Tout ce que vous devez savoir sur la norme ISO 27005

De quoi traite la norme ISO 27005 ?

L’intitulé exact de la norme ISO 27005 que l’on trouve sur le site web ISO est “Technologies de l'information — Techniques de sécurité — Gestion des risques liés à la sécurité de l'information”. Cette norme porte donc sur la gestion des risques en matière de sécurité de l'information.

Qu’est-ce que l’ISO 27005

Comme son nom l’indique, la norme ISO/CEI 27005 est une norme internationale publiée par l'Organisation Internationale de Normalisation (ISO) et la Commission électrotechnique internationale (CEI). Elle porte spécifiquement sur la sécurité de l'information. Elle propose une démarche de gestion des risques liés aux systèmes d’information (SI). Contrairement à une approche comme le framework cybersecurity NIST, d’origine américaine, cette norme fait donc l’objet d'une certification.

La norme ISO 27005 s’appuie par ailleurs sur les lignes directrices énoncées dans ISO/IEC 27001 et ISO/IEC 27002. Originellement parue en juin 2008 sous le sigle ISO/CEI 27005:2008, elle a été rééditée en 2011, puis en 2018. C’est à cette dernière version que le présent article fait référence.

S’il fallait dresser un résumé de l’ISO 27005, il faudrait préciser qu’elle développe une démarche de gestion des risques SI dans ses chapitres 6 à 12. Le chapitre 7, notamment, porte sur l’analyse des risques, qui reste le pilier d’une bonne stratégie de cybersécurité. Le chapitre 8 s’intéresse quant à lui à l’appréciation des risques. Les chapitres 9 à 12 portent sur le traitement du risque et son suivi.

À qui s’adresse cette norme ISO ?

L'Organisation internationale de normalisation recommande la norme ISO 27005 aux entreprises, mais aussi aux établissements publics comme les “agences gouvernementales" ou OBNL, organismes à but non lucratif.

Concrètement, cette norme de sécurité de l'information se mobilise pour assurer la confidentialité des données, mais aussi l'accessibilité et l'intégrité des informations stratégiques pour l’organisation. Elle se déploie au sein de toutes les structures inquiétées par les cyberrisques et par l’accroissement continu de la data dans leurs services.

À quoi sert précisément la norme ISO/IEC 27005 ?

Derrière la norme se dresse une formation, laquelle permet aux collaborateurs de développer les compétences pour mettre en œuvre une gestion des risques informatiques performante. Les personnes formées à ISO 27005 sont théoriquement en mesure d’identifier le risque cyber, de l’analyser, de le mesurer et de le traiter.

L’objectif de cette norme consiste en outre à installer un SMSI, un Système de Management de la Sécurité de l'Information. Le SMSI comprend la définition de processus et de politiques de cybersécurité, doublés d’une approche d’amélioration continue de la gestion des risques. Il est censé prendre en compte les facteurs humains et techniques.

Dans cette optique, la norme ISO 27005 se déploie autour d'une logique assimilable à celle de l’amélioration continue PDCA (Plan, Do, Check, Act) :

• Plan : Identification et évaluation des risques cyber, puis réflexion stratégique quant aux actions de réduction des risques ;
• Do : Mise en place de ces actions ;
• Check : Contrôle des résultats ;
• Act : Suivi et amélioration de la stratégie de traitement des risques.

Quelles sont les formations ISO 27005 ?

Il existe plusieurs formations certifiantes pour se former à ISO 27005 :

• ISO 27005 Foundation, qui donne accès à la certification PECB Certified ISO/CEI 27005 Foundation ;
• ISO 27005 Certified Risk Manager avec EBIOS : cette formation envisage le management des risques au prisme de la méthode EBIOS. Elle donne donc accès à deux examens : PECB Certified ISO/CEI 27005 Risk Manager et PECB Certified EBIOS ;
• ISO 27005 Certified Risk Manager avec la MEHARI, “méthode harmonisée d'analyse des risques”, développée par le CLUSIF en France ;
• ISO 27005 Risk Manager de l’ANSSI, l'Agence nationale de la sécurité des systèmes d'information ;
• formation CPF.