1. Livres & vidéos
  2. La norme ISO/IEC 27005
  3. Établissement du contexte
Extrait - La norme ISO/IEC 27005 Maîtriser la gestion des risques en sécurité de l'information (2e édition)
Extraits du livre
La norme ISO/IEC 27005 Maîtriser la gestion des risques en sécurité de l'information (2e édition) Revenir à la page d'achat du livre

Établissement du contexte

Introduction

La norme ISO/IEC 27005:2022 débute son processus de gestion des risques par une étape fondamentale : l’établissement du contexte. Cette phase vise à cadrer l’analyse à venir en définissant clairement l’environnement interne et externe de l’organisation, ses parties prenantes, ses objectifs, ses critères de risque, ainsi que le périmètre de l’étude.

Contrairement à la version précédente, la norme 2022 n’emploie plus explicitement la structure « Entrées/Actions/Sorties » pour cette activité. Ce formalisme, autrefois présent dans chaque phase du processus, est désormais réservé aux activités décrites à partir de la clause 7 (identification, analyse, évaluation, traitement, etc.).

Cependant, pour préserver la clarté pédagogique et garantir une lecture structurée et fluide tout au long de cet ouvrage, nous avons choisi de conserver ce triptyque dans la présentation des sections. Il permet de visualiser en un coup d’œil les éléments nécessaires à chaque activité, les actions à entreprendre, et les résultats attendus.

Nous débuterons donc ce chapitre par le tableau suivant, non plus en tant qu’extrait normatif, mais comme outil...

Établissement du contexte

1. Le contexte externe

Le contexte externe représente l’environnement dans lequel l’organisation évolue, et qui peut influencer directement ou indirectement sa capacité à atteindre ses objectifs. Il inclut des éléments variés comme la situation économique, la pression concurrentielle, les tendances technologiques, les obligations légales ou encore les attentes sociétales. Cette analyse n’est pas seulement descriptive : elle permet de mettre en lumière des facteurs de risque mais aussi des opportunités.

ISO/IEC 27005:2022 souligne l’importance d’intégrer les facteurs extérieurs dès le début du processus de gestion des risques. L’objectif est d’avoir une compréhension claire de tous les éléments qui, en dehors de l’organisation, pourraient avoir un effet sur la sécurité de l’information. Cela inclut aussi bien les menaces connues que les tendances émergentes susceptibles d’impacter les actifs, les services ou la réputation de l’organisation.

Les éléments suivants peuvent constituer le contexte externe :

  • l’environnement juridique, réglementaire, politique, économique ou social dans lequel l’organisation exerce ses activités ;

  • les obligations contractuelles, les normes sectorielles ou les attentes spécifiques des clients et partenaires ;

  • la localisation géographique, les risques environnementaux ou climatiques propres à la région...

Identifier les parties prenantes

Les parties prenantes, parfois appelées parties intéressées, désignent toutes les personnes, groupes ou organisations ayant un intérêt dans la sécurité de l’information ou dans le processus de gestion des risques associé. Elles peuvent être internes à l’organisation (employés, direction, fonctions supports) ou externes (clients, régulateurs, prestataires, partenaires, fournisseurs). La norme ISO/IEC 27005:2022 insiste sur l’importance de comprendre non seulement qui sont ces acteurs, mais aussi quelles sont leurs attentes, leurs exigences, et leur influence sur les décisions relatives à la gestion des risques.

Le premier travail consiste à les identifier de manière exhaustive. Il ne s’agit pas seulement de dresser une liste de noms ou de fonctions, mais d’analyser leurs préoccupations, leurs objectifs propres, ainsi que leur sensibilité vis-à-vis des enjeux de sécurité. Certaines parties prenantes peuvent chercher à protéger leur image, d’autres leur conformité réglementaire, d’autres encore leur performance opérationnelle ou la confidentialité de leurs données.

Une fois cette cartographie établie, il convient de préciser le rôle de chaque partie prenante dans le processus...

Définir les objectifs

Définir les objectifs est une étape essentielle avant toute analyse de risque. Sans objectif clair, il devient difficile de hiérarchiser les risques, d’évaluer les conséquences d’un événement ou de déterminer le niveau d’acceptabilité. La norme ISO/IEC 27005:2022 rappelle que la gestion des risques doit s’intégrer dans la logique de gouvernance et d’amélioration continue de l’organisation. Cela suppose que les objectifs de sécurité soient alignés sur les priorités globales de l’entreprise.

Les objectifs peuvent être généraux, en lien avec la stratégie de l’organisation, ou plus ciblés, en rapport avec un projet, un service ou un type de menace spécifique. Dans tous les cas, ils doivent être exprimés de manière à guider la démarche d’évaluation, de traitement et de suivi des risques.

Voici quelques exemples d’objectifs liés à un programme global de gestion des risques :

  • Se conformer aux exigences réglementaires en matière de sécurité, telles que le RGPD ou la directive NIS2.

  • Renforcer la résilience de l’organisation face aux menaces internes ou externes. 

  • Sensibiliser les collaborateurs aux bonnes pratiques de sécurité...

Définir les critères de base

La définition des critères de base est une étape essentielle pour garantir la cohérence et la pertinence de l’évaluation des risques. Ces critères permettent de juger si un risque est acceptable ou non, s’il est prioritaire ou secondaire, ou encore s’il exige un traitement immédiat. La norme ISO/IEC 27005:2022 insiste sur l’importance de définir ces critères en lien étroit avec les objectifs, les valeurs et les obligations de l’organisation.

Ces critères doivent prendre en compte plusieurs dimensions : les conséquences possibles d’un risque, la vraisemblance qu’il survienne, le niveau global de risque tolérable, mais aussi la capacité de l’organisation à y faire face. Ils ne sont pas imposés par la norme, mais doivent être établis de manière spécifique et adaptée à chaque contexte.

Parmi les éléments à considérer lors de la définition des critères :

  • les types de conséquences possibles : pertes financières, atteinte à la réputation, indisponibilité de services, fuite de données, non-conformité juridique… ;

  • les moyens de mesurer la vraisemblance ou la probabilité qu’un événement...

Définir le cadre et les limites

Définir le périmètre de l’analyse de risques est une étape incontournable. Il s’agit de fixer des frontières claires pour déterminer ce qui est inclus ou exclu dans le processus de gestion des risques. Cette démarche permet de concentrer les efforts d’analyse sur les actifs, processus et ressources réellement concernés, tout en assurant une cohérence avec les objectifs de l’organisation.

La norme ISO/IEC 27005:2022 insiste sur la nécessité d’un périmètre défini, explicite, documenté et justifié. Ce périmètre peut être technique, organisationnel, fonctionnel ou géographique. Il doit être aligné avec les enjeux métiers et prendre en compte les obligations internes ou externes.

La définition du périmètre suit une logique similaire à celle utilisée dans d’autres normes, notamment ISO/IEC 27001. Cette dernière exige, dans le cadre d’une certification, que l’organisation déclare formellement le périmètre de son système de management de la sécurité de l’information (SMSI). C’est uniquement ce périmètre qui fera l’objet de l’évaluation et de la certification.

Pour illustrer concrètement cette notion, reprenons notre exemple de la banque fictive. Supposons que le périmètre retenu pour l’analyse de risques soit le bâtiment du siège social situé en bord de mer. Dans ce cas, les murs physiques du bâtiment représentent les limites géographiques de l’étude. L’organisation peut décider d’exclure certains espaces, comme les salles d’eau, de l’analyse de risques liée à la sécurité de l’information. Cela ne signifie pas que ces espaces n’ont aucun risque, mais qu’ils feront l’objet d’une évaluation séparée. Ces exclusions doivent toujours être documentées...

Conclusion

Le contexte de l’organisation constitue le socle sur lequel repose l’ensemble du processus de gestion des risques. Un même scénario de risque n’aura pas le même poids, la même perception, ni les mêmes conséquences dans deux structures différentes. C’est pourquoi il est fondamental pour le gestionnaire de risques de bien cerner les missions, les objectifs, les valeurs et les priorités propres à l’organisation.

Mais cela ne suffit pas. Il faut également intégrer les attentes des parties prenantes, les contraintes internes et externes, ainsi que le périmètre dans lequel s’inscrit l’analyse. Ces éléments, pris dans leur ensemble, forment un cadre de référence qui permettra d’évaluer les risques de manière réaliste, cohérente et adaptée.

En prenant le temps de définir soigneusement le contexte, l’organisation se donne les moyens de produire une analyse de risques pertinente, utile et durable. Cette étape, souvent perçue comme préliminaire, conditionne en réalité la qualité de tout ce qui suivra.