ISO IEC 27005 2022 (FR)

Licensed to bit / sonia kallel (sonia.kallel@bit.
tn)
ISO Store Order: OP-639814 / Downloaded: 2022-10-26
Single user licence only, copying and networking prohibited.
NORME ISO/IEC
INTERNATIONALE 27005
Quatrième édition
2022-10
Sécurité de l'information,
cybersécurité et protection de la
vie privée — Préconisations pour la
gestion des risques liés à la sécurité
de l'information
Information security, cybersecurity and privacy protection —
Guidance on managing information security risks
Numéro de référence
ISO/IEC 27005:2022(F)
© ISO/IEC 2022
Licensed to bit / sonia kallel (sonia.kallel@bit.tn)
ISO/IEC 27005:2022(F)
DOCUMENT PROTÉGÉ PAR COPYRIGHT

© ISO/IEC 2022
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél.: +41 22 749 01 11
Fax: +41 22 749 09 47
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
ii © ISO/IEC 2022 – Tous droits réservés

ISO/IEC 27005:2022(F)
Sommaire Page
Avant-propos................................................................................................................................................................................................................................v
Introduction............................................................................................................................................................................................................................... vi
1 Domaine d'application.................................................................................................................................................................................... 1
2 Références normatives................................................................................................................................................................................... 1
3 Termes et définitions....................................................................................................................................................................................... 1
3.1 Termes associés aux risques liés à la sécurité de l'information.................................................................. 1
3.2 Termes relatifs à la gestion des risques liés à la sécurité de l'information....................................... 5
4 Structure du présent document........................................................................................................................................................... 7
5 Gestion des risques liés à la sécurité de l'information................................................................................................ 8
5.1 Processus de gestion des risques liés à la sécurité de l'information....................................................... 8
5.2 Cycles de gestion des risques liés à la sécurité de l'information................................................................. 9
6 Établissement du contexte...................................................................................................................................................................... 10
6.1 Considérations organisationnelles..................................................................................................................................... 10
6.2 Identification des exigences de base des parties intéressées..................................................................... 10
6.3 Application de l'appréciation du risque.......................................................................................................................... 10
6.4 Établir et maintenir les critères de risques liés à la sécurité de l'information........................... 11
6.4.1 Généralités............................................................................................................................................................................. 11
6.4.2 Critères d'acceptation du risque........................................................................................................................ 11
6.4.3 Critères de réalisation des appréciations du risque lié à la sécurité de
l'information........................................................................................................................................................................ 13
6.5 Choix d'une méthode appropriée......................................................................................................................................... 16
7 Processus d'appréciation du risque lié à la sécurité de l'information..................................................... 17
7.1 Généralités............................................................................................................................................................................................... 17
7.2 Identification des risques liés à la sécurité de l'information...................................................................... 17
7.2.1 Identification et description des risques liés à la sécurité de l'information............... 17
7.2.2 Identification des propriétaires du risque................................................................................................ 20
7.3 Analyse du risque lié à la sécurité de l'information............................................................................................ 20
7.3.1 Généralités............................................................................................................................................................................. 20
7.3.2 Appréciation des conséquences potentielles.......................................................................................... 21
7.3.3 Vraisemblance de l'appréciation........................................................................................................................ 21
7.3.4 Détermination des niveaux de risque............................................................................................................ 23
7.4 Évaluation du risque lié à la sécurité de l'information..................................................................................... 24
7.4.1 Comparaison des résultats d'analyse du risque avec les critères de risque............... 24
7.4.2 Classement des risques analysés par ordre de priorité en vue de leur
traitement............................................................................................................................................................................... 24
8 Processus de traitement du risque lié à la sécurité de l'information....................................................... 25
8.1 Généralités............................................................................................................................................................................................... 25
8.2 Sélection des options appropriées de traitement du risque lié à la sécurité de
l'information........................................................................................................................................................................................... 25
8.3 Détermination de l'ensemble des moyens de maîtrise nécessaires pour la mise en
œuvre des options de traitement du risque lié à la sécurité de l'information............................. 26
8.4 Comparaison des moyens de maîtrise déterminés avec celles de l'ISO/
IEC 27001:2022, Annexe A......................................................................................................................................................... 29
8.5 Préparation d'une déclaration d'applicabilité.......................................................................................................... 30
8.6 Plan de traitement du risque lié à la sécurité de l'information................................................................. 31
8.6.1 Formulation du plan de traitement du risque........................................................................................ 31
8.6.2 Approbation par les propriétaires du risque.......................................................................................... 32
8.6.3 Acceptation du risque résiduel en matière de sécurité de l'information....................... 32
9 Réalisation des activités opérationnelles............................................................................................................................... 33
9.1 Réalisation du processus d'appréciation du risque lié à la sécurité de l'information........... 33
9.2 Réalisation du processus de traitement du risque lié à la sécurité de l'information............ 34
© ISO/IEC 2022 – Tous droits réservés iii

ISO/IEC 27005:2022(F)
10 Exploiter les processus SMSI connexes......................................................................................................................................34

10.1 Contexte de l'organisme............................................................................................................................................................... 34
10.2 Leadership et engagement......................................................................................................................................................... 35
10.3 Communication et concertation............................................................................................................................................ 36
10.4 Informations documentées....................................................................................................................................................... 38
10.4.1 Généralités............................................................................................................................................................................. 38
10.4.2 Informations documentées concernant les processus................................................................... 38
10.4.3 Informations documentées concernant les résultats...................................................................... 39
10.5 Surveillance et revue...................................................................................................................................................................... 39
10.5.1 Généralités............................................................................................................................................................................. 39
10.5.2 Surveillance et revue des facteurs ayant une influence sur les risques......................... 40
10.6 Revue de direction............................................................................................................................................................................ 41
10.7 Action corrective................................................................................................................................................................................ 42
10.8 Amélioration continue................................................................................................................................................................... 42
Annexe A (informative) Techniques à l'appui du processus d'appréciation du risque —
Exemples.................................................................................................................................................................................................................... 44
Bibliographie............................................................................................................................................................................................................................66
iv © ISO/IEC 2022 – Tous droits réservés

ISO/IEC 27005:2022(F)
Avant-propos
L'ISO (Organisation internationale de normalisation) et l’IEC (Commission électrotechnique
internationale) forment le système spécialisé de la normalisation mondiale. Les organismes
nationaux membres de l'ISO ou de l’IEC participent au développement de Normes internationales
par l'intermédiaire des comités techniques créés par l'organisation concernée afin de s'occuper des
domaines particuliers de l'activité technique. Les comités techniques de l'ISO et de l’IEC collaborent
dans des domaines d'intérêt commun. D'autres organisations internationales, gouvernementales et non
gouvernementales, en liaison avec l'ISO et l’IEC, participent également aux travaux.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont
décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier de prendre note des différents
critères d'approbation requis pour les différents types de documents ISO. Le présent document a
été rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2 (voir
www.iso.org/directives ou www.iec.ch/members_experts/refdocs).
L'attention est attirée sur le fait que certains des éléments du présent document peuvent faire l'objet
de droits de propriété intellectuelle ou de droits analogues. L'ISO et l’IEC ne sauraient être tenues pour
responsables de ne pas avoir identifié de tels droits de propriété et averti de leur existence. Les détails
concernant les références aux droits de propriété intellectuelle ou autres droits analogues identifiés
lors de l'élaboration du document sont indiqués dans l'Introduction et/ou dans la liste des déclarations
de brevets reçues par l'ISO (voir www.iso.org/brevets) ou dans la liste des déclarations de brevets
reçues par l'IEC (voir https://patents.iec.ch).
Les appellations commerciales éventuellement mentionnées dans le présent document sont données
pour information, par souci de commodité, à l’intention des utilisateurs et ne sauraient constituer un
engagement.
Pour une explication de la nature volontaire des normes, la signification des termes et expressions
spécifiques de l'ISO liés à l'évaluation de la conformité, ou pour toute information au sujet de
l'adhésion de l'ISO aux principes de l’Organisation mondiale du commerce (OMC) concernant les
obstacles techniques au commerce (OTC), voir www.iso.org/iso/avant-propos. Pour l'IEC, voir
www.iec.ch/understanding-standards.
Le présent document a été élaboré par le comité technique mixte ISO/IEC JTC 1, Technologies de
l'information, sous-comité SC 27, Sécurité de l'information, cybersécurité et protection de la vie privée.
Cette quatrième édition annule et remplace la troisième édition (ISO/IEC 27005:2018), qui a fait l'objet
d'une révision technique.
Les principales modifications sont les suivantes:
— toutes les recommandations ont été alignées sur l'ISO/IEC 27001:2022 et sur l'ISO 31000:2018;
— la terminologie a été alignée sur celle de l'ISO 31000:2018;
— la structure des articles et paragraphes a été ajustée selon la mise en page de l'ISO/IEC 27001:2022;
— des concepts de scénario de risque ont été ajoutés;
— une distinction est faite entre l'approche basée sur les événements et l'approche basée sur les biens
en matière d'identification des risques;
— le contenu des annexes a été révisé et réorganisé au sein d'une seule annexe.
Il convient que l'utilisateur adresse tout retour d'information ou toute question concernant le présent
document à l'organisme national de normalisation de son pays. Une liste exhaustive desdits organismes
se trouve à l'adresse www.iso.org/fr/members.html et www.iec.ch/national-committees.
© ISO/IEC 2022 – Tous droits réservés v

ISO/IEC 27005:2022(F)
Introduction
Le présent document fournit des recommandations concernant:
— la mise en œuvre des exigences en matière de risques liés à la sécurité de l'information spécifiées
dans l'ISO/IEC 27001;
— les références essentielles incluses dans les normes développées par l'ISO/IEC JTC 1/SC 27 concernant
les activités de gestion des risques liés à la sécurité de l'information;
— les actions qui traitent des risques liés à la sécurité de l'information (voir l'ISO/IEC 27001:2022, 6.1
et Article 8);
— la mise en œuvre des recommandations en matière de gestion des risques de l'ISO 31000 dans le
contexte de la sécurité de l'information.
Le présent document contient des recommandations détaillées concernant la gestion des risques et
complète les recommandations de l'ISO/IEC 27003.
Le présent document est conçu pour être utilisé par les entités suivantes:
— les organismes qui prévoient d'établir et de mettre en œuvre un système de gestion de la sécurité de
l'information conformément à l'ISO/IEC 27001;
— les personnes chargées de la gestion des risques liés à la sécurité de l'information ou impliquées dans
celle-ci (par exemple les personnes spécialisées dans la gestion de ces risques, les propriétaires du
risque et les autres parties intéressées);
— les organismes qui ont l'intention d'améliorer leur processus de gestion des risques liés à la sécurité
de l'information.
vi © ISO/IEC 2022 – Tous droits réservés

NORME INTERNATIONALE ISO/IEC 27005:2022(F)
Sécurité de l'information, cybersécurité et protection de

la vie privée — Préconisations pour la gestion des risques
liés à la sécurité de l'information
1 Domaine d'application
Le présent document fournit des recommandations pour aider les organismes à:
— satisfaire aux exigences de l'ISO/IEC 27001 concernant les actions visant à traiter les risques liés à
la sécurité de l'information;
— réaliser des activités de gestion des risques liés à la sécurité de l'information, en particulier
l'appréciation et le traitement de ces risques.
Le présent document est applicable à tous les organismes, quels que soient leur type, leur taille ou leur
secteur.
2 Références normatives
Les documents suivants sont cités dans le texte de sorte qu’ils constituent, pour tout ou partie de leur
contenu, des exigences du présent document. Pour les références datées, seule l’édition citée s’applique.
Pour les références non datées, la dernière édition du document de référence s'applique (y compris les
éventuels amendements).
ISO/IEC 27000, Technologies de l'information — Techniques de sécurité — Systèmes de management de la
sécurité de l'information — Vue d'ensemble et vocabulaire
3 Termes et définitions
Pour les besoins du présent document, les termes et définitions de l'ISO/IEC 27000 ainsi que les
suivants, s'appliquent.
L’ISO et l’IEC tiennent à jour des bases de données terminologiques destinées à être utilisées en
normalisation, consultables aux adresses suivantes:
— ISO Online browsing platform: disponible à l’adresse https://w ww.iso.org/obp
— IEC Electropedia: disponible à l’adresse https://w ww.electropedia.org/
3.1 Termes associés aux risques liés à la sécurité de l'information

3.1.1
contexte externe
environnement externe dans lequel l'organisme cherche à atteindre ses objectifs
Note 1 à l'article: Le contexte externe peut comprendre les aspects suivants:
— l'environnement social, culturel, politique, légal, réglementaire, financier, technologique, économique,

géologique, au niveau international, national, régional ou local;
— les facteurs et tendances clés ayant une incidence sur les objectifs de l'organisme;
— les relations avec les parties intéressées externes, leurs perceptions, leurs valeurs, leurs besoins et leurs
attentes;
© ISO/IEC 2022 – Tous droits réservés 1

ISO/IEC 27005:2022(F)
— les relations contractuelles et les engagements;
— la complexité des réseaux et des dépendances.
[SOURCE: Guide ISO 73:2009, 3.3.1.1, modifié — La Note 1 à l'article a été modifiée.]
3.1.2
contexte interne
environnement interne dans lequel l'organisme cherche à atteindre ses objectifs
Note 1 à l'article: Le contexte interne peut comprendre:
— la vision, la mission et les valeurs;
— la gouvernance, l'organisation, les rôles et responsabilités;
— la stratégie, les objectifs et les politiques;
— la culture de l'organisme;
— les normes, les lignes directrices et les modèles adoptés par l'organisme;
— les capacités, en termes de ressources et de connaissances (par exemple capital, temps, personnel, processus,
systèmes et technologies);
— les données, les systèmes d'information et la circulation de l'information;
— les relations avec les parties intéressées internes, en tenant compte de leurs perceptions et de leurs valeurs;
— les relations contractuelles et les engagements;
— les interdépendances et les interconnexions internes.
3.1.3
risque
effet de l'incertitude sur les objectifs
Note 1 à l'article: Un effet est un écart, positif ou négatif, par rapport à un attendu.
Note 2 à l'article: Les objectifs peuvent avoir différents aspects, être de catégories différentes, et peuvent
concerner différents niveaux.
Note 3 à l'article: L'incertitude est l'état, même partiel, de manque d'information qui entrave la compréhension ou
la connaissance d'un événement (3.1.11), de ses conséquences (3.1.14) ou de sa vraisemblance (3.1.13).
Note 4 à l'article: Un risque est généralement exprimé en termes de sources de risque (3.1.6), événements
potentiels avec leurs conséquences et leur vraisemblance.
Note 5 à l'article: Dans le contexte des systèmes de gestion de la sécurité de l'information, les risques liés à la
sécurité de l'information peuvent être exprimés comme l'effet de l'incertitude sur les objectifs de sécurité de
l'information.
Note 6 à l'article: Les risques liés à la sécurité de l'information sont généralement associés à un effet négatif de
l'incertitude sur les objectifs de sécurité de l'information.
Note 7 à l'article: Le risque de sécurité de l'information peut être associé à la possibilité que des menaces (3.1.9)
exploitent les vulnérabilités (3.1.10) d'un bien informationnel ou d'un groupe de biens informationnels et portent
ainsi un préjudice à un organisme.
[SOURCE: ISO 31000:2018, 3.1, modifié — La phrase «Il peut être positif, négatif ou les deux à la fois, et
traiter, créer ou entraîner des opportunités et des menaces» a été remplacée par «positif ou négatif»
dans la Note 1 à l'article; la Note 3 à l'article a été renumérotée en Note 4 à l'article; et les Notes 3, 5, 6 et
7 à l'article ont été ajoutées.]
2 © ISO/IEC 2022 – Tous droits réservés

ISO/IEC 27005:2022(F)
3.1.4
scénario de risque
séquence ou combinaison d'événements (3.1.11) qui conduisent de la cause initiale à la
conséquence indésirable (3.1.14)
[SOURCE: ISO 17666:2016, 3.1.13, modifié — La Note 1 à l'article a été supprimée.]
3.1.5
propriétaire du risque
personne ou entité ayant la responsabilité du risque (3.1.3) et ayant autorité pour le gérer
[SOURCE: Guide ISO 73:2009, 3.5.1.5]
3.1.6
source de risque
tout élément qui, seul ou combiné à d'autres, est susceptible d'engendrer un risque (3.1.3)
Note 1 à l'article: Une source de risque peut être de l'un de ces trois types:
— humain;
— environnemental;
— technique.
Note 2 à l'article: Une source de risque de type humain peut être volontaire ou involontaire.
[SOURCE: ISO 31000:2018, 3.4, modifié — Les Notes 1 et 2 à l'article ont été ajoutées.]
3.1.7
critères de risque
termes de référence vis-à-vis desquels l'importance d'un risque (3.1.3) est évalué
Note 1 à l'article: Les critères de risque sont fondés sur les objectifs de l'organisme ainsi que sur le contexte
externe (3.1.1) et interne (3.1.2).
Note 2 à l'article: Les critères de risque peuvent être issus de normes, de lois, de politiques et d'autres exigences.
[SOURCE: Guide ISO 73:2009, 3.3.1.3]

3.1.8
goût du risque
importance et type de risque (3.1.3) qu'un organisme est prêt à saisir ou à préserver
[SOURCE: Guide ISO 73:2009, 3.7.1.2]
3.1.9
menace
cause potentielle d'un incident lié à la sécurité de l'information (3.1.12) qui peut entraîner des dommages
pour un système ou porter préjudice à un organisme
3.1.10
vulnérabilité
faille dans un bien ou dans un moyen de maîtrise (3.1.16) qui peut être exploitée de sorte qu'un événement
(3.1.11) ayant une conséquence (3.1.14) négative se produise
3.1.11
événement
occurrence ou changement d'un ensemble particulier de circonstances
Note 1 à l'article: Un événement peut être unique ou se reproduire et peut avoir plusieurs causes et plusieurs
conséquences (3.1.14).

ISO/IEC 27005:2022(F)
Note 2 à l'article: Un événement peut être quelque chose qui est attendu, mais qui ne se produit pas, ou quelque
chose auquel on ne s'attend pas, mais qui se produit.
[SOURCE: ISO 31000:2018, 3.5, modifié — La Note 3 à l'article a été supprimée.]

3.1.12
incident lié à la sécurité de l'information
un ou plusieurs événements liés à la sécurité de l'information, indésirables ou inattendus, présentant
une probabilité forte de compromettre les opérations liées à l'activité de l'organisme et de menacer la
sécurité de l'information
3.1.13
vraisemblance
possibilité que quelque chose se produise
Note 1 à l'article: Dans la terminologie de la gestion des risques, le mot «vraisemblance» est utilisé pour indiquer
la possibilité que quelque chose se produise, que cette possibilité soit définie, mesurée ou déterminée de façon
objective ou subjective, qualitative ou quantitative, et qu'elle soit décrite au moyen de termes généraux ou
mathématiques (telles une probabilité ou une fréquence sur une période donnée).
Note 2 à l'article: Le terme anglais «likelihood» (vraisemblance) n'a pas d'équivalent direct dans certaines langues
et c'est souvent l'équivalent du terme «probability» (probabilité) qui est utilisé à la place. En anglais, cependant,
le terme «probability» (probabilité) est souvent limité à son interprétation mathématique. Par conséquent, dans
la terminologie de la gestion des risques, le terme «vraisemblance» est utilisé avec l'intention qu'il fasse l'objet
d'une interprétation aussi large que celle dont bénéficie le terme «probability» (probabilité) dans de nombreuses
langues autres que l'anglais.
[SOURCE: ISO 31000:2018, 3.7]

3.1.14
conséquence
effet d'un événement (3.1.11) affectant les objectifs
Note 1 à l'article: Une conséquence peut être certaine ou incertaine et peut avoir des effets positifs ou négatifs,
directs ou indirects, sur l'atteinte des objectifs.
Note 2 à l'article: Les conséquences peuvent être exprimées de façon qualitative ou quantitative.
Note 3 à l'article: Toute conséquence peut déclencher des effets en cascade et cumulatifs.
[SOURCE: ISO 31000:2018, 3.6]

3.1.15
niveau de risque
importance d'un risque (3.1.3) exprimée en termes de combinaison des conséquences (3.1.14) et de leur
vraisemblance (3.1.13)
[SOURCE: Guide ISO 73:2009, 3.6.1.8, modifié — «importance d'un risque ou combinaison de risques» a
été remplacé par «importance d'un risque».]
3.1.16
moyen de maîtrise
action qui maintient et/ou modifie un risque (3.1.3)
Note 1 à l'article: Un moyen de maîtrise inclut, sans toutefois s'y limiter, n'importe quels processus, politique,
dispositif, pratique ou autres conditions et/ou actions qui maintiennent et/ou modifient un risque.
Note 2 à l'article: Un moyen de maîtrise n'aboutit pas toujours nécessairement à la modification voulue ou
supposée.
[SOURCE: ISO 31000:2018, 3.8]

ISO/IEC 27005:2022(F)
3.1.17
risque résiduel
risque (3.1.3) subsistant après le traitement du risque (3.2.7)
Note 1 à l'article: Un risque résiduel peut inclure un risque non identifié.
Note 2 à l'article: Les risques résiduels peuvent également inclure des risques pris.
3.2 Termes relatifs à la gestion des risques liés à la sécurité de l'information

3.2.1
processus de management du risque
application systématique de politiques, procédures et pratiques de management aux activités de
communication, de concertation, d'établissement du contexte, ainsi qu'aux activités d'identification,
d'analyse, d'évaluation, de traitement, de surveillance et de revue des risques (3.1.3)
[SOURCE: Guide ISO 73:2009, 3.1]
3.2.2
communication et concertation relatives au risque
ensemble de processus itératifs et continus mis en œuvre par un organisme afin de fournir, partager ou
obtenir des informations et d'engager un dialogue avec les parties intéressées concernant la gestion des
risques (3.1.3)
Note 1 à l'article: Ces informations peuvent concerner l'existence, la nature, la forme, la vraisemblance (3.1.13),
l'importance, l'évaluation, l'acceptation et le traitement du risque
Note 2 à l'article: La concertation est un processus de communication argumentée à double sens entre un
organisme et ses parties intéressées, sur une question donnée avant de prendre une décision ou de déterminer
une orientation concernant ladite question. La concertation est:
— un processus dont l'effet sur une décision s'exerce par l'influence plutôt que par le pouvoir;
— une contribution à une prise de décision, et non une prise de décision conjointe.
3.2.3
appréciation du risque
ensemble du processus d'identification des risques (3.2.4), d'analyse du risque (3.2.5) et d'évaluation du
risque (3.2.6)
[SOURCE: Guide ISO 73:2009, 3.4.1]
3.2.4
identification des risques
processus de recherche, de reconnaissance et de description des risques (3.1.3)
Note 1 à l'article: L'identification des risques comprend l'identification des sources de risque (3.1.6), des
événements (3.1.11), de leurs causes et de leurs conséquences (3.1.14) potentielles.
Note 2 à l'article: L'identification des risques peut faire appel à des données historiques, des analyses théoriques,
des avis d'experts et autres personnes compétentes et tenir compte des besoins des parties intéressées.
[SOURCE: Guide ISO 73:2009, 3.5.1, modifié — «parties intéressées» a remplacé «parties prenantes»
dans la Note 2 à l'article.]

ISO/IEC 27005:2022(F)
3.2.5
analyse du risque
processus mis en œuvre pour comprendre la nature d'un risque (3.1.3) et pour déterminer le niveau de
risque (3.1.15)
Note 1 à l'article: L'analyse du risque fournit la base de l'évaluation du risque (3.2.6) et les décisions relatives au
traitement du risque (3.2.7).
Note 2 à l'article: L'analyse du risque inclut l'estimation du risque.
[SOURCE: Guide ISO 73:2009, 3.6.1]

3.2.6
évaluation du risque
processus de comparaison des résultats de l'analyse du risque (3.2.5) avec les critères de risque (3.1.7)
afin de déterminer si le risque (3.1.3) et/ou son importance sont acceptables ou tolérables
Note 1 à l'article: L'évaluation du risque aide à la prise de décision relative au traitement du risque (3.2.7).
[SOURCE: Guide ISO 73:2009, 3.7.1, modifié — «importance» a remplacé «importance».]

3.2.7
traitement du risque
processus destiné à modifier un risque (3.1.3)
Note 1 à l'article: Le traitement du risque peut inclure:
— un refus du risque en décidant de ne pas démarrer ou poursuivre l'activité porteuse du risque;
— la prise ou l'augmentation d'un risque afin de saisir une opportunité;
— l'élimination de la source de risque (3.1.6);
— une modification de la vraisemblance (3.1.13);
— une modification des conséquences (3.1.14);
— un partage du risque avec une ou plusieurs autres parties (incluant des contrats et un financement du risque);
et
— une prise de risque fondée sur une décision argumentée.
Note 2 à l'article: Le traitement du risque lié à la sécurité de l'information n'inclut pas la «prise ou l'augmentation
d'un risque afin de saisir une opportunité», mais l'organisme peut avoir cette possibilité dans le cadre général de
la gestion des risques.
Note 3 à l'article: Les traitements du risque portant sur les conséquences négatives sont parfois appelés
«atténuation du risque», «élimination du risque», «prévention du risque» et «réduction du risque».
Note 4 à l'article: Le traitement du risque peut créer de nouveaux risques ou modifier des risques existants.
[SOURCE: Guide ISO 73:2009, 3.8.1, modifié — La Note 1 à l'article a été ajoutée et les Notes 1 et 2 à
l'article présentes dans le document d'origine ont été renumérotées en Notes 2 et 3 à l'article.]
3.2.8
acceptation du risque
décision argumentée en faveur de la prise d'un risque (3.1.3) particulier
Note 1 à l'article: L'acceptation du risque peut avoir lieu sans traitement du risque (3.2.7) ou au cours du processus
de traitement du risque.
Note 2 à l'article: Les risques acceptés font l'objet d'une surveillance et d'une revue.
[SOURCE: Guide ISO 73:2009, 3.7.1.6]

ISO/IEC 27005:2022(F)
3.2.9
partage du risque
forme de traitement du risque (3.2.7) impliquant la répartition consentie du risque (3.1.3) avec d'autres
parties
Note 1 à l'article: Des obligations légales ou réglementaires peuvent limiter, interdire ou imposer le partage du
risque.
Note 2 à l'article: Le partage du risque peut intervenir sous forme d'assurances ou autres types de contrats.
Note 3 à l'article: Le degré de répartition du risque peut dépendre de la fiabilité et de la clarté des dispositions
prises pour le partage.
Note 4 à l'article: Le transfert du risque est une forme de partage du risque.
[SOURCE: Guide ISO 73:2009, 3.8.1.3]

3.2.10
prise de risque
acceptation temporaire de l'avantage potentiel d'un gain ou de la charge potentielle d'une perte
découlant d'un risque (3.1.3) particulier
Note 1 à l'article: La prise de risque peut être limitée à une certaine période.
Note 2 à l'article: Le niveau de risque (3.1.15) pris peut dépendre des critères de risque (3.1.7).
[SOURCE: Guide ISO 73:2009, 3.8.1.5, modifié — Le mot «temporaire» a été ajouté au début de la
définition et la phrase «La prise de risque comprend l'acceptation des risques résiduels» a été remplacée
par «La prise de risque peut être limitée à une certaine période» dans la Note 1 à l'article.]
4 Structure du présent document

Le présent document est structuré comme suit:
— Article 5: Gestion des risques liés à la sécurité de l'information;
— Article 6: Établissement du contexte;
— Article 7: Processus d'appréciation du risque lié à la sécurité de l'information;
— Article 8: Processus de traitement du risque lié à la sécurité de l'information;
— Article 9: Réalisation des activités opérationnelles;
— Article 10: Exploiter les processus SMSI connexes.
À l'exception des descriptions fournies dans les articles et paragraphes généraux, toutes les activités
liées à la gestion des risques, présentées dans les Articles 7 à 10, sont structurées de la manière suivante:
Élément d'entrée: Identifie les informations requises pour réaliser l'activité.
Action: Décrit l'activité.
Déclencheur: Propose des recommandations quant au moment auquel l'activité doit débuter, par
exemple en raison d'un changement au sein de l'organisme ou conformément à un plan, ou en raison
d'un changement dans le contexte externe de l'organisme.
Élément de sortie: Identifie les informations obtenues après la réalisation de l'activité, ainsi que les
critères qu'il convient de satisfaire.
Recommandations: Propose des recommandations sur la réalisation de l'activité, le mot clé et le concept
clé.

ISO/IEC 27005:2022(F)
5 Gestion des risques liés à la sécurité de l'information
5.1 Processus de gestion des risques liés à la sécurité de l'information

Le processus de gestion des risques liés à la sécurité de l'information est présenté à la Figure 1.
NOTE Ce processus est identique au processus général de gestion des risques décrit dans l'ISO 31000.
Figure 1 — Processus de gestion des risques liés à la sécurité de l'information
Comme l'illustre la Figure 1, le processus de gestion des risques liés à la sécurité de l'information peut
être itératif pour les activités d'appréciation et/ou de traitement du risque. Une approche itérative
de conduite de l'appréciation du risque permet d'approfondir et de préciser l'appréciation à chaque
itération. Cette approche itérative assure un bon équilibre entre la minimisation du temps et des efforts
investis dans l'identification des moyens de maîtrise et l'assurance que les risques sont correctement
appréciés.

ISO/IEC 27005:2022(F)
L'établissement du contexte implique de rassembler des informations sur les contextes externes et
internes pour la gestion des risques ou l'appréciation du risque liées à la sécurité de l'information.
Si l'appréciation du risque donne suffisamment d'informations pour déterminer correctement les
actions nécessaires pour ramener les risques à un niveau acceptable, la tâche est alors terminée et
suivie par l'étape de traitement du risque. Si les informations sont insuffisantes, il convient d'effectuer
une nouvelle itération de l'appréciation du risque. Cela peut impliquer un changement de contexte
de l'appréciation du risque (par exemple, une révision du domaine d'application), l'implication d'une
expertise dans le domaine concerné, ou d'autres moyens de collecter les informations nécessaires pour
permettre de ramener le risque à un niveau acceptable (voir le «point de décision n°1 relatif au risque»
à la Figure 1).
Le traitement du risque implique un processus itératif:
— formuler et choisir des options de traitement du risque;
— élaborer et mettre en œuvre le traitement du risque;
— apprécier l'efficacité de ce traitement;
— déterminer si le risque résiduel est acceptable;
— envisager un traitement complémentaire s'il n'est pas acceptable.
Il est possible que le traitement du risque ne génère pas immédiatement un niveau acceptable de
risques résiduels. Dans ce cas, il est possible d'effectuer une nouvelle tentative pour identifier un
traitement supplémentaire du risque, ou de procéder à une nouvelle itération complète ou partielle de
l'appréciation du risque. Cela peut impliquer un changement de contexte de l'appréciation du risque (par
exemple en cas de révision du domaine d'application) et l'implication d'une expertise dans le domaine
concerné. La connaissance des menaces ou des vulnérabilités pertinentes peut conduire à de meilleures
décisions concernant les activités de traitement du risque appropriées lors de l'itération suivante de
l'appréciation du risque (voir le «point de décision n°2 relatif au risque» à la Figure 1).
L'établissement du contexte est décrit en détail à l'Article 6, les activités d'appréciation du risque à
l'Article 7 et les activités de traitement du risque à l'Article 8.
D'autres activités nécessaires à la gestion des risques liés à la sécurité de l'information sont décrites à
l'Article 10.
5.2 Cycles de gestion des risques liés à la sécurité de l'information

L'appréciation du risque et le traitement du risque doivent être mis à jour régulièrement et sur la base
des changements effectués. Il convient que cela s'applique à l'appréciation du risque dans sa totalité, et
les mises à jour peuvent être divisées en deux cycles de gestion du risque:
— le cycle stratégique, dans lequel les valeurs métier, les sources de risque et les menaces, les
objectifs visés ou les conséquences sur les événements liés à la sécurité de l'information découlent
des changements survenus dans le contexte général de l'organisme. Ces éléments peuvent servir
d'éléments d'entrée pour une mise à jour globale de la ou des appréciations du risque et des
traitements du risque. Ils peuvent également servir d'éléments d'entrée permettant d'identifier les
nouveaux risques et de lancer des appréciations du risque entièrement nouvelles;
— le cycle opérationnel, dans lequel les éléments mentionnés ci-dessus servent d'informations
d'entrée ou de critères modifiés qui auront une incidence sur une ou des appréciations du risque
lors desquelles il convient que les scénarios soient revus et mis à jour. Il convient que la revue inclue
la mise à jour du traitement du risque correspondant comme applicable.
Il convient que le cycle stratégique se déroule sur une période plus longue ou en cas de changements
importants, tandis qu'il convient que le cycle opérationnel soit plus court en fonction des risques
détaillés qui sont identifiés et appréciés, ainsi que du traitement associé du risque.

ISO/IEC 27005:2022(F)
Le cycle stratégique s'applique à l'environnement dans lequel l'organisme cherche à atteindre ses
objectifs, tandis que le cycle opérationnel s'applique à toutes les appréciations du risque en tenant
compte du contexte du processus de gestion des risques. Les deux cycles peuvent impliquer de
nombreuses appréciations du risque avec des contextes et des domaines d'application différents dans
chaque appréciation.
6 Établissement du contexte
6.1 Considérations organisationnelles

NOTE Le présent paragraphe se rapporte à l'ISO/IEC 27001:2022, 4.1.
Un organisme se définit comme une personne ou un groupe de personnes qui exerce ses propres
fonctions associées aux responsabilités, à l'autorité et aux relations qui lui permettent d'atteindre
ses objectifs. Un organisme n'est pas nécessairement une entreprise, une autre personne morale ou
une entité juridique: il peut également s'agir d'un sous-ensemble d'une entité juridique (par exemple,
le département informatique d'une entreprise), et peut être considéré comme l'«organisme» dans le
contexte du SMSI.
Il est important de comprendre que le goût du risque, défini comme le niveau de risque qu'un organisme
est prêt à prendre ou à accepter, peut varier considérablement d'un organisme à l'autre. Par exemple, les
facteurs qui influent sur le goût du risque d'un organisme sont la taille, la complexité et le secteur. Il
convient que le goût du risque soit défini et revu régulièrement par la direction générale.
Il convient que l'organisme s'assure que le rôle du propriétaire du risque est déterminé en fonction
des activités de gestion des risques identifiés. Il convient que les propriétaires du risque disposent du
niveau de responsabilité et d'autorité approprié pour gérer les risques identifiés.
6.2 Identification des exigences de base des parties intéressées

Il convient d'identifier les exigences de base des parties intéressées, ainsi que la conformité à ces
exigences. Cela inclut l'identification de tous les documents de référence qui définissent les règles et
moyens de maîtrise qui s'appliquent dans le domaine d'application de l'appréciation du risque lié à la
sécurité de l'information.
Ces documents de référence peuvent inclure, sans toutefois s'y limiter:
a) l'ISO/IEC 27001:2022, Annexe A;
b) des normes supplémentaires couvrant le SMSI;
c) des normes supplémentaires applicables à un secteur spécifique (par exemple, finances, santé);
d) des réglementations internationales et/ou nationales spécifiques;
e) les règles de sécurité internes de l'organisme;
f) les règles et moyens de maîtrise provenant de contrats ou d'accords;
g) les moyens de maîtrise mis en œuvre sur la base des précédentes activités de traitement du risque.
Il convient d'expliquer et de justifier toute non-conformité aux exigences de base. Il convient que ces
exigences de base et leur conformité servent de données d'entrée pour l'appréciation de la vraisemblance
et le traitement du risque.
6.3 Application de l'appréciation du risque


ISO/IEC 27005:2022(F)
Les organismes peuvent effectuer des appréciations du risque intégrées dans de nombreux processus
différents, tels que la gestion de projet, la gestion des vulnérabilités, la gestion des incidents, la gestion
des problèmes, ou même ponctuellement pour un sujet spécifique. Quelle que soit la manière dont les
appréciations du risque sont effectuées, il convient qu'elles couvrent collectivement tous les enjeux
pertinents pour l'organisme dans le cadre d'un SMSI.
Il convient que l'appréciation du risque aide l'organisme à prendre des décisions concernant la gestion
des risques qui affectent la réalisation de ses objectifs. Il convient donc de cibler les risques et les
moyens de maîtrise qui, s'ils sont gérés de manière satisfaisante, amélioreront la vraisemblance que
l'organisme atteigne ses objectifs.
L'ISO/IEC 27003 contient de plus amples informations sur le contexte d'un SMSI et sur les enjeux à
comprendre via l'appréciation du risque.
6.4 Établir et maintenir les critères de risques liés à la sécurité de l'information
6.4.1 Généralités
L'ISO/IEC 27001:2022, 6.1.2 a) spécifie des exigences permettant aux organismes de définir leurs
critères de risque, c'est-à-dire les termes de référence sur la base desquels ils évaluent l'importance des
risques qu'ils identifient et prennent des décisions concernant ces risques.
L'ISO/IEC 27001 spécifie des exigences permettant à un organisme d'établir et de maintenir les critères
de risques liés à la sécurité de l'information qui incluent:
a) les critères d'acceptation du risque;
b) les critères de réalisation des appréciations du risque lié à la sécurité de l'information.
En général, il convient de prendre en compte les éléments suivants pour établir les critères de risque:
— la nature et le type des incertitudes pouvant avoir une incidence sur les résultats et les objectifs
(tangibles et intangibles);
— la manière dont la conséquence et la vraisemblance seront définies, prédites ou mesurées;
— les facteurs liés au temps;
— la cohérence dans l'utilisation des moyens;
— la méthode de détermination du niveau de risque;
— la manière de prendre en compte les combinaisons et séquences de plusieurs risques;
— la capacité de l'organisme.
L'Annexe A présente d'autres considérations sur les critères de risque.
6.4.2 Critères d'acceptation du risque

NOTE Le présent paragraphe se rapporte à l'ISO/IEC 27001:2022, 6.1.2 a) 1).
Dans l'évaluation du risque, il convient d'utiliser les critères d'acceptation du risque pour déterminer si
un risque est acceptable ou non.
Dans le traitement du risque, les critères d'acceptation du risque peuvent être utilisés pour déterminer
si le traitement du risque proposé est suffisant pour atteindre un niveau de risque acceptable, ou si un
traitement supplémentaire du risque est nécessaire.

ISO/IEC 27005:2022(F)
Il convient qu'un organisme définisse des niveaux d'acceptation du risque. Il convient de prendre en
compte les éléments suivants au moment de leur élaboration:
a) cohérence entre les critères d'acceptation du risque lié à la sécurité de l'information et les critères
généraux d'acceptation du risque de l'organisme;
b) le niveau de management ayant l'autorité déléguée pour prendre les décisions en matière
d'acceptation du risque est identifié;
c) les critères d'acceptation du risque peuvent inclure des seuils multiples, et l'autorité d'acceptation
peut être désignée à différents niveaux de management;
d) les critères d'acceptation du risque peuvent être basés uniquement sur la vraisemblance et les
conséquences, ou peuvent être étendus de manière à prendre également en compte l'équilibre
coûts/bénéfices entre les pertes potentielles et le coût des moyens de maîtrise;
e) différents critères d'acceptation du risque peuvent s'appliquer à différentes classes de risques (par
exemple, les risques susceptibles d'entraîner une non-conformité aux règlements ou aux lois ne sont
pas toujours acceptés, tandis que l'acceptation du risque élevée peut être autorisée si elle résulte
d'une exigence contractuelle);
f) les critères d'acceptation du risque peuvent inclure des exigences relatives à de futurs traitements
additionnels (par exemple, un risque peut être accepté à court terme même si son niveau de risque
dépasse les critères d'acceptation du risque s'il y a validation et engagement à mettre en œuvre un
ensemble choisi de moyens de maîtrise afin d'atteindre un niveau acceptable dans un délai défini);
g) il convient de définir les critères d'acceptation du risque sur la base du goût du risque, qui indique
le niveau et le type de risque que l'organisme est prêt à prendre ou accepter;
h) les critères d'acceptation du risque peuvent être absolus ou conditionnels, selon le contexte.
Il convient d'établir les critères d'acceptation du risque en tenant compte des facteurs d'influence
suivants:
— les objectifs de l'organisme;
— les opportunités de l'organisme;
— les aspects légaux et réglementaires;
— les activités opérationnelles;
— les contraintes technologiques;
— les contraintes financières;
— les processus;
— les relations avec les fournisseurs;
— les facteurs humains (par exemple en relation avec la protection de la vie privée).
La liste des facteurs d'influence n'est pas exhaustive. Il convient que l'organisme prenne en compte les
facteurs d'influence en fonction du contexte.
Un simple critère d'acceptation (oui/non) ne suffit pas toujours dans la pratique.
Dans de nombreux cas, la décision d'accepter un risque peut être prise à des niveaux de risque
spécifiques (combinaisons spécifiques de vraisemblance et de conséquence). Toutefois, dans certaines
circonstances, il peut être nécessaire d'établir des seuils d'acceptation pour des conséquences
extrêmes, indépendamment de leur vraisemblance, ou des vraisemblances extrêmement élevées,
indépendamment des conséquences, lorsque l'effet sur l'organisme résulte principalement de l'une ou
de l'autre.

ISO/IEC 27005:2022(F)
Par exemple, il convient que l'acceptation d'un événement rare qui anéantit la valeur de l'action d'une
entreprise, ou d'une perte constante de ressources résultant de la nécessité de contrôler les fréquentes
infractions mineures d'une politique, soit considérée principalement en fonction de celui des deux
facteurs qui possède l'effet dominant sur l'organisme.
Par conséquent, il convient que les critères d'acceptation du risque tiennent compte, dans l'idéal, de la
vraisemblance et des conséquences de manière indépendante, ainsi que des coûts de gestion, plutôt que
d'un simple niveau de risque en tant que combinaison de la vraisemblance et des conséquences.
Un organisme ayant un fort goût du risque peut fixer un seuil d'acceptation plus élevé, acceptant ainsi
plus de risques qu'un organisme dont le goût du risque est plus faible. Cela protège l'organisme d'un
contrôle excessif, c'est-à-dire d'un nombre tellement élevé de moyens de maîtrise de l'information qu'ils
ne permettent pas à l'organisme d'atteindre ses objectifs.
Les critères d'acceptation du risque peuvent varier selon la durée d'existence prévue des risques (il est
par exemple possible que les risques soient associés à une activité temporaire ou de courte durée).
Il convient que les critères de risques fassent régulièrement l'objet de revues et de mises à jour, le cas
échéant, en fonction des changements intervenant dans le contexte de gestion des risques liés à la
EXEMPLE 2 Une petite entreprise peut initialement avoir un goût du risque élevé, mais au fur et à mesure de
sa croissance, son goût du risque peut diminuer.
Il convient que les critères d'acceptation du risque soient approuvés par le niveau de management
autorisé.
6.4.3 Critères de réalisation des appréciations du risque lié à la sécurité de l'information
6.4.3.1 Généralités
Les critères d'appréciation du risque précisent comment l'importance d'un risque est déterminée en
termes de conséquences, de vraisemblance et de niveau de risque.
Il convient que les critères d'appréciation du risque lié à la sécurité de l'information tiennent compte du
caractère approprié des activités de gestion des risques.
Les considérations pour y parvenir sont notamment les suivantes:
a) le niveau de classification de l'information;
b) la quantité et toute concentration des informations;
c) la valeur stratégique des processus métier qui utilisent l'information;
d) la criticité des informations et des biens liés aux informations concernées;
e) l'importance métier et opérationnelle de la disponibilité, de la confidentialité et de l'intégrité;
f) les attentes et les perceptions des parties intéressées (par exemple, la direction générale);
g) les conséquences négatives telles que la perte de clientèle et de réputation;
h) la cohérence avec les critères de risque de l'organisme.
Il convient que les critères d'appréciation du risque, ou une base formelle permettant de les définir,
soient normalisés dans l'ensemble de l'organisme pour tous les types d'appréciation du risque, dans la
mesure où cela peut faciliter la communication, la comparaison et l'agrégation des risques associés à de
multiples domaines d'activité.

ISO/IEC 27005:2022(F)
Les critères d'appréciation du risque en matière de sécurité de l'information sont généralement les
suivants:
— des critères concernant les conséquences;
— des critères de vraisemblance;
— des critères permettant de déterminer le niveau de risque.
6.4.3.2 Critères de conséquences

L'ISO/IEC 27001 porte sur les conséquences ayant des effets directs ou indirects sur la préservation
ou la perte de la confidentialité, de l'intégrité et de la disponibilité des informations dans le cadre du
SMSI. Il convient que les critères de conséquences soient élaborés et spécifiés en termes d'étendue
des dommages ou des pertes, ou des préjudices subis par un organisme ou un individu, résultant de
la perte de confidentialité, d'intégrité et de disponibilité des informations. Pour définir les critères de
conséquences, il convient notamment de prendre en compte les éléments suivants:
a) perte de vie humaine et préjudice aux personnes ou groupes de personnes;
b) perte de liberté, de dignité ou de droit à la protection de la vie privée;
c) perte de personnel et de capital intellectuel (compétences et expertise);
d) perturbation des opérations internes ou de tiers (par exemple, préjudice causé à une fonction ou à
un processus métier);
e) effets sur les plans et les délais;
f) perte de valeur commerciale et financière;
g) perte d'avantages commerciaux ou de parts de marché;
h) atteinte à la confiance du public ou à la réputation;
i) non-respect des exigences légales, réglementaires ou statutaires;
j) non-respect de contrats ou de niveaux de service;
k) incidence négative sur les parties intéressées;
l) impact négatif sur l'environnement, pollution.
Les critères de conséquences définissent la manière dont un organisme catégorise l'importance des
événements potentiels de sécurité de l'information pour l'organisme. Il est essentiel de déterminer
combien de catégories de conséquences sont utilisées, comment elles sont définies et quelles
conséquences sont associées à chaque catégorie. Généralement, les critères de conséquences seront
différents selon les organismes, en fonction des contextes internes et externes de l'organisme.
EXEMPLE 1 Le montant maximal que l'organisme est prêt à amortir au cours d'un exercice financier et le
montant minimal au cours de la même période qui le contraindrait à la liquidation peuvent créer des limites
supérieures et inférieures réalistes de l'échelle des conséquences d'un organisme, exprimées en termes
monétaires.
Cette échelle, qui dépend du contexte, peut ensuite être divisée en plusieurs catégories de conséquences,
dont il convient que le nombre et la répartition dépendent de la perception et du goût du risque de
l'organisme. Les échelles de conséquences monétaires sont généralement exprimées sur une échelle
logarithmique, par exemple en décades ou en puissances de dix (par exemple de 100 à 1 000, de 1 à
10 000, etc.), mais d'autres systèmes de quantification peuvent être utilisés lorsqu'ils sont mieux
adaptés au contexte de l'organisme.

ISO/IEC 27005:2022(F)
Étant donné que les conséquences dans les différents domaines ou départements d'un organisme
peuvent initialement être exprimées de diverses manières plutôt qu'en termes strictement monétaires,
il est utile que ces différentes expressions puissent être recoupées avec une échelle d'ancrage commune
afin d'assurer que des niveaux équivalents de conséquences dans les différents domaines soient
correctement comparés entre eux. Il convient que l'agrégation des risques entre les domaines puisse
être effectuée.
EXEMPLE 2 Une violation de données, en plus de son possible impact sur la vie privée des individus, peut
entraîner une perte de confidentialité, d'intégrité ou de disponibilité des informations relevant du domaine
d'application du SMSI. Elle peut également entraîner une non-conformité avec la législation applicable en matière
de protection des données. Les conséquences potentielles vont de la perte d'informations, de la perte de biens liés
à l'information et du processus d'information, à la perte des objectifs métier et du chiffre d'affaires prévisionnel.
6.4.3.3 Critères de vraisemblance

La détermination des critères de vraisemblance dépendra notamment des aspects suivants:

a) les événements accidentels ou naturels;
b) le degré d'exposition des informations pertinentes ou du bien lié aux informations par rapport à la
menace;
c) le degré d'exploitation de la vulnérabilité de l'organisme;
d) les défaillances technologiques;
e) les actes humains ou les omissions.
La vraisemblance peut être exprimée en termes de probabilité (la probabilité qu'un événement se
produise dans un intervalle de temps donné) ou en termes de fréquence (le nombre moyen théorique
d'occurrences dans un intervalle de temps donné). La vraisemblance exprimée en termes de fréquence
est souvent utilisée lorsqu'elle est communiquée, bien que seule la vraisemblance exprimée en termes
de probabilité puisse être utilisée lors de l'agrégation des vraisemblances.
Il convient que les critères de vraisemblance couvrent la gamme des vraisemblances d'événements
anticipés pouvant être gérés de manière prévisible. Au-delà des limites de la capacité de gestion
pratique, il suffit généralement de reconnaître que l'une ou l'autre limite a été dépassée pour prendre
une décision adéquate en matière de gestion des risques (désignation comme cas extrême). L'utilisation
d'échelles finies trop larges entraîne généralement une quantification trop grossière et peut conduire à
une appréciation erronée. C'est notamment le cas lorsque les vraisemblances se situent dans la partie
supérieure d'échelles représentées de manière exponentielle, car les incréments des plages supérieures
sont intrinsèquement très larges.
Bien que presque tout soit «possible», les sources de risque auxquelles il convient d'accorder la plus
grande attention sont celles dont les vraisemblances sont les plus pertinentes par rapport au contexte
de l'organisme et au domaine d'application de son SMSI.
6.4.3.4 Critères de détermination du niveau de risque

La finalité des échelles de niveau de risque est d'aider les propriétaires du risque à décider d'accepter
des risques ou de les traiter et à les classer par ordre de priorité en vue de leur traitement. Il convient
que le niveau apprécié d'un risque particulier aide l'organisme à déterminer l'urgence du traitement de
ce risque.
Selon la situation, il est recommandé de prendre en considération le niveau de risque inhérent, sans
tenir compte des moyens de maîtrise, ou le niveau de risque actuel (en tenant compte de l'efficacité des

ISO/IEC 27005:2022(F)
moyens de maîtrise déjà mis en œuvre). Il convient que l'organisme établisse un classement des risques
en tenant compte des éléments suivants:
a) les critères de conséquences et les critères de vraisemblance;
b) les conséquences que peuvent avoir les événements de sécurité de l'information aux niveaux
stratégique, tactique et opérationnel (il est possible de les définir comme cas le plus défavorable ou
en d'autres termes, à condition d'utiliser la même base de manière cohérente);
c) les exigences légales et réglementaires, ainsi que les obligations contractuelles;
d) les risques qui dépassent les limites du périmètre de l'organisme, y compris les effets imprévus sur
les tiers.
Les critères de niveau de risques sont nécessaires pour évaluer les risques analysés.
Les critères de niveau de risques peuvent être qualitatifs (par exemple, très élevé, élevé, moyen, faible)
ou quantitatifs (par exemple, exprimés en termes de valeur attendue de perte monétaire, de perte de
vies ou de part de marché sur une période donnée).
EXEMPLE Les risques peuvent être quantifiés en tant qu'estimation de perte annuelle, c'est-à-dire la valeur
monétaire moyenne de la conséquence par année prise sur l'année suivante.
Que l'on utilise des critères quantitatifs ou qualitatifs, il convient que les échelles d'évaluation soient en
définitive ancrées à une échelle de référence comprise par toutes les parties intéressées, et il convient
que tant l'analyse du risque que l'évaluation du risque comportent au moins un étalonnage formel
périodique par rapport à l'échelle de référence afin d'assurer la validité, la cohérence et la comparabilité
des résultats.
Si une approche qualitative est utilisée, il convient que les niveaux de toute échelle qualitative
soient sans ambiguïté. Il convient que ses incréments soient clairement définis, que les descriptions
qualitatives de chaque niveau soient exprimées dans un langage objectif et que les niveaux ne se
chevauchent pas. Lorsque différentes échelles sont utilisées (par exemple, pour traiter les risques dans
différents domaines d'activité), il convient de prévoir une équivalence afin de permettre la comparaison
des résultats.
6.5 Choix d'une méthode appropriée

NOTE Le présent paragraphe se rapporte à l'ISO/IEC 27001:2022, 6.1.2 b).
En général, il convient d'aligner l'approche et les méthodes de gestion des risques liés à la sécurité de
l'information sur celles utilisées pour gérer les autres risques de l'organisme.
Il convient que l'approche choisie soit documentée.
Selon l'ISO/IEC 27001:2022, 6.1.2 b), l'organisme dans le domaine d'application du SMSI est tenu de
s'assurer que les appréciations du risque lié à la sécurité de l'information répétées produisent des
résultats cohérents, valides et comparables. Cela signifie qu'il convient que la méthode choisie assure
les propriétés suivantes des résultats:
— cohérence: il convient que des appréciations des mêmes risques réalisées par des personnes
différentes ou par les mêmes personnes à différentes occasions, dans le même contexte, produisent
des résultats similaires;
— comparabilité: il convient de définir les critères d'appréciation du risque de manière à s'assurer
que les appréciations effectuées pour différents risques produisent des résultats comparables
lorsqu'elles représentent des niveaux de risque équivalents;
— validité: il convient que les appréciations produisent des résultats aussi proches que possible de la
réalité.

ISO/IEC 27005:2022(F)
Les méthodes de gestion des risques opérationnels sont généralement utilisées pour la gestion des
risques liés à la sécurité de l'information. La méthode choisie peut utiliser toute approche appropriée
en ce qui concerne l'utilisation des risques résiduels. Les approches les plus couramment utilisées pour
la gestion des risques liés à la sécurité de l'information utilisent le risque actuel lors de l'appréciation de
la vraisemblance et des conséquences des risques.
7 Processus d'appréciation du risque lié à la sécurité de l'information
7.1 Généralités
Il convient que l'organisme utilise le processus d'appréciation du risque organisationnel (s'il est établi)
pour apprécier les risques pour l'information ou pour définir un processus d'appréciation du risque lié
à la sécurité de l'information.
L'appréciation du risque permet aux propriétaires du risque de classer les risques par ordre de priorité
en fonction de la perspective de traitement, en se basant principalement sur leurs conséquences et leur
vraisemblance ou sur d'autres critères établis.
Il convient que le contexte de l'appréciation du risque soit déterminé, y compris une description de son
domaine d'application et de son objectif, ainsi que les enjeux internes et externes pouvant avoir une
incidence sur l'appréciation du risque.
L'appréciation du risque inclut les activités suivantes:
a) l'identification des risques, qui est un processus visant à trouver, reconnaître et décrire les risques
(de plus amples informations concernant l'identification des risques figurent en 7.2);
b) l'analyse du risque, qui est un processus visant à comprendre les types de risques et à déterminer
le niveau de risque. L'analyse du risque implique la prise en compte des causes et des sources
de risque, la vraisemblance qu'un événement spécifique se produise, la vraisemblance que cet
événement ait des conséquences et la gravité de ces conséquences (de plus amples informations
concernant l'analyse du risque figurent en 7.3 );
c) l'évaluation du risque, qui est un processus visant à comparer les résultats de l'analyse du risque
avec les critères de risque afin de déterminer si le risque et/ou son importance sont acceptables
et de classer par ordre de priorité les risques analysés en vue de leur traitement. Sur la base de
cette comparaison, la nécessité d'un traitement peut être envisagée (de plus amples informations
concernant l'évaluation du risque figurent en 7.4).
Il convient que le processus d'appréciation du risque soit basé sur des méthodes (voir 6.5) et des outils
conçus de manière suffisamment détaillée pour assurer, dans la mesure du possible, des résultats
cohérents, valides et reproductibles. Il convient en outre que les résultats soient comparables par
exemple pour déterminer si le niveau de risque a augmenté ou diminué.
Il convient que l'organisme veille à ce que son approche de la gestion des risques liés à la sécurité
de l'information soit conforme à l'approche de gestion des risques organisationnels, de sorte que les
risques liés à la sécurité de l'information puissent être comparés aux autres risques organisationnels et
ne soient pas isolés.
L'ISO/IEC 27001 n'impose pas l'utilisation d'une approche particulière pour satisfaire aux exigences
indiquées dans l'ISO/IEC 27001:2022, 6.1.2. Néanmoins, il existe deux approches principales pour
l'appréciation: une approche basée sur les événements et une approche basée sur les biens. Elles sont
discutées plus en détail en 7.2.1.
7.2 Identification des risques liés à la sécurité de l'information
7.2.1 Identification et description des risques liés à la sécurité de l'information

NOTE Le présent paragraphe se rapporte à l'ISO/IEC 27001:2022, 6.1.2 c) 1).

ISO/IEC 27005:2022(F)
Élément d'entrée: Événements pouvant influencer négativement les objectifs de sécurité de l'information
au sein de l'organisme ou d'autres organismes.
Action: Il convient d'identifier les risques associés à la perte de confidentialité, d'intégrité et de
disponibilité des informations.
Déclencheur: Les propriétaires du risque, les parties intéressées et/ou les experts détectent, ou ont
besoin de rechercher, des situations ou des événements nouveaux ou modifiés qui peuvent affecter la
réalisation des objectifs de sécurité de l'information.
Élément de sortie: Une liste des risques identifiés.
Recommandations de mise en œuvre:
L'identification des risques est le processus consistant à rechercher, reconnaître et décrire les risques.
Elle implique l'identification des sources de risque et des événements.
Le but de l'identification des risques est de générer une liste de risques sur la base des événements
pouvant empêcher, affecter ou retarder la réalisation des objectifs de sécurité de l'information.
Il convient que les risques identifiés soient ceux qui, s'ils se concrétisent, peuvent avoir un effet sur la
réalisation des objectifs.
L'ISO/IEC 27001:2022, 6.1.2 c), exige que l'organisme définisse et applique un processus d'appréciation
du risque lié à la sécurité de l'information permettant d'identifier les risques en matière de sécurité de
l'information. Deux approches sont couramment utilisées pour réaliser l'identification des risques:
a) l'approche basée sur les événements: identifier les scénarios stratégiques en tenant compte des
sources de risque, et comment ils utilisent ou impactent les parties intéressées pour atteindre
l'objectif souhaité de ce risque;
b) l'approche basée sur les biens: identifier les scénarios opérationnels, qui sont détaillés en termes de
biens, de menaces et de vulnérabilités.
Dans une approche basée sur les événements, le concept sous-jacent est que les risques peuvent être
identifiés et appréciés par une évaluation des événements et des conséquences. Les événements et les
conséquences peuvent souvent être déterminés par une découverte des préoccupations de la direction
générale, des propriétaires du risque et des exigences identifiées lors de la détermination du contexte de
l'organisme (ISO/IEC 27001:2022, Article 4). Des entretiens avec la direction générale et les personnes
de l'organisme qui ont la responsabilité d'un processus métier peuvent aider à identifier non seulement
les événements et les conséquences pertinents, mais aussi les propriétaires du risque.
Une approche basée sur les événements peut établir des scénarios de haut niveau ou stratégiques
sans avoir à passer un temps considérable à identifier les biens à un niveau détaillé. Cela permet à
l'organisme de concentrer ses efforts de traitement du risque sur les risques critiques. L'évaluation
des événements à l'aide de cette approche peut utiliser des données historiques où les risques restent
inchangés pendant de longues périodes, et permet aux parties intéressées concernées d'atteindre
leurs objectifs. Cependant, dans le cas de risques pour lesquels les données historiques ne sont pas
disponibles ou fiables, des conseils reposant sur les connaissances et l'expérience des experts ou sur
l'examen des sources de risque peuvent aider à l'évaluation.
Avec une approche basée sur les biens, le concept sous-jacent est que les risques peuvent être identifiés
et appréciés par une inspection des biens, des menaces et des vulnérabilités. Un bien désigne tout
élément ayant de la valeur pour l'organisme et nécessitant, par conséquent, une protection. Il convient
d'identifier les biens, en tenant compte du fait qu'un système d'information se compose d'activités, de
processus et d'informations à protéger. Les biens peuvent être identifiés en tant que biens essentiels et
biens supports selon leur type et leur priorité, en mettant en évidence leurs dépendances, ainsi que leurs
interactions avec leurs sources de risque et les parties intéressées de l'organisme. Une menace exploite
une vulnérabilité d'un bien pour compromettre la confidentialité, l'intégrité et/ou la disponibilité
des informations correspondantes. Si toutes les combinaisons valables de biens, de menaces et de
vulnérabilités peuvent être énumérées dans le domaine d'application du SMSI, alors, en théorie, tous

ISO/IEC 27005:2022(F)
les risques seront identifiés. Pour les étapes suivantes de l'appréciation du risque, il convient de dresser
une liste des biens associés aux informations et aux moyens de traitement de l'information.
L'approche basée sur les biens permet d'identifier les menaces et les vulnérabilités spécifiques aux biens
et permet à l'organisme de déterminer le traitement spécifique du risque à un niveau détaillé.
De plus amples informations sur les deux approches sont disponibles à l'Annexe A.
En principe, les deux approches ne diffèrent que par le niveau auquel l'identification est initiée. Les
deux approches peuvent décrire le même scénario de risque, par exemple lorsqu'un bien informationnel
se situe au niveau du détail et une exposition de l'organisme est au niveau général. L'identification des
sources de risque contributif à l'aide d'une appréciation basée sur les événements nécessite généralement
de descendre du niveau général du scénario jusqu'au niveau du détail, alors qu'une appréciation basée
sur les biens recherche généralement vers le haut, du bien au scénario, afin de fournir une visibilité sur
la manière dont les conséquences s'accumulent.
L'identification des risques est essentielle, car un risque de sécurité de l'information qui n'est pas
identifié à ce stade n'est pas inclus dans l'analyse ultérieure.
Il convient que l'identification des risques tienne compte des risques, que leur source soit ou non sous
le contrôle de l'organisme, même si aucune source de risque spécifique n'est évidente. Il convient de
procéder à une appréciation itérative du risque, en particulier lors de l'appréciation de scénarios de
risque complexes. Il convient que le premier passage se concentre sur les observations de haut niveau et
que les passages successifs portent sur des niveaux de détail supplémentaires jusqu'à ce que les causes
premières des risques puissent être identifiées.
Toute autre approche d'identification des risques peut être utilisée tant qu'elle assure la production
de résultats cohérents, valides et comparables, conformément à l'exigence dans l'ISO/IEC 27001:2022,
6.1.2 b).
Il ne convient pas de limiter la gestion des risques liés à la sécurité de l'information par des jugements
arbitraires ou restrictifs concernant la manière dont il convient de structurer, de grouper, d'agréger,
de séparer ou de décrire les risques. Les risques peuvent sembler se chevaucher ou correspondre à des
sous-ensembles ou à des instances spécifiques d'autres risques. Il convient cependant de considérer et
d'identifier distinctement les moyens de maîtrise pour les risques individuels des risques plus larges ou
agrégés.
EXEMPLE 1 Exemple de deux risques qui se chevauchent: (1) un risque d'incendie existe au siège social; (2) un
risque d'incendie affectant le fonctionnement du service comptable existe lorsque ce dernier se trouve au siège
social, mais aussi dans plusieurs autres bâtiments.
Exemple d'instances spécifiques d'un risque: (1) un incident de perte de données survient et (2) un incident de
perte de données à caractère personnel survient.
Le deuxième risque est une instance spécifique du premier, mais il est probable qu'il ait des attributs et des
moyens de maîtrise différents de ceux du premier, et il peut être important de le gérer séparément du premier
risque, beaucoup plus large.
Il convient que l'agrégation des risques ne soit pas entreprise à moins qu'ils ne soient pertinents les uns
par rapport aux autres dans le contexte considéré de l'organisme. Il peut néanmoins être nécessaire
de considérer séparément les risques fusionnés à des fins de budgétisation globale de la gestion des
risques lors de la planification des options de traitement, dans la mesure où des moyens de maîtrise
différents peuvent être nécessaires pour les gérer.
EXEMPLE 2 Un centre de données peut subir plusieurs dommages indépendants: inondation, incendie, pics de
tension électrique et vandalisme.
Pour estimer le niveau global de risque de l'entreprise, les risques individuels de ces événements
peuvent être combinés en un niveau global de risque, mais comme chacun de ces événements nécessite
des moyens de maîtrise différents pour gérer le risque, il convient de les considérer et de les identifier
séparément à des fins de traitement du risque. Les risques (combinaisons de vraisemblances et de
conséquences) ne peuvent pas toujours être agrégés directement.

ISO/IEC 27005:2022(F)
7.2.2 Identification des propriétaires du risque

NOTE Le présent paragraphe se rapporte à l'ISO/IEC 27001:2022, 6.1.2 c) 2).
Élément d'entrée: Liste des risques identifiés.

Action: Il convient d'associer les risques aux propriétaires des risques.
Déclencheur: L'identification des propriétaires du risque devient nécessaire:
— lorsque cela n'a pas été fait auparavant;
— en cas de changement de personnel dans le secteur d'activité où résident les risques.
Élément de sortie: Liste des propriétaires du risque avec les risques associés.
La direction générale, le comité de sécurité, les responsables de processus, les responsables fonctionnels,
les responsables de service et les propriétaires de biens peuvent être propriétaires des risques.
Il convient qu'un organisme utilise le processus d'appréciation du risque de l'organisme (s'il est
établi) pour identifier les propriétaires du risque, ou qu'il définisse les critères d'identification des
propriétaires du risque. Il convient que ces critères prennent en compte le fait que les propriétaires du
risque:
— sont responsables et disposent de l'autorité pour gérer les risques qu'ils possèdent, c'est-à-dire qu'il
convient qu'ils occupent une position dans l'organisme qui leur permette d'exercer effectivement
cette autorité;
— comprennent les enjeux et sont en mesure de prendre des décisions éclairées (par exemple, sur la
manière de traiter les risques).
Le niveau de risque et le bien auquel il convient de l'appliquer peuvent servir de base à l'identification
des propriétaires du risque.
Il convient que l'attribution se fasse dans le cadre du processus d'appréciation du risque.
7.3 Analyse du risque lié à la sécurité de l'information
L'analyse du risque a pour objectif de déterminer le niveau de risque.

L'ISO 31000 est citée dans l'ISO/IEC 27001 comme modèle général. L'ISO/IEC 27001:2022, 6.1.2, exige
que, pour chaque risque identifié, l'analyse du risque soit fondée sur l'appréciation des conséquences
résultant des risques et sur l'appréciation de la vraisemblance du risque afin de déterminer un niveau
de risque.
Les techniques d'analyse du risque basées sur les conséquences et la vraisemblance peuvent être les
suivantes:
a) qualitative, en utilisant une échelle d'attributs qualificatifs (par exemple, élevé, moyen, faible); ou
b) quantitative, en utilisant une échelle avec des valeurs numériques (par exemple, le coût monétaire,
la fréquence ou la probabilité d'occurrence); ou
c) semi-quantitative, utilisant des échelles qualitatives avec des valeurs attribuées.
Il convient donc que l'analyse du risque soit ciblée sur les risques et les moyens de maîtrise qui, s'ils
sont gérés de manière satisfaisante, amélioreront la vraisemblance que l'organisme atteigne ses
objectifs. Une appréciation du risque peut nécessiter un temps considérable, notamment en ce qui

ISO/IEC 27005:2022(F)
concerne l'appréciation des vraisemblances et des conséquences. Pour permettre une prise de décision
efficace en matière de gestion des risques, il peut être suffisant d'utiliser des estimations initiales et
approximatives de la vraisemblance et des conséquences.
7.3.2 Appréciation des conséquences potentielles

NOTE Le présent paragraphe se rapporte à l'ISO/IEC 27001:2022, 6.1.2 d) 1).
Élément d'entrée: Une liste des événements ou de scénarios de risques pertinents identifiés, y compris
l'identification des sources de risque, ainsi que des processus métier, des objectifs métier et des critères
de conséquences. Également, des listes de tous les moyens de maîtrise existants, leur efficacité, leur
statut de mise en œuvre et d'utilisation.
Action: Il convient d'identifier et d'apprécier les conséquences résultant de l'incapacité à préserver de
manière adéquate la confidentialité, l'intégrité ou la disponibilité des informations.
Déclencheur: L'appréciation des conséquences devient nécessaire:
— lorsque la liste produite par l'identification des risques est modifiée;
— lorsque les propriétaires du risque ou les parties intéressées ont changé les unités dans lesquelles
ils veulent que les conséquences soient spécifiées; ou
— lorsqu'il a été déterminé que des changements apportés au domaine d'application ou au contexte
affectent les conséquences.
Élément de sortie: Une liste des conséquences potentielles liées aux scénarios de risque avec leurs
conséquences associées aux biens ou aux événements, selon l'approche appliquée.
L'incapacité à préserver de manière adéquate la sécurité des informations peut entraîner la perte de
leur confidentialité, de leur intégrité ou de leur disponibilité. La perte de confidentialité, d'intégrité ou
de disponibilité peut avoir d'autres conséquences sur l'organisme et ses objectifs. L'analyse de ces autres
conséquences peut être effectuée de manière ascendante à partir des conséquences de l'incapacité à
préserver la sécurité de l'information. En général, le propriétaire du risque peut réaliser l'estimation
des conséquences si l'événement se produit. Il convient de tenir compte des éléments suivants:
— l'estimation (ou la mesure basée sur l'expérience) des pertes (de temps ou de données) dues à
l'événement suite à l'interruption ou à la perturbation des opérations;
— l'estimation/perception de la gravité des conséquences (par exemple, exprimée en termes
financiers);
— les coûts de récupération, suivant la possibilité d'effectuer ou non la récupération en interne (par
l'équipe du propriétaire du risque) ou s'il est nécessaire de faire appel à une entité externe.
7.3.3 Vraisemblance de l'appréciation

Élément d'entrée: Une liste d'événements ou de scénarios de risques pertinents identifiés, incluant
l'identification des sources de risque, ainsi que des processus métier, des objectifs métier et des critères
de vraisemblance. Également, des listes de tous les moyens de maîtrise existants, leur efficacité, leur
statut de mise en œuvre et d'utilisation.
Action: Il convient d'apprécier la vraisemblance d'occurrence d'un scénario potentiel ou actuel et de
l'exprimer en utilisant les critères de vraisemblance établis.

ISO/IEC 27005:2022(F)
Déclencheur: Tout comme les conséquences, l'appréciation de la vraisemblance est une activité
essentielle du processus d'appréciation du risque pour déterminer le niveau de risque.
L'appréciation de la vraisemblance devient nécessaire:
— lorsque des changements apportés au domaine d'application ou au contexte pouvant affecter la
vraisemblance sont déterminés;
— lorsque des vulnérabilités sont découvertes dans les moyens de maîtrise mis en œuvre;
— lorsque les tests/audits d'efficacité des moyens de maîtrise donnent des résultats inattendus;
— lorsque des changements sont observés dans l'environnement de la menace, par exemple si de
nouveaux acteurs/sources de menace sont découverts.
Élément de sortie: Une liste des événements ou des scénarios de risque complétée par les vraisemblances
que ceux-ci se produisent.
Une fois les scénarios de risque identifiés, il est nécessaire d'analyser la vraisemblance de la réalisation
d'un scénario et de ses conséquences, à l'aide de techniques d'analyse qualitative et quantitative.
L'appréciation de la vraisemblance n'est pas toujours facile et il convient de l'exprimer de différentes
manières. Il convient qu'elle tienne compte de la fréquence d'apparition des sources de risque ou de la
facilité avec laquelle certaines d'entre elles (par exemple, les vulnérabilités) peuvent être exploitées en
prenant en considération:
— l'expérience et les statistiques applicables pour la vraisemblance des sources de risque;
— pour les sources de risque intentionnelles: le degré de motivation [par exemple, la viabilité (coût/
bénéfice) de l'attaque] et les capacités (par exemple, le niveau de compétence des attaquants
potentiels), qui évolueront dans le temps, les ressources disponibles pour les attaquants potentiels,
et les influences sur les attaquants potentiels telles que la grande criminalité, les organisations
terroristes ou les services de renseignement étrangers, ainsi que la perception de l'attrait et de la
vulnérabilité des informations pour un attaquant potentiel;
— pour les sources de risque accidentelles: les facteurs géographiques (par exemple, la proximité
d'installations ou d'activités dangereuses), la possibilité de catastrophes naturelles telles que
des conditions météorologiques extrêmes, l'activité volcanique, les tremblements de terre, les
inondations, les tsunamis et les facteurs susceptibles d'exercer une influence sur les erreurs
humaines et le dysfonctionnement des équipements;
— les faiblesses connues et les moyens de maîtrise compensatoires, tant individuellement que
collectivement;
— les moyens de maîtrise existants et leur efficacité pour réduire les faiblesses connues.
L'estimation de la vraisemblance est intrinsèquement incertaine, non seulement parce qu'elle tient
compte de choses qui ne se sont pas encore produites et qui ne sont donc pas entièrement connues, mais
aussi parce que la vraisemblance est une mesure statistique et n'est pas directement représentative
d'événements individuels. Les trois sources fondamentales d'incertitude de l'appréciation sont les
suivantes:
— l'incertitude personnelle qui trouve son origine dans le jugement de l'évaluateur et qui découle de la
variabilité de l'heuristique mentale de la prise de décision;
— l'incertitude méthodologique, qui découle de l'utilisation d'outils qui modélisent inévitablement les
événements de manière simpliste;

ISO/IEC 27005:2022(F)
— l'incertitude systémique concernant l'événement anticipé lui-même, qui découle d'une connaissance
insuffisante (en particulier, si les preuves sont limitées ou si une source de risque change avec le
temps).
Pour augmenter la fiabilité de l'estimation de la vraisemblance, il convient que les organismes
envisagent d'avoir recours à:
a) des appréciations en équipe plutôt que des appréciations individuelles;
b) des sources externes, telles que les rapports de vulnérabilités de la sécurité de l'information;
c) des échelles dont la portée et la résolution sont adaptées à l'approche de l'organisme;
d) des catégories non ambiguës, telles que «une fois par an», plutôt que «peu fréquent».
Lors de l'appréciation de la vraisemblance des événements, il est important de reconnaître la différence
entre les événements indépendants et les événements dépendants. La vraisemblance des événements
qui dépendent les uns des autres est conditionnée par la relation qui existe entre eux (par exemple,
un deuxième événement peut être inévitable si un premier événement se produit), de sorte qu'une
appréciation séparée de leurs vraisemblances respectives n'est pas nécessaire. La vraisemblance
d'événements indépendants pertinents contribue de manière essentielle à la vraisemblance d'une
conséquence à laquelle ils participent.
EXEMPLE La vraisemblance d'une attaque par déni de service sur un serveur dépend des menaces actuelles
ainsi que de la vulnérabilité et de l'accessibilité du serveur. Cependant, la vraisemblance des paquets malveillants
peut être de 100 % une fois que l'attaque a commencé et son appréciation ne contribue pas à l'appréciation de la
vraisemblance de l'attaque par déni de service.
Pour éviter toute complexité inutile lors de l'appréciation, il est important d'identifier toute dépendance
entre les événements contribuant à un scénario de risque et, en premier lieu, d'apprécier les
vraisemblances de ces événements qui sont indépendants les uns des autres.
La vraisemblance globale des conséquences d'un événement de sécurité de l'information sur l'activité
dépend généralement de la vraisemblance de plusieurs événements potentiellement contributifs
de niveau inférieur et de leurs conséquences. Plutôt que d'essayer d'estimer la vraisemblance des
conséquences sur l'activité dans une seule appréciation de haut niveau, il peut être plus judicieux de
commencer par agréger la vraisemblance respective des événements de niveau inférieur appréciés
individuellement qui y contribuent.
7.3.4 Détermination des niveaux de risque

Élément d'entrée: Une liste des scénarios de risque accompagnés de leurs conséquences liées aux biens
ou aux événements, ainsi que leur vraisemblance (quantitative ou qualitative).
Action: Il convient de déterminer le niveau de risque comme une combinaison de l'appréciation de la
vraisemblance et de l'appréciation des conséquences pour tous les scénarios de risque pertinents.
Déclencheur: La détermination des niveaux de risque devient nécessaire si les risques liés à la sécurité
de l'information doivent être évalués.
Élément de sortie: Une liste des risques avec l'attribution de valeurs de niveau.
Le niveau de risque peut être déterminé de différentes manières. Il est généralement déterminé comme
une combinaison de l'appréciation de la vraisemblance et de l'appréciation des conséquences pour
tous les scénarios de risque pertinents. D'autres calculs peuvent inclure une valeur de bien ainsi que
la vraisemblance et les conséquences. En outre, le calcul ne doit pas nécessairement être linéaire: par
exemple, il peut s'agir de la vraisemblance au carré combinée aux conséquences. Dans tous les cas, il
convient de déterminer le niveau de risque à l'aide des critères établis décrits en 6.4.3.4.

ISO/IEC 27005:2022(F)
7.4 Évaluation du risque lié à la sécurité de l'information
7.4.1 Comparaison des résultats d'analyse du risque avec les critères de risque
NOTE Le présent paragraphe se rapporte à l'ISO/IEC 27001:2022, 6.1.2 e) 1).
Élément d'entrée: Une liste des critères de risques et des risques avec l'attribution de valeurs de niveau.
Action: Il convient de comparer le niveau de risques aux critères d'évaluation du risque, en particulier
aux critères d'acceptation du risque.
Déclencheur: La comparaison des résultats d'analyse du risque avec les critères de risque devient
nécessaire si les risques liés à la sécurité de l'information doivent être classés par ordre de priorité en
vue du traitement.
Élément de sortie: Une liste de suggestions de décisions sur les actions supplémentaires concernant la
gestion des risques.
Une fois que les risques ont été identifiés et que des valeurs de vraisemblance et de gravité des
conséquences leur ont été attribuées, il convient que les organismes appliquent leurs critères
d'acceptation du risque afin de déterminer si les risques peuvent être acceptés ou non. S'ils ne peuvent
être acceptés, il convient alors de les classer par ordre de priorité en vue du traitement.
Pour évaluer les risques, il convient que les organismes comparent les risques appréciés avec les critères
de risque définis lors de l'établissement du contexte.
Il convient que les décisions d'évaluation du risque soient basées sur la comparaison entre le risque
apprécié et les critères d'acceptation définis, en tenant compte idéalement du degré de confiance dans
l'appréciation. Dans certains cas, tels que l'occurrence fréquente d'événements aux conséquences
relativement faibles, il peut être utile de prendre en considération leur effet cumulatif sur une certaine
échelle de temps, plutôt que de tenir compte du risque de chaque événement individuellement, car cela
peut fournir une représentation plus réaliste des risques globaux.
Des incertitudes peuvent exister dans la définition de la frontière entre les risques qui exigent un
traitement et ceux qui n'en exigent pas. Dans certaines circonstances, il n'est pas toujours approprié
d'utiliser un seul niveau comme niveau de risque acceptable pour séparer les risques qui exigent un
traitement de ceux qui n'en exigent pas. Dans certains cas, il peut être plus efficace d'inclure un élément
de flexibilité dans les critères en intégrant des paramètres supplémentaires tels que le coût et l'efficacité
des moyens de maîtrise possibles.
Les niveaux de risque peuvent être validés sur la base d'un consensus entre les propriétaires du
risque et les spécialistes métier et techniques. Il est important que les propriétaires du risque aient
une bonne compréhension des risques dont ils sont responsables, qui concorde avec les résultats d'une
appréciation objective. Par conséquent, il convient d'examiner toute disparité entre les niveaux de
risque appréciés et ceux perçus par les propriétaires du risque afin de déterminer lequel se rapproche
le plus de la réalité.
7.4.2 Classement des risques analysés par ordre de priorité en vue de leur traitement
NOTE Le présent paragraphe se rapporte à l'ISO/IEC 27001:2022, 6.1.2 e) 2).
Élément d'entrée: Une liste des résultats de la comparaison des risques avec les critères de risque.
Action: Il convient de classer les risques figurant sur la liste par ordre de priorité, en tenant compte des
niveaux de risque appréciés.
Déclencheur: Le classement par ordre de priorité des risques analysés en vue de leur traitement devient
nécessaire si les risques liés à la sécurité de l'information doivent être traités.

ISO/IEC 27005:2022(F)
Élément de sortie: Une liste des risques classés par ordre de priorité, accompagnée des scénarios qui
conduisent à ces risques.
L'évaluation du risque utilise la compréhension des risques obtenue par l'analyse du risque pour faire
des propositions afin de décider de la prochaine étape à suivre. Il convient que celles-ci précisent:
— si un traitement du risque est nécessaire;
— les priorités de traitement du risque en tenant compte des niveaux de risque appréciés.
Il convient que les critères utilisés pour classer les risques par ordre de priorité tiennent compte des
objectifs de l'organisme, des exigences contractuelles, légales et réglementaires, ainsi que de l'opinion
des parties intéressées concernées. Le classement par ordre de priorité tel qu'il est effectué dans
l'activité d'évaluation du risque est principalement basé sur les critères d'acceptation.
8 Processus de traitement du risque lié à la sécurité de l'information
8.1 Généralités
Les éléments d'entrée du traitement du risque lié à la sécurité de l'information s'appuient sur les
résultats du processus d'appréciation du risque sous la forme d'un ensemble de risques classés par
ordre de priorité à traiter, en fonction de critères de risque.
Le résultat de ce processus est un ensemble de moyens de maîtrise de l'information nécessaires [voir
l'ISO/IEC 27001:2022, 6.1.3 b)] qui doivent être mis en œuvre ou renforcés les uns par rapport aux
autres, conformément au plan de traitement du risque [voir l'ISO/IEC 27001:2022, 6.1.3 e)]. Une fois
les moyens ainsi mis en œuvre, l'efficacité du plan de traitement du risque consistera à modifier le
risque lié à la sécurité de l'information auquel l'organisme est confronté, afin qu'il réponde aux critères
d'acceptation de l'organisme.
8.2 Sélection des options appropriées de traitement du risque lié à la sécurité de

l'information
NOTE Le présent paragraphe se rapporte à l'ISO/IEC 27001:2022, 6.1.3 a).
Élément d'entrée: Une liste des risques classés par ordre de priorité, accompagnée des événements ou
de scénarios de risques qui conduisent à ces risques.
Action: Il convient de sélectionner les options de traitement du risque.
Déclencheur: La sélection des options appropriées de traitement du risque lié à la sécurité de
l'information devient nécessaire si aucun plan de traitement du risque n'existe ou si le plan est
incomplet.
Élément de sortie: Une liste de risques classés par ordre de priorité, accompagnée des options de
traitement du risque sélectionnées.
Les différentes options de traitement du risque comprennent:
— le refus du risque, qui consiste à décider de ne pas commencer ou poursuivre l'activité porteuse du
risque;
— la modification du risque, qui consiste à modifier la vraisemblance de l'occurrence d'un événement
ou des conséquences, ou à modifier la gravité des conséquences;
— la prise de risque, par un choix éclairé;

ISO/IEC 27005:2022(F)
— le partage du risque, qui consiste à répartir les responsabilités entre différentes parties, en interne
ou en externe (par exemple, en partageant les conséquences via une assurance).
EXEMPLE 1 Voici un exemple de refus du risque: un bureau situé dans une zone inondable, où il existe un
risque d'inondation pouvant entraîner des dommages pour ledit bureau, et des restrictions de disponibilité et/
ou d'accès au bureau. Les moyens de maîtrise physiques pertinents peuvent s'avérer insuffisants pour réduire ce
risque, auquel cas l'option de traitement de refus du risque peut être la meilleure option disponible. Cette option
peut impliquer de clore ou d'arrêter les opérations en cours dans ce bureau.
EXEMPLE 2 Autre exemple de refus du risque: le fait de décider de ne pas collecter certaines informations
auprès des personnes, de sorte que l'organisme n'ait pas à gérer, stocker, ni transmettre ces informations dans
ses systèmes d'information.
En cas de partage du risque, au moins un moyen de maîtrise est requis pour modifier la vraisemblance
ou les conséquences, mais l'organisme délègue la responsabilité de la mise en œuvre de ce moyen à une
autre partie.
Il convient de choisir les options de traitement du risque sur la base des résultats de l'appréciation du
risque, du coût prévu de mise en œuvre ainsi que des bénéfices attendus de ces options, individuellement
ou dans le contexte d'autres moyens de maîtrise. Il convient que le traitement du risque soit hiérarchisé
en fonction des niveaux de risque définis, des contraintes de temps et de la séquence de mise en œuvre
nécessaire, ainsi que des résultats de l'évaluation du risque établis en 7.4. Lors du choix de l'option, on
peut tenir compte de la manière dont un risque particulier est perçu par les parties concernées, et des
moyens les plus appropriés de communiquer le risque à ces parties.
8.3 Détermination de l'ensemble des moyens de maîtrise nécessaires pour la mise en

œuvre des options de traitement du risque lié à la sécurité de l'information
NOTE Le présent paragraphe se rapporte à l'ISO/IEC 27001:2022, 6.1.3 b).
Élément d'entrée: Une liste de risques classés par ordre de priorité, accompagnée des options de
traitement du risque sélectionnées.
Action: Dans les ensembles de moyens de maîtrise choisis sélectionnés à partir d'une source appropriée,
déterminer tous les moyens qui sont nécessaires pour traiter les risques sur la base des options de
traitement choisies, par exemple pour modifier, prendre, éviter ou partager les risques.
Déclencheur: Conformité au SMSI; gestion des risques liés à la sécurité de l'information.
Élément de sortie: Tous les moyens de maîtrise nécessaires.
Il convient d'accorder une attention particulière à la détermination des moyens de maîtrise nécessaires.
Il convient de vérifier chaque moyen de maîtrise afin de déterminer s'il est nécessaire en s'interrogeant
sur:
— l'effet qu'a ce moyen sur la vraisemblance ou sur les conséquences de ce risque; et
— la manière dont le moyen de maîtrise maintient le niveau de risque.
Il convient que seuls les moyens de maîtrise ayant plus qu'un effet négligeable sur le risque soient
désignés comme «nécessaires». Il convient d'appliquer un ou plusieurs moyens de maîtrise à chaque
risque évalué comme nécessitant un traitement.
Il existe de nombreuses sources d'ensembles de moyens de maîtrise. Elles se trouvent dans
l'ISO/IEC 27001:2022, Annexe A, dans les codes de bonnes pratiques spécifiques au secteur (par exemple
l'ISO/IEC 27017) et d'autres ensembles de moyens de maîtrise nationaux, régionaux et industriels.
Un organisme peut également déterminer un ou plusieurs moyens de maîtrise «personnalisés» (voir
l'ISO/IEC 27003).

ISO/IEC 27005:2022(F)
Si un moyen de maîtrise personnalisé est défini, il convient que sa formulation décrive sa nature et
son fonctionnement de manière précise et juste. Dans la mesure où il est applicable et approprié, cette
formulation peut opportunément inclure des aspects tels que:
— le fait que le moyen de maîtrise soit documenté ou non;
— l'identité du propriétaire du moyen de maîtrise;
— la méthode de surveillance du moyen de maîtrise;
— la marche à suivre pour le vérifier;
— toute exception;
— la fréquence d'application du moyen de maîtrise;
— la tolérance relative au moyen de maîtrise;
— si elle n'est pas évidente, la raison pour laquelle le moyen de maîtrise existe.
Si le moyen de maîtrise sort du cadre des tolérances spécifiées, il n'est pas utilisé d'une manière
suffisamment efficace pour gérer le risque identifié.
EXEMPLE 1 «Un processus documenté de gestion des logiciels malveillants est en place, sous la responsabilité
du responsable de la sécurité informatique. Il exclut les Mac et l'indicateur de performance est fourni par la
console du fournisseur, et des rapports de performances sont envoyés chaque semaine à la DSI.»
Une approche aussi détaillée de la description du moyen de maîtrise peut être utile si les moyens de
maîtrise personnalisés sont également destinés à aider l'organisme dans l'établissement des rapports
de performance du moyen de maîtrise. Il est toutefois plus important que la description du moyen de
maîtrise ait un sens pour le personnel de l'organisme et l'aide à prendre des décisions concernant la
gestion de ces moyens de maîtrise et des risques associés.
La détermination des moyens de maîtrise peut inclure de nouveaux moyens de maîtrise non encore
mis en œuvre, ou peut inclure l'utilisation de moyens de maîtrise existants au sein de l'organisme.
Cependant, il convient qu'un moyen de maîtrise déjà en place ne soit pas automatiquement inclus dans
l'appréciation du risque, car:
— le moyen de maîtrise n'est pas nécessaire pour gérer un ou plusieurs risques liés à la sécurité de
l'information;
— il peut s'agir d'un moyen de maîtrise qui contribue d'une certaine manière à la gestion d'un ou de
plusieurs risques liés à la sécurité de l'information, mais qui n'est pas suffisamment efficace pour
être inclus dans l'appréciation du risque ni pour être géré par le SMSI, ou;
— il peut être actuellement appliqué pour des raisons qui ne sont pas liées à la sécurité de l'information
(par exemple, qualité, efficience, efficacité ou conformité), ou;
— il est actuellement appliqué, mais, du point de vue de la sécurité de l'information, il peut être
supprimé, car il n'a pas un effet suffisant pour justifier son maintien en tant que moyen de maîtrise
essentiel.
Si un moyen de maîtrise est utilisé à des fins autres que la seule gestion des risques liés à la sécurité de
l'information, il faut veiller à ce que ce moyen soit géré de manière à atteindre les objectifs de sécurité
de l'information et les autres objectifs.
EXEMPLE 2 Un système de vidéosurveillance interne destiné à contrôler la qualité du processus de production
et installé pour des raisons de sécurité de l'information (protection contre la fraude).
Lors de la détermination des moyens de maîtrise à partir d'un ensemble de moyens de maîtrise existant
(par exemple, l'ISO/IEC 27001:2022, Annexe A ou une liste des moyens de maîtrise spécifiques au
secteur), il convient que la formulation du moyen de maîtrise corresponde à ce qui est nécessaire pour
gérer le risque et reflète précisément ce que la mesure est ou doit être. Si l'approche globale consiste à

ISO/IEC 27005:2022(F)
utiliser un ensemble de moyens de maîtrise existant (par exemple, l'ISO/IEC 27001:2022, Annexe A ou
une liste de moyens de maîtrise spécifiques au secteur) et que cet ensemble ne décrive pas précisément
le moyen nécessaire, il convient alors de définir un moyen personnalisé décrivant précisément le moyen
de maîtrise.
Il existe trois types de moyens de maîtrise: les moyens préventifs, les moyens de détection et les moyens
correctifs:
a) moyen de maîtrise préventif: moyen qui vise à empêcher l'occurrence d'un événement de sécurité
de l'information pouvant entraîner une ou plusieurs conséquences;
b) moyen de maîtrise de détection: moyen qui vise à détecter l'occurrence d'un événement de sécurité
de l'information;
c) moyen de maîtrise correctif: moyen qui vise à limiter les conséquences d'un événement de sécurité
de l'information.
Le type de moyen de maîtrise décrit si un moyen agit, ou a comme objectif d'agir, pour empêcher ou
détecter un événement, ou s'il réagit à sa ou ses conséquences.
EXEMPLE 3 Une politique de sécurité de l'information est un moyen de maîtrise qui maintient le risque, mais
la conformité à la politique est destinée à réduire la vraisemblance d'occurrence du risque. Elle peut donc être
classée comme étant préventive.
L'utilité de la catégorisation des moyens de maîtrise comme étant préventifs, de détection et correctifs
réside dans leur application, qui vise à assurer que l'élaboration des plans de traitement du risque
résiste aux défaillances des moyens de maîtrise. À condition d'avoir une combinaison appropriée de
moyens de maîtrise préventifs, de détection et correctifs:
— il convient que les moyens de maîtrise de détection atténuent le risque en cas de défaillance des
moyens de maîtrise préventifs;
— il convient que les moyens de maîtrise correctifs atténuent le risque en cas de défaillance des moyens
de maîtrise de détection;
— il convient que les moyens de maîtrise préventifs réduisent la vraisemblance d'application des
moyens de maîtrise correctifs.
Lors de l'application des moyens de maîtrise, il convient en premier lieu que les organismes déterminent
s'il est possible de détecter l'occurrence d'un événement. Si c'est le cas, il convient de mettre en œuvre
des moyens de maîtrise de détection. S'il n'est pas possible de détecter un événement, les moyens de
maîtrise de détection peuvent être inefficaces et il est impossible de déterminer si un moyen de maîtrise
préventif fonctionne.
EXEMPLE 4 Si l'on ne sait pas avec certitude si un ordinateur fait partie d'un «botnet», il est impossible de
savoir si les moyens de maîtrise utilisés pour empêcher qu'il ne fasse partie d'un botnet fonctionnent comme
prévu.
Les moyens de maîtrise de détection peuvent fonctionner comme prévu, mais rester malgré cela
inefficaces.
EXEMPLE 5 La mise en œuvre de systèmes de détection/prévention des intrusions peut être un moyen
efficace d'empêcher les logiciels malveillants de pénétrer le réseau, mais ils ne sont d'aucune utilité si personne
ne surveille les systèmes/alertes pour agir en cas d'intrusion non contenue.
En fin de compte, les moyens de maîtrise de détection sont généralement inefficaces lorsqu'ils peuvent
être contournés ou lorsque leur notification n'est pas suivie d'une action appropriée. Il convient alors
d'examiner les moyens de maîtrise correctifs. Si les moyens de maîtrise de détection échouent, il est
probable qu'une ou plusieurs conséquences indésirables en résultent. La mise en œuvre des moyens
de maîtrise correctifs peut contribuer à limiter ces conséquences. Bien que les moyens de maîtrise

ISO/IEC 27005:2022(F)
correctifs prennent effet après l'occurrence de la conséquence, ils doivent souvent être mis en œuvre
bien avant qu'un événement survienne.
EXEMPLE 6 Le chiffrement d'un disque dur n'empêche pas le vol d'un ordinateur portable ni les tentatives
ultérieures d'extraction des données qu'il contient. Il permet en revanche de réduire la gravité des conséquences
résultant d'une divulgation des données. Bien entendu, le moyen de maîtrise doit avoir été mis en œuvre avant le
vol de l'ordinateur portable.
La catégorisation des moyens de maîtrise n'est pas absolue et elle dépend du contexte dans lequel
l'application d'un moyen de maîtrise est décrite.
EXEMPLE 7 La sauvegarde n'empêche pas l'occurrence d'un événement qui, autrement, entraînerait une perte
de données (par exemple, la détérioration d'une tête de disque ou la perte d'un ordinateur portable), mais elle
contribue à en réduire les conséquences. Certains organismes peuvent donc considérer qu'il s'agit d'un moyen
de maîtrise correctif plutôt que d'un moyen de maîtrise préventif. De même, le chiffrement n'empêche pas la
perte d'informations, mais si l'événement est décrit comme la «divulgation de données à caractère personnel à un
pirate informatique», alors le chiffrement est un moyen de maîtrise préventif plutôt que correctif.
L'ordre dans lequel les moyens de maîtrise destinés à traiter les risques sont organisés dépend de divers
facteurs. De nombreuses techniques peuvent être utilisées. Il est de la responsabilité des propriétaires
du risque respectifs de décider de l'équilibre entre les coûts d'investissement dans les moyens de
maîtrise et les conséquences à assumer en cas de concrétisation des risques.
L'identification des moyens de maîtrise existants peut permettre de déterminer que ces moyens vont
au-delà des besoins réels. Il convient d'effectuer une analyse coûts-bénéfices avant de supprimer des
moyens de maîtrise redondants ou inutiles (en particulier si leurs coûts de maintenance sont élevés).
Les moyens de maîtrise pouvant s'influencer mutuellement, la suppression des moyens de maîtrise
redondants peut réduire le niveau de sécurité global existant. Il convient que les moyens de maîtrise
ne soient inclus dans le traitement du risque que s'ils sont nécessaires pour gérer un ou plusieurs des
risques identifiés en matière de sécurité de l'information. Il convient qu'un moyen de maîtrise ait un
effet sur les conséquences ou la vraisemblance des risques liés à la sécurité de l'information identifiés. Il
convient que les moyens de maîtrise ne soient pas inclus dans le traitement du risque s'ils sont appliqués
pour des raisons qui ne sont pas liées à la sécurité de l'information.
Il convient de prendre en considération les moyens de maîtrise mis en œuvre, mais connus pour
présenter certaines faiblesses. Si l'appréciation de tous les risques que gère un moyen de maîtrise
présentant des faiblesses est conforme aux critères d'acceptation, il n'est pas nécessaire d'améliorer
ce moyen de maîtrise. Même si le moyen de maîtrise n'est pas totalement efficace, il n'est pas toujours
nécessaire de l'améliorer pour le rendre totalement efficace. Il convient de ne pas supposer que tous les
moyens de maîtrise doivent être totalement efficaces pour que l'organisme gère ses risques de manière
satisfaisante. Il est possible de spécifier que chaque moyen de maîtrise individuel possède un taux de
tolérance ou d'échec en dessous duquel il peut être considéré comme n'étant pas assez efficace pour
gérer les risques identifiés. Tant que le moyen de maîtrise est mis en œuvre dans le cadre des tolérances
spécifiées, il ne nécessite aucune amélioration.
8.4 Comparaison des moyens de maîtrise déterminés avec celles de

l'ISO/IEC 27001:2022, Annexe A
NOTE Le présent paragraphe se rapporte à l'ISO/IEC 27001:2022, 6.1.3 c).
Élément d'entrée: Tous les moyens de maîtrise nécessaires (voir 8.3).

Action: Comparaison de tous les moyens de maîtrise nécessaires avec celles qui sont énumérées dans
l'ISO/IEC 27001:2022, Annexe A.
Déclencheur: L'identification des moyens de maîtrise manquants devient nécessaire si des plans de
traitement du risque sont formulés.
Élément de sortie: Tous les moyens de maîtrise applicables au traitement du risque.

ISO/IEC 27005:2022(F)
L'ISO/IEC 27001:2022, 6.1.3 c), exige qu'un organisme compare les moyens de maîtrise qu'il a déterminés
comme étant nécessaires pour la mise en œuvre des options de traitement du risque sélectionnées
avec les moyens de maîtrise énumérés dans l'ISO/IEC 27001:2022, Annexe A. Cette comparaison a
pour objectif de vérifier qu'aucun moyen de maîtrise nécessaire n'a été omis dans l'appréciation du
risque. Ce contrôle de sécurité n'est pas mis en place pour identifier les moyens de maîtrise issus de
l'ISO/IEC 27001:2022, Annexe A qui pourraient avoir été omis lors de l'appréciation du risque. Il s'agit
d'un contrôle de sécurité dont l'objectif est d'identifier les moyens de maîtrise nécessaires manquants,
quelle que soit leur source, en les comparant avec d'autres normes et listes de moyens de maîtrise. Les
moyens de maîtrise omis identifiés au cours de cette vérification peuvent être spécifiques au secteur ou
personnalisés, ou encore provenir de l'ISO/IEC 27001:2022, Annexe A. Il convient de suivre les lignes
directrices relatives à la détermination des moyens de maîtrise figurant en 8.3 pour déterminer s'il
convient que des moyens de maîtrise manquants soient ajoutés à l'appréciation du risque.
EXEMPLE Il est important qu'un moyen de maîtrise déjà appliqué au sein de l'organisme ne soit pas
automatiquement ajouté à l'appréciation du risque sans autre considération.
Il est important de garder à l'esprit que cette comparaison des moyens de maîtrise est effectuée à partir
de l'appréciation du risque et non à partir de la déclaration d'applicabilité. Le principe est d'examiner
chaque risque à tour de rôle et de comparer les moyens de maîtrise déterminés comme nécessaires
pour ce risque avec celles de l'ISO/IEC 27001:2022, Annexe A afin d'identifier si certains moyens de
maîtrise nécessaires manquent.
8.5 Préparation d'une déclaration d'applicabilité

NOTE Le présent paragraphe se rapporte à l'ISO/IEC 27001:2022, 6.1.3 d).
Élément d'entrée: Tous les moyens de maîtrise applicables au traitement du risque (voir 8.4).
Action: Préparer une déclaration d'applicabilité.
Déclencheur: Documentation de tous les moyens de maîtrise nécessaires, leur justification et leur statut
de mise en œuvre.
Élément de sortie: La déclaration d'applicabilité.
Conformément à l'ISO/IEC 27001:2022, 6.1.3 d), il convient que la déclaration d'applicabilité (DdA)
contienne au moins:
a) les moyens de maîtrise nécessaires;
b) la justification de leur inclusion;
c) l'indication de leurs mises en œuvre;
d) une justification pour toute exclusion des moyens de maîtrise de l'ISO/IEC 27001:2022, Annexe A.
La DdA peut facilement être produite en examinant d'une part l'appréciation du risque pour identifier
les moyens de maîtrise nécessaires, et d'autre part le plan de traitement du risque pour identifier
celles dont la mise en œuvre est prévue. Seuls les moyens de maîtrise identifiés dans l'appréciation du
risque peuvent être inclus dans la DdA. Les moyens de maîtrise ne peuvent pas être ajoutés à la DdA
indépendamment de l'appréciation du risque. Il convient qu'il y ait une cohérence entre les moyens de
maîtrise nécessaires à la réalisation des options de traitement du risque sélectionnées et la DdA. La
DdA peut indiquer que la justification de l'inclusion d'un moyen de maîtrise est la même pour tous les
moyens de maîtrise, à savoir qu'elles ont été identifiées lors de l'appréciation du risque comme étant
nécessaires pour traiter un ou plusieurs risques à un niveau acceptable. Aucune autre justification
de l'inclusion d'un moyen de maîtrise n'est nécessaire pour aucune d'entre elles. Le statut de mise en
œuvre de tous les moyens de maîtrise contenus dans la DdA peut être déclaré comme suit: «mise en

ISO/IEC 27005:2022(F)
œuvre», «partiellement mise en œuvre» ou «non mise en œuvre». Cette déclaration peut être faite
individuellement pour chaque moyen de maîtrise, ou de manière globale.
EXEMPLE La DdA contient la déclaration: «Tous les moyens de maîtrise ont été mis en œuvre». Aucune
analyse ou information supplémentaire n'est nécessaire pour compléter la DdA.
8.6 Plan de traitement du risque lié à la sécurité de l'information
8.6.1 Formulation du plan de traitement du risque

NOTE Le présent paragraphe se rapporte à l'ISO/IEC 27001:2022, 6.1.3 e).
Élément d'entrée: Résultats des appréciations du risque.

Action: Formulation du plan de traitement du risque.
Déclencheur: La nécessité pour l'organisme de traiter les risques.
Élément de sortie: Plan de traitement du risque.
Cette activité a pour objectif de créer un ou plusieurs plans pour traiter des ensembles spécifiques
de risques figurant sur la liste des risques classés par ordre de priorité (voir Article 7). Un plan de
traitement du risque est un plan qui vise à modifier le risque de manière à ce qu'il réponde aux critères
d'acceptation du risque de l'organisme (voir 6.4.2). Il existe deux interprétations possibles du terme
«plan» dans le contexte du traitement du risque. La première est un plan de projet, c'est-à-dire un plan
visant à mettre en œuvre les moyens de maîtrise nécessaires à l'organisme. La seconde est un plan de
conception, c'est-à-dire un plan qui non seulement identifie les moyens de maîtrise nécessaires, mais
qui décrit également comment ils interagissent avec leur environnement et entre eux pour modifier les
risques. En pratique, les deux peuvent être utilisés.
Une fois les moyens de maîtrise en place, le plan de projet n'a plus d'autre valeur que celle d'un
enregistrement historique, alors que le plan de conception reste utile.
Il convient que chaque risque qui doit être traité le soit dans l'un des plans de traitement du risque.
Un organisme peut choisir d'avoir plusieurs plans de traitement du risque qui, ensemble, mettent en
œuvre tous les aspects requis du traitement du risque. Ces plans peuvent être organisés en fonction
de l'endroit où se trouve l'information (par exemple, un plan pour le centre de données, un autre pour
l'informatique mobile, etc.), par bien (par exemple, différents plans pour différentes classifications de
biens) ou par événements (comme ceux utilisés lors de l'appréciation du risque à l'aide de la méthode
basée sur les événements).
Lors de l'élaboration du plan de traitement du risque, il convient que les organismes tiennent compte
des éléments suivants:
— les priorités en fonction du niveau de risque et de l'urgence du traitement;
— l'applicabilité de différents types de moyens de maîtrise (préventifs, de détection, correctifs) ou de
leur composition;
— s'il est nécessaire d'attendre qu'un moyen de maîtrise soit achevé avant d'en mettre un autre en
œuvre pour le même bien;
— s'il existe un délai entre le moment où le moyen de maîtrise est mis en œuvre et le moment où il est
pleinement opérationnel et efficace.
Pour chaque risque traité, il convient que le plan de traitement comprenne les informations suivantes:
— la justification du choix des options de traitement, y compris les avantages attendus;
— les personnes responsables de l'approbation et de la mise en œuvre du plan;

ISO/IEC 27005:2022(F)
— les actions proposées;

— les ressources nécessaires, en tenant compte des impondérables;
— les indicateurs de performance;
— les contraintes;
— les rapports et le suivi requis;
— le moment où les actions sont censées être entreprises et achevées;
— le statut de mise en œuvre.
Il convient que les actions du plan de traitement du risque soient classées par ordre de priorité en
fonction du niveau de risque et de l'urgence du traitement. Plus le niveau de risque est élevé, et dans
certains cas la fréquence d'occurrence du risque, plus le moyen de maîtrise doit être mis en œuvre
rapidement.
Pour chaque risque énuméré dans le plan de traitement du risque, il convient de suivre les informations
détaillées sur la mise en œuvre, qui peuvent inclure, sans s'y limiter, les éléments suivants:
— les noms des propriétaires du risque et des personnes responsables de la mise en œuvre;
— les dates ou le calendrier de mise en œuvre;
— les activités liées aux moyens de maîtrise prévus pour tester le résultat de la mise en œuvre;
— le statut de la mise en œuvre;
— le niveau de coût (investissement, fonctionnement).
8.6.2 Approbation par les propriétaires du risque

NOTE Le présent paragraphe se rapporte à l'ISO/IEC 27001:2022, 6.1.3 f).
Élément d'entrée: Plan(s) de traitement du risque.

Action: Approbation du ou des plans de traitement du risque par les propriétaires du risque.
Déclencheur: La nécessité de l'approbation du ou des plans de traitement du risque.
Élément de sortie: Le ou les plans de traitement du risque approuvés.
Il convient que le plan de traitement du risque lié à la sécurité de l'information soit approuvé par les
propriétaires du risque lorsqu'il est formulé. Il convient également que les propriétaires du risque
décident de l'acceptation du risque résiduel en matière de sécurité de l'information. Il convient que
cette décision soit basée sur des critères d'acceptation du risque définis.
Il convient que les résultats de l'appréciation du risque, le plan de traitement du risque et les risques
résiduels soient compréhensibles pour les propriétaires du risque afin qu'ils puissent s'acquitter
correctement de leurs responsabilités.
8.6.3 Acceptation du risque résiduel en matière de sécurité de l'information

NOTE Le présent paragraphe se rapporte à l'ISO/IEC 27001:2022, 6.1.3 f).
Élément d'entrée: Plan(s) de traitement du risque approuvé(s) et critères d'acceptation du risque.

Action: Déterminer si les risques résiduels sont acceptables.

ISO/IEC 27005:2022(F)
Déclencheur: La nécessité pour l'organisme de décider de prendre les risques résiduels.

Élément de sortie: Risques résiduels acceptés.
Afin de déterminer les risques résiduels, il convient que les plans de traitement du risque alimentent
la réappréciation de la vraisemblance et des conséquences résiduelles. Il convient de tenir compte des
moyens de maîtrise proposés dans les plans de traitement du risque et de leur efficacité pour déterminer
s'ils réduiront la vraisemblance ou les conséquences, ou les deux, et si le niveau de risques résiduels est
attribué aux risques. Le niveau de risques résiduels est ensuite examiné par le propriétaire du risque
afin de déterminer si ces risques sont acceptables.
Il convient que les plans de traitement du risque décrivent la manière dont les risques vont être traités
afin de remplir les critères d'acceptation du risque.
Dans certains cas, le niveau du risque résiduel ne remplit pas toujours les critères d'acceptation du
risque, car les critères appliqués ne tiennent pas compte des circonstances prédominantes.
EXEMPLE Il peut être avancé qu'il est nécessaire de prendre des risques, car les bénéfices liés à ceux-ci sont
très avantageux ou parce que le coût de la réduction du risque est trop élevé.
Toutefois, il n'est pas toujours possible de réviser rapidement les critères d'acceptation du risque. Dans
ce cas, les propriétaires du risque peuvent prendre des risques qui ne remplissent pas les critères
normaux d'acceptation. Si cela s'avère nécessaire, il convient que le propriétaire du risque commente
explicitement les risques et inclue une justification de la décision d'outrepasser les critères normaux
d'acceptation.
L'acceptation du risque peut impliquer un processus visant à obtenir l'approbation des traitements
avant la décision finale d'acceptation du risque. Il est important que les propriétaires du risque
revoient et approuvent les plans de traitement du risque proposés et les risques résiduels associés,
puis enregistrent les conditions associées à l'approbation. En fonction du processus d'appréciation du
risque et des critères d'acceptation du risque, il peut être nécessaire qu'un responsable ayant un niveau
d'autorité supérieur à celui du propriétaire du risque valide l'acceptation du risque.
La mise en œuvre d'un plan permettant de traiter les risques appréciés peut prendre un certain temps.
Les critères de risque peuvent permettre que les niveaux de risque dépassent un seuil souhaité dans
une certaine mesure s'il existe un plan permettant de réduire ce risque dans un délai acceptable. Les
décisions d'acceptation du risque peuvent tenir compte des délais prévus dans les plans de traitement
du risque et du fait que la mise en œuvre du traitement du risque progresse ou non conformément à ce
qui est prévu.
Certains risques peuvent varier dans le temps (que ce changement soit dû ou non à la mise en œuvre
d'un plan de traitement du risque). Les critères d'acceptation du risque peuvent en tenir compte et avoir
des seuils d'acceptation du risque qui dépendent de la durée pendant laquelle un organisme peut être
exposé à un risque apprécié.
9 Réalisation des activités opérationnelles
9.1 Réalisation du processus d'appréciation du risque lié à la sécurité de l'information

Élément d'entrée: Documents relatifs au processus d'appréciation du risque lié à la sécurité de

l'information, y compris l'appréciation du risque et les critères d'acceptation du risque.
Action: Il convient de réaliser le processus d'appréciation du risque conformément à l'Article 7.
Déclencheur: La nécessité pour l'organisme d'apprécier les risques, à intervalles réguliers ou en fonction
des événements.

ISO/IEC 27005:2022(F)
Élément de sortie: Les risques évalués.

Il convient que le processus d'appréciation du risque lié à la sécurité de l'information défini et appliqué
dans l'ISO/IEC 27001:2022, 6.1 soit intégré aux opérations de l'organisme et il convient de le mettre en
œuvre à intervalles réguliers ou lorsque des changements significatifs sont proposés ou se produisent.
Il convient que le processus d'appréciation du risque lié à la sécurité de l'information tienne compte
des critères établis dans l'ISO/IEC 27001:2022, 6.1.2 a). Il convient que les intervalles suivant lesquels
l'appréciation du risque est réalisée soient appropriés au SMSI. Lorsqu'un changement significatif
du SMSI (ou de son contexte) ou un changement des menaces se produit (par exemple, un nouveau
type d'attaque en matière de sécurité de l'information), il convient que l'organisme détermine si ce
changement nécessite une appréciation supplémentaire du risque lié à la sécurité de l'information.
Lors de la planification des appréciations régulières du risque, il convient que les organismes tiennent
compte de tout calendrier s'appliquant à leurs processus métier généraux et aux cycles budgétaires
associés.
EXEMPLE Si le cycle budgétaire est annuel, l'organisme peut avoir besoin de soumettre des demandes de
financement à une certaine période de l'année. Les fonds sont ensuite accordés (diminués ou refusés) plus tard.
Si les processus d'approvisionnement sont impliqués, il peut se passer un autre cycle avant de pouvoir
procéder à la mise en œuvre des recommandations de traitement du risque et à l'appréciation de
leur efficacité avant la prochaine appréciation régulière du risque. Dans ce cas, il convient que les
appréciations du risque soient programmées de sorte:
a) à établir leurs recommandations de traitement du risque à temps pour la demande de financement;
b) à être appréciées de nouveau après les résultats des attributions de budget;
c) à effectuer la prochaine appréciation régulière, une fois les recommandations mises en œuvre,
après toute activité d'approvisionnement.
9.2 Réalisation du processus de traitement du risque lié à la sécurité de l'information

Élément d'entrée: Le ou les risques évalués.

Action: Il convient de réaliser le processus de traitement du risque conformément à l'Article 8.
Déclencheur: La nécessité pour l'organisme de traiter les risques, à intervalles réguliers ou en fonction
des événements.
Élément de sortie: Les risques résiduels pris ou acceptés.
L'ISO/IEC 27001:2022, 8.3, spécifie des exigences permettant aux organismes d'assurer la mise en
œuvre de leurs plans de traitement du risque. Les considérations qui figurent en 8.6 sont également
pertinentes pour le présent paragraphe.
10 Exploiter les processus SMSI connexes
10.1 Contexte de l'organisme

NOTE Le présent paragraphe se rapporte à l'ISO/IEC 27001:2022, Article 4.
Élément d'entrée: Les informations relatives à l'organisme et à ses contextes internes et externes.

ISO/IEC 27005:2022(F)
Action: Il convient de tenir compte de toutes les données pertinentes afin d'identifier et de décrire les
enjeux internes et externes qui exercent une influence sur la gestion des risques liés à la sécurité de
l'information et sur les exigences des parties intéressées.
Déclencheur: L'ISO/IEC 27001:2022 spécifie des exigences relatives à ces informations pour pouvoir
établir des objectifs de sécurité de l'information.
Élément de sortie: Les enjeux internes et externes liés aux risques exerçant une influence sur la gestion
des risques liés à la sécurité de l'information.
Il convient que l'organisme ait une compréhension de haut niveau (par exemple stratégique) des enjeux
importants pouvant affecter le SMSI de manière positive ou négative. Il convient en outre qu'il ait
connaissance des contextes internes et externes pertinents par rapport à sa finalité, et qui affecte sa
capacité à atteindre le ou les résultats attendus de son SMSI. Il convient que les résultats escomptés
garantissent la préservation de la confidentialité, de l'intégrité et de la disponibilité des informations
par l'application du processus de gestion des risques et par la connaissance des risques gérés de
manière appropriée.
Pour identifier les risques de manière fiable, il convient que l'organisme comprenne de manière
suffisamment détaillée les circonstances dans lesquelles il opère. Cela signifie qu'il convient que
l'organisme rassemble des informations concernant les contextes internes et externes de l'organisme,
ses parties intéressées et leurs exigences (voir l'ISO/IEC 27001:2022, 4.1 et 4.2). Il convient que la
collecte de ces informations soit effectuée avant que l'organisme ne tente d'apprécier les risques liés
à la sécurité de l'information, ou tout autre risque qui puisse affecter les résultats escomptés du SMSI
(voir l'ISO/IEC 27001:2022, 6.1.1).
Il convient que l'organisme prenne en compte toutes les sources de risque internes et externes. La
compréhension par l'organisme des parties intéressées qui lui sont opposées et de leurs intérêts est
essentielle.
EXEMPLE 1 Le pirate informatique est un exemple de cas de partie intéressée dont les intérêts sont opposés
aux objectifs de l'organisme. Il souhaite que le niveau de sécurité de l'organisme soit faible. L'organisme tient
compte de l'intérêt de cette partie en mettant en place le contraire (un niveau de sécurité élevé), c'est-à-dire qu'il
envisage d'éventuels conflits avec les objectifs du SMSI. L'organisme s'assure, par le biais de mesures efficaces de
sécurité de l'information, que ces intérêts ne soient pas satisfaits.
Il convient que les interfaces avec des services ou activités qui ne relèvent pas entièrement du domaine
d'application du SMSI soient incluses dans l'appréciation du risque lié à la sécurité de l'information de
l'organisme.
EXEMPLE 2 Le partage de biens (par exemple: installations, systèmes informatiques et bases de données)
avec d'autres organismes ou l'externalisation d'une fonction métier est un exemple de situation de ce type.
La façon dont les autres facteurs pertinents influençant la sécurité de l'information sont pris en compte
dépend du choix de l'organisme quant aux méthodes d'identification et d'analyse du risque.
Les objectifs de sécurité de l'information de l'organisme (voir l'ISO/IEC 27001:2022, 6.2) peuvent limiter
les critères d'acceptation du risque (par exemple, le niveau de risque acceptable peut être fonction des
bénéfices potentiels associés à différentes activités de l'organisme). En outre, la politique de sécurité
de l'information peut limiter le traitement du risque (par exemple, certaines options de traitement du
risque peuvent être exclues par cette politique).
10.2 Leadership et engagement

Élément d'entrée: Les informations relatives aux résultats de l'appréciation du risque lié à la sécurité de
l'information ou aux résultats du traitement du risque lié à la sécurité de l'information qui exigent une
approbation.

ISO/IEC 27005:2022(F)
Action: Il convient qu'un niveau de management approprié tienne compte des résultats relatifs aux
risques liés à la sécurité de l'information pour décider d'autres actions ou les autoriser.
Déclencheur: L'ISO/IEC 27001 exige l'implication d'un niveau de management approprié dans toutes les
activités liées aux risques liés à la sécurité de l'information.
Élément de sortie: Décisions ou approbations concernant les risques liés à la sécurité de l'information.
La direction générale est responsable de la gestion des risques et il convient qu'elle pilote et oriente les
appréciations du risque, notamment:
— en s'assurant que les ressources nécessaires sont allouées à la gestion des risques;
— en attribuant l'autorité et la responsabilité aux niveaux appropriés de l'organisme en ce qui concerne
la gestion des risques;
— en communiquant avec les parties intéressées concernées.
10.3 Communication et concertation

NOTE 1 Le présent paragraphe se rapporte à l'ISO/IEC 27001:2022, 7.4.
NOTE 2 L'ISO/IEC 27001:2022 fait directement référence à la partie relative à la communication de cette
activité.
Élément d'entrée: Informations sur les risques, leurs causes, leurs conséquences et leur vraisemblance
identifiés par les processus de gestion des risques.
Action: Il convient que les informations sur les risques, leurs causes, leurs conséquences, leur
vraisemblance et les moyens de maîtrise mis en œuvre pour les traiter soient communiquées aux
parties intéressées externes et internes, ou fournies par celles-ci.
Déclencheur: L'ISO/IEC 27001 exige une telle communication.
Élément de sortie: Perceptions et compréhension permanente des parties intéressées concernant le
processus de gestion des risques liés à la sécurité de l'information de l'organisme et ses résultats.
L'activité de communication et de concertation vise à atteindre un accord sur la manière de gérer les
risques par l'échange et/ou le partage des informations relatives aux risques avec les propriétaires
du risque et les autres parties intéressées concernées. Ces informations incluent, sans toutefois s'y
limiter, l'existence, la nature, le type, la vraisemblance, les conséquences, l'importance, le traitement et
l'acceptation du risque.
L'ISO/IEC 27001:2022, 6.1.2 c) 2) exige l'identification des propriétaires du risque lié à la sécurité de
l'information. La propriété d'un risque peut être intentionnellement confondue ou dissimulée. Même
lorsque les propriétaires du risque peuvent être identifiés, ils peuvent être réticents à reconnaître
qu'ils sont responsables des risques dont ils sont propriétaires, et il peut être difficile d'obtenir leur
participation au processus de gestion des risques. Il convient de définir une procédure de communication
pour informer les personnes concernées de la propriété des risques.
L'ISO/IEC 27001:2022, 6.1.3 f) exige que les propriétaires du risque approuvent le ou les plans de
traitement du risque et décident de l'acceptation du risque résiduel. La communication entre les
propriétaires du risque et le personnel responsable de la mise en œuvre du SMSI est une activité
importante. Il convient qu'un accord soit convenu concernant la manière de gérer les risques par
l'échange et/ou le partage des informations relatives aux risques avec les propriétaires du risque,
voire d'autres parties intéressées et décideurs. Ces informations incluent, sans toutefois s'y limiter,
l'existence, la nature, le type, la vraisemblance, l'importance, le traitement et l'acceptation du risque. Il
convient que la communication soit bidirectionnelle.

ISO/IEC 27005:2022(F)
Selon la nature et la sensibilité du ou des risques, il peut être nécessaire de limiter certaines
informations sur les risques, leur appréciation et leur traitement, sur la base du besoin de connaître,
aux personnes chargées de leur identification, de leur appréciation et de leur traitement. Il convient de
contrôler la communication relative au risque sur la base du «besoin de connaître», en tenant compte
du niveau de détail requis par les différentes parties intéressées, en concertation avec les propriétaires
ou propriétaires potentiels du risque, dans le but d'éviter de rendre publics les risques les plus sensibles
et les faiblesses connues qui leur sont associées.
Les perceptions du risque peuvent varier en raison de différences d'hypothèses, de concepts, de besoins,
d'enjeux et de préoccupations des parties intéressées concernées en relation avec le risque ou les enjeux
abordés. Les parties intéressées sont susceptibles d'émettre des jugements concernant l'acceptation du
risque sur la base de leur perception du risque. Il est particulièrement important de veiller à ce que les
perceptions du risque par les parties intéressées, ainsi que leurs perceptions des bénéfices, puissent
être identifiées et documentées, et que les raisons sous-jacentes soient clairement comprises et traitées.
La communication et la concertation concernant les risques peuvent améliorer l'engagement des parties
intéressées dans ce qui est réalisé et permettre aux parties intéressées concernées de s'approprier
les décisions et les résultats. La communication et la concertation avec les parties intéressées, au fur
et à mesure de l'élaboration des critères et du choix des méthodes d'appréciation du risque, peuvent
également améliorer l'appropriation des résultats par les parties intéressées. Les parties intéressées
sont moins susceptibles de remettre en question les résultats de processus qu'elles ont contribué à
concevoir. En conséquence, la vraisemblance qu'elles acceptent les conclusions et soutiennent les plans
d'action est souvent accrue. Lorsque les parties intéressées sont des responsables, cela peut renforcer
l'engagement à atteindre les objectifs de gestion des risques et à fournir les ressources nécessaires.
Il convient de procéder à la communication relative aux risques afin:
— d'assurer les résultats de la gestion des risques de l'organisme;
— de collecter les informations relatives aux risques;
— de partager les résultats de l'appréciation du risque et de présenter le plan de traitement du risque;
— d'éviter ou de réduire à la fois l'occurrence et les conséquences des vulnérabilités de sécurité de
l'information dues à un manque de compréhension mutuelle entre les propriétaires du risque et les
parties intéressées;
— de soutenir les propriétaires du risque;
— d'acquérir de nouvelles connaissances en sécurité de l'information;
— d'assurer la coordination avec les autres parties et de prévoir des réponses destinées à réduire les
conséquences des incidents pouvant survenir;
— de responsabiliser les propriétaires du risque et les autres parties ayant un intérêt légitime dans le
risque;
— d'améliorer la sensibilisation à la sécurité de l'information.
Il convient qu'un organisme élabore des plans de communication relative aux risques dans le cadre des
opérations normales ainsi que dans les situations d'urgence. Il convient que l'activité de communication
et de concertation relatives aux risques soit continue.
La coordination entre les principaux propriétaires du risque et les parties intéressées concernées peut
être mise en œuvre par la formation d'un comité servant de cadre à un débat sur les risques, leur niveau
de priorité, leur traitement et leur acceptation.
Les communications relatives aux risques peuvent être transmises volontairement à des tiers externes
afin d'améliorer la gestion des risques, la coordination des réponses ou la sensibilisation, et peuvent
également être exigées par les organismes de régulation ou les partenaires commerciaux dans certaines
circonstances.

ISO/IEC 27005:2022(F)
Il est important de coopérer avec les services appropriés de relations publiques ou de communication
au sein de l'organisme afin de coordonner toutes les tâches associées à la communication relative aux
risques. Cette coopération est essentielle en cas d'activation d'une communication de crise, par exemple
en réponse à des incidents spécifiques.
10.4 Informations documentées
L'ISO/IEC 27001 spécifie des exigences permettant aux organismes de conserver des informations
documentées sur le processus d'appréciation du risque (voir l'ISO/IEC 27001:2022, 6.1.2) et ses
résultats (voir l'ISO/IEC 27001:2022, 8.2); le processus de traitement du risque (ISO/IEC 27001:2022,
6.1.3) et ses résultats (ISO/IEC 27001:2022, 8.3).
10.4.2 Informations documentées concernant les processus
Élément d'entrée: Connaissances relatives aux processus d'appréciation et de traitement du risque lié à
la sécurité de l'information conformément aux Articles 7 et 8, définies par l'organisme.
Action: Il convient de documenter et de conserver les informations sur les processus d'appréciation et
de traitement du risque lié à la sécurité de l'information.
Déclencheur: L'ISO/IEC 27001 exige des informations documentées concernant les processus
d'appréciation et de traitement du risque lié à la sécurité de l'information.
Élément de sortie: Les informations documentées exigées par les parties intéressées (par exemple,
organisme de certification) ou identifiées par l'organisme comme étant nécessaires pour l'efficacité des
processus d'appréciation ou de traitement du risque lié à la sécurité de l'information.
Il convient que les informations documentées concernant le processus d'appréciation du risque lié à la
sécurité de l'information comportent les éléments suivants:
a) une définition des critères de risque, y compris les critères d'acceptation du risque et les critères de
réalisation d'appréciations du risque lié à la sécurité de l'information);
b) une justification de la cohérence, de la validité et de la comparabilité des résultats;
c) une description de la méthode d'identification des risques (y compris l'identification des
propriétaires du risque);
d) une description de la méthode d'analyse du risque lié à la sécurité de l'information (y compris
l'appréciation des conséquences potentielles, la vraisemblance réaliste et le niveau de risque qui en
découle);
e) une description de la méthode de comparaison des résultats avec les critères de risque et le
classement des risques par ordre de priorité en vue de leur traitement.
Il convient que les informations documentées concernant le processus de traitement du risque lié à la
sécurité de l'information comportent les descriptions de:
— la méthode à utiliser pour choisir les options de traitement du risque lié à la sécurité de l'information;
— la méthode à utiliser pour déterminer les moyens de maîtrise nécessaires;
— la manière dont l'ISO/IEC 27001:2022, Annexe A est utilisée pour déterminer que des moyens de
maîtrise nécessaires n'ont pas été omis par inadvertance;

ISO/IEC 27005:2022(F)
— la manière dont les plans de traitement du risque sont produits;

— la manière dont l'approbation des propriétaires de risque est obtenue.
10.4.3 Informations documentées concernant les résultats
Élément d'entrée: Les résultats de l'appréciation et du traitement du risque lié à la sécurité de

l'information.
Action: Il convient de documenter et de conserver les informations sur les résultats de l'appréciation et
du traitement du risque lié à la sécurité de l'information.
Déclencheur: L'ISO/IEC 27001 exige des informations documentées concernant les résultats de
l'appréciation et du traitement du risque lié à la sécurité de l'information.
Élément de sortie: Les informations documentées concernant les résultats de l'appréciation et le
traitement du risque lié à la sécurité de l'information.
Dans la mesure où les organismes sont tenus d'effectuer des appréciations du risque selon des
intervalles planifiés ou lorsque des changements importants sont proposés ou se produisent, il convient
qu'il y ait au moins des preuves de l'existence d'un calendrier et de la réalisation d'appréciations du
risque conformément à ce calendrier. Si un changement est proposé ou s'est produit, il convient qu'il y
ait des preuves de la réalisation d'une appréciation du risque associée. Dans le cas contraire, il convient
que l'organisme explique pourquoi le changement est important ou non.
Il convient que les informations documentées concernant les résultats de l'appréciation du risque lié à
la sécurité de l'information comportent les éléments suivants:
a) les risques identifiés, leurs conséquences et leur vraisemblance;
b) l'identité du ou des propriétaires du risque;
c) les résultats de l'application des critères d'acceptation du risque;
d) la priorité de traitement du risque.
Il est également recommandé d'enregistrer la justification des décisions relatives aux risques, afin de
tirer les leçons des erreurs commises dans des cas individuels et de faciliter l'amélioration continue.
Il convient que les informations documentées concernant les résultats du traitement du risque lié à la
sécurité de l'information comportent les éléments suivants:
— l'identification des moyens de maîtrise nécessaires;
— le cas échéant et lorsqu'elle est disponible, la preuve que l'action de ces moyens de maîtrise
nécessaires modifie les risques de manière à satisfaire aux critères d'acceptation du risque de
l'organisme.
10.5 Surveillance et revue
Il convient que le processus de surveillance de l'organisme (voir l'ISO/IEC 27001:2022, 9.1) englobe tous
les aspects des processus d'appréciation et de traitement du risque afin:
a) de s'assurer que les traitements des risques sont efficaces, efficients et économiques tant dans leur
conception que dans leur fonctionnement;

ISO/IEC 27005:2022(F)
b) d'obtenir des informations en vue d'améliorer les futures appréciations du risque;

c) d'analyser les incidents (y compris les accidents évités de justesse), les changements, les tendances,
les succès et les échecs, et d'en tirer des leçons;
d) de détecter les changements dans les contextes internes et externes, y compris les changements
concernant les critères de risque et les risques eux-mêmes, qui peuvent nécessiter une révision des
traitements des risques et des priorités;
e) d'identifier les risques émergents.
Les scénarios de risques acceptés, issus des activités de gestion des risques, peuvent être transposés
en scénarios de surveillance afin d'assurer une surveillance efficace. De plus amples informations
concernant les scénarios de surveillance sont disponibles à A.2.7.
10.5.2 Surveillance et revue des facteurs ayant une influence sur les risques
Élément d'entrée: L'ensemble des informations relatives aux risques issues des activités de gestion des
risques.
Action: Il convient de surveiller et de revoir les risques et leurs facteurs (à savoir valeur des biens,
conséquences, menaces, vulnérabilités et vraisemblance d'occurrence) pour identifier au plus tôt toutes
les modifications dans le contexte de l'organisme et pour bénéficier d'une vue générale des risques.
Déclencheur: Revue de la politique organisationnelle et détection de tout changement du fonctionnement
actuel ou de l'environnement des menaces.
Élément de sortie: Alignement continu de la gestion des risques avec les objectifs métier de l'organisme
ainsi qu'avec les critères d'acceptation du risque.
L'ISO/IEC 27001:2022, 9.1, exige que les organismes évaluent leurs performances en matière de sécurité
de l'information (et d'efficacité du SMSI). Conformément à cette exigence, il convient que les organismes
utilisent leur(s) plan(s) de traitement du risque comme sujet pour l'évaluation de leurs performances.
Pour ce faire, il convient qu'un organisme définisse d'abord un ou plusieurs besoins d'information,
par exemple pour décrire ce que la direction générale souhaite savoir sur la capacité de l'organisme
à se défendre contre les menaces. En utilisant ces besoins comme spécification de niveau supérieur,
il convient que l'organisme détermine ensuite les mesurages qu'il doit produire et la manière dont ils
doivent être combinés pour satisfaire le besoin d'information.
Les risques ne sont pas statiques. Les événements, la valeur des biens, les menaces, les vulnérabilités,
la vraisemblance et les conséquences peuvent changer brutalement sans aucune indication préalable. Il
convient de procéder à une surveillance constante afin de détecter ces changements. Cette surveillance
peut être assurée par des services externes qui fournissent des informations relatives à de nouvelles
menaces ou vulnérabilités. Il convient que les organismes assurent la surveillance continue des facteurs
pertinents, tels que:
a) les nouvelles sources de risque, notamment les vulnérabilités récemment signalées dans les
technologies de l'information;
b) les nouveaux biens ayant été inclus dans le domaine d'application de la gestion des risques;
c) les modifications nécessaires des valeurs des biens (en raison par exemple des modifications des
exigences métier);
d) les vulnérabilités identifiées pour déterminer celles qui sont désormais exposées à des menaces
nouvelles ou qui réapparaissent;

ISO/IEC 27005:2022(F)
e) les changements dans les modalités d'utilisation des technologies existantes ou nouvelles qui
pourraient donner lieu à de nouvelles possibilités d'attaque;
f) les modifications applicables à la législation et à la réglementation;
g) les changements de goût du risque et de la perception de ce qui est à présent acceptable et de ce qui
ne l'est plus;
h) les incidents liés à la sécurité de l'information, à l'intérieur comme en dehors de l'organisme.
De nouvelles sources de risque ou modifications de la vraisemblance d'occurrence ou conséquences
peuvent accroître les risques appréciés auparavant. Il convient que la revue des risques peu élevés
et acceptés porte sur chaque risque séparément, puis sur l'ensemble des risques de manière globale,
afin d'apprécier le cumul potentiel des conséquences. Si les risques ne relèvent plus de la catégorie de
risques peu élevés ou acceptables, il convient de les traiter à l'aide d'une ou de plusieurs des options
présentées en 8.2.
Les facteurs affectant la vraisemblance de la survenue des événements et des conséquences qui leur
sont associées peuvent changer, de même que les facteurs affectant l'adéquation ou le coût des diverses
options de traitement. Il convient que les modifications majeures de l'organisme entraînent une revue
plus spécifique. Il convient de répéter régulièrement les activités de surveillance des risques et de
revoir périodiquement les options choisies de traitement du risque.
De nouvelles menaces, vulnérabilités ou modifications de la vraisemblance ou des conséquences
peuvent accroître les risques appréciés auparavant comme des risques peu élevés. Il convient que la
revue des risques peu élevés et acceptés prenne en compte chaque risque séparément, puis l'ensemble
des risques de manière globale, afin d'apprécier le cumul potentiel des conséquences. Si les risques ne
relèvent pas de la catégorie de risques peu élevés ou acceptables, il convient de les traiter à l'aide d'une
ou de plusieurs options présentées à l'Article 8.
Les facteurs affectant la vraisemblance d'occurrence des menaces et des conséquences qui leur sont
associées peuvent changer, de même que les facteurs affectant l'adéquation et le coût des diverses
options de traitement. Il convient que les modifications majeures de l'organisme entraînent une revue
plus spécifique. Il convient de répéter régulièrement les activités de surveillance des risques et de
revoir périodiquement les options choisies de traitement du risque.
Le résultat des activités de surveillance des risques peut servir d'élément d'entrée pour d'autres activités
de revue des risques. Il convient que l'organisme revoie l'ensemble des risques régulièrement et lorsque
des changements majeurs sont proposés ou se produisent, conformément à l'ISO/IEC 27001:2022,
Article 8.
10.6 Revue de direction

Élément d'entrée: Résultats de l'appréciation ou des appréciations du risque lié à la sécurité de

l'information, état du plan de traitement du risque lié à la sécurité de l'information.
Action: Il convient de revoir les résultats de l'appréciation du risque lié à la sécurité de l'information et
l'état du plan de traitement du risque lié à la sécurité de l'information afin de confirmer que les risques
résiduels répondent aux critères d'acceptation du risque et que le plan de traitement du risque tient
compte de tous les risques pertinents et de leurs options de traitement.
Déclencheur: Fait partie du calendrier prévu des activités de revue.
Élément de sortie: Modification des critères d'acceptation du risque et des critères de réalisation des
appréciations du risque lié à la sécurité de l'information, mise à jour du plan de traitement du risque lié
à la sécurité de l'information ou de la déclaration d'applicabilité (DdA).

ISO/IEC 27005:2022(F)
10.7 Action corrective

Élément d'entrée: Le plan de traitement du risque s'avère inefficace, ce qui signifie que le risque résiduel
restera à des niveaux inacceptables après l'achèvement du plan de traitement.
Action: Réviser le plan de traitement du risque et le mettre en œuvre de façon à ramener le risque
résiduel à un niveau acceptable.
Déclencheur: La décision de révision du plan de traitement du risque.
Élément de sortie: Un plan de traitement du risque révisé et sa mise en œuvre.
Des non-conformités concernant l'efficacité du plan de traitement du risque peuvent être mises en
évidence par un audit interne ou externe, ou par le biais d'activités de surveillance et d'indicateurs. Il
convient de revoir le plan de traitement afin qu'il reflète:
— les résultats du processus de traitement du risque lié à la sécurité de l'information;
— la mise en œuvre progressive du plan (par exemple, un moyen de maîtrise est mis en œuvre tel que
spécifié, tel que conçu, tel que créé);
— les difficultés identifiées dans la mise en œuvre des moyens de maîtrise (par exemple, des enjeux
techniques ou financiers, des incohérences avec des facteurs internes ou externes tels que des
considérations relatives à la protection de la vie privée).
Il existe également des cas où, même si les risques résiduels sont acceptables après l'achèvement du
plan de traitement, les utilisateurs rejetteront son utilisation ou tenteront de le contourner parce que
ces moyens de maîtrise ne sont pas acceptés par les utilisateurs en termes de facilité d'utilisation (par
exemple, pas ergonomiques, trop compliqués ou trop longs).
Il convient que l'organisme revoie l'efficacité du plan de traitement révisé.
10.8 Amélioration continue

NOTE Le présent paragraphe se rapporte à l'ISO/IEC 27001:2022, 10.2
Élément d'entrée: L'ensemble des informations relatives aux risques issues des activités de gestion des
risques.
Action: Il convient de constamment surveiller, revoir et améliorer le processus de gestion des risques
liés à la sécurité de l'information si nécessaire.
Déclencheur: L'organisme cherche à s'améliorer et à monter en maturité à partir des leçons tirées de la
mise en œuvre du processus de gestion des risques liés à la sécurité de l'information
Élément de sortie: Pertinence permanente du processus de gestion des risques liés à la sécurité de
l'information avec les objectifs métier de l'organisme ou mise à jour du processus.
Une surveillance et une revue permanentes visant à s'assurer que le contexte, les résultats de
l'appréciation et du traitement du risque, ainsi que les plans de gestion restent pertinents et adaptés aux
circonstances, sont nécessaires pour garantir que le processus de gestion des risques liés à la sécurité
de l'information est correct.
Il convient que l'organisme s'assure que le processus de gestion des risques liés à la sécurité de
l'information et les activités associées restent adaptés aux circonstances actuelles et qu'ils soient
respectés. Il convient de notifier aux responsables concernés toute amélioration acceptée apportée

ISO/IEC 27005:2022(F)
au processus ou toute action nécessaire pour améliorer la conformité au processus. Il convient que
ces responsables aient l'assurance qu'aucun risque ou élément de risque n'est négligé ou sous-estimé,
que les mesures nécessaires sont adoptées et que des décisions sont prises afin de permettre une
compréhension des risques et une capacité de réaction réalistes.
Il convient de noter qu'il convient que le processus de gestion des changements fournisse en permanence
un retour d'information au processus de gestion des risques afin de s'assurer que les variations des
systèmes d'information susceptibles de modifier les risques seront rapidement prises en compte, voire
que le programme des activités d'appréciation du risque sera modifié afin de les évaluer correctement.
En outre, il convient que l'organisme vérifie régulièrement les critères utilisés pour mesurer le risque. Il
convient que cette vérification assure que tous les éléments sont toujours valides et cohérents avec les
objectifs, les stratégies et les politiques de l'organisme, et que les changements du contexte de l'activité
sont pris en compte de manière adéquate au cours du processus de gestion des risques liés à la sécurité
de l'information. Il convient que cette activité de surveillance et de revue aborde les points suivants
(sans toutefois s'y limiter):
— le contexte légal et environnemental;
— le contexte concurrentiel;
— l'approche liée à l'appréciation du risque;
— la valeur et les catégories de biens;
— les critères de conséquences;
— les critères de vraisemblance;
— les critères d'évaluation du risque;
— les critères d'acceptation du risque;
— le coût total de possession;
— les ressources nécessaires.
Il convient que l'organisme s'assure que les ressources relatives à l'appréciation et au traitement du
risque soient constamment disponibles pour revoir les risques, traiter des menaces ou des vulnérabilités
nouvelles ou modifiées et conseiller les dirigeants en conséquence.
La surveillance de la gestion des risques peut entraîner la modification ou l'enrichissement de
l'approche, de la méthodologie ou des outils utilisés en fonction:
— de la maturité de l'organisme en matière de risques;
— des changements identifiés;
— de l'itération de l'appréciation du risque;
— de l'objectif du processus de gestion des risques liés à la sécurité de l'information (par exemple, la
continuité de l'activité, la résilience aux incidents, la conformité);
— du domaine d'application du processus de gestion des risques liés à la sécurité de l'information
(par exemple, l'organisme, l'entité opérationnelle, le processus d'informations, sa mise en œuvre
technique, son application, sa connexion à Internet).
Les cycles de gestion des risques relatifs au domaine d'application de l'appréciation du risque et du
traitement du risque sont présentés en 5.2.

ISO/IEC 27005:2022(F)
Annexe A
(informative)
Techniques à l'appui du processus d'appréciation du risque —

Exemples
A.1 Critères de risque lié à la sécurité de l'information

A.1.1 Critères relatifs à l'appréciation du risque
A.1.1.1 Considérations générales concernant l'appréciation du risque
En général, l'incertitude personnelle domine l'appréciation du risque lié à l'information, et les différents
analystes auront des attitudes différentes vis-à-vis de l'incertitude lorsqu'ils interpréteront les points
des échelles de vraisemblance et de conséquences. Il convient que les échelles de référence relient
les catégories de conséquences, de vraisemblance et de risques à des valeurs objectives communes
spécifiées sans ambiguïté, éventuellement exprimées en termes tels que la perte financière en unités
monétaires et la fréquence théorique d'occurrence dans une période déterminée, qui sont spécifiques à
l'approche quantitative.
En particulier lorsque l'approche qualitative est adoptée, il convient que les analystes du risque suivent
une formation et s'exercent périodiquement à l'aide d'une échelle de référence d'ancrage afin de
maintenir le niveau de leur capacité de jugement.
A.1.1.2 Approche qualitative
A.1.1.2.1 Échelle de conséquences
Le Tableau A.1 présente un exemple d'échelle de conséquences.
Tableau A.1 — Exemple d'échelle de conséquences

Conséquences Description
Conséquences sectorielles ou réglementaires au-delà de l'organisme.
Écosystème(s) sectoriel(s) impacté(s) de façon importante, avec des conséquences
éventuellement durables.
5 – Catastrophiques Et/ou: difficulté pour l'État, voire incapacité, d'assurer une fonction réglementaire ou
une de ses missions d'importance vitale.
Et/ou: conséquences critiques sur la sécurité des personnes et des biens (crise sani-
taire, pollution environnementale majeure, destruction d'infrastructures essentielles,
etc.).
Conséquences désastreuses pour l'organisme.
Incapacité pour l'organisme d'assurer la totalité ou une partie de son activité, avec
4 – Critiques d'éventuelles conséquences graves sur la sécurité des personnes et des biens. L'orga-
nisme ne surmontera vraisemblablement pas la situation (sa survie est menacée), les
secteurs d'activité ou les secteurs publics dans lesquels il opère seront susceptibles
d'être légèrement impactés, sans conséquences durables.

ISO/IEC 27005:2022(F)
Tableau A.1 (suite)

Conséquences importantes pour l'organisme.
Forte dégradation des performances de l'activité, avec d'éventuelles conséquences
3 – Graves significatives sur la sécurité des personnes et des biens. L'organisme surmontera la
situation avec de sérieuses difficultés (fonctionnement en mode très dégradé), sans
impact au niveau du secteur ou de l'État.
Conséquences significatives, mais limitées pour l'organisme.
2 – Significatives Dégradation des performances de l'activité sans conséquences sur la sécurité des per-
sonnes et des biens. L'organisme surmontera la situation malgré quelques difficultés
(fonctionnement en mode dégradé).
Conséquences négligeables pour l'organisme.
1 – Mineures Aucune conséquence opérationnelle ni sur les performances de l'activité ni sur la
sécurité des personnes et des biens. L'organisme surmontera la situation sans trop de
difficultés (consommation des marges).
A.1.1.2.2 Échelle de vraisemblance
Les Tableaux A.2 et A.4 présentent des exemples de différentes manières de représenter les échelles
de vraisemblance. La vraisemblance peut être exprimée soit en termes de probabilité comme dans le
Tableau A.2, soit en termes de fréquence comme dans le Tableau A.4. La représentation en termes de
probabilité indique la vraisemblance moyenne qu'un événement de risque se produise au cours d'une
période spécifiée, tandis que la représentation en termes de fréquence indique le nombre de fois que
l'événement de risque est censé se produire en moyenne au cours d'une période spécifiée. Comme les
deux approches ne font qu'exprimer la même chose selon deux perspectives différentes, l'une ou l'autre
peut être utilisée, en fonction de celle que l'organisme trouve la plus pratique pour une catégorie de
risques donnée.
Toutefois, si les deux approches sont utilisées comme alternatives au sein d'un même organisme, il
est important que chaque rang théoriquement équivalent sur les deux échelles représente la même
vraisemblance réelle. Dans le cas contraire, les résultats de l'appréciation dépendront de l'échelle
utilisée, plutôt que de la vraisemblance réelle de la source de risque appréciée. Si les deux approches
sont utilisées, il convient de calculer mathématiquement le niveau de probabilité pour chaque rang
théorique à partir de la valeur de fréquence du rang équivalent ou inversement, selon l'approche utilisée
pour définir l'échelle principale.
Si l'on utilise uniquement l'une ou l'autre des deux approches, il n'est pas nécessaire de définir aussi
précisément les incréments de l'échelle, car il est toujours possible de classer les vraisemblances
par ordre de priorité, quelles que soient les valeurs absolues utilisées. Bien que le Tableau A.2 et le
Tableau A.4 utilisent des incréments et des gammes de vraisemblance complètement différents, selon le
contexte de l'organisme et la catégorie de risque appréciée, l'un ou l'autre peut être aussi efficace pour
l'analyse s'il est utilisé exclusivement. Il ne serait toutefois pas possible de les utiliser en toute sécurité
comme alternatives dans le même contexte, car les valeurs associées à des classements équivalents ne
sont pas corrélées.
Les catégories et les valeurs utilisées dans les Tableaux A.2 et A.4 sont présentées à titre d'exemples
uniquement. La valeur la plus appropriée à attribuer à chaque niveau de vraisemblance dépend du
profil de risque et de la tolérance au risque de l'organisme.
Tableau A.2 — Exemple d'échelle de vraisemblance

Vraisemblance Description
La source de risque va très certainement atteindre son objectif en empruntant
5 – Pratiquement certain l'un des modes opératoires envisagés.
La vraisemblance du scénario de risque est très élevée.

ISO/IEC 27005:2022(F)
Tableau A.2 (suite)

Vraisemblance Description
La source de risque va probablement atteindre son objectif en empruntant l'un
4 – Très vraisemblable des modes opératoires envisagés.
La vraisemblance du scénario de risque est élevée.
La source de risque peut atteindre son objectif en empruntant l'un des modes
3 – Vraisemblable opératoires envisagés.
La vraisemblance du scénario de risque est significative.
La source de risque a relativement peu de chances d'atteindre son objectif en
2 – Peu vraisemblable empruntant l'un des modes opératoires envisagés.
La vraisemblance du scénario de risque est faible.
La source de risque a très peu de chances d'atteindre son objectif en empruntant
1 – Invraisemblable l'un des modes opératoires envisagés.
La vraisemblance du scénario de risque est très faible.
Des mentions telles que «faible», «moyenne» et «élevée» peuvent être associées aux classements lors
de l'utilisation de l'une ou l'autre approche d'appréciation de la vraisemblance. Elles peuvent être utiles
pour discuter des niveaux de vraisemblance avec des parties intéressées qui ne sont pas des spécialistes
du risque. Elles sont cependant subjectives et donc inévitablement ambiguës. Il convient donc de ne pas
les utiliser comme descripteurs essentiels lors de la réalisation d'appréciations ou de l'établissement de
rapports d'appréciation.
A.1.1.2.3 Niveau de risque
L'utilité des échelles qualitatives et la cohérence des appréciations du risque qui en découlent dépendent
entièrement de la cohérence avec laquelle les étiquettes des catégories sont interprétées par toutes les
parties intéressées. Il convient que les niveaux d'une échelle qualitative soient sans ambiguïté, que
ses incréments soient clairement définis, que les descriptions qualitatives de chaque niveau soient
exprimées dans un langage objectif et que les catégories ne se chevauchent pas.
Par conséquent, lors de l'utilisation de descripteurs verbaux de la vraisemblance, des conséquences
ou du risque, il convient que ceux-ci soient formellement référencés par rapport à des échelles non
ambiguës ancrées à des points de référence numériques (comme dans le Tableau A.4) ou ratiométriques
(comme dans le Tableau A.2). Il convient que toutes les parties intéressées soient informées des échelles
de référence utilisées afin de garantir que l'interprétation des données et des résultats de l'appréciation
qualitative est cohérente.
Le Tableau A.3 présente un exemple d'approche qualitative.
Tableau A.3 — Exemple d'approche qualitative des critères de risque

Conséquences
Vraisemblance
Catastrophiques Critiques Graves Significatives Mineures
Pratiquement certain Très élevé Très élevé Élevé Élevé Moyen
Très vraisemblable Très élevé Élevé Élevé Moyen Faible
Vraisemblable Élevé Élevé Moyen Faible Faible
Peu vraisemblable Moyen Moyen Faible Faible Très faible
Invraisemblable Faible Faible Faible Très faible Très faible
Il convient que la conception d'une matrice qualitative de risque soit guidée par les critères d'acceptation
du risque de l'organisme (voir 6.4.2 et A.1.2).
EXEMPLE Un organisme est parfois davantage préoccupé par des conséquences extrêmes en dépit d'une
occurrence peu vraisemblable, ou principalement préoccupé par des événements à fréquence élevée et dont les
conséquences sont moindres.

ISO/IEC 27005:2022(F)
Lors de la conception d'une matrice des risques, qu'elle soit qualitative ou quantitative, le profil de
risque d'un organisme est normalement asymétrique. Les événements triviaux sont généralement
les plus fréquents et la fréquence attendue diminue généralement à mesure que les conséquences
augmentent, pour aboutir à de très faibles vraisemblances de conséquences extrêmes. Il est également
rare que l'exposition de l'organisme représentée par un événement à forte vraisemblance et à faibles
conséquences soit équivalente à celle représentée par un événement à faible vraisemblance et à
conséquences élevées. Bien qu'une matrice des risques symétrique sur sa diagonale faible/faible à
élevée/élevée puisse sembler facile à créer et naïvement acceptable, il est peu probable qu'elle représente
précisément le profil de risque réel d'un organisme, et elle peut donc donner des résultats invalides.
Pour s'assurer qu'une matrice des risques est réaliste et peut répondre à l'exigence d'amélioration
continue (voir l'ISO/IEC 27001:2022, 10.2), il convient de documenter, lors de la définition ou de
la modification des échelles et de la matrice, la justification de l'attribution de chaque catégorie aux
échelles de vraisemblance et de conséquences et à la matrice des risques, ainsi que la manière dont les
catégories correspondent au profil de risque de l'organisme. Il convient que les incertitudes intrinsèques
à l'utilisation des matrices à échelles incrémentales soient au moins décrites avec les précautions qui
s'imposent pour leurs utilisateurs.
L'utilité des échelles qualitatives et la cohérence des appréciations du risque qui en découlent dépendent
entièrement de la cohérence avec laquelle les étiquettes des catégories sont interprétées par toutes les
parties intéressées. Il convient que les niveaux d'une échelle qualitative soient sans ambiguïté, que
ses incréments soient clairement définis, que les descriptions qualitatives de chaque niveau soient
exprimées dans un langage objectif et que les catégories ne se chevauchent pas.
A.1.1.3 Approche quantitative
A.1.1.3.1 Échelles finies
Le niveau de risque peut être calculé à l'aide de n'importe quelle méthode et en tenant compte de
tous les facteurs pertinents, mais il est généralement indiqué en multipliant la vraisemblance par la
conséquence.
La vraisemblance représente la probabilité ou la fréquence de survenue d'un événement au cours d'une
période donnée. Cette période est généralement annuelle (par an), mais peut être aussi grande (par
exemple, par siècle) ou petite (par exemple, par seconde) que le souhaite l'organisme.
Il convient que les échelles de vraisemblance soient définies en termes pratiques qui reflètent le
contexte de l'organisme, afin qu'elles l'aident à gérer le risque et qu'elles soient faciles à comprendre
pour toutes les parties intéressées. Cela signifie principalement qu'il faut établir des limites réalistes à
la gamme des vraisemblances représentées. Si les limites maximale et minimale de l'échelle sont trop
éloignées l'une de l'autre, chaque catégorie de l'échelle comprend une gamme de vraisemblances trop
large, ce qui rend l'appréciation incertaine.
EXEMPLE 1 Il peut être avantageux de définir le point de vraisemblance fini le plus élevé de l'échelle en
fonction du temps que prend généralement l'organisme pour répondre aux événements, et le point fini le plus bas
en fonction de la durée de planification stratégique à long terme de l'organisme.
Il peut être avantageux d'exprimer les vraisemblances supérieures et inférieures aux limites définies
de l'échelle comme «supérieures au maximum de l'échelle» et «inférieures au minimum de l'échelle»,
indiquant ainsi clairement que les vraisemblances au-delà des limites de l'échelle définie sont des cas
extrêmes à considérer comme exceptionnels (éventuellement en utilisant des critères spéciaux «hors
limites»). En dehors de ces limites, la vraisemblance spécifique est moins importante que le fait qu'il
s'agisse d'une exception dans la direction donnée.
Il est généralement utile de mesurer les conséquences à l'aide d'un indicateur financier; il est ainsi
possible d'avoir recours à l'agrégation dans le compte rendu du risque.
EXEMPLE 2 Les échelles de conséquences monétaires sont généralement fondées sur des facteurs de 10 (de
100 à 1 000, de 1 000 à 10 000, etc.).

ISO/IEC 27005:2022(F)
Il convient de sélectionner les largeurs des catégories d'une échelle de vraisemblance en fonction de
celles de l'échelle de conséquences choisie, afin d'éviter qu'une trop grande gamme de risques n'entre
dans chaque catégorie.
EXEMPLE 3 Si la vraisemblance et les conséquences sont représentées par les indices d'une échelle
exponentielle (c'est-à-dire les logarithmes des valeurs sur l'échelle), il convient de les additionner.
La valeur du risque peut alors être calculée comme suit: antilogarithme [log (valeur de la vraisemblance)
+ log (valeur des conséquences)].
Tableau A.4 — Exemple d'échelle de vraisemblance logarithmique

Fréquence moyenne approximative Expression log Valeur d'échelle
Toutes les heures (environ 105) 5
Toutes les 8 heures (environ 104) 4
Deux fois par semaine (environ 103) 3
Une fois par mois (environ 103) 2
Une fois par an (101) 1
Une fois tous les dix ans (100) 0
EXEMPLE 4 Dans le Tableau A.4, exemple d'événement à fréquence élevée: une attaque de mot de passe
assistée par ordinateur ou une attaque par déni de service distribué lancée par un botnet. En effet, les fréquences
d'attaque peuvent être beaucoup plus élevées.
EXEMPLE 5 Dans le Tableau A.4, exemple d'événement à faible fréquence: une éruption volcanique. Même s'il
est prévu qu'un événement ne se produira qu'une fois par siècle, cela ne signifie pas qu'il ne se produira pas
pendant la durée de vie d'un SMSI.
Le Tableau A.5 présente un exemple d'échelle de conséquence logarithmique. La prise en compte de la

fréquence a notamment pour but de s'assurer que les mesures de protection sont suffisamment solides
pour résister à des séquences d'attaques à fréquence élevée, même si la vraisemblance d'une telle
séquence d'attaques est faible.
Tableau A.5 — Exemple d'échelle de conséquence logarithmique

Conséquences (perte de) Expression log Valeur d'échelle
1 000 000 £ (106) 6
100 000 £ (105) 5
10 000 £ (104) 4
1 000 £ (103) 3
100 £ (102) 2
Moins de 100 £ (101) 1
Si les échelles de vraisemblance et de conséquences utilisent un logarithme de base 10 pour attribuer

un niveau, les analystes du risque peuvent se retrouver avec trop de risques au même niveau de
risque, et donc ne pas être en mesure de prendre une décision appropriée en matière de classement
par ordre de priorité ou d'investissement lié à la sécurité. Dans ce cas, il peut être utile de réduire la
base et d'augmenter le nombre de niveaux pris en considération. Il convient de noter que si des bases
différentes sont choisies pour la vraisemblance et les conséquences, il est impossible d'appliquer une
formule utile pour additionner deux facteurs.
EXEMPLE 6 Si la vraisemblance est doublée en passant d'un niveau à l'autre, alors que les conséquences sont
dix fois plus coûteuses, la formule place au même niveau les risques a) et b), où le risque b) présente un niveau
de conséquences 10 fois plus coûteux que le risque a), mais seulement la moitié de la vraisemblance du risque a).
Cela est économiquement incorrect.
Les Tableaux A.4 et A.5 énumèrent des gammes de vraisemblance et de conséquences qui couvrent la
plupart des éventualités dans des organismes très différents. Il est peu vraisemblable qu'un unique

ISO/IEC 27005:2022(F)
organisme rencontre la gamme de risques représentée par l'intégralité de ces exemples d'échelles.
Il convient d'utiliser le contexte de l'organisme et le domaine d'application du SMSI pour définir des
limites supérieures et inférieures réalistes, tant pour les vraisemblances que pour les conséquences,
en gardant à l'esprit que la quantification des gammes de risques supérieures à 1 000 contre 1 aura
probablement une valeur pratique limitée
A.1.2 Critères d'acceptation du risque

Les critères d'acceptation du risque peuvent simplement être une valeur au-delà de laquelle les risques
sont jugés inacceptables.
EXEMPLE 1 Dans le Tableau A.3, si la valeur moyen est choisie, tous les risques associés à la valeur très faible,
faible ou moyen seront considérés comme acceptables par l'organisme, et tous les risques associés à la valeur
élevé ou très élevé seront considérés comme inacceptables.
En utilisant une matrice des risques à code couleur reflétant les conséquences et la vraisemblance,
les organismes peuvent présenter sous forme graphique la répartition des risques issus d'une ou de
plusieurs appréciations. Une telle matrice des risques peut également être utilisée pour préciser
l'attitude de l'organisme vis-à-vis des valeurs de risque et indiquer s'il convient normalement d'accepter
un risque ou de le traiter.
EXEMPLE 2 Une matrice des risques utilisant trois couleurs, par exemple rouge, orange et vert, peut être
appliquée pour représenter les trois niveaux d'évaluation du risque représentés dans le Tableau A.6.
Il peut être bénéfique de choisir d'autres modèles utilisant des couleurs pour une matrice des risques.
EXEMPLE 3 Si une matrice des risques est utilisée pour comparer les résultats d'une appréciation du risque
réalisée initialement avec ceux d'une nouvelle appréciation des mêmes risques, la réduction du risque peut être
présentée plus facilement si plusieurs couleurs sont appliquées pour présenter les niveaux de risque.
Il est également possible d'ajouter le niveau de management autorisé à accepter un risque associé à une
certaine valeur de risque à un modèle de ce type.
Le Tableau A.6 présente un exemple d'échelle d'évaluation.
Tableau A.6 — Exemple d'échelle d'évaluation avec matrice des risques à trois couleurs
Niveau de risque Évaluation du risque Description
Faible (vert) Acceptable tel quel Le risque peut être accepté sans autre action.
Il convient de réaliser un suivi en termes de gestion des
Modéré (orange) Tolérable s'il est maîtrisé risques et de mettre en place des actions dans le cadre de
l'amélioration continue à moyen et long terme.
Il convient absolument que des mesures de réduction du
Élevé (rouge) Inacceptable risque soient prises à court terme. Dans le cas contraire, il
convient que tout ou partie de l'activité soit refusé.
A.2 Techniques pratiques

A.2.1 Composants du risque lié à la sécurité de l'information
Lors de l'identification et de l'appréciation du risque lié à la sécurité de l'information, il convient que les
composants suivants soient pris en compte:
— composants liés au passé:
— événements et incidents de sécurité (tant à l'intérieur qu'à l'extérieur de l'organisme);
— sources de risque;
— vulnérabilités exploitables;

ISO/IEC 27005:2022(F)
— conséquences mesurées;
— composants liés au futur:
— menaces;
— vulnérabilités;
— conséquences;
— scénarios de risque.
Les relations entre les composants du risque lié à la sécurité de l'information sont présentées à la
Figure A.1 et discutées dans les paragraphes A.2.2 à A.2.7.
Légende
menace
Figure A.1 — Composants de l'appréciation du risque lié à la sécurité de l'information
Des informations détaillées concernant «l'état final souhaité» peuvent être trouvées en A.2.3 b).
A.2.2 Biens
Lorsque l'approche basée sur les biens est appliquée à l'identification des risques, il convient d'identifier
les biens.
Dans le processus d'appréciation du risque, dans le cadre de l'élaboration des scénarios de risque, il
convient que l'identification des événements, des conséquences, des menaces et des vulnérabilités soit
liée aux biens.
Dans le processus de traitement du risque, chaque moyen de maîtrise est applicable à un sous-ensemble
de biens.
Les biens peuvent être divisés en deux catégories:
— les biens essentiels/valeurs métier: informations ou processus ayant une valeur pour un organisme;
— les biens supports: composants du système d'information sur lesquels reposent une ou plusieurs
valeurs métier.
Les biens essentiels/valeurs métier sont souvent utilisés dans l'approche basée sur les événements
(identification des événements et de leurs conséquences sur les valeurs métier).
Les biens supports sont souvent utilisés dans l'approche basée sur les biens (identification et analyse des
vulnérabilités et des menaces sur ces biens) et dans le processus de traitement du risque (spécification
du ou des biens sur lesquels il convient d'appliquer chaque moyen de maîtrise).
Les valeurs métier et les biens supports sont liés, et les sources de risque identifiées pour les biens
supports peuvent, par conséquent, avoir un impact sur les valeurs métier.

ISO/IEC 27005:2022(F)
Pour cette raison, il est important d'identifier les relations entre les biens et de comprendre leur valeur
pour l'organisme. Le fait de mal évaluer la valeur d'un bien peut entraîner une évaluation incorrecte des
conséquences relatives au risque, mais peut également avoir une incidence sur la compréhension de la
vraisemblance des menaces considérées.
EXEMPLE 1 Un bien support héberge une valeur métier (des informations dans le cas présent).
Les données sont protégées par des moyens de maîtrise internes/externes afin d'empêcher une source
de risque d'atteindre son objectif lié à la valeur métier en exploitant une vulnérabilité sur le bien
support. Lors de la distinction des différents types de biens, il convient de documenter les dépendances
entre les biens et d'apprécier la propagation des risques, afin de pouvoir établir que le même risque n'a
pas été apprécié deux fois: une fois lorsqu'il se produit sur le bien support, et une fois lorsqu'il affecte
les biens essentiels. Les graphiques de dépendance des biens sont des outils utiles pour représenter de
telles dépendances et s'assurer que toutes les dépendances ont été prises en compte.
EXEMPLE 2 Le graphique de la Figure A.2 indique les biens dépendants de la valeur métier «Présentation du
traitement des commandes et des factures» et peut être lu comme suit:
— «Administrateur» (type: ressource humaine) qui, s'il n'est pas correctement formé, propage un risque au
bien;
— «Maintenance informatique» (type: service), qui propage le risque au bien;
— «Serveur» (type: matériel) ou au bien «Réseau» (type: connectivité réseau). Le serveur, s'il cesse de fonctionner
ou si le réseau n'est pas correctement configuré, entraîne:
— l'arrêt ou l'indisponibilité du bien «Portail Web» (type: application).
Sans le «Portail Web», le processus métier «Présentation du traitement des commandes et des factures» n'offre
pas le processus prévu aux clients.
Figure A.2 — Exemple de graphique de dépendance des biens
A.2.3 Sources de risque et état final souhaité

Le présent paragraphe propose de caractériser ce type de source de risque. Deux critères principaux
structurent cette approche descriptive:
— la motivation;
— l'aptitude à agir.
a) Identification de la source de risque

ISO/IEC 27005:2022(F)
Le Tableau A.7 présente des exemples et les modes opératoires habituels.
Tableau A.7 — Exemples et modes opératoires habituels

Source de risque Exemples et modes opératoires habituels
Étatique États, agences de renseignement.
Mode opératoire: Attaques généralement conduites par des professionnels, respectant
un calendrier et un mode opératoire prédéfinis. Ce profil d'attaquant se caractérise par
sa capacité à réaliser une opération offensive sur un temps long (ressources stables, pro-
cédures) et à adapter ses outils et méthodes à la topologie de la cible. Par extension, ces
acteurs ont les moyens d'acheter ou de découvrir des vulnérabilités jour zéro (0 Day) et
certains sont capables d'infiltrer des réseaux isolés et de réaliser des attaques successives
pour atteindre une ou des cibles (par exemple au moyen d'une attaque visant la chaîne
d'approvisionnement).
Crime organisé Organisations cybercriminelles (mafias, gangs, officines).
Mode opératoire: Arnaque en ligne ou au président, demande de rançon ou attaque par
rançongiciel, exploitation de réseaux de botnets, etc. En raison notamment de la prolifé-
ration de kits d'attaques facilement accessibles en ligne, les cybercriminels mènent des
opérations de plus en plus sophistiquées et organisées à des fins lucratives ou de fraude.
Certains ont les moyens d'acheter ou de découvrir des vulnérabilités jour zéro (0-Day).
Terroriste Cyberterroristes, cybermilices.
Mode opératoire: Attaques habituellement peu sophistiquées, mais menées avec détermi-
nation à des fins de déstabilisation et de destruction: déni de service (visant par exemple
à rendre indisponibles les services d'urgence d'un centre hospitalier, arrêts intempestifs
d'un système industriel de production d'énergie), exploitation de vulnérabilités de sites
Internet et défigurations.
Activiste idéolo- Cyber-hacktivistes, groupements d'intérêt, sectes.
gique
Mode opératoire: Modes opératoires et sophistication des attaques relativement similaires
à ceux des cyberterroristes, mais motivés par des intentions moins destructrices. Certains
acteurs mènent ces attaques pour véhiculer une idéologie, un message (par exemple utili-
sation massive des réseaux sociaux comme caisse de résonance).
Officine spécia- Profil de «cybermercenaire» doté de capacités informatiques généralement élevées sur
lisée le plan technique. Il convient de ce fait qu'il soit distingué des script-kiddies avec qui il
partage toutefois l'esprit de défi et la quête de reconnaissance, mais avec un objectif lucra-
tif. De tels groupes peuvent s'organiser en officines spécialisées proposant de véritables
services de piratage.
Mode opératoire: Ce type de hacker chevronné est souvent à l'origine de la conception et
de la création d'outils et kits d'attaques accessibles en ligne (éventuellement monnayés)
qui sont ensuite utilisables «clés en main» par d'autres groupes d'attaquants. Il n'a pas de
motivations particulières autres que le gain financier.
Amateur Profil du hacker «script-kiddies» ou doté de bonnes connaissances informatiques, et
motivé par une quête de reconnaissance sociale, d'amusement, de défi.
Mode opératoire: Attaques basiques, mais capacité à utiliser les kits d'attaques accessibles
en ligne.
Vengeur Les motivations de ce profil d'attaquant sont guidées par un esprit de vengeance aiguë ou
un sentiment d'injustice (par exemple salarié licencié pour faute grave, prestataire mécon-
tent suite au non-renouvellement d'un marché, etc.).
Mode opératoire: Ce profil d'attaquant se caractérise par sa détermination et sa connais-
sance interne des systèmes et processus organisationnels. Cela peut le rendre redoutable
et lui conférer un pouvoir de nuisance important.

ISO/IEC 27005:2022(F)
Tableau A.7 (suite)

Source de risque Exemples et modes opératoires habituels
Attaquant Les motivations de ce profil d'attaquant sont d'ordre pathologique ou opportuniste et
pathologique parfois guidées par l'appât du gain (par exemple concurrent déloyal, client malhonnête,
escroc, fraudeur).
Mode opératoire: Ici, soit l'attaquant dispose d'un socle de connaissances en informatique
qui l'amène à tenter de compromettre la sécurité du SI de sa cible, soit il exploite par
lui-même des kits d'attaques disponibles en ligne, soit il décide de sous-traiter l'attaque
informatique en faisant appel à une officine spécialisée. Dans certains cas, l'attaquant peut
porter son attention sur une source interne (salarié mécontent, prestataire peu scrupu-
leux) et tenter de la corrompre.
b) Modélisation de la motivation d'une source de risque — état final recherché

Il existe un large éventail de motivations; elles peuvent être politiques, financières, idéologiques, mais
aussi sociales ou même représenter un état psychologique ponctuel ou pathologique.
Bien qu'il ne soit pas possible d'exprimer directement une motivation, celle-ci peut être illustrée par
l'intention de la source de risque et exprimée sous la forme d'un état final recherché (EFR): la situation
globale que la source de risque veut atteindre après la confrontation. Une classification systématique
des situations, associée à des catégories générales d'action, peut guider l'analyse contextualisée.
Le Tableau A.8 présente un exemple de classification des motivations visant à exprimer les EFR.
Tableau A.8 — Exemple de classification des motivations visant à exprimer les EFR
Acquisition à long terme de ressources ou de marchés économiques, obtention d'un pouvoir
Conquérir
politique ou imposition de valeurs
Approche prédatrice, résolument offensive, motivée par l'acquisition de ressources ou d'avan-
Acquérir
tages
Empêcher Approche offensive visant à limiter les actions d'un tiers
Maintenir Efforts visant à maintenir une situation idéologique, politique, économique ou sociale
Adoption d'une position de repli strictement défensive ou d'une attitude explicitement mena-
Défendre çante (par exemple, intimidation) afin de prévenir le comportement agressif d'un adversaire
clairement désigné ou d'empêcher son action en le ralentissant, etc.
Survivre Protection d'une entité à tout prix, ce qui peut conduire à des actions extrêmement agressives
c) Objectifs visés
Pour atteindre l'EFR, la source de risque se concentre sur un ou plusieurs objectifs qui affectent les
valeurs métier du système visé. Ce sont les objectifs visés de la source de risque.
Le Tableau A.9 présente des exemples d'objectifs visés.
Tableau A.9 — Exemples d'objectifs visés

Objectif visé Description
Espionnage Opération de renseignement (étatique, économique). Dans de nombreux cas, l'atta-
quant s'installe durablement dans le système d'information et en toute discrétion.
L'armement, le spatial, l'aéronautique, le secteur pharmaceutique, l'énergie ou encore
certaines activités de l'État (économie, finances, affaires étrangères) constituent des
cibles privilégiées.
Prépositionnement Prépositionnement visant généralement une attaque sur le long terme, sans que la fina-
stratégique lité poursuivie soit clairement établie (par exemple compromission de réseaux d'opéra-
teurs de télécommunication, infiltration de sites Internet d'information de masse pour
lancer une opération d'influence politique ou économique à fort écho). La compromis-
sion soudaine et massive d'ordinateurs afin de constituer un réseau de robots peut être
rangée dans cette catégorie.

ISO/IEC 27005:2022(F)
Tableau A.9 (suite)

Objectif visé Description
Influence Opération visant à diffuser de fausses informations ou à les altérer, mobiliser les
leaders d'opinion sur les réseaux sociaux, détruire des réputations, divulguer des infor-
mations confidentielles, dégrader l'image d'un organisme ou d'un État. La finalité est
généralement la déstabilisation ou la modification des perceptions.
Entrave au fonction- Opération de sabotage visant par exemple à rendre indisponible un site Internet,
nement à provoquer une saturation informationnelle, à empêcher l'usage d'une ressource
numérique, à rendre indisponible une installation physique. Les systèmes industriels
peuvent être particulièrement exposés et vulnérables au travers des réseaux infor-
matiques auxquels ils sont interconnectés (par exemple envoi de commandes afin de
générer un dommage matériel ou une panne nécessitant une maintenance lourde). Les
attaques par déni de service distribué (DDoS) sont des techniques largement utilisées
pour neutraliser des ressources numériques.
Lucratif Opération visant un gain financier, de façon directe ou indirecte. Généralement liée au
crime organisé, on peut citer: escroquerie sur Internet, blanchiment d'argent, extor-
sion ou détournement d'argent, manipulation de marchés financiers, falsification de
documents administratifs, usurpation d'identité, etc. Certaines opérations à but lucratif
peuvent recourir à un mode opératoire relevant des catégories ci-dessus (par exemple
espionnage et vol de données, rançongiciel pour neutraliser une activité), mais l'objectif
final reste financier.
Défi, amusement Opération visant à réaliser un exploit à des fins de reconnaissance sociale, de défi ou de
simple amusement.
Même si l'objectif est essentiellement ludique et sans volonté particulière de nuire, ce
type d'opération peut avoir de lourdes conséquences pour la victime.
La différence entre un EFR et un objectif visé peut être illustrée par l'exemple d'une source de risque
dont le but est de remporter un marché (EFR) et qui cherche à dérober des informations confidentielles
sur les négociations à ses concurrents (objectif stratégique). Parfois, l'objectif en question (l'information
souhaitée) ne conduit pas en fin de compte à l'EFR.
On peut considérer que la valeur de la cible du point de vue de la source de risque dépend de sa
contribution à l'EFR.
En termes très généraux, les objectifs visés par la source de risque se divisent en deux grandes
catégories:
— exploiter les ressources visées pour son propre bénéfice (par exemple espionnage, vol, escroquerie,
fraude, trafic);
— empêcher la cible d'utiliser ses ressources (la confrontation est toujours relative), par exemple
guerre, terrorisme, sabotage, subversion, déstabilisation.
A.2.4 Approche basée sur les événements
A.2.4.1 Écosystème
Dans une approche basée sur les événements, il convient de bâtir des scénarios en analysant les
différents chemins, pertinents pour les interactions entre l'organisme et les parties intéressées, qui
forment ensemble un écosystème que les sources de risque pourraient utiliser pour atteindre les
valeurs métier et leur EFR.
Un nombre croissant de méthodes d'attaque utilisent les liens les plus vulnérables de cet écosystème
pour atteindre leurs cibles.

ISO/IEC 27005:2022(F)
Les parties intéressées relevant du domaine d'application du SMSI qu'il convient de prendre en
considération lors de l'analyse des scénarios de risque peuvent être de deux types:
— les parties externes, y compris:
— les clients;
— les partenaires, les cocontractants;
— les fournisseurs de services (sous-traitants, fournisseurs);
— les parties internes, y compris:
— les prestataires de services techniques (par exemple, les services de support proposés par la
direction informatique);
— les prestataires de services liés à l'activité (par exemple, entité commerciale utilisant des
données d'activité);
— les filiales (en particulier, celles situées dans d'autres pays).
L'objectif de l'identification des parties intéressées est d'obtenir une vision claire de l'écosystème, afin
d'identifier les plus vulnérables. Il convient que la sensibilisation à l'écosystème soit abordée comme
une étude préliminaire des risques. La Figure A.3 montre l'identification des parties intéressées de
l'écosystème.
Légende
partie intéressée interne/externe
relation avec l'écosystème directement connectée au système
(1er niveau de relation)
partie intéressée connectée à une
relation qui franchit la limite de l'écosystème autre partie intéressée (2e niveau de
relation)
entité en dehors du périmètre de
relation au sein de la source de risque
l'écosystème
Figure A.3 — Identification des parties intéressées de l'écosystème

ISO/IEC 27005:2022(F)
A.2.4.2 Scénarios stratégiques
Sur la base des informations concernant les sources de risque et les événements concernés, il est
possible d'imaginer des scénarios réalistes de haut niveau (scénarios stratégiques), indiquant de quelle
manière une source de risque peut procéder pour atteindre son EFR. Elle peut, par exemple, traverser
l'écosystème ou détourner certains processus métier. Ces scénarios sont identifiés par déduction, à
partir des sources de risque et de leurs EFR: pour chacun d'eux, les questions suivantes peuvent être
posées, du point de vue de la source de risque.
— Quelles sont les valeurs métier de l'organisme que les sources de risque doivent cibler pour atteindre
leurs EFR?
— Afin de rendre leur attaque possible ou de la faciliter, sont-ils susceptibles d'attaquer les parties
intéressées critiques de l'écosystème qui disposent d'un accès privilégié aux valeurs métier?
Une fois les éléments les plus exposés identifiés, le scénario stratégique peut être établi en décrivant
la séquence des événements générés par la source de risque pour atteindre son EFR. La violation des
valeurs métier correspond aux événements ultimes tandis que les événements concernant l'écosystème
sont des événements intermédiaires. Le scénario stratégique reflète une appréciation des conséquences
directement héritées des événements concernés.
Ces scénarios peuvent être représentés sous forme de graphiques d'attaque ou directement sur la vue
«écosystème» de la cartographie du système d'information en y superposant le ou les chemins d'attaque.
Les scénarios stratégiques nécessitent également la prise en compte de la vraisemblance des
événements. L'approche basée sur les biens et les scénarios opérationnels associés peuvent être utilisés
pour définir la vraisemblance des événements. Les exemples de menaces présentés en A.2.5.1 peuvent
être utilisés pour obtenir les appréciations nécessaires.
A.2.5 Approche basée sur les biens
A.2.5.1 Exemples de menaces
Le Tableau A.10 donne des exemples de menaces types. Cette liste peut être utilisée lors du processus
d'appréciation des menaces. Les menaces considérées comme des sources de risque peuvent être
intentionnelles, accidentelles ou environnementales (naturelles), et peuvent entraîner, par exemple,
des dommages ou la perte de services essentiels. La liste indique pour chaque type de menace si
D (intentionnelle), A (accidentelle) ou E (environnementale) s'applique. D est utilisé pour les actions
intentionnelles destinées aux informations et aux biens informationnels, A est utilisé pour toutes les
actions humaines qui peuvent endommager les informations et les biens informationnels de manière
accidentelle, et E est utilisé pour tous les incidents qui ne reposent pas sur des actions humaines. Les
groupes de menaces ne sont pas classés par ordre de priorité.
Les moyens de maîtrise peuvent atténuer les menaces en les repoussant ou en les empêchant d'agir ou
de se produire. La sélection des moyens de maîtrise destinés à réduire le risque nécessite également la
prise en compte des moyens de détection et de réponse qui permettent d'identifier et de contenir des
événements, et de répondre et de récupérer après ceux-ci. Les moyens de détection et de réponse sont
associés aux conséquences plutôt qu'aux menaces.
EXEMPLE La journalisation et la surveillance permettent d'identifier les événements de sécurité et d'y
répondre.

ISO/IEC 27005:2022(F)
Tableau A.10 — Exemples de menaces types

Catégorie N° Description de la menace Type de
source
de
risque a
TP01 Incendie A, D, E
TP02 Eau A, D, E
TP03 Pollution, rayonnement nocif A, D, E
Menaces physiques
TP04 Accident majeur A, D, E
TP05 Explosion A, D, E
TP06 Poussière, corrosion, congélation A, D, E
TN01 Phénomène climatique E
TN02 Phénomène sismique E
TN03 Phénomène volcanique E
Menaces naturelles
TN04 Phénomène météorologique E
TN05 Inondation E
TN06 Pandémie/phénomène épidémique E
TI01 Défaillance d'un système d'alimentation A, D
TI02 Défaillance d'un système de refroidissement ou de ventilation A, D
TI03 Perte de la source d'alimentation en électricité A, D, E
Défaillances des TI04 Défaillance d'un réseau de télécommunication A, D, E
infrastructures TI05 Défaillance du matériel de télécommunications A, D
TI06 Rayonnements électromagnétiques A, D, E
TI07 Rayonnements thermiques A, D, E
TI08 Impulsions électromagnétiques A, D, E
TT01 Défaillance des machines ou du système A
Défaillances tech-
TT02 Saturation du système d'information A, D
niques
TT03 Violation de la maintenabilité du système d'information A, D
TH01 Terrorisme, attaque, sabotage D
TH02 Ingénierie sociale D
TH03 Interception du rayonnement d'un dispositif D
TH04 Espionnage à distance D
TH05 Écoute D
TH06 Vol de supports ou de documents D
TH07 Vol de matériel D
TH08 Vol d'identité numérique ou de justificatifs d'identité D
TH09 Récupération de supports recyclés ou mis au rebut D
TH10 Divulgation d'informations A, D
TH11 Saisie de données provenant de sources douteuses A, D
TH12 Piégeage de matériel D
Actions humaines TH13 Piégeage logiciel A, D
TH14 Exploitation clandestine utilisant la communication par le Web D
TH15 Attaque par rejeu, attaque de l'homme du milieu D
TH16 Traitement non autorisé de données à caractère personnel A, D
TH17 Entrée non autorisée dans les installations D
TH18 Utilisation non autorisée des machines D
a D = intentionnelle; A = accidentelle; E = environnementale.

ISO/IEC 27005:2022(F)
Tableau A.10 (suite)

Catégorie N° Description de la menace Type de
source
de
risque a
TH19 Utilisation incorrecte des machines A, D
TH20 Détérioration de machines ou de supports A, D
TH21 Reproduction frauduleuse de logiciel D
TH22 Utilisation de logiciels copiés ou de contrefaçon A, D
TH23 Corruption de données D
TH24 Traitement illégal de données D
TH25 Envoi ou distribution de logiciels malveillants A, D, R
TH26 Géolocalisation D
TC01 Erreur d'utilisation A
Compromission TC02 Abus de droits ou de permissions A, D
de fonctions ou de
services TC03 Falsification de droits ou de permissions D
TC04 Reniement d'actions D
TO01 Manque de personnel A, E
Menaces organisa- TO02 Manque de ressources A, E
tionnelles TO03 Défaillance des prestataires de services A, E
TO04 Violation de la législation ou de la réglementation A, D
a D = intentionnelle; A = accidentelle; E = environnementale.
A.2.5.2 Exemples de vulnérabilités
Le Tableau A.11 fournit des exemples de vulnérabilités dans divers domaines de sécurité, y compris
des exemples de menaces qui peuvent exploiter ces vulnérabilités. Les listes peuvent contribuer, lors de
l'appréciation des menaces et des vulnérabilités, à déterminer des scénarios de risque pertinents. Dans
certains cas, d'autres menaces peuvent également exploiter ces vulnérabilités.
Tableau A.11 — Exemples de vulnérabilité types

Catégorie N° Exemples de vulnérabilités
VH01 Maintenance insuffisante/installation défectueuse des supports de stockage
VH02 Insuffisance des programmes de remplacement périodique des équipements
VH03 Sensibilité à l'humidité, à la poussière, aux salissures
VH04 Sensibilité aux rayonnements électromagnétiques
VH05 Contrôle insuffisant des changements de configuration
Matériel
VH06 Sensibilité aux variations de tension
VH07 Sensibilité aux variations de température
VH08 Stockage non protégé
VH09 Manque de prudence lors de la mise au rebut
VH10 Reproduction non contrôlée

ISO/IEC 27005:2022(F)

VS01 Logiciels insuffisamment testés ou non testés
VS02 Failles connues dans le logiciel
VS03 Pas de fermeture de session en quittant le poste de travail
VS04 Mise au rebut et réutilisation de supports de stockage sans effacement approprié
VS05 Configuration insuffisante des journaux pour les besoins de la piste d'audit
VS06 Attribution erronée des droits d'accès
VS07 Logiciel distribué à grande échelle
VS08 Application de programmes de gestion à de mauvaises données en termes de temps
VS09 Interface utilisateur compliquée
VS10 Documentation insuffisante ou absente
VS11 Réglage incorrect de paramètre
Logiciel VS12 Dates incorrectes
VS13 Mécanismes d'identification et d'authentification insuffisants (par exemple pour
l'authentification des utilisateurs)
VS14 Tableaux de mots de passe non protégés
VS15 Mauvaise gestion des mots de passe
VS16 Activation de services non nécessaires
VS17 Logiciel neuf ou en phase de rodage
VS18 Spécifications des développeurs confuses ou incomplètes
VS19 Contrôle des changements inefficace
VS20 Téléchargement et utilisation non contrôlés de logiciels
VS21 Copies de sauvegarde absentes ou incomplètes
VS22 Impossibilité de produire des comptes rendus de gestion
VN01 Mécanismes insuffisants pour les preuves d'envoi ou de réception d'un message
VN02 Voies de communication non protégées
VN03 Trafic sensible non protégé
VN04 Mauvais câblage
VN05 Point de défaillance unique
Réseau VN06 Inefficacité ou absence de mécanismes d'identification et d'authentification de
l'expéditeur et du destinataire
VN07 Architecture réseau non sécurisée
VN08 Transfert de mots de passe en clair
VN09 Gestion réseau inadaptée (résilience du routage)
VN10 Connexions au réseau public non protégées
VP01 Absence de personnel
VP02 Procédures de recrutement inadaptées
VP03 Formation insuffisante à la sécurité
VP04 Utilisation incorrecte du logiciel et du matériel
Personnel VP05 Faible sensibilisation à la sécurité
VP06 Mécanismes de surveillance insuffisants ou absents
VP07 Équipe d'entretien ou extérieure non supervisée
VP08 Inefficacité ou absence de politiques relatives à la bonne utilisation de supports de
télécommunications et de la messagerie

ISO/IEC 27005:2022(F)

VS01 Utilisation inadaptée ou négligente du contrôle d'accès physique aux bâtiments et
aux salles
Site VS02 Emplacement situé dans une zone sujette aux inondations
VS03 Réseau électrique instable
VS04 Protection physique insuffisante du bâtiment, des portes et des fenêtres
VO01 Procédure formelle relative à l'enregistrement et au retrait des utilisateurs non
élaborée, ou mise en œuvre inefficace
VO02 Procédure formelle de révision (supervision) des droits d'accès non élaborée, ou
mise en œuvre inefficace
VO03 Dispositions insuffisantes (relatives à la sécurité) dans les contrats avec des clients
et/ou des tiers
VO04 Procédure de surveillance des moyens de traitement de l'information non élaborée,
ou mise en œuvre inefficace
VO05 Les audits (supervision) ne sont pas effectués de manière régulière
VO06 Procédures d'identification et d'appréciation du risque non élaborées, ou mise en
œuvre inefficace
VO07 Insuffisance ou absence des rapports d'erreur enregistrés dans les journaux admi-
nistrateurs et les journaux opérateurs
VO08 Réponse inadaptée du service de maintenance
VO09 Insuffisance ou absence d'accord de niveau de service
VO10 Procédure de contrôle des changements non élaborée, ou mise en œuvre inefficace
VO11 Procédure formelle relative à la documentation du SMSI non élaborée, ou mise en
œuvre inefficace
VO12 Procédure formelle de supervision des enregistrements du SMSI non élaborée, ou
VO13 Procédure formelle d'autorisation des informations accessibles au public non élabo-
rée, ou mise en œuvre inefficace
VO14 Attribution inappropriée des responsabilités en sécurité de l'information
Organisme VO15 Plans de continuité inexistants, incomplets ou obsolètes
VO16 Politique relative à l'utilisation des e-mails non élaborée, ou mise en œuvre ineffi-
cace
VO17 Procédures d'introduction d'un logiciel dans les systèmes d'exploitation non élabo-
rées, ou mise en œuvre inefficace
VO18 Procédures relatives au traitement des informations classifiées non élaborées, ou
VO19 Responsabilités en sécurité de l'information absentes dans les descriptions des
postes
VO20 Absence ou insuffisance des dispositions (relatives à la sécurité de l'information)
dans les contrats avec les employés
VO21 Processus disciplinaire en cas d'incident lié à la sécurité de l'information non défini
ou ne fonctionnant pas correctement
VO22 Politique formelle relative à l'utilisation des ordinateurs portables non élaborée, ou
VO23 Insuffisance du contrôle des biens situés hors des locaux
VO34 Insuffisance ou absence de politique relative au «bureau propre et à l'écran vide»
VO25 Autorisation relative aux moyens de traitement de l'information non mise en œuvre
ou ne fonctionnant pas de manière appropriée
VO26 Mise en œuvre incorrecte des mécanismes de surveillance des failles de sécurité

ISO/IEC 27005:2022(F)

VO27 Procédures relatives au signalement des failles de sécurité non élaborées, ou mise
en œuvre inefficace
VO28 Procédures relatives à la conformité des dispositions avec les droits de propriété
intellectuelle non élaborées, ou mise en œuvre inefficace
A.2.5.3 Méthodes d'appréciation des vulnérabilités techniques
Il est possible d'utiliser des méthodes proactives comme des essais du système d'information afin
d'identifier les vulnérabilités par rapport à la criticité du système de technologie de l'information et
des communications (TIC), et des ressources disponibles (par exemple fonds attribués, technologie
disponible, personnes détenant le savoir-faire nécessaire pour mener les essais). Les méthodes d'essai
incluent:
— outil automatisé d'analyse de vulnérabilités;
— essais et évaluation de sécurité;
— essais d'intrusion;
— revue de code.
L'outil automatisé d'analyse de vulnérabilités est utilisé pour analyser un groupe d'hôtes ou un réseau
afin de détecter les services vulnérables connus [par exemple un système permettant un protocole de
transfert de fichier (FTP) anonyme, un relais Sendmail]. Toutefois, certaines vulnérabilités potentielles
identifiées par l'outil automatisé d'analyse ne représentent pas nécessairement les vulnérabilités
réelles dans le contexte de l'environnement du système (par exemple, certains outils d'analyse évaluent
les vulnérabilités potentielles sans tenir compte de l'environnement et des exigences du site). Certaines
vulnérabilités signalées par le logiciel d'analyse automatisé peuvent ne pas être vulnérables pour un
site spécifique, mais peuvent être configurées de cette manière parce que leur environnement l'exige.
Cette méthode d'essai peut, par conséquent, générer de faux positifs.
Il est également possible d'utiliser une autre technique, celle des essais et de l'évaluation de sécurité
(STE), en identifiant les vulnérabilités d'un système TIC lors du processus d'appréciation du risque. Cette
méthode inclut l'élaboration et l'exécution d'un plan d'essai (à titre d'exemples, script d'essai, modes
opératoires d'essai et résultats attendus). L'objectif des essais de sécurité du système est de mettre à
l'épreuve l'efficacité des moyens de maîtrise d'un système TIC telles qu'ils ont été mis en œuvre dans un
environnement opérationnel. Le but est de s'assurer que les moyens de maîtrise appliqués répondent
aux spécifications de sécurité validées en termes de matériel et de logiciel et de mettre en œuvre la
politique de sécurité de l'organisme ou d'assurer la conformité aux normes de l'industrie.
Des tests d'intrusion peuvent être utilisés pour compléter la revue des moyens de maîtrise et s'assurer
que les différents aspects du système TIC sont sécurisés. Lorsqu'ils sont utilisés au cours du processus
d'appréciation du risque, les tests d'intrusion peuvent être utilisés pour évaluer la capacité d'un
système TIC à résister aux tentatives volontaires de contournement de la sécurité du système. Leur
objectif est de mettre le système TIC à l'épreuve du point de vue de la source de menace et d'identifier
les défaillances potentielles des schémas de protection du système TIC.
La revue de code est la manière la plus minutieuse (mais également la plus onéreuse) d'apprécier les
vulnérabilités.
Les résultats de ce type de tests de sécurité contribuent à identifier les vulnérabilités d'un système.
Les outils et techniques d'intrusion peuvent donner des résultats erronés, à moins que la vulnérabilité
soit exploitée avec succès. Pour exploiter des vulnérabilités spécifiques, il est nécessaire de connaître
les correctifs logiciels déployés sur le système/l'application testés. Si ces données ne sont pas connues
au moment des tests, il n'est pas nécessairement possible d'exploiter de manière satisfaisante une
vulnérabilité spécifique (par exemple, en obtenant un accès à distance par un tunnel inversé). Toutefois,

ISO/IEC 27005:2022(F)
il est toujours possible de faire planter ou de redémarrer un processus ou un système soumis au test.
Dans ce cas, il convient de considérer également comme vulnérable l'objet soumis au test.
Les méthodes peuvent inclure les activités suivantes:
— entretiens avec des utilisateurs et autres personnes;
— questionnaires;
— inspections physiques;
— analyse de documents.
A.2.5.4 Scénarios opérationnels
Dans une approche basée sur les biens, il est possible de bâtir des scénarios opérationnels en analysant
les différents chemins, à travers les biens supports, que les sources de risque peuvent utiliser pour
atteindre les valeurs métier et leur EFR.
L'analyse de ces scénarios peut aider à approfondir l'approche basée sur les événements.
Une attaque réussie résulte souvent de l'exploitation de plusieurs failles. Les attaques intentionnelles
suivent généralement une approche séquentielle. Cette dernière exploite de manière coordonnée
plusieurs vulnérabilités de nature informatique, organisationnelle ou physique. Une telle approche
basée sur l'exploitation simultanée de failles distinctes peut avoir de lourdes conséquences même si
les vulnérabilités exploitées peuvent être insignifiantes lorsqu'elles sont considérées individuellement.
Les scénarios analysés peuvent être structurés selon une séquence d'attaque type. Plusieurs modèles
existent et peuvent être utilisés (par exemple le modèle de chaîne cybercriminelle1)). Il convient que
l'approche permette d'identifier les biens supports essentiels qui peuvent être utilisés comme vecteurs
d'entrée ou d'exploitation ou comme relais de propagation de l'attaque modélisée.
Ces scénarios peuvent être représentés sous forme de graphiques ou de diagrammes d'attaque, utiles
pour représenter les modes opératoires de l'attaquant.
A.2.6 Exemples de scénarios applicables pour les deux approches

Les scénarios de risque peuvent être construits en utilisant soit une approche basée sur les événements,
soit une approche basée sur les biens, soit les deux.
La Figure A.4 montre l'appréciation du risque basée sur des scénarios de risque.
1) Le modèle de chaîne cybercriminelle est le nom commercial d'un produit fourni par Lockheed Martin. Cette
information est donnée à l'intention des utilisateurs du présent document et ne signifie nullement que l'ISO approuve
l'emploi du produit ainsi désigné. Des produits équivalents peuvent être utilisés s'il est démontré qu'ils aboutissent
aux mêmes résultats.

ISO/IEC 27005:2022(F)
Figure A.4 — Appréciation du risque basée sur des scénarios de risque
Le Tableau A.12 montre des exemples de scénarios de risque et les liens avec les approches basées sur
les biens/événements et les sources de risque.
Tableau A.12 — Exemples de scénarios applicables pour les deux approches

Source de Objectif visé Scénario de risque stratégique Scénario de risque opérationnel
risque
EFR (Approche basée sur les événe- (Approche basée sur les biens)
ments)
État autoritaire Acquisition d'un vecteur Subversion d'infrastructures Déploiement de logiciels malveil-
d'attaque stratégique critiques lants cachés et persistants dans la
chaîne d'approvisionnement
Crime organisé Développement d'activi- Exploitation de l'infrastructure Infiltration du syndicat des doc-
tés illégales du port kers
Prise de contrôle d'un système
informatisé de gestion des flux de
marchandises
Fraude fiscale de type carrousel Création de sociétés-écrans afin
d'effectuer de faux échanges sur le
marché de la taxe carbone
Extorsion de fonds Distribution de rançongiciel
Activité agres- Obtention d'un mono- Influence sur le régulateur Corruption d'un décideur
sive pole sur un marché Élimination des concurrents Campagne de diffamation sur les
réseaux sociaux
A.2.7 Surveillance des événements liés au risque

La surveillance des événements liés au risque consiste à identifier les facteurs pouvant influer sur un
scénario de risque lié à la sécurité de l'information défini en 10.5.2.
Dans ce contexte, les facteurs sont identifiés comme un ensemble d'éléments permettant de détecter un
comportement inattendu envers un bien donné et qui peuvent être intégrés dans les capacités et outils
de surveillance de l'organisme en vue de déterminer le déclenchement d'un scénario de risque lié à la
La surveillance des événements liés au risque peut être définie à l'aide de plusieurs indicateurs provenant
des scénarios opérationnels ou des scénarios stratégiques présentés en 7.2.1. Ces indicateurs peuvent
être de nature différente (technique, organisationnelle, comportementale, résultats d'audits, etc.). Les

ISO/IEC 27005:2022(F)
événements sont surveillés selon des priorités définies telles que l'importance des conséquences et la
vraisemblance de l'événement.
Le Tableau A.13 donne un exemple de description d'un scénario de risque lié à la sécurité de l'information
avec les événements de surveillance liés au risque qui lui sont associés.
Tableau A.13 — Exemple de relation entre le scénario de risque et les événements de

surveillance liés au risque
Composants du Événements à surveil-
Exemples
risque ler
Scénarios stratégiques
Des documents sensibles sont détruits par un adminis-
(basés sur les événe-
trateur
ments)
Événements concernés Perte de documents essentiels
Gravité des consé-
Mesure descriptive: élevée
quences
Détection d'un accès di-
Utilisation des droits d'administrateur pour détruire
rect à la base de données
des documents sensibles en accédant directement à la ->
en dehors des heures
base de données
normales de travail
Scénarios opération-
Accès à la racine afin de modifier la date/l'heure du
nels (basés sur les
système
biens)
Détection d'opérations
Infection du poste de l'administrateur par un logiciel affectant un important
->
malveillant avec propagation sur la base de données volume de données (des-
truction)
Vraisemblance Mesure descriptive: moyenne
Source de risque Administrateur
Compromission de la disponibilité des documents
Objectif visé
sensibles
EFR Compromission du système
Mise en œuvre d'une stratégie de sauvegarde
Solution de protection contre les logiciels malveillants
Mise en œuvre de NTP
Moyens de maîtrise
Renforcement du système d'exploitation
Restriction des droits d'accès sur les données d'exploi-
tation
Le modèle source-fonction-destination-déclencheur (SFDT) permet de créer des événements de

surveillance liés au risque, où:
— source: indique d'où provient l'événement/la technique (qui et pourquoi?). Elle peut être associée
aux ressources spécifiées en A.2.3;
— fonction: indique le type d'événement/de technique réalisé(e) par l'attaquant (quoi?);
— destination: indique sur quoi la technique ou l'événement est réalisé(e) (sur quels biens essentiels ou
biens supports?);
— déclencheur: indique les conditions qui permettent de détecter et d'identifier le scénario de risque
(résultats de l'attaque).
Un exemple d'application du modèle SFDT est présenté à la Figure A.5.

ISO/IEC 27005:2022(F)
Figure A.5 — Exemple d'application du modèle SFDT
Afin de s'assurer qu'un événement de surveillance lié au risque est efficace et efficient pour surveiller
un scénario de risque lié à la sécurité de l'information, il est nécessaire de déterminer ses indicateurs.
Les indicateurs des événements de surveillance liés aux risques sont les suivants:
— le niveau de risque du scénario de risque surveillé;
— l'efficacité, la capacité des événements liés au risque à surveiller un scénario de risque;
— l'efficacité, le rapport entre les alertes positives réelles et les faux positifs, ou le coût de la
caractérisation.

ISO/IEC 27005:2022(F)
Bibliographie
[1] ISO 17666:2016, Systèmes spatiaux — Management des risques

[2] ISO/IEC 27001: 2022, Technologies de l’information — Techniques de sécurité — Systèmes de
management de la sécurité de l’information — Exigences
[3] ISO/IEC 27003, Technologies de l'information — Techniques de sécurité —Systèmes de management
de la sécurité de l'information — Lignes directrices
[4] ISO/IEC 27004, Technologies de l'information — Techniques de sécurité — Management de la
sécurité de l'information — Surveillance, mesurage, analyse et évaluation
[5] ISO/IEC 27014, Sécurité de l'information, cybersécurité et protection de la vie privée — Gouvernance
de la sécurité de l'information
[6] ISO/IEC/TR 27016, Technologies de l'information — Techniques de sécurité — Management de la
sécurité de l'information — Économie organisationnelle
[7] ISO/IEC 27017, Technologies de l'information — Techniques de sécurité — Code de bonnes pratiques
pour les contrôles de sécurité de l'information fondés sur l'ISO/IEC 27002 pour les services du nuage
[8] ISO/IEC 27701, Techniques de sécurité — Extension d'ISO/IEC 27001 et ISO/IEC 27002 au
management de la protection de la vie privée — Exigences et lignes directrices
[9] ISO 31000:2018, Management du risque — Lignes directrices
[10] IEC 31010:2019, Management du risque — Techniques d'appréciation du risque
[11] Guide ISO 73:2009, Management du risque — Vocabulaire

ISO/IEC 27005:2022(F)
ICS 35.030
Prix basé sur 62 pages
© ISO/IEC 2022 – Tous droits réservés

ISO IEC 27005 2022 (FR)

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

ISO IEC 27005 2022 (FR)

Transféré par

Droits d'auteur :

Formats disponibles

Licensed to bit / sonia kallel (sonia.kallel@bit.

DOCUMENT PROTÉGÉ PAR COPYRIGHT

ii ﻿ © ISO/IEC 2022 – Tous droits réservés

© ISO/IEC 2022 – Tous droits réservés ﻿ iii

10 Exploiter les processus SMSI connexes......................................................................................................................................34

iv ﻿ © ISO/IEC 2022 – Tous droits réservés

© ISO/IEC 2022 – Tous droits réservés ﻿ v

vi ﻿ © ISO/IEC 2022 – Tous droits réservés

NORME INTERNATIONALE ISO/IEC 27005:2022(F)

Sécurité de l'information, cybersécurité et protection de

3.1 Termes associés aux risques liés à la sécurité de l'information

— l'environnement social, culturel, politique, légal, réglementaire, financier, technologique, économique,

© ISO/IEC 2022 – Tous droits réservés ﻿ 1

— les relations contractuelles et les engagements;

— la complexité des réseaux et des dépendances.

— la vision, la mission et les valeurs;

— la gouvernance, l'organisation, les rôles et responsabilités;

— la stratégie, les objectifs et les politiques;

— les données, les systèmes d'information et la circulation de l'information;

— les relations contractuelles et les engagements;

— les interdépendances et les interconnexions internes.

2 ﻿ © ISO/IEC 2022 – Tous droits réservés

[SOURCE: Guide ISO 73:2009, 3.3.1.3]

© ISO/IEC 2022 – Tous droits réservés ﻿ 3

[SOURCE: ISO 31000:2018, 3.5, modifié — La Note 3 à l'article a été supprimée.]

[SOURCE: ISO 31000:2018, 3.7]

[SOURCE: ISO 31000:2018, 3.6]

[SOURCE: ISO 31000:2018, 3.8]

4 ﻿ © ISO/IEC 2022 – Tous droits réservés

3.2 Termes relatifs à la gestion des risques liés à la sécurité de l'information

© ISO/IEC 2022 – Tous droits réservés ﻿ 5

Note 2 à l'article: L'analyse du risque inclut l'estimation du risque.

[SOURCE: Guide ISO 73:2009, 3.6.1]

[SOURCE: Guide ISO 73:2009, 3.7.1, modifié — «importance» a remplacé «importance».]

— un refus du risque en décidant de ne pas démarrer ou poursuivre l'activité porteuse du risque;

— la prise ou l'augmentation d'un risque afin de saisir une opportunité;

— l'élimination de la source de risque (3.1.6);

— une modification de la vraisemblance (3.1.13);

— une modification des conséquences (3.1.14);

— une prise de risque fondée sur une décision argumentée.

[SOURCE: Guide ISO 73:2009, 3.7.1.6]

6 ﻿ © ISO/IEC 2022 – Tous droits réservés

Note 4 à l'article: Le transfert du risque est une forme de partage du risque.

[SOURCE: Guide ISO 73:2009, 3.8.1.3]

4 Structure du présent document

© ISO/IEC 2022 – Tous droits réservés ﻿ 7

5 Gestion des risques liés à la sécurité de l'information

5.1 Processus de gestion des risques liés à la sécurité de l'information

Figure 1 — Processus de gestion des risques liés à la sécurité de l'information

8 ﻿ © ISO/IEC 2022 – Tous droits réservés

5.2 Cycles de gestion des risques liés à la sécurité de l'information

© ISO/IEC 2022 – Tous droits réservés ﻿ 9

6.1 Considérations organisationnelles

6.2 Identification des exigences de base des parties intéressées

6.3 Application de l'appréciation du risque

10 ﻿ © ISO/IEC 2022 – Tous droits réservés

6.4 Établir et maintenir les critères de risques liés à la sécurité de l'information

6.4.2 Critères d'acceptation du risque

© ISO/IEC 2022 – Tous droits réservés ﻿ 11

12 ﻿ © ISO/IEC 2022 – Tous droits réservés

6.4.3 Critères de réalisation des appréciations du risque lié à la sécurité de l'information

© ISO/IEC 2022 – Tous droits réservés ﻿ 13

6.4.3.2 Critères de conséquences

ii © ISO/IEC 2022 – Tous droits réservés

© ISO/IEC 2022 – Tous droits réservés iii

iv © ISO/IEC 2022 – Tous droits réservés

© ISO/IEC 2022 – Tous droits réservés v

vi © ISO/IEC 2022 – Tous droits réservés

© ISO/IEC 2022 – Tous droits réservés 1

2 © ISO/IEC 2022 – Tous droits réservés

© ISO/IEC 2022 – Tous droits réservés 3

4 © ISO/IEC 2022 – Tous droits réservés

© ISO/IEC 2022 – Tous droits réservés 5

6 © ISO/IEC 2022 – Tous droits réservés

© ISO/IEC 2022 – Tous droits réservés 7

8 © ISO/IEC 2022 – Tous droits réservés

© ISO/IEC 2022 – Tous droits réservés 9

10 © ISO/IEC 2022 – Tous droits réservés

© ISO/IEC 2022 – Tous droits réservés 11

12 © ISO/IEC 2022 – Tous droits réservés

© ISO/IEC 2022 – Tous droits réservés 13

14 © ISO/IEC 2022 – Tous droits réservés

© ISO/IEC 2022 – Tous droits réservés 15

16 © ISO/IEC 2022 – Tous droits réservés

© ISO/IEC 2022 – Tous droits réservés 17

18 © ISO/IEC 2022 – Tous droits réservés

© ISO/IEC 2022 – Tous droits réservés 19

20 © ISO/IEC 2022 – Tous droits réservés

© ISO/IEC 2022 – Tous droits réservés 21

22 © ISO/IEC 2022 – Tous droits réservés

© ISO/IEC 2022 – Tous droits réservés 23

24 © ISO/IEC 2022 – Tous droits réservés

© ISO/IEC 2022 – Tous droits réservés 25

26 © ISO/IEC 2022 – Tous droits réservés

© ISO/IEC 2022 – Tous droits réservés 27

28 © ISO/IEC 2022 – Tous droits réservés

© ISO/IEC 2022 – Tous droits réservés 29

30 © ISO/IEC 2022 – Tous droits réservés

© ISO/IEC 2022 – Tous droits réservés 31

32 © ISO/IEC 2022 – Tous droits réservés

© ISO/IEC 2022 – Tous droits réservés 33

34 © ISO/IEC 2022 – Tous droits réservés

© ISO/IEC 2022 – Tous droits réservés 35

36 © ISO/IEC 2022 – Tous droits réservés

© ISO/IEC 2022 – Tous droits réservés 37

38 © ISO/IEC 2022 – Tous droits réservés