1. Livres & vidéos
  2. La norme ISO/IEC 27005
  3. Surveillance et revue des risques
Extrait - La norme ISO/IEC 27005 Maîtriser la gestion des risques en sécurité de l'information (2e édition)
Extraits du livre
La norme ISO/IEC 27005 Maîtriser la gestion des risques en sécurité de l'information (2e édition) Revenir à la page d'achat du livre

Surveillance et revue des risques

Introduction

Entrées

Actions

Sorties

Toutes les informations sur les risques obtenues à partir des activités de gestion des risques.

Les risques et leurs facteurs (c’est-à-dire la valeur des actifs, les impacts, les menaces, les vulnérabilités, la probabilité d’occurrence) doivent être surveillés et examinés pour identifier tout changement dans le contexte de l’organisation à un stade précoce et assurer la continuité de l’efficacité des mesures mises en place.

Alignement continu de la gestion des risques sur les objectifs commerciaux de l’organisation et sur les critères d’acceptation des risques.

La surveillance et la revue des risques sont, tout comme la communication sur les risques, un processus transversal, continu et dynamique. C’est pourquoi il convient de surveiller et d’examiner régulièrement les risques pour s’assurer que les hypothèses les concernant et sur lesquelles repose l’évaluation du risque sont toujours valides. Il s’agira également de s’assurer que les résultats attendus sont atteignables et mesurables, que les techniques d’évaluation des risques sont correctement appliquées et que les traitements sont efficaces.

Processus de surveillance et revue des risques

Le processus de surveillance et revue des risques est composé de cinq actions :

  • Le suivi des risques identifiés.

  • La surveillance des risques résiduels.

  • L’identification de nouveaux risques.

  • La garantie de l’exécution des plans d’actions.

  • L’évaluation de l’efficacité des plans d’actions.

Il s’agit d’un processus continu car les risques sont susceptibles d’évoluer au fur et à mesure que le projet mûrit, que de nouveaux risques apparaissent ou disparaissent. Il est donc nécessaire de clairement établir et de correctement définir la responsabilité de cette surveillance et de la revue des risques. Si un changement significatif se produit, il conviendra d’identifier la gravité de l’incident et de déterminer si son traitement doit suivre le processus et attendre la prochaine itération de l’analyse de risques, ou si une intervention doit avoir lieu immédiatement. Il est parfois possible d’effectuer une analyse localisée et de modifier juste un traitement pour pallier le nouveau risque, sans pour autant changer tout le plan d’actions.

Les objectifs de ce processus sont les suivants :

  • S’assurer que les contrôles sont efficaces, qu’ils fonctionnent correctement et qu’ils sont conçus de manière...

Surveillance et revue des facteurs de risques

ISO 27005:2022, clause 10.5.2 : « Monitoring and reviewing influencing risk ».

Les organisations doivent assurer une surveillance continue des facteurs pertinents, tels que :

- a) de nouvelles sources de risque, y compris des vulnérabilités informatiques nouvellement rapportées ;

- b) de nouveaux actifs intégrés dans le périmètre de gestion des risques ;

- c) la modification nécessaire des valeurs des actifs (par exemple en raison de nouvelles exigences métier) ;

- d) les vulnérabilités identifiées, afin de déterminer celles qui deviennent exposées à des menaces nouvelles ou réémergentes ;

- e) les changements dans les modes d’utilisation des technologies existantes ou nouvelles, qui peuvent ouvrir de nouvelles opportunités d’attaque ;

- f) les évolutions des lois et règlements ;

- g) les changements dans l’appétence au risque et dans la perception de ce qui est désormais acceptable ou non ;

- h) les incidents de sécurité de l’information, à l’intérieur comme à l’extérieur de l’organisation.

Il ne faut pas considérer l’évaluation des risques comme quelque chose de statique. Un risque précédemment évalué comme faible peut...

Surveillance et revue de la gestion des risques

Le processus de la gestion des risques de sécurité de l’information doit être continuellement surveillé, révisé, amélioré et approprié afin de s’assurer que le contexte, les résultats de l’évaluation des risques, ainsi que les plans de traitement restent pertinents et adaptés. Les mesures mises en place doivent être surveillées afin de s’assurer qu’elles sont toujours pertinentes et qu’elles répondent bien au besoin.

Pour rappel, les mesures peuvent être préventives, détectives ou correctives. En voici quelques exemples :

Mesures préventives

Mesures détectives

Mesures correctives

Sensibilisation du personnel à la sécurité de l’information

Caméras de surveillance

Installation d’extincteurs

Utilisation de matériaux ignifugés dans les bureaux

Détecteur de fumée

Mise en place d’une équipe de gestion des incidents

Utilisation d’une authentification forte

Système de détection d’intrusion (IDS)

Achat d’une nouvelle machine

Chiffrement des données

Supervision du parc informatique

Réinstallation du système d’exploitation 

Afin d’assurer la pérennité de ces mesures, l’organisation doit s’assurer...

Amélioration continue

Le processus de gestion des risques s’inscrit dans une démarche d’amélioration continue et doit être revu régulièrement, d’autant plus lors de changements majeurs au sein de l’organisation. La mise en œuvre d’un tel processus peut être fastidieuse, et il est préférable de commencer par un périmètre limité que l’on étendra au fil des itérations. Les normes ISO n’imposent jamais une façon de faire. De ce fait, l’organisation est libre d’utiliser la méthode de son choix, ou d’inventer la sienne, du moment que les exigences des normes sont respectées.

Les normes ISO 27005:2022, ISO 27001:2022 et ISO 31000:2018 font référence à la méthode PDCA (Plan, Do, Check, Act) que nous avons déjà détaillée dans le chapitre Programme de gestion du risque. Cette approche cyclique assure une amélioration continue en intégrant des mécanismes de révision, de correction et de pilotage.

Nous citerons ci-dessous d’autres méthodes d’amélioration continue que nous serons libres d’adopter, ou non.

1. Démarche Kaizen

Cette démarche japonaise a vu le jour dans les années 50 dans l’entreprise Toyota. Elle prône le changement au sein d’une organisation au travers de petites améliorations répétées. Le mot « Kaizen » est la contraction des mots « Kai » et « Zen » signifiants respectivement « Changement » et « Meilleur », ensemble signifiant « amélioration continue » en japonais. Cette démarche repose sur plusieurs principes :

  • La remise en question, en considérant que le travail n’est jamais terminé et qu’il peut toujours être optimisé.

  • La recherche de la durabilité, en gardant la même méthode de travail que l’on améliorera au fur et à mesure.

  • La priorité dans les changements, en priorisant ceux qui demandent le moins de ressources et d’investissement. On cherchera alors...

Conclusion

Les données traitées dans le processus de gestion des risques ne sont pas figées dans le temps mais évoluent au quotidien. C’est pourquoi il est vital de surveiller et revoir ce processus en continu, notamment lors de changements majeurs opérés au sein de l’organisation. Ceci s’inscrit dans la démarche d’amélioration continue et permet ainsi de détecter des besoins et d’y apporter les traitements suffisamment tôt pour ne pas réduire le niveau de qualité.

Il ne s’agit pas uniquement de corriger des dysfonctionnements, mais bien d’anticiper les évolutions internes ou externes pouvant affecter la sécurité de l’information. Cette révision constante garantit que les mesures en place restent pertinentes, efficaces et alignées avec les objectifs stratégiques de l’organisation. 

Ainsi, une gestion des risques dynamique permet à l’organisation de renforcer sa résilience, d’optimiser ses ressources et de maintenir la confiance des parties prenantes face aux incertitudes.