Il appartient au client de choisir sa propre approche pour l'évaluation des risques fondée sur les objectifs et le but de l'évaluation des risques.
L'évaluation des risques quantifie ou décrit qualitativement les risques et permet aux managers de hiérarchiser les risques en fonction de leur gravité perçue ou selon les critères qu’ils ont établis.
Toute méthode de gestion des risques qui respecte les critères minimaux d’ISO 27001 & ISO 27005 est acceptable, même une méthode développée en interne chez le client. Voici une liste de quelques méthodes de gestion des risques reconnues :

EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité) permet d'identifier les risques d'un système d'information et de proposer une politique de sécurité adaptée aux besoins d’un client. Elle a été créée par la DCSSI (Direction Centrale de la Sécurité des Systèmes d'Information), du Ministère de la Défense Français. Les 5 étapes de la méthode EBIOS sont : étude du contexte, expression des besoins de sécurité, étude des menaces, identification des objectifs de sécurité et détermination des exigences de sécurité.

MEHARI (MÉthode Harmonisée d'Analyse de RIsques) est une méthode d’analyse de risque, développée par le CLUSIF depuis 1995, qui est dérivée des méthodes Melissa et Marion. La démarche générale de Mehari consiste en l'analyse des enjeux de sécurité et la classification préalable des entités du système d'information en fonction de trois critères de sécurité de base (confidentialité, intégrité, disponibilité). Ces enjeux expriment les dysfonctionnements ayant un impact direct sur l'activité du client. Des audits identifient les vulnérabilités du système d'information et l'analyse des risques proprement dite est réalisée par la suite.

OCTAVE (Operationally Critical Threat, and Vulnerability Evaluation ) permet de définir les valeurs mises en péril, les risques les plus redoutables ainsi que la vulnérabilité de la défense en s’appuyant sur une base de connaissances normalisée (standard catalogue of information) comprise dans la méthode. À partir de ces résultats, la méthode permet de développer une stratégie de réduction des risques et de la mettre en œuvre. La méthode OCTAVE est structurée en trois phases : profil des besoins de sécurité à l’égard des valeurs de l’entreprise, étude des vulnérabilités et élaboration de la stratégie et du plan de sécurité.

CRAMM (CCTA Risk Analysis and Management Method) a été créée en 1987 par l’Agence Centrale de l’Informatique et des
Télécommunications du gouvernement du Royaume-Uni. La méthode CRAMM est structurée en trois phases comme suit :
définition des valeurs mises en péril, analyse des risques et de la vulnérabilité et définition et choix des contrôles de sécurité.

Notre offre

LMPS accompagne ses clients dans l'évaluation de ses risques selon des méthodes de gestion des risques compatibles à ISO 27001 et ISO 27005 telles que : EBIOS, MEHARI, OCTAVE, ...

Si vous souhaiter découvrir plus,vous pouvez nous contacter directement à contact@lmps-consulting.com ou au +212522527785.