1. Espace Professionnels
  2. La norme ISO/IEC 27005 - Maîtriser la gestion des risques en sécurité de l'information (2e édition)

La norme ISO/IEC 27005 Maîtriser la gestion des risques en sécurité de l'information (2e édition)

Informations

Livraison possible dès le 08 décembre 2025
  • Livraison à partir de 0,01 €
  • Version en ligne offerte pendant 1 an
  • Livres rédigés par des auteurs francophones et imprimés à Nantes

Les points forts du livre :

  • Une démystification complète de la norme ISO/IEC 27005:2022 à travers une approche processuelle structurée,
  • L'approfondissement des normes ISO 27001 et ISO 31000 pour une gouvernance inter-normes cohérente,
  • Une mise en pratique à travers des études de cas contextualisées pour un transfert immédiat des acquis
Consulter des extraits du livre en ligne Aperçu de la version papier
  • Niveau Expert
  • Nombre de pages 286 pages
  • Parution octobre 2025

Ce livre sur la norme ISO/IEC 27005:2022 s’adresse aux chefs de projet, administrateurs systèmes et réseaux, responsables sécurité (RSSI), DSI et à toute personne impliquée dans la gestion des risques liés à la sécurité de l’information. Il intéressera également les professionnels de la gouvernance IT souhaitant approfondir leur compréhension des normes ISO 27005, ISO 27001, ISO 31000 et préparer une certification ISO 27005 Risk Manager.

Structuré en trois grandes parties, l’ouvrage présente d’abord les bases de la gouvernance de la sécurité de l’information et les principaux référentiels associés. Il détaille ensuite, de manière pédagogique, tous les processus de la norme ISO/IEC 27005:2022, à travers une approche claire et opérationnelle, permettant au lecteur de conduire une analyse de risque complète, contextualisée et à jour des exigences normatives.

Enfin, une série d’études de cas fictifs permet de mettre en application les connaissances acquises en confrontant le lecteur à des scénarios réalistes. Pour chaque cas, des pistes de traitement des risques sont proposées de manière structurée et pragmatique.

 

Caractéristiques

  • Livre (broché) - 17 x 21 cm
  • ISBN : 978-2-409-05175-3
  • EAN : 9782409051753
  • Ref. ENI : EP2ISO27005
Avant-propos
  1. Avant-propos
Normes et cadres réglementaires
  1. Introduction
  2. Que sont les normes ISO??
    1. 1. Normes liées à la sécurité del’information
    2. 2. La famille ISO/IEC 27000
  3. ISO 31000 et IEC 31010
  4. ISO 27001
  5. ISO/IEC 27005 : gestion des risques
  6. RGPD
  7. Conclusion
Définitions et concepts de risque
  1. Concept de risque
  2. Définition du risque
  3. Les statistiques et les risques
  4. L'opportunité par le risque
  5. La perception du risque
  6. Quelques définitions d'ISO 27000
  7. La sécurité de l'information
  8. Les types de mesures de sécurité
  9. Les avantages de la gestion du risque
  10. Conclusion
Programme de gestion du risque
  1. Introduction
  2. Principes et approches de la gestion des risques
    1. 1. Méthode PDCA
    2. 2. Cycle continu : intégrer le risque aux métiers
    3. 3. Agilité : adapter à l’incertitude
  3. Programme de gestion des risques
    1. 1. Engagement de la direction
    2. 2. Définir les responsabilités
    3. 3. Établir une politique de gestion des risques
    4. 4. Implémenter un processus de gestion des risques
    5. 5. Choisir une approche de gestion des risques
      1. a. Approche par scénario
      2. b. Approche par actif
      3. c. Approche itérative
    6. 6. Sélection d’une méthode d’appréciationdes risques
    7. 7. Fournir les ressources
  4. Conclusion
Établissement du contexte
  1. Introduction
  2. Établissement du contexte
    1. 1. Le contexte externe
    2. 2. Le contexte interne
  3. Identifier les parties prenantes
  4. Définir les objectifs
  5. Définir les critères de base
  6. Définir le cadre et les limites
    1. 1. Les contraintes techniques
    2. 2. Les contraintes financières
    3. 3. Les contraintes environnementales
    4. 4. Les contraintes organisationnelles
    5. 5. Les contraintes de temps
  7. Conclusion
Identification des risques
  1. Introduction
  2. Techniques pour rassembler les informations
    1. 1. Questionnaire
    2. 2. Entretiens
    3. 3. Revue de documentations et outils
    4. 4. Observation sur le terrain
  3. Identification des actifs
    1. 1. Actifs primaires
    2. 2. Actifs supports
    3. 3. Échelle de valeur des actifs
  4. Identification des menaces
  5. Identification des contrôles existants
  6. Identification des vulnérabilités
  7. Identification des conséquences
  8. Conclusion
Analyse et évaluation du risque
  1. Introduction
  2. Méthodologies d'analyse du risque
    1. 1. Approche qualitative
    2. 2. Approche quantitative
  3. Évaluation des conséquences
  4. Évaluation de la vraisemblance d’un incident
  5. Détermination d’un niveau de risque
  6. Évaluation du risque
  7. Évaluation quantitative du risque
    1. 1. Concept de ROSI
    2. 2. Définitions
    3. 3. Calculs
Traitement et acceptation des risques
  1. Introduction
  2. Processus de traitement du risque
    1. 1. Hiérarchisation des risques
    2. 2. Options de traitement du risque
      1. a. Réduction du risque
      2. b. Évitement du risque
      3. c. Transfert du risque
      4. d. Acceptation du risque
      5. e. Plan d’actions
    3. 3. Les risques résiduels
  3. Processus d'acceptation des risques
    1. 1. Facteurs d’acceptation des risques
    2. 2. Déroulement d’un comité décisionnel
  4. Conclusion
Communication des risques
  1. Introduction
  2. Objectif de la communication des risques
  3. Plan de communication sur les risques
    1. 1. Principes d’une stratégie de communicationefficace
    2. 2. La communication interne et externe
      1. a. Communication interne
      2. b. Communication externe
  4. Enregistrements
  5. Conclusion
Surveillance et revue des risques
  1. Introduction
  2. Processus de surveillance et revue des risques
  3. Surveillance et revue des facteurs de risques
  4. Surveillance et revue de la gestion des risques
  5. Amélioration continue
    1. 1. Démarche Kaizen
    2. 2. La méthode 6 sigma
    3. 3. Les 5 S
    4. 4. Méthode des cinq pourquoi
  6. Conclusion
Méthodes
  1. Introduction
  2. OCTAVE
    1. 1. La méthode OCTAVE
    2. 2. La méthode OCTAVE-S
      1. a. Phase 1 : Construire des profilsde menaces basés sur les actifs
      2. b. Phase 2 : Identifier les vulnérabilitésde l’infrastructure
      3. c. Phase 3 : Élaborer desstratégies et des plans de sécurité
    3. 3. La méthode OCTAVE Allegro
      1. a. Étape 1 - Établir des critèresde mesure du risque
      2. b. Étape 2 - Élaborer desprofils d’actifs informationnels
      3. c. Étape 3 - Identifier les conteneursd’actifs informationnels
      4. d. Étape 4 - Identifier les domainesde préoccupation
      5. e. Étape 5 - Identifier les scénariosde menace
      6. f. Étape 6 - Identifier les risques
      7. g. Étape 7 - Analyser les risques
      8. h. Étape 8 - Sélectionnerune approche d’atténuation
  3. MEHARI
    1. 1. Phase 1 : Analyse des enjeux etclassement
    2. 2. Phase 2 : Évaluation desservices de sécurité
      1. a. Efficacité du service de sécurité
      2. b. Robustesse du service de sécurité
      3. c. Surveillance du service de sécurité
      4. d. Évaluation des services de sécurité
    3. 3. Phase 3 : Analyse de risques
    4. 4. Phase 4 : Élaboration deplans de sécurité
  4. EBIOS
    1. 1. Les cinq ateliers
      1. a. Atelier 1 : Cadrage et socle desécurité
      2. b. Atelier 2 : Sources de risque
      3. c. Atelier 3 : Scénarios stratégiques
      4. d. Atelier 4 : Scénarios opérationnels
      5. e. Atelier 5 : Traitement du risque
  5. Conclusion
Étude de cas 1 - Mise en conformité
  1. Introduction
  2. Contexte
    1. 1. Le contexte externe
    2. 2. Le contexte interne
      1. a. Ses missions
      2. b. Ses valeurs
      3. c. Ses objectifs
      4. d. Ses stratégies
    3. 3. Identifier les parties prenantes
    4. 4. Définir les objectifs
    5. 5. Définir les critères de base
    6. 6. Définir le cadre et les limites
      1. a. Les contraintes techniques
      2. b. Les contraintes financières
      3. c. Les contraintes environnementales
      4. d. Les contraintes de temps
  3. Identification du risque
    1. 1. Les entretiens
      1. a. Entretien avec le directeur
      2. b. Entretien avec le RSSI
      3. c. Entretien avec le DSI
      4. d. Entretien avec le responsable de l’infrastructure
    2. 2. Revue documentaire et outils
    3. 3. Identification des actifs
      1. a. Échelle de valeur des actifs
      2. b. Actifs primordiaux
      3. c. Actifs supports
    4. 4. Identification des menaces et des vulnérabilités
    5. 5. Identification des contrôles existants
    6. 6. Identification des conséquences
  4. Analyse des risques
    1. 1. Évaluation de la vraisemblance
    2. 2. Évaluation des conséquences
    3. 3. Détermination d’un niveau de risque
  5. Évaluation des risques
  6. Traitement du risque
  7. Le plan d'actions
  8. Le risque résiduel
  9. Acceptation des risques
  10. Conclusion
Étude de cas 2 - Analyse de risques
  1. Introduction
  2. Contexte
  3. Atelier 1 : cadrage et socle de sécurité
    1. 1. Le cadre
    2. 2. Définir le périmètre métieret technique
    3. 3. Identifier les évènements redoutés
    4. 4. Déterminer le socle de sécurité
  4. Atelier 2 : sources de risque
    1. 1. Identifier les sources de risques et les objectifsvisés
    2. 2. Évaluer les couples SR/OV
  5. Atelier 3 : scénarios stratégiques
    1. 1. Construire la cartographie de menace numériquede l’écosystème et sélectionner les partiesprenantes critiques
    2. 2. Élaborer des scénarios stratégiques
    3. 3. Définir des mesures de sécurité surl’écosystème
  6. Atelier 4 : scénarios opérationnels
    1. 1. Élaborer les scénarios opérationnels
    2. 2. Évaluation de la vraisemblance des scénariosopérationnels
  7. Atelier 5 : traitement du risque
    1. 1. Réaliser une synthèse des scénariosde risque
    2. 2. Décider de la stratégie de traitementdes risques et définir les mesures de sécurité
Étude de cas 3 - Risques d'un projet
  1. Introduction
  2. Le contexte
  3. L'analyse de risques
    1. 1. Les scénarios
      1. a. Vol de l’ordinateur
      2. b. Accès distant non autorisé à l’ordinateur
      3. c. Ingénierie sociale
      4. d. Erreur d’utilisation
      5. e. Appareil compromis pendant le transport
      6. f. Abus de privilèges
    2. 2. Plan d’actions
  4. Conclusion
Pour aller plus loin
  1. Introduction
  2. ISO 27001
  3. La directive NIS
  4. Référentiel de sécurité du NIST
  5. CIS V8
  6. RGPD/AIPD
    1. 1. Le contexte
      1. a. Vue générale
      2. b. Données, supports et processus
    2. 2. Principes fondamentaux
      1. a. Proportionnalité et nécessité
      2. b. Protection des droits des personnes
    3. 3. Étude des risques
      1. a. Évaluation des mesures
      2. b. Appréciation des risques
    4. 4. Validation
      1. a. Préparation des éléments
      2. b. Validation
  7. Conclusion

Jean-Charles PONS

Jean-Charles PONS a débuté sa carrière en tant qu’ingénieur en sécurité de l’information. Après plusieurs années passées dans la technique, il s’oriente progressivement vers la sécurité organisationnelle. Aujourd’hui consultant dans la gouvernance en sécurité informatique, il accompagne désormais DSI et RSSI pour les aider à se conformer aux différentes normes et réglementations en réalisant notamment des audits de sécurité et des analyses de risques.

Nos nouveautés

voir plus
Les réseaux informatiques Guide pratique pour l'administration, la sécurité et la supervision (3e édition) Les réseaux informatiques - Guide pratique pour l'administration, la sécurité et la supervision (3e édition) L’informatique Des transistors aux microservices L’informatique - Des transistors aux microservices Certified Ethical Hacker Préparation à la certification CEH Certified Ethical Hacker - Préparation à la certification CEH Excel (versions 2024 et Microsoft 365) Excel (versions 2024 et Microsoft 365) - ITIL® 4 Préparation à la certification ITIL® 4 Foundation (3e édition) ITIL® 4 - Préparation à la certification ITIL® 4 Foundation (3e édition) Java Les fondamentaux du langage (avec exercices pratiques et corrigés) (2e édition) Java - Les fondamentaux du langage (avec exercices pratiques et corrigés) (2e édition) VBA Excel (versions 2024 et Microsoft 365) Programmer sous Excel : macros et langage VBA VBA Excel (versions 2024 et Microsoft 365) - Programmer sous Excel : macros et langage VBA InDesign 2025 InDesign 2025 - Langage C Maîtriser la programmation procédurale (avec exercices pratiques) (3e édition) Langage C - Maîtriser la programmation procédurale (avec exercices pratiques) (3e édition) Macros et langage VBA Découvrez la programmation sous Excel (3e édition) Macros et langage VBA - Découvrez la programmation sous Excel (3e édition) Gérez vos projets (3ème édition) De novice à maestro en gestion de projet Gérez vos projets (3ème édition) - De novice à maestro en gestion de projet La norme ISO/IEC 27005 Maîtriser la gestion des risques en sécurité de l'information (2e édition) La norme ISO/IEC 27005 - Maîtriser la gestion des risques en sécurité de l'information (2e édition)