Quelle est la différence entre ISO 27005 et EBIOS Risk Manager ?

ISO/IEC 27005:2022 est une norme internationale qui décrit le processus de gestion des risques de sécurité de l'information. EBIOS Risk Manager (EBIOS RM) est une méthode publique éditée par l'ANSSI qui peut être utilisée aux côtés d'ISO 27005 pour opérationnaliser l'analyse de risques, avec un focus marqué sur les scénarios de menace cyber.

ISO 27005 est une norme internationale qui définit les principes et les étapes d'un processus de gestion des risques de sécurité de l'information. EBIOS RM est une méthode publique éditée par l'ANSSI (Agence nationale de la sécurité des systèmes d'information) en France.

Les deux référentiels sont compatibles, non concurrents. EBIOS RM peut être utilisée pour opérationnaliser l'analyse de risques dans un SMSI certifié ISO 27001 — c'est notamment la pratique recommandée pour les opérateurs soumis à des exigences ANSSI (SecNumCloud, OIV, OSE).

EBIOS RM impose une structure en cinq ateliers : cadrage et événements redoutés ; sources de risque ; scénarios stratégiques ; scénarios opérationnels ; traitement du risque. Elle met l'accent sur l'analyse des modes opératoires cyber, là où ISO 27005 reste plus généraliste sur la sécurité de l'information.

Le choix dépend du contexte : EBIOS RM est mieux reconnue par les autorités françaises et les écosystèmes défense, tandis qu'ISO 27005 reste le langage commun à l'international. De nombreux professionnels combinent la certification PECB Risk Manager ISO 27005 avec une formation EBIOS RM.

Related Information

  • ISO 27005 : norme internationale, lignes directrices générales
  • EBIOS RM : méthode ANSSI, structure en cinq ateliers
  • Compatibilité : EBIOS RM utilisable dans un SMSI ISO 27001
  • EBIOS RM privilégié : OIV, OSE, SecNumCloud, secteur défense
  • ISO 27005 privilégié : multinationales, SMSI multi-juridictions

Topics

ISO 27005EBIOS RMANSSIRisk Management

From Course

ISO 27005 Risk Manager

Learn more about this course and related topics

Related Answers

1

Qu’est-ce que la certification EBIOS Risk Manager et à quoi permet-elle d’être qualifié ?

La certification EBIOS Risk Manager atteste de la capacité à conduire des analyses de risques en sécurité de l’information selon la méthode EBIOS RM promue par l’ANSSI. Elle qualifie les professionnels pour construire des scénarios de menace, évaluer les risques et définir des mesures de traitement cohérentes avec l’ISO 27001.

byHenri HAENNI

Read more
2

Quelle est la différence entre ISO 27005 et ISO 31000 ?

ISO 31000:2018 est la norme internationale généraliste de gestion des risques, applicable à tout type de risque dans toute organisation. ISO/IEC 27005:2022 est alignée sur les principes d'ISO 31000 et basée sur sa structure, mais elle se concentre spécifiquement sur les risques liés à la sécurité de l'information.

byGerhard ROTTER

Read more
3

Qu'apporte la version 2022 d'ISO 27005 par rapport à 2018 ?

ISO/IEC 27005:2022 a été publiée en octobre 2022 et succède à l'édition 2018. Les évolutions confirmées concernent l'alignement terminologique avec ISO 27001:2022 et ISO 31000:2018, et la mise à jour du vocabulaire autour des notions de risque, menace et vulnérabilité.

byJean MUNYARUGERERO

Read more

Nous utilisons des cookies pour améliorer votre expérience

Les cookies nécessaires sont toujours actifs. Vous pouvez accepter, refuser les cookies non essentiels, ou personnaliser vos préférences.

Quelle est la différence entre ISO 27005 et EBIOS Risk Manager ? – ISO 27005 vs EBIOS Risk Manager : compatibilité et c…