Comment réaliser une évaluation des risques ISO 27001 grâce à l'IA
Aperçu
Vous apprendrez à exploiter l'IA pour mener une évaluation complète des risques ISO 27001, de l'identification des actifs informationnels au calcul des scores de risque et à l'élaboration de plans de traitement directement liés aux mesures de l'Annexe A.
À qui s'adresse ce guide
Ce guide est destiné aux :
Professionnels de la sécurité réalisant leur première évaluation des risques ISO 27001
Responsables des risques passant d'autres référentiels à l'ISO 27001
Consultants gérant des évaluations de risques pour plusieurs clients
Organisations confrontées à la complexité des évaluations de risques traditionnelles
Prérequis
Avant de commencer, assurez-vous d'avoir :
Terminé le guide Démarrer l'implémentation de la norme ISO 27001 avec l'IA
Défini le périmètre du SMSI et la méthodologie d'évaluation des risques
Créé votre espace de travail ISO 27001 dans ISMS Copilot
Identifié les parties prenantes clés et les propriétaires de risques dans les différents départements
Accès à la documentation du système, aux schémas réseau et aux cartographies de flux de données
Avant de commencer
Prévoyez suffisamment de temps pour l'évaluation des risques :
Petites organisations (20-50 employés) : 2-3 semaines
Organisations de taille moyenne (100-500 employés) : 4-6 semaines
Grandes organisations (500+ employés) : 8-12 semaines
Exigence critique : La clause 6.1.2 de l'ISO 27001 impose l'évaluation des risques avant la sélection des mesures de sécurité. Les auditeurs vérifieront que votre méthodologie d'évaluation des risques a été documentée en premier et appliquée de manière cohérente pour produire des résultats reproductibles et comparables.
Comprendre les exigences de l'évaluation des risques ISO 27001
Ce qui rend l'évaluation des risques ISO 27001 unique
Contrairement à d'autres cadres de sécurité, l'ISO 27001 exige une approche basée sur le risque où :
Les mesures sont justifiées par les risques : Vous ne pouvez pas simplement implémenter l'ensemble des 93 mesures de l'Annexe A—chacune doit répondre à des risques identifiés
L'appétence au risque guide les décisions : Votre organisation définit le niveau de risque acceptable
Focalisation sur les actifs : Les risques sont évalués en fonction des menaces pesant sur des actifs informationnels spécifiques
Processus continu : L'évaluation des risques doit être répétée régulièrement, et non pas seulement pour la certification
Les cinq composantes fondamentales
Composante | Objectif | Livrable clé |
|---|---|---|
Identification des actifs | Répertorier ce qui doit être protégé | Inventaire des actifs informationnels |
Analyse des menaces | Identifier ce qui pourrait mal se passer | Catalogue des menaces |
Évaluation des vulnérabilités | Trouver les faiblesses exploitées par les menaces | Registre des vulnérabilités |
Calcul du risque | Déterminer la probabilité et l'impact | Registre des risques avec scores |
Traitement du risque | Décider comment traiter chaque risque | Plan de traitement des risques |
Avantage de l'IA : Les évaluations de risques traditionnelles nécessitent des semaines d'entretiens avec les parties prenantes et de documentation manuelle. Avec ISMS Copilot, vous pouvez générer des scénarios de risque complets, des catalogues de menaces et des modèles d'évaluation en quelques heures—puis les personnaliser selon votre environnement spécifique.
Étape 1 : Établir votre inventaire des actifs informationnels
Pourquoi l'identification des actifs vient en premier
Vous ne pouvez pas évaluer les risques sans savoir ce que vous protégez. L'ISO 27001 exige l'identification et la documentation de tous les actifs informationnels dans le périmètre de votre SMSI, notamment :
Actifs informationnels : Données clients, dossiers employés, propriété intellectuelle, données financières, contrats
Actifs logiciels : Applications, bases de données, systèmes d'exploitation, outils de sécurité, services cloud
Actifs physiques : Serveurs, postes de travail, équipements réseau, dispositifs de stockage, appareils mobiles
Services : Infrastructure cloud, services managés, connectivité internet, plateformes tierces
Personnes : Employés, sous-traitants, administrateurs ayant des accès privilégiés
Utiliser l'IA pour accélérer la découverte des actifs
Dans votre espace de travail ISO 27001 :
Générer des catégories d'actifs pour votre secteur :
« Crée un modèle d'inventaire des actifs informationnels pour une entreprise de [secteur] avec [description]. Inclu des catégories pour : actifs de données, systèmes applicatifs, infrastructure, services tiers et personnel. Pour chaque catégorie, fournis des exemples pertinents. »
Télécharger la documentation existante : Si vous avez des schémas réseau, des documents d'architecture système ou des cartographies de flux, téléchargez-les et demandez :
« Analyse ce schéma d'architecture et identifie tous les actifs informationnels qui devraient figurer dans notre inventaire ISO 27001. Pour chaque actif, suggère un propriétaire et un niveau de classification. »
Identifier les propriétaires d'actifs :
« Pour chaque type d'actif dans une [description de l'entreprise], qui devrait être le propriétaire de l'actif ? Définis des critères pour attribuer la propriété en fonction de la fonction métier, de la responsabilité technique et de la redevabilité en matière de sécurité. »
Créer des critères de classification :
« Définis des niveaux de classification de l'information (Public, Interne, Confidentiel, Restreint) pour l'ISO 27001. Pour chaque niveau, fournis : définition, exemples, exigences de manipulation et conséquences d'une divulgation non autorisée. »
Conseil d'expert : Commencez par les processus métier critiques (ex: intégration client, traitement des paiements, développement produit) et remontez le fil pour identifier les actifs de support. Cela garantit que vous capturez ce qui compte réellement pour la continuité des activités.
Structure de l'inventaire des actifs
Demandez à ISMS Copilot de créer un modèle complet :
« Génère une structure de tableur d'inventaire d'actifs avec les colonnes : ID Actif, Nom de l'Actif, Type d'Actif, Description, Propriétaire, Emplacement, Classification, Dépendances, Niveau de Criticité. Inclu 10 exemples pour une plateforme SaaS. »
Structure attendue :
ID Actif | Nom de l'actif | Type | Propriétaire | Classification | Criticité |
|---|---|---|---|---|---|
DATA-001 | Base de données clients | Données | CTO | Restreint | Critique |
APP-001 | Application web prod | Logiciel | Lead Engineering | Confidentiel | Critique |
INFRA-001 | Environnement prod AWS | Infrastructure | Responsable DevOps | Confidentiel | Critique |
SVC-001 | Service email (Google) | Tiers | Responsable IT | Interne | Élevée |
Étape 2 : Identifier les menaces et les vulnérabilités
Comprendre le paysage des menaces
Pour chaque actif, vous devez identifier les menaces réalistes et les vulnérabilités exploitables. Les catégories de menaces courantes incluent :
Cybermenaces : Logiciels malveillants, ransomwares, phishing, attaques DDoS, injection SQL
Erreur humaine : Suppression accidentelle, mauvaise configuration, octroi d'accès inappropriés
Menaces internes : Employés malveillants, abus de privilèges, vol de données
Pannes système : Défaillance matérielle, bugs logiciels, pannes réseau
Risques liés aux tiers : Failles chez les fournisseurs, attaques de la chaîne d'approvisionnement, interruptions de service
Menaces physiques : Vol, catastrophes naturelles, accès non autorisé aux installations
Erreur courante : Les listes de menaces génériques issues de modèles ne reflètent pas votre environnement spécifique. Les auditeurs attendent une analyse des menaces adaptée à votre stack technologique, votre secteur et votre situation géographique.
Utiliser l'IA pour l'analyse des menaces et vulnérabilités
Générer des scénarios de menaces par actif :
« Pour une base de données clients contenant des PII dans une application SaaS hébergée dans le cloud, identifie les menaces réalistes en tenant compte des : cyberattaques, menaces internes, pannes système, risques tiers et conformité réglementaire. Pour chaque menace, décris le scénario et l'impact potentiel. »
Identifier les vulnérabilités techniques spécifiques :
« Quelles sont les vulnérabilités courantes dans [votre stack, ex: 'bases de données PostgreSQL hébergées sur AWS avec frontal d'application web'] ? Inclu : faiblesses de configuration, lacunes de contrôle d'accès, problèmes de chiffrement et défis de gestion des correctifs. »
Analyser les menaces spécifiques au secteur :
« Quelles menaces de sécurité de l'information sont les plus pertinentes pour [votre secteur, ex: 'entreprises fintech traitant des données de paiement'] ? Inclu les risques réglementaires, la collecte de renseignements par les concurrents et les schémas d'attaque spécifiques au secteur. »
Évaluer les risques tiers :
« Crée une évaluation des risques tiers pour nos principaux fournisseurs : [liste des fournisseurs et services]. Pour chacun, identifie les risques liés à : l'accès aux données, la disponibilité du service, les incidents de sécurité et les manquements à la conformité. »
Étape 3 : Calculer les scores de risque
Appliquer votre méthodologie de risque
À l'aide de la méthodologie définie dans le guide de démarrage, vous allez maintenant calculer les scores de risque pour chaque couple menace-vulnérabilité.
La formule standard :
Score de Risque = Probabilité × Impact
Où les deux facteurs sont évalués sur votre échelle définie (généralement 1-5 ou 1-10).
Définir la probabilité avec l'IA
Demandez à ISMS Copilot d'évaluer la probabilité :
« Pour la menace '[menace spécifique]' exploitant '[vulnérabilité spécifique]' dans notre [description de l'actif], évalue la probabilité sur une échelle de 1 à 5 en tenant compte de : nos contrôles existants (liste-les), les capacités des attaquants, les incidents historiques dans notre secteur et notre posture de sécurité actuelle. »
Exemple de prompt :
« Pour la menace 'attaque par ransomware via email de phishing' exploitant une 'sensibilisation insuffisante des employés à la sécurité' dans notre entreprise SaaS de 50 personnes, évalue la probabilité (1-5) sachant que : nous avons un filtrage email de base, pas de formation sécurité, et des employés en télétravail. Le secteur de la santé a connu une augmentation de 40 % des attaques par ransomware. »
Évaluer l'impact avec l'IA
Demandez à ISMS Copilot d'évaluer les conséquences :
« Pour le risque '[menace] sur [actif]', évalue l'impact sur une échelle de 1 à 5 en tenant compte de : perte financière (revenus, amendes, coûts de récupération), perturbation opérationnelle (temps d'arrêt, dégradation du service), conséquences réglementaires (pénalités RGPD) et atteinte à la réputation (confiance client, position sur le marché). »
Conseil d'expert : Pour chaque calcul de risque, demandez à l'IA de « montrer son raisonnement » afin de pouvoir documenter la justification dans votre rapport d'évaluation des risques. Les auditeurs apprécient les évaluations transparentes et argumentées plutôt que des scores arbitraires.
Catégoriser les niveaux de risque
Générez votre matrice de risques :
« Crée une matrice de risques 5x5 pour l'ISO 27001 où la Probabilité et l'Impact sont tous deux notés de 1 à 5. Code les cellules par couleur : Faible (vert, scores 1-6), Moyen (jaune, scores 8-12), Élevé (orange, scores 15-20), Critique (rouge, score 25). Indique quels risques nécessitent un traitement immédiat par rapport à une simple surveillance. »
Seuils typiques :
Critique (20-25) : Traitement immédiat requis, remontée à la direction
Élevé (15-19) : Plan de traitement sous 30 jours
Moyen (8-14) : Plan de traitement sous 90 jours ou acceptation avec justification
Faible (1-7) : Accepter ou surveiller, documenter la décision
Étape 4 : Élaborer des plans de traitement des risques
Les quatre options de traitement
Pour chaque risque, l'ISO 27001 impose de choisir l'une des quatre options de traitement :
Atténuer : Mettre en œuvre des mesures pour réduire la probabilité ou l'impact (le plus courant)
Éviter : Éliminer l'activité à l'origine du risque
Transfert : Partager le risque via une assurance ou l'externalisation
Accepter : Reconnaître et surveiller (nécessite l'approbation de la direction)
Exigence de conformité : L'acceptation des risques doit être explicitement approuvée par les propriétaires des risques et documentée. Les auditeurs vérifieront que les risques acceptés se situent dans votre appétence au risque déclarée et bénéficient d'une validation de la direction.
Utiliser l'IA pour concevoir des stratégies de traitement
Générer des options d'atténuation :
« Pour le risque '[description du risque]' avec un score de [X], suggère des mesures de l'Annexe A de l'ISO 27001 qui atténueraient efficacement ce risque. Pour chaque mesure, explique : comment elle réduit la probabilité ou l'impact, l'approche de mise en œuvre, le coût/effort estimé et le risque résiduel attendu. »
Évaluer le rapport coût-efficacité des mesures :
« Compare les options de traitement pour '[risque]' : Option A - mise en place de MFA et SIEM (50k€), Option B - formation renforcée des employés (10k€), Option C - cyber-assurance (20k€ annuel). Recommande l'approche la plus rentable compte tenu de notre appétence au risque et de nos contraintes budgétaires. »
Créer des plans de traitement :
« Génère un modèle de plan de traitement des risques pour l'ISO 27001 avec les colonnes : ID Risque, Description du Risque, Score Actuel, Option de Traitement, Mesures Sélectionnées, Responsable de Mise en Œuvre, Date Cible, Risque Résiduel Attendu, Statut d'Approbation. Inclu 5 exemples. »
Étape 5 : Mettre en correspondance les risques et les mesures de l'Annexe A
Pourquoi la mise en correspondance des mesures est cruciale
Votre Déclaration d'Applicabilité (SoA) doit démontrer que les mesures sélectionnées sont justifiées par les risques identifiés. Cela crée la piste d'audit :
Actif → Menace → Vulnérabilité → Risque → Traitement → Mesure(s)
Utiliser l'IA pour la mise en correspondance des mesures
Pour chaque risque élevé ou critique :
« Quelles mesures de l'Annexe A de l'ISO 27001:2022 répondent au risque '[description du risque]' ? Pour chaque mesure pertinente, explique : l'objectif spécifique de la mesure, comment elle atténue le risque, les exigences de mise en œuvre et les preuves nécessaires pour démontrer la conformité. »
Exemple :
Risque : Accès non autorisé à la base de données clients (Score : 20 - Critique)
La réponse de l'IA correspondra à des mesures telles que :
A.5.15 Contrôle d'accès : Implémenter des accès basés sur les rôles avec le moindre privilège
A.5.16 Gestion des identités : Authentification centralisée et provisionnement des utilisateurs
A.5.17 Informations d'authentification : Politiques de mots de passe forts et MFA
A.8.2 Droits d'accès privilégiés : Accès administrateur restreint avec surveillance
A.8.5 Authentification sécurisée : Authentification multifactorielle pour tous les accès à la base de données
Avantage de l'IA : Au lieu de croiser manuellement 93 mesures de l'Annexe A, ISMS Copilot identifie instantanément les mesures pertinentes et explique leur applicabilité à votre scénario de risque spécifique.
Créer votre matrice de sélection des mesures
« Génère une matrice de sélection des mesures montrant quelles mesures de l'Annexe A répondent à quels risques. Structure par : ID Risque, Description du Risque, Score de Risque, Mesures Sélectionnées (avec numéros des mesures), Justification. Montre les relations pour nos 10 principaux risques. »
Étape 6 : Documenter votre évaluation des risques
Documentation requise
Les auditeurs ISO 27001 demanderont :
Méthodologie d'évaluation des risques : Comment vous identifiez et évaluez les risques
Inventaire des actifs : Tous les actifs informationnels dans le périmètre
Registre des risques : Liste complète des risques identifiés avec leurs scores
Plan de traitement des risques : Comment chaque risque sera traité
Mise en correspondance des mesures : Quelles mesures atténuent quels risques
Approbations d'acceptation des risques : Approbations signées pour les risques acceptés
Utiliser l'IA pour créer une documentation complète
Générer une synthèse décisionnelle :
« Crée une synthèse décisionnelle de notre évaluation des risques ISO 27001 pour présentation à la direction. Inclu : total des actifs évalués, nombre de risques identifiés par catégorie, distribution des scores de risque, conclusions clés, actions prioritaires recommandées et besoins budgétaires. Public cible : cadres non techniques. »
Documenter la méthodologie :
« Rédige un document complet de méthodologie d'évaluation des risques pour l'ISO 27001 incluant : périmètre et objectifs, processus d'identification des actifs, approche d'analyse des menaces et vulnérabilités, échelles de probabilité et d'impact avec exemples, formule de calcul du risque, critères d'acceptation du risque, rôles et responsabilités, et fréquence d'évaluation. Formaté pour soumission d'audit. »
Créer des rapports prêts pour l'audit :
« Génère une structure de rapport d'évaluation des risques conforme aux exigences de la clause 6.1.2 de l'ISO 27001. Inclu des sections pour : méthodologie, résumé de l'inventaire des actifs, risques identifiés par catégorie, décisions de traitement des risques, justification de la sélection des mesures et signatures d'approbation. »
Conseil d'expert : Téléchargez votre projet d'évaluation des risques dans ISMS Copilot et demandez : « Révise cette évaluation par rapport aux exigences ISO 27001:2022. Identifie les lacunes, les éléments manquants ou les domaines qui doivent être renforcés pour être prêt pour l'audit. » Cela constitue un contrôle qualité avant la revue formelle.
Étape 7 : Valider avec les parties prenantes
Pourquoi la revue par les parties prenantes est critique
L'évaluation des risques n'est pas une activité solitaire. L'ISO 27001 requiert la contribution des propriétaires de risques, des propriétaires d'actifs et de la direction pour s'assurer que :
Les évaluations de risques reflètent la réalité opérationnelle
Les décisions de traitement sont alignées sur les priorités métier
Les engagements de ressources sont réalistes
L'acceptation du risque émane de l'autorité appropriée
Mener des sessions de revue assistées par l'IA
Préparer les supports de revue :
« Crée une présentation pour une réunion de revue d'évaluation des risques avec les chefs de département. Inclu : aperçu de la méthodologie, résumé des risques dans leur département, plans de traitement proposés, actions requises de leur équipe et implications budgétaires. Prévois une présentation de 30 minutes. »
Générer des questions de discussion :
« Crée une liste de questions à poser aux chefs de département lors de la validation des évaluations de risques : exhaustivité des actifs, réalisme des menaces, faisabilité des mesures, disponibilité des ressources et exactitude de l'impact métier. »
Étape 8 : Planifier la gestion continue des risques
Exigences d'évaluation continue des risques
La clause 6.1.3 de l'ISO 27001 exige de réévaluer les risques lorsque :
Des changements significatifs surviennent (nouveaux systèmes, processus métier, menaces)
Des incidents de sécurité sont détectés
L'efficacité des mesures change
À intervalles planifiés (généralement annuellement ou lors de la revue de direction)
Mettre en place la surveillance avec l'IA
Créer des déclencheurs de réévaluation :
« Définis des déclencheurs spécifiques qui nécessiteraient une réévaluation des risques de sécurité de l'information selon l'ISO 27001. Inclu : changements technologiques, expansion de l'activité, mises à jour réglementaires, incidents de sécurité, échecs de mesures, et activités de fusion/acquisition. Pour chaque déclencheur, précise qui initie la réévaluation et le délai. »
Concevoir des processus de surveillance :
« Crée un processus trimestriel de revue des risques pour l'ISO 27001 incluant : indicateurs à suivre, indicateurs clés de risque (KRI), ordre du jour de la réunion de revue, modèles de rapport et critères d'escalade des risques ayant augmenté. »
Établir des flux de travail de réévaluation :
« Conçois un flux de travail pour mettre à jour l'évaluation des risques ISO 27001 lorsque [un changement spécifique survient, ex: 'lancement d'un nouveau service cloud']. Inclu : qui effectue l'évaluation, quels actifs/risques revoir, exigences d'approbation et mises à jour de la documentation. »
Pièges courants et comment l'IA aide à les éviter
Piège n°1 : Évaluations de risques génériques L'utilisation de modèles de risques sans personnalisation crée des alertes lors de l'audit. Solution IA : Demandez à ISMS Copilot d'analyser votre stack technologique, votre modèle d'affaires et votre secteur spécifique pour générer des risques contextuels.
Piège n°2 : Notation des risques incohérente Différents évaluateurs appliquant des critères différents produisent des résultats non comparables. Solution IA : Utilisez l'IA pour appliquer votre méthodologie de manière cohérente, en lui demandant d'« utiliser les mêmes critères de probabilité et d'impact » pour toutes les évaluations.
Piège n°3 : Lien faible entre risque et mesure Sélectionner des mesures sans justification claire issue de l'évaluation des risques. Solution IA : Pour chaque mesure, demandez à l'IA : « Quels risques spécifiques cette mesure atténue-t-elle et quelle est la réduction de risque attendue ? »
Piège n°4 : Plans de traitement irréalistes Proposer des mesures sans tenir compte de la faisabilité de mise en œuvre ou du coût. Solution IA : Demandez : « Évalue la faisabilité de la mise en œuvre de [mesure] compte tenu de nos [contraintes]. Suggère une mise en œuvre progressive ou des approches alternatives. »
Prochaines étapes de votre parcours d'implémentation
Vous avez maintenant terminé les fondations de l'évaluation des risques :
✓ Actifs informationnels identifiés et classés
✓ Menaces et vulnérabilités analysées
✓ Scores de risque calculés à l'aide d'une méthodologie cohérente
✓ Plans de traitement élaborés et mis en correspondance avec les mesures
✓ Documentation préparée pour l'audit
Continuez votre parcours avec le guide suivant : Comment créer des politiques et procédures ISO 27001 grâce à l'IA (prochainement)
Dans le prochain guide, vous apprendrez à :
Générer des politiques de sécurité prêtes pour l'audit
Créer des procédures opérationnelles pour les mesures de l'Annexe A
Établir votre Déclaration d'Applicabilité (SoA)
Personnaliser les modèles selon votre organisation
Assurer la cohérence des politiques à travers le SMSI
Obtenir de l'aide
Pour un soutien continu dans l'évaluation des risques :
Posez des questions spécifiques : Utilisez votre espace de travail pour obtenir des conseils détaillés sur des risques individuels
Téléchargez vos évaluations existantes : Obtenez une analyse des écarts sur votre documentation de risques actuelle
Vérifiez la méthodologie : Consultez les pratiques d'utilisation responsable de l'IA pour l'évaluation des risques
Apprenez les fonctionnalités de l'espace de travail : Optimisez l' organisation de votre espace de travail pour les évaluations complexes
Prêt à commencer votre évaluation des risques ? Ouvrez votre espace de travail ISO 27001 sur chat.ismscopilot.com et commencez à identifier vos premiers actifs informationnels dès aujourd'hui.