Les risques en matière de sécurité de l’information représentent une menace considérable pour les entreprises du fait des possibles pertes et préjudices financiers, perte de services essentiels de réseaux, ou encore perte de confiance des clients et autres atteintes à la réputation qu’ils entraînent. La gestion des risques est l’un des éléments clés de la prévention des fraudes en ligne, vols d’identité, détériorations de sites Web, pertes de données personnelles et autres incidents divers concernant la sécurité de l’information. Faute de cadre solide de gestion des risques, les organisations s’exposent à de nombreux types de cyber-menaces.

La nouvelle Norme internationale ISO/CEI 27005:2011, Technologies de l'information – Techniques de sécurité – Gestion des risques liés à la sécurité de l'information, aidera les organisations de tous types à mieux gérer leurs risques dans le domaine de la sécurité de l’information.

Elle décrit le processus de gestion des risques en matière de sécurité de l’information et les actions associées, et appuie les concepts généraux identifiés dans la norme ISO/CEI 27001:2005, Technologies de l'information – Techniques de sécurité – Gestion des risques liés à la sécurité de l'information.

Pour Edward Humphreys, animateur du groupe de travail de l’ISO/CEI qui a élaboré la norme : «La norme ISO/CEI 27005:2011 est essentielle pour les organisations soucieuses de gérer leurs risques efficacement et, en particulier, de se conformer à la norme ISO/CEI 27001 largement appliquée, relative aux systèmes de gestion de la sécurité de l’information. La gestion des risques est un élément essentiel de bonne gouvernance des entreprises, et cette norme aide les organisations à cerner les tenants et les aboutissants de la gestion des risques liés à la sécurité de l’information pour appuyer leurs objectifs de gouvernance.»

Dans cette deuxième édition, le cadre présenté dans la norme ISO/CEI 27005 a été revu et mis à jour pour tenir compte du contenu des documents de gestion des risques suivants :

  • ISO 31000:2009, Management du risque – Principes et lignes directrices
  • ISO/CEI 31010:2009 Gestion des risques – Techniques d'évaluation des risques
  • Guide ISO 73:2009 Management du risque – Vocabulaire

La norme vise un alignement étroit avec ISO 31000:2009 afin d’aider les organisations souhaitant gérer leurs risques liés à la sécurité de l’information de manière analogue à la gestion de leurs «autres» risques.

ISO/CEI 27005:2011 aidera les utilisateurs à mettre en œuvre ISO/CEI 27001, la norme relative aux systèmes de gestion de la sécurité de l'information qui est fondée sur une approche de gestion du risque. Il est important de connaître les concepts, modèles, processus et termes énoncés dans ISO/CEI 27001 et ISO/CEI 27002: 2005, Technologies de l'information – Techniques de sécurité – Code de bonne pratique pour la gestion de la sécurité de l'information, pour bien comprendre cette Norme internationale. Le processus de gestion du risque en sécurité de l’information se décompose comme suit :

  • Établissement du contexte
  • Appréciation du risque
  • Traitement du risque
  • Acceptation du risque
  • Communication du risque, et
  • Surveillance et revue du risque.

Toutefois, ISO/CEI 27005:2011 ne donne aucune méthodologie spécifique pour la gestion des risques liés à la sécurité de l’information, mais simplement une approche générique. Il appartient à l’organisation de définir son approche, selon, par exemple, le domaine d’application du système de management de sécurité de l’information, en fonction du contexte de gestion du risque ou du secteur industriel.

ISO/CEI 27005:2011, Technologies de l'information – Techniques de sécurité – Gestion des risques liés à la sécurité de l'information, a été élaborée par le comité technique mixte ISO/CEI JTC 1, Technologies de l’information, sous-comité SC 27, Techniques de sécurité des technologies de l'information. Elle est disponible au prix de 168 francs suisses auprès des instituts nationaux membres de l’ISO (voir la liste complète avec les coordonnées) et du Secrétariat central de l’ISO par l’intermédiaire de l’ISO Store ou en contactant le département Marketing, Communication et Information (voir colonne de droite).