Alter Mensa Alter Mensa
Analyse des risques
Détails
Clics : 647

 

Gestion des risques (ISO 27005)

  • La norme 27005 présente une démarche
  • Établissement du contexte de l’analyse des risques
  • Définition de l’appréciation des risques SSI
  • Choix pour le traitement du risque SSI
  • Acceptation du risque
  • Communication et concertation relative aux risques SSI
  • Surveillance et revue du risque en SSI.

 

  • Les limites:
  • L'organisation doit définir sa propre approche
  • Méthodes nécessitant souvent de la formation et non adaptables à toutes les situations
  • Dépendance vis-à-vis de la cartographie du SI : profondeur, étendue etc
  • Tendance à l'exhaustivité
  • Accumulation de mesures techniques sans cohérence d'ensemble

 

  • Avantages
    Définit une démarche rationnelle qui a donné lieu à des méthodes qui fonctionnent
    Grande souplesse : utilisée en toutes circonstances, surtout lors des changements
    Pragmatique et utilisable seule, elle peut aussi bien convenir aux petites organisations.

 

 

 

Dispositifs Alerte et crise de securité AlterMensa

 

La norme ISO/CEI 27005

décrit les grandes lignes d'une gestion des risques dans une perspective de mise en place d'un SMSI : définition du contexte d'analyse, identification et évaluation des risques encourus, possibilités de traitement ou d'acceptation de ces derniers. Inhabituellement longue avec ses 77 pages, dont 26 pour la partie centrale1, elle introduit un processus d'appréciation des risques2 conforme à ISO 31000, sans pour autant proposer de méthode au sens strict.

Construite en cohérence avec le couple de standards ISO/CEI 27001 et ISO/CEI 27002 et reprenant le vocabulaire définit dans ISO/CEI 27000, la norme ISO/CEI 27005 peut néanmoins être utilisée de manière autonome dans différentes situations. La norme ISO/CEI 27005 utilise comme nombre de Systèmes de Management la logique d'amélioration continue PDCA (Plan, Do, Check, Act), sous la forme suivante :

  • Plan : Identification des risques, évaluation des risques et définition des actions de réduction des risques,
  • Do : Exécution de ces actions,
  • Check : Contrôle du résultat,
  • Act : Révision de la politique de traitement des risques selon ces résultats.

Contenu de la norme

La norme ISO/CEI 27005 détaille le processus de gestion de risque dans les chapitres 6 à 12. Elle est complétée de 6 annexes de référence A à F, nécessaires à la mise en œuvre de la méthode.

  • Chapitre 6 : le processus de gestion de risque est expliqué dans son ensemble
  • Chapitre 7 : établir le contexte de l’analyse des risques
  • Chapitre 8 : définition de l’appréciation des risques
  • Chapitre 9 : quatre choix du traitement du risque sont proposés
  • Chapitre 10 : acceptation du risque
  • Chapitre 11 : communication du risque
  • Chapitre 12 : surveillance et réexamen des risques

 

Démarche proposée par l’ISO/CEI 27005

Établissement du contexte

Il faut tout d’abord définir des critères :

  • d’évaluation : seuil de traitement des risques, localement par actif menacé et globalement, pour toute l'organisation ;
  • d’impact : seuil de prise en compte des risques ;
  • d’acceptation : seuil d’acceptation des risques ;

Il n’existe pas d’échelles normalisées pour ces critères. L’entreprise doit déterminer une échelle pertinente en fonction de sa situation. Il faut également définir les champs, les limites et l’environnement du processus de gestion du risque.

Appréciation des risques

La première étape consiste à définir le contexte de la certification et les éléments qui le composent tels que l’organisme, le système d’information, les éléments essentiels à protéger les entités qui en dépendent et les différentes contraintes qui peuvent se présenter.

Ensuite, il est nécessaire d’exprimer les besoins de sécurité des éléments essentiels et, identifier, caractériser en termes d’opportunités les menaces pesant sur le système d’information.

Enfin, les risques sont déterminés en confrontant les menaces aux besoins de sécurité. Ces risques seront analysés et évalués afin de donner des priorités et les ordonnancer par rapport à leurs critères d'évaluation.

Traitement du risque

Il s’agit du processus de sélection et de mise en œuvre des mesures. Cela passera tout d’abord par l’identification des objectifs de sécurité : détermination des modes de traitement et prise en compte des éléments du contexte. Les objectifs ainsi identifiés constitueront le cahier des charges du processus de traitement des risques. Ensuite, des exigences de sécurité seront déterminées afin de satisfaire les objectifs de sécurités et décrire comment traiter les risques.

Pour définir les options de traitement, il faut mettre en adéquation le risque et le coût de traitement. Il existe quatre options du traitement du risque :

  • Le refus ou l’évitement : le risque considéré est trop élevé, l’activité amenant le risque doit être supprimée.
  • Le transfert : le risque sera partagé avec une autre entité (un assureur, un sous-traitant) capable de le gérer.
  • La réduction : le risque doit être diminué. Il s’agit d'en réduire l’impact et/ou la potentialité de manière que le risque soit acceptable.
  • Conservation du risque : le risque est maintenu tel quel.

Acceptation du risque

Il s’agit d’une homologation de sécurité effectuée par une autorité d’homologation désignée pour une durée déterminée. Cette homologation passe par l’examen d’un dossier de sécurité dont le contenu doit être défini : objectifs de sécurité, d'une cible de sécurité, politique de sécurité… La direction générale doit accepter les risques résiduels, donc accepter le plan de traitement du risque dans son ensemble.

Communication du risque

Il s’agit d’un échange et un partage régulier d’informations sur les risques entre le gestionnaire des risques, les décisionnaires et les parties prenantes concernant la gestion du risque. Cette communication du risque permet de :

  • Réduire les incompréhensions avec les décisionnaires
  • Obtenir de nouvelles connaissances en sécurité
  • Impliquer la responsabilité des décisionnaires

Surveillance et réexamen du risque

Il faut s'assurer que le processus reste pertinent et adapté aux objectifs de sécurité des métiers de l'organisme. Il faut également identifier les changements nécessitant une réévaluation du risque ainsi que les nouvelles menaces et vulnérabilités.

Avantages

  • Souplesse et pragmatisme : la norme ISO/CEI 27005 peut être utilisée en toutes circonstances et notamment dans des entreprises, y compris celles soumises à de fréquents changements.
  • La norme ISO/CEI 27005 est utilisable de manière autonome.