Blog ENI : Toute la veille numérique !
🐠 -25€ dès 75€ 
+ 7 jours d'accès à la Bibliothèque Numérique ENI. Cliquez ici
Accès illimité 24h/24 à tous nos livres & vidéos ! 
Découvrez la Bibliothèque Numérique ENI. Cliquez ici
  1. Livres et vidéos
  2. La norme ISO 27005
  3. Établissement du contexte
Extrait - La norme ISO 27005 Gestion des risques liés à la sécurité de l'information
Extraits du livre
La norme ISO 27005 Gestion des risques liés à la sécurité de l'information
1 avis
Revenir à la page d'achat du livre

Établissement du contexte

Introduction

ISO/IEC 27005 débute chacune des activités de son processus en définissant les entrées nécessaires à sa réalisation, les actions qui y seront menées et les sorties attendues. Ainsi nous débuterons tous les chapitres et sections liés aux processus de gestion des risques par un tableau comme celui-ci :

Entrées

Actions

Sorties

Toutes les informations sur l’organisation pertinentes pour l’établissement du contexte de gestion des risques de sécurité de l’information.

Établir le contexte interne et externe de l’organisation, les critères de base, définir le périmètre.

La spécification des critères de base, la portée et les limites, et l’organisation du processus de gestion des risques de sécurité de l’information.

L’établissement du contexte constitue une définition du périmètre et des objectifs de l’organisation. Il est important de bien connaître l’organisation dans laquelle on travaille avant de pouvoir y produire une analyse de risque. La compréhension des offres de l’entreprise en matière de produits ou de services est essentielle pour le gestionnaire de risque car cela aura un impact sur la façon dont la gestion du risque sera menée. Il en va de même pour les processus d’opération qui sont la porte d’entrée à bon nombre de risques pour l’organisation. Il conviendra donc d’aligner notre gestion des risques à la politique de l’organisation en restant fidèle à ses valeurs, ses objectifs, ses missions et ses stratégies, mais aussi en prenant en compte l’environnement extérieur dans lequel elle évolue.

Tout au long de ce chapitre, nous nous baserons sur un exemple...

Établissement du contexte

1. Le contexte externe

Le contexte externe constitue l’environnement extérieur dans lequel l’organisation évolue et cherche à atteindre ses objectifs. Il sera donc indispensable d’énoncer clairement les objectifs et d’établir une liste des facteurs qui pourraient avoir un impact sur ces derniers. Un environnement concurrentiel, commercial, social ou économique doit dès lors être pris en compte. Les enjeux de tous ces environnements constituent l’établissement du contexte externe. Grâce à cette étude, nous pouvons prendre en compte aussi bien les menaces que les opportunités. De plus, les valeurs ainsi que les perceptions des parties prenantes doivent être prises en compte pour atteindre l’objectif final.

ISO 31000 : 2009 - 5.3.2 Etablir le contexte externe :

Le contexte externe peut inclure, mais sans s’y limiter :

- l’environnement social et culturel, politique, juridique, réglementaire, financier, technologique, économique, naturel et concurrentiel, qu’il soit international, national, régional ou local ;

- les principaux moteurs et tendances ayant un impact sur les objectifs de l’organisation ;

- les relations avec, les perceptions et les valeurs des parties prenantes externes. 

Dans le cas de notre banque, pour établir le contexte externe il faudra tenir compte de la situation économique du pays et de la politique en place en matière de finance. Une fois ces sujets maîtrisés, il sera utile également d’étudier les réglementations et obligations légales au niveau national et européen que la banque se doit de suivre. On pourra également s’intéresser aux risques liés à la situation géographique de l’organisation...

Identifier les parties prenantes

Les parties prenantes (ou intéressées - les deux termes sont admis) sont toutes personnes ou organisations, internes ou externes, impliquées dans le processus de gestion des risques de la sécurité de l’information. La première étape sera de tous les identifier et de déterminer leur préoccupation en matière de sécurité de l’information. C’est ensuite que l’équipe de gestion des risques devra définir le rôle qu’ils auront à jouer dans le projet, leurs responsabilités, et le degré de participation attendu. L’implication des parties prenantes est essentielle au bon déroulement de la gestion du risque. Cela permet d’une part de les sensibiliser à la sécurité de l’information, mais aussi de leur expliquer au fur et à mesure comment la démarche de gestion des risques permet de réduire les coûts et de protéger les ressources de l’organisation.

Si nous reprenons notre exemple de banque fictive, les parties prenantes pourraient être :

  • les responsables de service des différents métiers pour éclairer le gestionnaire de risque sur leurs problématiques mais aussi pour en apprendre davantage sur le risque et la sécurité ;

  • le responsable de la sécurité du système d’information, porteur du projet ;

  • le directeur du système d’information, qui met à disposition ses équipes pour aider dans l’analyse et la remédiation ;

  • la direction, qui appuie le gestionnaire du risque dans son projet et met à disposition les ressources nécessaires ;

  • les équipes opérationnelles, qui mettent en place les mesures de sécurité ;

  • les consultants, qui travaillent...

Définir les objectifs

Les objectifs de la gestion du risque sont de contrer les risques identifiés et de se conformer aux politiques de sécurité de l’organisation ou à une réglementation. Les objectifs vont jouer un rôle déterminant dans les moyens attribués pour la mise en œuvre des mesures permettant d’atteindre le niveau d’exigence attendu, mais aussi dans la hiérarchisation des risques.

On pourra citer des objectifs du programme de la gestion du risque, qui peuvent être les suivants par exemple :

  • Se mettre en conformité avec la réglementation générale sur la protection des données (RGPD).

  • Améliorer la sécurité globale de l’organisation.

  • Sensibiliser les équipes à la sécurité informatique.

Ou des objectifs spécifiques liés à une appréciation des risques :

  • Établir un plan de réponse à un incident.

  • Gérer la sécurité dès la conception d’un projet.

  • Préparer un plan de continuité d’activité.

La banque, dans notre exemple « fil rouge », a défini de multiples objectifs qui sont tout d’abord de se conformer au RGPD pour des raisons légales mais aussi de respecter ses valeurs, c’est-à-dire d’accorder une importance toute particulière à la vie privée de ses clients et de son personnel. Elle souhaite également évaluer la maturité de la sécurité de son système d’information et ainsi éviter une perte de réputation suite à un éventuel piratage informatique. Pour finir, elle souhaite ouvrir de nouvelles agences un peu partout dans le pays et ce projet de grande envergure se doit d’être pensé de façon...

Définir les critères de base

L’importance du risque doit être évaluée suivant des critères bien définis, qui doivent refléter les valeurs et les objectifs de l’organisation. Certains critères peuvent être imposés par des contraintes juridiques telles que des réglementations, des lois, etc. Les critères se doivent d’être en accord avec la politique de gestion des risques de l’organisation et seront définis en amont et revus de façon continue.

La définition des critères de base devra prendre en compte un certain nombre de facteurs, notamment :

  • les types de causes et de conséquences pouvant survenir ;

  • comment définir la vraisemblance ;

  • comment déterminer le niveau de risque ;

  • les points de vue des parties prenantes ;

  • le niveau d’acceptabilité du risque.

La norme ISO 27005 : 2018 distingue trois types de critères de base :

  • Les critères d’évaluation du risque permettent d’attribuer une valeur aux risques. Ceci nous permettra par la suite de hiérarchiser ces risques et ainsi donner une priorité aux mesures qui devront être mises en place afin d’y remédier. Pour ce faire, nous nous baserons sur les points suivants :

  • La valeur stratégique du processus d’information métier.

  • La criticité des actifs informationnels.

  • Les besoins en disponibilité, intégrité, confidentialité.

  • Les attentes et les perceptions des parties prenantes.

  • Les critères d’impact permettent d’attribuer une valeur aux conséquences des risques sur l’organisation. Ils se traduisent en degré de dommages ou de coûts pour l’organisation à la suite d’un évènement non désiré touchant...

Définir le cadre et les limites

Un cadre et des limites strictes doivent être définis par le gestionnaire de risque lié à la sécurité de l’information. Cela permet de s’assurer que tous les actifs pertinents sont pris en compte dans l’analyse de risque. Il est également possible d’exclure du périmètre certains processus ou certains actifs.

La définition de ce périmètre est commune à celle utilisée dans les autres normes où il est question de système de management. Nous pouvons citer par exemple la norme ISO 27001 qui nécessite la définition d’un périmètre du SMSI (Système de management de la sécurité de l’information). C’est uniquement ce périmètre qui sera certifié si l’organisation décide de l’obtention d’une certification.

Simplifions cela en reprenant l’exemple de la banque. Le périmètre est l’entièreté du bâtiment du siège social, les limites en sont donc les murs. Nous décidons que pour l’analyse de risque liée à l’information, nous excluons les salles d’eau du bâtiment. Ainsi, l’accueil, les salles de réunion, les bureaux, les meubles, les procédures, le personnel, etc. font tous partie du périmètre. Cela ne signifie pas que les salles d’eau du bâtiment ne doivent pas être soumises à une gestion des risques, bien au contraire. Une gestion des risques à part sera mise en place pour traiter les exclusions, qui doivent cependant être documentées et justifiées.

Le choix du périmètre est totalement libre et appartient à l’organisation. Pour une organisation ne possédant pas d’expérience...

Conclusion

Le contexte de l’organisation qui fait l’objet de l’étude est d’une extrême importance. En effet, un risque similaire ne sera pas évalué de la même manière dans deux organisations différentes. C’est pourquoi il est crucial pour le gestionnaire de risque de bien comprendre les missions, les objectifs et les valeurs de l’organisation qu’il audite, et de prendre en compte les différentes contraintes liées à l’environnement dans lequel l’organisation évolue.