Comment rédiger la méthodologie d’évaluation et de traitement des risques conforme à la norme ISO 27001 ?

Lorsque vous entamez une démarche de certification ISO 27001, vous devez prouver votre conformité à l’aide d’une documentation appropriée.

L’évaluation et le traitement des risques est probablement la partie la plus complexe de la mise en œuvre de la norme ISO 27001. C’est la base de votre système de management de la sécurité de l’information (SMSI), cela implique donc une description complète et rigoureuse de la méthodologie adoptée pour réaliser votre gestion des risques.

Éléments de la procédure d’évaluation des risques ISO 27001

La clause 6.1.2 de la norme stipule ISO 27001 que les organisations doivent “définir et appliquer” un processus d’évaluation des risques.

L’appréciation des risques en matière de sécurité de l’information est un processus formel, piloté par la direction, qui se trouve au cœur de votre système de management de la sécurité de l’information (SMSI).

Voici les cinq étapes que nos consultants ISO 27001 suivent pour mener à bien une évaluation des risques.

Etape 1: Établissez un cadre de gestion des risques.

Analysez le contexte de votre organisation, pour atteindre les principaux objectifs de sécurité de l’information, vos obligations contractuelles et juridiques et de conformité, sans oublier les buts et enjeux commerciaux de l’entreprise.

Etape 2: Réalisez un inventaire des actifs.

Listez les actifs physiques et informationnels dans un inventaire ( Serveurs , Logiciels, Base documentaire, etc…).

Etape 3: Identifiez les risques sur les actifs.

Identifiez les risques sur les actifs d’un point de vue “impact technique” qui reposent sur trois principes, à savoir la confidentialité, l’intégrité et la disponibilité ( Exemple : une faille ou une vulnérabilité de sécurité dans un logiciel peut avoir un impact sur l’intégrité et la disponibilité des données ). Puis d’un point de vue “impact business“, qui prend en compte les pertes financières, et les dommages sur la réputation de l’organisation.

Etape 4: Analysez et évaluez les risques.

Au travers d’un Tableau d’évaluation des risques. Pour chaque critère nous allons déterminer le niveau de risque, puis calculer en fonction de l’impact et de la vraisemblance un score entre 0 et 4. Les valeurs 0, 1 et 2 indiquent des risques acceptables, alors que les valeurs 3 et 4 indiquent des risques inacceptables.

Les risques inacceptables doivent être traités.

Etape 5: Traitez les risques.

Le traitement des risques est mis en œuvre dans un Tableau de traitement des risques.

En copiant tous les risques identifiés comme inacceptables depuis le Tableau d’évaluation des risques réalisé précédemment, une ou plusieurs options de traitement doivent être sélectionnées pour les risques évalués à 3. Pour cela nous allons prendre par exemple des mesures contre les circonstances qui en sont la cause ( refuser un tiers qui ne présente pas suffisamment de garanties de sécurité. Vous pouvez également appliquer des contrôles de sécurité pour réduire le risque ( Un antivirus pour réduire la probabilité et les impacts d’un virus). De plus il est possible de partager le risque avec une autre organisation ( Assurance, Hébergeur… ), ou alors accepter le risque s’il entre dans les critères d’acceptation des risques.

Réalisation d’une évaluation des risques

Pour que l’évaluation des risques ISO 27001 soit réussie, elle doit refléter la vision de l’organisation sur la gestion des risques. De même, elle doit produire des “résultats cohérents, valides et comparables”. Elle doit être détaillée, et décrire qui est responsable de chaque tâche, quand elle doit être réalisée et dans quel ordre.

Voici une liste de points à retenir qui vous aideront à atteindre cette clause :

  • Procurez-vous un exemplaire de la norme ISO 31000 et étudiez-la attentivement.
  • Créez un processus de risque en utilisant cette norme.
  • Mettez vos opportunités dans votre processus d’amélioration.
  • Créez un critère de risque facile à utiliser.
  • Dressez la liste de vos risques et appliquez les critères de risque.
  • Utilisez l’annexe A de la norme ISO 27001 pour vous aider à déterminer les traitements des risques.
  • Réévaluez régulièrement les risques et les opportunités

Etre accompagné par un consultant certifié ISO 27001

Le processus d’évaluation des risques détermine les contrôles que vous devez déployer dans votre SMSI. Il conduit à la déclaration d’applicabilité, qui identifie les contrôles que vous déployez à la lumière de votre processus d’évaluation des risques.

Des documents supplémentaires peuvent vous aider lors de l’audit interne ou de certification.

Nos consultants certifiés ISO 27001 peuvent vous aider à produire :

  • Un rapport d’évaluation des risques, donnant un aperçu de l’évaluation, y compris les actifs pertinents, le traitement appliqué, ainsi que le niveau de risque.
  • Un document de synthèse des risques, détaillant le risque résiduel, c’est-à-dire les risques qui subsistent après le traitement des risques.
  • Un tableau de commentaires, joint à votre évaluation des risques, pour expliquer vos décisions de manière plus détaillée.