Cybersécurité : L’ISO 27005 est une norme internationale essentielle dans le domaine de la gestion des risques liés aux technologies de l’information. Elle aide les organisations à rationaliser la protection des données sensibles et à anticiper les conséquences des cyberattaques et de la cybercriminalité.
En tant que certification internationale renommée, l’ISO 27005 a été largement utilisée en 2021, année durant laquelle les entreprises ont dû faire face à des risques de cybersécurité de plus en plus complexes.
Comment fonctionne cette norme ISO ? À qui s’adresse-t-elle ? Comment s’y former ? Et quelles sont ses limites éventuelles ?
Le titre exact de la norme ISO 27005 tel que présenté sur le site web de l’ISO est “Technologies de l’information – Techniques de sécurité – Management des risques (ou Risk Manager) de sécurité de l’information”. En tant que telle, cette norme aide les entreprises à gérer les risques liés à la sécurité de l’information.
ISO/IEC 27005 est une norme internationale publiée par l’Organisation internationale de normalisation (ISO) et la Commission électrotechnique internationale (CEI). Comme son nom l’indique, elle soutient la sécurité de l’information basée sur le risque. Contrairement à des méthodes telles que le NIST Cybersecurity Framework, cette norme est soumise à certification.
L’ISO 27005 est fondée sur les lignes directrices énoncées dans l’ISO/CEI 27001 et l’ISO/CEI 27002. Initialement publiée en juin 2008 sous l’acronyme ISO/CEI 27005:2008, elle a été rééditée en 2011, puis en 2018. Notre article fera référence à cette dernière version.
Voici un résumé des concepts abordés dans la norme ISO 27005 : les chapitres six à douze développent une approche de la gestion des risques liés aux systèmes d’information ; le chapitre sept traite plus spécifiquement de l’analyse des risques, qui reste l’épine dorsale d’une bonne stratégie de cybersécurité ; le chapitre huit se concentre sur l’évaluation des risques ; et les chapitres neuf à douze détaillent comment mettre en œuvre une stratégie de traitement des risques et comment en assurer le suivi.
L’Organisation internationale de normalisation recommande la norme ISO 27005 aux entreprises, mais aussi aux établissements publics tels que les “agences gouvernementales” et aux NPO (organisations à but non lucratif).
En pratique, cette norme de sécurité de l’information est utilisée pour assurer la confidentialité des données, la disponibilité et l’intégrité des actifs informationnels clés d’une organisation. Elle s’adresse à toutes les structures concernées par les cyber-risques et par l’augmentation continue des données dans leurs services.
La norme ISO 27005 a pour objectif de soutenir la mise en œuvre satisfaisante de la sécurité de l’information sur la base d’une approche de gestion des risques.
Elle nécessite généralement une formation des employés afin de les aider à développer les compétences nécessaires à la mise en œuvre de processus efficaces de gestion des risques en matière de sécurité de l’information.
Les personnes formées à la norme ISO 27005 sont théoriquement capables d’identifier, d’analyser, de mesurer et de traiter les risques.
À cette fin, la norme ISO 27005 suit une logique qui n’est pas sans rappeler la méthodologie PDCA (Plan, Do, Check, Act) de l’amélioration continue :
Cette norme internationale comprend plus de 20 pages d’approches de gestion des risques liés à la sécurité de l’information. De manière générale, cependant, le document soutient les concepts généraux de la méthodologie à travers quatre étapes principales :
La contextualisation de l’analyse des risques consiste à déterminer où commence et où finit la gestion des risques. C’est également le moment de mettre en place une série de critères :
Vous devrez d’abord identifier les éléments à risque au cours de cette étape : non seulement l’organisation dans son ensemble, mais aussi les systèmes d’information, les services et les groupes de données. Ensuite, vous devrez identifier les menaces et les vulnérabilités qui entourent ces éléments.
Enfin, la norme ISO 27005 vous demande de faire correspondre ces menaces et leurs occurrences avec les besoins de sécurité de votre organisation. L’ensemble de ce processus devrait vous aider à établir des priorités en fonction des critères d’évaluation que vous avez définis lors de la première étape.
Si la norme ISO 27005 permet d’identifier les vulnérabilités en matière de cybersécurité, elle ne prévoit pas d’échelle d’évaluation des risques. L’équipe chargée de la mise en œuvre de la norme doit construire son propre système d’évaluation.
Ce système peut s’appuyer sur des méthodes d’estimation qualitatives ou quantitatives, ces dernières étant basées sur des coûts mesurables. En pratique, en l’absence de prescription de la norme ISO, les analyses tendent à être principalement qualitatives.
Dans cette étape, votre organisation doit mettre en place des objectifs de sécurité informatique en tenant compte des résultats de l’étape précédente. Ces objectifs doivent ensuite être traduits dans un cahier des charges qui permettra la mise en place de mesures de traitement des risques.
Dans la norme ISO 27005, conceptualiser ces mesures revient à comparer un risque avec son coût de traitement. Quatre possibilités se présentent alors :
Chaque option comporte un risque résiduel, qui doit être systématiquement évalué.
La direction générale doit approuver la stratégie de traitement des risques et les risques résiduels. Au cours de cette étape, les chefs de service peuvent remettre en question des coûts qu’ils jugent trop élevés, ou envisager d’accepter certains risques. Ces exceptions doivent être justifiées.
La méthodologie de la norme ISO 27005 s’arrête ici, mais vous devez garder à l’esprit que tout le travail effectué par votre organisation pour la mettre en œuvre peut être utilisé dans le cadre d’une procédure de surveillance et de révision.
Elle fournit un historique des risques que vous avez identifiés, des scénarios que vous avez imaginés, de l’analyse des risques que vous avez effectuée et des stratégies de traitement que vous avez mises en place.
Bien entendu, cette méthodologie doit être répétée si les menaces et les vulnérabilités venaient à évoluer. Ce travail peut également servir de support à la communication avec vos parties prenantes.
Cette norme de gestion des cyber-risques présente plusieurs avantages, dont l’un des plus remarquables est son adaptabilité à différents types de structures. Cependant, il lui manque une dimension prescriptive en termes de critères d’analyse des risques.
Votre organisation peut bénéficier de la norme ISO/CEI 27005 de multiples façons :
Le manque d’aspect prescriptif est l’inconvénient principal de la norme ISO 27005. Les organisations doivent définir le champ d’application de la gestion des risques de manière autonome, qu’il s’agisse du champ d’application du SMSI ou des critères de risque.
Cette approche convient donc uniquement aux structures disposant des ressources internes nécessaires pour développer leur propre méthodologie.
Si vous disposez de peu de temps, vous pouvez opter pour une formation à distance en ISO/CEI 27005 Risk Manager, qui vous permettra de travailler à votre rythme.
N’attendez plus, réservez votre place en formation 100% en ligne immédiatement ou contactez-nous au (+33) 1-85-39-09-73 ou sur contact@skills4all.com.
Skills4All est un organisme de formation en digital learning, qui propose des formations certifiantes dans le domaine de l’IT, Scrum, Prince2, Cybersécurité, Lean Six Sigma, Gestion de projet, Agilité, et plus encore. Formez-vous où que vous soyez, 24/24h et 7/7jrs !
Organisme de formation enregistré sous le numéro 1178 8340 078 auprès du préfet de Région Ile-de-France. Cet enregistrement ne vaut pas agrément de l’Etat.
– Notre numéro Datadock est le 0034895 – Skills4All est partenaire PeopleCert® n°3605
– Skills4All est ATP® Accredited Training Partner n°4326 (PMI)
– Skills4All est Accredited Partner n°3605 pour le DevOps Institute
– Skills4all est partenaire WILEY pour Everything DiSC® n°330556
– Skills4All est Accredited Partner IASSC® n°01-1159 – IASSC is a registered trademark of International Association for Six Sigma Certification.
– IASSC® Accreditation does not constitute its’ approval or recognition of our own lean six sigma certification program. The only method to earn an IASSC certification is to successfully sit for and pass an official IASSC Certification exam. We provide access to IASSC Certification exams for no additional cost
– The Swirl logo™ is a trade mark of AXELOS Limited, used under permission of AXELOS Limited. All rights reserved.
– ITIL®, PRINCE2®, MSP®, PRINCE2 Agile® are registered trade marks of AXELOS Limited, used under permission of AXELOS Limited. All rights reserved.
– PMBOK, PMI, PMP, PgMP, CAPM, PMI-SP, PMI-RMP, and PMI-ACP are registered marks of the Project Management Institute, Inc.
– PMI Registered Education Provider logo is a registered mark of the Project Management Institute, Inc.
– The PMI logo is a registered trade mark of Project Management Institute, Inc.
– Skills4All warrants that it will, at all times, act in an honest, ethical and professional manner both in its dealing with PMI® and with the general public
– La désignation du DPO pour Skills4All porte le numéro DPO-71270 auprès de la CNIL
– Skills4All est partenaire avec CFTL – Comité Français des Tests Logiciels
– EXIN Accredited organisation et Accredited Training Organization
– Skills4All est adhérent aux Acteurs de la Compétence sous le numéro 22312 – IBAN: FR76 1670 6000 6353 9373 9838 / Code SWIFT: AGRIFRPP867
