Cybersécurité : Tout ce que vous devez savoir sur la norme ISO 27005 Risk Manager

cybersecurite-tout-ce-que-vous-devez-savoir-sur-la-norme-ISO-27005-risk-manager

Cybersécurité : L’ISO 27005 est une norme internationale essentielle dans le domaine de la gestion des risques liés aux technologies de l’information. Elle aide les organisations à rationaliser la protection des données sensibles et à anticiper les conséquences des cyberattaques et de la cybercriminalité

En tant que certification internationale renommée, l’ISO 27005 a été largement utilisée en 2021, année durant laquelle les entreprises ont dû faire face à des risques de cybersécurité de plus en plus complexes. 

Comment fonctionne cette norme ISO ? À qui s’adresse-t-elle ? Comment s’y former ? Et quelles sont ses limites éventuelles ?

Cybersécurité : En quoi consiste la norme ISO 27005 ?

Le titre exact de la norme ISO 27005 tel que présenté sur le site web de l’ISO est “Technologies de l’information – Techniques de sécurité – Management des risques (ou Risk Manager) de sécurité de l’information”. En tant que telle, cette norme aide les entreprises à gérer les risques liés à la sécurité de l’information.

Cybersécurité : ISO 27005, une définition

ISO/IEC 27005 est une norme internationale publiée par l’Organisation internationale de normalisation (ISO) et la Commission électrotechnique internationale (CEI). Comme son nom l’indique, elle soutient la sécurité de l’information basée sur le risque. Contrairement à des méthodes telles que le NIST Cybersecurity Framework, cette norme est soumise à certification.

L’ISO 27005 est fondée sur les lignes directrices énoncées dans l’ISO/CEI 27001 et l’ISO/CEI 27002. Initialement publiée en juin 2008 sous l’acronyme ISO/CEI 27005:2008, elle a été rééditée en 2011, puis en 2018. Notre article fera référence à cette dernière version.

Voici un résumé des concepts abordés dans la norme ISO 27005 : les chapitres six à douze développent une approche de la gestion des risques liés aux systèmes d’information ; le chapitre sept traite plus spécifiquement de l’analyse des risques, qui reste l’épine dorsale d’une bonne stratégie de cybersécurité ; le chapitre huit se concentre sur l’évaluation des risques ; et les chapitres neuf à douze détaillent comment mettre en œuvre une stratégie de traitement des risques et comment en assurer le suivi.

Cybersécurité : Qui est l’utilisateur prévu de la présente norme ISO ?

L’Organisation internationale de normalisation recommande la norme ISO 27005 aux entreprises, mais aussi aux établissements publics tels que les “agences gouvernementales” et aux NPO (organisations à but non lucratif).

En pratique, cette norme de sécurité de l’information est utilisée pour assurer la confidentialité des données, la disponibilité et l’intégrité des actifs informationnels clés d’une organisation. Elle s’adresse à toutes les structures concernées par les cyber-risques et par l’augmentation continue des données dans leurs services.

Cybersécurité : Quel est le but exact de la norme ISO/IEC 27005 ?

La norme ISO 27005 a pour objectif de soutenir la mise en œuvre satisfaisante de la sécurité de l’information sur la base d’une approche de gestion des risques. 

Elle nécessite généralement une formation des employés afin de les aider à développer les compétences nécessaires à la mise en œuvre de processus efficaces de gestion des risques en matière de sécurité de l’information. 

Les personnes formées à la norme ISO 27005 sont théoriquement capables d’identifier, d’analyser, de mesurer et de traiter les risques.

À cette fin, la norme ISO 27005 suit une logique qui n’est pas sans rappeler la méthodologie PDCA (Plan, Do, Check, Act) de l’amélioration continue :

  • Planifier : Identifier et évaluer les cyber risques, puis réfléchir stratégiquement aux mesures de réduction des risques correspondantes ;
  • Faire : Mettre en œuvre ces mesures ;
  • Vérifier : Procéder à un examen des performances ;
  • Agir : Assurez le suivi et l’amélioration de votre stratégie de traitement des risques.

Cybersécurité : Comment fonctionne la norme ISO 27005 ?

Cette norme internationale comprend plus de 20 pages d’approches de gestion des risques liés à la sécurité de l’information. De manière générale, cependant, le document soutient les concepts généraux de la méthodologie à travers quatre étapes principales :

1. Cybersécurité : Contextualisation de la gestion des risques

La contextualisation de l’analyse des risques consiste à déterminer où commence et où finit la gestion des risques. C’est également le moment de mettre en place une série de critères :

  • les critères d’évaluation vous aident à identifier les actifs menacés par les cyber-risques et les seuils au-delà desquels les risques doivent être traités ;
  • les critères d’impact correspondent au niveau minimum de conséquences, au-delà duquel un risque doit être pris en considération ;
  • les critères d’acceptation du risque représentent un seuil en dessous duquel le risque peut être toléré.

2. Cybersécurité : Évaluation des risques

Vous devrez d’abord identifier les éléments à risque au cours de cette étape : non seulement l’organisation dans son ensemble, mais aussi les systèmes d’information, les services et les groupes de données. Ensuite, vous devrez identifier les menaces et les vulnérabilités qui entourent ces éléments. 

Enfin, la norme ISO 27005 vous demande de faire correspondre ces menaces et leurs occurrences avec les besoins de sécurité de votre organisation. L’ensemble de ce processus devrait vous aider à établir des priorités en fonction des critères d’évaluation que vous avez définis lors de la première étape.

Si la norme ISO 27005 permet d’identifier les vulnérabilités en matière de cybersécurité, elle ne prévoit pas d’échelle d’évaluation des risques. L’équipe chargée de la mise en œuvre de la norme doit construire son propre système d’évaluation. 

Ce système peut s’appuyer sur des méthodes d’estimation qualitatives ou quantitatives, ces dernières étant basées sur des coûts mesurables. En pratique, en l’absence de prescription de la norme ISO, les analyses tendent à être principalement qualitatives.

cybersecurite-tout-ce-que-vous-devez-savoir-sur-la-norme-ISO-27005-risk-manager

3. Cybersécurité : Stratégie de traitement des risques

Dans cette étape, votre organisation doit mettre en place des objectifs de sécurité informatique en tenant compte des résultats de l’étape précédente. Ces objectifs doivent ensuite être traduits dans un cahier des charges qui permettra la mise en place de mesures de traitement des risques.

Dans la norme ISO 27005, conceptualiser ces mesures revient à comparer un risque avec son coût de traitement. Quatre possibilités se présentent alors :

  • le refus ou l’évitement : votre organisation juge le cyber-risque trop grave et déclare qu’il doit être évité à tout prix. Vous pouvez alors décider de mettre un terme à l’activité susceptible de le provoquer ;
  • le transfert : votre structure partage le risque avec un tiers – assurance ou sous-traitant en cybersécurité – capable de la protéger du risque, au moins financièrement ;
  • la mitigation : vous concevez des mesures visant à atténuer l’impact ou la probabilité d’occurrence d’un risque afin de le rendre plus tolérable ;
  • la conservation : le risque est considéré comme supportable et ne constitue pas une menace suffisante, votre structure choisit de ne pas y faire face.

Chaque option comporte un risque résiduel, qui doit être systématiquement évalué.

4. Cybersécurité : “Acceptation des risques”

La direction générale doit approuver la stratégie de traitement des risques et les risques résiduels. Au cours de cette étape, les chefs de service peuvent remettre en question des coûts qu’ils jugent trop élevés, ou envisager d’accepter certains risques. Ces exceptions doivent être justifiées.

La méthodologie de la norme ISO 27005 s’arrête ici, mais vous devez garder à l’esprit que tout le travail effectué par votre organisation pour la mettre en œuvre peut être utilisé dans le cadre d’une procédure de surveillance et de révision. 

Elle fournit un historique des risques que vous avez identifiés, des scénarios que vous avez imaginés, de l’analyse des risques que vous avez effectuée et des stratégies de traitement que vous avez mises en place. 

Bien entendu, cette méthodologie doit être répétée si les menaces et les vulnérabilités venaient à évoluer. Ce travail peut également servir de support à la communication avec vos parties prenantes.

Cybersécurité : ISO 27005, avantages et inconvénients

Cette norme de gestion des cyber-risques présente plusieurs avantages, dont l’un des plus remarquables est son adaptabilité à différents types de structures. Cependant, il lui manque une dimension prescriptive en termes de critères d’analyse des risques.

Avantages de la méthode de gestion des risques ISO 27005

Votre organisation peut bénéficier de la norme ISO/CEI 27005 de multiples façons :

  • cette méthode peut être utilisée seule ;
  • vos équipes développent les compétences requises pour une gestion structurée des cyber-risques ;
  • les faiblesses et les différentes menaces pour votre organisation seront repérées ;
  • votre organisation commencera à bénéficier d’un SMSI résilient ;
  • la méthode peut être adaptée à toutes les structures, y compris les organisations qui s’adaptent en permanence à un paysage en constante évolution ;
  • la confiance de vos parties prenantes sera renforcée.

Inconvénients de la norme ISO 27005

Le manque d’aspect prescriptif est l’inconvénient principal de la norme ISO 27005. Les organisations doivent définir le champ d’application de la gestion des risques de manière autonome, qu’il s’agisse du champ d’application du SMSI ou des critères de risque

Cette approche convient donc uniquement aux structures disposant des ressources internes nécessaires pour développer leur propre méthodologie.

Si vous disposez de peu de temps, vous pouvez opter pour une formation à distance en ISO/CEI 27005 Risk Manager, qui vous permettra de travailler à votre rythme.

N’attendez plus, réservez votre place en formation 100% en ligne immédiatement ou contactez-nous au (+33) 1-85-39-09-73 ou sur contact@skills4all.com.

Skills4All est un organisme de formation en digital learning, qui propose des formations certifiantes dans le domaine de l’IT, Scrum, Prince2, Cybersécurité, Lean Six Sigma, Gestion de projet, Agilité, et plus encore. Formez-vous où que vous soyez, 24/24h et 7/7jrs !

Table des matières

Vous appréciez cet article. Merci de le partager !

Articles recommandés

S’inscrire à la newsletter