ISO/IEC 27005:2022 est la norme internationale de référence pour la gestion des risques liés à la sécurité de l'information. Compagnon opérationnel d'ISO/IEC 27001, elle ne fixe pas d'exigences certifiables pour l'organisation mais fournit des lignes directrices structurées pour identifier, analyser, évaluer et traiter les risques, en cohérence avec ISO 31000. Elle outille les RSSI, risk managers, consultants GRC et auditeurs qui construisent ou évaluent un système de management de la sécurité de l'information (SMSI).
ISO 27005 en 30 secondes
ISO/IEC 27005 ne se certifie pas au niveau de l'organisation. La certification associée porte sur les personnes : PECB ISO/IEC 27005 Risk Manager pour les praticiens qui conduisent les évaluations de risques d'un SMSI. Format de l'examen : 2 heures, à choix multiples, en plusieurs langues. Format de la formation chez Abilene Academy : 3 jours en présentiel, classe virtuelle ou auto-formation.
ISO/IEC 27005:2022 — définition
Sécurité de l'information, cybersécurité et protection de la vie privée — Lignes directrices sur la gestion des risques liés à la sécurité de l'information. Norme internationale publiée par l'ISO et la CEI en octobre 2022, qui fournit des lignes directrices (et non des exigences certifiables) pour la gestion des risques de sécurité de l'information. Conçue pour soutenir la mise en œuvre d'un SMSI conforme à ISO/IEC 27001 et alignée sur l'approche générale d'ISO 31000. Source : ISO/IEC 27005:2022, article 1.
Qu'est-ce qu'ISO/IEC 27005 et à quoi sert-elle ?
ISO/IEC 27005 est une norme de lignes directrices publiée par l'ISO et la CEI qui définit comment conduire une démarche de gestion des risques au sein d'un système de management de la sécurité de l'information. Trois caractéristiques la distinguent dans le paysage normatif.
- Norme de guidance, pas norme certifiable. Aucune entreprise n'obtient une « certification ISO 27005 » ; le mot-clé revient régulièrement sur le marché, mais il désigne en réalité soit une certification individuelle (PECB ISO 27005 Risk Manager), soit l'alignement d'une démarche de gestion des risques sur les lignes directrices de la norme.
- Spécifique à la sécurité de l'information. Elle adresse les risques affectant la confidentialité, l'intégrité et la disponibilité des actifs informationnels, par opposition aux risques financiers, opérationnels ou stratégiques qui relèvent du périmètre général d'ISO 31000.
- Alignée sur ISO 31000. La révision 2022 a renforcé cet alignement, notamment au niveau du vocabulaire et de la structure du processus. ISO 27005 fournit le détail opérationnel propre au domaine SMSI tout en respectant le cadre parapluie qu'ISO 31000 propose pour l'ensemble du management des risques.
En pratique, ISO 27005 répond à une exigence précise d'ISO/IEC 27001 : l'article 6.1.2 demande à l'organisation de définir et d'appliquer un processus d'appréciation des risques liés à la sécurité de l'information. ISO 27001 dit qu'il faut le faire ; ISO 27005 explique comment le faire. C'est la raison pour laquelle, dans tout projet ISO 27001, la question « quelle méthode de gestion des risques utilisez-vous ? » revient en audit, et la réponse la plus défendable internationalement est « une démarche alignée sur ISO/IEC 27005 ».
Comment ISO 27005 s'articule-t-elle avec ISO 27001 et ISO 31000 ?
Diagramme en couches montrant la hiérarchie normative : ISO 31000 comme cadre parapluie de management du risque en haut, ISO/IEC 27005 comme spécialisation pour la sécurité de l'information au milieu, ISO/IEC 27001 comme norme certifiable du SMSI qui s'appuie sur 27005 en bas, et EBIOS Risk Manager comme méthode opérationnelle complémentaire d'origine ANSSI sur le côté.
ISO 27005 occupe une position charnière. ISO 31000 fixe les principes généraux de management du risque applicables à toute organisation et à toute catégorie de risque (financier, opérationnel, stratégique, conformité, sécurité, environnement, etc.). ISO 27005 prend ces principes et les spécialise pour les risques de sécurité de l'information. ISO 27001 fixe les exigences certifiables d'un SMSI et s'appuie sur la gestion des risques pour calibrer le niveau de protection requis. EBIOS Risk Manager, la méthode publiée par l'ANSSI, apporte une démarche opérationnelle prescriptive que beaucoup d'organisations européennes utilisent à l'intérieur du cadre ISO 27005.
Quels sont les principes du processus de gestion des risques selon ISO 27005 ?
ISO/IEC 27005:2022 organise la gestion des risques de sécurité de l'information autour d'un processus structuré composé de cinq grandes activités. Cette structure suit l'alignement renforcé avec ISO 31000:2018 introduit par la révision 2022.
- Établissement du contexte — définition du périmètre, des objectifs, des critères, des parties intéressées
- Appréciation des risques — comprend trois sous-activités : identification, analyse, évaluation
- Traitement des risques — choix des options de traitement et plan de mise en œuvre
- Communication et consultation — activité continue, transversale à toutes les autres
- Surveillance et revue — activité continue qui veille à ce que les risques restent maîtrisés dans le temps
Note pédagogique : pourquoi on entend parler de « 7 étapes »
Comme l'appréciation des risques se décompose elle-même en trois sous-activités (identification, analyse, évaluation), certains praticiens et formateurs comptent sept étapes opérationnelles au lieu de cinq grandes activités. ISO/IEC 27005:2022 ne fixe pas elle-même un compte unique : la présentation en sept étapes est une interprétation pratique répandue, pas la formulation littérale du standard. Les deux lectures sont compatibles, à condition de garder à l'esprit que c'est un découpage pédagogique.
Diagramme circulaire montrant le cycle itératif ISO 27005 : établissement du contexte, identification des risques, analyse des risques, évaluation des risques, traitement des risques. Au centre, deux activités transversales continues : communication et consultation, surveillance et revue.
L'établissement du contexte
Cette première activité fixe le périmètre du SMSI à couvrir, les objectifs de la démarche de risque, les critères d'évaluation (niveaux d'impact et de vraisemblance, seuil de tolérance), et identifie les parties intéressées. C'est l'étape la plus souvent expédiée et la plus structurante : un mauvais cadrage du contexte rend toute la démarche aval inopérante. Les audits ISO 27001 qui débouchent sur des non-conformités côté risques tracent presque toujours l'origine du problème à un contexte mal défini.
L'identification des risques
Identifier les actifs (informationnels, processus, technologiques, humains), les menaces qui pèsent sur ces actifs, les vulnérabilités exploitables et les impacts potentiels en cas de scénario réalisé. La sortie de cette étape est une cartographie des scénarios de risque à analyser.
L'analyse des risques
Estimer la vraisemblance et l'impact de chaque scénario, en utilisant des méthodes qualitatives, semi-quantitatives ou quantitatives. ISO 27005 ne prescrit aucune méthode spécifique ; elle laisse l'organisation choisir l'approche adaptée à son contexte. C'est précisément cette ouverture qui rend la norme utile mais qui exige du Risk Manager un jugement professionnel solide pour choisir la méthode défendable face à un auditeur.
L'évaluation des risques
Comparer le niveau de risque calculé aux critères d'acceptation définis lors de l'établissement du contexte, et prioriser les risques à traiter. Cette étape produit la liste des risques qui passent au traitement et ceux qui peuvent être acceptés en l'état.
Le traitement des risques
Pour chaque risque jugé inacceptable, ISO 27005 propose quatre options de traitement standard :
- Modifier le risque — réduire la vraisemblance ou l'impact en mettant en place des mesures de sécurité
- Conserver le risque — acceptation explicite et documentée, généralement validée au niveau direction
- Éviter le risque — renoncer à l'activité ou à la décision qui génère le risque
- Partager le risque — transfert ou partage via assurance, sous-traitance ou clauses contractuelles
Les mesures de sécurité retenues lorsqu'on opte pour la modification du risque s'appuient typiquement sur le catalogue d'ISO/IEC 27002:2022, qui propose 93 mesures réparties en 4 thèmes (organisationnel, personnel, physique, technologique). Le passage de l'évaluation des risques au choix des mesures, puis à la rédaction de la Déclaration d'Applicabilité (SoA, Statement of Applicability), est le point de jonction critique entre ISO 27005 et ISO 27001.
La communication, la consultation, la surveillance et la revue
Ces deux activités traversent tout le cycle. La communication maintient l'alignement entre les parties intéressées (direction, métiers, opérationnels, audit, régulateurs). La surveillance veille à ce que le contexte n'évolue pas à l'insu de l'organisation et que les risques résiduels restent maîtrisés. C'est l'étape qui distingue un programme de gestion des risques vivant d'un exercice ponctuel destiné à l'audit.
ISO 27005 vs ISO 27001 : quelle est la différence ?
ISO/IEC 27005 vs ISO/IEC 27001 : comparaison rapide
Dimension: Type de norme
Dimension: Objet
Dimension: Certifiable au niveau organisation
Dimension: Certification individuelle associée
Dimension: Relation entre les deux
Dimension: Public principal
ISO 27001 fixe le quoi (les exigences certifiables du SMSI), ISO 27005 fournit le comment côté gestion des risques. Pour un RSSI qui pilote un projet de certification ISO 27001, maîtriser ISO 27005 (ou une méthode équivalente comme EBIOS RM) n'est pas optionnel : c'est la seule façon de défendre le processus d'appréciation des risques face à un Lead Auditor.
ISO 27005 vs ISO 31000 : quelle est la différence ?
ISO 31000 est la norme parapluie de management du risque. Elle s'applique à toutes les catégories de risque (financier, opérationnel, stratégique, conformité, sécurité, environnement) et à toute organisation, quel que soit le secteur ou la taille. ISO 27005 est sa spécialisation pour la sécurité de l'information.
- ISO 31000:2018 — principes généraux, vocabulaire commun, cadre et processus haut niveau, applicable à tout type de risque
- ISO/IEC 27005:2022 — même logique de processus, mais avec le détail opérationnel propre aux actifs informationnels, aux menaces cyber et au lien avec ISO 27001
En pratique : une organisation qui n'a qu'un seul programme de risque significatif (le risque sécurité) peut s'appuyer uniquement sur ISO 27005. Une organisation qui pilote un programme ERM (Enterprise Risk Management) couvrant plusieurs catégories de risque utilise ISO 31000 comme ossature commune et ISO 27005 comme spécialisation pour le silo sécurité. Les deux normes sont conçues pour s'emboîter : la révision 2022 d'ISO 27005 a renforcé cet alignement, notamment au niveau de la terminologie.
ISO 27005 vs EBIOS Risk Manager : quelle est la différence ?
ISO/IEC 27005 vs EBIOS Risk Manager : comparaison rapide
Dimension: Origine
Dimension: Type
Dimension: Approche d'analyse
Dimension: Reconnaissance
Dimension: Certifications individuelles
Dimension: Compatibilité avec ISO 27001
EBIOS Risk Manager est plus prescriptive : elle impose une démarche structurée en cinq ateliers (cadrage et socle de sécurité, sources de risque, scénarios stratégiques, scénarios opérationnels, traitement du risque). ISO 27005 laisse plus de latitude méthodologique. Les deux sont complémentaires : ISO 27005 fournit le cadre normatif international qu'un auditeur ISO 27001 reconnaîtra ; EBIOS RM apporte une méthode opérationnelle prescriptive qui convient particulièrement bien aux organisations soumises à la doctrine ANSSI (administrations françaises, opérateurs d'importance vitale, certains acteurs financiers). De nombreux praticiens européens détiennent les deux certifications PECB pour pouvoir s'adapter au contexte client.
Qu'est-ce qui a changé entre ISO 27005:2018 et ISO 27005:2022 ?
ISO/IEC 27005:2022 a remplacé ISO/IEC 27005:2018 en octobre 2022. Les évolutions principales documentées par l'ISO et confirmées dans les supports de formation PECB :
Évolutions principales entre ISO/IEC 27005:2018 et ISO/IEC 27005:2022
Aspect: Alignement avec ISO 31000
Aspect: Articulation avec ISO 27001:2022
Aspect: Vocabulaire
Aspect: Structure interne
Aspect: Philosophie du standard
À retenir si vous étiez sur ISO 27005:2018
La révision 2022 ne change pas la philosophie fondamentale de la norme. Une organisation conforme à ISO 27005:2018 ne refait pas son SMSI ; elle réaligne son vocabulaire et vérifie la cohérence avec ISO/IEC 27001:2022. La maintenance porte essentiellement sur la documentation et la formation des équipes, pas sur l'architecture du processus de gestion des risques.
Comment se former à ISO 27005 ? La certification PECB Risk Manager
La certification individuelle de référence pour ISO 27005 est la PECB ISO/IEC 27005 Risk Manager, conçue pour les praticiens qui conduisent les évaluations de risques d'un SMSI. C'est la certification reconnue internationalement pour démontrer la maîtrise de la méthodologie.
Certification PECB ISO/IEC 27005 Risk Manager : format et exigences
Élément: Durée de la formation
Élément: Format de l'examen
Élément: Langues disponibles
Élément: Prérequis formels
Élément: Public visé
Élément: Validité du certificat
Élément: Niveau supérieur disponible
Pour les conditions exactes de l'examen (score minimum requis, nombre de questions selon la version active, conditions de repassage), le portail candidat PECB fait foi : les paramètres évoluent ponctuellement et la version officielle prime sur tout résumé externe.
La formation chez Abilene Academy est délivrée en français, anglais et espagnol, en présentiel à Lausanne et Genève, en classe virtuelle, en e-learning ou en auto-formation accompagnée. Abilene Academy est le seul Partenaire PECB Titanium en Suisse, avec un taux de réussite aux examens PECB de 99 % et plus de 2 500 professionnels formés dans plus de 120 pays.
Combien dure et combien coûte la formation ISO 27005 Risk Manager ?
La formation PECB ISO/IEC 27005 Risk Manager dure 3 jours en présentiel ou en classe virtuelle, avec l'examen PECB de 2 heures programmé en fin de formation ou à distance dans les semaines qui suivent. Pour un parcours plus poussé (cas pratiques étendus, préparation à des fonctions d'encadrement de programme risque), le niveau ISO/IEC 27005 Lead Risk Manager s'étend sur 5 jours, avec un examen de 3 heures.
Le tarif typique en Suisse francophone se situe dans une fourchette comparable à celle des autres certifications PECB Risk Manager équivalentes, examen PECB inclus. Le tarif varie selon le format (présentiel, classe virtuelle, e-learning, auto-formation), la langue, et les services associés (préparation renforcée à l'examen, support post-formation, modalités intra-entreprise). Pour un devis personnalisé en fonction du contexte (individuel ou équipe, format, dates), contactez request@abileneacademy.ch.
Comment intégrer ISO 27005 dans un projet ISO 27001 ?
Pour les RSSI et chefs de projet SMSI, ISO 27005 entre en jeu dès la phase de cadrage d'un projet ISO 27001, juste après la définition du contexte du SMSI. La séquence pratique se déroule en six étapes.
- 1. Définir le contexte du SMSI (ISO 27001, article 4) → devient l'input direct de l'établissement du contexte ISO 27005
- 2. Construire la méthodologie d'appréciation des risques (ISO 27001, article 6.1.2) → ISO 27005 fournit le cadre, le choix de la méthode opérationnelle (qualitative, semi-quantitative, EBIOS RM, autre) est à documenter
- 3. Conduire la première itération complète d'appréciation des risques sur le périmètre → identification, analyse, évaluation
- 4. Définir le plan de traitement des risques → choix des options de traitement et des mesures (catalogue ISO/IEC 27002:2022)
- 5. Rédiger la Déclaration d'Applicabilité (SoA) → justification des 93 mesures de l'Annexe A retenues, modifiées ou exclues
- 6. Intégrer les revues de risque dans le cycle PDCA du SMSI → cadence de revue, déclencheurs de réévaluation, surveillance continue
Sur un projet de certification ISO 27001, les étapes 1 à 5 prennent typiquement 2 à 4 mois pour un périmètre ciblé dans une organisation de taille intermédiaire, davantage si le périmètre couvre plusieurs sites ou entités juridiques. Le calendrier court n'est pas un signe de mauvaise qualité ; le calendrier long n'est pas un signe de rigueur. Ce qui compte, c'est la traçabilité entre l'analyse de risque, le choix des mesures et la SoA — c'est la première chose qu'un Lead Auditor ISO 27001 vérifie.
ISO 27005 et le contexte réglementaire actuel
Plusieurs cadres réglementaires européens font monter la demande de compétences en gestion des risques de sécurité de l'information : la directive NIS 2, le règlement DORA pour les services financiers, et le règlement européen sur l'IA exigent tous des démarches structurées d'évaluation des risques cyber. ISO 27005 ne satisfait pas automatiquement ces exigences, mais elle fournit le cadre méthodologique le plus largement reconnu pour les construire.
Pour chaque texte, les exigences précises évoluent avec les actes délégués, les standards techniques (RTS, ITS) et les guidances des autorités nationales. Les pages dédiées à chaque cadre sur le site Abilene Academy listent les sources officielles et les dates d'application à jour :
- Directive NIS 2 — guide complet (France 2026)
- DORA — guide de conformité pour les institutions financières suisses et européennes
- EU AI Act — guide complet de conformité
L'effet pratique pour les Risk Managers : la maîtrise d'ISO 27005 (ou d'une méthode équivalente comme EBIOS RM) devient une compétence transverse qui se monétise sur plusieurs cadres réglementaires à la fois, plutôt qu'une qualification spécialisée par texte.
Le regard du formateur : où s'arrête la norme, où commence le jugement
Vue terrain par Henri Haenni — Formateur principal Abilene Academy, certifié PECB ISO/IEC 27005 Risk Manager, ISO 31000 Lead Risk Manager, EBIOS Risk Manager, ISO/IEC 27001 Lead Implementer
Sur le terrain, les Risk Managers ne suivent pas la norme ligne par ligne. Ils s'appuient sur la séquence ISO 27005 pour structurer leur démarche, puis adaptent la méthode au contexte de l'organisation. C'est précisément ce qui rend la norme utile : elle structure sans contraindre. Le piège, c'est de la traiter comme une procédure rigide. ISO 27005 est un guide. La valeur du Risk Manager, c'est de savoir où la norme s'arrête et où le jugement professionnel commence : choix de la méthode d'analyse, calibrage des critères, arbitrage des options de traitement avec la direction. Ces zones-là ne s'apprennent pas dans la norme. Elles se construisent en projet.
Questions fréquentes sur ISO 27005
Les questions les plus fréquentes reçues lors des sessions de formation PECB ISO/IEC 27005 Risk Manager chez Abilene Academy. Pour les réponses détaillées et les questions liées, consultez aussi la base d'atomic answers liée à cet article.
Sources et références
- ISO/IEC 27005:2022 — Information security, cybersecurity and privacy protection — Guidance on managing information security risks (catalogue ISO, officiel)
- ISO/IEC 27001:2022 — Information security management systems — Requirements (catalogue ISO, officiel)
- ISO 31000:2018 — Risk management — Guidelines (catalogue ISO, officiel)
- ISO/IEC 27002:2022 — Information security controls (catalogue ISO, officiel — 93 mesures, 4 thèmes)
- PECB ISO/IEC 27005 Risk Manager (page officielle de la certification, portail candidat PECB)
- EBIOS Risk Manager (ANSSI, méthode officielle française)
Pour aller plus loin
Formations Abilene Academy associées : ISO/IEC 27005 Risk Manager · ISO/IEC 27001 Lead Implementer · ISO 31000 Risk Manager · EBIOS Risk Manager.
Articles complémentaires : Formation ISO 27001 en Suisse — le guide complet 2026 · ISO 27001 pour les FinTech suisses face à FINMA · EBIOS Risk Manager — méthode et certification PECB.
