Synthèse pratique sur la norme 27005:2022 (Gestion des risques de sécurité de l’information)

, Synthèse pratique sur la norme 27005:2022 (Gestion des risques de sécurité de l’information)

Synthèse pratique sur la norme 27005:2022 (Gestion des risques de sécurité de l’information)

  • Auteur/autrice de la publication :
  • Post category:Normes

Présentation générale de l’ISO 27005

  • Définition : Norme internationale fournissant des lignes directrices pour la gestion systématique des risques de sécurité de l’information
  • Version actuelle : ISO/IEC 27005 : 2022 (mise à jour de la version 2018)
  • Objectif : Fournir une méthodologie structurée pour identifier, analyser, évaluer et traiter les risques de sécurité de l’information
  • Approche : Processus itératif et continu basé sur les principes d’ISO 31000, adapté au contexte spécifique de la sécurité de l’information
  • Certification : Norme de guidance non certifiable servant de support méthodologique pour ISO 27001:2022 (clauses 6.1.2 et 6.1.3)

 

Structure de la norme et exigences principales

  • Définition du périmètre, objectifs et critères d’évaluation des risques
  • Approches événementielle et par les actifs pour détecter les scénarios de risque
  • Méthodes qualitatives, quantitatives et semi-quantitatives d’évaluation
  • Comparaison avec les critères d’acceptabilité et priorisation
  • Sélection et implémentation des mesures de sécurité appropriées
  • Dialogue continu avec les parties prenantes
  • Monitoring et mise à jour du processus de gestion des risques
  • Exigences renforcées de documentation des processus et résultats
  • 10 clauses principales + 1 annexe (vs 12 clauses et 6 annexes en 2018)
    • Clauses 1 : Domaine d’application
    • Clauses 2 : Références normatives
    • Clauses 3 : Termes et définitions
    • Clause 4 : Contexte de l’organisation
    • Clause 5 : Leadership et engagement
    • Clause 6 : Planification du processus de gestion des risques
    • Clause 7 : Support (ressources, compétences, documentation)
    • Clause 8 : Fonctionnement opérationnel (processus de gestion des risques)
    • Clause 9 : Évaluation des performances
    • Clause 10 : Amélioration continue
    • Annexe A : Guidance détaillée sur les approches et techniques

Mise en œuvre pratique du processus

  • Établissement du contexte : Définition des enjeux internes/externes, parties prenantes et critères de risque
  • Choix des approches : Sélection entre méthodes événementielle, patrimoniale ou combinée selon le contexte
  • Adaptation méthodologique : Personnalisation selon la taille, le secteur et la maturité de l’organisation
  • Plan de déploiement : Phasage du processus selon les priorités business et les ressources disponibles
  • Formation des équipes : Développement des compétences en gestion des risques pour tous les acteurs
  • Outils et techniques : Sélection des méthodes d’analyse appropriées (qualitatives, quantitatives, semi-quantitatives)

 

Nouvelles approches d’identification des risques (2022)

  • Approche événementielle : Identification des sources de risques et analyse du paysage global des menaces
  • Approche patrimoniale : Inventaire des actifs avec analyse des menaces et vulnérabilités spécifiques
  • Scénarios de risque : Séquence d’événements menant d’une cause initiale à une conséquence indésirable
  • Utilisation combinée : Les deux approches peuvent être utilisées de manière complémentaire
  • Surveillance des événements : Monitoring des facteurs pouvant impacter les scénarios de risque

 

Méthodes d’analyse et d’évaluation des risques

  • Méthodes qualitatives : Matrices de risques, échelles descriptives, ateliers d’évaluation collaborative
  • Méthodes quantitatives : Calculs monétaires (ALE, SLE), modèles probabilistes, simulations Monte Carlo
  • Méthodes semi-quantitatives : Notation numérique sur échelles qualitatives (nouveauté 2022)
  • Estimation des conséquences : Évaluation de l’impact potentiel sur les objectifs organisationnels
  • Estimation de la vraisemblance : Probabilité d’occurrence des événements redoutés
  • Validation et consensus : Confirmation des résultats avec les propriétaires de risques et parties prenantes

 

Traitement des risques et sélection des mesures

  • Modification du risque : Implémentation de mesures de sécurité pour réduire le niveau de risque
  • Partage du risque : Transfert vers des tiers (assurance, externalisation, partenariats stratégiques)
  • Conservation du risque : Acceptation explicite et documentée par les propriétaires de risques
  • Évitement du risque : Suppression ou modification substantielle de l’activité génératrice de risque
  • Plan de traitement : Documentation des méthodes de sélection et des contrôles nécessaires
  • Intégration ISO 27002 : Utilisation des 93 mesures pour adresser les risques identifiés

 

Bonnes pratiques pour l’implémentation

  • Approche itérative : Déploiement progressif avec amélioration continue du processus
  • Implication des parties prenantes : Participation active des propriétaires de risques et responsables métier
  • Documentation structurée : Formalisation claire des processus, méthodes et résultats (clauses 10.4.2 et 10.4.3)
  • Formation et sensibilisation : Développement d’une culture de gestion des risques dans l’organisation
  • Surveillance continue : Monitoring régulier des facteurs d’évolution et mise à jour des analyses
  • Alignement stratégique : Cohérence avec les autres processus de gestion des risques de l’organisation
  • Automatisation appropriée : Utilisation d’outils pour faciliter le processus et améliorer la traçabilité