Publicité en cours de chargement...

Publicité en cours de chargement...

ISO 27001 : introduction au concept de classe de risques

07 juin 2022 - 11:41,
Tribune - Cédric Cartau
L’approche par le risque est à la base de la norme ISO 27001 : si vous « le » faites, c’est parce que ce « le » est la réponse à un risque que vous avez identifié. Et cela marche aussi dans l’autre sens : si vous prenez une mesure de sécurisation, c’est forcément la réponse à un risque identifié : être incapable de faire le lien bidirectionnel entre mesure et risque est d’ailleurs une non-conformité. Bon dans les faits c’est un peu plus subtil, il faut passer par la base DDA (Déclaration d’Applicabilité), mais l’idée reste la même.

Une organisation qui s’engage dans une démarche 27001, certifiante ou pas, va donc dérouler une appréciation des risques (AR). L’AR c’est comme les pattes d’eph : cela suit la mode. Il y a 20 piges les experts SSI ne juraient que par MEHARI. Jusqu’à il y a 5 ans leurs successeurs ne juraient que par EBIOS – même les pouvoirs publics incitaient fortement à l’adoption de cette norme, débordant de leur rôle. Et de nos jours, après avoir constaté les échecs et la lourdeur d’EBIOS, les consultants (et les pouvoirs publics leur emboitant le pas) ne jurent maintenant que par EBIOS RM, supposé être plus light qu’EBIOS. Ça laisse tout de même rêveur, pour l’avoir pratiqué il a fallu 10 jours de consulting pour me sortir une liste totalement impossible à interpréter alors que la bonne méthode dite du doigt mouillé du paysan m’a sorti un meilleur résultat en 2h à peine, et encore sans se presser. A bon entendeur. Mais bon voilà ma liste de 10 risques, qui avec la DDA, les mesures, les contrôles et le plan de traitement, constituent l’ossature de ma démarche. Mais ce n’est pas la seule classe de risques dont il faut tenir compte.

Avec la pratique, certains chapitres de la norme sont volontaire vagues – il a bien fallu écrire un truc assez générique pour couvrir tout le champs des possibles – et doivent être interpréter, ou « localisés », au contexte de l’organisation. Les chapitres A8 (gestion des actifs) et A14 (développements internes) sont particulièrement retords de ce point de vue. Trop en faire ou pas assez, se créer une charge de gestion documentaire et de contrôle, ou risquer la non-conformité, telles sont les dilemmes du RSSI et des équipes de conformité interne. Une solution consiste à utiliser l’esprit de la norme et interpréter les mesures selon les risques courus en internes. Par exemple, si aucun développement spécifiques de progiciel métier n’est réalisé mais que seuls des scripts sont écrits pour faire tourner l’exploitation et ne sont maintenus que par une poignée d’individus, rien n’empêche de restreindre les mesures de recensement et de protection du code à la plus simple expression. Mais encore faut-il avoir tracé la décision qui permet de justifier cela, et donc le risque auquel cette décision se rapporte. On est là cependant très clairement dans un risque qui est d’une autre nature que celui décrit plus haut et qui : le premier sert d’ossature à la démarche de conformité, est souvent un risque technique concret (par exemple cryptolocker) alors que le second se réfère plutôt à un fonctionnement organisationnel au sein du système de management lui-même, plutôt dans ses aspects détails.

Il existe enfin une troisième classe de risques, qui déborde largement le cadre de l’ISO : il s’agit de risques systémiques et / ou managériaux sur le pilotage de la DSI elle-même. Par exemple, le risque de non-alignement avec la stratégie d’entreprise, ou le risque de perte de légitimité face à son rôle de MOA des flux dématérialisés face aux métiers, ou encore le risque d’explosion de l’entropie du SI. J’ai listé à titre personnel environ 12 risques qui relèvent de cette troisième classe, et qui ne sont adressés par aucune méthode ou norme. (bon dans les fait, une partie sera probablement pris en compte dans la mise à jour 2022 de l’ISO 27002, et une partie est adressée par COBIT, mais on sort du cadre de l’article).

Bien entendu, certains des risques de ces 3 classes peuvent être à la marge recatégorisés, mais en tout état de cause il est impossible de faire tenir tout un système de management avec 1 seule AR. Les 3 classes ou familles susnommées sont bien entendu discutables, chaque RSSI pourra découper différemment, mais chaque RSSI va devoir à terme se poser la question de l’exhaustivité des risques qu’il adresse et de leur mode de classement. Cela est d’ailleurs cohérent avec l’existence de risques issus des EIVP (RGPD) des des autres normes en vigueur (NIS).


L'auteur 

Responsable Sécurité des systèmes d’information et correspondant Informatique et Libertés au CHU de Nantes, Cédric Cartau est également chargé de cours à l’École des hautes études en santé publique (EHESP). On lui doit aussi plusieurs ouvrages spécialisés publiés par les Presses de l’EHESP, dont La Sécurité du système d’information des établissements de santé. 

À lire aussi : APSSIS – AFIB : un référentiel de sécurité pour les dispositifs médicaux connectés

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Dernier billet philosohico-cyber avant la plage

Dernier billet philosohico-cyber avant la plage

21 juil. 2025 - 10:00,

Tribune

-
Cédric Cartau

À l’approche des congés d’été, l’heure est à la réflexion — et pas seulement sur la température de l’eau ou le bon dosage de crème solaire. Entre arnaques bancaires de plus en plus sophistiquées, dérives technologiques, illusions cyber-industrielles et lacunes dans la gouvernance publique, ce billet...

Illustration Données de santé et intelligence artificielle : la France lance sa stratégie nationale pour accélérer l’innovation en santé

Données de santé et intelligence artificielle : la France lance sa stratégie nationale pour accélérer l’innovation en santé

07 juil. 2025 - 23:57,

Actualité

- DSIH

Le ministre chargé de la Santé et de l’Accès aux soins, Yannick Neuder, a réuni ce 1er juillet un Comité stratégique exceptionnel pour présenter les premières étapes de la stratégie nationale sur l’intelligence artificielle (IA) et l’utilisation secondaire des données de santé. Objectif : structurer...

Illustration Ce qu’il fallait retenir de l’édition 2025 du congrès APSSIS

Ce qu’il fallait retenir de l’édition 2025 du congrès APSSIS

01 juil. 2025 - 00:00,

Actualité

- DSIH

La 13ᵉ édition du congrès APSSIS, qui s’est tenue en juin 2025, a une nouvelle fois confirmé sa place centrale dans l’écosystème de la cybersécurité en santé. Au fil de trois jours de conférences, de débats et de rencontres, RSSI, DPO, DSI, juristes et institutionnels ont croisé leurs expertises pou...

Illustration Le 8ème opus des guides cyber-résilience de l’APSSIS est en ligne !

Le 8ème opus des guides cyber-résilience de l’APSSIS est en ligne !

30 juin 2025 - 20:50,

Communiqué

- APSSIS

L’APSSIS a le plaisir d’annoncer la publication du 8ème opus des Guides Cyber-résilience à destination des professionnels du secteur. Conçus et élaborés par Cédric Cartau, ces guides se veulent à la fois accessibles, techniques et pratiques.

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.