ISO 27005

ISO 27005

Gestion du risque
en Sécurité de l'Information

Date de publication Septembre 2008
Nombre de pages (corps du document) 27
Nombre de pages (annexes) 35
Traduction en français En Cours

ISO 27005 : Norme ou Cadre Méthodologique ?

Si cette norme est l'aboutissement de réflexions datant de nombreuses années autour de la gestion des risques informatiques, elle soulève de nombreuses questions.

Certains expliquent que cette norme est en fait une méthode quasi-applicable en se servant des annexes et en les adaptant à leur contexte. D'ailleurs dans l'enquête 2010 du Clusif, 35% des entreprises qui font analyses de risques déclarent le faire en utilisant la norme ISO 27005.

A contrario la norme précise en Introduction (page v) : La présente Norme internationale ne fournit aucune méthodologie spécifique à la gestion de risque en sécurité de l'information. Il est du ressort de chaque organisation de définir son approche de la gestion de risque, en fonction, par exemple, du périmètre du SMSI, de l'existant dans le domaine de la gestion de risques, ou encore du secteur industriel. Plusieurs méthodologies existantes peuvent être utilisées en cohérence avec le cadre décrit dans la présente Norme internationale pour appliquer les exigences du SMSI.

Bref certains y voient une méthode, alors que la norme se définit elle même comme un cadre méthodologique.

Qu'est ce qu'une méthode ?

Si on prend une première définition : un ensemble plus ou moins structuré de principes. Alors vis à vis de cette définition ISO 27005 peut être définie comme une méthode. Elle présente des principes de façon structurée et propose une démarche en étapes logiques.

Si on choisit une autre définition : moyen efficace qui permet d'atteindre des fins précises. Alors il est beaucoup moins évident qu'ISO 27005 réponde à cette définition. Moyen efficace, difficile de dire qu'ISO 27005 est efficace car elle ne propose pas de bases de connaissances de scénarios d'incident et de vulnérabilités.

D'autres lui dénient ce terme de méthode et parlent au plus d'une norme qui fixe les grandes phases et le vocabulaire liés à la gestion des risques liés au SI. D'abord est-ce le rôle de l'ISO de développer des méthodes ? Clairement nous considérons qu'ISO 27005 permet (et c'est très important) de fixer les principes d'une démarche d'analyse des risques mais qu'elle ne constitue pas une méthode ou alors au prix de gros efforts (en s'appuyant sur les annexes ). Mais alors pourquoi utiliser cette norme ISO 27005 alors que des méthodes existantes ont déjà intégré depuis longtemps les principes décrits (malheureusement pas toujours le vocabulaire).

En conclusion, ISO 27005 nous semble une norme intéressante pour une entreprise voulant se développer sa propre méthodologie (par exemple pour se développer ses propres critères d'évaluation, d'acceptation et des bases de connaissances liées à des scénarios de risque métier) , mais cet investissement est élevé (plusieurs dizaines ou centaines de jours) et évidemment lourd à maintenir.

En revanche, cette norme est inutilisable comme méthode prête à l'emploi, ou alors cela ne s'appelle plus de la gestion des risques mais "faire semblant" de gérer les risques.

La démarche ISO 27005

Elle s'incrit dans le cadre préconisé d'ISO 31000

  • 7 Etablissement du contexte
    • 7.1 Considérations générales
    • 7.2 Critères de base
    • 7.3 Domaine d'application et limites
    • 7.4 Organisation de la gestion du risque en sécurité de l'information
  • 8 Appréciation du risque en sécurité de l'information
    • 8.1 Description générale de l'appréciation du risque en sécurité de l'information
    • 8.2 Analyse du risque
      • 8.2.1 Identification du risque
      • 8.2.2 Estimation du risque
    • 8.3 Evaluation du risque
  • 9 Traitement du risque en sécurité de l'information thumb_ISO-27005
    • 9.1 Description générale du traitement du risque
    • 9.2 Réduction du risque
    • 9.3 Maintien du risque
    • 9.4 Évitement du risque
    • 9.5 Transfert du risque
  • 10 Acceptation du risque en sécurité de l'information
  • 11 Communication du risque en sécurité de l'information

Copyright Ysosecure © 2002 - 2018