elles, vous n'aurez pas les connaissances nécessaires pour construire un système de gestion de la sécurité de l'information, et encore moins pour obtenir la certification ISO 27001.
Dans cet article, nous vous exposerons le processus étape par étape pour réaliser une évaluation des risques selon l'ISO 27001.
Et nous partagerons quelques conseils, modèles et ressources pour vous aider à simplifier et rationaliser le processus en cours de route.
Qu'est-ce qu'une évaluation des risques selon l'ISO 27001?
Une évaluation des risques est une exigence de la norme ISO 27001. Si vous souhaitez obtenir la certification ISO 27001, vous devrez :
- Identifier les risques auxquels votre organisation est confrontée
- Déterminer la probabilité que chacun de ces risques se produise réellement
- Estimer l'impact potentiel sur votre entreprise
Un plan de traitement des risques implique de décider comment vous allez répondre à chaque risque pour sécuriser votre entreprise.
Ensemble, votre évaluation des risques et votre plan de traitement des risques constituent votre processus global de gestion des risques selon l'ISO 27001.
Les exigences de l'évaluation des risques selon l'ISO 27001 comprennent :
- Établir des critères définis pour l'évaluation des risques de sécurité de l'information
- Identifier les risques pour tous les actifs d'information entrant dans le champ d'application du SGSI
- Affecter des propriétaires à chaque risque
- Créer un processus d'évaluation des risques répétable et cohérent
Lectures recommandées
Coûts de la certification ISO 27001
Read MoreComment réaliser une évaluation des risques selon l'ISO 27001
Pour répondre aux exigences de la certification ISO 27001, votre procédure d'évaluation des risques selon l'ISO 27001 doit suivre ces étapes :
Choisir votre approche de gestion des risques
Comment allez-vous identifier et répondre aux risques de sécurité de l'information ? Comment allez-vous estimer la probabilité et l'impact ? Quel est le niveau de risque acceptable pour votre entreprise ?
En général, il existe deux approches pour l'évaluation des risques : qualitative et quantitative.
Avec une approche qualitative, vous passerez en revue différents scénarios et répondrez à des questions "et si" pour identifier les risques. Une approche quantitative utilise des données et des chiffres pour définir les niveaux de risque.
Certains cadres de gestion des risques communs incluent ISO 27005:2018, OCTAVE et NIST SP 800-30 Revision 1.
Quelle que soit l'approche ou la méthodologie que vous choisissez, la direction de l'entreprise doit être étroitement impliquée dans ce processus. Ils seront essentiels pour déterminer les critères de sécurité de base de votre organisation et le niveau de risque acceptable.
Et en établissant votre méthodologie de gestion des risques au niveau de l'entreprise, chaque département pourra suivre le même processus cohérent.
Identifier les risques
Commencez par une liste d'actifs informationnels, puis identifiez les risques qui pourraient affecter la confidentialité, l'intégrité et la disponibilité des données pour chacun d'eux. Vous devrez prendre en compte votre matériel (y compris les dispositifs mobiles), vos logiciels, vos bases de données d'informations et votre propriété intellectuelle.
Analyser les risques
Une fois que vous avez identifié un ensemble de risques, déterminez la probabilité potentielle de survenue de chacun d'eux et son impact sur l'entreprise. N'oubliez pas que l'impact n'est pas toujours monétaire — il peut s'agir d'un impact sur la réputation de votre marque et les relations avec les clients, d'un problème juridique ou contractuel, ou d'une menace pour votre conformité.
Attribuez à chaque risque une note de probabilité et d'impact. Sur une échelle de 1 à 10, quelle est la probabilité que l'incident se produise ? Quelle serait l'ampleur de son impact ? Ces scores vous aideront à hiérarchiser les risques à l'étape suivante.
Évaluer et hiérarchiser les risques
Aucune entreprise n'a de ressources illimitées. Vous devrez décider quels risques vous devez consacrer du temps, de l'argent et des efforts pour y remédier et lesquels relèvent de votre niveau de risque acceptable.
Maintenant que vous avez analysé la probabilité et l'impact de chaque risque, vous pouvez utiliser ces scores pour prioriser vos efforts de gestion des risques. Une matrice de risques peut être un outil utile pour visualiser ces priorités.
Compléter un plan de traitement des risques
Le plan de traitement des risques est un document essentiel pour la certification ISO 27001, et c'est un document que votre auditeur de certification souhaitera examiner. Il enregistre la manière dont votre organisation a décidé de répondre aux menaces identifiées dans votre évaluation des risques.
La norme ISO 27001 décrit quatre actions possibles :
- Traiter le risque avec des contrôles de sécurité qui réduisent la probabilité qu'il se produise
- Éviter le risque en empêchant les circonstances où il pourrait se produire
- Transférer le risque avec un tiers (c'est-à-dire, externaliser les efforts de sécurité à une autre entreprise, souscrire une assurance, etc.)
- Accepter le risque car le coût d'y remédier est supérieur aux dommages potentiels
ISO 27001 exige également que chaque risque ait un propriétaire établi. Le propriétaire sera responsable d'approuver votre plan de traitement pour ce risque et d'accepter tout risque résiduel.
Produire un rapport sur les risques
Votre auditeur de certification souhaitera probablement examiner des preuves que vous avez terminé votre processus de gestion des risques. Ces documents peuvent inclure un rapport d'évaluation des risques et un rapport de synthèse des risques.
Le rapport d'évaluation des risques ISO 27001 fournit un aperçu de votre processus d'évaluation des risques, y compris quels actifs informationnels vous avez évalués, quelle option de traitement des risques vous avez sélectionnée pour chaque risque identifié, et les scores de probabilité et d'impact pour chacun.
Le résumé des risques détaille les risques que votre organisation choisit de traiter après avoir terminé le processus de traitement des risques.
Revoir et surveiller les risques pour améliorer le SGSI
L'amélioration continue est l'une des idées centrales de la norme ISO 27001. Vous devrez rendre ces évaluations des risques un processus continu.
La surveillance et l'évaluation des risques doivent être incorporées dans les habitudes quotidiennes de votre équipe. Cela dit, la fréquence d'évaluation des risques formelle recommandée par ISO 27001 est une fois par an, de préférence lorsque vous réalisez votre audit interne.
Les auditeurs internes doivent prendre en compte tout nouveau risque qui est apparu et évaluer dans quelle mesure votre programme actuel de gestion des risques fonctionne pour protéger votre SGSI.
Modèle d'évaluation des risques ISO 27001
Obtenez votre exemplaire de notre modèle d'évaluation des risques ISO 27001.
Cette feuille de calcul modifiable vous guidera tout au long du processus de création d'un registre des actifs, d'attribution des propriétaires d'actifs et de risques, d'identification et de notation des risques, et de sélection de votre traitement des risques. Elle comprend une matrice de risques intégrée pour vous aider à visualiser rapidement les risques prioritaires et à élaborer votre plan de remédiation.
Simplifiez les évaluations des risques avec Secureframe
Vous voulez passer les feuilles de calcul?
Notre plateforme d'automatisation de la conformité vous guide tout au long du processus d'évaluation des risques et génère automatiquement un rapport de préparation à l'ISO 27001. Vous pourrez voir exactement à quel point vous êtes proche de l'obtention de la certification et obtenir des conseils pratiques pour combler les lacunes.
Demandez une démonstration avec l'un de nos experts produits dès aujourd'hui.