Skip to main content

Le Risque comme Citoyen de Première Classe : Méthodologie, Valorisation des Actifs, Modélisation des Menaces et Options de Traitement

« Le risque vient du fait de ne pas savoir ce que l'on fait. »

  • Warren Buffett

Introduction : La Salle des Machines du SMSI

Si le Chapitre 2 a établi les fondations du SMSI - qui vous êtes, ce que vous protégez et qui porte la responsabilité - alors le Chapitre 3 est là où le SMSI développe sa capacité de raisonnement. La gestion des risques n'est pas une étape du processus ISO 27001. C'est le processus. Chaque contrôle sélectionné, chaque politique rédigée, chaque investissement justifié, chaque exception approuvée devrait se tracer jusqu'à une décision de risque.

Les organisations qui comprennent cela construisent des SMSI qui se renforcent progressivement. Les organisations qui ne le comprennent pas construisent des registres de risques qui sont complétés une fois, classés et jamais reconsultés.

Ce chapitre dissèque le processus de gestion des risques ISO 27001 depuis ses principes fondamentaux : les choix de méthodologie, l'identification et la valorisation des actifs, l'analyse des menaces et des vulnérabilités, l'évaluation des risques, les options de traitement et la Déclaration d'Applicabilité qui relie tout cela.

Partie 1 - Le Cadre Réglementaire et Conceptuel

1.1 Ce qu'ISO 27001 Exige Réellement

Les Clauses 6.1.2 et 6.1.3 de l'ISO 27001:2022 établissent les exigences fondamentales pour l'évaluation et le traitement des risques.

La Clause 6.1.2 (Appréciation du risque de sécurité de l'information) exige que l'organisation :

  • Établisse et applique un processus d'appréciation du risque de sécurité de l'information
  • Définisse et maintienne des critères de risque de sécurité de l'information, incluant des critères d'acceptation du risque
  • S'assure que les appréciations du risque répétées produisent des résultats cohérents, valides et comparables
  • Identifie les risques associés à la perte de confidentialité, d'intégrité et de disponibilité des actifs informationnels
  • Analyse le risque - en évaluant la vraisemblance réaliste d'occurrence et les conséquences potentielles
  • Évalue le risque par rapport aux critères de risque établis
  • Conserve des informations documentées sur le processus d'appréciation du risque

La Clause 6.1.3 (Traitement du risque de sécurité de l'information) exige que l'organisation :

  • Sélectionne des options de traitement du risque appropriées, en référence aux résultats de l'appréciation du risque
  • Détermine tous les contrôles nécessaires à la mise en œuvre des options de traitement choisies
  • Compare les contrôles déterminés avec ceux de l'Annexe A et vérifie qu'aucun contrôle nécessaire n'a été omis
  • Produise une Déclaration d'Applicabilité
  • Formule un plan de traitement du risque
  • Obtienne l'approbation du propriétaire du risque pour le plan de traitement et l'acceptation des risques résiduels

Ce que la norme ne prescrit pas, c'est la méthodologie spécifique à utiliser. L'organisation dispose d'une vraie latitude méthodologique - mais doit appliquer sa méthodologie choisie de manière cohérente et produire des résultats reproductibles.

1.2 ISO 27005 : La Norme de Support

ISO 27005 - Gestion du risque en sécurité de l'information - est la norme complémentaire qui fournit des orientations détaillées sur le processus de gestion des risques. La révision de 2022 présente deux approches principales d'appréciation du risque :

L'approche basée sur les actifs commence par les actifs informationnels, identifie les menaces et vulnérabilités pertinentes pour chaque actif, et dérive les risques de la combinaison de la valeur de l'actif, de la vraisemblance de la menace et de la gravité de la vulnérabilité.

L'approche basée sur les événements commence par des scénarios de risque - des événements ou types d'incidents spécifiques - et évalue la vraisemblance et l'impact de ces événements.

En pratique, la plupart des SMSI matures utilisent une approche hybride.

Partie 2 - Construire la Méthodologie de Risque

2.1 Le Document de Méthodologie

Un document de méthodologie de risque complet couvre :

Les critères de risque. Les échelles et seuils utilisés pour évaluer le risque. Que signifie un score de vraisemblance de 3 ? Que signifie un score d'impact de 4 ?

La déclaration d'appétit pour le risque. La tolérance globale de l'organisation au risque de sécurité de l'information, exprimée en termes actionnables.

Le périmètre et la fréquence de l'évaluation. Quels actifs, processus ou scénarios seront évalués, à quel calendrier et déclenchés par quels événements ?

Les rôles et responsabilités dans le processus de risque. Qui conduit les évaluations ? Qui possède les risques ? Qui approuve les plans de traitement ?

Les exigences de documentation. Quels enregistrements le processus de risque produira-t-il ?

2.2 Choisir une Approche de Scoring

Le scoring qualitatif utilise des catégories définies - généralement élevé/moyen/faible, ou des échelles numériques où les chiffres représentent des catégories.

Avantages : Accessible aux parties prenantes non techniques, rapide à appliquer, suffisant pour la plupart des décisions opérationnelles de risque.

Inconvénients : L'agrégation n'est pas mathématiquement significative ; différents analystes peuvent appliquer la même échelle différemment.

Le scoring quantitatif tente d'exprimer le risque en termes financiers - perte annuelle estimée (PAE) = taux annuel d'occurrence (TAO) × perte unique estimée (PUE).

Avantages : Produit des résultats financièrement significatifs ; permet une analyse coût-bénéfice directe des contrôles.

Inconvénients : Nécessite des données rarement disponibles avec une confiance suffisante.

La recommandation pratique pour la plupart des organisations : utiliser une approche qualitative bien définie comme méthodologie principale, complétée par une estimation quantitative pour les risques les plus prioritaires où les décisions d'investissement doivent être justifiées auprès des parties prenantes financières.

2.3 La Matrice de Risque

Les matrices symétriques obscurcissent la priorisation des risques. Une matrice 5×5 standard avec risque = vraisemblance × impact traite de manière équivalente les risques à forte vraisemblance/faible impact et les risques à faible vraisemblance/fort impact. De meilleures conceptions de matrices pondèrent disproportionnellement l'impact catastrophique.

Trop de niveaux de risque créent une fausse précision. Une matrice à cinq niveaux de risque est plus utile qu'une matrice à sept niveaux.

La matrice doit être associée à des seuils de traitement définis.

Partie 3 - Identification et Valorisation des Actifs

3.1 Ce qui Compte comme Actif Informationnel

Les actifs informationnels proprement dits - données personnelles des clients, documents financiers, propriété intellectuelle, processus métier propriétaires, plans stratégiques, données des employés, identifiants d'authentification, clés cryptographiques, données de configuration, journaux d'audit.

Les actifs technologiques - serveurs, endpoints, appareils mobiles, infrastructure réseau, environnements cloud, bases de données, applications, APIs.

Les actifs humains - le personnel dont les connaissances, l'accès ou les compétences représentent des actifs.

Les actifs physiques - centres de données, salles serveurs, installations de bureau, supports physiques.

Les actifs de services - services cloud, services gérés, utilités, télécommunications, services de traitement tiers.

L'erreur courante : confondre l'actif avec le contenant. Un serveur n'est pas un actif informationnel - c'est un contenant qui héberge ou traite des actifs informationnels.

3.2 L'Inventaire des Actifs : Le Construire et le Maintenir

Construire un inventaire complet des actifs est plus difficile qu'il n'y paraît :

Le shadow IT. Dans la plupart des organisations, une part significative du parc technologique a été déployée sans la connaissance de l'IT ou de la sécurité.

La fragmentation de l'information. Les mêmes données peuvent exister à plusieurs endroits simultanément.

Les environnements dynamiques. Les environnements cloud-native et DevOps peuvent créer et détruire des infrastructures à une vitesse qui rend la gestion traditionnelle des actifs obsolète.

Les actifs tiers. Les actifs détenus par des tiers font partie du risque informationnel de l'organisation.

Les approches pratiques incluent les outils automatisés de découverte réseau, les outils de gestion des actifs cloud, les outils de découverte et de classification des données, et les enquêtes auprès du personnel pour faire émerger le shadow IT.

3.3 Valorisation des Actifs : La Fondation d'une Gestion Proportionnée des Risques

La valeur des actifs est évaluée selon trois dimensions :

Valeur de confidentialité : Quelle est la conséquence si cette information est divulguée à des parties non autorisées ?

Valeur d'intégrité : Quelle est la conséquence si cette information est modifiée de manière non autorisée ou non détectée ? La valeur d'intégrité est souvent sous-estimée.

Valeur de disponibilité : Quelle est la conséquence si cette information ou ce système est indisponible lorsque nécessaire ?

Exemple concret : Un cabinet de services professionnels a mené un exercice de valorisation des actifs et identifié que sa base de données de contrats clients était son actif informationnel le plus précieux - haute valeur de confidentialité, valeur d'intégrité modérée et haute valeur de disponibilité. Cette valorisation a entraîné l'investissement dans des contrôles d'accès plus robustes, des sauvegardes chiffrées avec des procédures de récupération testées, et une intégration dans le plan de continuité d'activité - aucune de ces mesures n'avait été appliquée avant que l'exercice de valorisation n'ait établi l'argumentaire.

Partie 4 - Analyse des Menaces et des Vulnérabilités

4.1 Comprendre les Menaces

Une menace est un événement ou une action potentielle qui pourrait exploiter une vulnérabilité pour causer un préjudice à un actif informationnel.

Par origine :

  • Menaces humaines - délibérées (attaquants externes, menaces internes) ou accidentelles (erreur d'employé)
  • Menaces environnementales - événements naturels et physiques
  • Menaces techniques - vulnérabilités logicielles, défaillances matérielles, malwares

Par acteur :

  • Attaquants externes - organisations criminelles (motivation financière), acteurs étatiques (espionnage, sabotage), hacktivistes, attaquants opportunistes
  • Initiés - employés, sous-traitants et utilisateurs privilégiés qui abusent de leur accès
  • Tiers - fournisseurs, partenaires et autres entités disposant d'un accès autorisé

Par technique : Le cadre MITRE ATT&CK fournit la taxonomie la plus complète et la plus pratique des techniques de menaces disponible.

4.2 La Cyber-Renseignement sur les Menaces comme Input de Risque

Les sources de renseignement sur les menaces pertinentes pour l'évaluation des risques ISO 27001 incluent :

Le renseignement sectoriel : Les Centres de Partage et d'Analyse de l'Information (ISAC) dans les services financiers, la santé, l'énergie et d'autres secteurs.

Les sources gouvernementales : CISA (États-Unis), NCSC (Royaume-Uni), ENISA (UE), et les agences nationales équivalentes publient des avis, alertes et rapports annuels d'évaluation des cybermenaces.

Le renseignement des fournisseurs : Le DBIR de Verizon, le rapport annuel de CrowdStrike sur les menaces, les M-Trends de Mandiant fournissent des données précieuses sur les schémas d'incidents, les comportements des attaquants et les menaces sectorielles spécifiques.

L'historique des incidents : L'historique des incidents de l'organisation est le renseignement sur les menaces le plus pertinent qu'elle possède.

L'Annexe A 5.7 (Renseignement sur les menaces) de la version 2022 exige explicitement que les organisations collectent et analysent les informations sur les menaces.

4.3 Analyse des Vulnérabilités

Vulnérabilités techniques : Logiciels non patchés, systèmes mal configurés, paramètres par défaut non sécurisés, cryptographie faible, validation d'entrée insuffisante, APIs non sécurisées.

Vulnérabilités de processus : Processus inadéquats de révision des accès, processus de gestion des changements n'incluant pas de révision de sécurité, processus de sauvegarde non testés.

Vulnérabilités humaines : Sensibilisation insuffisante à la sécurité, susceptibilité à l'ingénierie sociale, tendance à partager les identifiants.

Vulnérabilités physiques : Contrôles d'accès inadéquats aux salles serveurs, protection insuffisante contre les événements environnementaux.

Vulnérabilités organisationnelles : Responsabilités de sécurité peu claires, budget de sécurité insuffisant, mauvaise culture de la sécurité.

4.4 L'Association Vulnérabilité-Menace

Exemple travaillé : Un cabinet de services financiers de taille moyenne évalue le risque pesant sur sa base de données de transactions clients.

Menace : Attaquant externe - organisation criminelle à motivation financière - utilisant l'injection SQL pour extraire des données financières des clients.

Vulnérabilité : Application web orientée clients avec des paramètres d'entrée insuffisamment validés. Un test de pénétration effectué il y a six mois a identifié la vulnérabilité ; la remédiation a été reportée en attente d'une réécriture planifiée de l'application.

Actif : Base de données de transactions clients - haute valeur de confidentialité (données financières, obligations réglementaires), haute valeur d'intégrité (exactitude financière), haute valeur de disponibilité (traitement des transactions).

Risque : Accès non autorisé et exfiltration des données financières clients par exploitation d'une vulnérabilité d'injection SQL connue dans l'application web orientée clients.

Partie 5 - Évaluation et Priorisation des Risques

5.1 Évaluation de la Vraisemblance

La vraisemblance est la probabilité estimée qu'une menace spécifique exploite une vulnérabilité spécifique pour affecter un actif spécifique dans un délai défini. L'évaluation de la vraisemblance nécessite de combiner :

La capacité et la motivation de la menace : L'acteur de la menace est-il suffisamment sophistiqué pour exploiter cette vulnérabilité ?

L'exposition de la vulnérabilité : La vulnérabilité est-elle publiquement connue ? Est-elle exposée à Internet ?

Les contrôles existants : Quels contrôles existent déjà qui réduisent la vraisemblance d'exploitation ?

Les données historiques : À quelle fréquence des organisations similaires ont-elles subi ce type d'incident ?

5.2 Évaluation de l'Impact

Impact financier : Coûts directs (réponse à l'incident, forensique, honoraires juridiques, coûts de notification, amendes, litiges) et coûts indirects (interruption d'activité, perte de revenus, investissement en remédiation).

Impact réglementaire et juridique : Pour les organisations soumises au RGPD, la structure potentielle d'amende (jusqu'à 20 M€ ou 4 % du chiffre d'affaires annuel mondial) doit être prise en compte dans l'évaluation de l'impact pour les risques impliquant des données personnelles.

Impact réputationnel : Les conséquences pour la confiance des clients, la position sur le marché et la valeur de la marque.

Impact opérationnel : Les conséquences pour les opérations métier - systèmes indisponibles, processus incapables de fonctionner.

Impact sur la sécurité : Pour les organisations dans des secteurs où la défaillance des systèmes d'information peut créer des conséquences sur la sécurité physique.

5.3 Le Registre des Risques

Un registre des risques bien conçu est :

Spécifique. « Compromission de la messagerie d'entreprise par hameçonnage des membres de l'équipe finance disposant de l'autorité de virement, exploitant l'insuffisance de l'approbation multi-parties pour les paiements sortants dépassant 50 000 € » est une entrée de registre des risques. « Risque de phishing » ne l'est pas.

Actuel. Le registre des risques reflète l'état actuel de l'environnement des risques.

Attribué. Chaque risque a un propriétaire nommé qui est responsable du plan de traitement.

Connecté. Le registre des risques est connecté au plan de traitement, aux contrôles de l'Annexe A, au registre des incidents et au programme d'audit interne.

Partie 6 - Traitement des Risques

6.1 Les Quatre Options de Traitement

Modification du risque (atténuation) : Mettre en œuvre des contrôles qui réduisent la vraisemblance ou l'impact du risque.

Évitement du risque : Éliminer le risque en éliminant l'activité qui en est la source.

Partage du risque (transfert) : Transférer tout ou partie de la conséquence financière d'un risque à un tiers - généralement via une assurance.

Acceptation du risque : Accepter le risque - décider que le niveau de risque résiduel est tolérable. L'acceptation du risque doit être :

  • Explicite - documentée comme une décision délibérée, et non comme un défaut découlant de l'inaction
  • Autorisée - acceptée par le propriétaire du risque approprié au niveau organisationnel approprié
  • Conforme à l'appétit pour le risque
  • Surveillée - suivie et révisée

Le piège de l'acceptation du risque : De nombreuses organisations ont des registres de risques remplis de risques qui ne sont ni acceptés ni traités - ils ont été identifiés, scorés, assignés à des propriétaires, puis laissés dans un état de traitement différé permanent.

6.2 Sélection des Contrôles : Utiliser l'Annexe A Correctement

La séquence correcte :

Premièrement : Identifier les contrôles nécessaires pour traiter le risque. Il s'agit d'une décision pilotée par le risque.

Deuxièmement : Mapper ces contrôles vers l'Annexe A.

Troisièmement : Confirmer que la vérification de l'Annexe A n'a pas identifié des contrôles qui devraient être pertinents mais ont été manqués.

La séquence incorrecte - commencer par l'Annexe A et travailler à rebours - inverse la logique de la sécurité basée sur les risques.

6.3 La Déclaration d'Applicabilité

La Déclaration d'Applicabilité (DdA) liste chaque contrôle de l'Annexe A - les 93 contrôles dans la version 2022 - et pour chaque contrôle :

  • Indique si le contrôle est applicable
  • Fournit une justification pour l'inclusion ou l'exclusion
  • Note le statut de mise en œuvre de chaque contrôle inclus

Échecs courants de la DdA :

  • Justifications génériques qui ne font pas le lien avec des risques spécifiques (« bonne pratique » n'est pas une justification)
  • Exclusions sans justification (« N/A » n'est pas une justification)
  • Inclusions où le contrôle est listé comme implémenté mais où les preuves d'audit montrent qu'il ne l'est pas
  • DdA non mise à jour quand les risques changent

6.4 Le Plan de Traitement du Risque

Le plan de traitement du risque documente pour chaque risque activement traité :

  • Le risque traité
  • L'option de traitement sélectionnée
  • Les contrôles spécifiques à mettre en œuvre ou à améliorer
  • La personne responsable de la mise en œuvre
  • La date d'achèvement cible
  • Le risque résiduel attendu après le traitement
  • Les ressources nécessaires

Le plan de traitement comme outil de management : Le plan montre, pour chaque investissement proposé : quel risque il traite, quelle réduction de l'exposition au risque est attendue, et quel sera le risque résiduel si l'investissement n'est pas réalisé.

Partie 7 - Risque Résiduel et Acceptation du Risque

7.1 Risque Inhérent, Risque Ajusté par les Contrôles et Risque Résiduel

Le risque inhérent est le niveau de risque en l'absence de tout contrôle.

Le risque ajusté par les contrôles est le niveau de risque après prise en compte des contrôles existants.

Le risque résiduel est le niveau de risque qui subsiste après la pleine mise en œuvre du traitement du risque prévu.

7.2 Acceptation du Risque : La Responsabilité du Management

ISO 27001 exige que les propriétaires de risques acceptent explicitement les risques résiduels. Il s'agit d'un mécanisme de gouvernance qui garantit :

  • Que les dirigeants comprennent les risques que l'organisation assume
  • Que la décision d'acceptation est prise par quelqu'un ayant l'autorité pour le faire
  • Que les risques acceptés sont surveillés et révisés
  • Que lorsqu'un incident survient à partir d'un risque accepté, l'organisation peut démontrer que le risque était connu et délibérément accepté

Les critères d'acceptation du risque - les seuils auxquels les risques peuvent être acceptés sans escalade - doivent être définis dans le document de méthodologie de risque et approuvés par le sponsor exécutif.

Partie 8 - Maintenir le Processus de Risque dans le Temps

8.1 Le Registre des Risques Vivant

Le registre des risques doit être mis à jour :

À intervalles planifiés - au minimum annuellement.

Suite à des changements organisationnels significatifs - nouveaux systèmes, nouveaux processus, restructuration, acquisitions.

Suite à des incidents - chaque incident de sécurité doit déclencher une révision du registre des risques.

Suite à des mises à jour significatives du renseignement sur les menaces - quand de nouvelles techniques d'attaque émergent ou qu'une vulnérabilité majeure est divulguée.

8.2 Intégration avec le Cycle du SMSI

Les points d'intégration clés sont :

Évaluation des risques → DdA : Les décisions d'applicabilité des contrôles doivent se tracer jusqu'aux résultats de l'évaluation des risques.

Évaluation des risques → Plan de traitement → Contrôles : Le plan de traitement pilote l'agenda de mise en œuvre des contrôles.

Incidents → Registre des risques : Les incidents sont des données sur la précision des évaluations des risques.

Audit interne → Registre des risques : Les conclusions d'audit peuvent constituer de nouvelles vulnérabilités.

Revue de direction → Appétit pour le risque : La revue de direction peut entraîner des ajustements de l'appétit pour le risque.

Partie 9 - Échecs Courants du Processus de Risque

L'évaluation des risques pilotée par la conformité. L'évaluation des risques est conduite pour satisfaire l'auditeur plutôt que pour gérer les risques. Elle part de l'Annexe A plutôt que des actifs et des menaces de l'organisation.

Le registre des risques appartenant au consultant. L'évaluation initiale des risques est conduite par un consultant externe qui n'a jamais travaillé dans l'organisation. Le registre des risques est techniquement correct mais n'appartient à personne en interne.

Le propriétaire de risque manquant. Les risques sont identifiés et scorés mais non assignés à des propriétaires.

Le registre des risques statique. Mis à jour annuellement comme input de la revue de direction mais jamais touché autrement.

La DdA déconnectée. La DdA est complétée indépendamment du registre des risques.

Le risque résiduel non mesuré. Des plans de traitement sont développés et mis en œuvre mais les risques résiduels ne sont jamais formellement évalués.

Résumé : Ce que le Chapitre 3 a Établi

Le processus de gestion des risques n'est pas un composant du SMSI - c'est la logique opérationnelle du SMSI.

La méthodologie doit être choisie délibérément, documentée explicitement et appliquée de manière cohérente.

L'identification et la valorisation des actifs est le prérequis pour une évaluation significative des risques.

L'analyse des menaces et des vulnérabilités doit être ancrée dans le renseignement actuel sur les menaces et suffisamment spécifique pour driver des décisions de traitement spécifiques.

Le traitement des risques doit être explicite - chaque risque doit être délibérément traité, accepté, évité ou transféré.

Le registre des risques vivant - maintenu, actuel, attribué et connecté au cycle complet du SMSI - est la différence entre un SMSI qui gère la sécurité et un SMSI qui documente avoir un jour pensé à la sécurité.

Suivant : Chapitre 4 - L'Annexe A Démystifiée : Chaque Domaine de Contrôle, sa Pertinence par Rapport à la Surface d'Attaque et son Échec de Mise en Œuvre le Plus Courant

© ISO 27001 Wiki - Pour les RSSI, Analystes Sécurité et Professionnels GRC