ISO 27005 : gestion des risques liés à la sécurité de l'information

ISO/IEC 27005 fournit des lignes directrices pour la gestion des risques liés à la sécurité de l'information afin de soutenir la mise en œuvre d'un système de management de la sécurité de l'information (SMSI) basé sur l'ISO 27001. La norme offre une approche structurée pour identifier, évaluer et traiter les risques de sécurité de l'information dans tous types d'organisations. Contrairement à EBIOS RM ou FAIR qui constituent des méthodes à part entière, ISO 27005 est un cadre normatif souple qui laisse à l'organisation le choix de ses outils et de ses approches d'appréciation.

Contenu et évolutions récentes

La quatrième édition de l'ISO/IEC 27005 a été publiée en octobre 2022. Cette version apporte plusieurs innovations majeures : elle décrit deux approches complémentaires – l'approche événementielle (identification des sources de risques et analyse du paysage global des menaces) et l'approche patrimoniale (inventaire des actifs avec analyse des menaces et vulnérabilités spécifiques). La norme couvre le cycle complet de gestion des risques : appréciation, traitement, communication, surveillance et revue, le tout adapté à la sécurité de l'information.

Elle complète l'ISO 27001:2022 en se concentrant sur l'analyse et la gestion des risques. ISO 27005 adapte les principes généraux de l'ISO 31000 au contexte spécifique de la sécurité de l'information. La version 2022 insiste sur la traçabilité documentaire, la désignation de propriétaires de risques et l'utilisation de mesures tirées de l'annexe A de l'ISO 27001 et de l'ISO 27002 pour traiter les risques.

Lien avec NIS2

L'analyse de risques est imposée par la directive NIS2 (article 21). La mise en œuvre de la directive NIS2 en octobre 2024 renforce les obligations de gestion des risques pour les entreprises des secteurs critiques, et l'ISO 27005 offre un cadre méthodologique parfaitement aligné avec ces nouvelles exigences. Les entités régulées par NIS2 peuvent utiliser ISO 27005 pour structurer leur processus d'appréciation des risques conformément à l'article 21 §2, qui exige une approche proportionnée et documentée.

De nombreuses organisations adoptent une approche hybride : elles utilisent le cadre global de l'ISO 27005 pour structurer leur processus et recourent à EBIOS RM pour conduire les analyses elles-mêmes, en particulier les ateliers de scénarios, satisfaisant ainsi tant les exigences de l'ANSSI que celles d'un audit ISO 27001. Cette combinaison est particulièrement pertinente pour les entités françaises régulées.

→ Voir aussi : Mesures de gestion des risques NIS2
→ Lire : Article 21 de la directive NIS2

Pour aller plus loin

• ISO 27005:2022 – Information security, cybersecurity and privacy protection (ISO.org)
• Guide ANSSI – Méthodes d'analyse de risques
• Texte consolidé de la directive NIS2 (EUR-Lex)