Tous les articles
10
min
ISO 27001

Analyse des risques ISO 27001 : socle du pilotage de la sécurité de l'information

L'analyse des risques constitue le socle de toute démarche structurée de management de la sécurité de l'information. Elle permet à une organisation d'identifier, d'évaluer et de traiter de manière cohérente les risques susceptibles d'affecter la confidentialité, l'intégrité et la disponibilité de ses informations et de ses systèmes.

Pourtant, trop souvent, l'analyse des risques est perçue comme une simple obligation imposée par la norme ISO 27001, un exercice à "faire" pour satisfaire l'auditeur. Cette vision minimaliste conduit fréquemment à des analyses surdimensionnées, figées ou purement théoriques, qui perdent rapidement toute valeur opérationnelle.

Dans le cadre d'un Système de Management de la Sécurité de l'Information (SMSI), l'analyse des risques n'est ni un exercice ponctuel ni une simple formalité documentaire : il s'agit d'un processus continu, structurant et décisionnel, qui oriente l'ensemble des choix de sécurité.

Pourquoi l'analyse des risques est centrale dans un SMSI

Position stratégique dans le SMSI

Dans un SMSI conforme à l'ISO/IEC 27001, l'analyse des risques occupe une position centrale. Elle intervient à plusieurs niveaux clés :

  • En amont, pour définir les risques pesant sur le périmètre du SMSI et orienter les choix de sécurité. Sans cette analyse initiale, impossible de prioriser les efforts et les investissements de sécurité de manière rationnelle.
  • En support de la Déclaration d'Applicabilité (DdA), en justifiant l'inclusion ou l'exclusion des contrôles de l'annexe A. C'est l'analyse des risques qui permet de démontrer pourquoi certains contrôles sont pertinents pour votre organisation, et pourquoi d'autres peuvent être écartés.
  • En entrée du plan de traitement des risques, qui se traduit opérationnellement par des actions, des mesures techniques, organisationnelles ou humaines. L'analyse des risques nourrit directement le plan d'actions du SMSI.
  • En continu, dans une logique d'amélioration permanente et de surveillance, notamment lors des revues de direction. L'analyse des risques évolue avec l'organisation et son environnement.

Impact sur la maîtrise des risques

Sans analyse des risques solide, le SMSI devient un assemblage de mesures génériques, déconnectées du contexte réel de l'organisation. À l'inverse, une analyse des risques bien menée permet de concentrer les efforts là où ils sont réellement nécessaires et proportionnés.

L'analyse des risques permet d'identifier et de protéger ce qui compte vraiment : les biens essentiels de l'organisation (données clients, propriété intellectuelle, processus critiques) et les systèmes qui les supportent.

Analyse des risques : obligation normative ou outil de pilotage ?

La vision minimaliste et ses écueils

L'analyse des risques est souvent perçue comme une étape à "faire" pour satisfaire l'auditeur. Cette approche conduit à plusieurs problèmes récurrents :

  • Analyses figées : mises à jour une fois par an sans lien avec les décisions réelles, elles ne jouent pas leur rôle de pilotage. L'analyse devient un document statique qui dort dans un tiroir virtuel.
  • Analyses surdimensionnées : vouloir recenser "tous les risques possibles" conduit à des analyses interminables, rapidement obsolètes et jamais réellement exploitées. L'exhaustivité devient l'ennemie de l'efficacité.
  • Analyses purement théoriques : déconnectées de la réalité opérationnelle, elles perdent toute valeur pour les métiers et la direction. Les scénarios de risques restent abstraits et ne parlent à personne.

La vision cible : l'analyse des risques comme levier de pilotage

Pourtant, l'analyse des risques est avant tout un ensemble d'outils au service de l'organisation :

  • Un outil de priorisation : elle permet de distinguer ce qui est critique de ce qui l'est moins. Face à des ressources limitées, l'analyse des risques aide à arbitrer et à concentrer les efforts sur l'essentiel.
  • Un outil de gouvernance : elle formalise les arbitrages, les choix de traitement et les décisions d'acceptation du risque par la direction. Les décisions de sécurité deviennent traçables et opposables.
  • Un outil de pilotage : elle alimente le plan d'actions, le suivi des mesures et les indicateurs de sécurité. L'analyse des risques devient le socle du tableau de bord sécurité.
  • Un outil de communication : elle facilite le dialogue entre métiers, IT, sécurité et direction autour de risques concrets et partagés. Les discussions passent du technique à l'impact business.

Cette approche équilibrée défend une analyse des risques conforme aux exigences normatives, mais pensée avant tout comme un levier de pilotage du SMSI et de maîtrise réelle des risques.

Ce que demande vraiment l'ISO 27001 pour l'analyse des risques

Les exigences normatives essentielles

La norme ISO/IEC 27001 fait de l'analyse des risques un pilier central du SMSI. Contrairement à une idée répandue, l'ISO 27001 n'impose ni méthode unique ni outil spécifique, mais définit des exigences de résultat et de cohérence.

Les principales exigences relatives à l'analyse des risques sont les suivantes :

  • Définir et maintenir un processus d'appréciation des risques cohérent avec le contexte de l'organisme (clause 6.1.2)
  • Identifier les risques pesant sur la confidentialité, l'intégrité et la disponibilité des informations dans le périmètre du SMSI
  • Évaluer les risques selon des critères définis (impact, vraisemblance, acceptabilité)
  • Documenter les résultats de l'analyse des risques de manière exploitable et traçable
  • Utiliser les résultats pour décider du traitement des risques et sélectionner les mesures de sécurité appropriées (Annexe A)

Le point clé : la cohérence avant la sophistication

Un point crucial à retenir : l'auditeur ISO 27001 n'évalue pas la "beauté" ou la sophistication de la méthode, mais la cohérence globale entre le contexte, l'analyse des risques, la Déclaration d'Applicabilité (DdA), et le plan de traitement des risques.

Cette cohérence se vérifie à plusieurs niveaux :

  • Le périmètre de l'analyse correspond-il au périmètre déclaré du SMSI ?
  • Les risques identifiés reflètent-ils les enjeux réels de l'organisation ?
  • Les mesures de sécurité sélectionnées répondent-elles aux risques analysés ?
  • Les décisions d'acceptation de risques sont-elles formalisées et validées par la direction ?

Apport de la norme ISO 27005 pour structurer l'analyse

ISO 27005 : un guide, pas une obligation

La norme ISO/IEC 27005 est une norme de support à l'ISO 27001. Elle ne crée pas d'exigence supplémentaire, mais fournit un cadre méthodologique détaillé pour la gestion des risques de sécurité de l'information.

Son rôle principal est de :

  • Décomposer la gestion des risques en étapes structurées (établissement du contexte, analyse, traitement, acceptation, surveillance)
  • Fournir des concepts communs (menace, vulnérabilité, scénario, risque résiduel)
  • Proposer des listes indicatives de menaces et vulnérabilités, utiles pour sécuriser l'exhaustivité sans tomber dans l'usine à gaz

Clarification des concepts clés

L'ISO 27005 aide à clarifier les notions fondamentales d'une analyse des risques efficace :

  • Risque : combinaison de la vraisemblance qu'un événement se produise et de son impact sur l'organisation. Formellement : Risque = Impact × Vraisemblance.
  • Menace : cause potentielle d'un incident, qu'elle soit intentionnelle (attaque, fraude), accidentelle (erreur humaine) ou environnementale (panne, sinistre).
  • Vulnérabilité : faiblesse d'un asset (organisationnelle, technique, humaine ou procédurale) susceptible d'être exploitée par une menace.
  • Scénario de risque : combinaison concrète d'une menace exploitant une vulnérabilité sur un bien, entraînant un impact sur un ou plusieurs objectifs de sécurité.

Point clé : une menace sans vulnérabilité exploitable ne constitue pas un risque pertinent. À l'inverse, une vulnérabilité sans menace crédible n'est pas prioritaire.

Une approche pragmatique et proportionnée

L'ISO 27005 doit être comprise comme un guide, non une obligation, un réservoir de bonnes pratiques à adapter au niveau de maturité, à la taille et aux enjeux de l'organisation.

Dans la pratique, de nombreuses organisations s'appuient sur l'ISO 27005 pour démontrer la robustesse méthodologique de leur analyse des risques, tout en conservant une approche pragmatique et proportionnée.

Les erreurs fréquentes qui font dérailler une analyse des risques

Confondre exhaustivité et efficacité

Vouloir recenser "tous les risques possibles" conduit à des analyses interminables, rapidement obsolètes et jamais réellement exploitées. L'objectif n'est pas d'être exhaustif, mais d'être pertinent et actionnable.

Une analyse des risques efficace se concentre sur les risques significatifs : ceux qui ont un impact réel sur les objectifs de l'organisation, sur la confidentialité, l'intégrité ou la disponibilité de ses biens essentiels.

Faire une analyse des risques uniquement pour l'audit

Une analyse figée, mise à jour une fois par an sans lien avec les décisions réelles, ne joue pas son rôle de pilotage. Elle devient un exercice purement formel, déconnecté de la réalité opérationnelle.

Les signes d'une analyse "pour l'audit" :

  • Absence de mise à jour entre deux audits
  • Scénarios de risques génériques, copiés d'un modèle
  • Aucun lien visible avec les projets de sécurité en cours
  • Direction et métiers non impliqués

Démarrer par les contrôles au lieu des risques

Lister les mesures de sécurité avant d'avoir identifié et évalué les risques inverse la logique de l'ISO 27001. Cette approche conduit à :

  • Implémenter des contrôles inadaptés au contexte
  • Négliger des risques réels faute de contrôles "standards"
  • Justifier artificiellement les contrôles a posteriori

La démarche ISO 27001 est fondamentalement basée sur les risques (risk-based approach) : d'abord identifier les risques, ensuite sélectionner les contrôles appropriés.

Utiliser des matrices trop complexes ou trop subjectives

Des échelles incomprises ou non partagées faussent les arbitrages et fragilisent la crédibilité de l'analyse. Une matrice de risques efficace doit être :

  • Compréhensible par tous les acteurs (direction, RSSI, métiers)
  • Discriminante pour permettre une réelle priorisation
  • Stable dans le temps pour assurer la comparabilité
  • Adaptée au contexte et à la taille de l'organisation

Copier-coller une méthode sans l'adapter au contexte

Une méthode pertinente pour une grande entreprise régulée peut être totalement disproportionnée pour une PME ou un éditeur SaaS. L'analyse des risques doit refléter :

  • Les enjeux spécifiques de l'organisation
  • Son niveau de maturité sécurité
  • Ses ressources disponibles
  • Son environnement réglementaire et concurrentiel

Vers une analyse des risques exploitable et défendable en audit

Les trois piliers d'une analyse réussie

Une bonne pratique consiste à viser une analyse des risques :

  • Proportionnée : adaptée à la taille, au secteur et à la complexité de l'organisation. Une startup de 50 personnes n'a pas besoin de la même granularité qu'un groupe industriel multinational.
  • Compréhensible par les décideurs : les scénarios de risques doivent parler à la direction et aux métiers, en termes d'impacts business, pas uniquement en jargon technique.
  • Directement exploitable pour prioriser les actions de sécurité : l'analyse des risques doit alimenter concrètement le plan d'actions SMSI, avec des priorités claires et justifiées.

S'inscrire dans un cycle continu

L'analyse des risques n'est pas un livrable ponctuel mais un processus continu. Elle doit évoluer avec l'organisation :

  • Lors de changements significatifs (nouveau système, fusion, externalisation)
  • Suite à des incidents de sécurité
  • En fonction de l'évolution des menaces
  • Lors de la revue annuelle minimale du SMSI

Cette approche permet de transformer l'analyse des risques d'un exercice documentaire en un véritable outil de pilotage de la sécurité de l'information.

Conclusion

L'analyse des risques ISO 27001 ne doit pas être vue comme une contrainte administrative mais comme le socle d'un pilotage efficace de la sécurité de l'information. En se concentrant sur la cohérence plutôt que sur la sophistication méthodologique, en impliquant la direction et les métiers, et en maintenant l'analyse vivante et proportionnée, les organisations peuvent transformer cette exigence normative en véritable avantage stratégique.

L'objectif est clair : produire une analyse des risques exploitable, défendable en audit et réellement utile au quotidien

Ressources complémentaires

Rejoignez la newsletter
Des conseils, analyses et actualités sur la cybersécurité chaque mois dans votre boite mail ! 
En savoir plus sur nos politiques de confidentialités.
Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.
Plus de contenu

Nos derniers articles de Blog

Voir tous les articles
Gouvernance des risques ISO 27001 : rôles, responsabilités et décisions d'acceptation

Découvrez comment structurer la gouvernance des risques ISO 27001 : rôles clés (direction, RSSI, propriétaires), validations attendues et principe de justification.

Lire l'article
Déclaration d'Applicabilité (DdA) ISO 27001 : le chaînon clé entre analyse des risques et contrôles

Découvrez comment construire une Déclaration d'Applicabilité ISO 27001 cohérente, justifiée par l'analyse des risques et directement reliée au plan de traitement du SMSI.

Lire l'article
Gestion des risques en sécurité de l'information : un processus continu au cœur du SMSI

La gestion des risques ISO 27001 dépasse l'analyse initiale. Découvrez comment structurer un processus continu, articulé au PDCA, de l'identification au pilotage.

Lire l'article
Rejoignez la newsletter
1 email/ mois

Des conseils, analyses et actualités sur la cybersécurité chaque mois dans votre boite mail ! 

Services
Accompagnement certification
Mise en conformité
Maintien conformité
Accompagnement HDS
Accompagnement ISO 27001
Accompagnement ISO 9001
Accompagnement Oversecur
Solution (Oversecur)
L'outil Oversecur
Les offres
Formations
RGPD
Sécurité de l’information
Données de santé
ISO 27001
ISO 9001
HDS
SECNUMCLOUD
Normes & Directives
ISO 9001
ISO 27001
HDS
ISO 42001
TISAX
SecNumCloud
SOC 2
NIS 2
RGPD
ISO 20000
ISO 13485
Ressources
Articles de blog
Guide du dirigeant
Webinaires & Événements
Autodiagnostic ISO 27001
A propos
Qui sommes-nous
Nous contacter
FeelAgile logo blanc
Logo afaq ISO 27001 Sécurité de l'information AFNOR CERTIFICATION.
Logo certifié qualiopi

©2025 FeelAgile

Certificat qualiopi
Politique de confidentialité
Mentions légales