Analyse de Risques ISO 27005 : Méthodologie Complète

Pourquoi l'analyse de risques est le pilier du SMSI

L'ISO 27001:2022 ne prescrit pas de méthodologie spécifique, mais impose que le processus soit systématique, reproductible et documenté. En pratique, la norme ISO 27005:2022 est la méthodologie la plus naturellement alignée, car elle a été conçue spécifiquement pour compléter l'ISO 27001.

Les principales différences avec la version 2018 de l'ISO 27005 sont :

• L'intégration native des risques liés au cloud computing et aux services externalisés
• La prise en compte des risques liés à la chaîne d'approvisionnement (supply chain)
• L'alignement renforcé avec les 93 contrôles de l'Annexe A de l'ISO 27001:2022
• La simplification du processus d'évaluation avec des approches quantitatives et qualitatives

Les 5 phases de l'analyse de risques ISO 27005

Le processus d'analyse de risques se décompose en 5 phases itératives. Chaque phase produit des livrables qui alimentent la suivante :

Phase 1 : Établir le contexte et les critères de risque

Avant de commencer l'identification des risques, il est essentiel de définir le contexte de l'analyse. Cette étape, souvent négligée, conditionne la pertinence de l'ensemble du processus.

Les éléments à documenter :

• Périmètre de l'analyse : doit correspondre au périmètre du SMSI défini dans la PSSI
• Critères d'évaluation de l'impact : échelle de 1 à 4 (négligeable, limité, important, critique) avec des seuils quantifiés
• Critères de vraisemblance : échelle de 1 à 4 (rare, possible, probable, quasi certain) avec des fréquences associées
• Seuil d'acceptation du risque : défini par la direction, au-dessus duquel un traitement est obligatoire

Phase 2 : Identifier les risques (actifs, menaces, vulnérabilités)

L'identification des risques suit le triptyque Actif x Menace x Vulnérabilité. Pour chaque actif du périmètre, on identifie les menaces applicables et les vulnérabilités exploitables :

EXEMPLE DE SCÉNARIO DE RISQUE :

Actif : Base de données clients (PostgreSQL, production)
Menace : Attaque par injection SQL
Vulnérabilité: Requêtes paramétrées non utilisées dans l API REST
Conséquence : Exfiltration de données personnelles (RGPD)
Impact : Critique (4) - Sanctions CNIL + atteinte réputation
Vraisemblance: Probable (3) - Vulnérabilité connue, surface exposée
Risque brut : 4 x 3 = 12 (CRITIQUE)

Pour structurer cette identification, utilisez les sources de menaces suivantes :

• ANSSI : référentiel des menaces types pour les SI français
• MITRE ATT&CK : matrice des techniques d'attaque par type d'adversaire
• ENISA Threat Landscape : rapport annuel des menaces européennes
• Retours d'incident internes : historique des incidents de sécurité

Phase 3 : Analyser les risques (matrice et calcul)

L'analyse des risques consiste à évaluer chaque scénario selon les critères définis en phase 1. La formule standard est :

Risque = Vraisemblance x Impact

Avec une échelle 4x4, le risque brut va de 1 (minimum) à 16 (maximum). La matrice de risques associée permet une visualisation immédiate de la criticité.

Phase 4 : Évaluer et prioriser les risques

L'évaluation consiste à comparer le niveau de risque brut au seuil d'acceptation défini par la direction. Les risques sont classés en 4 catégories :

• Risques inacceptables (9-16) : traitement obligatoire et prioritaire, plan d'action sous 3 mois
• Risques élevés (6-8) : traitement planifié, plan d'action sous 6 mois
• Risques modérés (3-4) : traitement optionnel, surveillance renforcée
• Risques faibles (1-2) : acceptation formelle documentée

Produisez une cartographie des risques visuelle (heat map) pour la revue de direction. Ce livrable est particulièrement apprécié des auditeurs car il démontre une compréhension globale du profil de risque.

Phase 5 : Traiter les risques (les 4 options)

Le plan de traitement des risques (PTR) associe à chaque risque traité un ou plusieurs contrôles de l Annexe A de l ISO 27001:2022. Cette correspondance alimente directement la Déclaration d Applicabilité (SOA).

Mise en Oeuvre Pratique de l'Analyse de Risques ISO 27005 : Outils et Workshops

L'analyse de risques ISO 27005 est une démarche structurée mais intrinsèquement humaine, qui nécessite l'implication active des parties prenantes métier et technique de l'organisation pour produire des résultats pertinents et actionnables. Une analyse de risques conduite uniquement par l'équipe sécurité, sans input des responsables métier qui connaissent réellement les processus critiques et les données sensibles de l'organisation, produit des cartographies de risques théoriques déconnectées de la réalité opérationnelle.

La méthodologie de conduite des workshops d'analyse de risques ISO 27005 en pratique :

• Préparation des workshops : identifier et inviter les responsables des processus métier couverts par le périmètre SMSI, préparer des scénarios de risque concrets adaptés au contexte de l'organisation (pas des exemples génériques), et définir les critères d'évaluation de la vraisemblance et de l'impact adaptés au contexte spécifique de l'organisation
• Animation des sessions d'identification des risques : utiliser des techniques de brainstorming structuré (STRIDE pour les risques techniques, mind mapping pour les risques organisationnels) pour maximiser l'exhaustivité de l'identification, en couvrant les menaces internes et externes, accidentelles et intentionnelles
• Évaluation collaborative des risques : faire évaluer la vraisemblance et l'impact par les participants eux-mêmes plutôt que par le consultant seul, pour obtenir un consensus sur les niveaux de risque qui sera plus facilement accepté lors de la présentation des résultats à la direction
• Validation des options de traitement : présenter les options de traitement (accepter, réduire, transférer, éviter) avec leurs coûts estimatifs aux décideurs, en quantifiant le risque résiduel attendu après chaque option pour faciliter la prise de décision rationnelle

Les outils logiciels qui facilitent la conduite et la documentation de l'analyse de risques ISO 27005 incluent des solutions open-source comme MONARC (développé par le CIRCL luxembourgeois, supportant ISO 27005 et EBIOS Risk Manager), des solutions commerciales comme Risk Manager d'EGERIE (développé en France, certifié ANSSI), et des outils génériques comme des tableaux Excel structurés pour les organisations avec des périmètres simples et un budget limité. L'essentiel est de maintenir le registre des risques à jour tout au long de la vie du SMSI et de le réévaluer lors de tout changement significatif du système d'information ou de l'environnement de menace.

Intégration de l'Analyse de Risques ISO 27005 avec EBIOS Risk Manager

EBIOS Risk Manager (EBIOS RM), la méthode française d'analyse de risques développée par l'ANSSI et largement adoptée par les administrations publiques et les opérateurs d'importance vitale (OIV), est compatible avec ISO 27005 et peut être utilisée en complément ou en remplacement selon le contexte réglementaire de l'organisation. L'ANSSI a publié un guide de correspondance entre EBIOS RM et ISO 27005 qui facilite l'utilisation d'EBIOS RM dans le cadre d'une certification ISO 27001.

Les avantages spécifiques d'EBIOS RM par rapport à une approche ISO 27005 générique :

• Modélisation des écosystèmes : EBIOS RM introduit la notion d'écosystème (partenaires, prestataires, clients) pour analyser les risques provenant de la chaîne d'approvisionnement, particulièrement pertinent dans le contexte des attaques supply chain qui caractérisent les menaces APT contemporaines
• Scénarios opérationnels : EBIOS RM structure l'analyse autour de scénarios réalistes d'attaque documentés (chemins d'attaque, modes opératoires des groupes APT) plutôt que de risques abstraits, produisant des résultats plus directement exploitables par les équipes opérationnelles
• Homologation SSI : pour les systèmes soumis à homologation ANSSI (SI d'État, OIV, OSE sous NIS 2), l'utilisation d'EBIOS RM est recommandée voire exigée par l'ANSSI pour la production du dossier d'homologation, rendant son utilisation incontournable dans ces contextes réglementaires spécifiques
• Communauté française : l'existence d'une communauté active de praticiens EBIOS RM en France, avec des formations certifiantes reconnues et des ressources documentaires en français, facilite le montée en compétence des équipes par rapport à des méthodes moins documentées en français

L'analyse de risques, qu'elle soit conduite selon ISO 27005 ou EBIOS RM, ne doit pas être perçue comme un exercice documentaire ponctuel mais comme un processus vivant qui évolue avec l'organisation et son environnement de menace. Une réévaluation annuelle complète, complétée par des réévaluations ciblées lors de chaque changement significatif (nouveau projet IT, acquisition, changement de prestataire critique), garantit que le registre des risques reflète fidèlement la réalité des risques auxquels l'organisation est exposée et que les investissements de sécurité restent alignés sur les priorités de traitement définies.

Traitement des Risques ISO 27005 : Construire un Plan de Traitement Cohérent

L'analyse de risques n'a de valeur que si elle débouche sur des décisions de traitement concrètes et un plan d'action réaliste. Le Plan de Traitement des Risques (PTR), document central de la démarche ISO 27005, doit définir pour chaque risque dépassant le seuil d'acceptabilité défini par la direction : l'option de traitement retenue (réduire, accepter, transférer ou éviter), les mesures de sécurité associées référencées selon l'Annexe A d'ISO 27001 ou un catalogue de mesures personnalisé, le responsable du traitement, l'échéance de mise en œuvre, et le niveau de risque résiduel attendu après l'application des mesures.

Les étapes pratiques pour construire un Plan de Traitement des Risques efficace :

• Priorisation des risques par niveau brut : classer les risques identifiés par ordre décroissant de criticité (probabilité × impact) pour concentrer les ressources limitées de traitement sur les risques les plus élevés en premier ; les risques de criticité basse peuvent être acceptés ou traités dans un second temps sans compromettre la sécurité globale
• Mise en correspondance avec l'Annexe A ISO 27001 : pour chaque risque à réduire, identifier les contrôles de l'Annexe A d'ISO 27001:2022 (incluant les nouveaux contrôles organisationnels, physiques et technologiques) qui réduisent directement la probabilité ou l'impact du risque, en justifiant la sélection dans la Déclaration d'Applicabilité (SoA)
• Estimation du coût de traitement : pour chaque ensemble de mesures de traitement, estimer le coût de mise en œuvre (investissement initial + coût opérationnel annuel) et le comparer à la perte attendue annuelle (ALE = ARO × SLE) du risque non traité, pour justifier économiquement les investissements de sécurité auprès de la direction
• Définition du risque résiduel acceptable : après application des mesures de traitement, calculer le niveau de risque résiduel attendu et obtenir son acceptation formelle par la direction si ce niveau dépasse encore le seuil d'acceptabilité initial, documentant ainsi que la direction a consciemment choisi d'accepter le risque résiduel
• Planification réaliste des délais : éviter les plans de traitement irréalistes avec des échéances trop courtes ; un PTR crédible tient compte des contraintes de ressources humaines, des dépendances entre projets et des délais d'approvisionnement pour les solutions techniques

Le suivi de l'avancement du Plan de Traitement des Risques doit être intégré dans les processus de gouvernance existants (comité de sécurité mensuel ou trimestriel, reporting à la direction) avec des indicateurs clairs : pourcentage de mesures implémentées, évolution du niveau de risque résiduel global, et respect des échéances définies. La démonstration de l'avancement du PTR est une exigence centrale des audits de certification ISO 27001 et constitue la preuve que le SMSI est opérationnel et non purement documentaire.

Analyse de Risques sur les Tiers et la Chaîne d'Approvisionnement selon ISO 27005

L'extension du périmètre de l'analyse de risques ISO 27005 aux tiers (prestataires, sous-traitants, partenaires) est devenue incontournable dans le contexte des attaques supply chain qui caractérisent les menaces APT modernes. Les incidents SolarWinds, Kaseya et MOVEit ont démontré que les attaquants ciblent délibérément les prestataires IT comme vecteur d'accès aux organisations mieux protégées. NIS 2, applicable en France depuis octobre 2024, renforce cette exigence en imposant aux entités essentielles et importantes d'évaluer les risques de cybersécurité de leur chaîne d'approvisionnement.

La méthodologie d'analyse de risques tiers selon ISO 27005 couvre plusieurs dimensions :

• Cartographie des tiers et classification par criticité : inventorier l'ensemble des tiers ayant accès aux systèmes ou données de l'organisation, et les classer par niveau de criticité selon les critères de type de données accessibles (publiques, internes, confidentielles, personnelles), type d'accès (logique à distance, physique, accès aux sauvegardes), et dépendance opérationnelle (prestataire remplaçable vs. fournisseur critique dont l'interruption impacte directement le business)
• Évaluation du niveau de maturité sécurité des tiers critiques : pour les tiers classés critiques, collecter des preuves de leur niveau de maturité en sécurité : certification ISO 27001 ou SOC 2, réponses à des questionnaires de sécurité standardisés (SIG Lite de Shared Assessments, CAIQ de CSA pour les cloud providers), rapports de tests de pénétration récents, ou audit direct si le prestataire y consent
• Risques spécifiques aux accès à distance des tiers : évaluer les risques liés aux accès à distance accordés aux prestataires (VPN dédiés vs. accès partagés, MFA obligatoire, enregistrement des sessions avec des outils PAM comme CyberArk ou BeyondTrust, révocation immédiate des accès en fin de contrat) qui sont un vecteur fréquent de compromission initiale
• Clauses contractuelles de sécurité : intégrer dans les contrats avec les tiers critiques des clauses exigeant le respect de niveaux minimaux de sécurité, l'obligation de notification d'incident dans des délais définis (72h pour les incidents impactant les données du client, conformément au RGPD), et le droit d'audit de l'organisation cliente

La gestion des risques tiers ne doit pas être un exercice ponctuel de qualification initiale mais un processus continu de surveillance qui ré-évalue les risques lors des renouvellements de contrat, des changements significatifs chez le prestataire (rachat, changement de direction, incident de sécurité public), ou des évolutions du périmètre de la prestation. Des plateformes de gestion du risque tiers (TPRM) comme SecurityScorecard, BitSight ou OneTrust Third-Party Risk facilitent la surveillance continue en fournissant des signaux de risque externes sur les prestataires (fuites de données, vulnérabilités exposées, présence dans des forums cybercriminels) sans nécessiter d'audit direct systématique.

Documentation et Amélioration Continue de l'Analyse de Risques ISO 27005

La documentation de l'analyse de risques ISO 27005 constitue une preuve tangible du fonctionnement du système de management de la sécurité et représente une partie significative de ce que les auditeurs de certification ISO 27001 examinent lors des audits de surveillance et de renouvellement. Une documentation insuffisante ou incohérente peut conduire à des non-conformités majeures même si la sécurité opérationnelle est effective.

Les documents fondamentaux requis par l'analyse de risques ISO 27005/27001 comprennent : le référentiel d'analyse de risques (méthode retenue, critères d'évaluation de la vraisemblance et de l'impact, seuil d'acceptabilité défini et approuvé par la direction), le registre des risques complet avec l'ensemble des risques identifiés et leur évaluation, le Plan de Traitement des Risques avec les décisions et les responsabilités, la Déclaration d'Applicabilité (SoA) documentant chaque contrôle de l'Annexe A avec son applicabilité justifiée et son statut de mise en œuvre, et les comptes-rendus des sessions de revue périodique des risques signés par les participants. L'ensemble de cette documentation doit être maintenu à jour et versionné pour permettre de démontrer l'évolution dans le temps de la posture de risque de l'organisation.

Lien avec EBIOS RM : approche complémentaire

La méthode EBIOS RM de l ANSSI apporte une dimension supplémentaire : l analyse des scénarios stratégiques impliquant des sources de risques intentionnelles.

Modèle d analyse de risques téléchargeable

Ressources et outils complémentaires

• ISO 27001:2022 — Guide complet de certification
• SMSI ISO 27001 — Guide d implémentation
• ISO 27001:2022 vs 2013 — Différences clés
• ISO/IEC 27005:2022 — Norme officielle
• ANSSI — Guide EBIOS RM
• Modèle IA ISO 27001 Expert

FAQ — Analyse de risques ISO 27005

Besoin d'un accompagnement expert ?

Audit, conseil, mise en conformité — devis personnalisé sous 24h.

Demander un devis [email protected]