Qu'est-ce que la norme ISO27005 ?

 

La norme ISO27005 (ISO/CEI 27005:2008) a été publiée le 4 juin 2008 en langue anglaise, puis en octobre 2009 en version française. Cette norme adresse la gestion des risques en Sécurité des Systèmes d'Information.

 

Objectifs

Cette norme est conçue pour aider à une mise en place de la sécurité de l’information basée sur une approche méthodique de gestion du risque. Elle peut venir en appui de tout Système de Management de la Sécurité de l'Information, ou même être utilisée de façon autonome. Toutefois, la norme ISO 27005 vient directement en appui des concepts généraux énoncés dans la norme ISO 27001, qu'elle complète donc en précisant les exigences portant sur la gestion des risques (clause 4.2).

 

Démarche proposée

ISO 27005 propose une démarche de gestion des risques itérative, alignée sur les quatre phases Plan - Do - Check - Act. La tâche la plus importante reste cependant dans la phase de mise en place initiale, avec l'appréciation du risque.

Les activités décrites dans le standard et le processus générique de gestion des risques sont représentés dans le schéma ci-dessous :

 

Processus de gestion des risques

 

Limites et compléments

La norme ISO 27005 définit une démarche, mais ne constitue pas une méthode, et n'en recommande à proprement parler aucune. Chaque activité de la démarche peut donc être menée selon une méthodologie propre à l'organisme, ou plus spécialement adaptée à un contexte donné. Ainsi, la norme ne fournit pas directement de métriques, ni de formule de calcul du niveau de risque. Cependant, les exemples donnés en annexe de cette norme sont principalement tirés de la méthode EBIOS, et c'est essentiellement cette méthode que suivent les consultants de FIDENS lors de leurs missions de conseil en analyse et gestion des risques.

Le Traitement du Risque est décrit dans la norme ISO 27005 dans ses principes. Toutefois, les mesures à mettre en œuvre lorsque l'on choisit de réduire un risque ne sont pas détaillées dans ce standard : la norme suggère de se reporter pour cela au standard ISO-27002 (Code de bonnes pratiques pour la gestion de la sécurité de l'information), mais une approche de terrain, basée sur l'expérience et l'expertise technique en sécurité informatique, peut parfois suffire.

Certification

La norme ISO 27005 ne décrivant qu'une démarche, elle ne permet pas la certification d'un système, contrairement à la norme ISO 27001. En revanche, la compétence d'un Gestionnaire de Risque, pour l'application pratique de la norme ISO 27005, peut être reconnue par une certification de personne, à l'issue d'une formation "ISO 27005 Risk Manager" sanctionnée par la réussite à l'examen.

 

 

Découvrez FIDENS EGERIE Risk Manager votre outil de gestion de nos analyses de risques

 

JLS, 05/01/2010