ISO/IEC 27001 et ISO/IEC 27005 : 2 normes complémentaires pour la sécurité des systèmes d’information
Les normes ISO/IEC 27001 et ISO/IEC 27005 font toutes deux parties de la famille des normes ISO 27000, qui porte sur la sécurité de l’information. Elles sont conçues pour être complémentaires et visent toutes deux à aider les organisations à protéger leurs actifs informationnels de manière systématique, durable et adaptée aux risques auxquels elles sont exposées.
De nombreux points communs
Les deux normes reposent sur une approche par les risques. En reconnaissant que chaque organisation est exposée à des menaces différentes selon son secteur d’activité, son environnement, sa taille ou ses technologies utilisées, elles recommandent toutes deux d’identifier, d’évaluer et de traiter les risques pour la sécurité de l’information. Elles sont toutes deux conçues pour être utilisées dans des contextes organisationnels variés, quels que soient la taille, la structure ou le secteur de l’entreprise.
Elles participent toutes les deux à la mise en œuvre d’uncadre structuré pour gérer la sécurité de l’information. ISO 27001 fournit ce cadre sous la forme d’un Système de Management de la Sécurité de l’Information (SMSI), tandis que ISO 27005 fournit les lignes directrices spécifiques pour l’étape clé de la gestion des risques au sein de ce système. Elles partagent des définitions et concepts communs, comme la notion d’actifs, de menaces, de vulnérabilités, d’évaluation des risques, et de traitement des risques, ainsi qu’un vocabulaire harmonisé issu de la norme ISO/IEC 27000 favorisant leur interopérabilité.
Des finalités et des contenus différents
ISO/IEC 27001 est une norme de type « exigences », c’est-à-dire qu’elle énonce ce qu’une organisation doit mettre en œuvre pour établir, maintenir et améliorer un SMSI. Elle est donc conçue pour être certifiable : une organisation peut faire auditer son SMSI par un organisme tiers pour obtenir une certification officielle ISO 27001. Cette norme couvre l’ensemble du système de management, y compris le contexte de l’organisation, le leadership, la planification, le support, les opérations, l’évaluation des performances et l’amélioration continue.
ISO/IEC 27005 est quant à elle une normed’orientation, non certifiable, qui fournit deslignes directrices pour lagestion des risques liés à la sécurité de l’information. Elle ne fixe pas d’exigences, mais propose une démarche structurée pour identifier, analyser, évaluer, traiter, surveiller et revoir les risques. Elle permet d’accompagner concrètement l’application des clauses 6.1.2 et 6.1.3 de la norme ISO 27001, qui demandent respectivement une évaluation des risques et un plan de traitement.
Le niveau de détail comme point de distinction majeur
ISO 27001 mentionne la gestion des risques comme une étape centrale mais ne fournit pas de méthode explicite. ISO 27005, à l’inverse, est entièrement dédiée à la gestion des risques et offre un cadre complet, allant de la définition du périmètre à la communication sur les risques, en passant par l’identification des actifs, menaces, vulnérabilités, la quantification des impacts et la priorisation des risques. ISO 27005 laisse une grande flexibilité méthodologique. Elle n’impose pas une méthode unique d’analyse des risques, mais peut être appliquée en combinaison avec d’autres méthodes reconnues. En résumé, ISO 27001 donne le cadre général et les exigences organisationnelles, tandis que ISO 27005 se concentre sur la démarche technique et méthodologique de gestion des risques. La première est la norme à viser pour obtenir une reconnaissance externe du SMSI, la seconde est un outil stratégique pour réussir cette mise en œuvre de manière rigoureuse et adaptée au contexte spécifique de l’organisation.
