Réglementaire

ISO/IEC 27005

Définition

ISO/IEC 27005 fournit les lignes directrices pour la gestion des risques liés à la sécurité de l'information. Sa version 2022 accompagne la mise en œuvre de l'exigence d'appréciation des risques d'ISO/IEC 27001 (clause 6.1.2). Elle décrit un processus complet : identification, analyse, évaluation et traitement des risques, sans imposer une méthode unique.

Pourquoi c'est important

27005 est le pont entre l'exigence normative et la méthode opérationnelle. Elle est pleinement compatible avec EBIOS Risk Manager, la méthode de l'ANSSI, ce qui permet à une organisation française de tenir un langage cohérent entre certification ISO, appréciation des risques et exigences réglementaires (NIS2, DORA, AIPD). Une gestion des risques rigoureuse évite deux écueils fréquents : sur-investir sur des scénarios peu probables et négliger des chemins d'attaque réalistes, notamment ceux introduits par les nouveaux usages d'IA et par la chaîne de sous-traitance. La norme insiste sur la traçabilité des critères de risque, sur l'implication des métiers dans l'évaluation, et sur le caractère itératif de la démarche : une appréciation des risques n'est utile que si elle est mise à jour au rythme des changements du système d'information. Elle rappelle enfin que le risque résiduel doit être formellement accepté par une autorité identifiée, et non subi par défaut.

Comment AOCSI l'adresse

nous conduisons vos appréciations des risques en articulant ISO/IEC 27005 et EBIOS RM, pour produire des scénarios exploitables et un plan de traitement priorisé. Cette expertise est au cœur de notre offre de gouvernance, risques et conformité.

De la définition à la protection.

Nos experts transforment ces concepts en sécurité concrète pour votre organisation.