ISO 270018 min de lecture
ISO 27005 : Guide de management des risques en sécurité de l'information
ISO 27005 fournit des recommandations complètes pour le management des risques en sécurité de l'information dans le cadre d'un système de management ISO 27001. Cette norme aide les organisations à mettre en œuvre les exigences d'appréciation et de traitement des risques d'ISO 27001 avec une méthodologie structurée et répétable.
Points clés
| Point | Résumé |
|---|---|
| Objectif | Recommandations pour le management des risques en sécurité de l'information |
| Relation avec ISO 27001 | Supporte les clauses 6.1.2 (appréciation des risques) et 6.1.3 (traitement des risques) |
| Non certifiable | ISO 27005 est uniquement un guide ; la certification porte sur ISO 27001 |
| Phases clés | Établissement du contexte, identification, analyse, évaluation, traitement des risques |
| Mise à jour 2022 | Alignée avec ISO 27001:2022, structure simplifiée |
Réponse rapide : ISO 27005 est le guide de management des risques complémentaire à ISO 27001. Elle fournit une méthodologie détaillée pour identifier, analyser, évaluer et traiter les risques en sécurité de l'information. Vous n'êtes pas certifié ISO 27005 ; vous l'utilisez pour implémenter les exigences de management des risques d'ISO 27001.
Comprendre ISO 27005
Qu'est-ce que ISO 27005 ?
ISO 27005 est officiellement intitulée « Sécurité de l'information, cybersécurité et protection de la vie privée — Préconisations pour la gestion des risques liés à la sécurité de l'information ». Elle fournit une approche structurée pour :
- Établir le contexte du management des risques
- Identifier les risques en sécurité de l'information
- Analyser et évaluer les risques
- Sélectionner et mettre en œuvre les options de traitement des risques
- Surveiller et revoir les risques dans le temps
La relation avec ISO 27001
ISO 27001 exige des organisations de :
- Définir et appliquer un processus d'appréciation des risques en sécurité de l'information (Clause 6.1.2)
- Définir et appliquer un processus de traitement des risques en sécurité de l'information (Clause 6.1.3)
- Réaliser des appréciations des risques à intervalles planifiés (Clause 8.2)
- Mettre en œuvre le plan de traitement des risques (Clause 8.3)
ISO 27005 fournit le « comment » pour ces exigences :
| Exigence ISO 27001 | Recommandations ISO 27005 |
|---|---|
| Définir le processus d'appréciation des risques | Cadre méthodologique complet |
| Identifier les risques | Techniques d'identification systématiques |
| Analyser les risques | Méthodes d'évaluation de la vraisemblance et de l'impact |
| Évaluer les risques | Critères de priorisation des risques |
| Sélectionner les options de traitement | Guide de sélection des options de traitement |
| Mettre en œuvre le traitement | Considérations de mise en œuvre |
| Surveiller les risques | Approche de revue et surveillance |
Le processus de management des risques
Vue d'ensemble du processus
ISO 27005 définit un processus cyclique de management des risques :
Cycle de management des risques :
Établissement du contexte
- Définir le périmètre et les limites
- Établir les critères de risque
- Définir les seuils d'acceptation des risques
Appréciation des risques
- Identification des risques
- Analyse des risques
- Évaluation des risques
Traitement des risques
- Sélectionner les options de traitement
- Déterminer les contrôles
- Accepter le risque résiduel
Surveillance et revue des risques
- Surveiller les facteurs de risque
- Revoir l'efficacité
- Identifier les changements
Communication des risques
- Partager les informations sur les risques
- Rendre compte aux parties prenantes
- Documenter les décisions
Établissement du contexte
Avant d'apprécier les risques, établissez le cadre du management des risques :
Contexte organisationnel
| Élément | Description |
|---|---|
| Objectifs métier | Ce que l'organisation cherche à accomplir |
| Environnement réglementaire | Exigences légales et de conformité |
| Attentes des parties prenantes | Besoins des clients, partenaires, régulateurs |
| Contraintes organisationnelles | Budget, ressources, culture |
Critères de risque
Exemple d'échelle de vraisemblance :
| Niveau | Description | Fréquence |
|---|---|---|
| 1 - Rare | Peu probable de se produire | Moins d'une fois tous les 5 ans |
| 2 - Improbable | Pourrait se produire mais non attendu | Une fois tous les 2-5 ans |
| 3 - Possible | Pourrait se produire | Annuellement |
| 4 - Probable | Se produira probablement | Plusieurs fois par an |
| 5 - Quasi certain | Attendu de se produire | Mensuellement ou plus |
Exemple d'échelle d'impact :
| Niveau | Financier | Opérationnel | Réputation |
|---|---|---|---|
| 1 - Négligeable | <10K€ | Minutes | Minimal |
| 2 - Mineur | 10K€-50K€ | Heures | Limité |
| 3 - Modéré | 50K€-250K€ | Jours | Notable |
| 4 - Majeur | 250K€-1M€ | Semaines | Significatif |
| 5 - Sévère | >1M€ | Mois | Sévère |
Critères d'acceptation des risques
| Niveau de risque | Calcul | Traitement requis |
|---|---|---|
| Faible | 1-4 | Généralement acceptable |
| Moyen | 5-12 | Décision de la direction requise |
| Élevé | 15-25 | Doit être traité |
Appréciation des risques
Identification des risques
Identification des actifs
| Catégorie d'actifs | Exemples |
|---|---|
| Actifs informationnels | Données clients, dossiers financiers, propriété intellectuelle |
| Actifs logiciels | Applications, systèmes d'exploitation, bases de données |
| Actifs physiques | Serveurs, ordinateurs portables, équipements réseau |
| Services | Services cloud, services réseau, services tiers |
| Personnes | Employés, sous-traitants avec des connaissances |
Identification des menaces
| Catégorie de menace | Exemples |
|---|---|
| Délibérée | Piratage, malware, menaces internes, vol |
| Accidentelle | Erreur humaine, mauvaise configuration, perte de données |
| Environnementale | Incendie, inondation, panne de courant, catastrophes naturelles |
| Technique | Défaillance système, bugs logiciels, problèmes de capacité |
Identification des vulnérabilités
| Type de vulnérabilité | Exemples |
|---|---|
| Technique | Systèmes non patchés, chiffrement faible, mauvaises configurations |
| Processus | Gestion des changements inadéquate, approbations manquantes |
| Personnes | Formation insuffisante, susceptibilité à l'ingénierie sociale |
| Physique | Contrôles d'accès inadéquats, contrôles environnementaux |
Analyse des risques
Déterminez le niveau de risque pour chaque scénario identifié :
| Risque | Actif | Menace | Vraisemblance | Impact | Niveau de risque |
|---|---|---|---|---|---|
| R001 | Base de données clients | Accès non autorisé | 4 (Probable) | 5 (Sévère) | 20 (Élevé) |
| R002 | Ordinateurs portables | Vol | 3 (Possible) | 3 (Modéré) | 9 (Moyen) |
| R003 | Réseau | Attaque DDoS | 3 (Possible) | 4 (Majeur) | 12 (Moyen) |
Traitement des risques
Options de traitement
ISO 27005 définit quatre options de traitement des risques :
| Option | Description | Quand l'utiliser |
|---|---|---|
| Modification du risque | Implémenter des contrôles pour réduire le risque | Option la plus courante |
| Prise de risque | Accepter le risque sans action | Risque dans la tolérance |
| Refus du risque | Éliminer l'activité causant le risque | Risque inacceptable, aucune atténuation possible |
| Partage du risque | Transférer le risque à un tiers | Assurance, externalisation |
Sélection des contrôles
| Critère de sélection | Considération |
|---|---|
| Efficacité | Le contrôle réduira-t-il suffisamment le risque ? |
| Coût | Le contrôle est-il justifié par la réduction de risque ? |
| Faisabilité de mise en œuvre | Le contrôle peut-il être implémenté ? |
| Impact opérationnel | Quel est l'impact sur les opérations ? |
| Intégration | S'intègre-t-il aux contrôles existants ? |
Risque résiduel
Après traitement, évaluez le risque restant :
| Risque | Risque inhérent | Contrôles appliqués | Risque résiduel | Statut |
|---|---|---|---|---|
| R001 | 20 (Élevé) | MFA, chiffrement, surveillance | 8 (Moyen) | Acceptable |
| R002 | 9 (Moyen) | Chiffrement des appareils, MDM | 4 (Faible) | Acceptable |
| R003 | 12 (Moyen) | Service de protection DDoS | 4 (Faible) | Acceptable |
Documentation des risques
Registre des risques
| Champ | Objectif |
|---|---|
| ID du risque | Identifiant unique |
| Description | Ce qui pourrait arriver |
| Actif/processus affecté | Ce qui est à risque |
| Menace | Ce qui pourrait causer le risque |
| Vulnérabilité | Quelle faiblesse est exploitée |
| Vraisemblance | Probabilité (1-5) |
| Impact | Gravité (1-5) |
| Niveau de risque inhérent | Score de risque pré-traitement |
| Option de traitement | Modifier/accepter/refuser/partager |
| Contrôles | Mesures d'atténuation sélectionnées |
| Niveau de risque résiduel | Score de risque post-traitement |
| Propriétaire du risque | Qui est responsable |
| Statut | Ouvert/en cours/fermé |
| Date de revue | Prochaine revue |
Surveillance et revue
Surveillance continue
| Activité de surveillance | Fréquence |
|---|---|
| Surveillance des indicateurs de risque | Continue |
| Revue de l'efficacité des contrôles | Trimestrielle |
| Revue du registre des risques | Trimestrielle |
| Réévaluation complète des risques | Annuelle |
| Revue des risques post-incident | Après les incidents |
| Revue déclenchée par les changements | Lors de changements significatifs |
Déclencheurs de revue
Réévaluez les risques quand :
- De nouvelles menaces émergent
- Des vulnérabilités sont découvertes
- Les processus métier changent
- De nouveaux systèmes sont implémentés
- Des incidents surviennent
- L'environnement externe change
- Les exigences réglementaires changent
Intégration avec ISO 27001
Points d'intégration SMSI
| Élément SMSI | Rôle du management des risques |
|---|---|
| Contexte (Clause 4) | Définit le périmètre du management des risques |
| Leadership (Clause 5) | La direction accepte le risque résiduel |
| Planification (Clause 6) | L'appréciation des risques guide la sélection des contrôles |
| Support (Clause 7) | Ressources pour le management des risques |
| Fonctionnement (Clause 8) | Implémenter et surveiller le traitement des risques |
| Évaluation (Clause 9) | Mesurer l'efficacité du management des risques |
| Amélioration (Clause 10) | Améliorer en fonction des tendances des risques |
L'approche Bastion
Management des risques simplifié
Bastion simplifie l'implémentation d'ISO 27005 :
| Défi | Solution Bastion |
|---|---|
| Développement de méthodologie | Méthodologie pré-construite, approuvée par les auditeurs |
| Identification des actifs | Découverte automatisée depuis les intégrations |
| Identification des menaces | Bibliothèque de menaces par secteur |
| Notation des risques | Évaluation guidée avec calibration |
| Mapping des contrôles | Recommandations automatiques de contrôles |
| Documentation | Registre des risques avec piste d'audit |
| Surveillance continue | Suivi continu des risques |
Besoin d'aide pour votre management des risques en sécurité de l'information ? Contactez notre équipe
Sources
- ISO/IEC 27005:2022 - Sécurité de l'information, cybersécurité et protection de la vie privée — Préconisations pour la gestion des risques liés à la sécurité de l'information
- ISO/IEC 27001:2022, Clause 6.1.2 - Exigences d'appréciation des risques en sécurité de l'information
- ISO/IEC 27001:2022, Clause 6.1.3 - Exigences de traitement des risques en sécurité de l'information