Tout ce que vous devez savoir sur la norme ISO 27005

ISO 27005 fait partie des normes internationales qui s’imposent dans le domaine du management des risques informatiques. Elle aide effectivement les organisations qui la déploient à rationaliser la protection de leurs données sensibles et à anticiper les conséquences des cyberattaques et cybercrimes. Certification internationale réputée, ISO 27005 a été particulièrement utilisée en 2021, année pendant laquelle les entreprises ont eu à faire face à des risques cyber plus nombreux et plus complexes. Comment s’organise cette norme ISO ? À qui se destine-t-elle ? Comment s’y former ? Quelles sont ses éventuelles limites ?

De quoi traite la norme ISO 27005 ?

L’intitulé exact de la norme ISO 27005 que l’on trouve sur le site web ISO est “Technologies de l'information — Techniques de sécurité — Gestion des risques liés à la sécurité de l'information”. Cette norme porte donc sur la gestion des risques en matière de sécurité de l'information.

Qu’est-ce que l’ISO 27005

Comme son nom l’indique, la norme ISO/CEI 27005 est une norme internationale publiée par l'Organisation Internationale de Normalisation (ISO) et la Commission électrotechnique internationale (CEI). Elle porte spécifiquement sur la sécurité de l'information. Elle propose une démarche de gestion des risques liés aux systèmes d’information (SI). Contrairement à une approche comme le framework cybersecurity NIST, d’origine américaine, cette norme fait donc l’objet d'une certification.

La norme ISO 27005 s’appuie par ailleurs sur les lignes directrices énoncées dans ISO/IEC 27001 et ISO/IEC 27002. Originellement parue en juin 2008 sous le sigle ISO/CEI 27005:2008, elle a été rééditée en 2011, puis en 2018. C’est à cette dernière version que le présent article fait référence.

S’il fallait dresser un résumé de l’ISO 27005, il faudrait préciser qu’elle développe une démarche de gestion des risques SI dans ses chapitres 6 à 12. Le chapitre 7, notamment, porte sur l’analyse des risques, qui reste le pilier d’une bonne stratégie de cybersécurité. Le chapitre 8 s’intéresse quant à lui à l’appréciation des risques. Les chapitres 9 à 12 portent sur le traitement du risque et son suivi.

À qui s’adresse cette norme ISO ?

L'Organisation internationale de normalisation recommande la norme ISO 27005 aux entreprises, mais aussi aux établissements publics comme les “agences gouvernementales" ou OBNL, organismes à but non lucratif.

Concrètement, cette norme de sécurité de l'information se mobilise pour assurer la confidentialité des données, mais aussi l'accessibilité et l'intégrité des informations stratégiques pour l’organisation. Elle se déploie au sein de toutes les structures inquiétées par les cyberrisques et par l’accroissement continu de la data dans leurs services.

À quoi sert précisément la norme ISO/IEC 27005 ?

Derrière la norme se dresse une formation, laquelle permet aux collaborateurs de développer les compétences pour mettre en œuvre une gestion des risques informatiques performante. Les personnes formées à ISO 27005 sont théoriquement en mesure d’identifier le risque cyber, de l’analyser, de le mesurer et de le traiter.

L’objectif de cette norme consiste en outre à installer un SMSI, un Système de Management de la Sécurité de l'Information. Le SMSI comprend la définition de processus et de politiques de cybersécurité, doublés d’une approche d’amélioration continue de la gestion des risques. Il est censé prendre en compte les facteurs humains et techniques.

Dans cette optique, la norme ISO 27005 se déploie autour d'une logique assimilable à celle de l’amélioration continue PDCA (Plan, Do, Check, Act) :

• Plan : Identification et évaluation des risques cyber, puis réflexion stratégique quant aux actions de réduction des risques ;
• Do : Mise en place de ces actions ;
• Check : Contrôle des résultats ;
• Act : Suivi et amélioration de la stratégie de traitement des risques.

Quelles sont les formations ISO 27005 ?

Il existe plusieurs formations certifiantes pour se former à ISO 27005 :

• ISO 27005 Foundation, qui donne accès à la certification PECB Certified ISO/CEI 27005 Foundation ;
• ISO 27005 Certified Risk Manager avec EBIOS : cette formation envisage le management des risques au prisme de la méthode EBIOS. Elle donne donc accès à deux examens : PECB Certified ISO/CEI 27005 Risk Manager et PECB Certified EBIOS ;
• ISO 27005 Certified Risk Manager avec la MEHARI, “méthode harmonisée d'analyse des risques”, développée par le CLUSIF en France ;
• ISO 27005 Risk Manager de l’ANSSI, l'Agence nationale de la sécurité des systèmes d'information ;
• formation CPF.

Comment fonctionne la méthode ISO 27005 ?

Cette norme internationale comprend plus de 20 pages de démarches de management des risques relatifs à la sécurité de l’information. Dans les grandes lignes, cette approche peut néanmoins se résumer en 4 grandes étapes :

1 / Contextualisation du management des risques

L’étape de contextualisation de l’analyse des risques consiste à déterminer l’environnement de la démarche de risk management, et ses frontières. C’est aussi le moment de définir une série de critères :

• critères d’évaluation, destinés à identifier les actifs menacés par le risque cyber et les seuils à partir desquels le risque doit être traité.
• d’impact : définition d’un niveau minimal de prise en compte des risques en fonction de leurs conséquences ;
• d’acceptation : définition d’un seuil en deçà duquel le risque peut être toléré.

2 / Évaluation des risques

Cette étape consiste à déterminer, dans un premier temps, les éléments concernés par le risque cyber : l’organisation au global, mais aussi le système d’information, les services, les groupes de données. Vient ensuite le moment d'identifier les menaces qui pèsent sur ces éléments.

Après cela, la méthode ISO 27005 prévoit de croiser ces menaces et leurs occurrences aux besoins de sécurité de votre structure. L’ensemble de cette démarche doit permettre de définir des priorités et de les classer selon les critères d’évaluation définis en étape 1.

Si la norme ISO 27005 aide donc à identifier des failles de cybersécurité, elle ne propose cependant pas d’échelle de cotation du risque. L’équipe chargée de l’application de la norme doit définir elle-même son système d’évaluation. Il peut s’agir de méthodes d’estimation qualitatives ou quantitatives, basées sur des coûts mesurables. Dans la pratique, faute de prescription du standard ISO, les analyses sont le plus souvent qualitatives.

3 / Plan de traitement

Durant cette phase, la structure doit se donner des objectifs de sécurité informatique en fonction de l’étape précédente. Ces objectifs permettent de dresser un cahier des charges, lequel doit aider à imaginer des mesures de traitement des risques cyber.

La méthode de conceptualisation de ces mesures proposée par ISO 27005 consiste à confronter le risque à son coût de traitement. Quatre possibilités se dégagent alors :

• refus ou évitement : trop grave, le cyberisque doit à tout prix être évité. La structure renonce ainsi, par exemple, à continuer l’activité susceptible de le provoquer ;
• transfert : l'organisation partage le risque avec un tiers - assurance ou sous-traitant en cybersécurité - capable de la protéger du risque, au moins financièrement ;
• réduction : on imagine des mesures pour réduire l’impact ou l’éventualité du risque, et le rendre ainsi plus tolérable ;
• conservation : supportable, on choisit de ne pas adresser le risque, jugé trop peu menaçant.

Chaque option sous-tend un risque résiduel, qui doit systématiquement être évalué.

4 / “Acceptation du risque”

Le plan de traitement des risques et les risques résiduels doivent faire l’objet d'une “acceptation” de la direction générale. Cette acceptation porte sur l’ensemble du plan de traitement. Pendant cette étape, la DG peut remettre en cause les coûts qu’elle estime trop élevés, ou envisager de maintenir certains risques. Ces dérogations doivent être justifiées.

Si, théoriquement, la démarche ISO 27005 s’arrête ici, il faut cependant garder à l’esprit que le travail qu’elle permet de déployer sert dans le cadre d’une procédure de suivi. Il fournit un historique des risques identifiés, des scénarios imaginés, de l’analyse des risques et des plans de traitement. La démarche doit, bien sûr, être réitérée en cas d’évolution des menaces et des vulnérabilités. Ce travail peut aussi servir de support à la communication avec les parties prenantes.

Avantages et inconvénients de la norme ISO 27005

Cette norme de gestion des risques cyber a plusieurs atouts, notamment celui de s’adapter à différentes formes de structures. Elle reste néanmoins peu prescriptive en matière de critères d’analyse des risques.

Avantages de la méthode pour la gestion des risques informatiques

Les bénéfices de la norme ISO/CEI 27005 relèvent de différents domaines :

• méthode mobilisable en toute autonomie ;
• acquisition de compétences nécessaires à un management des risques cyber structuré ;
• détection des faiblesses de l’organisation et des différentes menaces ;
• déploiement d’un SMSI solide ;
• adaptabilité de la méthode à toutes les structures, ainsi qu’aux contextes des organisations qui changent souvent d’environnement ;
• accroissement de la confiance des parties prenantes.

Inconvénients de l’ISO 27005

Le principal défaut de la méthode ISO 27005 reste qu’elle est peu prescriptive. C’est à l’organisation qui la mobilise de définir son contexte de gestion du risque, le périmètre d’application du SMSI, mais aussi ses indicateurs de risque. Cette approche convient donc aux structures qui veulent développer leur propre méthodologie, en mobilisant d’importantes ressources internes.

En ce qui concerne l’étape de contextualisation du risk management, et notamment de définition des critères d’évaluation du risque, ISO suggère de choisir des critères quantitatifs. C’est tout l’objet d’une méthode comme la FAIR Analysis, Factor Analysis of Information Risk.

Cette approche d’analyse des risques se base sur des méthodes d’évaluation statistiques et mathématiques pour évaluer et classer les risques selon leurs conséquences financières. Elle améliore ainsi nettement les approximations subjectives des méthodes d’évaluation qualitatives du risque. Elle aide ainsi à la décision et la définition d’une stratégie plus objective et plus directement liée à la réalité des risques encourus.