|
Aspects Normatifs : La norme ISO/IEC 27005 |
|
|
|
|
11-03-2009 |
L'ISO/CEI 27005:2008 a été publiée le 4 juin 2008. Cette norme n'est pas une méthode d'analyse des risques liés au traitement de l'information. Elle constitue une norme de gestion des risques liés à l'information.
Elle propose un processus d'appréciation, d'analyse et de traitement des risques aligné sur la démarche d'amélioration continue de la sécurité des informations proposée par l'ISO/CEI 27001 structurée en 4 grandes étapes :
- l'établissement du contexte,
- l'appréciation du risque qui comprend son analyse et son évaluation en fonction des enjeux de l'entreprise,
- le traitement du risque,
- l'acceptation du risque après traitement.
Ces quatre étapes sont accompagnées de deux autres tâches qui sont :
- la communication au sein de l'entreprise et
- la supervision et la revue continue du risque.
Il est possible de revenir sur les étapes précédentes si l'appréciation du risque est insatisfaisante ou si le traitement du risque n'est pas satisfaisant.
Ce processus est conforme aux principes d'amélioration continue appliqués à la gestion des risques liés à l'information (PDCA) :
Planifier (Plan) :
-
Etablissement du contexte
-
Appréciation des risques
-
Développement du plan de traitement des risques
-
Acceptation des risques résiduels après traitement
Faire (Do) :
-
Implémenter le plan de traitement des risques
Piloter (Check) :
-
Supervision continue et revue continue des risques
Améliorer (Act) :
-
Maintenir et améliorer le processus de gestion des risques
La norme détaille chacune des étapes et "zoome" sur le processus de décision du traitement des risques :
La stratégie de traitement des risques visera ainsi à choisir entre les 4 scénarios suivants :
Évitement du risque
| Soit on décide de ne rien faire car l'attaque et donc la
menace est jugée improbable, et l'entreprise se dit prète à assumer les
conséquences (impact) d'un sinistre
Soit
on décide de renoncer à l'activité source du risque ou à l'application
concernée, en acceptant un manque à gagner que l'on considère moindre
que le risque lui-même.
| Transfert du risque
| C'est le cas d'un contrat d'assurance qui assume une
partie du risque à la place de l'entreprise ou le cas de la sous-traitance d'une
fonction à un prestataire
| | Réduction du risque | Par la mise en place de mesures de sécurité, techniques
ou organisationnelles, permettant de combler les vulnérabilités; mais
aussi par la dissuasion ou une bonne communication externe comme interne. | | Conservation du risque | L'impact est considéré comme tolérable face au coût des mesures de sécurité à mettre en face. |
Ce qu'il faut retenir :
La norme ne propose pas de référentiels exhaustif ni de métriques comme on peut en trouver dans les méthodes EBIOS ou MEHARI. Dans la pratique, il conviendra d'adopter cette norme en utilisant les référentiels EBIOS ou MEHARI.
Les annexes (A à E) fournissent des indications concernant :
- L'établissement du contexte,
- L'identification et la valorisation des actifs,
- Des listes de menaces (exemples),
- Des listes de vulnérabilités (exemples) et des méthodes d'évaluation de ces vulnérabilités,
- Un approche de l'évaluation des risques (Impact / Probabilité) avec une classification (low, medium, high), qui n'est pas sans rappeler les préconisations du NIST 800-53 par exemple. (remarque: pour notre part nous préférons un système de métrique pair sinon médium devient très vite un candidat unique)...
L'apport essentiel de cette norme reste son inscription, dans un processus de gestion continue du risque, à l'intérieur d'un processus de gestion continue de la sécurité comme ISO/IEC 27001.
|
|
Dernière mise à jour : ( 21-03-2009 )
|
Risk Management 
