Démystifier l'évaluation des risques : commencer par les contrôles de la norme ISO 27001

Évaluation des risques en matière de sécurité de l'information

La gestion des risques joue un rôle essentiel dans la posture de sécurité des informations de toute organisation. Une approche proactive pour identifier, évaluer et déterminer le traitement des risques potentiels vous permet d'atténuer les risques plus efficacement, de mieux gérer les résultats et de réduire l'impact des incidents de sécurité des informations sur votre entreprise s'ils se produisent.

De bonnes pratiques d’évaluation et de gestion des risques sont obligatoires pour toute personne cherchant à se conformer à la norme ISO 27001. La norme exige que votre organisation établisse et maintienne des processus d'évaluation des risques en matière de sécurité de l'information, y compris des critères d'acceptation et d'évaluation des risques pour mesurer la probabilité et l'impact des risques. 

La gestion des risques dans la norme ISO 27001 s'aligne directement sur les contrôles de sécurité de l'information de la norme, qui peuvent être mis en œuvre pour traiter vos risques identifiés.

Évaluation efficace des risques selon la norme ISO 27001

Dans le cadre de la conformité ISO 27001, votre organisation doit développer un processus d'évaluation et de traitement des risques. Des évaluations des risques doivent être effectuées régulièrement pour garantir que vous identifiez et traitez systématiquement les nouveaux risques, et les risques doivent être attribués aux propriétaires des risques pendant toute leur durée de vie.

Plusieurs termes clés sont utilisés pour classer et comprendre le risque :

• Risque: le potentiel de destruction, de dommage ou de perte de données ou de biens
• Menace: une personne ou une action qui augmente les risques d'incident, comme un acteur malveillant envoyant des e-mails de phishing aux employés ou exploitant une vulnérabilité
• Vulnérabilité: une faiblesse dans les applications, les réseaux ou l'infrastructure de votre organisation qui pourrait exposer vos données et vos actifs.

Identification des risques

Avant d'identifier les risques, vous devez déterminer les actifs informationnels que votre organisation doit protéger en créant un registre des actifs. Les actifs comprennent :

• Informations ou données
• Intellectual property
• Emplacements physiques et bâtiments
• Systèmes
• Matériel
• Logiciel.

Lors de l'identification des risques pour ces actifs, vous devez prendre en compte les risques pouvant avoir un impact sur la confidentialité, l'intégrité et la disponibilité des données (appelés CIA), notamment :

• Tout problème externe ou interne (conformément à Article 4.1)
• Les besoins et attentes des parties intéressées (en adéquation avec Article 4.2)
• Législation, réglementations ou exigences contractuelles applicables
• La portée du système (conformément à Article 4.3)
• Tout régime de conformité supplémentaire au sein de l'organisation, tel que Cyber ​​Essentials.

Analyse de risque

L'analyse des risques est le processus de notation de chaque risque en fonction de la probabilité et de l'impact de sa survenance.

Au sein de la plateforme ISMS.online, vous pouvez évaluer la probabilité de risque de très faible à très élevée (1-5) et l'impact de nul à grave (0-5). Ces facteurs attribuent une note à chaque risque sur 25, l’impact étant considéré comme plus important que la probabilité. Cela vous permet de prioriser le traitement en fonction du score de risque.

Par exemple, votre organisation peut identifier un e-mail mal adressé au mauvais destinataire par un employé comme un risque. En comparant vos critères, vous pouvez décider que la probabilité est moyenne et que l'impact est mineur en raison de la possibilité que des informations commerciales soient envoyées par erreur à de nombreux destinataires par rapport à un seul destinataire, ce qui donne au risque un score relativement faible. La prochaine étape consiste à décider comment traiter ce risque.

Traitement des risques

Le propriétaire de chaque risque est responsable de l'identification du traitement du risque approprié. Ils devraient également considérer les critères de tolérance au risque. Les cinq options de traitement sont :

• Mettre fin – pour supprimer totalement le risque
• Traiter – pour réduire l’impact ou la probabilité du risque
• Transferts – transférer ou partager le risque (par exemple en souscrivant une assurance)
• Tolérer – accepter le risque résiduel
• Une combinaison – prendre plus d’une des actions ci-dessus.

L'acceptation du risque, également appelée tolérance au risque, doit être basée sur les critères suivants :

• Le niveau de risque à accepter
• Le type et le volume d’informations personnelles identifiables (PII) à risque
• Obligations légales, réglementaires ou contractuelles
• Objectifs commerciaux et exigences de conformité
• Tout autre risque conflictuel qui peut être introduit ou modifié lors du traitement du risque identifié, tel que les risques liés aux niveaux de ressources.

Vous pouvez décider de tolérer l’exemple de risque après avoir examiné davantage le contexte. Par exemple, votre organisation peut avoir mis en place des contrôles plus larges qui réduisent l'impact d'un e-mail transféré par erreur au mauvais destinataire, comme Annexe A.5.14 Transfert d'informations et A.6.4 processus disciplinaire.

Un traitement peut être nécessaire pour des risques plus graves, comme une violation de données personnelles. Dans cet exemple, le propriétaire du risque peut traiter le risque en organisant régulièrement des formations de sensibilisation au phishing pour tous les employés et en déployant des outils pour surveiller l'activité de phishing. Le niveau de risque indique également à quelle fréquence il doit être réexaminé, par exemple mensuellement, trimestriellement, semestriellement ou annuellement.

Gérer les risques avec les contrôles ISO 27001

Votre processus d'évaluation des risques vous laissera avec un ensemble clair de risques, tandis que le processus de traitement des risques vous oblige à sélectionner les options de traitement des risques appropriées et à déterminer les contrôles que vous devez mettre en œuvre. L'Annexe A de l'ISO 27001 : 2022 fournit un ensemble de 93 contrôles répartis en quatre catégories : contrôles organisationnels, contrôles physiques, contrôles des personnes et contrôles technologiques.

Ces contrôles incluent des processus, des politiques, des appareils, des pratiques et d'autres conditions ou actions qui maintiennent ou modifient le risque, telles que les politiques de mots de passe, les logiciels antivirus et la cryptographie. Leur mise en œuvre permet d’atténuer les risques et de réduire l’impact des incidents de sécurité des informations. À l'aide des commandes présentées dans ISO 27001:2022 Annexe A garantit que vous avez adopté une approche exhaustive pour gérer les risques pour votre entreprise.

Les contrôles essentiels de l'Annexe A de la norme ISO 27001:2022 comprennent :

• A.5.1 Politiques de sécurité des informations, qui exige que votre organisation dispose d'un document de politique de sécurité des informations pour se protéger contre les menaces de sécurité des informations.
• A.5.34 Confidentialité et protection des informations personnelles, un contrôle préventif avec des lignes directrices et des procédures pour aider votre organisation à remplir ses exigences relatives au stockage, à la confidentialité et à la sécurité des informations personnellement identifiables (PII)
• A.6.8 Rapport d'événements liés à la sécurité des informations, qui vise à faciliter le reporting rapide, cohérent et efficace des événements de sécurité de l'information détectés par le personnel
• A.7.9 Sécurité des actifs hors site, qui oblige les organisations à établir et à mettre en œuvre des protocoles et des réglementations couvrant tous les appareils détenus ou utilisés au nom de l'entreprise.
• A.8.7 Protection contre les logiciels malveillants, qui fournit des lignes directrices pour l'exécution d'une défense contre les logiciels malveillants englobant le contrôle des systèmes et de l'accès aux comptes, la gestion des modifications, les logiciels anti-malware et la sensibilisation à la sécurité des informations organisationnelles.
• A.8.24 Utilisation de la cryptographie stipule sept exigences que les organisations doivent respecter lorsqu'elles utilisent des méthodes cryptographiques.

Les processus d’identification des risques et des contrôles sont simplifiés au sein de la plateforme ISMS.online. En standard, la plateforme identifie plus de 100 risques courants et suggère des contrôles pertinents qui peuvent être appliqués pour traiter chaque risque, réduisant ainsi considérablement votre charge de travail d'évaluation et de gestion des risques.

L’importance d’une surveillance continue des risques

Une surveillance et des examens continus constituent un élément essentiel de la gestion des risques, car la probabilité ou l'impact d'un risque peut changer avec le temps, ce qui signifie qu'une nouvelle méthode de traitement est nécessaire. Pour les risques de faible niveau, vous pouvez décider que des examens annuels suffisent, tandis que les risques de niveau moyen devront peut-être être réévalués tous les trois ou six mois et les risques de niveau élevé chaque mois.

Quelle que soit la période d'examen que vous jugez appropriée pour un risque identifié, il est essentiel de garantir que les propriétaires des risques la respectent afin que vous ayez une vue à jour de la cartographie des risques de votre organisation. La plateforme ISMS.online informe automatiquement les propriétaires de risques lorsque des événements tels que des examens annuels des risques sont attendus, garantissant ainsi que votre gestion des risques est solide et cohérente avec un minimum d'effort de la part de votre équipe.

Ces examens réguliers peuvent être utilisés comme preuve que votre organisation maintient et développe un système de gestion de la sécurité de l'information (ISMS) robuste pour votre auditeur.

Simplifier la gestion des risques avec ISMS.online

En plus de fournir une banque de risques prête à l'emploi avec plus de 100 risques commerciaux courants, la plateforme ISMS.online contient également une carte des risques dynamique. La carte vous donne une vue d'ensemble à jour du profil de risque de votre organisation. Il est donc plus facile que jamais de coordonner votre gestion des risques, de visualiser les menaces et opportunités potentielles et de tenir les parties prenantes informées.

La plateforme est également dotée d'une fonction de rappels dynamiques, qui rappelle automatiquement aux propriétaires de risques lorsqu'il est temps d'examiner un risque dont ils sont responsables, qu'il doive être examiné mensuellement, trimestriellement, semestriellement ou annuellement. Le graphique de l'historique des risques vous permet d'identifier et de suivre les sources de risques et met en évidence l'évolution de votre profil de risque.

Gérez de manière proactive vos risques liés à la sécurité des informations

Pour de nombreuses entreprises, la certification ISO 27001 présente un avantage concurrentiel indéniable : elles peuvent prouver à leurs clients et prospects qu'elles s'engagent à assurer la sécurité de leurs données.

La gestion des risques et la mise en œuvre des contrôles sont des aspects essentiels de la certification ISO 27001, constituant le cœur d'une posture solide de sécurité de l'information et d'un SMSI. La gestion proactive des risques vous permet de surveiller les risques, de prévenir les incidents et de réduire l'impact des incidents qui se produisent. En donnant la priorité à l’évaluation des risques en tant que processus continu, vous pouvez garantir que votre organisation est toujours prête à répondre aux dernières menaces.

La plateforme ISMS.online propose une approche simplifiée de l'évaluation des risques, avec une banque de risques, des contrôles suggérés pour chaque risque et une automatisation qui rappelle aux propriétaires de risques quand il est temps d'examiner les risques dont ils sont responsables. Si vous êtes prêt à atteindre facilement la conformité ISO 27001 et à gagner du temps sur votre gestion des risques, réservez votre démo.