ISO27005 : une sécurité de l’information plus musclée
La Norme internationale ISO/IEC27005:2011 vient d'être publiée. Elle offre aux dirigeants et au personnel des services informatiques un cadre pour la mise en place d’une approche de la gestion du risque qui les aidera à gérer les risques associés à leur système de management de la sécurité de l’information (SMSI).
Les risques en matière de sécurité de l’information représentent une menace considérable pour les entreprises du fait des possibles pertes et préjudices financiers, perte de services essentiels de réseaux, ou encore perte de confiance des clients et autres atteintes à la réputation qu’ils entraînent. La gestion des risques est l’un des éléments clés de la prévention des fraudes en ligne, vols d’identité, détériorations de sites Web, pertes de données personnelles et autres incidents divers concernant la sécurité de l’information. Faute de cadre solide de gestion des risques, les organisations s’exposent à de nombreux types de cyber-menaces.
La nouvelle Norme internationale ISO/IEC27005:2011, Technologies de l'information – Techniques de sécurité – Gestion des risques liés à la sécurité de l'information, aidera les organisations de tous types à mieux gérer leurs risques dans le domaine de la sécurité de l’information.
Elle décrit le processus de gestion des risques en matière de sécurité de l’information et les actions associées, et appuie les concepts généraux identifiés dans la norme ISO/IEC27001:2005,Technologies de l'information – Techniques de sécurité – Gestion des risques liés à la sécurité de l'information.
Pour Edward Humphreys, animateur du groupe de travail de l’ISO/IEC qui a élaboré la norme : «La norme ISO/IEC27005:2011 est essentielle pour les organisations soucieuses de gérer leurs risques efficacement et, en particulier, de se conformer à la norme ISO/IEC27001 largement appliquée, relative aux systèmes de gestion de la sécurité de l’information. La gestion des risques est un élément essentiel de bonne gouvernance des entreprises, et cette norme aide les organisations à cerner les tenants et les aboutissants de la gestion des risques liés à la sécurité de l’information pour appuyer leurs objectifs de gouvernance.»
Dans cette deuxième édition, le cadre présenté dans la norme ISO/IEC27005 a été revu et mis à jour pour tenir compte du contenu des documents de gestion des risques suivants :
- ISO 31000:2009, Management du risque – Principes et lignes directrices
- ISO/IEC 31010:2009 Gestion des risques – Techniques d'évaluation des risques
- Guide ISO 73:2009 Management du risque – Vocabulaire
La norme vise un alignement étroit avec ISO31000:2009 afin d’aider les organisations souhaitant gérer leurs risques liés à la sécurité de l’information de manière analogue à la gestion de leurs «autres» risques.
ISO/IEC27005:2011 aidera les utilisateurs à mettre en œuvre ISO/IEC27001, la norme relative aux systèmes de gestion de la sécurité de l'information qui est fondée sur une approche de gestion du risque. Il est important de connaître les concepts, modèles, processus et termes énoncés dans ISO/IEC27001 et ISO/IEC27002: 2005, Technologies de l'information – Techniques de sécurité – Code de bonne pratique pour la gestion de la sécurité de l'information, pour bien comprendre cette Norme internationale. Le processus de gestion du risque en sécurité de l’information se décompose comme suit :
- Établissement du contexte
- Appréciation du risque
- Traitement du risque
- Acceptation du risque
- Communication du risque, et
- Surveillance et revue du risque.
Toutefois, ISO/IEC27005:2011 ne donne aucune méthodologie spécifique pour la gestion des risques liés à la sécurité de l’information, mais simplement une approche générique. Il appartient à l’organisation de définir son approche, selon, par exemple, le domaine d’application du système de management de sécurité de l’information, en fonction du contexte de gestion du risque ou du secteur industriel.
ISO/IEC27005:2011, Technologies de l'information – Techniques de sécurité – Gestion des risques liés à la sécurité de l'information, a été élaborée par le comité technique mixte ISO/IECJTC 1, Technologies de l’information, sous-comité SC 27, Techniques de sécurité des technologies de l'information. Elle est disponible au prix de xxx francs suisses auprès des instituts nationaux membres de l’ISO (voir la liste complète avec les coordonnées) et du Secrétariat central de l’ISO par l’intermédiaire de l’ISO Store ou en contactant le département Marketing, Communication et Information (voir colonne de droite).
Source : https://www.iso.org/fr/home.html