Certification ISO 27005 : comment opérer la gestion des risques

Gabin P.
Date publication
April 24, 2024
time to read
5 min
Certification ISO 27005 : comment opérer la gestion des risques

Toutes les normes de l'Organisation Internationale de Normalisation (ISO) et de la Commission électrotechnique internationale (CEI) participent à une homogénéisation des bonnes pratiques au niveau mondial. Parmi les incontournables, il y a la norme ISO 27005. Fournissant des préconisations sur la gestion des risques liés à la sécurité de l'information, cette norme devient indispensable dans un monde de plus en plus soumis aux menaces cyber. Mais alors qu’est-ce qu’ISO/IEC 27005 ? Quelles sont ses recommandations ? Pourquoi se faire certifier ? Et comment ? Découvrez les réponses. 

Qu’est-ce que la norme ISO 27005 ? 

ISO 27005 est une norme internationale qui fournit les lignes directrices relatives à la sécurité de l'information, la cybersécurité et la protection de la vie privée. L’idée est d’aider les organisations à définir une approche systématique de la gestion des risques informatiques. 

Concrètement, cela permet de : 

  • rationaliser la protection et la confidentialité des données sensibles ; 
  • favoriser l'accessibilité et l'intégrité des informations stratégiques ;
  • anticiper les conséquences des cyberattaques. 

À l’heure où la menace cyber explose, ces préconisations s’adressent à toutes les organisations. Sans exception. Que ce soit les entreprises du secteur privé, les administrations publiques ou les organismes à but non lucratif, tous ont intérêt à suivre ces recommandations.  

Bon à savoir : cette norme s’appuie sur ISO/IEC 27001 et ISO 27002. Elle est conçue pour faciliter la mise en œuvre de la gestion du risque SI. 


Quels sont les principes de la norme ISO/CEI 27001 ?

La norme ISO 27005 est composée d’une vingtaine de pages réparties en 10 chapitres : 

  • Domaines d’applications ; 
  • Références normatives ; 
  • Termes et définitions ; 
  • Structure ; 
  • Gestion des risques liés à la sécurité de l’information
  • Établissement du contexte ; 
  • Processus d’appréciation du risque ; 
  • Processus de traitement du risque ; 
  • Réalisation des activités opérationnelles ; 
  • Exploiter les processus SMSI connexes. 

L’ensemble de ces chapitres se déploient autour d’une stratégie bien connue de l’amélioration continue : PDCA (Plan, Do, Check, Act). Nous allons les détailler à travers ces différentes étapes. 

La contextualisation du risk management 

Pour implémenter une démarche de gestion des risques, les entreprises doivent identifier leur environnement de management du risque. Sans oublier de le délimiter. Pour cela, elles peuvent s’appuyer sur un ensemble de critères : 

  • L’évaluation : dans un premier temps, les organisations identifient les actifs menacés par le risque cyber. Pour chaque activité, elles doivent déterminer des seuils de traitement du risque.  Et ensuite, elles doivent définir ces seuils pour l’ensemble de l'organisation, 
  • L’impact : c’est le seuil de risque minimal à partir duquel les entreprises doivent réagir. Ce niveau est défini en fonction de l’impact de chaque risque informatique.
  • L’acceptation : c’est le seuil maximal toléré. C’est-à-dire que toutes les anomalies détectées en deçà n’ont pas à être prises en compte. 

La norme ISO 27005 ne définit pas ces différents seuils. C’est à l'organisation de les définir en fonction de la sensibilité de ses données. 

L’évaluation des risques

L'évaluation des risques se déroule en 4 grandes étapes : 

  • Identifier toutes les ressources susceptibles d’être affectées par le risque cyber. Par exemple, le système d’information, les services, les groupes de données, etc.
  • Identifier les menaces et leurs occurrences.  
  • Croiser les menaces face aux besoins de l’organisation en termes de sécurité. 
  • Définir des priorités, en fonction des 3 critères d’évaluations déterminés lors de la phase de contextualisation. 

Là encore, la norme ISO 27005 ne vous indique pas précisément quelles sont les menaces ou les ressources à protéger. Elle fournit simplement des lignes directrices. C’est à l’organisation de définir son propre système d’évaluation.

Le traitement des risques de sécurité 

Après avoir identifié les vulnérabilités informatiques, il convient de les traiter. Pour cela, l’organisation doit d’abord définir des objectifs de sécurité informatique (en fonction des coûts associés, du degré de confidentialité, de l’impact, …). 

Ces objectifs permettent ensuite d’identifier les mesures à prendre face aux risques informatiques. Ces dernières peuvent se regrouper en 4 catégories : 

  • Le refus ou l’évitement : ce sont les risques qui ont des répercussions beaucoup trop importantes. Le risque cyber doit absolument être évité. Pour cela, l’organisation doit parfois renoncer à certaines activités facilitant son intrusion. 
  • Le transfert : il s’agit de partager le risque avec un tiers. C'est-à-dire, faire appel à un expert en cybersécurité qui sera capable de protéger l’organisation. Ou encore de souscrire une assurance cyber permettant de limiter les conséquences financières. 
  • La réduction : ce sont les mesures visant à réduire l’impact ou l’éventualité du risque. Il devient plus tolérable.
  • La conservation : cette tactique est adoptée pour les risques tolérés. (ceux en dessous du seuil d’acceptation maximale). 

Pour chacune de ces actions, l’entreprise doit évaluer le risque résiduel. 


L’acceptation du risque

Si les experts cybersécurité définissent la démarche de gestion des risques en accord avec la norme ISO 27001, encore faut-il que cette démarche soit acceptée par la direction. 

En effet, les actions à mettre en place peuvent exiger un coût trop élevé, ou maintenir certains risques qui doivent à tout prix être évités. 

L’expert cyber doit donc justifier chacune de ses décisions pour faciliter l’acceptation de sa politique de gestion des risques. 


La communication des risques 

Pour faciliter l'efficacité opérationnelle, l’organisation doit communiquer sur sa politique de gestion des risques. Des communications régulières sont nécessaires entre le responsable cyber, les décisionnaires et les parties prenantes. 

Cette communication peut prendre la forme d'ateliers de sensibilisation, de formation, de notes de service, etc. 

Les objectifs sont multiples : 

  • Sensibiliser les équipes ; 
  • Réduire les incompréhensions face aux décisions prises ; 
  • Diffuser des connaissances en matière de sécurité informatique ; 
  • Responsabiliser les décisionnaires et les parties prenantes. 

La surveillance 

Il ne suffit pas de définir et d’implémenter une politique de gestion des risques pour éliminer les menaces et vulnérabilités. Et oui, entre les modifications internes à l’entreprise et les avancées technologiques facilitant le travail des hackers, le risque cyber évolue. 

Il est donc primordial de veiller à ce que ces changements n'affectent pas la démarche actuelle. Si c’est le cas, il faudra adapter la stratégie. 

Comment se former à la norme ISO 27005 ?

La norme ISO 27005 étant largement basée sur la norme ISO 27001, il est préférable de commencer par cette certification. À la CyberUniversity, vous pouvez d’ores et déjà vous y préparer à travers notre formation ISO 27001 Lead Implementor. 

À la fin du programme, vous serez prêt à passer les certifications requises pour démontrer votre capacité à identifier le risque cyber, l’analyser, le mesurer et le traiter.

Dans cet article :

Voir nos formations