L'analyse de risques, c'est 90 %
de votre SMSI vu de l'auditeur.
L'auditeur juge votre maturité au niveau d'analyse de risques. Une analyse molle = SMSI mou. Une analyse précise = audit serein. Ce chapitre vous donne les 2 méthodes reconnues (EBIOS RM ANSSI ou ISO 27005), les modèles de registre, et les phrases exactes attendues par l'auditeur COFRAC.
« J'ai téléchargé le guide EBIOS RM de l'ANSSI. 115 pages. 5 ateliers. Ça parle de "valeurs métier", de "sources de risque", de "parties prenantes critiques", de "scénarios opérationnels". Mon DSI me dit : "On peut pas juste faire un Excel des risques ?"Je sais qu'il a raison, mais l'auditeur veut une méthode. Comment je tranche ? »
Réponse : ISO 27005 simplifiée pour démarrer. EBIOS RM si secteur sensible. Ce chapitre vous donne le critère de décision en 30 secondes.
1. Pourquoi analyser les risques (clause 6.1.2)
La clause 6.1.2 d'ISO 27001:2022 dit littéralement : « L'organisation doit définir et appliquer un processus d'appréciation des risques de sécurité de l'information. »La norme ne vous impose pas quelle méthode utiliser. Elle exige juste qu'elle soit :
- Documentée (la méthode est écrite quelque part)
- Cohérente (les mêmes règles s'appliquent à tous les risques)
- Reproductible (quelqu'un d'autre peut refaire la même analyse)
- Comparable (vous pouvez comparer 2 risques entre eux)
2. Le vocabulaire à maîtriser AVANT de commencer
7 termes à comprendre. Définitions issues d'ISO 27000 et EBIOS RM. Apprenez-les : ils tomberont à l'examen LA/IA et l'auditeur COFRAC les utilise constamment.
Actif (asset)
Tout élément qui a de la valeur pour l'organisation. Inclut : informations, logiciels, matériel, services, personnes, image de marque.
Valeur métier (EBIOS RM)
Information ou processus qui a de la valeur stratégique pour l'organisation. Plus abstrait qu'un actif : c'est le PROCESSUS BUSINESS dont dépend l'entreprise.
Bien support / actif (EBIOS RM)
Le système, l'équipement ou la personne qui supporte une valeur métier.
Menace (threat)
Cause potentielle d'un incident indésirable. Peut être humaine (attaquant, erreur), naturelle (incendie), accidentelle (bug logiciel).
Vulnérabilité
Faiblesse d'un actif que peut exploiter une menace. Pas une menace en soi, mais ce qui la rend possible.
Vraisemblance / Probabilité
Chance qu'une menace exploite une vulnérabilité dans un délai donné. Évaluée sur une échelle (souvent 1 à 5).
Gravité / Impact
Conséquence si le risque se matérialise. Évaluée sur une échelle (1 à 5). Inclut : finance, image, légal, opérationnel.
3. Choisir sa méthode : EBIOS RM ou ISO 27005 ?
Les 2 méthodes sont reconnues par les auditeurs COFRAC. Le choix dépend de votre secteur, de votre maturité et de votre temps. Voici la matrice de décision en 30 secondes.
EBIOS RM v1.5
Secteurs régulés (OIV, OSE, NIS2 EE), filiales d'OIV, services publics, défense, santé sensible
- Méthode officielle française
- Reconnue ANSSI/COFRAC
- Approche écosystème (parties prenantes critiques)
- Adaptée aux risques étatiques (espionnage, sabotage)
- 115 pages à digérer
- 5 ateliers chronophages (40-80 h)
- Vocabulaire spécifique (sources de risque, objectifs visés)
- Formation recommandée
ISO 27005:2022 (simplifiée)
PME B2B SaaS, ESN, services numériques, retail, industrie hors NIS2 EE
- Plus pragmatique et rapide
- Matrice 5×5 facile à comprendre
- Approche "actif × menace × vulnérabilité" classique
- Suffit à 90 % des PME
- Norme payante (sauf approche maison)
- Moins reconnue côté secteurs régulés
- Manque l'approche écosystème
4. EBIOS RM v1.5 ANSSI : la méthode en 5 ateliers
EBIOS RM organise l'analyse en 5 ateliers (workshops) chaînés. Chaque atelier produit un livrable qui alimente le suivant. Voici le résumé de chacun avec l'exemple Sandra.
Atelier 1 — Cadrage et socle de sécurité
· 4-8 heures"Quel est mon contexte, mes valeurs métier, mes biens supports ?"
Livrable : Cartographie des valeurs métier × biens supports. Liste des événements redoutés.
Atelier 2 — Sources de risque et objectifs visés
· 3-6 heures"Qui pourrait m'attaquer et pourquoi ?"
Livrable : Liste des sources de risque (attaquants potentiels) × leurs objectifs (ce qu'ils veulent obtenir).
Atelier 3 — Scénarios stratégiques
· 4-8 heures"Quels chemins d'attaque sont possibles depuis l'écosystème ?"
Livrable : Cartographie des parties prenantes critiques (fournisseurs, clients, partenaires) avec leur niveau de menace + scénarios de chemin d'attaque.
Atelier 4 — Scénarios opérationnels
· 6-12 heures"Quelles sont les actions techniques précises de l'attaquant ?"
Livrable : Pour chaque scénario stratégique, le mode opératoire détaillé selon TTPs MITRE ATT&CK.
Atelier 5 — Traitement du risque
· 4-8 heures"Comment je réduis ces risques ?"
Livrable : Plan de traitement : mesures à appliquer, risques résiduels acceptés, cadre de suivi.
5. ISO 27005 simplifiée : la matrice 5×5
Pour les PME hors secteurs sensibles, voici la version pragmatique d'ISO 27005 : une matrice Vraisemblance × Gravité 5×5 qui produit un score de risque de 1 à 25. Méthode légère, défendable en audit, déployable en 1 journée.
Matrice de risque 5×5
Score = Vraisemblance × Gravité
| ↓ Vraisemblance / Gravité → | 1 | 2 | 3 | 4 | 5 |
|---|---|---|---|---|---|
| 5 | 5 | 10 | 15 | 20 | 25 |
| 4 | 4 | 8 | 12 | 16 | 20 |
| 3 | 3 | 6 | 9 | 12 | 15 |
| 2 | 2 | 4 | 6 | 8 | 10 |
| 1 | 1 | 2 | 3 | 4 | 5 |
Échelles à définir avant tout (1 page A4) :
- 1 — Très faible : peu probable sur les 5 ans
- 2 — Faible : peu probable sur les 12 mois
- 3 — Modéré : possible sur les 12 mois
- 4 — Élevé : probable sur les 6 mois
- 5 — Quasi-certain : déjà arrivé ou imminent
- 1 — Négligeable : < 1 k€
- 2 — Faible : 1 à 10 k€
- 3 — Modéré : 10 à 100 k€
- 4 — Élevé : 100 k€ à 1 M€
- 5 — Catastrophique : > 1 M€ ou existentiel
6. Le registre des risques : modèle exact (à copier-coller)
Voici le format minimal qu'un auditeur COFRAC s'attend à trouver. Excel suffit pour démarrer (10-15 risques pour une PME de 30 personnes). Au-delà de 50 risques, passer à un outil dédié.
| ID | Actif | Menace | Vuln. | Vrais. | Grav. | Score | Décision | Ref. mesure |
|---|---|---|---|---|---|---|---|---|
| R-001 | Base clients ACME | Ransomware | Pas d'EDR | 4 | 5 | 20 | Réduire | A.8.7 |
| R-002 | Comptes admin AWS | Compromission | MFA partielle | 4 | 5 | 20 | Réduire | A.8.5 |
| R-003 | Code source GitHub | Vol par employé | Pas de revue | 2 | 4 | 8 | Surveiller | A.5.16 |
| R-004 | Site Paris | Incendie | Site unique | 1 | 5 | 5 | Surveiller | A.7.5 |
| R-005 | Site Paris | Vol matériel | Badge non strict | 2 | 2 | 4 | Accepter | — |
| R-006 | Sauvegardes | Inutilisables | Pas de tests | 3 | 5 | 15 | Réduire urgent | A.8.13 |
| R-007 | Formation | Phishing | Sensibilisation faible | 4 | 3 | 12 | Réduire | A.6.3 |
| R-008 | M365 | Compromission externe | MFA partielle | 3 | 4 | 12 | Réduire | A.8.5 |
7. Les 5 erreurs qui font fail votre analyse de risques
8. Les 4 vérités tacites de l'analyse de risques
Récapitulatif du chapitre 5
- 7 termes à maîtriser : actif, valeur métier, menace, vulnérabilité, vraisemblance, gravité, risque.
- EBIOS RM (gratuit ANSSI) si secteur sensible / NIS2 EE / OIV.
- ISO 27005 simplifiée (matrice 5×5) suffit pour 90 % des PME.
- Échelles définies à l'avance (vraisemblance + gravité, 1 page A4).
- 10 à 40 risques typiquement pour une PME — pas 100.
- Risques résiduels documentés = signe de maturité (pas signe de faiblesse).
Vérifiez votre compréhension
Vous avez maintenant une analyse de risques. Le chapitre suivant explique quoi en faire : le plan de traitement.