Structure et logique de la norme ISO/IEC 27005
Info
ISO/IEC 27005 suit une logique cyclique et itérative, en parfaite cohérence avec le cycle PDCA du SMSI.
Principaux blocs de la norme
| Étape | Description |
|---|---|
| Établir le contexte | Définir le périmètre, les critères, les parties prenantes |
| Identifier les risques | Actifs, menaces, vulnérabilités, sources de risque |
| Évaluer les risques | Probabilité × impact → niveau de risque |
| Traiter les risques | Réduction, acceptation, transfert, évitement |
| Accepter les risques | Décision formalisée selon des critères définis |
| Communiquer et surveiller | Reporting, échanges internes/externes, révisions périodiques |
Approche recommandée
- Itérative : chaque étape peut amener à réviser les précédentes
- Flexible : méthode adaptable selon la taille, le secteur, la maturité SSI
- Orientée décision : but = guider les actions de sécurité
Tip
ISO 27005 n’impose aucune méthode précise : elle définit un cadre général que vous pouvez outiller avec MEHARI, EBIOS RM, MEALEE, etc.