ISO 31000, EBIOS RM ANSSI, MEHARI CLUSIF, Statement of Applicability, PSI.
L\'ISO 31000 est la norme générique de management du risque (toutes natures). Elle pose les principes, le cadre et le processus.
| Étape ISO 31000 | Activités |
|---|---|
| Établir le contexte | Périmètre, enjeux, critères de risque |
| Identification | Sources, événements, causes, conséquences |
| Analyse | Vraisemblance × gravité, scénarios |
| Évaluation | Comparaison aux critères, priorisation |
| Traitement | 4 options : éviter, réduire, transférer, accepter |
| Surveillance et revue | Indicateurs, audit, mise à jour |
| Communication et consultation | Transverse (toutes étapes) |
Selon l\'ISO 31000:2018 §4 : « Le management du risque vise à créer et à protéger la valeur. Il améliore la performance, encourage l\'innovation et aide à atteindre les objectifs. » Source : iso.org/iso-31000-risk-management
EBIOS RM est la méthode française officielle d\'analyse de risques cyber, publiée par l\'ANSSI (Agence Nationale Sécurité Systèmes Information) en 2018. Compatible ISO 31000 et ISO 27005.
| Atelier EBIOS RM | Objectif |
|---|---|
| Atelier 1 — Cadrage et socle de sécurité | Périmètre, valeurs métier, biens supports, événements redoutés |
| Atelier 2 — Sources de risques | Cybercriminels, hacktivistes, États, internes, concurrents |
| Atelier 3 — Scénarios stratégiques | Chemins d\'attaque haut niveau |
| Atelier 4 — Scénarios opérationnels | Détails techniques modes opératoires (kill chain) |
| Atelier 5 — Traitement du risque | Plan d\'action, indicateurs, gouvernance |
MEHARI (MEthode Harmonisée d\'Analyse des RIsques) du CLUSIF (Club de la Sécurité de l\'Information Français) — méthode très détaillée, base de données de scénarios prête à l\'emploi, automatisable.
| Méthode | Origine | Particularité |
|---|---|---|
| OCTAVE | CMU/SEI USA | Auto-évaluation, focus actifs critiques |
| MAGERIT | Espagne (gouvernement) | Catalogues riches, secteur public |
| NIST RMF | NIST USA | Risk Management Framework, fédéral US |
| FAIR | Open Group | Approche quantitative (€ pertes) |
| ISO 27005:2022 | ISO/IEC | Lignes directrices spécifiques sécurité info |
La SOA est un document obligatoire ISO 27001 §6.1.3 d) qui liste tous les contrôles ISO 27002:2022 (93) et indique pour chacun : applicabilité (oui/non), justification, statut implémentation, référence procédure.
| Contrôle | Applicable ? | Justification | Statut |
|---|---|---|---|
| 5.1 PSI | Oui | Politique signée DG, communiquée | Mis en œuvre |
| 5.7 Threat intelligence | Oui | Veille CERT-FR + ANSSI alertes | Mis en œuvre |
| 5.23 Cloud security | Oui | AWS et Microsoft 365 utilisés | En cours |
| 6.5 Filtrage embauche | Oui | Casier judiciaire bulletin 3 pour postes sensibles | Mis en œuvre |
| 7.13 Élimination des biens | Oui | Effacement sécurisé disques (DBAN, certificat broyage) | Mis en œuvre |
| 8.28 Codage sécurisé | Non | Pas de développement interne | — |
La PSI est le document fondateur (§5.2 ISO 27001 + contrôle 5.1 ISO 27002). Elle est signée par la direction, datée, communiquée, et révisée annuellement minimum.
L\'organisme doit définir avant l\'analyse :
Pour chaque risque identifié, on choisit une option :
| Option | Quand l\'utiliser | Exemple |
|---|---|---|
| Éviter | Risque inacceptable, désengagement possible | Ne pas externaliser un SI critique |
| Réduire | La plupart des risques | Déployer MFA, EDR, sauvegardes |
| Transférer | Risque résiduel financier | Cyber-assurance, contrat avec prestataire |
| Accepter | Risque résiduel sous seuil appétence | Documenté et approuvé Comité Sécurité |
PME e-commerce vente articles sport (80 personnes, CA 12 M€, base 380 000 clients) — Analyse EBIOS RM complète.
| Source | Motivation | Capacité |
|---|---|---|
| Cybercriminel ransomware (REvil, LockBit) | Gain financier | Élevée |
| Hacktiviste / défacement | Idéologie | Faible |
| Concurrent peu scrupuleux | Espionnage commercial | Modérée |
| Salarié malveillant | Vengeance / extorsion | Modérée |
| Erreur humaine interne | Aucune (involontaire) | — |
| État (rare ce contexte) | Stratégique | Très élevée |
| Scénario | Source | Événement | Vraisemblance | Gravité |
|---|---|---|---|---|
| Ransomware via phishing | Cybercriminel | Chiffrement données + indispo site | 4 (probable) | 4 (max) |
| Compromission compte admin AWS | Cybercriminel | Suppression infrastructure + fuite | 3 | 4 |
| Vol données via vulnérabilité site | Cybercriminel | Fuite 380k clients | 3 | 4 |
| DDoS Black Friday | Hacktiviste ou concurrent | Indispo site période critique | 3 | 3 |
| Salarié exfiltrant base CRM | Salarié | Vol commercial | 2 | 3 |
Scénario : Ransomware via phishing — kill chain détaillée
| Risque | Décision | Mesures | Coût | Risque résiduel |
|---|---|---|---|---|
| Ransomware phishing | Réduire | EDR CrowdStrike + MFA + formation phishing simulé + EDR + sauvegardes 3-2-1 immutables + segmentation réseau | 50 k€ | Acceptable (V2 G3) |
| Compromission AWS admin | Réduire | MFA matérielle (YubiKey) + AWS Organizations SCP + CloudTrail + GuardDuty | 10 k€ | Acceptable |
| Vol données via site | Réduire | WAF CloudFlare + pentest annuel + SAST/DAST CI/CD + bug bounty YesWeHack | 25 k€ | Acceptable |
| DDoS | Transférer | CloudFlare Pro avec protection DDoS L7 | 3 k€/an | Acceptable |
| Salarié exfiltrant | Réduire | DLP Microsoft Purview + monitoring SIEM + audit logs CRM | 15 k€ | Acceptable |
Budget total traitement risques : 103 k€, à comparer aux pertes potentielles d'un seul incident majeur (rançon + perte CA + amende RGPD + image) estimées à 2-5 M€.
| Contrôle | Titre | Applic. | Justification (si N/A) ou Statut | Référence procédure |
|---|---|---|---|---|
| 5.1 | Politiques sécurité info | Oui | PSI v3.2 signée DG 15/01/2026 | POL-SECU-001 |
| 5.7 | Threat intelligence | Oui | Souscription flux ANSSI + CERT-FR + Recorded Future | PRO-CTI-001 |
| 5.23 | Sécurité services cloud | Oui | Politique cloud + audits AWS et Microsoft 365 annuels | POL-CLOUD-001 |
| 5.30 | Préparation TIC continuité | Oui | PCA testé annuellement, RTO 4h, RPO 1h | PRO-PCA-001 |
| 6.1 | Filtrage embauche | Oui | Vérification casier B3 postes sensibles, références | PRO-RH-007 |
| 6.5 | Responsabilités après emploi | Oui | Clause confidentialité contrat + sortie poste | PRO-RH-008 |
| 7.1 | Périmètres sécurité physique | Oui | Locaux contrôlés badge + caméras + alarme | PRO-PHYS-001 |
| 7.4 | Surveillance sécurité physique | Oui | CCTV 30 caméras, conservation 30j | PRO-PHYS-002 |
| 8.5 | Authentification sécurisée | Oui | MFA Okta sur 100% comptes + SSO | PRO-IAM-001 |
| 8.9 | Gestion configuration | Oui | CMDB ServiceNow + baselines CIS Benchmark | PRO-CONFIG-001 |
| 8.11 | Masquage des données | Oui | Anonymisation bases test (Delphix) | PRO-DEV-005 |
| 8.12 | Prévention fuites données (DLP) | Oui | Microsoft Purview DLP : règles CB + NIR + données santé | POL-DLP-001 |
| 8.16 | Surveillance activités | Oui | SIEM Sentinel + SOC interne 7h-19h, MSSP 24/7 | PRO-SOC-001 |
| 8.23 | Filtrage Web | Oui | Zscaler Internet Access — catégories bloquées 12 | POL-WEB-001 |
| 8.24 | Cryptographie | Oui | AES-256 stockage, TLS 1.3 transport, gestion clés HashiCorp Vault | POL-CRYPTO-001 |
| 8.27 | Principes ingénierie sécurité | Oui | Security by Design intégré CI/CD | PRO-DEV-001 |
| 8.28 | Codage sécurisé | Oui | SAST SonarQube + DAST OWASP ZAP + formation dev | PRO-DEV-002 |
| 8.34 | Protection SI lors d'audit | Non | Pas d'auditeurs externes mobilisant des outils intrusifs sur SI prod | — |
Note Lead Implementer : typiquement < 5-10% de contrôles "Non applicable" justifiables. Plus de 15% éveille la suspicion auditeur.
POLITIQUE DE SÉCURITÉ DE L'INFORMATION (PSI) — Société [XYZ] — Version 4.0 — Approuvée 15/01/2026 par M. J. Mvondo, PDG
La sécurité de l'information est un enjeu stratégique de [XYZ]. Nous protégeons la Confidentialité, Intégrité et Disponibilité des informations confiées par nos clients et collaborateurs. La direction s'engage personnellement à allouer les ressources et soutenir la démarche SMSI ISO 27001:2022.
Cette politique s'applique à 100% des collaborateurs, prestataires, sous-traitants ayant accès au SI de [XYZ], pour l'ensemble des sites et systèmes (production cloud AWS + tertiaire Paris + télétravail).
Tout manquement à la PSI peut entraîner des sanctions disciplinaires (avertissement, mise à pied, licenciement) conformément au règlement intérieur de la société. Les actes pénalement répréhensibles (vol données, fraude) feront l'objet d'un dépôt de plainte.
Cette PSI est revue annuellement minimum (mai chaque année) en revue de direction, ou suite à incident majeur ou changement organisationnel significatif.
Signature : [J. Mvondo, PDG, 15/01/2026]
Inscrivez-vous pour accéder aux 5 autres leçons + le quiz final.
Créer mon compteChoisis quels cookies tu acceptes — modifiable à tout moment.
