Torus IT Security
Menu
Ressources

Checklist Torus

Checklist pour cadrer une analyse de risques ISO 27005

Une checklist pour cadrer une analyse de risques ISO 27005 lisible, exploitable et compatible avec un travail de validation humaine.

Une analyse de risques ISO 27005 devient vite lourde si elle commence trop vite par des tableaux, des scénarios et des calculs. Le point décisif est souvent plus simple : savoir exactement ce que l’on analyse, pourquoi, avec quelles hypothèses et qui valide les choix.

Cette checklist aide à préparer un cadrage solide avant d’entrer dans l’évaluation détaillée.

À retenir Une analyse de risques utile n’est pas celle qui contient le plus de lignes. C’est celle dont le périmètre, les scénarios, les décisions et les traitements peuvent être relus sans ambiguïté.

1. Définir le périmètre réel

Commencez par stabiliser le sujet de l’analyse.

  • Organisation, entité, processus ou client concerné.
  • Applications, services, données ou actifs inclus.
  • Actifs exclus ou traités dans une autre analyse.
  • Objectif : audit, programme sécurité, décision projet, revue client, assurance, conformité.
  • Contraintes connues : délais, dépendances, dette documentaire, accès aux interlocuteurs.

Un périmètre flou produit presque toujours des risques génériques.

2. Identifier les actifs sans créer de fourre-tout

Les actifs doivent rester utiles à l’analyse. S’ils deviennent trop larges, les scénarios perdent leur sens.

  • Distinguer les actifs métier, techniques, informationnels et organisationnels si nécessaire.
  • Éviter les catégories trop globales comme “SI” ou “infrastructure”.
  • Garder un niveau de détail compatible avec la décision attendue.
  • Vérifier que chaque actif pourra être relié à au moins un scénario crédible.
  • Documenter les regroupements quand ils sont nécessaires.

Le bon niveau n’est pas le plus détaillé. C’est celui qui permet de décider.

3. Formuler des scénarios exploitables

Un scénario de risque doit être assez précis pour guider l’évaluation et le traitement.

  • Décrire un événement compréhensible.
  • Relier le scénario à un actif ou un processus.
  • Éviter les formulations trop vagues comme “cyberattaque”.
  • Distinguer les causes, les impacts et les mesures existantes.
  • Limiter les doublons entre scénarios proches.

Si deux lecteurs interprètent le scénario de manière différente, il faut probablement le reformuler.

4. Clarifier les critères d’évaluation

Avant de noter les risques, vérifiez que les critères sont compréhensibles.

  • Les niveaux de vraisemblance sont définis.
  • Les niveaux d’impact sont adaptés au contexte.
  • Les échelles sont simples à expliquer.
  • Les seuils de priorité ou d’acceptation sont connus.
  • Les exceptions ou arbitrages sont tracés.

Une évaluation est défendable si l’on peut expliquer pourquoi une note a été retenue.

5. Relier les mesures existantes au risque

Les mesures existantes ne doivent pas être ajoutées comme une simple liste.

  • Chaque mesure importante est reliée à un ou plusieurs scénarios.
  • Le niveau de maturité réel est distingué de l’intention.
  • Les preuves disponibles sont identifiées.
  • Les mesures non vérifiées sont signalées comme telles.
  • Les dépendances avec des tiers ou d’autres projets sont explicites.

Ce point évite de surestimer la maîtrise réelle du risque.

6. Préparer le traitement

Une analyse de risques utile doit déboucher sur des décisions.

  • Réduire, accepter, transférer ou éviter le risque.
  • Définir une action lisible.
  • Associer un responsable.
  • Donner une échéance ou une priorité.
  • Identifier les preuves attendues.
  • Tracer les arbitrages quand une action est reportée.

Sans traitement suivi, l’analyse devient un document statique.

7. Prévoir la validation humaine

L’IA peut aider à structurer, détecter des incohérences ou accélérer la préparation. Elle ne remplace pas la validation métier.

  • Les hypothèses sont relues par des personnes qui connaissent le périmètre.
  • Les scénarios critiques sont validés avec les bons interlocuteurs.
  • Les arbitrages sont assumés par un responsable.
  • Les livrables restent relisibles hors de l’outil.
  • Les exports sont compatibles avec le besoin de revue ou de comité.

Le rôle de l’outil est d’aider à garder le fil, pas de décider à la place de l’équipe.

Signaux d’alerte

Reprenez le cadrage si vous voyez apparaître ces symptômes.

  • Trop de scénarios se ressemblent.
  • Les actifs sont trop génériques.
  • Les notes sont difficiles à justifier.
  • Le traitement n’a pas de responsable.
  • Le classeur est complet mais personne ne l’utilise.
  • Les décisions importantes ne sont pas tracées.

Comment Torus s’inscrit dans cette logique

La page Analyse de risques présente l’approche Torus : étapes guidées, classeur Excel autonome, compatibilité MONARC contrôlée et validation humaine. L’objectif est de structurer une analyse lisible, pas de générer une boîte noire.