Risques en s�curit� de l'information : premier ouvrage fran�ais d�di� au r�f�rentiel ISO 27005

Premier livre fran�ais d�di� � la norme ISO 27005, l�ouvrage � Gestion des risques en s�curit� de l'information � d�Anne Lupfer d�taille chaque �tape au travers d'un sch�ma de toutes les activit�s d�crites dans la norme, avec des exemples et des sc�narios d'incidents r�els, aidant ainsi le lecteur � la comprendre et l'appliquer. Explications.

La gestion des risques a parfois �t� le parent pauvre de la s�curit� de l'information. De nombreux organismes appliquent des mesures de s�curit� pour respecter un catalogue de mesures, pour �tre conforme � un r�f�rentiel, ou pour faire comme les autres. Ils ne savent pas n�cessairement en quoi ces dispositifs de s�curit� r�duisent des risques. L'av�nement de la norme ISO 27001 qui permet d'organiser sereinement sa s�curit� des syst�mes d'information sous forme d'un syst�me de management de la s�curit� de l'information (SMSI), impose une approche par la gestion des risques.

L'obligation de la r�alisation d'une appr�ciation des risques est une caract�ristique fondamentale de l'ISO 27001 en opposition avec les approches conformit� comme SoX ou PCI-DSS. La norme ISO 27001 pr�cise en un peu plus d'une page ce que doit obligatoirement comporter une gestion des risques en s�curit� de l'information. C'�tait un peu l�ger et la norme ISO 27005 est venue combler ce manque avec d�tail, tout en en allant plus loin, car elle s'applique non seulement aux SMSI mais � tout type de situation, de mani�re autonome, comme par exemple la gestion des risques sur un syst�me embarqu�.

La norme ISO 27005 est un guide d�finissant une m�thode d'appr�ciation des risques en s�curit� de l'information. Elle a fait l'objet d'un consensus international et elle permet une meilleure compr�hension mutuelle � travers le monde. Elle apporte une nouveaut� fondamentale par rapports aux m�thodes qui l'ont pr�c�d�e comme EBIOS ou Mehari : la gestion des risques dans la dur�e, dans le temps. Il ne s'agit plus de g�rer les risques en y travaillant dur quelques semaines, puis en recommen�ant son travail quelques ann�es plus tard, mais de g�rer les risques en s�curit� de l'information au quotidien. Ce changement majeur est impos� par l'approche continue de l'ISO 27001, mais il repr�sente le principal changement par rapport aux m�thodes ant�rieures. L'ISO 27005 est �galement la premi�re m�thode qui impose � la direction g�n�rale d'�tre parfaitement inform�e, et lui impose de prendre ses responsabilit�s en toute connaissance de cause, ce qui clarifie les responsabilit�s et facilite les arbitrages budg�taires.

L�ouvrage � Gestion des risques en s�curit� de l'information, mise en oeuvre de la norme ISO 27005 �, premier livre sur ce sujet, constitue une aide indispensable � la compr�hension et l'application de la m�thode ISO 27005. Comme beaucoup de normes, elle est tr�s structur�e mais peu didactique. Comment inventorier et valoriser des actifs ? Comment identifier des menaces, des vuln�rabilit�s, des sc�narios d'incidents, des cons�quences ? Comment estimer et �valuer des niveaux de risque ? Quels risques doivent �tre r�duits ou transf�r�s ? Comment donner � la direction g�n�rale de quoi faire son arbitrage budg�taire ?

Au travers d'un sch�ma de toutes les activit�s d�crites dans la norme, le livre d�taille chaque �tape, avec des exemples et des sc�narios d'incidents r�els qui refl�tent le savoir-faire de l'auteur, Anne Lupfer qui est entr�e chez HSC (Herv� Schauer Consultants) avec une exp�rience de gestion des risques dans l'assurance. Ing�nieur dipl�m�e de l'ECE, elle a cr�� la formation � la gestion des risques en s�curit� chez HSC et a �t� une des premi�res � mettre en �uvre concr�tement la m�thode ISO 27005 en client�le. Son exp�rience sur le terrain et ses �changes avec les stagiaires a �galement permis de pr�parer � la certification ISO 27005 Risk Manager.

Cet ouvrage est destin� � tous les responsables s�curit� (RSSI) et leurs �quipes, et les personnes impliqu�es dans la mise en oeuvre ou l'audit d'un SMSI. C'est �galement un livre utile aux DSI, responsables et chefs de projet informatique, et les personnes devant analyser les risques informatiques ou g�rer des risques informatiques et en s�curit� de l'information dans leur projet. L'ISO 27005 demande � ce que le gestionnaire de risque en s�curit� de l'information s'aligne sur les risques op�rationnels ou industriels. Aussi l'ouvrage est profitable aux gestionnaires de risques d�sirant approfondir le volet s�curit� de l'information. Enfin il sera une aide pr�cieuse � tous ceux qui souhaitent obtenir la certification individuelle "ISO 27005 Risk Manager".