Évaluation des risques ISO 27001 : Guide complet de méthodologie
Introduction
L'évaluation des risques n'est pas seulement une exigence d'ISO 27001 — c'est le moteur qui anime toute la norme. Chaque contrôle implémenté et chaque politique doit remonter à un risque dans votre registre.
Pourquoi l'évaluation des risques est centrale
La Clause 6.1 exige des actions pour traiter les risques. La Clause 8.2 requiert l'évaluation à intervalles planifiés.
Elle détermine : quels contrôles Annexe A s'appliquent, quelle priorité accorder, comment justifier les décisions et démontrer l'amélioration continue.
Étape 1 : Définir la méthodologie
Documentez avant d'évaluer. Définissez :
Approche d'identification : Actifs, menaces et vulnérabilités.
Échelle de vraisemblance : 1–5 avec critères.
Échelle d'impact : Conséquences.
Calcul : Vraisemblance × Impact.
Critères d'acceptation : Niveau acceptable sans traitement.
Étape 2 : Identifier les actifs informationnels
Les actifs comprennent :
Informations : Données clients, propriété intellectuelle.
Logiciels : Applications métier, bases de données, code source.
Actifs physiques : Serveurs, ordinateurs portables.
Services : Plateformes cloud, SaaS tiers.
Étape 3 : Identifier menaces et vulnérabilités
Menaces : Ransomware, perte de données, panne matérielle.
Vulnérabilités : Mots de passe faibles, logiciels non patchés.
Concentrez-vous sur les menaces plausibles dans votre environnement.
Étape 4 : Évaluer et noter les risques
1. Vraisemblance (1–5) 2. Impact (1–5) 3. Score = Vraisemblance × Impact 4. Comparer aux critères d'acceptation
Documentez dans un registre des risques.
Étape 5 : Options de traitement
Quatre options :
Modifier (Réduire) : Implémenter des contrôles.
Retenir (Accepter) : Formellement pour risques résiduels faibles.
Éviter : Éliminer l'activité générant le risque.
Transférer (Partager) : Via assurance ou externalisation.
Relier le registre à la DdA
La Déclaration d'Applicabilité lie chaque contrôle à : applicabilité, justification, statut et modalité d'implémentation.
Gardez-la à jour à chaque révision de l'évaluation des risques.
Points clés
Une évaluation rigoureuse est l'investissement le plus précieux. Traitez le registre comme un document vivant et révisez-le au moins annuellement.
Prêt à estimer vos coûts ISO 27001 ?
Utilisez notre calculateur gratuit pour obtenir une estimation personnalisée des coûts, de l'effort et du calendrier basée sur votre profil d'entreprise.