La norme ISO 27005 au service de l’évaluation des risques IT

23Mai

La norme ISO 27005 au service de l’évaluation des risques IT

Par

La norme ISO 27005 fait partie des normes internationales qui s’imposent dans le domaine du management des risques informatiques. Elle aide les organisations qui la déploient à rationaliser la protection de leurs données sensibles et à anticiper les conséquences des cyberattaques et cybercrimes.

La norme ISO/IEC 27005 est une norme internationale publiée par l’Organisation Internationale de Normalisation (ISO) et la Commission électrotechnique internationale (CEI). En complément de la norme ISO 27001, elle guide les organisations pour anticiper et atténuer les menaces potentielles liées aux systèmes d’information (SI).

Qui est concerné ?

Destinée aux entreprises, établissements publics et organismes à but non lucratif, cette norme de sécurité de l’information se mobilise pour assurer la confidentialité des données, mais aussi l’accessibilité et l’intégrité des informations stratégiques pour l’organisation. Elle se déploie au sein de toutes les structures menacées par les cyber-risques et par l’accroissement continu de la data dans leurs services.

Développer des compétences

Derrière la norme se dresse une formation qui permet aux collaborateurs de développer les compétences pour mettre en œuvre une gestion performante des risques informatiques. Les personnes formées à ISO 27005 sont théoriquement en mesure d’identifier le risque cyber, de l’analyser, de le mesurer et de le traiter.

L’objectif de cette norme consiste en outre à installer un SMSI, un Système de Management de la Sécurité de l’Information. Le SMSI comprend la définition de processus et de politiques de cybersécurité, doublés d’une approche d’amélioration continue de la gestion des risques. Il est censé prendre en compte les facteurs humains et techniques.

Dans cette optique, la norme ISO 27005 se déploie autour d’une logique assimilable à celle de l’amélioration continue PDCA (Plan, Do, Check, Act) :

Plan : Identification et évaluation des risques cyber, puis réflexion stratégique quant aux actions de réduction des risques
Do : Mise en place de ces actions
Check : Contrôle des résultats
Act : Suivi et amélioration de la stratégie de traitement des risques.

Une approche systématique et cohérente

La norme ISO 27005 se concentre sur une approche systématique et cohérente pour gérer les risques liés à la sécurité de l’information. Voici les étapes clés de cette méthodologie :

1. Définition du contexte : Avant même de commencer l’analyse des risques, il est crucial de comprendre l’environnement dans lequel l’organisation opère. Cela inclut l’identification des actifs critiques, des contraintes légales et réglementaires, ainsi que des objectifs de sécurité de l’organisation.

2. Identification des risques : Cette étape consiste à recenser toutes les menaces potentielles qui pourraient affecter les actifs de l’organisation.

3. Évaluation des risques : À ce stade, chaque risque est évalué en termes de probabilité et d’impact potentiel.

4. Traitement des risques : Une fois les risques évalués, il faut décider comment les gérer. Les options incluent l’acceptation, la réduction, le transfert ou l’évitement du risque. La méthode de conceptualisation de ces mesures proposée par ISO 27005 consiste à confronter le risque à son coût de traitement. Quatre possibilités se dégagent alors :

  • Refus ou évitement : trop grave, le risque cyber doit à tout prix être évité. La structure renonce ainsi, par exemple, à continuer l’activité susceptible de le provoquer.
  • Transfert : l’organisation partage le risque avec un tiers – assurance ou sous-traitant en cybersécurité – capable de la protéger du risque, au moins financièrement.
  • Réduction : des mesures sont proposées pour réduire l’impact ou l’éventualité du risque, et le rendre ainsi plus tolérable.
  • Conservation : supportable, on choisit de ne pas adresser le risque, jugé trop peu menaçant.

Chaque option sous-tend un risque résiduel, qui doit systématiquement être évalué.

5. Surveillance et révision : Les risques évoluent avec le temps. Il est donc essentiel de mettre en place un processus de surveillance continue et de révision régulière des mesures de sécurité.

L’intérêt de l’escrow agreement dans une stratégie de traitement des risques ISO 27005

Dans le cadre de la gestion des risques informatiques telle que définie par la norme ISO 27005, la mise en place d’un escrow agreement (contrat de séquestre de code source) constitue une action concrète et stratégique.

Un escrow agreement est un contrat qui permet de déposer le code source d’un logiciel chez un tiers de confiance. En cas de défaillance du fournisseur, l’organisation peut y accéder pour garantir la continuité de ses activités.

Ce mécanisme permet à une organisation d’accéder au code source d’un logiciel tiers en cas de défaillance du fournisseur (faillite, arrêt de support, litige), réduisant ainsi le risque de dépendance critique. Il s’inscrit dans une logique de réduction du risque en garantissant la continuité d’activité et en protégeant les actifs numériques essentiels. L’escrow agreement offre une réponse contractuelle aux menaces pesant sur la disponibilité des solutions logicielles externes, tout en intégrant une vision à long terme de la résilience informatique. Il permet également d’anticiper les évolutions techniques ou juridiques susceptibles d’impacter l’exploitation des systèmes. En sécurisant l’accès aux éléments vitaux d’un logiciel, cette mesure vient compléter efficacement une politique globale de cybersécurité.

EN SAVOIR PLUS

La norme ISO 27005
L’escrow agreement face aux risques de cybermenace

Auteur