Skills Campus - Audit & ConsultingSkills Campus - Audit & ConsultingSkills Campus - Audit & Consulting

ISO 27001 : Guide Complet de l’Évaluation des Risques de Sécurité de l’Information

L’évaluation des risques constitue le cœur battant de tout Système de Management de la Sécurité de l’Information (SMSI) conforme à l’ISO 27001. Sans une analyse rigoureuse des menaces pesant sur vos actifs informationnels, il est impossible de déployer des contrôles de sécurité pertinents et proportionnés.

Ce guide complet vous présente une méthodologie éprouvée en 7 étapes pour réaliser une évaluation des risques ISO 27001 efficace, vous permettant de protéger vos données critiques et d’obtenir votre certification.

Introduction : Pourquoi l’Évaluation des Risques est au Cœur de l’ISO 27001

L’ISO 27001 est la norme internationale de référence pour la sécurité de l’information. Contrairement à des approches prescriptives qui imposent des contrôles fixes, elle repose sur une philosophie d’analyse des risques : chaque organisation doit identifier ses propres vulnérabilités et menaces pour déployer les mesures de protection adaptées.

L’évaluation des risques permet de :

  • Identifier les actifs informationnels critiques de votre organisation
  • Comprendre les menaces et vulnérabilités qui les affectent
  • Mesurer l’impact potentiel et la probabilité de ces risques
  • Prioriser les investissements en sécurité selon un critère rationnel
  • Démontrer une approche systématique lors de l’audit de certification

La clause 6.1.2 de l’ISO 27001:2022 exige explicitement qu’une organisation établisse et maintienne un processus d’évaluation des risques de sécurité de l’information. Cette évaluation doit être documentée, reproductible et régulièrement mise à jour.

Étape 1 : Établir un Cadre de Gestion des Risques

Définir votre méthodologie

Avant de commencer l’identification des risques, vous devez établir un cadre formel qui définit comment votre organisation va gérer les risques de sécurité de l’information.

Les éléments clés à définir :

Approche qualitative ou quantitative : Allez-vous évaluer les risques avec des échelles descriptives (faible/moyen/élevé) ou avec des valeurs numériques chiffrées ? L’approche qualitative est plus simple et suffisante pour la plupart des organisations.

Critères d’évaluation : Définissez les facteurs d’impact que vous allez mesurer (confidentialité, intégrité, disponibilité), ainsi que les échelles de probabilité et d’impact que vous utiliserez.

Appétence pour le risque : Déterminez le niveau de risque que votre organisation est prête à accepter. C’est un élément stratégique qui doit être validé par la direction.

Rôles et responsabilités : Qui identifie les risques ? Qui les évalue ? Qui décide des traitements ? Clarifiez ces rôles dès le début.

Aligner sur ISO 31000

Nous recommandons de vous appuyer sur la norme ISO 31000 qui fournit un cadre générique de management des risques parfaitement compatible avec l’ISO 27001. Elle offre des principes, un processus et une terminologie structurés.

Votre méthodologie doit être documentée dans une politique ou procédure de gestion des risques SI, validée par la direction.

Étape 2 : Identifier les Scénarios de Risques et les Actifs

Deux approches complémentaires

Il existe deux principales approches pour identifier les risques de sécurité de l’information :

Approche par les actifs (Asset-based)

Commencez par établir un inventaire exhaustif de vos actifs informationnels :

  • Données et informations : bases de données clients, propriété intellectuelle, documents confidentiels
  • Applications : ERP, CRM, applications métier critiques
  • Infrastructure : serveurs, réseaux, équipements de sécurité
  • Personnes : compétences clés, administrateurs système
  • Processus : processus métier dépendants du SI

Pour chaque actif, identifiez :

  • Sa valeur pour l’organisation
  • Les menaces qui pourraient l’affecter (cyberattaque, panne, erreur humaine, désastre naturel)
  • Les vulnérabilités existantes (logiciels non patchés, absence de chiffrement, contrôles d’accès faibles)

Approche par scénarios (Scenario-based)

Partez de scénarios de risques concrets qui pourraient impacter votre organisation :

  • Ransomware chiffrant vos données de production
  • Vol de données clients par un employé malveillant
  • Attaque DDoS rendant vos services indisponibles
  • Divulgation accidentelle d’informations confidentielles
  • Espionnage industriel par un concurrent

Cette approche est plus rapide et souvent plus parlante pour les parties prenantes métier.

Notre recommandation : combinez les deux approches. Commencez par les scénarios les plus critiques, puis complétez avec une revue systématique des actifs pour ne rien oublier.

Utiliser l’Annexe A comme checklist

L’Annexe A de l’ISO 27001:2022 liste 93 contrôles de sécurité répartis en 4 thèmes. Utilisez cette liste comme un guide pour identifier systématiquement les domaines de risques potentiels :

  • Organisationnel : politiques de sécurité, organisation des rôles
  • Personnes : sensibilisation, gestion des accès
  • Physique : sécurité des locaux, protection du matériel
  • Technologique : gestion des vulnérabilités, cryptographie, sécurité réseau

Étape 3 : Analyser les Risques (Impact et Probabilité)

Une fois les risques identifiés, vous devez les analyser pour comprendre leur niveau de criticité.

Évaluer l’impact

L’impact représente les conséquences négatives si le risque se matérialise. Évaluez l’impact selon plusieurs dimensions :

Confidentialité : Quel serait l’impact d’une divulgation non autorisée de cette information ?

  • Mineur : informations publiques
  • Modéré : informations internes
  • Majeur : données clients
  • Critique : secrets commerciaux

Intégrité : Quelles seraient les conséquences d’une modification ou destruction de ces données ?

  • Mineur : reconstitution facile
  • Modéré : perte de temps significative
  • Majeur : impact opérationnel important
  • Critique : impossibilité de fonctionner

Disponibilité : Quel serait l’impact d’une indisponibilité du système ou des données ?

  • Mineur : gêne temporaire
  • Modéré : ralentissement activité
  • Majeur : arrêt d’activité partiel
  • Critique : arrêt complet des opérations

Considérez également les impacts financiers, réglementaires (amendes RGPD), réputationnels et contractuels.

Évaluer la probabilité

La probabilité mesure la vraisemblance que le risque se produise. Prenez en compte :

  • Les menaces actuelles : ce type d’attaque est-il fréquent dans votre secteur ?
  • Les vulnérabilités existantes : avez-vous des protections en place ?
  • L’attractivité de la cible : vos données intéressent-elles les cybercriminels ?
  • L’historique : ce type d’incident s’est-il déjà produit ?

Utilisez une échelle simple :

  • Rare : probabilité < 10% sur 3 ans
  • Possible : probabilité 10-40% sur 3 ans
  • Probable : probabilité 40-70% sur 3 ans
  • Quasi-certain : probabilité > 70% sur 3 ans

Calculer le niveau de risque

Combinez impact et probabilité pour obtenir le niveau de risque, généralement représenté dans une matrice :

Impact Mineur Modéré Majeur Critique
Quasi-certain M E E E
Probable F M E E
Possible F F M E
Rare F F M M
F = Faible | M = Moyen | E = Élevé
Cette matrice vous permet de prioriser visuellement vos risques.

Étape 4 : Évaluer les Risques Selon Votre Appétence

L’évaluation consiste à comparer le niveau de risque calculé avec vos critères d’acceptation prédéfinis.

Risques acceptables : Niveau de risque suffisamment faible pour être accepté en l’état, sans mesures supplémentaires. Typiquement les risques « Faibles » de votre matrice.

Risques nécessitant un traitement : Tous les risques « Moyens » et « Élevés » doivent faire l’objet d’un plan de traitement pour les réduire à un niveau acceptable.

Cette évaluation doit être documentée dans un registre des risques qui centralise :

  • La description de chaque risque
  • Les actifs concernés
  • Les menaces et vulnérabilités
  • L’évaluation (impact, probabilité, niveau)
  • Le traitement envisagé
  • Le responsable du risque (risk owner)

Ce registre est un document vivant qui sera régulièrement mis à jour.

Étape 5 : Traiter les Risques (Accepter, Réduire, Éviter, Transférer)

Pour chaque risque identifié, vous devez définir une stratégie de traitement. L’ISO 27001 reconnaît 4 options :

1. Réduire le risque (Mitigation)

C’est l’option la plus courante : mettre en place des mesures de sécurité pour diminuer soit la probabilité, soit l’impact du risque.

Exemples :

  • Déployer un antivirus et un pare-feu (réduit la probabilité d’infection malware)
  • Implémenter des sauvegardes automatiques quotidiennes (réduit l’impact d’une perte de données)
  • Former les utilisateurs au phishing (réduit la probabilité de compromission)
  • Mettre en place l’authentification multi-facteurs (réduit la probabilité d’accès non autorisé)

Les contrôles à mettre en œuvre sont choisis dans l’Annexe A ou peuvent être des mesures spécifiques à votre contexte.

2. Accepter le risque (Acceptance)

Si le niveau de risque résiduel est dans votre zone d’acceptation, ou si le coût des mesures est disproportionné par rapport au bénéfice, vous pouvez décider d’accepter le risque.

Attention : L’acceptation des risques doit être une décision formelle de la direction, documentée et justifiée. On ne peut pas « accepter » un risque par négligence.

3. Éviter le risque (Avoidance)

Modifier l’activité pour éliminer complètement le risque.

Exemples :

  • Ne pas stocker de données de cartes bancaires (évite le risque de vol de ces données)
  • Ne pas offrir de service accessible depuis Internet (évite les risques d’attaques externes)
  • Renoncer à un projet trop risqué

Cette option n’est pas toujours possible car elle peut impacter le modèle d’affaires.

4. Transférer le risque (Transfer)

Partager le risque avec une tierce partie, généralement par le biais d’une assurance ou d’un contrat.

Exemples :

  • Souscrire une cyber-assurance
  • Externaliser l’hébergement à un cloud provider certifié ISO 27001
  • Faire appel à un MSSP (Managed Security Service Provider)

Le transfert ne supprime pas le risque mais en partage les conséquences financières.

Documenter le plan de traitement

Pour chaque risque nécessitant un traitement, documentez :

  • Le(s) contrôle(s) à implémenter
  • Le responsable de la mise en œuvre
  • L’échéance de mise en œuvre
  • Le budget alloué
  • Le niveau de risque résiduel attendu

Ce plan de traitement des risques (Risk Treatment Plan) est un livrable clé pour l’audit ISO 27001.

Étape 6 : Mettre en Œuvre les Contrôles de l’Annexe A

Une fois votre plan de traitement défini, passez à l’implémentation concrète des contrôles de sécurité.

Sélectionner les contrôles pertinents

L’Annexe A de l’ISO 27001:2022 contient 93 contrôles organisés en 4 catégories. Vous n’êtes pas obligé de tous les implémenter : sélectionnez ceux qui sont pertinents pour traiter vos risques identifiés.

Quelques contrôles essentiels fréquemment sélectionnés :

  • A.5.1 Politiques de sécurité de l’information : Documenter votre SMSI
  • A.5.15 Contrôle d’accès : Gérer qui accède à quoi
  • A.5.23 Sécurité dans l’utilisation des services cloud
  • A.8.2 Droits d’accès privilégiés : Protéger les comptes administrateurs
  • A.8.5 Authentification sécurisée : MFA, politiques de mots de passe robustes
  • A.8.7 Protection contre les malwares : Antivirus, EDR
  • A.8.11 Sauvegarde : Sauvegardes régulières et testées
  • A.8.16 Gestion des vulnérabilités techniques : Patch management
  • A.8.23 Filtrage Web : Protection contre les sites malveillants

Créer une Déclaration d’Applicabilité (SoA)

La Statement of Applicability est un document obligatoire qui :

  • Liste les 93 contrôles de l’Annexe A
  • Indique pour chacun s’il est applicable ou non dans votre contexte
  • Justifie les choix (référence aux risques traités)
  • Décrit l’état d’implémentation

La SoA est l’un des documents les plus scrutés lors de l’audit de certification.

Étape 7 : Surveiller et Réviser Régulièrement les Risques

La gestion des risques n’est jamais terminée. Le paysage des menaces évolue constamment, de nouvelles vulnérabilités apparaissent, et votre organisation change.

Révisions régulières

Planifiez des révisions de votre évaluation des risques :

  • Révision complète annuelle : réévaluez l’ensemble du registre des risques
  • Révisions ciblées trimestrielles : focus sur les risques élevés et les changements majeurs
  • Révisions ad hoc : en cas d’incident, de changement organisationnel important ou de nouvelle menace

Indicateurs de suivi

Mettez en place des indicateurs (KRI – Key Risk Indicators) pour surveiller l’évolution de vos risques :

  • Nombre de tentatives d’intrusion détectées
  • Taux de systèmes non patchés
  • Incidents de sécurité par mois
  • Pourcentage d’utilisateurs formés à la sécurité

Amélioration continue

Les résultats des audits internes, des tests de sécurité (pentests) et des incidents doivent alimenter votre évaluation des risques. C’est le cycle PDCA (Plan-Do-Check-Act) en action.

Les Pièges à Éviter dans Votre Évaluation des Risques

Piège 1 : Évaluation trop théorique
Ne vous contentez pas de remplir des tableaux. Impliquez les responsables métier, les équipes IT et la direction pour obtenir une vision réaliste des risques.

Piège 2 : Analyse insuffisante
Prendre le temps d’identifier les menaces et vulnérabilités. Une analyse bâclée conduit à des contrôles inadaptés.

Piège 3 : Registre figé
Le registre des risques doit évoluer en permanence. Un registre qui ne bouge pas depuis des mois n’a plus de valeur.

Piège 4 : Manque de priorisation
Avec des ressources limitées, concentrez-vous sur les risques les plus critiques plutôt que de disperser vos efforts.

Piège 5 : Déconnexion avec les contrôles
Chaque contrôle implémenté doit répondre à au moins un risque identifié. Évitez de déployer des mesures « parce qu’il faut » sans lien avec votre analyse.

Conclusion : Construire une Approche Proactive de la Sécurité

L’évaluation des risques ISO 27001 n’est pas un exercice bureaucratique mais un outil stratégique pour protéger les actifs informationnels de votre organisation de manière rationnelle et proportionnée.

En suivant cette méthodologie en 7 étapes, vous :

  • Obtenez une vision claire et partagée de vos risques cyber
  • Priorisez vos investissements sécurité selon un critère objectif
  • Démontrez une approche professionnelle lors de l’audit ISO 27001
  • Réduisez concrètement votre exposition aux cybermenaces
  • Renforcez la confiance de vos clients et partenaires

L’évaluation des risques est le fondement de votre SMSI. Investissez le temps et l’expertise nécessaires pour la réaliser correctement : c’est ce qui différencie un SMSI efficace d’un simple exercice de conformité.

Besoin d’accompagnement pour votre évaluation des risques ISO 27001 ? Notre équipe d’experts en sécurité de l’information et d’auditeurs certifiés Lead Auditor ISO 27001 vous accompagne dans toutes les étapes de votre projet de certification. Contactez-nous pour une évaluation préliminaire gratuite.