20 février 2026
#ISO27001 #mythos #riskassessment

Mythe 2 : L’évaluation des risques n’est qu’un point d’audit formel

ISO 27001 : mythe contre réalité – Mythe 2 : l’évaluation des risques n’est qu’un point d’audit formel

Dans de nombreuses entreprises, l’idée persiste que l’évaluation des risques selon la norme ISO 27001 est avant tout une partie formelle de la certification. Certaines organisations considèrent l’analyse des risques comme une tâche unique et obligatoire qui doit être accomplie avant l’audit pour obtenir la certification. Une fois le certificat obtenu, le sujet perd souvent de son intérêt dans la pratique. Or, ce mythe entraîne d’importantes erreurs d’interprétation de la norme et peut nuire à l’efficacité de l’ensemble du système de gestion de la sécurité de l’information.

La réalité est totalement différente. L’analyse des risques est au cœur de tout SMSI efficace. Sans une évaluation des risques solide, proche de la réalité et continuellement mise à jour, la norme ISO 27001 perd sa raison d’être. La norme n’est pas conçue pour produire un simple certificat. Elle doit permettre aux entreprises de comprendre les menaces réelles qui pèsent sur leurs actifs informationnels et de choisir les mesures appropriées. C’est pourquoi l’analyse des risques est le processus clé qui régit toutes les autres activités du SMSI.

C’est également un malentendu répandu que de penser que la norme ISO 27001 exige la création d’un catalogue complet de tous les risques imaginables. Cela ne correspond pas à l’intention de la norme. Les exigences visent plutôt à ce que les entreprises identifient les risques qui les concernent. L’accent est mis sur les risques qui peuvent réellement affecter l’organisation, et non sur des scénarios théoriques. Une bonne évaluation des risques doit donner une image réaliste et objective des menaces réelles.

Dans la pratique, de nombreuses analyses de risques restent abstraites et déconnectées de la réalité. Certaines entreprises s’appuient exclusivement sur des descriptions de risques très générales, qui ont peu de rapport avec leurs propres processus, systèmes et flux de valeur. Souvent, elles travaillent avec des listes standard interchangeables qui n’ont guère de signification réelle. Une telle approche permet certes de réussir un audit, mais ne protège pas vraiment contre les menaces réelles. En effet, les menaces et les vulnérabilités n’ont de sens que si elles sont considérées dans le contexte de l’entreprise elle-même.

Une bonne approche de l’évaluation des risques commence toujours par les processus métier et les actifs informationnels qui sont essentiels pour l’organisation. Ce n’est qu’une fois que l’on sait quels processus sont critiques pour l’entreprise et quelles données sont traitées dans ce cadre que l’on peut évaluer où se situent les vulnérabilités et les risques. Il est tout aussi important de considérer les menaces réelles, et pas seulement les scénarios théoriques ou rarement rencontrés. Les menaces peuvent provenir de vulnérabilités techniques, de mauvaises configurations, d’erreurs internes, de dépendances vis-à-vis des fournisseurs ou de facteurs externes. Il est essentiel que l’évaluation soit liée à la réalité et ne se limite pas à des formulaires.

Une évaluation des risques efficace doit répondre à des questions clés. Il s’agit par exemple de : Quels événements pourraient raisonnablement nuire à notre entreprise ? Quels sont les risques les plus pertinents pour notre situation commerciale actuelle ? Parmi nos mesures existantes ou prévues, lesquelles réduisent les risques de manière réelle et démontrable ? Ces questions sont importantes non seulement pour l’audit, mais aussi pour la gestion et la prise de décision stratégique. Elles constituent la base de la transparence des risques et de la prise de décisions appropriées.

Une autre erreur fréquente consiste à considérer l’évaluation des risques comme une tâche purement documentaire. De nombreuses entreprises créent des tableaux et des matrices de risques en pensant que c’est le seul but du processus. Pourtant, l’objectif de l’évaluation des risques n’est pas la documentation. Elle n’est que la preuve que l’organisation a compris ses risques et qu’elle en tire les bonnes conclusions. Le véritable objectif est de gérer la sécurité de l’information de manière fondée et compréhensible. Les mesures de l’annexe A ou les mesures alternatives n’ont d’effet que si elles sont choisies à partir d’une véritable évaluation des risques.

Si les entreprises ignorent l’évaluation des risques après la certification ou ne la poursuivent que superficiellement, il en résulte un sentiment de sécurité trompeur. La certification à elle seule ne protège pas contre les attaques, les pertes de données ou les interruptions d’activité. Ce qui compte, c’est la pratique vécue. Les menaces évoluent constamment. Les technologies évoluent. De nouvelles applications sont introduites, de nouveaux prestataires de services font leur apparition et les processus internes changent. Un profil de risque établi une fois n’est donc jamais valable en permanence. Il doit être régulièrement revu et mis à jour pour que le SMSI reste efficace.

L’évaluation des risques est donc un processus continu qui doit être intégré dans la gestion globale de l’entreprise. Cela signifie que les risques doivent toujours être pris en compte dans les projets, les modifications de l’environnement informatique, les nouvelles relations avec les fournisseurs ou les changements organisationnels. Le SMSI ne sera durablement efficace que si l’évaluation des risques est considérée comme un outil qui aide les dirigeants et les services à prendre des décisions.

Une approche purement axée sur l’audit peut fonctionner à court terme, mais à long terme, les risques peuvent être ignorés ou mal évalués. Les entreprises répondent alors aux exigences formelles, mais sont néanmoins exposées à des risques importants. La norme est délibérément conçue de manière à ne pas encourager une mentalité de liste de contrôle, mais à exiger une réflexion systématique et factuelle sur les risques. Elle exige de la transparence, de la traçabilité et une justification compréhensible pour le choix des mesures.

Une évaluation efficace des risques aide les entreprises à définir des priorités et à utiliser les ressources à bon escient. Au lieu de traiter tous les risques possibles avec la même intensité, une bonne analyse permet de se concentrer sur les menaces réellement pertinentes. Cela augmente non seulement le niveau de sécurité, mais aussi l’efficacité des mesures de sécurité. Parallèlement, l’analyse des risques favorise la communication entre l’informatique, la direction et les métiers, car elle crée une base commune pour la prise de décisions.

Considérer l’évaluation des risques uniquement comme une tâche obligatoire pour l’obtention du certificat, c’est passer à côté du véritable sens de la norme ISO 27001. La sécurité de l’information n’est pas un projet, mais un processus permanent. Le certificat n’est qu’un signe extérieur d’un système de gestion qui doit être vécu dans l’entreprise. C’est la qualité de l’analyse des risques qui détermine si le SMSI fonctionne réellement ou s’il ne sert qu’à assurer la conformité formelle.

Dans la prochaine partie de cette série, le mythe 3 porte sur l’évaluation des risques et sa mise en œuvre pratique.

plus de nouvelles

Pourquoi de nombreuses politiques échouent

Pourquoi de nombreuses politiques échouent

Les erreurs les plus fréquentes lors des audits internes

Les erreurs les plus fréquentes lors des audits internes

Les 3 plus grands mythes sur ISO 27001

Les 3 plus grands mythes sur ISO 27001

NIS-2

NIS-2

Règlement sur l’IC

Règlement sur l’IC

Protection de base ++

Protection de base ++

Plateforme de Gestion des Consentements par Real Cookie Banner