ISO/IEC 27005 est la norme internationale qui fournit des lignes directrices pour gérer les risques de sécurité de l'information. Elle n'est pas certifiable pour les organisations, mais elle l'est pour les personnes : la certification PECB Risk Manager vous habilite à piloter la gestion du risque conformément à la norme. Et voici l'essentiel : ISO/IEC 27005 est la pièce qui relie ISO 27001, NIS2 et DORA. Qui maîtrise 27005 dispose d'une compétence transversale, valorisée dans les trois domaines. Dans cet article, je vous explique ce que couvre la norme, ce que vous apprendrez dans le cours et pourquoi c'est l'un des investissements les plus utiles en GRC.

Qu'est-ce qu'ISO/IEC 27005 et pourquoi c'est important

ISO/IEC 27005 est la norme internationale qui offre des lignes directrices pour la gestion des risques de sécurité de l'information. La version en vigueur est ISO/IEC 27005:2022, alignée sur ISO/IEC 27001:2022 et sur le cadre général de gestion des risques ISO 31000.

À la différence d'ISO/IEC 27001 (certifiable pour les organisations) ou d'ISO/IEC 27002 (un code de bonnes pratiques), ISO/IEC 27005 est une norme orientée processus : elle vous dit comment mener une gestion des risques rigoureuse, reproductible et compatible avec n'importe quel SMSI.

Pourquoi elle est stratégiquement importante : presque toutes les normes et réglementations modernes de cybersécurité (NIS2, DORA, AI Act) exigent une gestion des risques formelle. ISO/IEC 27005 est la méthodologie la plus reconnue internationalement pour le faire. La maîtriser vous habilite sur toutes les réglementations, pas sur une seule.

Sa connexion avec 27001, NIS2 et DORA

Voici la lecture clé que beaucoup de professionnels ne perçoivent pas tout à fait : ISO/IEC 27005 est le moteur qui fait tourner la roue sur trois fronts :

Avec ISO/IEC 27001 : la clause 6.1.2 de la norme exige une appréciation des risques formelle. ISO 27005 fournit la méthodologie détaillée pour le faire (la 27001 vous dit quoi, la 27005 vous dit comment).

Avec NIS2 : l'article 21 de la directive exige des « politiques d'analyse des risques et de sécurité de l'information » comme premier bloc de mesures obligatoires. Une méthodologie 27005 est la façon naturelle de répondre à cette exigence.

Avec DORA : le pilier 1 du règlement est la gestion du risque lié aux TIC, avec un cadre de gestion des risques formellement défini. ISO 27005 s'y intègre directement.

Par conséquent, vous certifier en 27005 ne vous ouvre pas une seule porte, mais trois à la fois.

La méthodologie, étape par étape

ISO/IEC 27005 définit un cycle de gestion des risques en six phases. Il vaut la peine de les connaître, car ce sont elles qui structurent le cours :

  1. Établissement du contexte. Critères d'appréciation, d'acceptation et d'impact. Sans cela, apprécier le risque est un exercice subjectif.
  2. Identification du risque. Actifs, menaces, vulnérabilités et mesures existantes.
  3. Analyse du risque. Estimation de la probabilité et de l'impact, méthodes qualitatives ou quantitatives.
  4. Évaluation du risque. Comparaison avec les critères établis pour prioriser.
  5. Traitement du risque. Acceptation, atténuation, transfert ou évitement, avec un plan de traitement documenté.
  6. Communication, surveillance et revue. Le risque vivant, pas un rapport qui reste au fond d'un tiroir.

Ce que couvre le cours Risk Manager

Le cours PECB Certified ISO/IEC 27005 Risk Manager est une formation de trois jours (catégorie C de PECB). Le programme couvre :

L'approche est pratique : nous travaillons avec des modèles réels (registre des actifs, matrices de menaces, plan de traitement du risque, déclaration d'applicabilité). Vous n'en sortez pas avec de la seule théorie, mais avec les livrables que vous produirez dès votre premier projet.

Risk Manager vs Lead Risk Manager : lequel choisir

PECB propose deux certifications en 27005 : Risk Manager (3 jours) et Lead Risk Manager (5 jours). La différence est de périmètre :

Risk Manager vous habilite à exécuter la méthodologie sur un projet concret. C'est la certification naturelle pour un consultant ou un professionnel qui va travailler au sein d'un SMSI déjà existant.

Lead Risk Manager ajoute le pilotage du programme de gestion des risques à l'échelle de l'organisation, l'intégration avec d'autres cadres (ISO 31000, COSO ERM) et la gestion d'équipes. C'est la certification naturelle pour un responsable des risques ou un CRO.

Si vous travaillez comme consultant ou pilotez un projet, commencez par Risk Manager. Si vous gérez un programme ou dirigez une équipe, allez directement à Lead Risk Manager.

L'examen et la certification

L'examen Risk Manager dure deux heures et couvre les cinq domaines de compétence (contexte, identification, analyse, évaluation, traitement). Le cours octroie 21 crédits CPD et, comme dans le reste du catalogue PECB, l'examen inclut deux tentatives.

La certification est valable pour maintenir le statut de professionnel certifié en CISA, CISM, CISSP, CRISC et d'autres certifications qui exigent des CPD.

Qui maîtrise ISO/IEC 27005 dispose d'une compétence transversale : la même méthodologie sert pour ISO 27001, pour NIS2 et pour DORA. C'est l'une des rares certifications en GRC qui rend sur trois réglementations différentes avec une seule formation.

Se former et se certifier

Si vous voulez franchir le pas vers la certification officielle PECB, le cours ISO/IEC 27005 Risk Manager est la voie directe : Self-Study officiel PECB pour avancer à votre rythme, ou avec un coaching individuel jusqu'à ce que vous soyez prêt pour l'examen, dans les normes que j'enseigne en tant que Formateur Certifié.