ISMS Copilot
Glossaire ISO 27001

Qu'est-ce que le traitement des risques dans l'ISO 27001 ?

Aperçu

Le traitement des risques est le processus de sélection et de mise en œuvre d'options pour répondre aux risques liés à la sécurité de l'information identifiés lors de l'évaluation des risques. Il s'agit d'une exigence obligatoire de l'ISO 27001:2022 (clauses 6.1.3 et 8.3) qui fait le lien entre l'évaluation des risques et la mise en œuvre pratique des mesures de sécurité.

Le traitement des risques transforme les conclusions de votre évaluation des risques en décisions exploitables sur la manière de gérer chaque risque identifié à travers quatre approches standardisées.

Le traitement des risques en pratique

Après avoir terminé une évaluation des risques, vous devez décider comment traiter chaque risque en fonction de l'appétence aux risques et des ressources de votre organisation. L'ISO 27001:2022 vous oblige à :

  • Sélectionner les options de traitement des risques appropriées pour chaque risque identifié

  • Déterminer les mesures de sécurité nécessaires pour mettre en œuvre les options choisies (généralement issues de l'Annexe A)

  • Comparer les mesures de sécurité sélectionnées par rapport à l'Annexe A et justifier toute exclusion

  • Documenter les décisions dans un Plan de traitement des risques

  • Obtenir l'approbation des propriétaires des risques

Le traitement des risques doit être documenté dans votre Déclaration d'Applicabilité (SoA), indiquant quelles mesures de l'Annexe A vous avez sélectionnées et pourquoi.

Les quatre options de traitement des risques

L'ISO 27001:2022 propose quatre approches standardisées pour la gestion des risques :

1. Modification du risque (Atténuation)

Appliquer des mesures de sécurité pour réduire le risque à un niveau acceptable. C'est l'approche la plus courante qui implique la mise en œuvre des mesures de l'Annexe A.

Exemple : Mettre en œuvre des contrôles d'accès (A.5.15) et le chiffrement (A.8.24) pour réduire le risque d'accès non autorisé aux données.

2. Évitement du risque

Éliminer le risque en cessant l'activité qui le génère.

Exemple : Arrêter d'utiliser un système hérité vulnérable en migrant vers une plateforme cloud sécurisée.

3. Partage du risque (Transfert)

Partager le risque avec une autre partie, généralement via une assurance ou des contrats d'externalisation.

Exemple : Souscrire à une cyber-assurance ou faire appel à un fournisseur de services de sécurité managés pour la surveillance des menaces.

4. Maintien du risque (Acceptation)

Accepter le risque lorsqu'il entre dans vos critères d'acceptation des risques et que le coût du traitement dépasse l'impact potentiel.

Exemple : Accepter le risque faible de vol physique dans un bâtiment de bureaux sécurisé disposant déjà de mesures de contrôle.

L'acceptation du risque nécessite une approbation documentée des propriétaires des risques et doit s'aligner sur les critères d'acceptation des risques de votre organisation définis dans la Clause 6.1.2.

Plan de traitement des risques

Votre Plan de traitement des risques est un document obligatoire (Clause 6.1.3) qui précise :

  • Les options de traitement des risques choisies pour chaque risque

  • Quelles mesures seront mises en œuvre et pourquoi

  • Les responsabilités et les délais de mise en œuvre

  • Les ressources nécessaires

  • Comment l'efficacité sera mesurée

Lien avec les mesures de l'Annexe A

Le traitement des risques détermine directement lesquelles des 93 mesures de l'Annexe A vous devez mettre en œuvre. Votre Déclaration d'Applicabilité (SoA) doit présenter :

  • Les mesures sélectionnées en fonction des décisions de traitement des risques

  • Les mesures déjà mises en œuvre

  • La justification de l'exclusion de toute mesure de l'Annexe A

Utilisez ISMS Copilot pour générer des options de traitement des risques pour des scénarios spécifiques ou pour créer un Plan de traitement des risques personnalisé basé sur vos conclusions d'évaluation.

Termes connexes

Cela vous a-t-il été utile ?