La gestion des risques a parfois été le parent pauvre de la sécurité de l’information. De nombreux organismes appliquent des mesures de sécurité pour respecter un catalogue de mesures, pour être conforme à un référentiel, ou pour faire comme les autres. Ils ne savent pas nécessairement en quoi ces dispositifs de sécurité réduisent des risques. L’avènement de la norme ISO 27001 qui permet d’organiser sereinement sa sécurité des systèmes d’information sous forme d’un système de management de la sécurité de l’information (SMSI), impose une approche par la gestion des risques.
L’obligation de la réalisation d’une appréciation des risques est une caractéristique fondamentale de l’ISO 27001 en opposition avec les approches conformité comme SoX ou PCI-DSS. La norme ISO 27001 précise en un peu plus d’une page ce que doit obligatoirement comporter une gestion des risques en sécurité de l’information. C’était un peu léger et la norme ISO 27005 est venue combler ce manque avec détail, tout en en allant plus loin, car elle s’applique non seulement aux SMSI mais à tout type de situation, de manière autonome, comme par exemple la gestion des risques sur un système embarqué.
La norme ISO 27005 est un guide définissant une méthode d’appréciation des risques en sécurité de l’information. Elle a fait l’objet d’un consensus international et elle permet une meilleure compréhension mutuelle à travers le monde. Elle apporte une nouveauté fondamentale par rapports aux méthodes qui l’ont précédée comme EBIOS ou Mehari : la gestion des risques dans la durée, dans le temps. Il ne s’agit plus de gérer les risques en y travaillant dur quelques semaines, puis en recommençant son travail quelques années plus tard, mais de gérer les risques en sécurité de l’information au quotidien. Ce changement majeur est imposé par l’approche continue de l’ISO 27001, mais il représente le principal changement par rapport aux méthodes antérieures. L’ISO 27005 est également la première méthode qui impose à la direction générale d’être parfaitement informée, et lui impose de prendre ses responsabilités en toute connaissance de cause, ce qui clarifie les responsabilités et facilite les arbitrages budgétaires.
L’ouvrage « Gestion des risques en sécurité de l’information, mise en oeuvre de la norme ISO 27005 », premier livre sur ce sujet, constitue une aide indispensable à la compréhension et l’application de la méthode ISO 27005. Comme beaucoup de normes, elle est très structurée mais peu didactique. Comment inventorier et valoriser des actifs ? Comment identifier des menaces, des vulnérabilités, des scénarios d’incidents, des conséquences ? Comment estimer et évaluer des niveaux de risque ? Quels risques doivent être réduits ou transférés ? Comment donner à la direction générale de quoi faire son arbitrage budgétaire ?
Au travers d’un schéma de toutes les activités décrites dans la norme, le livre détaille chaque étape, avec des exemples et des scénarios d’incidents réels qui reflètent le savoir-faire de l’auteur, Anne Lupfer qui est entrée chez HSC (Hervé Schauer Consultants) avec une expérience de gestion des risques dans l’assurance. Ingénieur diplômée de l’ECE, elle a créé la formation à la gestion des risques en sécurité chez HSC et a été une des premières à mettre en œuvre concrètement la méthode ISO 27005 en clientèle. Son expérience sur le terrain et ses échanges avec les stagiaires a également permis de préparer à la certification ISO 27005 Risk Manager.
Cet ouvrage est destiné à tous les responsables sécurité (RSSI) et leurs équipes, et les personnes impliquées dans la mise en oeuvre ou l’audit d’un SMSI. C’est également un livre utile aux DSI, responsables et chefs de projet informatique, et les personnes devant analyser les risques informatiques ou gérer des risques informatiques et en sécurité de l’information dans leur projet. L’ISO 27005 demande à ce que le gestionnaire de risque en sécurité de l’information s’aligne sur les risques opérationnels ou industriels. Aussi l’ouvrage est profitable aux gestionnaires de risques désirant approfondir le volet sécurité de l’information. Enfin il sera une aide précieuse à tous ceux qui souhaitent obtenir la certification individuelle « ISO 27005 Risk Manager ».
Cet article se trouve dans le dossier :
Cogitons Sciences, le podcast qui décrypte les enjeux des sciences !
- Écoutez notre podcast Cogitons Sciences : Recyclés et biodégradables, une fausse bonne idée ? [Plastique addict : comment s'en débarrasser ? #1]
- Écoutez notre podcast Cogitons Sciences : Renoncer au plastique jetable... Comment faire ? [Plastique addict : comment s'en débarrasser ? #2]
- Écoutez notre podcast Cogitons Sciences : Remplacer le plastique pétrosourcé par du biosourcé [Plastique addict : comment s'en débarrasser ? #3]
- Écoutez notre podcast Cogitons Sciences : Comment l’IA révolutionne notre façon de travailler ? [L’IA s’invite dans nos métiers #1]
- Écoutez notre podcast Cogitons Sciences : Intégrer l’IA dans votre entreprise, pour un usage utile et raisonné [L’IA s’invite dans nos métiers #2]
- Écoutez notre podcast Cogitons Sciences : Pour une intégration éthique et règlementée de l’IA [L’IA s’invite dans nos métiers #3]
- Écoutez notre podcast Cogitons Sciences : C’est quoi au juste une industrie sobre ? [Sobriété des industries #1]
- Écoutez notre podcast Cogitons Sciences : L'importance de l'analyse de cycle de vie dans l’écoconception [Sobriété des industries #2]
- Écoutez notre podcast Cogitons Sciences : Pourquoi et comment passer à l’économie circulaire ? [Sobriété des industries #3]
- Écoutez notre podcast Cogitons Sciences : Une industrie accro aux minerais de conflit [Matériaux, histoire d'une vie #1]
- Écoutez notre podcast Cogitons Sciences : Guide pour bien choisir ses matériaux [Matériaux, histoire d’une vie #2]
- Ecoutez notre podcast Cogitons Sciences : Matériaux, durée de vie et fatigue [Matériaux, histoire d’une vie #3]
- Écoutez notre podcast Cogitons Sciences : Alexandre Tisserant, de l’informatique aux nanosatellites [Des ingénieurs qui cassent la routine #1]
- Écoutez notre podcast Cogitons Sciences : Ingénieurs ès jeux vidéo [Des ingénieurs qui cassent la routine #2]
- Écoutez notre podcast Cogitons Sciences : Clément Thivin, un ingénieur pas bateau [Des ingénieurs qui cassent la routine #3]
- Ecoutez notre podcast Cogitons Sciences : Les hard skills ne suffisent plus ! [Les ingénieurs se réinventent #1]
- Écoutez notre podcast Cogitons Sciences : Panorama d’un métier en mouvement [Les ingénieurs se réinventent #2]
- Écoutez notre podcast Cogitons Sciences : Les ingénieurs français font carrière à l'étranger [Les ingénieurs se réinventent #3]
- Ecoutez notre podcast Cogitons Sciences : L’hydrogène bas carbone a le vent en poupe ! [Energie et mobilité #1]
- Ecoutez notre podcast Cogitons Sciences : Biocarburants avancés, on fait le tour ! [Energie et mobilité #2]
- Ecoutez notre podcast Cogitons Sciences : Allier numérique et écoconduite [Energie et mobilité #3]
- Ecoutez notre podcast Cogitons Sciences : Innover, pour le meilleur ? [Sciences et éthique #1]
- Ecoutez notre podcast Cogitons Sciences : Encadrer la recherche médicale [Sciences et éthique #2]
- Ecoutez notre podcast Cogitons Sciences : Biais, fantasmes, et pratique du numérique [Sciences et éthique #3]
- Cogitons Sciences, le podcast qui décrypte les enjeux des sciences !
- Notre podcast Cogitons Sciences est à découvrir !
- Vers une éthique du métier d'ingénieur
- Gabriel Plassat : « Accompagner l’innovation et anticiper les changements, les clés d’une (r)évolution numérique aux nombreux enjeux »
- Regards de dirigeants #18 : Marc Rumeau, IESF
- Quels emplois pour les ingénieurs en 2030 ?
- « Les études d’ingénieur sont celles qui ouvrent le plus de portes »
- L’Europe veut aussi sa constellation de satellites Internet
- Une méthodologie innovante pour évaluer la criticité des ressources
- « L'essentiel de l'impact numérique a lieu lors de la première étape du cycle de vie »