ISO/IEC 27005:2022 est une norme internationale qui décrit le processus de gestion des risques de sécurité de l'information. EBIOS Risk Manager (EBIOS RM) est une méthode publique éditée par l'ANSSI qui peut être utilisée aux côtés d'ISO 27005 pour opérationnaliser l'analyse de risques, avec un focus marqué sur les scénarios de menace cyber.
ISO 27005 est une norme internationale qui définit les principes et les étapes d'un processus de gestion des risques de sécurité de l'information. EBIOS RM est une méthode publique éditée par l'ANSSI (Agence nationale de la sécurité des systèmes d'information) en France.
Les deux référentiels sont compatibles, non concurrents. EBIOS RM peut être utilisée pour opérationnaliser l'analyse de risques dans un SMSI certifié ISO 27001 — c'est notamment la pratique recommandée pour les opérateurs soumis à des exigences ANSSI (SecNumCloud, OIV, OSE).
EBIOS RM impose une structure en cinq ateliers : cadrage et événements redoutés ; sources de risque ; scénarios stratégiques ; scénarios opérationnels ; traitement du risque. Elle met l'accent sur l'analyse des modes opératoires cyber, là où ISO 27005 reste plus généraliste sur la sécurité de l'information.
Le choix dépend du contexte : EBIOS RM est mieux reconnue par les autorités françaises et les écosystèmes défense, tandis qu'ISO 27005 reste le langage commun à l'international. De nombreux professionnels combinent la certification PECB Risk Manager ISO 27005 avec une formation EBIOS RM.
Cette formation prépare les professionnels à diriger le management des risques comme un véritable outil d’aide à la décision, et non comme un exercice de conformité. Fondée sur les lignes directrices ISO 31000, elle met l’accent sur l’identification des incertitudes, l’évaluation des arbitrages et.
Voir la formationLa formation et certification ISO/IEC 27001 n’est plus un facteur de différenciation, mais une exigence de base. Cette formation prépare les professionnels à mettre en œuvre et gérer un système de management de la sécurité de l’information réellement opérationnel.
Voir la formationCette formation développe une capacité opérationnelle à conduire des analyses de risques en sécurité de l’information selon EBIOS Risk Manager, conformément aux attentes de l’ANSSI et en cohérence avec l’ISO 27001.
Voir la formationISO 31000:2018 est la norme internationale généraliste de gestion des risques, applicable à tout type de risque dans toute organisation. ISO/IEC 27005:2022 est alignée sur les principes d'ISO 31000 et basée sur sa structure, mais elle se concentre spécifiquement sur les risques liés à la sécurité de l'information.
byGerhard ROTTER
ISO/IEC 27005:2022 a été publiée en octobre 2022 et succède à l'édition 2018. Les évolutions confirmées concernent l'alignement terminologique avec ISO 27001:2022 et ISO 31000:2018, et la mise à jour du vocabulaire autour des notions de risque, menace et vulnérabilité.
byJean MUNYARUGERERO
ISO/IEC 27005:2022 est la norme internationale qui fournit des lignes directrices pour la gestion des risques liés à la sécurité de l'information. Publiée en octobre 2022 par l'ISO et la CEI, elle aide les organisations à mettre en œuvre les exigences de gestion des risques de la clause 6.1 d'ISO/IEC 27001. C'est une norme non-certifiable : elle fournit des lignes directrices, pas des exigences certifiables.
byTania POSTIL
La formation PECB Certified ISO/IEC 27005 Risk Manager dure 5 jours (40 heures), examen inclus. L'examen de certification dure 2 heures et se déroule le dernier jour de formation.
L’ISO/IEC 27005 définit un cadre de gestion des risques, tandis qu’EBIOS ou NIST proposent des méthodes d’analyse détaillées. ISO 27005 permet d’intégrer plusieurs méthodes dans un cycle de gestion standardisé.
L’ISO/IEC 27005 fournit les lignes directrices opérationnelles permettant de réaliser les évaluations et traitements des risques exigés par l’ISO/IEC 27001. Elle détaille la mise en œuvre de la clause 6.1.2 de manière structurée et vérifiable.
ISO 31000:2018 est la norme internationale généraliste de gestion des risques, applicable à tout type de risque dans toute organisation. ISO/IEC 27005:2022 est alignée sur les principes d'ISO 31000 et basée sur sa structure, mais elle se concentre spécifiquement sur les risques liés à la sécurité de l'information.
ISO 31000:2018 pour praticiens suisses : 8 principes, processus en 6 étapes, 7 options de traitement, croisement FINMA 2023/01, LSI, nLPD, DORA et EU AI Act. Guide expert Henri Haenni.
Tout ce qu'il faut savoir sur ISO/IEC 27005:2022 : positionnement par rapport à ISO 27001, ISO 31000 et EBIOS Risk Manager, processus, certification PECB Risk Manager. Le guide expert.
Toutes les questions fréquentes →
Base de connaissances complète
Les cookies nécessaires sont toujours actifs. Vous pouvez accepter, refuser les cookies non essentiels, ou personnaliser vos préférences.