37
[Audit Sécurité des Sy stèmes d’Information]
LICENCE PROFESSIONNELLE – ADMINISTRATION DE SYSTÈMES INFORMATIQUES
2.3- Traitement des risques La troisième étape concerne le choix du traitement des risques. L’ISO/CEI 27001 a identifié quatre traitements possibles du risque, l’acceptation, l’évitement, le transfert et la réduction. « Accepter » le risque revient à ne déployer aucune mesure de sécurité autre que celles déjà en place. Cette décision peut être justifiée si le vol de données dans un cas précis n’a pas d’impact sur l’organisme. « Eviter » le risque consiste à supprimer par exemple l’activité ou le matériel offrant un risque. « Transférer » un risque par souscription d’une assurance ou par sous- traitance. Ces moyens de transfert du risque sont souvent employés quand L’organisme ne peut ou ne souhaite pas mettre en place les mesures de sécurité qui permettraient de le réduire. « Réduire » le risque consiste à prendre des mesures techniques et organisationnelles pour ramener à un niveau acceptable le risque. C’est le traitement le plus courant. Il existe d’autres traitements du risque possibles mais pour être en conformité avec la norme, il faut en priorité considérer ceux que nous venons de citer. Après avoir sélectionné le traitement et mis en place les mesures de sécurité, un risque peut persister. Il convient de traiter ce risque comme les autres c’est-à-dire, l’accepter, l’éviter, le transférer ou le réduire. 2.4- Sélection des mesures de sécurité L’étape 4 est la dernière étape de la phase « Plan » du PDCA, elle consiste à sélectionner les mesures de sécurité. La norme ISO/CEI 27001 propose dans son annexe A, 133 mesures de sécurité réparties sur onze chapitres. A ce stade, le travail consiste à dresser un tableau SoA dans lequel figurent les 133 mesures qu’il faut déclarer applicables ou non applicables, pour réduire les risques du SMSI. Notons que les 133 mesures proposées par l’ISO/CEI 27001 répertorient presque tout ce qui peut être entrepris en matière de sécurité de l’information cependant, cette liste ne comporte pas d’exemples ni d’explications sur le déploiement des mesures à entreprendre. L’ISO/CEI 27002 répond en partie à ce besoin en fournissant une série de préconisations et d’exemples techniques et organisationnels qui couvrent la liste de l’ISO/CEI 27001. Une fois choisie la politique et le périmètre du SMSI, appréciés et traités les risques, et sélectionnées les 133 mesures de sécurité dans le tableau SoA, il faut mettre en œuvre les objectifs fixés de la phase « Plan » du PDCA. Il s’agit de la phase « Do » du PDCA.