Extrait :
Extrait de la préface de Hervé Schauer
La norme ISO 27001 permet d'organiser sereinement la sécurité de son système d'information sous forme d'un système de management de la sécurité de l'information (SMSI). Cette norme ISO 27001 impose une approche par la gestion des risques, et l'obligation de réaliser une appréciation des risques est une caractéristique fondamentale, en opposition avec les approches conformité. L'ISO 27001 précise en un peu plus d'une page ce que doit obligatoirement comporter une gestion des risques en sécurité de l'information. C'était un peu léger et la norme ISO 27005 est venue combler ce manque en détail, tout en allant plus loin, car l'ISO 27005 s'applique non seulement aux SMSI mais à tout type de situation, de manière autonome, tel un système embarqué, par exemple.
De nombreuses méthodologies avaient été développées tant en France qu'ailleurs, et désormais l'ISO 27005 propose une méthode structurée et normalisée, une approche qui se définit elle-même dans la norme comme systématique, c'est-à-dire une approche répétable, que l'on peut apprendre par une procédure pas à pas. L'ISO 27005 est simple à comprendre - il n'y a aucune notion très complexe, elle utilise un vocabulaire conforme au langage courant et cohérent de bout en bout -, elle est pragmatique et accessible à tout type d'organisme, adaptée à la réalité complexe des sociétés actuelles, et permet de produire un travail exploitable et utile rapidement sans aucune étape irréalisable, même si la précédente n'est pas terminée.
La gestion des risques en sécurité de l'information est une approche courante en France, mais pas partout dans le monde. Aux États-Unis, par exemple, il est plus courant de voir une gestion des risques opérationnels d'un côté et une gestion des risques purement informatiques de la DSI de l'autre (exemple : RiskIT), et moins une approche globale sécurité de l'information gérée par le RSSI (responsable de la sécurité des systèmes d'information). La méthode ISO 27005 devrait permettre une meilleure compréhension à travers le monde. L'ISO 27005 a fait des choix structurants, comme l'approche par scénario d'incidents, qui la rendent facilement accessibles à ceux qui utilisaient des méthodes françaises comme Mehari ou Ebios, alors que la norme américaine NIST SP 800-30 n'avait pas cette caractéristique.
Présentation de l'éditeur :
Comment évaluer le risque pour les SI d'entreprise ? Quels risques doit-on accepter de prendre ? La gestion des risques en sécurité de l'information, recommandée par de nombreux référentiels comme la norme 150 27001, est en train de devenir une obligation pour les responsables de la sécurité de l'information (RSSI), les directeurs des systèmes d'information (DSI), et bien d'autres acteurs de l'entreprise.
Après les démarches locales, comme Ebios et Mehari en France, la norme ISO 27005, première méthode de gestion des risques structurée et normalisée, est appelée à s'imposer à l'échelle planétaire. Facilement accessible, elle propose une approche continue (au quotidien, dans la durée), systématique, pragmatique et adaptée à la réalité complexe des entreprises actuelles. S'appuyant, tout comme la norme, sur des scénarios d'incidents réels, ce guide de mise en oeuvre ISO 27005 dévoile l'essence des années d'expérience et de savoir-faire de l'auteur, et constituera une aide précieuse pour la certification ISO 27005 Risk Manager.
Si ce livre est un complément indispensable de la compréhension de la norme 150 27005, le texte original de la norme reste disponible auprès des organismes de normalisation.
Après une expérience de gestion des risques dans l'assurance, Anne Lupfer, ingénieur diplômée de l'ECE, a créé la formation en gestion des risques en sécurité chez HSC (Hervé Schauer Consultants), préparant de nombreux stagiaires à la certification ISO 27005 Risk Manager. Ayant assisté Hervé Schauer au sein du processus d'élaboration de la norme, elle a été l'une des premières à mettre en oeuvre concrètement la méthode ISO 27005 en clientèle. Depuis 2009, elle a rejoint un grand groupe pour lequel elle met à profit son expérience acquise en gestion des risques.
Les informations fournies dans la section « A propos du livre » peuvent faire référence à une autre édition de ce titre.