La norme ISO 27005 fait partie des normes internationales qui s\u2019imposent dans le domaine du management des risques informatiques. Elle aide les organisations qui la d\u00e9ploient \u00e0 rationaliser la protection de leurs donn\u00e9es sensibles et \u00e0 anticiper les cons\u00e9quences des cyberattaques et cybercrimes.<\/p>\n\n\n\n
\nLa norme ISO\/IEC 27005 est une norme internationale publi\u00e9e par l’Organisation Internationale de Normalisation (ISO)<\/strong> et la Commission \u00e9lectrotechnique internationale (CEI)<\/strong>. En compl\u00e9ment de la norme ISO 27001, elle guide les organisations pour anticiper et att\u00e9nuer les menaces potentielles li\u00e9es aux syst\u00e8mes d\u2019information (SI).<\/p>\n<\/blockquote>\n\n\n\n
Qui est concern\u00e9 ?<\/strong><\/h4>\n\n\n\n
Destin\u00e9e aux entreprises, \u00e9tablissements publics et organismes \u00e0 but non lucratif, cette norme de s\u00e9curit\u00e9 de l’information se mobilise pour assurer la confidentialit\u00e9 des donn\u00e9es, mais aussi l’accessibilit\u00e9 et l’int\u00e9grit\u00e9 des informations strat\u00e9giques pour l\u2019organisation. Elle se d\u00e9ploie au sein de toutes les structures menac\u00e9es par les cyber-risques et par l\u2019accroissement continu de la data dans leurs services.<\/p>\n\n\n\n
D\u00e9velopper des comp\u00e9tences<\/strong><\/h4>\n\n\n\n
Derri\u00e8re la norme se dresse une formation qui permet aux collaborateurs de d\u00e9velopper les comp\u00e9tences pour mettre en \u0153uvre une gestion performante des risques informatiques. Les personnes form\u00e9es \u00e0 ISO 27005 sont th\u00e9oriquement en mesure d\u2019identifier le risque cyber, de l\u2019analyser, de le mesurer et de le traiter.<\/p>\n\n\n\n
L\u2019objectif de cette norme consiste en outre \u00e0 installer un SMSI, un Syst\u00e8me de Management de la S\u00e9curit\u00e9 de l’Information. Le SMSI comprend la d\u00e9finition de processus et de politiques de cybers\u00e9curit\u00e9, doubl\u00e9s d\u2019une approche d\u2019am\u00e9lioration continue de la gestion des risques. Il est cens\u00e9 prendre en compte les facteurs humains et techniques.<\/p>\n\n\n\n
Dans cette optique, la norme ISO 27005 se d\u00e9ploie autour d’une logique assimilable \u00e0 celle de l\u2019am\u00e9lioration continue PDCA <\/strong>(Plan, Do, Check, Act) :<\/p>\n\n\n\n
Plan<\/em><\/strong> : Identification et \u00e9valuation des risques cyber, puis r\u00e9flexion strat\u00e9gique quant aux actions de r\u00e9duction des risques
Do<\/em><\/strong> : Mise en place de ces actions
Check<\/em><\/strong> : Contr\u00f4le des r\u00e9sultats
Act<\/em><\/strong> : Suivi et am\u00e9lioration de la strat\u00e9gie de traitement des risques.<\/p>\n\n\n\nUne approche syst\u00e9matique et coh\u00e9rente<\/strong><\/h4>\n\n\n\n
La norme ISO 27005<\/strong> se concentre sur une approche syst\u00e9matique et coh\u00e9rente pour g\u00e9rer les risques li\u00e9s \u00e0 la s\u00e9curit\u00e9 de l\u2019information. Voici les \u00e9tapes cl\u00e9s de cette m\u00e9thodologie :<\/p>\n\n\n\n
1. D\u00e9finition du contexte<\/strong> : Avant m\u00eame de commencer l\u2019analyse des risques, il est crucial de comprendre l\u2019environnement dans lequel l\u2019organisation op\u00e8re. Cela inclut l\u2019identification des actifs critiques, des contraintes l\u00e9gales et r\u00e9glementaires, ainsi que des objectifs de s\u00e9curit\u00e9 de l\u2019organisation.<\/p>\n\n\n\n
2. Identification des risques<\/strong> : Cette \u00e9tape consiste \u00e0 recenser toutes les menaces potentielles qui pourraient affecter les actifs de l\u2019organisation.<\/p>\n\n\n\n
3. \u00c9valuation des risques<\/strong> : \u00c0 ce stade, chaque risque est \u00e9valu\u00e9 en termes de probabilit\u00e9 et d\u2019impact potentiel.<\/p>\n\n\n\n
4. Traitement des risques<\/strong> : Une fois les risques \u00e9valu\u00e9s, il faut d\u00e9cider comment les g\u00e9rer. Les options incluent l\u2019acceptation, la r\u00e9duction, le transfert ou l\u2019\u00e9vitement du risque. La m\u00e9thode de conceptualisation de ces mesures propos\u00e9e par ISO 27005 consiste \u00e0 confronter le risque \u00e0 son co\u00fbt de traitement. Quatre possibilit\u00e9s se d\u00e9gagent alors :<\/p>\n\n\n\n
\n
- Refus ou \u00e9vitement <\/strong>: trop grave, le risque cyber doit \u00e0 tout prix \u00eatre \u00e9vit\u00e9. La structure renonce ainsi, par exemple, \u00e0 continuer l\u2019activit\u00e9 susceptible de le provoquer.<\/li>\n\n\n\n
- Transfert<\/strong> : l’organisation partage le risque avec un tiers – assurance ou sous-traitant en cybers\u00e9curit\u00e9 – capable de la prot\u00e9ger du risque, au moins financi\u00e8rement.<\/li>\n\n\n\n
- R\u00e9duction<\/strong> : des mesures sont propos\u00e9es pour r\u00e9duire l\u2019impact ou l\u2019\u00e9ventualit\u00e9 du risque, et le rendre ainsi plus tol\u00e9rable.<\/li>\n\n\n\n
- Conservation<\/strong> : supportable, on choisit de ne pas adresser le risque, jug\u00e9 trop peu mena\u00e7ant.<\/li>\n<\/ul>\n\n\n\n
Chaque option sous-tend un risque r\u00e9siduel, qui doit syst\u00e9matiquement \u00eatre \u00e9valu\u00e9.<\/p>\n\n\n\n
5. Surveillance et r\u00e9vision<\/strong> : Les risques \u00e9voluent avec le temps. Il est donc essentiel de mettre en place un processus de surveillance continue et de r\u00e9vision r\u00e9guli\u00e8re des mesures de s\u00e9curit\u00e9.<\/p>\n\n\n\n
L\u2019int\u00e9r\u00eat de l\u2019escrow agreement dans une strat\u00e9gie de traitement des risques ISO 27005<\/strong><\/h4>\n\n\n\n
Dans le cadre de la gestion des risques informatiques telle que d\u00e9finie par la norme ISO 27005, la mise en place d\u2019un escrow agreement<\/strong> (contrat de s\u00e9questre de code source) constitue une action concr\u00e8te et strat\u00e9gique.<\/p>\n\n\n\n
\nUn escrow agreement est un contrat qui permet de d\u00e9poser le code source d\u2019un logiciel chez un tiers de confiance. En cas de d\u00e9faillance du fournisseur, l\u2019organisation peut y acc\u00e9der pour garantir la continuit\u00e9 de ses activit\u00e9s.<\/p>\n<\/blockquote>\n\n\n\n
Ce m\u00e9canisme permet \u00e0 une organisation d\u2019acc\u00e9der au code source d\u2019un logiciel tiers en cas de d\u00e9faillance du fournisseur (faillite, arr\u00eat de support, litige), r\u00e9duisant ainsi le risque de d\u00e9pendance critique. Il s\u2019inscrit dans une logique de r\u00e9duction du risque en garantissant la continuit\u00e9 d\u2019activit\u00e9<\/strong> et en prot\u00e9geant les actifs num\u00e9riques essentiels. L\u2019escrow agreement offre une r\u00e9ponse contractuelle aux menaces pesant sur la disponibilit\u00e9 des solutions logicielles externes, tout en int\u00e9grant une vision \u00e0 long terme de la r\u00e9silience informatique. Il permet \u00e9galement d\u2019anticiper les \u00e9volutions techniques ou juridiques susceptibles d\u2019impacter l\u2019exploitation des syst\u00e8mes. En s\u00e9curisant l\u2019acc\u00e8s aux \u00e9l\u00e9ments vitaux d\u2019un logiciel, cette mesure vient compl\u00e9ter efficacement une politique globale de cybers\u00e9curit\u00e9.<\/p>\n\n\n\n
EN SAVOIR PLUS<\/strong><\/h4>\n\n\n\n
La norme ISO 27005<\/a>
L\u2019escrow agreement face aux risques de cybermenace<\/a>
<\/p>\n\n\n\n<\/p>","protected":false},"excerpt":{"rendered":"
La norme ISO\/IEC 27005 propose une m\u00e9thodologie rigoureuse pour identifier, \u00e9valuer et traiter les risques li\u00e9s \u00e0 la s\u00e9curit\u00e9 de l\u2019information, indispensable pour faire face \u00e0 l\u2019\u00e9volution rapide des menaces.<\/p>","protected":false},"author":1,"featured_media":16176,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[63],"tags":[119,75,130,131,134,133],"class_list":["post-15951","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-cybersecurite","tag-cybermenace","tag-cybersecurite","tag-iso-27005","tag-iso-iec-27005","tag-risque-cyber","tag-securite-systeme-information"],"featured_image_src":{"landsacpe":["https:\/\/continew.fr\/wp-content\/uploads\/2025\/05\/Norme-ISO-27005.png",850,350,false],"list":["https:\/\/continew.fr\/wp-content\/uploads\/2025\/05\/Norme-ISO-27005-463x348.png",463,348,true],"medium":["https:\/\/continew.fr\/wp-content\/uploads\/2025\/05\/Norme-ISO-27005-300x124.png",300,124,true],"full":["https:\/\/continew.fr\/wp-content\/uploads\/2025\/05\/Norme-ISO-27005.png",850,350,false]},"_links":{"self":[{"href":"https:\/\/continew.fr\/en\/wp-json\/wp\/v2\/posts\/15951","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/continew.fr\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/continew.fr\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/continew.fr\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/continew.fr\/en\/wp-json\/wp\/v2\/comments?post=15951"}],"version-history":[{"count":2,"href":"https:\/\/continew.fr\/en\/wp-json\/wp\/v2\/posts\/15951\/revisions"}],"predecessor-version":[{"id":15956,"href":"https:\/\/continew.fr\/en\/wp-json\/wp\/v2\/posts\/15951\/revisions\/15956"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/continew.fr\/en\/wp-json\/wp\/v2\/media\/16176"}],"wp:attachment":[{"href":"https:\/\/continew.fr\/en\/wp-json\/wp\/v2\/media?parent=15951"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/continew.fr\/en\/wp-json\/wp\/v2\/categories?post=15951"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/continew.fr\/en\/wp-json\/wp\/v2\/tags?post=15951"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}