ISO/CEI 27005

Cet article ne s'appuie pas, ou pas assez, sur des sources secondaires ou tertiaires (décembre 2018).

Pour améliorer la vérifiabilité de l'article ainsi que son intérêt encyclopédique, il est nécessaire, quand des sources primaires sont citées, de les associer à des analyses faites par des sources secondaires.

Cet article peut contenir un travail inédit ou des déclarations non vérifiées (décembre 2018).

Vous pouvez aider en ajoutant des références ou en supprimant le contenu inédit. Voir la page de discussion pour plus de détails.

La norme ISO/CEI 27005 est une norme internationale concernant la Sécurité de l'information publiée conjointement par l'Organisation internationale de normalisation (ISO) et la Commission électrotechnique internationale (CEI). Il s'agit d'un recueil de lignes directrices traitant spécifiquement de la gestion des risques dans le contexte de la Sécurité des systèmes d'information. Elle fait l'objet d'une certification et vient en complément du SMSI ISO/CEI 27001.

Faisant suite à la norme ISO 13335, elle est apparue le 4 juin 2008 sous le sigle "ISO/CEI 27005:2008", a été révisée le 19 mai 2011, le 13 juillet 2018 sous le sigle "ISO/CEI 27005:2018", la dernière version date d'octobre 2022 "ISO/CEI 27005:2022".

La norme ISO/CEI 27005 décrit les grandes lignes d'une gestion des risques dans une perspective de mise en place d'un SMSI : définition du contexte d'analyse, identification et évaluation des risques encourus, possibilités de traitement ou d'acceptation de ces derniers. Inhabituellement longue avec ses 77 pages, dont 26 pour la partie centrale^[1], elle introduit un processus d'appréciation des risques^[2] conforme à ISO 31000, sans pour autant proposer de méthode au sens strict.

Construite en cohérence avec le couple de standards ISO/CEI 27001 et ISO/CEI 27002 et reprenant le vocabulaire définit dans ISO/CEI 27000, la norme ISO/CEI 27005 peut néanmoins être utilisée de manière autonome dans différentes situations. La norme ISO/CEI 27005 utilise comme nombre de Systèmes de Management la logique d'amélioration continue PDCA (Plan, Do, Check, Act), sous la forme suivante :

• Plan : Identification des risques, évaluation des risques et définition des actions de réduction des risques,
• Do : Exécution de ces actions,
• Check : Contrôle du résultat,
• Act : Révision de la politique de traitement des risques selon ces résultats.

La norme ISO/CEI 27005 détaille le processus de gestion de risque dans les chapitres 6 à 12. Elle est complétée de 6 annexes de référence A à F, nécessaires à la mise en œuvre de la méthode.

• Chapitre 6 : le processus de gestion de risque est expliqué dans son ensemble
• Chapitre 7 : établir le contexte de l’analyse des risques
• Chapitre 8 : définition de l’appréciation des risques
• Chapitre 9 : quatre choix du traitement du risque sont proposés
• Chapitre 10 : acceptation du risque
• Chapitre 11 : communication du risque
• Chapitre 12 : surveillance et réexamen des risques

Il faut tout d’abord définir des critères :

• d’évaluation : seuil de traitement des risques, localement par actif menacé et globalement, pour toute l'organisation ;
• d’impact : seuil de prise en compte des risques ;
• d’acceptation : seuil d’acceptation des risques ;

Il n’existe pas d’échelles normalisées pour ces critères. L’entreprise doit déterminer une échelle pertinente en fonction de sa situation. Il faut également définir les champs, les limites et l’environnement du processus de gestion du risque.

La première étape consiste à définir le contexte de la certification et les éléments qui le composent tels que l’organisme, le système d’information, les éléments essentiels à protéger les entités qui en dépendent et les différentes contraintes qui peuvent se présenter.

Ensuite, il est nécessaire d’exprimer les besoins de sécurité des éléments essentiels et, identifier, caractériser en termes d’opportunités les menaces pesant sur le système d’information.

Enfin, les risques sont déterminés en confrontant les menaces aux besoins de sécurité. Ces risques seront analysés et évalués afin de donner des priorités et les ordonnancer par rapport à leurs critères d'évaluation.

Il s’agit du processus de sélection et de mise en œuvre des mesures. Cela passera tout d’abord par l’identification des objectifs de sécurité : détermination des modes de traitement et prise en compte des éléments du contexte. Les objectifs ainsi identifiés constitueront le cahier des charges du processus de traitement des risques. Ensuite, des exigences de sécurité seront déterminées afin de satisfaire les objectifs de sécurité et décrire comment traiter les risques.

Pour définir les options de traitement, il faut mettre en adéquation le risque et le coût de traitement. Il existe quatre options du traitement du risque :

• Le refus ou l’évitement : le risque considéré est trop élevé, l’activité amenant le risque doit être supprimée.
• Le transfert : le risque sera partagé avec une autre entité (un assureur, un sous-traitant) capable de le gérer.
• La réduction : le risque doit être diminué. Il s’agit d'en réduire l’impact et/ou la potentialité de manière que le risque soit acceptable.
• Conservation du risque : le risque est maintenu tel quel.

Il s’agit d’une homologation de sécurité effectuée par une autorité d’homologation désignée pour une durée déterminée. Cette homologation passe par l’examen d’un dossier de sécurité dont le contenu doit être défini : objectifs de sécurité, d'une cible de sécurité, politique de sécurité… La direction générale doit accepter les risques résiduels, donc accepter le plan de traitement du risque dans son ensemble.

Il s’agit d’un échange et un partage régulier d’informations sur les risques entre le gestionnaire des risques, les décisionnaires et les parties prenantes concernant la gestion du risque. Cette communication du risque permet de :

• Réduire les incompréhensions avec les décisionnaires
• Obtenir de nouvelles connaissances en sécurité
• Impliquer la responsabilité des décisionnaires

Il faut s'assurer que le processus reste pertinent et adapté aux objectifs de sécurité des métiers de l'organisme. Il faut également identifier les changements nécessitant une réévaluation du risque ainsi que les nouvelles menaces et vulnérabilités.

• Souplesse et pragmatisme : la norme ISO/CEI 27005 peut être utilisée en toutes circonstances et notamment dans des entreprises, y compris celles soumises à de fréquents changements.
• La norme ISO/CEI 27005 est utilisable de manière autonome.

• L'ISO/CEI 27005 ne donne aucune méthodologie spécifique pour la gestion du risque en sécurité de l'information. Il appartient à l'organisation de définir son approche, selon par exemple le domaine d'application du SMSI, en fonction du contexte de gestion du risque ou du secteur industriel. En pratique, des méthodes comme EBIOS ou MEHARI, qui reprennent le vocabulaire et la logique du SMSI ISO/CEI 27001, sont plus directement applicables.
• La norme ISO/CEI 27005 est encore en développement et peu d'organisations y font explicitement référence.
• La norme ISO/CEI 27005 établit en fait peu de liens avec l'ISO/CEI 27001 et 27002. À qui maîtrise ou souhaite maîtriser ces deux normes voir les méthodes de maîtrise des risques (EBIOS, MEHARI, etc.), la valeur ajoutée de l'ISO 27005 reste faible. Des méthodes plus empiriques sont souvent aussi efficaces^[3].

• Anne Lupfer, Gestion des risques en sécurité de l'information : Mise en œuvre de la norme ISO 27005, Eyrolles, 2010.

• EBIOS
• MEHARI (méthode harmonisée d'analyse de risque) met à disposition des outils (bases de connaissance) gratuits, adaptés à l'environnement et la taille de l'organisation et permettant de répondre aux objectifs de réduction de risque selon les lignes directrices des normes ISO 27001 à 27005
• ISO/CEI 27001
• Liste des normes ISO de la suite ISO/IEC 27000
• Liste de normes ISO par domaines
• Analyse factorielle du risque informationnel (FAIR)

• Site officiel de l'ISO.
• « ISO/IEC 27005:2011, Technologies de l'information -- Techniques de sécurité -- Gestion des risques liés à la sécurité de l'information », sur ISO, 1^er juin 2011 (consulté le 31 décembre 2015).
• « ISO/IEC 27005:2022 Sécurité de l'information, cybersécurité et protection de la vie privée — Préconisations pour la gestion des risques liés à la sécurité de l'information » » , sur ISO, 1^er octobre 2022 (consulté le 19 juillet 2023).
• « Agence Nationale de la Sécurité des Systèmes d'Information » (consulté le 31 décembre 2015).
• DCSSI, « Sécurité des systèmes d'information : la gestion des risques (PDF) », sur ANSSI, 2006 (consulté le 31 décembre 2015).

v · m Audit de sécurité informatique
Test	Test Génie logiciel Prise d'empreinte de la pile TCP/IP
Outils	Fuzzing Rétro-ingénierie Boîte blanche Boîte noire Cryptanalyse
Attaque	Dépassement de tampon Attaque de l'homme du milieu
Protection	Sécurité par l'obscurité
Normes ISO/CEI	17799 27001 27002 27006

v · m Suite ISO/CEI 27000
ISO/CEI 27000:2012 ISO/CEI 27001:2013 ISO/CEI 27002:2013 ISO/CEI 27003:2010 ISO/CEI 27004:2009 ISO/CEI 27005:2011 ISO/CEI 27006:2011 ISO/CEI 27007:2011 ISO/CEI 27008:2011 ISO/CEI 27011:2008 ISO/CEI 27013:2012 ISO/CEI 27017:2015 ISO/CEI 27018:2014 ISO/CEI TR 27019:2013 ISO/CEI 27799:2008

v · m Normes ISO
1 3 4 9 31 216 217 228 233 259 269 639 646 690 843 1000 2022 2108 2709 3103 3166 3166-1 3166-2 3166-3 3297 3533 3901 4217 5218 5426 6166 6358 6438 6709 7010 7185 7810 8601 8613 8859 9001 9002 9003 9004 9075 9126 9241 9362 9594 9646 9660 9945 9984 10006 10007 10118-3 10303 10303-11 10303-238 10383 10589 10646 10664 10957 11179 11238 11239 11240 11544 11615 11616 11783 11801 12207 13211-1 13216 13250 13335 13399 13485 13568 13616 14000 14001 14064 14069 14396 14882 15189 15408 15444 15489 15504 15511 15706 15836 15924 16023 16262 16610 17025 17799 18004 19005 19110 19115 19439 19501 19510 19775-1 20000 20252 21127 21500 22000 23270 25178 26000 26300 27001 27002 27005 27006 27017 27018 29500 32000 50001
Liste de normes ISO Liste des normes de romanisation ISO

• Portail de la sécurité de l’information