Définition officielle, résumé, méthode, avantages et inconvénients : tout ce qu'il faut savoir sur la norme internationale ISO 27005.
ISO 27005 fait partie des normes internationales qui s’imposent dans le domaine du management des risques informatiques. Elle aide effectivement les organisations qui la déploient à rationaliser la protection de leurs données sensibles et à anticiper les conséquences des cyberattaques et cybercrimes. Certification internationale réputée, ISO 27005 a été particulièrement utilisée en 2021, année pendant laquelle les entreprises ont eu à faire face à des risques cyber plus nombreux et plus complexes. Comment s’organise cette norme ISO ? À qui se destine-t-elle ? Comment s’y former ? Quelles sont ses éventuelles limites ?
L’intitulé exact de la norme ISO 27005 que l’on trouve sur le site web ISO est “Technologies de l'information — Techniques de sécurité — Gestion des risques liés à la sécurité de l'information”. Cette norme porte donc sur la gestion des risques en matière de sécurité de l'information.
Comme son nom l’indique, la norme ISO/CEI 27005 est une norme internationale publiée par l'Organisation Internationale de Normalisation (ISO) et la Commission électrotechnique internationale (CEI). Elle porte spécifiquement sur la sécurité de l'information. Elle propose une démarche de gestion des risques liés aux systèmes d’information (SI). Contrairement à une approche comme le framework cybersecurity NIST, d’origine américaine, cette norme fait donc l’objet d'une certification.
La norme ISO 27005 s’appuie par ailleurs sur les lignes directrices énoncées dans ISO/IEC 27001 et ISO/IEC 27002. Originellement parue en juin 2008 sous le sigle ISO/CEI 27005:2008, elle a été rééditée en 2011, puis en 2018. C’est à cette dernière version que le présent article fait référence.
S’il fallait dresser un résumé de l’ISO 27005, il faudrait préciser qu’elle développe une démarche de gestion des risques SI dans ses chapitres 6 à 12. Le chapitre 7, notamment, porte sur l’analyse des risques, qui reste le pilier d’une bonne stratégie de cybersécurité. Le chapitre 8 s’intéresse quant à lui à l’appréciation des risques. Les chapitres 9 à 12 portent sur le traitement du risque et son suivi.
L'Organisation internationale de normalisation recommande la norme ISO 27005 aux entreprises, mais aussi aux établissements publics comme les “agences gouvernementales" ou OBNL, organismes à but non lucratif.
Concrètement, cette norme de sécurité de l'information se mobilise pour assurer la confidentialité des données, mais aussi l'accessibilité et l'intégrité des informations stratégiques pour l’organisation. Elle se déploie au sein de toutes les structures inquiétées par les cyberrisques et par l’accroissement continu de la data dans leurs services.
Derrière la norme se dresse une formation, laquelle permet aux collaborateurs de développer les compétences pour mettre en œuvre une gestion des risques informatiques performante. Les personnes formées à ISO 27005 sont théoriquement en mesure d’identifier le risque cyber, de l’analyser, de le mesurer et de le traiter.
L’objectif de cette norme consiste en outre à installer un SMSI, un Système de Management de la Sécurité de l'Information. Le SMSI comprend la définition de processus et de politiques de cybersécurité, doublés d’une approche d’amélioration continue de la gestion des risques. Il est censé prendre en compte les facteurs humains et techniques.
Dans cette optique, la norme ISO 27005 se déploie autour d'une logique assimilable à celle de l’amélioration continue PDCA (Plan, Do, Check, Act) :
Il existe plusieurs formations certifiantes pour se former à ISO 27005 :
Cette norme internationale comprend plus de 20 pages de démarches de management des risques relatifs à la sécurité de l’information. Dans les grandes lignes, cette approche peut néanmoins se résumer en 4 grandes étapes :
L’étape de contextualisation de l’analyse des risques consiste à déterminer l’environnement de la démarche de risk management, et ses frontières. C’est aussi le moment de définir une série de critères :
Cette étape consiste à déterminer, dans un premier temps, les éléments concernés par le risque cyber : l’organisation au global, mais aussi le système d’information, les services, les groupes de données. Vient ensuite le moment d'identifier les menaces qui pèsent sur ces éléments.
Après cela, la méthode ISO 27005 prévoit de croiser ces menaces et leurs occurrences aux besoins de sécurité de votre structure. L’ensemble de cette démarche doit permettre de définir des priorités et de les classer selon les critères d’évaluation définis en étape 1.
Si la norme ISO 27005 aide donc à identifier des failles de cybersécurité, elle ne propose cependant pas d’échelle de cotation du risque. L’équipe chargée de l’application de la norme doit définir elle-même son système d’évaluation. Il peut s’agir de méthodes d’estimation qualitatives ou quantitatives, basées sur des coûts mesurables. Dans la pratique, faute de prescription du standard ISO, les analyses sont le plus souvent qualitatives.
Durant cette phase, la structure doit se donner des objectifs de sécurité informatique en fonction de l’étape précédente. Ces objectifs permettent de dresser un cahier des charges, lequel doit aider à imaginer des mesures de traitement des risques cyber.
La méthode de conceptualisation de ces mesures proposée par ISO 27005 consiste à confronter le risque à son coût de traitement. Quatre possibilités se dégagent alors :
Chaque option sous-tend un risque résiduel, qui doit systématiquement être évalué.
Le plan de traitement des risques et les risques résiduels doivent faire l’objet d'une “acceptation” de la direction générale. Cette acceptation porte sur l’ensemble du plan de traitement. Pendant cette étape, la DG peut remettre en cause les coûts qu’elle estime trop élevés, ou envisager de maintenir certains risques. Ces dérogations doivent être justifiées.
Si, théoriquement, la démarche ISO 27005 s’arrête ici, il faut cependant garder à l’esprit que le travail qu’elle permet de déployer sert dans le cadre d’une procédure de suivi. Il fournit un historique des risques identifiés, des scénarios imaginés, de l’analyse des risques et des plans de traitement. La démarche doit, bien sûr, être réitérée en cas d’évolution des menaces et des vulnérabilités. Ce travail peut aussi servir de support à la communication avec les parties prenantes.
Cette norme de gestion des risques cyber a plusieurs atouts, notamment celui de s’adapter à différentes formes de structures. Elle reste néanmoins peu prescriptive en matière de critères d’analyse des risques.
Les bénéfices de la norme ISO/CEI 27005 relèvent de différents domaines :
Le principal défaut de la méthode ISO 27005 reste qu’elle est peu prescriptive. C’est à l’organisation qui la mobilise de définir son contexte de gestion du risque, le périmètre d’application du SMSI, mais aussi ses indicateurs de risque. Cette approche convient donc aux structures qui veulent développer leur propre méthodologie, en mobilisant d’importantes ressources internes.
En ce qui concerne l’étape de contextualisation du risk management, et notamment de définition des critères d’évaluation du risque, ISO suggère de choisir des critères quantitatifs. C’est tout l’objet d’une méthode comme la FAIR Analysis, Factor Analysis of Information Risk.
Cette approche d’analyse des risques se base sur des méthodes d’évaluation statistiques et mathématiques pour évaluer et classer les risques selon leurs conséquences financières. Elle améliore ainsi nettement les approximations subjectives des méthodes d’évaluation qualitatives du risque. Elle aide ainsi à la décision et la définition d’une stratégie plus objective et plus directement liée à la réalité des risques encourus.
ISO 27005 est une norme internationale de sécurité des systèmes d’information qui prévoit une méthode et des bonnes pratiques pour construire un Système de Management de la sécurité de l’Information (SMSI). Elle sert à protéger la structure des cybermenaces et de la perte ou de l’altération des données sensibles.
ISO 27005 protège le système informatique de l’altération, de la perte ou du vol d'informations importantes pour l'organisation.
Il peut être utile de disposer d’une première formation à la cybersécurité et d’être sensibilisé à ISO 27001.
en lien avec la cybersécurité et la quantification des cyber risques