ISO/IEC 27005.

ISO 27005 est la méthodologie de gestion des risques de sécurité de l'information qui s'articule avec ISO 27001. Identification, analyse, évaluation, traitement, acceptation. La révision 2022 s'aligne sur les principes d'ISO 31000 et clarifie la relation avec le chapitre 6 d'ISO 27001. Moins prescriptive qu'EBIOS RM, mais la lingua franca de référence avec les auditeurs.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyRisk managementAll entries

La vision de Cyber Academy

ISO 27005 est la méthodologie de gestion des risques de sécurité de l'information qui s'articule avec ISO 27001. Identification, analyse, évaluation, traitement, acceptation. La révision 2022 s'aligne sur les principes d'ISO 31000 et clarifie la relation avec le chapitre 6 d'ISO 27001. Moins prescriptive qu'EBIOS RM, mais la lingua franca de référence avec les auditeurs.

À quoi sert l'ISO/IEC 27005

L'ISO/IEC 27005 est la norme d'orientation pour la gestion du risque lié à la sécurité de l'information. Elle ne certifie rien et ne remplace pas l'ISO/IEC 27001. Elle vous donne plutôt une méthode pour réaliser l'appréciation et le traitement du risque que l'article 6 de l'ISO 27001 exige mais laisse délibérément ouverts. L'ISO 27001 vous indique que vous devez identifier, analyser, évaluer et traiter les risques de sécurité de l'information ; l'ISO 27005 vous montre une manière défendable de le faire. Cette répartition des rôles est la chose la plus importante à comprendre au sujet de la norme.

La méthode suit une trajectoire reconnaissable : établir le contexte, identifier les risques, les analyser, les évaluer au regard de vos critères, puis les traiter. Le traitement se conclut par une décision et un enregistrement, et non par une simple liste de mesures. Deux livrables comptent pour les auditeurs plus que tous les autres. Le premier est votre ensemble de critères d'acceptation du risque, convenus avant de commencer la notation afin que les résultats ne puissent pas être ajustés a posteriori vers une réponse arrangeante. Le second est la validation documentée lorsqu'un risque résiduel est accepté par le bon responsable. Ce sont ces artefacts qui transforment un tableur de scores en un processus maîtrisé.

La révision de 2022 et le lien avec l'ISO 31000

La révision actuelle aligne le vocabulaire et la structure sur l'ISO 31000, la norme de management du risque à l'échelle de l'organisation, afin que le risque de sécurité de l'information parle le même langage que le risque d'entreprise. Elle précise aussi la relation avec l'ISO 27001 en mettant ses activités en correspondance avec les articles de l'ISO 27001 plutôt qu'en décrivant un univers parallèle. Là où l'ancienne approche s'appuyait fortement sur l'énumération des actifs, des menaces et des vulnérabilités, la révision accueille à la fois cette vision fondée sur les événements et une vision fondée sur les scénarios, donnant aux équipes la latitude d'apprécier le risque de la manière qui correspond réellement à leur environnement.

L'ISO 27005 face à EBIOS RM

Les praticiens en France comparent en permanence l'ISO 27005 à EBIOS Risk Manager, la méthode maintenue par l'ANSSI. Ce sont moins des rivaux que des instruments différents. L'ISO 27005 est moins prescriptive, reconnue internationalement et constitue la langue commune avec les auditeurs de certification, ce qui en fait le choix naturel lorsque votre objectif est un certificat ISO 27001 reconnu partout. EBIOS RM est plus structurée et orientée scénarios, construite autour de scénarios d'attaque stratégiques et opérationnels et de sources de risque explicites, ce qui convient aux contextes français à fort enjeu ou réglementés. De nombreuses organisations mènent EBIOS RM pour l'analyse, puis expriment les résultats en termes ISO 27005 pour le SMSI.

L'ISO/IEC 27005 comparée à EBIOS Risk Manager
DimensionISO/IEC 27005EBIOS Risk Manager
NatureNorme d'orientation internationaleMéthode nationale maintenue par l'ANSSI
StyleMoins prescriptive, flexibleStructurée, orientée scénarios et menaces
AdéquationCertification ISO 27001, reconnaissance mondialeContextes français à fort enjeu et réglementés
PublicAuditeurs de certification dans le monde entierSecteur public français et opérateurs critiques

Ce que font réellement les praticiens

Bien utiliser l'ISO 27005, plutôt que de produire un document ponctuel, ressemble en pratique à ceci :

  1. Établir d'abord le contexte : le périmètre, les critères d'impact et de vraisemblance, et les seuils d'acceptation du risque, tous convenus avant que ne commence la moindre notation.
  2. Identifier les risques de la manière qui convient à l'environnement, qu'il s'agisse de chaînes actif-menace-vulnérabilité ou de scénarios de bout en bout, et éviter de mélanger les méthodes de façon incohérente au sein d'une même appréciation.
  3. Analyser et évaluer au regard des critères convenus à l'avance afin que la liste des priorités soit reproductible, puis choisir une option de traitement : modifier, maintenir, éviter ou partager.
  4. Consigner le risque résiduel et obtenir une acceptation explicite du responsable du risque désigné, car c'est cette validation qui relie l'appréciation à la responsabilité de la direction au sens de l'ISO 27001.
  5. Réexaminer l'appréciation selon une cadence définie et après tout changement significatif, afin que la cartographie du risque reste à jour plutôt que de vieillir discrètement entre deux cycles de certification.

Frequently asked questions

01Puis-je être certifié au regard de l'ISO 27005 ?

Non. L'ISO 27005 est un document d'orientation, pas une norme d'exigences ; il n'existe donc pas de certificat pour elle. Vous vous certifiez au regard de l'ISO 27001 et utilisez l'ISO 27005 comme méthode derrière l'appréciation du risque qu'exige l'ISO 27001.

02Quelle est la différence entre l'ISO 27001 et l'ISO 27005 ?

L'ISO 27001 pose l'exigence d'apprécier et de traiter le risque de sécurité de l'information mais laisse la méthode ouverte. L'ISO 27005 fournit une méthode reconnue pour réaliser ce travail. L'une est certifiable, l'autre est la boîte à outils qui vous aide à la satisfaire.

03Dois-je utiliser l'ISO 27005 ou EBIOS Risk Manager ?

Utilisez l'ISO 27005 lorsque vous voulez la norme internationale que les auditeurs attendent pour l'ISO 27001. Choisissez EBIOS RM lorsque vous avez besoin de son analyse structurée et orientée scénarios, courante dans les contextes français réglementés et à fort enjeu. Les deux peuvent être combinées.

04Quel est le lien entre l'ISO 27005 et l'ISO 31000 ?

L'ISO 31000 est la norme générique de management du risque d'entreprise. La révision actuelle de l'ISO 27005 aligne ses principes et son vocabulaire sur l'ISO 31000, de sorte que le risque de sécurité de l'information s'inscrive dans le cadre plus large de management du risque plutôt que de rester à l'écart.

05L'ISO 27005 m'indique-t-elle quelles mesures mettre en œuvre ?

Non. Elle vous aide à décider quels risques traiter et comment, mais la référence des mesures est l'ISO 27002 et l'ensemble de l'Annexe A de l'ISO 27001. L'ISO 27005 pilote la logique de sélection, pas le catalogue des mesures lui-même.

Besoin de plus qu'une définition ?

Réservez un appel découverte gratuit de 20 minutes. Nous identifions la cohorte qui transforme ce terme en pratique prête pour l'audit.