Structurer une analyse de risques ISO 27005 sans créer une usine à gaz

Beaucoup d’analyses de risques échouent pour une raison simple : elles deviennent trop lourdes avant même d’être utiles.

On lance un atelier ambitieux, on multiplie les colonnes, les échelles, les catégories et les règles de notation. Quelques semaines plus tard, l’équipe se retrouve avec un support difficile à lire, difficile à maintenir et finalement peu exploité pour décider, prioriser ou suivre des traitements.

C’est exactement ce qu’il faut éviter. Une analyse de risques vaut par sa capacité à rendre un contexte lisible, à faire émerger des scénarios crédibles, à soutenir des décisions et à déboucher sur des actions claires.

Une approche inspirée d’ISO 27005 peut être très utile à condition de rester pragmatique. L’objectif est d’obtenir une analyse sérieuse, relisible, validée humainement et exploitable dans la durée, y compris lorsqu’un classeur Excel reste le support le plus concret pour travailler.

À retenir ISO 27005 aide surtout à garder une chaîne de raisonnement claire : contexte, actifs, scénarios, évaluation, traitement et validation. La méthode doit rester lisible pour ceux qui arbitrent réellement le risque.

Ce qu’ISO 27005 apporte vraiment

ISO 27005 apporte d’abord une structure de pensée. Elle rappelle qu’une analyse de risques crédible ne commence pas par un score. Elle commence par le contexte, le périmètre, les actifs, les scénarios, les critères d’évaluation et les options de traitement.

Cette logique a un avantage majeur : elle oblige à relier le risque à une réalité métier et technique. On ne parle pas de “risque cyber” en général. On parle d’un risque appliqué à un périmètre, à des actifs, à des dépendances et à des modes de fonctionnement précis.

Cette structure évite deux dérives opposées :

• une analyse trop abstraite, pleine de catégories vagues ;
• une analyse trop détaillée, illisible pour les décideurs et pénible à mettre à jour.

L’intérêt d’une lecture ISO 27005 n’est donc pas de complexifier. Il est d’aider à tenir un cadre cohérent.

Commencer par le contexte et le périmètre

La première question n’est pas “quels sont nos risques ?”, mais “de quoi parle-t-on exactement ?”.

Une analyse sérieuse doit préciser le périmètre organisationnel, les activités ou processus concernés, les hypothèses de départ et les critères de gravité ou de priorité retenus.

Cette étape conditionne toute la suite. Si le périmètre est flou, les actifs seront mal décrits, les scénarios seront trop génériques et les décisions de traitement manqueront de pertinence.

Pour une PME ou une ETI, le bon niveau n’est pas forcément encyclopédique. Le cadrage doit surtout permettre de comprendre ce qui mérite d’être protégé et ce qui soutient réellement l’activité.

Construire un inventaire d’actifs lisible avant de parler scénarios

Une autre erreur classique consiste à passer trop vite aux menaces ou aux mesures sans avoir stabilisé l’inventaire.

Or, si les actifs sont mal identifiés, dupliqués, mal regroupés ou décrits de façon arbitraire, toute l’analyse perd en qualité. L’objectif n’est pas de produire la liste la plus longue possible, mais une base lisible, couvrante et exploitable.

Dans une approche pragmatique, il est souvent utile de raisonner par ensembles cohérents plutôt que par granularité excessive. Des groupes bien nommés, compréhensibles par un responsable cyber ou un décideur, sont souvent plus utiles qu’une fragmentation technique qui ne facilite ni la revue ni le traitement.

Le bon test est simple : un lecteur externe peut-il comprendre rapidement ce que représente chaque actif ou groupe d’actifs, et pourquoi il compte dans le périmètre étudié ?

Formuler des scénarios crédibles, pas des menaces génériques

Une fois le contexte et les actifs stabilisés, l’analyse peut passer aux scénarios.

Le piège le plus fréquent est d’utiliser des formulations trop larges : “cyberattaque”, “erreur humaine”, “panne”, “fuite de données”. Ces catégories ne suffisent pas pour piloter.

Un bon scénario doit aider à discuter d’un enchaînement plausible :

• sur quel actif ou groupe d’actifs porte le risque ;
• quel événement ou quelle faiblesse crée l’exposition ;
• quel impact métier, opérationnel, financier ou de conformité peut en découler ;
• pourquoi ce scénario mérite d’être retenu.

Le niveau de détail doit rester raisonnable. Il ne s’agit pas d’écrire un roman par scénario. Il s’agit de rendre l’analyse suffisamment concrète pour soutenir une qualification et un traitement.

Évaluer sans surcharger

La phase d’évaluation est souvent celle où les dispositifs deviennent inutilisables. Trop d’échelles, trop de critères secondaires, trop de pondérations implicites, et l’équipe finit par discuter de la méthode plus que du risque.

Une approche saine consiste à retenir un modèle d’évaluation clair, expliqué et reproductible. Selon l’organisation, cela peut reposer sur la vraisemblance, l’impact, ou une combinaison des deux, avec des critères décrits dans un langage lisible.

Ce qui compte n’est pas de donner une illusion de précision mathématique. Il faut surtout permettre une qualification cohérente entre scénarios, une discussion compréhensible avec les responsables concernés, une priorisation défendable et une mise à jour possible dans le temps.

Dérive fréquente	Approche utile
Ajouter des critères jusqu’à bloquer la revue	Garder un modèle d’évaluation explicable
Produire un score isolé	Relier le score au scénario et au traitement
Tout figer dans la méthode	Prévoir une mise à jour périodique

Si personne n’ose revoir une note sans rouvrir tout le modèle, la méthode est déjà trop lourde.

Passer du risque au traitement

Une analyse de risques utile ne s’arrête pas à la notation. Elle prépare des décisions.

Chaque scénario retenu doit conduire à une logique de traitement : réduction, transfert, acceptation encadrée, renforcement documentaire, action complémentaire, revue ultérieure, etc. Le choix dépend du contexte, des moyens et des priorités de l’organisation.

L’important est que ce choix soit explicite. Trop d’analyses se terminent sur une photographie du risque sans lien clair avec un plan de travail.

Un bon support de travail doit donc permettre de voir, pour chaque sujet important, le niveau de priorité, la décision de traitement, le responsable, l’échéance ou le rythme de revue, et l’état d’avancement.

Pourquoi un classeur lisible reste un vrai atout

Dans beaucoup d’environnements, Excel reste le support le plus relu, le plus partagé et le plus discuté. Ce n’est pas un défaut en soi. C’est même souvent un avantage lorsque le classeur est clair.

Un classeur lisible permet :

• de revoir les actifs et scénarios avec les métiers ;
• de vérifier la cohérence des évaluations ;
• de préparer une validation manuelle ;
• d’exporter ou de transmettre un support compréhensible ;
• de garder une trace exploitable même hors de l’outil.

L’enjeu n’est donc pas d’opposer méthode et lisibilité. C’est de faire en sorte que la méthode produise un support relisible par des humains, pas seulement par le système qui l’a généré.

Compatibilité MONARC : utile, à condition de garder le sens métier

La compatibilité MONARC peut être très utile lorsque l’organisation ou le consultant souhaite conserver un format reconnaissable.

Mais il faut garder un principe simple : la compatibilité ne doit pas vider l’analyse de son sens opérationnel. Le classeur de travail, les groupes d’actifs, les scénarios et les traitements doivent d’abord être compréhensibles par ceux qui pilotent réellement le risque. Il faut partir d’une analyse lisible et validée, puis produire des sorties compatibles lorsque c’est pertinent.

Les pièges à éviter

Trois écueils méritent une attention particulière.

Le premier est le groupe fourre-tout. Dès qu’un inventaire devient difficile, la tentation est forte de ranger des actifs hétérogènes dans des catégories vagues. Cela accélère la saisie, mais dégrade fortement la lecture du risque.

Le deuxième est la prolifération de scénarios sans hiérarchie. Une analyse volumineuse n’est pas forcément meilleure. Si les scénarios importants ne ressortent pas clairement, la priorisation devient confuse.

Le troisième est l’absence de validation humaine réelle. Une analyse préparée rapidement peut être utile comme point de départ, mais elle doit être revue, discutée et assumée par les personnes qui connaissent le contexte. Sans cela, elle reste fragile.

Conclusion

Une analyse de risques inspirée d’ISO 27005 n’a pas besoin d’être lourde pour être sérieuse. Elle doit surtout garder le fil : contexte, actifs, scénarios, évaluation, traitement et validation humaine.

La page Analyse de risques de Torus montre comment garder cette logique dans un support guidé, lisible et compatible MONARC.