26 mai 2026 • Cybersécurité
L'analyse des risques n'est pas un simple élément facultatif de la norme ISO 27001 : c'est le fondement même sur lequel repose l'ensemble de la norme. Sans une compréhension structurée des problèmes potentiels, de leur probabilité et de leur impact, toutes les mesures de sécurité mises en place par votre organisation reposent sur des hypothèses plutôt que sur des faits avérés. Cet article explique en quoi consiste l'analyse des risques ISO 27001, comment l'aborder étape par étape et présente un exemple concret.
Qu'est-ce qu'une analyse des risques ISO 27001 ?
Une analyse des risques selon la norme ISO 27001 est un processus structuré au cours duquel une organisation identifie les risques liés à la sécurité de l'information, évalue leur probabilité et leur impact potentiel, et détermine la manière de les traiter. Le résultat est un registre des risques, c'est-à-dire un aperçu documenté de tous les risques identifiés et des décisions prises pour chacun d'entre eux.
La norme ISO 27001 ne prescrit pas de méthode unique pour mener une analyse des risques. Elle exige simplement que la méthode soit cohérente, reproductible et qu'elle produise des résultats comparables. Dans la pratique, la plupart des organisations ont recours à une matrice probabilité-impact, à un système de notation qualitative ou à une combinaison des deux.
L'analyse des risques n'est pas un exercice ponctuel. La norme ISO 27001 exige qu'elle soit réexaminée régulièrement, à des intervalles planifiés et chaque fois que des changements importants surviennent au sein de l'organisation ou dans son environnement. Cela en fait un document évolutif, et non un rapport archivé.
Pourquoi l'analyse des risques est au cœur de la norme ISO 27001
La norme ISO 27001 est une norme fondée sur les risques. Cela signifie que les mesures de contrôle mises en œuvre par une organisation doivent être dictées par les risques, et non par les conventions ou les pratiques des concurrents. La clause 6.1.2 de la norme ISO 27001 exige expressément que les organisations définissent un processus d'évaluation des risques, l'appliquent de manière cohérente et conservent des informations documentées à titre de preuve.
Cette approche fondée sur les risques a une implication pratique : deux organisations appartenant au même secteur peuvent disposer de dispositifs de contrôle très différents, car leurs profils de risque divergent. Un prestataire de soins de santé traitant des données sensibles sur les patients est confronté à des menaces différentes et présente une exposition différente de celle d'une entreprise de logistique. C'est l'analyse des risques qui permet d'adapter le SMSI à l'organisation, et non l'inverse.
La norme ISO 27001 ne vous indique pas quels risques hiérarchiser. Elle vous demande de mettre en place un processus suffisamment rigoureux pour que vous puissiez le déterminer par vous-même — et de consigner que vous l'avez fait.
Les quatre étapes d'une analyse des risques selon la norme ISO 27001
Bien que la norme ISO 27001 laisse une certaine souplesse quant à la méthodologie, les analyses de risques efficaces suivent systématiquement quatre étapes fondamentales :
- Identifiez les actifs et les menaces. Commencez par recenser les actifs informationnels qui revêtent une importance particulière pour votre organisation : données, systèmes, processus, personnel. Pour chaque actif, identifiez les menaces auxquelles il est exposé — accès non autorisé, perte de données, défaillance du système, erreur humaine — ainsi que les vulnérabilités qui permettent d'exploiter ces menaces.
- Évaluez la probabilité et l'impact. Pour chaque risque identifié, attribuez une note à la probabilité qu'il se produise et à l'impact qu'il aurait s'il se concrétisait. Une échelle simple de 1 à 3 ou de 1 à 5 convient à la plupart des organisations. La combinaison de ces deux notes permet de déterminer le niveau de risque.
- Déterminer la stratégie de gestion des risques. Pour chaque risque, choisir une stratégie de gestion : atténuer (mettre en place un contrôle pour réduire le risque), accepter (démontrer que le niveau de risque est acceptable), transférer (par exemple via une assurance ou l'externalisation) ou éviter (modifier l'activité à l'origine du risque).
- Consigner et examiner. Consigner l'ensemble des constatations, des décisions thérapeutiques et des risques résiduels dans un registre des risques. Relier chaque décision aux mesures de contrôle applicables figurant à l'annexe A de la norme ISO 27001. Fixer une date de révision.
Exemple d'analyse des risques : comment cela se passe-t-il dans la pratique ?
Vous trouverez ci-dessous un exemple simplifié d'analyse des risques pour une organisation disposant d'une petite équipe informatique et comptant à la fois des employés travaillant au bureau et à distance. Les notes sont exprimées sur une échelle de 1 à 3 (1 = faible, 3 = élevé).
| Risque | Probabilité | Impact | Niveau de risque | Traitement |
|---|---|---|---|---|
| Un employé clique sur un lien de hameçonnage, ses identifiants sont volés | 3 | 3 | Élevé | Prévention — simulation de phishing + formation de sensibilisation |
| Des logiciels non mis à jour exploités par des logiciels malveillants | 2 | 3 | Élevé | Atténuer — politique de gestion des correctifs |
| Ordinateur portable perdu ou volé contenant des données non cryptées | 2 | 2 | Moyen | Mesures d'atténuation — chiffrement complet du disque + MDM |
| Un collaborateur clé quitte l'entreprise, un savoir-faire est perdu | 2 | 2 | Moyen | Atténuation — documentation + processus de transfert des connaissances |
| Bureau inondé, salle des serveurs inaccessible | 1 | 3 | Moyen | Transfert — assurance continuité d'activité + sauvegarde dans le cloud |
| Compte sur les réseaux sociaux piraté | 1 | 1 | Faible | Accepter — surveillance, aucune mesure de contrôle supplémentaire requise |
Cet exemple d'analyse des risques montre comment le comportement humain — en particulier la vulnérabilité au phishing — apparaît systématiquement comme un risque hautement prioritaire. Il s'agit également de l'un des risques les plus faciles à traiter grâce à des formations structurées de sensibilisation à la sécurité.
La formation à la sensibilisation à la sécurité en tant que mesure de gestion des risques
Dans presque toutes les analyses des risques menées dans le cadre de la norme ISO 27001, les risques liés au facteur humain se retrouvent dans la catégorie des risques hautement prioritaires. Le phishing, l'ingénierie sociale, les mots de passe faibles et la divulgation accidentelle de données constituent des risques prévisibles et récurrents — et ce sont les personnes, et non les systèmes, qui en sont à l'origine.
La mesure de contrôle 6.3 de l'annexe A de la norme ISO 27001 exige explicitement que les organisations assurent la sensibilisation, l'éducation et la formation de l'ensemble du personnel en matière de sécurité de l'information. Il ne s'agit pas simplement de suivre un module une fois par an. Cette mesure de contrôle exige une sensibilisation continue, capable de s'adapter à l'évolution des menaces.
La formation de sensibilisation à la sécurité ISO 27001 proposée par Guardey repose précisément sur ce principe : des sessions de formation courtes et récurrentes, associées à des simulations de phishing, qui fournissent aux organisations à la fois la couverture et la documentation nécessaires pour satisfaire les auditeurs. L'entrée du registre des risques relative à l'erreur humaine passe de « risque élevé, partiellement atténué » à « risque élevé, géré activement » — une distinction qui fait toute la différence lors d'un audit.
Éliminer les risques liés au facteur humain pour se conformer à la norme ISO 27001
Instaurer une culture de la sécurité avant que les auditeurs ne viennent frapper à votre porte.
