L'analyse de risques est le cœur du Système de Management de la Sécurité de l'Information (SMSI) exigé par l'ISO 27001. La clause 6.1.2 impose d'identifier les risques pesant sur la confidentialité, l'intégrité et la disponibilité des actifs informationnels, de les évaluer et de définir un plan de traitement. Ce guide expert détaille la méthodologie ISO 27005:2022 appliquée dans le cadre d'une certification ISO 27001, avec un modèle Excel téléchargeable et des exemples concrets issus de nos missions d'accompagnement. Nous couvrons l'ensemble du processus : de l'identification des actifs à la déclaration d'applicabilité (SOA), en passant par les critères d'acceptation des risques et les matrices d'évaluation.
En bref
- L'analyse de risques est obligatoire pour la certification ISO 27001 (clause 6.1)
- ISO 27005:2022 fournit le cadre méthodologique le plus aligné avec ISO 27001
- Un modèle Excel complet est téléchargeable en fin d'article
- Le processus se décompose en 5 phases itératives
Pourquoi l'analyse de risques est le pilier du SMSI
Définition
L'analyse de risques ISO 27005 est un processus systématique d'identification, d'évaluation et de traitement des risques liés à la sécurité de l'information. Elle permet de prioriser les investissements de sécurité en fonction de la vraisemblance et de l'impact potentiel de chaque menace sur les actifs de l'organisme.
L'ISO 27001:2022 ne prescrit pas de méthodologie spécifique, mais impose que le processus soit systématique, reproductible et documenté. En pratique, la norme ISO 27005:2022 est la méthodologie la plus naturellement alignée, car elle a été conçue spécifiquement pour compléter l'ISO 27001.
Les principales différences avec la version 2018 de l'ISO 27005 sont :
- L'intégration native des risques liés au cloud computing et aux services externalisés
- La prise en compte des risques liés à la chaîne d'approvisionnement (supply chain)
- L'alignement renforcé avec les 93 contrôles de l'Annexe A de l'ISO 27001:2022
- La simplification du processus d'évaluation avec des approches quantitatives et qualitatives
Les 5 phases de l'analyse de risques ISO 27005
Le processus d'analyse de risques se décompose en 5 phases itératives. Chaque phase produit des livrables qui alimentent la suivante :
| Phase | Activité | Livrable | Durée indicative |
|---|---|---|---|
| 1 | Établissement du contexte | Critères de risque, périmètre | 1-2 semaines |
| 2 | Identification des risques | Registre des risques bruts | 2-4 semaines |
| 3 | Analyse des risques | Matrice vraisemblance x impact | 1-2 semaines |
| 4 | Évaluation des risques | Risques priorisés, cartographie | 1 semaine |
| 5 | Traitement des risques | Plan de traitement, SOA | 2-3 semaines |
Phase 1 : Établir le contexte et les critères de risque
Avant de commencer l'identification des risques, il est essentiel de définir le contexte de l'analyse. Cette étape, souvent négligée, conditionne la pertinence de l'ensemble du processus.
Les éléments à documenter :
- Périmètre de l'analyse : doit correspondre au périmètre du SMSI défini dans la PSSI
- Critères d'évaluation de l'impact : échelle de 1 à 4 (négligeable, limité, important, critique) avec des seuils quantifiés
- Critères de vraisemblance : échelle de 1 à 4 (rare, possible, probable, quasi certain) avec des fréquences associées
- Seuil d'acceptation du risque : défini par la direction, au-dessus duquel un traitement est obligatoire
| Niveau | Impact | Financier | Opérationnel | Réputation |
|---|---|---|---|---|
| 1 | Négligeable | < 10 K€ | Perturbation < 4h | Aucun impact public |
| 2 | Limité | 10 - 100 K€ | Perturbation < 24h | Mention presse locale |
| 3 | Important | 100 K€ - 1 M€ | Perturbation < 1 semaine | Presse nationale |
| 4 | Critique | > 1 M€ | Perturbation > 1 semaine | Crise médiatique |
Point d'attention
Les critères d'impact doivent être validés par la direction avant de commencer l'identification des risques. Un désaccord sur les seuils en cours d'analyse invalide l'ensemble du travail. Prévoyez une réunion de cadrage dédiée avec le Comex.
Phase 2 : Identifier les risques (actifs, menaces, vulnérabilités)
L'identification des risques suit le triptyque Actif x Menace x Vulnérabilité. Pour chaque actif du périmètre, on identifie les menaces applicables et les vulnérabilités exploitables :
EXEMPLE DE SCÉNARIO DE RISQUE :
Actif : Base de données clients (PostgreSQL, production)
Menace : Attaque par injection SQL
Vulnérabilité: Requêtes paramétrées non utilisées dans l API REST
Conséquence : Exfiltration de données personnelles (RGPD)
Impact : Critique (4) - Sanctions CNIL + atteinte réputation
Vraisemblance: Probable (3) - Vulnérabilité connue, surface exposée
Risque brut : 4 x 3 = 12 (CRITIQUE)
Pour structurer cette identification, utilisez les sources de menaces suivantes :
- ANSSI : référentiel des menaces types pour les SI français
- MITRE ATT&CK : matrice des techniques d'attaque par type d'adversaire
- ENISA Threat Landscape : rapport annuel des menaces européennes
- Retours d'incident internes : historique des incidents de sécurité
Phase 3 : Analyser les risques (matrice et calcul)
L'analyse des risques consiste à évaluer chaque scénario selon les critères définis en phase 1. La formule standard est :
Risque = Vraisemblance x Impact
Avec une échelle 4x4, le risque brut va de 1 (minimum) à 16 (maximum). La matrice de risques associée permet une visualisation immédiate de la criticité.
Phase 4 : Évaluer et prioriser les risques
L'évaluation consiste à comparer le niveau de risque brut au seuil d'acceptation défini par la direction. Les risques sont classés en 4 catégories :
- Risques inacceptables (9-16) : traitement obligatoire et prioritaire, plan d'action sous 3 mois
- Risques élevés (6-8) : traitement planifié, plan d'action sous 6 mois
- Risques modérés (3-4) : traitement optionnel, surveillance renforcée
- Risques faibles (1-2) : acceptation formelle documentée
Produisez une cartographie des risques visuelle (heat map) pour la revue de direction. Ce livrable est particulièrement apprécié des auditeurs car il démontre une compréhension globale du profil de risque.
Phase 5 : Traiter les risques (les 4 options)
| Option | Description | Exemple | Usage |
|---|---|---|---|
| Réduction | Appliquer des contrôles pour réduire vraisemblance ou impact | Déployer un WAF pour protéger l API | 70% des cas |
| Transfert | Transférer le risque à un tiers | Souscrire une cyber-assurance | 15% des cas |
| Évitement | Supprimer l activité source du risque | Arrêter un service legacy non patchable | 10% des cas |
| Acceptation | Accepter le risque résiduel formellement | Risque faible sur un actif non critique | 5% des cas |
Le plan de traitement des risques (PTR) associe à chaque risque traité un ou plusieurs contrôles de l Annexe A de l ISO 27001:2022. Cette correspondance alimente directement la Déclaration d Applicabilité (SOA).
À retenir
L analyse de risques n est pas un exercice ponctuel mais un processus itératif qui doit vivre tout au long du cycle PDCA du SMSI. Chaque incident, audit ou changement significatif doit déclencher une réévaluation partielle ou complète des risques identifiés.
Lien avec EBIOS RM : approche complémentaire
La méthode EBIOS RM de l ANSSI apporte une dimension supplémentaire : l analyse des scénarios stratégiques impliquant des sources de risques intentionnelles.
Modèle d analyse de risques téléchargeable
Télécharger le modèle Analyse de Risques
Modèle Excel complet — 150 scénarios — Matrices automatiques — Conforme ISO 27005
Télécharger le modèle (.xlsx)Ressources et outils complémentaires
- ISO 27001:2022 — Guide complet de certification
- SMSI ISO 27001 — Guide d implémentation
- ISO 27001:2022 vs 2013 — Différences clés
- ISO/IEC 27005:2022 — Norme officielle
- ANSSI — Guide EBIOS RM
- Modèle IA ISO 27001 Expert
Besoin d un accompagnement analyse de risques ?
Nos consultants experts conduisent votre analyse de risques ISO 27005 de A à Z
Demander un devis gratuitFAQ — Analyse de risques ISO 27005
Quelle est la différence entre ISO 27005 et EBIOS RM ?
ISO 27005 est une norme internationale centrée sur l analyse systématique des risques opérationnels. EBIOS RM est une méthode française de l ANSSI qui ajoute l analyse des scénarios stratégiques. Les deux sont complémentaires et compatibles avec ISO 27001.
Combien de temps prend une analyse de risques complète ?
Pour une PME de 50 à 200 personnes, comptez 6 à 10 semaines incluant les ateliers avec les métiers. Pour une ETI ou un grand groupe, le processus peut s étendre sur 3 à 4 mois selon la complexité du périmètre.
Faut-il utiliser un outil spécialisé ?
Un tableur Excel structuré suffit pour la plupart des PME et ETI. Les outils spécialisés (MONARC, PILAR) deviennent pertinents au-delà de 500 actifs ou pour les organisations gérant plusieurs SMSI.
Article recommandé
Pour aller plus loin, consultez notre guide sur la PSSI ISO 27001 : Guide de Rédaction et Modèle Complet, document fondateur de votre démarche de certification.
Télécharger cet article en PDF
Format A4 optimisé pour l'impression et la lecture hors ligne
À propos de l'auteur
Ayi NEDJIMI
Expert Cybersécurité Offensive & Intelligence Artificielle
Ayi NEDJIMI est consultant senior en cybersécurité offensive et intelligence artificielle, avec plus de 20 ans d'expérience sur des missions à haute criticité. Il dirige Ayi NEDJIMI Consultants, cabinet spécialisé dans le pentest d'infrastructures complexes, l'audit de sécurité et le développement de solutions IA sur mesure.
Ses interventions couvrent l'audit Active Directory et la compromission de domaines, le pentest cloud (AWS, Azure, GCP), la rétro-ingénierie de malwares, le forensics numérique et l'intégration d'IA générative (RAG, agents LLM, fine-tuning). Il accompagne des organisations de toutes tailles — des PME aux grands groupes du CAC 40 — dans leur stratégie de sécurisation.
Contributeur actif à la communauté cybersécurité, il publie régulièrement des analyses techniques, des guides méthodologiques et des outils open source. Ses travaux font référence dans les domaines du pentest AD, de la conformité (NIS2, DORA, RGPD) et de la sécurité des systèmes industriels (OT/ICS).
Ressources & Outils de l'auteur
Articles connexes
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire