Accueil de l'Académie
Blogs
Gestion des risques liés à la sécurité de l'information sur le site Cyberday: identification des risques, évaluation, traitement et clôture
Fait partie de la collection ISO 27001
Fait partie de la collection NIS2

Gestion des risques liés à la sécurité de l'information sur le site Cyberday: identification des risques, évaluation, traitement et clôture

Collection ISO 27001
Gestion des risques liés à la sécurité de l'information sur le site Cyberday: identification des risques, évaluation, traitement et clôture
Collection NIS2
Gestion des risques liés à la sécurité de l'information sur le site Cyberday: identification des risques, évaluation, traitement et clôture
Cyberday blog
Gestion des risques liés à la sécurité de l'information sur le site Cyberday: identification des risques, évaluation, traitement et clôture

La gestion des risques est une expression courante dans les entreprises modernes. Toutefois, en l'absence de méthodes claires pour la mettre en œuvre et la relier au travail quotidien, la gestion des risques risque de rester une entité détachée et apparemment inutile pour l'entreprise.

La gestion des risques liés à la sécurité de l'information est un domaine de la gestion des risques dont l'importance ne cesse de croître. En particulier dans les organisations fortement numérisées, elle devrait être au premier plan de la gestion des risques.

L'idée de cet article est de fournir un modèle opérationnel clair pour la gestion des risques liés à la sécurité de l'information, qui va de l'identification des risques à leur élimination, en impliquant différentes personnes dans différents rôles, et en contrôlant les mesures décidées dans le cadre du traitement des risques.

Nous envisageons la question principalement sous l'angle des bonnes pratiques de la norme de sécurité de l'information ISO 27001.

Exigences en matière de gestion des risques liés à la sécurité de l'information

En général, chaque norme de sécurité de l'information ou législation connexe met l'accent sur la gestion des risques. La norme ISO 27001 présente ses propres exigences, mais des éléments similaires figurent par exemple dans le NIST CSF.

La norme ISO 27001 énonce des exigences claires en matière de gestion des risques liés à la sécurité de l'information :

  • 6.1.1 : Il doit exister une procédure documentée selon laquelle les risques liés à la sécurité de l'information sont identifiés, évalués et traités.
  • 6.1.3c : Tous les contrôles énumérés dans la norme ISO 27002 seront pris en compte dans la phase de traitement des risques.
  • 6.1.3d : La déclaration d'applicabilité (SoA) est créée pour résumer la mise en œuvre des contrôles de sécurité.

La première exigence guide l'organisation dans la mise en œuvre de la gestion des risques selon un ensemble de règles de base communes. Le fait que chacun évalue les risques à sa manière constitue déjà un risque important.

Le deuxième point exige de l'organisation qu'elle procède à un examen complet des contrôles énumérés dans la norme ISO 27002. La norme propose donc des bonnes pratiques plus concrètes pour réduire la probabilité ou l'impact des risques.

Le troisième point exige que l'organisation résume clairement son utilisation des contrôles : Parmi les contrôles énumérés dans la norme ISO 27002, quels sont ceux que nous avons mis en œuvre et pour quelles raisons en avons-nous laissé certains inappliqués ? La déclaration d'applicabilité permet d'obtenir une vue d'ensemble, même si le processus d'évaluation des risques est principalement mis en œuvre du point de vue d'un risque individuel.

Avantages d'un bon processus de gestion des risques

Un processus de gestion des risques liés à la sécurité de l'information bien mis en œuvre :

  • Le travail de sécurité de l'information est amélioré lorsque les éléments essentiels sont d'abord réalisés de manière efficace et que les progrès ultérieurs sont hiérarchisés à l'aide de la gestion des risques.
  • Attire efficacement l'attention sur les aspects uniques des activités de l'organisation dans le contexte de la sécurité de l'information.
  • Elle peut facilement démontrer son efficacité lorsque le traitement des risques débouche sur des actions claires assorties de responsabilités, de calendriers et d'un suivi permanent de l'état d'avancement.

Toutefois, il est important de comprendre que se lancer directement dans la gestion des risques n'est pas forcément conseillé si les principes fondamentaux de la cybersécurité ne sont pas en place au sein de l'organisation. Il devient difficile d'identifier et d'évaluer les risques lorsque l'organisation ne dispose pas de pratiques systématiques pour décrire son environnement de traitement des données, documenter les actifs nécessitant une protection par des mesures de sécurité et comprendre les mesures de sécurité existantes. C'est pourquoi Cyberday vise à fournir des cadres établis pour tous ces domaines et recommande de passer à la gestion des risques après avoir traité les aspects fondamentaux.

Étapes du processus de gestion des risques Cyberday

La mise en œuvre de la gestion des risques sur le site Cyberday est présentée ci-dessous étape par étape.

Les différents stades des risques de cybersécurité.

1. L'identification des risques

Les nouveaux risques peuvent être identifiés sur le site Cyberday de la manière suivante :

Identification automatisée des risques de cybersécurité par l'activation des tâches de sécurité de l'information.

Cyberday comprend des informations de base sur les risques pertinents pour chaque tâche. Lorsqu'une tâche est activée sur Cyberday, les risques associés sont automatiquement ajoutés au registre des risques.

Lors de l'activation d'une tâche, les risques liés sont automatiquement identifiés.

Identification des risques par le traitement des incidents ou des changements. Les processus de l'organisme pour traiter les incidents de sécurité de l'information ou les changements significatifs ayant un impact sur la sécurité comprennent l'analyse des risques. L'objectif est d'identifier les risques associés à l'événement spécifique, puis de passer à la phase d'évaluation des risques. Ces risques peuvent être entièrement nouveaux ou nécessiter une réévaluation au cours de l'événement.

Identifier les risques associés aux actifs critiques. Si on le souhaite, les risques peuvent être identifiés chaque fois que des actifs informationnels (tels qu'un système d'information, un référentiel de données ou un partenaire) sont classés comme "critiques" dans le système de gestion. Cette mise en œuvre peut être placée sous le contrôle du propriétaire du bien. Tous les risques identifiés sont liés à l'actif associé au moyen d'une fiche de documentation des risques.

Ateliers utilisant des exemples de risques tirés de Cyberday. Cyberday comprend une liste complète d'exemples de risques pour la sécurité de l'information. Cette liste permet d'identifier les menaces négligées et les nouveaux risques. Nous recommandons d'organiser de tels ateliers lorsque cela s'avère nécessaire, par exemple si les autres méthodes décrites ici n'ont pas été utilisées au cours des six derniers mois.

2. Risques liés au prétraitement

Une fois qu'un risque a été identifié, la première étape consiste à sélectionner un propriétaire du risque. Dans Cyberday, la sélection automatique par défaut pour les nouveaux risques est le propriétaire du thème Gestion des risques et leadership. Cette personne doit ensuite réassigner le risque au propriétaire de l'actif correspondant si le risque est clairement lié à cet actif, ou au propriétaire d'un autre thème de sécurité si le risque est clairement lié à ce thème. La délégation s'effectue en désignant l'utilisateur approprié comme propriétaire du risque sur la fiche de documentation.

Les actions initiales d'un propriétaire de risque

  • Identifier les actifs connexes. Il s'agit d'une méthode permettant de relier l'évaluation et le traitement des risques à d'autres parties du SMSI. Les risques peuvent être associés à d'autres actifs (tels qu'un système de données ou un partenaire) dans le champ "Actifs connectés au système de gestion" de la fiche de documentation. Si le risque est clairement lié à d'autres ressources qui n'ont pas leur propre fiche de documentation dans le système de gestion, il est décrit dans le champ "Autres ressources associées".
  • Identifier les tâches actuelles qui permettent de gérer le risque. L'idée de ce point est de comprendre ce que l'organisation fait déjà pour gérer ce risque. Il est important d'en tenir compte lors de la phase d'évaluation des risques. Il est essentiel que l'évaluation des risques ait lieu dans le même système que celui où les mesures de cybersécurité sont contrôlées.

3. L'évaluation des risques

Lors de la phase d'évaluation du risque, une valeur numérique est attribuée au risque en fonction de son impact potentiel et de sa probabilité. L'organisation peut choisir d'utiliser une échelle d'évaluation plus étroite (1-3) ou plus large (1-5) en fonction de ses préférences.

Évaluation des risques sur la carte de documentation.

Cyberday vise à faciliter l'évaluation des risques en apportant des réponses rapides lorsque la gravité ou la probabilité d'un risque n'est pas élevée. Le risque peut avoir une gravité réduite en raison de la nature des activités de l'organisation ou une probabilité réduite en raison de la mise en œuvre de pratiques efficaces de gestion des risques.

Sur la base de l'évaluation, le niveau de risque est automatiquement calculé pour chaque risque. L 'organisation peut définir son niveau de risque acceptable et tout risque dépassant ce niveau doit passer à la phase de traitement, au cours de laquelle diverses mesures sont mises en œuvre pour réduire le niveau de risque.

4. Traitement des risques

Le niveau de risque déterminé lors de l'évaluation indique si la gestion du risque doit être poursuivie.

Si le niveau de risque se situe dans une fourchette acceptable ou en dessous, le risque peut être accepté à ce stade.

Si nécessaire, la gestion des risques passe à la phase de traitement :

  • L'option de traitement du risque appropriée est sélectionnée à l'aide de lignes directrices.
  • Des mesures plus spécifiques sont déterminées pour réduire le niveau de risque.

Le choix le plus courant consiste à réduire le risque en mettant en œuvre des tâches supplémentaires qui améliorent les pratiques de cybersécurité de l'organisation. À ce stade, il est essentiel de répertorier les tâches décidées dans le même système que celui utilisé pour la gestion des risques. Cela permet de s'assurer que la gestion des risques débouche sur des résultats concrets, qui sont automatiquement inclus dans le même processus de suivi.

Plan de traitement d'un risque individuel.

La synthèse du traitement décidé au niveau de l'organisation est appelée plan de traitement des risques. Le propriétaire de chaque risque individuel doit accepter le plan de traitement créé pour le risque correspondant.

5. Suivi et clôture des risques

Lorsque le traitement prévu du risque a été mis en œuvre, c'est-à-dire que les propriétaires désignés ont confirmé que les tâches sont effectivement accomplies, le risque peut être clôturé. Le processus de gestion des risques se termine donc par un résultat clair.

Un risque peut être réévalué, par exemple lorsqu'un incident de sécurité se produit ou qu'un changement significatif dans les opérations de l'organisation a lieu et pourrait augmenter l'impact ou la probabilité du risque.

Conseils pour la mise en œuvre de la gestion des risques Cyberday

Voici quelques points forts qui peuvent vous aider à mettre en œuvre la gestion des risques dans votre organisation.

  • Consultez les modèles de rapport concernant la gestion des risques dans Cyberday. La procédure de gestion des risques et l'aperçu des résultats constituent en particulier un matériel didactique utile pour toutes les personnes impliquées dans la gestion des risques liés à la sécurité de l'information.
  • Il est possible de créer un cycle de révision pour la liste des risques de cybersécurité. Cela permet à l'application Cyberday Teams de rappeler aux propriétaires des risques de revoir la liste des risques de cybersécurité, par exemple tous les 6 mois. Cela permet d'identifier les risques qui ont changé et qui doivent être réévalués.
  • Créer des lignes directrices personnalisées pour les propriétaires de risques. Sur le site Cyberday , il est possible de cibler des lignes directrices pour des unités spécifiques. L'une de ces unités est celle des propriétaires de risques. Vous pouvez ajouter des lignes directrices importantes au guide et, grâce à Cyberday , vous assurer que les propriétaires de risques les lisent régulièrement.

Vous souhaitez en savoir plus sur le sujet ?

Si vous souhaitez en savoir plus sur la gestion des risques liés à la cybersécurité, participez à nos prochains webinaires ou choisissez un moment opportun pour une réunion d'équipe et nous pourrons poursuivre la discussion de manière plus personnalisée.

Rédigé par
Matti Lindfors
13.6.2023
@
LinkedIn

Contenu de l'article

Autres articles sur le même thème

Voir la collection ISO 27001
Voir la collection complète de NIS2

Autres articles de blog

Partager l'article

Autres contenus similaires de Academy

Blogs

Les 10 non-conformités les plus fréquentes lors des audits ISO 27001

Les audits et les non-conformités poussent les organisations à l'amélioration continue. Mais avant votre première certification ISO 27001, il est bon de connaître les non-conformités les plus courantes, afin de les éviter lors de votre audit de certification.
18.2.2025

J'ai reçu une demande d'entretien pour un audit ISO 27001 - à quoi dois-je m'attendre ?

Dans ce blog, nous parlerons de l'importance de la participation des employés dans le processus d'entretien d'audit, des raisons pour lesquelles les auditeurs apprécient les points de vue des employés, et nous examinerons les questions qui peuvent être posées lors d'un entretien ISO 27001.
13.2.2025

Liste de contrôle de la conformité et de la certification ISO 27001

Vous souhaitez vous assurer que vous répondez aux exigences de la norme ISO 27001 ? Cette liste de contrôle présente des étapes clés clairement ordonnées qui guident votre organisation dans la mise en place d'un SMSI et la mise en conformité avec la norme ISO 27001.
6.2.2025

Commencez dès aujourd'hui

Commencez gratuitement, dans votre environnement familier des équipes.
Si vous avez d'abord des questions, prenez rendez-vous avec nous.

Commencer un essai gratuit de 14 jours
Réserver une réunion
Comment cela fonctionne-t-il ?
RésuméTâches et assurance de la sécuritéFlux de travail de documentationDirectives pour les employésModèles de rapport
Cas d'utilisation
Par cadreTous les cadresISO 27001Directive NIS2NIST CSFCSA CCMISO 27701GDPRISO 27017ISO 27018
Par méthodeGestion du risque cybernétiqueSensibilisation des employésRapport de conformitéGestion des contrôlesGestion des actifsDocuments de politique dynamiqueGestion de la vie privée
Ressources
AcadémieWebinarsBlogArticles d'aideCours vidéoBibliothèque de contenuRésumés hebdomadaires d'informationsS'abonner à l'AcadémieLaissez un commentaireProgramme de partenariatTeamConditions d'utilisationPolitique de confidentialité
Contactez nous
+358 10 231 6010
team@cyberday.ai
L'application fonctionne dans :
Connu en Finlande sous le nom de Digiturvamalli
© Cyberday Inc. Kalevantie 2 33100 Tampere, Finlande
Cyberday.ai - Améliorer et certifier votre cybersécurité