ISO 27005
Gestion du risque |
Date de publication | Septembre 2008 |
Nombre de pages (corps du document) | 27 | |
Nombre de pages (annexes) | 35 | |
Traduction en français | En Cours |
Si cette norme est l’aboutissement de réflexions datant de nombreuses années autour de la gestion des risques informatiques, elle soulève de nombreuses questions.
Certains expliquent que cette norme est en fait une méthode quasi-applicable en se servant des annexes et en les adaptant à leur contexte. D’ailleurs dans l’enquête 2010 du Clusif, 35% des entreprises qui font analyses de risques déclarent le faire en utilisant la norme ISO 27005.
A contrario la norme précise en Introduction (page v) : La présente Norme internationale ne fournit aucune méthodologie spécifique à la gestion de risque en sécurité de l’information. Il est du ressort de chaque organisation de définir son approche de la gestion de risque, en fonction, par exemple, du périmètre du SMSI, de l’existant dans le domaine de la gestion de risques, ou encore du secteur industriel. Plusieurs méthodologies existantes peuvent être utilisées en cohérence avec le cadre décrit dans la présente Norme internationale pour appliquer les exigences du SMSI.
Bref certains y voient une méthode, alors que la norme se définit elle même comme un cadre méthodologique.
Si on prend une première définition : un ensemble plus ou moins structuré de principes. Alors vis à vis de cette définition ISO 27005 peut être définie comme une méthode. Elle présente des principes de façon structurée et propose une démarche en étapes logiques.
Si on choisit une autre définition : moyen efficace qui permet d’atteindre des fins précises. Alors il est beaucoup moins évident qu’ISO 27005 réponde à cette définition. Moyen efficace, difficile de dire qu’ISO 27005 est efficace car elle ne propose pas de bases de connaissances de scénarios d’incident et de vulnérabilités.
D’autres lui dénient ce terme de méthode et parlent au plus d’une norme qui fixe les grandes phases et le vocabulaire liés à la gestion des risques liés au SI. D’abord est-ce le rôle de l’ISO de développer des méthodes ? Clairement nous considérons qu’ISO 27005 permet (et c’est très important) de fixer les principes d’une démarche d’analyse des risques mais qu’elle ne constitue pas une méthode ou alors au prix de gros efforts (en s’appuyant sur les annexes ). Mais alors pourquoi utiliser cette norme ISO 27005 alors que des méthodes existantes ont déjà intégré depuis longtemps les principes décrits (malheureusement pas toujours le vocabulaire).
En conclusion, ISO 27005 nous semble une norme intéressante pour une entreprise voulant se développer sa propre méthodologie (par exemple pour se développer ses propres critères d’évaluation, d’acceptation et des bases de connaissances liées à des scénarios de risque métier) , mais cet investissement est élevé (plusieurs dizaines ou centaines de jours) et évidemment lourd à maintenir.
En revanche, cette norme est inutilisable comme méthode prête à l’emploi, ou alors cela ne s’appelle plus de la gestion des risques mais « faire semblant » de gérer les risques.
Elle s’incrit dans le cadre préconisé d’ISO 31000