Gestion des cyber-risques : la norme ISO 27005

blog-10.jpg

La norme ISO 27005 fournit des bonnes pratiques pour analyser et traiter les risques de cybersécurité. Ce guide est particulièrement utile pour mettre en œuvre un SMSI (Système de Management de Sécurité de l’Information) certifié ISO 27001 ou pour les hébergeurs de données de santé en France. ISO 27005 ne constitue pas une méthode comme EBIOS Risk Manager ou FAIR. Cette norme est plutôt un guide qui propose des lignes directrices à la gestion des cyber-risques. Chaque activité décrite dans la norme comprend les éléments d’entrée requis, la description des actions, des préconisations de mise en œuvre et les éléments de sortie.

 

Gestion des cyber-risques

La gestion des risques est un processus continu dont les objectifs principaux sont l’identification et l’appréciation des risques en termes de conséquences sur les activités et de vraisemblance des scénarios puis à la définition des priorités d'actions pour réduire les occurrences de ces risques.

 ISO 27005

Source : ISO 27005-2018 – figure 1 : Processus de gestion des risques

Etablissement du contexte

Le contexte définit l’objectif de l’analyse des risques. Ce peut être par exemple la mise en place d’un SMSI ISO 27001 ou la conception d’un nouveau service métier.

Les critères de mesure des éléments suivants doivent être précisés :

  • Valeur et criticité des actifs (processus et informations).
  • Impacts (par exemple en termes financiers ou réputationnels).
  • Vraisemblance.
  •  Acceptation.

Identification

L’identification des actifs est une activité importante. Une bonne cartographie facilitera cette étape. Il ne faut pas uniquement identifier les actifs supports (les applications, l’infrastructure systèmes et réseaux) mais aussi faire le lien avec les processus et les informations des fonctions métiers et support de l’entité.

Il faut également :

  • Sélectionner les menaces pertinentes.
  • Identifier les mesures de sécurité existantes. Ces mesures sont généralement issues des catalogues de bonnes pratiques comme l’ISO 27002, le NIST 800-53, le référentiel de cybersécurité ou la CCM pour les environnements Cloud visant une certification STAR.
  • Identifier les vulnérabilités en prenant en compte les incidents passés et les résultats d’audit.
  • Identifier les conséquences.

Analyse

Cette étape passe par :

  • Le choix d’une méthodologie.
  • L’appréciation des conséquences et de la vraisemblance des scénarios.
  • L’estimation du niveau des risques.

Evaluation

Les décisions prises sont basées sur le niveau d’acceptabilité définis au départ donnant lieu à la définition d’une matrice avec les niveaux d’impact et de vraisemblance. Il faut aussi prendre en compte l'agrégation potentielle de risques faibles qui pourrait conduire à des risques élevés.

Traitement

La norme ISO 27018 définit quatre catégories de traitement :

  • Le refus, par exemple dans le cadre d’un pré-étude d’un projet.
  • Le partage, par exemple par le biais de la sous-traitance ou d’un cyber-assurance.
  • La réduction par la sélection de mesures de sécurité complémentaires.
  • Le maintien des mesures de sécurité existantes.

Les risques résiduels doivent être formalisés et acceptés par la direction de l’entité.

Surveillance et communication

Il faut prévoir les conditions dans lesquelles l’analyse est revue. Par exemple pour les cas de nouvelles menaces ou de modification majeure du système d’information.

La communication des résultats vers les parties prenantes et notamment la direction est une activité importante mais souvent sous-estimée. Cette activité contribue à la mesure de l’efficacité de la cybersécurité et à la définition d’indicateurs pertinents.

Pour en savoir plus sur les 20 meilleures formations sur la sécurité des systèmes d’information, téléchargez gratuitement notre livre blanc ci-dessous :

Mots clés: ISO 27001 Risques Cyber Risques ISO 27005