Les normes ISO\/IEC 27001 et ISO\/IEC 27005 font toutes deux parties de la famille des normes ISO 27000, qui porte sur la s\u00e9curit\u00e9 de l’information. Elles sont con\u00e7ues pour \u00eatre compl\u00e9mentaires et visent toutes deux \u00e0 aider les organisations \u00e0 prot\u00e9ger leurs actifs informationnels de mani\u00e8re syst\u00e9matique, durable et adapt\u00e9e aux risques auxquels elles sont expos\u00e9es.<\/p>\n\n\n\n
Les deux normes reposent sur une approche par les risques<\/strong>. En reconnaissant que chaque organisation est expos\u00e9e \u00e0 des menaces diff\u00e9rentes selon son secteur d’activit\u00e9, son environnement, sa taille ou ses technologies utilis\u00e9es, elles recommandent toutes deux d\u2019identifier<\/strong>, d\u2019\u00e9valuer<\/strong> et de traiter<\/strong> les risques pour la s\u00e9curit\u00e9 de l’information. Elles sont toutes deux con\u00e7ues pour \u00eatre utilis\u00e9es dans des contextes organisationnels vari\u00e9s, quels que soient la taille, la structure ou le secteur de l\u2019entreprise.<\/p>\n\n\n\n Elles participent toutes les deux \u00e0 la mise en \u0153uvre d\u2019uncadre structur\u00e9 pour g\u00e9rer la s\u00e9curit\u00e9 de l’information<\/strong>. ISO 27001 fournit ce cadre sous la forme d\u2019un Syst\u00e8me de Management de la S\u00e9curit\u00e9 de l\u2019Information<\/strong> (SMSI), tandis que ISO 27005 fournit les lignes directrices sp\u00e9cifiques pour l\u2019\u00e9tape cl\u00e9 de la gestion des risques au sein de ce syst\u00e8me<\/strong>. Elles partagent des d\u00e9finitions et concepts communs, comme la notion d\u2019actifs, de menaces, de vuln\u00e9rabilit\u00e9s, d\u2019\u00e9valuation des risques, et de traitement des risques, ainsi qu\u2019un vocabulaire harmonis\u00e9 issu de la norme ISO\/IEC 27000 favorisant leur interop\u00e9rabilit\u00e9.<\/p>\n\n\n\n ISO\/IEC 27001<\/strong> est une norme de type \u00ab\u00a0exigences\u00a0\u00bb<\/strong>, c\u2019est-\u00e0-dire qu\u2019elle \u00e9nonce ce qu\u2019une organisation doit mettre en \u0153uvre pour \u00e9tablir<\/strong>, maintenir<\/strong> et am\u00e9liorer<\/strong> un SMSI. Elle est donc con\u00e7ue pour \u00eatre certifiable<\/strong> : une organisation peut faire auditer son SMSI par un organisme tiers pour obtenir une certification officielle ISO 27001. Cette norme couvre l\u2019ensemble du syst\u00e8me de management, y compris le contexte de l\u2019organisation, le leadership, la planification, le support, les op\u00e9rations, l\u2019\u00e9valuation des performances et l\u2019am\u00e9lioration continue.<\/p>\n\n\n\n ISO\/IEC 27005<\/a><\/strong> est quant \u00e0 elle une normed\u2019orientation<\/strong>, non certifiable, qui fournit deslignes directrices pour lagestion des risques li\u00e9s \u00e0 la s\u00e9curit\u00e9 de l\u2019information<\/strong>. Elle ne fixe pas d\u2019exigences, mais propose une d\u00e9marche structur\u00e9e pour identifier<\/strong>, analyser<\/strong>, \u00e9valuer<\/strong>, traiter<\/strong>, surveiller<\/strong> et revoir les risques. Elle permet d\u2019accompagner concr\u00e8tement l\u2019application des clauses 6.1.2 et 6.1.3 de la norme ISO 27001, qui demandent respectivement une \u00e9valuation des risques et un plan de traitement.<\/p>\n\n\n\n ISO 27001 mentionne la gestion des risques comme une \u00e9tape centrale mais ne fournit pas de m\u00e9thode explicite. ISO 27005, \u00e0 l\u2019inverse, est enti\u00e8rement d\u00e9di\u00e9e \u00e0 la gestion des risques et offre un cadre complet, allant de la d\u00e9finition du p\u00e9rim\u00e8tre \u00e0 la communication sur les risques, en passant par l\u2019identification des actifs, menaces, vuln\u00e9rabilit\u00e9s, la quantification des impacts et la priorisation des risques. ISO 27005 laisse une grande flexibilit\u00e9 m\u00e9thodologique. Elle n\u2019impose pas une m\u00e9thode unique d\u2019analyse des risques, mais peut \u00eatre appliqu\u00e9e en combinaison avec d\u2019autres m\u00e9thodes reconnues. En r\u00e9sum\u00e9, ISO 27001<\/strong> donne le cadre g\u00e9n\u00e9ral et les exigences organisationnelles, tandis que ISO 27005<\/a><\/strong> se concentre sur la d\u00e9marche technique et m\u00e9thodologique de gestion des risques. La premi\u00e8re est la norme \u00e0 viser pour obtenir une reconnaissance externe du SMSI<\/strong>, la seconde est un outil strat\u00e9gique<\/strong> pour r\u00e9ussir cette mise en \u0153uvre de mani\u00e8re rigoureuse et adapt\u00e9e au contexte sp\u00e9cifique de l\u2019organisation.<\/p>\n\n\n\n ISO\/IEC 27001<\/a> <\/p>","protected":false},"excerpt":{"rendered":" ISO 27001 donne le cadre g\u00e9n\u00e9ral et les exigences organisationnelles, tandis que ISO 27005 se concentre sur la d\u00e9marche technique et m\u00e9thodologique de gestion des risques. La premi\u00e8re est la norme \u00e0 viser pour obtenir une reconnaissance externe du SMSI, la seconde est un outil strat\u00e9gique…<\/p>","protected":false},"author":1,"featured_media":16174,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[63,97],"tags":[75,135,130,133],"class_list":["post-15957","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-cybersecurite","category-normes","tag-cybersecurite","tag-iso-27001","tag-iso-27005","tag-securite-systeme-information"],"featured_image_src":{"landsacpe":["https:\/\/continew.fr\/wp-content\/uploads\/2025\/05\/Normes-ISO-27001_27005.png",850,350,false],"list":["https:\/\/continew.fr\/wp-content\/uploads\/2025\/05\/Normes-ISO-27001_27005-463x348.png",463,348,true],"medium":["https:\/\/continew.fr\/wp-content\/uploads\/2025\/05\/Normes-ISO-27001_27005-300x124.png",300,124,true],"full":["https:\/\/continew.fr\/wp-content\/uploads\/2025\/05\/Normes-ISO-27001_27005.png",850,350,false]},"_links":{"self":[{"href":"https:\/\/continew.fr\/en\/wp-json\/wp\/v2\/posts\/15957","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/continew.fr\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/continew.fr\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/continew.fr\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/continew.fr\/en\/wp-json\/wp\/v2\/comments?post=15957"}],"version-history":[{"count":4,"href":"https:\/\/continew.fr\/en\/wp-json\/wp\/v2\/posts\/15957\/revisions"}],"predecessor-version":[{"id":15974,"href":"https:\/\/continew.fr\/en\/wp-json\/wp\/v2\/posts\/15957\/revisions\/15974"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/continew.fr\/en\/wp-json\/wp\/v2\/media\/16174"}],"wp:attachment":[{"href":"https:\/\/continew.fr\/en\/wp-json\/wp\/v2\/media?parent=15957"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/continew.fr\/en\/wp-json\/wp\/v2\/categories?post=15957"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/continew.fr\/en\/wp-json\/wp\/v2\/tags?post=15957"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Des finalit\u00e9s et des contenus diff\u00e9rents<\/strong><\/h4>\n\n\n\n
Le niveau de d\u00e9tail comme point de distinction majeur<\/strong><\/h4>\n\n\n\n
EN SAVOIR PLUS<\/strong><\/h4>\n\n\n\n
ISO\/IEC 27005<\/a>
<\/p>\n\n\n\n