Réseau des Centres d’Excellence de l’UIT pour l’Afrique

Ecole Supérieure Africaine des Technologies de l’Information et de la Communication

(ESATIC)

Cours en ligne
Gestion des risques liés à la sécurité de l’information
(Norme ISO/IEC 27005 : Risk manager)

Du 28 février au 12 mars 2022

25/02/2022 Norme ISO/IEC 27005 : Risk manager Tiornon KONATE 1

 CONCEPTS ET DÉFINITIONS LIÉS AU
Jour 1& 2 : MANAGEMENT DU RISQUE

25/02/2022 Norme ISO/IEC 27005 : Risk manager Tiornon KONATE

 LISTE DES ACRONYMES
Système de gestion de contenu ITIL: Information Technology Infrastructure Professional Evaluation and Certification Board
SGC: Library PECB :

CommitteeofSponsoringOrganizationsoftheTreadwayCommis LA Lead Auditor (Return on Investment) : Retour sur investissement

COSO: sion ROI

Organisation internationale de normalisation ISMS Information Security Management

ISO: System

Formationprofessionnellecontinue LI: Lead Implementer (Return on Security Investment) : Retour sur investissement en
sécurité des systèmes d'information
FPC: ROSI

Gestionélectronique des documents NC: Non-conformité (Service management system) : Système de management des
GED: SMS services

Electronic document management system NIST : National Institute of Standards and Sarbanes–Oxley Act
EDM: Technology SOX :

Federal Information Security Management Act OCDE : Organisation de coopération et de Système de Gestion de la Sécurité des Systèmes d'Information
FISMA: développement économiques SGSSI

Generally Accepted Auditing Standards PCI DSS : Payment Card Industry Data Security Integrated Implementation Methodology for Management
GAAS Standard Systemsand Standards) .
IMS2: Méthodologie de mise en œuvre intégrée des systèmes de
Gramm–Leach–BlileyAct PDCA : Planifier-Déployer-Contrôler-Agir management et des normes .
GLBA:

Health Insurance Portability and Accountability Act SGSI Système de Gestion de la Sécurité Système de management de la sécurité de l’information
HIPAA: SMSI:

25/02/2022 Norme ISO/IEC 27005 : Risk manager 1

 PLAN
Concepts et
definitions liés au
management du Programme du
risque Management
I III
du Risque

II IV
Qu’est-ce Concepts liés à
que l’iso? la sécurité de
l’information

25/02/2022 Norme ISO/IEC 27005 : Risk manager 2

 OBJECTIFS PÉDAGOGIQUES
COMPÉTENCES VISÉES :
A la fin de ce module vous serez capable d’acquérir des connaissances sur la notion de
risque, sa définition, la perception des risques, les risques en sécurité de l’information, ainsi
que les principes et les avantages du management du risque selon ISO 27005.

25/02/2022 Norme ISO/IEC 27005 : Risk manager 3

 I-QU’EST-CE QUE L’ISO?

 L’ISO (Organisation internationale de normalisation) est une organisation

internationale non gouvernementale, indépendante, regroupant des organismes
nationaux de normalisation de 167 membres.
 Les résultats finaux des travaux de l’Organisation sont publiés en tant que Normes
internationales.
 Tous les pays membres de l’ISO participent à l’élaboration des normes fondées sur le
consensus , pertinentes pour le marché, soutenant l’innovation et apportant des
solutions aux enjeux mondiaux.
Les normes ISO sont élaborées par des experts mondiaux organisés en comités
techniques (CT) qui comprennent des experts de toutes les régions du monde. Ces
experts négocient tous les aspects de la norme, y compris son domaine d’application,
ses définitions et son contenu .

25/02/2022 Norme ISO/IEC 27005 : Risk manager 4

 I-QU’EST-CE QUE L’ISO?

L’ISO C’EST

24194 Normes internationales couvrant pratiquement

tous les aspects des technologies et de la production.

167 pays Membres , à raison d’un membre

par pays.

802 Comités techniques et sous-comités

chargés de l’élaboration des normes.
Le Comité Technique et sous-comités chargés de l’élaboration des normes du domaine des
Technologies de l'information se nomme ISO/IEC JTC 1.
Les travaux du Joint Technical Committee (JTC) 1 sont consultables à l’adresse
https://www.iso.org/fr/committee/45020.html Source:ISO

25/02/2022 Norme ISO/IEC 27005 : Risk manager 5

 I-1-LA NORME
L'ISO définit une norme comme un document approuvé par un organisme reconnu, élaboré
par consensus par des experts du domaine , et qui fournit des recommandations sur la
conception, l'utilisation ou la performance de produits, processus, services, systèmes ou
personnes.
La norme répond principalement aux questions « POURQUOI » et « QUOI» .
Les normes internationales peuvent indiquer ce qui DOIT être fait, auquel cas elles sont
connues sous le nom de normes «normatives» ou peuvent indiquer ce qui DEVRAIT,
PEUT ou POURRAIT être fait, auquel cas elles sont nommées normes «informatives». Une
norme internationale peut comporter à la fois des parties normatives et informatives.
La famille de normes ISO 27000, dédiée à la sécurité de l'information à travers le SMSI ,
comporte trois normes «normatives»(27001 , 27006 ,27009).La norme 27001 est la seule par
rapport à laquelle un organisme peut obtenir une certification.
L’ISO/IEC 27005 est une norme informative, car elle fournit des conseils pour aider les
organismes à satisfaire aux exigences de la norme ISO/IEC 27001.

25/02/2022 Norme ISO/IEC 27005 : Risk manager 6

 I-2-L’ISO 27005 :Norme ou Cadre Méthodologique ?
ISO/IEC 27005 est une norme informative, qui fournit des conseils pour aider les organismes
à satisfaire aux exigences de la norme ISO/IEC 27001.
Une méthodologie est plutôt orientée vers la recherche d'un résultat ,elle est un ensemble
ordonné moyen efficace qui permet d’atteindre des fins précises.
A cet effet la norme précise en Introduction (page v) : « La présente Norme internationale ne
fournit aucune méthodologie spécifique à la gestion de risque en sécurité de l’information. Il
est du ressort de chaque organisation de définir son approche de la gestion de risque, en
fonction, par exemple, du périmètre du SMSI, de l’existant dans le domaine de la gestion de
risques, ou encore du secteur industriel. »
Pour finir , retenons que l’ISO 27005 présente une démarche d’analyse des risques mais elle ne
constitue pas une méthode.
ISO 27005 est une norme intéressante pour une entreprise voulant développer sa propre
méthodologie

25/02/2022 Norme ISO/IEC 27005 : Risk manager 7

 I-3-Différence :Norme et Méthodologique

Source:PECB

25/02/2022 Norme ISO/IEC 27005 : Risk manager 8

 I-4-LA FAMILLE ISO/IEC 27000
a)Une vue des normes ISO 27000 :
 La 27K est un ensemble de normes internationales de sécurité de l’information, destinées à
protéger l’information. Elles découlent d’une recherche de consensus commun sur le
domaine;
 Cependant la conformité à une norme ne garantit pas formellement un niveau de sécurité.
Les normes ne prennent pas en compte l’état de l’art récent et les exigences réglementaires.
27001 • Systèmes de management de la sécurité de l’information
27002 • Code de bonnes pratiques
27004 • Mesures du management de la sécurité
27005 • Gestion des risques
27006 • Exigences pour les organismes qui auditent et certifient les SMSI
27008 • Directives à l'intention des auditeurs des contrôles de sécurité de l'information
27011 • Directives pour l'utilisation d'ISO/IEC 27002 dans l'industrie des
télécommunications )
………

25/02/2022 Norme ISO/IEC 27005 : Risk manager 9

 I-4-LA FAMILLE ISO/IEC 27000
b)Une vue des normes ISO 27000 :
Dans le cadre de la mise en place de la sécurité au sein d’une organisation :
 La norme ISO 27001 permet à une organisation de mettre en œuvre et d’améliorer le
système de management de la sécurité (SMSI) :
• Elle spécifie les exigences pour un SMSI (article 4 à 10) ,les exigences sont écrites à
l’impératif du verbe devoir : « DOIT »;
• L’annexe A comprend 14 articles qui contiennent 35 objectifs de mesure et 114
mesures;
• Une certification ISO 27001 délivrée par un organisme certificateur accrédité garantie
suite à un audit qu’une organisation a bien appliquée les exigences de la norme .
 La norme ISO 27002 définit un ensemble de « bonnes pratiques » en matière de
sécurité répartie en plusieurs chapitres, l’organisation dispose :
• d’un référentiel de mise en œuvre ;
• d’une « check-list » en cas d’audit.
25/02/2022 Norme ISO/IEC 27005 : Risk manager 10
 I-5-LA NORME ISO/IEC 27005
La norme ISO 27005 définit des lignes directrices relatives à la gestion des risques de
sécurité dans une organisation.
ISO 27005 est un guide de mise en œuvre de la partie appréciation des risques de la
sécurité de l'information de l'ISO 27001 , elle ne fournit pas de méthodes spécifiques
pour la gestion et l’appréciation des risques en sécurité de l'information, il appartient à
chaque organisme de sélectionner ou d’identifier une méthode qui correspond à leur
approche de gestion des risques (en tenant compte du périmètre d’application de son
SMSI, de son contexte de gestion des risques, du secteur industriel, des ressources
disponibles, etc.).
La 27005 c’est 64 pages: 28 pages normatives, Chap. 1 à 12 et 36 pages d'annexes A à F.
Guide la mise
Elément entrée Action Elément de sortie
en oeuvre

Identifie toute Décrit l’activité Fournit des directives sur Identifie toute
information requise la façon d’exécuter l’action information obtenue après
pour réaliser l’activité la réalisation de l’activité
STRUCTURE DE ISO/IEC 27005 , article 4 à 12

25/02/2022 Norme ISO/IEC 27005 : Risk manager 11

 I-5-LA NORME ISO/IEC 27005
STRUCTURE DE ISO/IEC 27005
La 27005 contient la description du processus de gestion du risque en sécurité de
l’information et de ses activités.
Les informations générales sont fournies dans l’Article 5.
Un aperçu général du processus de gestion du risque en sécurité de l’information est donné
dans l’Article 6.
Toutes les activités liées à la gestion du risque en sécurité de l’information, telles que
présentées dans l’Article 6, sont ensuite décrites dans les articles suivants :
établissement du contexte dans l’Article 7 ;
 appréciation du risque dans l’Article 8 ;
 traitement du risque dans l’Article 9 ;
acceptation du risque dans l’Article 10 ;
communication du risque dans l’Article 11 ;
surveillance et réexamen du risque dans l’Article 12.

25/02/2022 Norme ISO/IEC 27005 : Risk manager 12

 EXERCICE 1:Mythes et réalités - Gestion des risques (20min)
Pour chacun des énoncés suivants, indiquez si vous pensez qu'ils sont vrais ou faux et justifiez
votre réponse :
1. Les organismes sont davantage exposés aux risques aujourd'hui qu'il y a cinq ans.
2. Un risque ne peut exister sans une menace.
3. La plupart des risques peuvent être prévus.
4. Le risque est principalement une question de perception.
5. Il est possible d'éliminer entièrement le risque.
6. Un bon gestionnaire sait comment prendre des risques.
7. Une analyse de risque est toujours subjective, en fonction de son contexte, des seuils
d'acceptation, etc.
8. Une analyse quantitative du risque fournit des résultats plus pertinents qu'une analyse
qualitative.
9. La culture de l’appréciation des risques reconnaît le droit à l’erreur.
10. Le risque peut être positif (opportunité) ou négatif (menace) pour un organisme.
25/02/2022 Norme ISO/IEC 27005 : Risk manager 13
 II-CONCEPTS ET DÉFINITIONS LIÉS AU MANAGEMENT DU RISQUE

GÉRER LES RISQUES : POURQUOI ?

Objectifs cités dans la norme ISO/IEC 27005 :
En introduction , au chapitre 1 – Domaine d’application :
La présente Norme internationale … est conçue pour aider à la mise en place de la
sécurité de l’information basée sur une approche de gestion de risque;
Dans les considérations générales (par 7.1) :
Il est essentiel de déterminer l'objectif de la gestion du risque en sécurité de l'information
puisqu'il influence l'ensemble du processus .
L’objectif peut être :
• une réponse aux exigences d'un SMSI;
• la conformité avec la loi et la preuve de la mise en œuvre du devoir de précaution;
• la préparation d’un plan de continuité de l’activité;
• la préparation d’un plan de réponse aux incidents;
• la description des exigences en matière de sécurité de l’information pour un produit, un
service ou un mécanisme.
25/02/2022 Norme ISO/IEC 27005 : Risk manager 14
 II-CONCEPTS ET DÉFINITIONS LIÉS AU MANAGEMENT DU RISQUE

CONCEPTS DE RISQUE
Le risque est la possibilité de subir une perte. Il est lié à un événement qui pourrait avoir des
conséquences négatives ou à une situation où une personne pourrait nuire d'une façon ou d'une autre à
une organisation.
Le risque est présent dans toute activité humaine ,il est géré tout le temps consciemment où
inconsciemment ,en faisant des choix.
Définition scientifique du risque
Selon le mathématicien ,Daniel Bernoulli (1738) «Le risque est une attente mathématique
d'une fonction de probabilité d'événements.»
Autrement ,le risque est la combinaison de la probabilité d'un évènement et de ses conséquences .
Le terme «risque» est généralement utilise uniquement lorsqu'il existe au moins la possibilité de
conséquences négatives.
Dans certaines situations, le risque provient de la possibilité d'un écart par rapport au résultat ou a
l'évènement attendu. La gestion des risques est le processus continu d'identification des risques et la
mise en œuvre des plans pour y répondre.

25/02/2022 Norme ISO/IEC 27005 : Risk manager 15

 II-CONCEPTS ET DÉFINITIONS LIÉS AU MANAGEMENT DU RISQUE
CONCEPTS DE RISQUE (Suite)
L’ISO/IEC 27000 ,article 3.61 définit le risque comme un effet de l’incertitude
sur les objectifs.
Les événements peuvent avoir une vision négative, une vision positive ou les deux.
On peut simplement avoir une vision «neutre»
Note importante tirée du ISO Guide 73:2009 :
1.vision positive L’effet est l’écart, positif ou négatif, par rapport à ce qui est
Gain potentiel attendu. (l’impact qu’un risque se manifeste).
L'incertitude est l'état, même partiel, de défaut d'information
2.vision neutre concernant la compréhension ou la connaissance d’un
Vraisemblance événement, de ses conséquences ou de sa vraisemblance.
d’événement Les objectifs peuvent avoir différents aspects et peuvent
3.vision négative concerner différents niveaux (niveau stratégique, niveau d’un
projet, d’un produit, d’un processus ou d’un organisme tout
Perte potentiel entier).
25/02/2022 Norme ISO/IEC 27005 : Risk manager 16
 II-CONCEPTS ET DÉFINITIONS LIÉS AU MANAGEMENT DU RISQUE
CONCEPTS DE RISQUE (Suite)
Exemples de risque et menaces
Les virus et malwares
Les emails frauduleux
Le piratage
La malversation.
La perte d'informations VIRUS L'ESPIONNAGE INCENDIE INONDATION
confidentielles INFORMATIQUE INDUSTRIEL
L'erreur de manipulation
Le risque physique de perte ou vol.
Un événement considéré comme ayant un impact négatif est un risque qui pourrait
entraver la création de valeur ou détruire la valeur existante d'un organisme.
Tout ce qui peut exploiter une vulnérabilité peut être une menace .

25/02/2022 Norme ISO/IEC 27005 : Risk manager 17

 II-CONCEPTS ET DÉFINITIONS LIÉS AU MANAGEMENT DU RISQUE
CONCEPTS DE RISQUE (Suite)
Les vulnérabilités: Selon l’ISO 27000 « Faille dans un actif ou dans une mesure de sécurité qui peut
être exploitée par une menace ».
Une menace est une cause potentielle d'incident indésirable , qui peut nuire à un système
ou à l'organisation (selon l’ISO 27000 ,clause 2.83 ).
Un actif est quelque chose qui a une valeur pour l'organisme, notamment :
des informations, des logiciels, des périphériques physiques, des services, des personnes
et de leurs qualifications, de leurs compétences et de leur expérience, les actifs
incorporels, etc.
Un impact est un changement négatif pénalisant le niveau des objectifs métier atteints.

25/02/2022 Norme ISO/IEC 27005 : Risk manager 18

 II-CONCEPTS ET DÉFINITIONS LIÉS AU MANAGEMENT DU RISQUE
CONCEPTS DE RISQUE (Suite)
Menaces humaines: Source de la menace ,motivation et actions de menace

Source:PECB

25/02/2022 Norme ISO/IEC 27005 : Risk manager 19

 II-CONCEPTS ET DÉFINITIONS LIÉS AU MANAGEMENT DU RISQUE
CONCEPTS DE RISQUE (Suite)
Menaces humaines: Source de la menace ,motivation et actions de menace

Source:PECB

25/02/2022 Norme ISO/IEC 27005 : Risk manager 20

 II-CONCEPTS ET DÉFINITIONS LIÉS AU MANAGEMENT DU RISQUE
CONCEPTS DE LA GESTION DES RISQUES Source: Nicolas Mayer

Les assets sont définis comme étant l’ensemble des biens, actifs, ressources ayant de la
valeur pour l’organisme et nécessaires à son bon fonctionnement. On distingue ici les assets du niveau business des
assets liés au SI.

25/02/2022 Norme ISO/IEC 27005 : Risk manager 21

 II-CONCEPTS ET DÉFINITIONS LIÉS AU MANAGEMENT DU RISQUE

OPPORTUNITÉ DU RISQUE
Si les événements peuvent avoir une vision négative, une vision positive ou une vision
«neutre» , les scénarios de risque peuvent représenter des opportunités pour les
organismes.
L’opportunité est la circonstance qui survient dans l’environnement de l’organisation, et
qui permet une amélioration de sa performance.
La gestion des risques offre l'opportunité de répondre efficacement aux risques et
opportunités associés aux incertitudes auxquelles l'organisme est confronté, améliorant
ainsi la capacité à créer de la valeur pour l'organisme.

25/02/2022 Norme ISO/IEC 27005 : Risk manager 22

 II-CONCEPTS ET DÉFINITIONS LIÉS AU MANAGEMENT DU RISQUE

OPPORTUNITÉ DU RISQUE (Suite)

Source:PECB

La gestion efficace des risques permet de prévoir les risques et d’équilibrer le niveau de
risque acceptable contre les opportunités connexes.
25/02/2022 Norme ISO/IEC 27005 : Risk manager 23
 III-CONCEPTS LIÉS À LA SÉCURITÉ DE L’INFORMATION

SECURITE DE L’INFORMATION
Système d’information : Ensemble des moyens matériels, logiciels et organisationnels qui
permettent de recevoir, de conserver et de traiter l’information (données significatives).
La sécurité de l’information détermine quels informations doivent être protégées ,la
raison pour laquelle elles doivent l’être ,comment les protéger et de quoi elles doivent être
protégées;
En protégeant l’organisation contre les menaces et les vulnérabilités ,la sécurité de
l’information réduit les risques et l’impact de ses actifs.
La sécurité de l’information vise généralement cinq principaux objectifs :
• L'intégrité : garantir que les données sont bien celles que l'on croit être ;
• La disponibilité : maintenir le bon fonctionnement du système d'information;
• La confidentialité : rendre l'information inintelligible à d'autres personnes que les seuls acteurs d’une
transaction;
• La non répudiation : garantir qu'une transaction ne peut être niée;
• L'authentification : assurer que seules les personnes autorisées aient accès aux ressources.

25/02/2022 Norme ISO/IEC 27005 : Risk manager 24

 III-CONCEPTS LIÉS À LA SÉCURITÉ DE L’INFORMATION
RISQUES LIE AUX ACTIFS D’INFORMATION
Le risque lié à la sécurité de l’information est associé à la possibilité que les menaces
exploitent les vulnérabilités d’un actif et nuisent donc à un organisme.
Le risque est souvent exprimé en termes de combinaison des conséquences d’un
événement et de sa « vraisemblance ».
Dans un contexte de SMSI, les risques liés à la sécurité de l’information peuvent être
exprimés comme aspects négatifs associés à la menace.
Vraisemblance Conséquence
(Occurrence) RISQUE
(Impact
La vraisemblance varie selon l’exposition aux menaces, le niveau de vulnérabilité et les
mesures de sécurité.
La première cible de la sécurité de l'information n'est pas d'accroître les opportunités ou
les résultats positifs, mais de limiter les possibilités de perte.
25/02/2022 Norme ISO/IEC 27005 : Risk manager 25
 III-CONCEPTS LIÉS À LA SÉCURITÉ DE L’INFORMATION

MESURE DE SECURITE
Les mesures de sécurité de l'information comprennent tous processus, politiques,
procédures, lignes directrices, pratiques ou structures organisationnelles, qui peuvent être
de nature administrative, technique, de gestion ou juridique, et qui modifient les risques
pour la sécurité de l'information.
Mesure légale

Mesure de direction Les mesures liées à

Mesure administrative : l'application d'une
Mesure technique la gestion du
la structure loi, d'exigences
pare-feu, organisationnelle personnel, y compris réglementaires ou
systèmes d'alarme, séparation des la formation et d'obligations
caméras de tâches, la rotation des l'encadrement des
contractuelles.
surveillance, systèmes postes, les descriptions employés, les revues
de détection de poste, les processus de direction et les
d'intrusion (IDS) d'approbation audits

25/02/2022 Norme ISO/IEC 27005 : Risk manager 26

 III-CONCEPTS LIÉS À LA SÉCURITÉ DE L’INFORMATION

OBJECTIF D’UNE MESURE DE SECURITE

L’objectif d’une mesure de sécurité est de déclarer en décrivant ce qui est attendu de la
mise en œuvre des mesures de sécurité (ISO 27000, clause 2.17 ).

Source:PECB

25/02/2022 Norme ISO/IEC 27005 : Risk manager 27

 IV-PROGRAMME DU MANAGEMENT DU RISQUE

PRINCIPE DE MANAGEMENT DU RISQUE

Le management du risque: activités coordonnées visant a diriger et piloter un organisme
vis-à-vis du risque.
Le management du risque inclut généralement l'appréciation du risque, le traitement du
risque, l'acceptation du risque et la communication relative au risque.
Le système de management du risque est l’ensemble d‘éléments du système de
management qui peuvent inclure la planification stratégique, la prise de décision et d'autres
processus vis-à-vis du risque.

25/02/2022 Norme ISO/IEC 27005 : Risk manager 28

 IV-PROGRAMME DU MANAGEMENT DU RISQUE

PRINCIPE DE MANAGEMENT DU RISQUE

Les principes de management fournissent les grands axes relatifs aux caractéristiques
d’un management du risque efficace et efficient ,en communiquant sa valeur et en
expliquant son intention et sa finalité.
Intégré

Amelioration continue Structuré et global

Facteurs humains et Adapté

Creation et
culturels
preservation
Meilleure information de la valeur Inclusif
disponible

Dynamique

25/02/2022 Norme ISO/IEC 27005 : Risk manager 29

 IV-PROGRAMME DU MANAGEMENT DU RISQUE

AVANTAGE DU MANAGEMENT DU RISQUE

Le management du risque permet à une organisation de s'assurer qu’elle connaît et
comprend les risques auxquels elle est confrontée.

Source:PECB

25/02/2022 Norme ISO/IEC 27005 : Risk manager 30

 EXERCICE 2

Exercice 2 : Gestion des risques

Décrivez ce que vous considérez comme les trois plus
importants avantages de la gestion des risques en sécurité de
l'information et comment ils peuvent s'aligner sur le
management du risque d'entreprise.

25/02/2022 Norme ISO/IEC 27005 : Risk manager 31

 IV-PROGRAMME DU MANAGEMENT DU RISQUE

PROGRAMME DE GESTION DES RISQUES

La gestion des risques est l'ensemble des processus permettant de gérer le risque sur une
base continue afin de le surveiller et de le maintenir à un niveau acceptable pour l'organisme.
L'appréciation des risques est définie comme le processus permettant d'identifier, d'estimer
et d'évaluer le risque d'un organisme.

Source:PECB

25/02/2022 Norme ISO/IEC 27005 : Risk manager 32

 IV-PROGRAMME DU MANAGEMENT DU RISQUE

PROGRAMME DE GESTION DES RISQUES (Approche processus)

La 27005 adopte le modèle de
processus "Plan-Do-Check-
Act" (PDCA) ou la roue de
Deming qui est appliquée à la
structure de tous les processus
dans un SMSI.
Planifier
Processus MSI
Processus de gestion du risque en sécurité
de l'information
Planifier (établir le système de Établir la politique, les objectifs, les procédures
management) et les processus liés à la gestion des risques et à
l'amélioration
de la sécurité de l'information
Déployer (mettre en œuvre et Mettre en œuvre et appliquer la
exploiter le système de management) politique, les contrôles, les processus et les
procédures du système de management
Contrôler (surveiller et réexaminer le Évaluer et, si applicable, mesurer les

Agir
P système de management) performances du processus par rapport à la
politique, aux objectifs et à l'expérience
Déployer pratique, et communiquer
A D
les résultats à la direction pour examen
Agir (maintenir et améliorer le Prendre des actions correctives et préventives,
système de management) sur la base des résultats de l'audit interne et de la
C revue de direction, pour améliorer
Contrôler continuellement le système

25/02/2022 Norme ISO/IEC 27005 : Risk manager 33

 IV-PROGRAMME DU MANAGEMENT DU RISQUE

PLANIFICATION D’UN PROGRAMME DE GESTION DES RISQUES

La planification et les responsabilités en matière de gestion des risques en sécurité de
l'information au sein de l'organisme devraient être mises en œuvre et maintenues.

ELEMENT D’ENTRE ACTION ELEMENTS DE SORTIE

Toutes informations • Obtenir un mandat de la part

de la Direction ;
relatives à
• Définir les responsabilités ;
l'organismes
• Publier une politique de
permettant gestion des risques ;
l'établissement du
• Choisir une approche et la
contexte de gestion méthodologie d’appreciation
des risques en sécurité des risques ;
de l'information. • Identifier les ressources ;
• Planifier les activités .
• Nommer une personne responsible ;
• Décrire les roles et responsabilités ;
• Etablir une politique de gestion des
risques ;
• Structurer le processus de gestion
des risques ;
• Planifier les activités ;
• Allouer le budget et affecter les
ressources.

25/02/2022 Norme ISO/IEC 27005 : Risk manager 34

 IV-PROGRAMME DU MANAGEMENT DU RISQUE

LISTE DES ACTIVITES

La 27005 adopte le modèle de processus "Plan-Do-Check-Act" (PDCA) ou la roue de
Deming qui est appliquée à la structure de tous les processus dans un SMSI.

Source:PECB
25/02/2022 Norme ISO/IEC 27005 : Risk manager 35
 IV-PROGRAMME DU MANAGEMENT DU RISQUE

COMPRENDRE L'ORGANISME ET SON CONTEXTE

La conception du cadre organisationnel de management du risque comprend l’analyse
et la compréhension du contexte externe et interne de l’organisme.
Comprendre l'organisme est indispensable avant de commencer un projet d'évaluation des
risques.
L'identification de la structure interne de l'organisme aidera à comprendre le rôle et
l'importance de chaque division dans le processus de réalisation des objectifs de l'organisme.
ISO/IEC 27005, article 7.1 Établissement du contexte
Élément d’entrée : Toutes les informations relatives à l'organisme permettant
l'établissement du contexte de la gestion des risques en sécurité de l'information.
Action: Il convient d'établir le contexte externe et interne de la gestion des risques en
sécurité de l'information, de définir le domaine d'application et ses limites .

25/02/2022 Norme ISO/IEC 27005 : Risk manager 36

 IV-PROGRAMME DU MANAGEMENT DU RISQUE

ÉTABLISSEMENT DU CONTEXTE
LISTE DES ACTIVITES

Source:PECB
25/02/2022 Norme ISO/IEC 27005 : Risk manager 37
 IV-PROGRAMME DU MANAGEMENT DU RISQUE
ÉTABLISSEMENT DU CONTEXTE EXTERNE ET INTERNE DE L’ORGANISME.
Plusieurs modèles ont été développés pour analyser et comprendre le contexte stratégique
d'un organisme.
Puisque la 27005 n’offrent pas de méthode pratique pour analyser le contexte d’un
organisme ,l’organisme est libre de choisir les outils qu’il juge les plus utiles.
Plusieurs méthodologies existent pour comprendre comment un organisme fonctionne ,il
est important d’identifier les caractéristiques des facteurs environnementaux externes et
internes qui vont influencer la gestion des risques: mission ,activités principales ,parties
prenantes ,etc.
Ci-dessous certains des modèles les plus utilisées :
• Analyse SWOT (Forces-Faiblesses-Opportunités-Menaces) ;
• Analyse PEST (politique, économique, social, technologique) ;
• L'analyse des cinq forces de Porter .

25/02/2022 Norme ISO/IEC 27005 : Risk manager 38

 IV-PROGRAMME DU MANAGEMENT DU RISQUE
ÉTABLISSEMENT DU CONTEXTE EXTERNE ET INTERNE DE L’ORGANISME.
LE CONTEXTE EXTERNE COMPREND LE CONTEXTE INTERNE COMPREND

L’environnement culturel ,social La gouvernance ,la structure

,politique ,légal ,réglementaire
,financier ,technologique ,naturel et
concurrentiel ,au niveau international
,national régional ou local.
Les facteurs et tendances ayant un
impact déterminant sur les objectifs de
l’organisme ;
Les relations avec les parties prenantes
externes ,les perceptions et valeurs
relatives à celles-ci.
organisationnelle ,les rôles et les
responsabilités ;
Les politiques, objectifs et stratégies ;
Les capacités ,en termes de ressources et de
connaissances ;
Le système d’information ,flux d’information
et processus de prise de décision;
Les relations avec les parties prenantes
internes ;
La culture de l’organisme ;
Etc….

25/02/2022 Norme ISO/IEC 27005 : Risk manager 39

 BIBLIOGRAPHIE
• ISO/IEC Guide 73:2002, Risk management – Vocabulary – Guidelines for use in standards
• La norme ISO/CEI 27005:2008
• Cours de formation PECB sur la Norme ISO/IEC 27005 : Risk manager
• Cours de formation PECB sur la norme ISO/CEI 27001
• N. Mayer and J-P. Humbert, "La gestion des risques de sécurité des systèmes d'informations", MISC 24,
March-April 2006.
• https://www.iso.org/fr/isoiec-27001-information-security.html

25/02/2022 Norme ISO/IEC 27005 : Risk manager 40

 Merci de votre
attention

25/02/2022 Norme ISO/IEC 27005 : Risk manager