ISO 27001 - Evaluation des risques
La norme ISO 27001 est la norme internationale décrivant les spécifications d’un système de gestion de la sécurité de l’information (ISMS). Il s’agit d’une approche basée sur les bonnes pratiques en matière de sécurité de l’information et prenant en compte les personnes, les processus et les technologies. L’évaluation et la gestion des risques de sécurité de l’information sont au cœur de la norme ISO 27001.
Cinq étapes simples vers une évaluation des risques ISO 27001 efficace
Etablir un cadre de gestion des risques
Il s’agit des règles gouvernant la façon dont vous souhaitez identifier les risques, les personnes auxquelles vous souhaitez attribuer la responsabilité des risques, l’impact des risques sur la confidentialité, l’intégrité et la disponibilité de l’informations et les méthodes de calcul de l’impact estimé et la probabilité que le risque survienne. Une méthodologie formelle d’évaluation des risques doit aborder quatre problématiques et doit être validée par les cadres supérieurs :
- Critères de sécurité
- Echelle de risque
- Goût du risque
- Evaluation des risques basés sur le scénario - ou sur les actifs
Identifier les risques
L’identification des risques pouvant affecter la confidentialité, l’intégrité et la disponibilité des informations est la tâche la plus longue du process d’évaluation des risques. IT Governance recommande d’opter pour un processus d’évaluation des risques basée sur les actifs. Développer une liste des actifs informationnels est un bon point de départ. Il sera plus simple de partir d’une liste existante comprenant les copies papier des informations, les fichiers électroniques, les médias amovibles, les appareils mobiles et les intangibles tels que la propriété intellectuelle.
Analyser les risques
Identifier les menaces et les faiblesses de chaque actif. Par exemple, la menace peut être « vol d’un appareil mobile », et la faiblesse associée « pas de politique mise en place concernant l’utilisation d’appareils mobiles ». Attribuez une valeur d’impact et de probabilité selon vos critères de risques.
Evaluer les risques
Vous devrez mesure chacun des risques par rapport aux niveaux prédéterminés d’acceptabilité des risques et prioriser les risques devant être traités et dans quel ordre.
Sélectionner les options de traitement des risques
Il y a quatre différentes façons de traiter les risques :
- ‘Eviter’ le risque en l'éliminant complètement.
- ‘Modifier’ le risque en mettant en place des contrôles de sécurité.
- ‘Partager’ le risque avec une tierce partie (via une assurance ou en sous-traitant).
- ‘Conserver’ le risque (si le risque correspond au critère d'acceptation des risques).
Compiler les rapports de risques
La norme ISO 27001 requière de la part de l’entreprise qu’elle mette en place un ensemble de rapports basés sur l’évaluation des risques, à des fins d’audits et de certification. Les deux rapports suivants sont les plus importants :
- Déclaration d’applicabilité (SoA) - La déclaration d’applicabilité a pour but de créer une liste de contrôles comme recommandé par l’Annexe A de la norme ISO/IEC 27001 :2013, ainsi qu’un commentaire expliquant si le contrôle a, oui ou non, été mis en place et une justification de son inclusion ou de son exclusion.
- Plan de traitement des risques (RTP) - Le plan de traitement des risques décrit la façon dont l’organisation prévoit de gérer les risques identifiés dans l’évaluation des risques.
Réviser, contrôler et auditer
La norme ISO 27001 requière de la part de l’entreprise qu’elle revoit, mette à jour et améliore son ISMS de manière continue afin de s’assurer qu’il fonctionne de manière optimale et qu’il s’adapte à un environnement où les menaces changent continuellement.
Un des aspects de la révision et des tests est l’audit interne. Il requière de la part du manager de l’ISMS qu’il produise un ensemble de rapports fournissant la preuve que les risques sont traités de manière adéquate.
La certification accréditée est quant à elle un autre moyen encore plus efficace pour les entreprises d’obtenir l’assurance que leur plan de traitement des risques fonctionne comme prévu.
Les contrôles de l’Annexe A rentrent dans 14 catégories :
- A.5 Politiques relatives à la sécurité de l’information.
- A.6 L’organisation de la sécurité de l’information.
- A.7 La sécurité des Ressources Humaines.
- A.8 La gestion des actifs.
- A.9 Les contrôles d’accès.
- A.10 Cryptographie.
- A.11 La sécurité physique et environnementale.
- A.12 La sécurité opérationnelle.
- A.13 La sécurité des communications.
- A.14 Les systèmes d’acquisition, le développement et la maintenance.
- A.15 Les relations fournisseurs.
- A.16 La gestion des incidents relatifs à la sécurité de l’information.
- A.17 Les aspects de sécurité de l’information de la gestion de la continuité des activités.
- A.18 La conformité.
Les évaluations des risques sont menées à travers toute l’organisation. Elles couvrent tous les risques possibles liés à l’exposition des informations face à la probabilité de matérialisation de ces risques ainsi que leur impact potentiel. Une fois l’évaluation des risques terminée, l’entreprise doit décider comment elle compte gérer le limiter ces risques selon l’allocation des ressources et des budgets.
Normes d'évaluation des risques
Un certain nombre d’autres normes de sécurité de l’information et d’évaluation des risques supportent la norme ISO 27001 :
- ISO/IEC 27005:2011 – Guide sur la gestion des risques relatifs à la sécurité de l’information.
- ISO/IEC 31000:2009 – Principes et lignes directrices concernant la gestion des risques.
- ISO/IEC 31010:2009 – Norme internationale concernant les techniques d’évaluation des risques
Gratuit : Livre Vert sur l’évaluation des risques et la norme ISO 27001
Téléchargez ce Livre Vert pour en savoir plus et pour éclaircir les problématiques liées aux processus d’évaluation des risques.
Télécharger
Commençons votre projet ISO 27001 d’évaluation des risques dès maintenant
IT Governance propose une large gamme de solutions d’évaluation des risques abordables, faciles à utiliser et prêtes à mettre en place.
ISO 27001 Solutions d’évaluation des risques
Parler à un expert
Vous avez besoin d’aide ? Nous sommes là pour vous.
Demander à l’un de nos experts de vous rappeler ou contactez notre équipe de support pour obtenir plus d’informations.