Méthodologie d'Évaluation des Risques
ISMS Copilot utilise une méthodologie d'évaluation des risques structurée et reproductible pour identifier, évaluer et traiter les risques liés à la sécurité de l'information. Cette méthodologie répond aux exigences de la norme ISO 27001 (Clauses 6.1.1, 6.1.2, 6.1.3, 8.2, 8.3) et produit des résultats cohérents et comparables d'un cycle d'évaluation à l'autre.
Cette page décrit notre méthodologie d'évaluation des risques : comment nous identifions, notons et traitons les risques. Le contenu réel du registre des risques est confidentiel et conservé dans notre référentiel sécurisé.
Catégories de Risques
Nous évaluons les risques à travers quatre catégories couvrant tout le spectre des menaces pesant sur notre plateforme et nos utilisateurs :
Risques de Sécurité — Accès non autorisés, violations de données, compromission d'identifiants, manipulation du système
Risques Opérationnels — Disponibilité du service, dépendances vis-à-vis des tiers, continuité des activités, capacité
Risques de Conformité — Violations réglementaires, ruptures contractuelles, lacunes de certification, conclusions d'audit
Risques Spécifiques à l'IA — Hallucinations de LLM, injection de requêtes (prompt injection), manipulation des données d'IA, biais de modèle, gouvernance des fournisseurs
Processus d'Évaluation des Risques
Notre évaluation des risques suit un processus en cinq étapes :
Revue du Contexte — Examen du contexte organisationnel, de la veille sur les menaces, de l'historique des incidents et des modifications de la plateforme (Clause 4)
Identification des Risques — Identification des actifs à risque, des menaces, des vulnérabilités et des conséquences potentielles (Clause 6.1.2)
Analyse des Risques — Notation de chaque risque selon la probabilité et l'impact à l'aide des échelles ci-dessous (Clause 6.1.2)
Évaluation des Risques — Calcul du score de risque et classification de la sévérité (Clause 6.1.2)
Traitement des Risques — Sélection de l'option de traitement et mise en œuvre des contrôles (Clause 6.1.3)
Échelle de Probabilité
Score | Niveau | Définition | Fréquence Indicative |
|---|---|---|---|
1 | Rare | Ne pourrait survenir que dans des circonstances exceptionnelles | Moins d'une fois tous les 5 ans |
2 | Improbable | Pourrait survenir mais n'est pas attendu | Une fois tous les 1 à 5 ans |
3 | Possible | Pourrait survenir à un moment donné | Une fois par an |
4 | Probable | Attendu dans la plupart des circonstances | Plusieurs fois par an |
5 | Presque Certain | Attendu fréquemment ou se produit déjà | Mensuel ou plus fréquent |
Facteurs pris en compte : Si le vecteur de menace est activement exploité sur des plateformes similaires, les contrôles existants qui réduisent la probabilité, les données historiques des incidents, la motivation et la capacité de l'attaquant.
Échelle d'Impact
Score | Niveau | Définition | Exemples |
|---|---|---|---|
1 | Négligeable | Impact minimal ou nul | Problème cosmétique, désagrément pour un seul utilisateur pendant quelques minutes |
2 | Mineur | Impact limité ; rétablissement rapide | Brève dégradation du service, incohérence mineure des données (sans violation) |
3 | Modéré | Impact notable ; nécessite des efforts pour être résolu | Panne partielle de quelques heures, perte d'une fonctionnalité non critique |
4 | Majeur | Impact significatif sur les opérations, les données ou la réputation | Panne prolongée, violation de données affectant plusieurs utilisateurs, notification réglementaire requise |
5 | Catastrophique | Impact sévère menaçant la viabilité de l'entreprise | Violation massive de données, perte totale de service, mesure d'exécution réglementaire |
Facteurs pris en compte : Nombre d'utilisateurs ou de données affectés, exposition de données confidentielles ou restreintes, obligations de notification réglementaire, temps et coût de récupération, impact sur la confiance des clients.
Matrice de Notation des Risques
Score de Risque = Probabilité x Impact (échelle de 1 à 25)
Plage de Scores | Niveau de Risque | Action Requise |
|---|---|---|
20-25 | Critique | Atténuation immédiate requise ; approbation du PDG pour tout retard |
15-19 | Élevé | Traitement dans les 48 heures ; plan de traitement requis |
8-14 | Moyen | Traitement sous 1 à 2 semaines ; planification pour le prochain sprint |
1-7 | Faible | Surveillance et revue ; traitement selon les opportunités |
Les scores de risque sont calculés automatiquement à partir de nos définitions de risques structurées, réduisant ainsi les erreurs manuelles et garantissant la cohérence entre les cycles d'évaluation.
Options de Traitement des Risques
Pour chaque risque dépassant le seuil acceptable, nous sélectionnons l'une des quatre options de traitement suivantes :
Traitement | Définition | Utilisation |
|---|---|---|
Atténuer | Mettre en œuvre des contrôles pour réduire la probabilité et/ou l'impact | Option par défaut ; la plupart des risques sont traités ainsi |
Accepter | Reconnaître le risque et le surveiller sans contrôles supplémentaires | Lorsque le coût de l'atténuation dépasse l'impact potentiel, ou que le risque résiduel est dans la tolérance |
Transférer | Transférer le risque à un tiers | Lorsqu'un fournisseur est mieux placé pour gérer le risque |
Éviter | Éliminer le risque en supprimant l'activité ou l'actif | Lorsque le risque est inacceptable et ne peut être atténué de manière adéquate |
Critères d'Acceptation des Risques
Les risques faibles (1-7) peuvent être acceptés par le responsable technique (Engineering Lead)
Les risques moyens (8-14) nécessitent que le PDG en soit informé ; peuvent être acceptés avec une justification documentée
Les risques élevés et critiques (15+) nécessitent l'approbation explicite du PDG avec une justification documentée, des contrôles compensatoires et une date de revue
Structure du Registre des Risques
Tous les risques sont documentés sous forme de fichiers de données structurés organisés par catégorie (Sécurité, Opérationnel, Conformité, Spécifique à l'IA). Chaque entrée de risque saisit :
Identifiant unique, catégorie et actif affecté
Description du risque et vecteur de menace
Scores de probabilité et d'impact
Propriétaire du risque assigné
Stratégie d'atténuation et contrôles mis en œuvre
Date de revue et statut
Alignement avec les référentiels (ISO 27001, SOC 2)
Le contenu du registre des risques — y compris les risques spécifiques identifiés, les scores et les détails du traitement — est confidentiel. Cette page décrit notre méthodologie ; le registre réel est maintenu dans notre référentiel sécurisé et versionné avec un accès restreint.
Cadence de Revue des Risques
Activité | Fréquence |
|---|---|
Validation du registre des risques | Hebdomadaire (automatisée) |
Revue des risques Élevés/Critiques | Bi-hebdomadaire |
Revue complète du registre des risques | Trimestrielle |
Évaluation basée sur des déclencheurs | Sur événement (incident, nouvelle fonctionnalité, changement d'architecture, changement réglementaire) |
Risque Résiduel
Une fois les contrôles appliqués, chaque risque possède un niveau de risque résiduel noté selon la même méthodologie mais reflétant l'état post-contrôle. Le risque résiduel est documenté dans le registre des risques, rapporté dans la revue de direction, et tout risque résiduel supérieur au niveau Moyen nécessite une acceptation documentée avec une date de revue.
Alignement avec la Sévérité des Incidents
Notre notation des risques s'aligne sur notre classification de sévérité des incidents pour garantir une réponse cohérente :
Score de Risque | Niveau de Risque | Sévérité de l'Incident | SLA de Réponse |
|---|---|---|---|
20-25 | Critique | S0 | Contention + atténuation le jour même |
15-19 | Élevé | S1 | Atténuation sous 48 heures |
8-14 | Moyen | S2 | 1 à 2 semaines |
1-7 | Faible | S3 | Backlog / surveillance |