Les menaces peuvent être délibérées ou accidentelles et se rapporter soit à l’utilisation et à l’application de systèmes TI, soit aux aspects physiques et environnementaux des TI. Elles prennent les formes les plus diverses: vol d’identité, risques associés aux transactions commerciales en ligne, attaques entraînant un refus de service, espionnage à distance, vol de matériel ou de documents, phénomène sismique ou climatique, incendies, inondations ou problèmes liés aux pandémies. Elles peuvent avoir diverses conséquences économiques, par exemple pertes ou préjudices financiers, perte de services réseaux essentiels, perte de confiance des clients par interruption de l'alimentation électrique ou défaillance d’équipements de télécommunication.
Un risque est une combinaison des conséquences qui découleraient de l'occurrence d'un évènement non désiré et de la probabilité de l'occurrence de cet évènement. L'évaluation du risque consiste à le quantifier ou à le décrire qualitativement et permet aux responsables de hiérarchiser les risques, selon le degré de gravité estimé ou d'autres critères établis.
L'ISO/IEC 27005:2008, Technologies de l'information – Techniques de sécurité – Gestion du risque en sécurité de l'information, donne des lignes directrices pour gérer les risques en sécurité de l'information. La norme étaye les concepts généraux spécifiés dans l'ISO/IEC 27001:2005, Technologies de l'information – Techniques de sécurité – Systèmes de gestion de la sécurité de l'information – Exigences.
La nouvelle norme a pour but d’aider à mettre en œuvre l’ISO/IEC 27001, la norme relative aux systèmes de management de la sécurité de l’information (SMSI), qui est fondée sur une approche de gestion du risque. Pour comprendre cette Norme internationale, il est important de connaître les concepts, modèles, processus et termes exposés dans l'ISO/IEC 27001 et l'SO/IEC 27002: 2005, Technologies de l'information – Techniques de sécurité – Code de bonne pratique pour la gestion de la sécurité de l'information.
Le processus de gestion du risque en sécurité de l'information se décompose comme suit:
- établissement du contexte
- évaluation du risque
- traitement du risque
- acceptation du risque
- communication du risque, et
- surveillance et examen du risque.
Toutefois, l'ISO/IEC27005:2008 ne donne aucune méthodologie spécifique pour la gestion du risque en sécurité de l'information. Il appartient à l'organisation de définir son approche, selon par exemple le domaine d'application du SMSI, en fonction du contexte de gestion du risque ou du secteur industriel.
Pour Edward Humphreys, animateur du groupe de travail de l'ISO/IEC qui a élaboré la norme, «de nos jours, la plupart des organisations reconnaissent le rôle décisif que les technologies de l'information jouent pour appuyer leurs objectifs économiques. Avec l'avènement de l'Internet et la possibilité de réaliser des transactions commerciales en ligne, la sécurité TI est venue sur le devant de la scène. L'ISO/IEC 27005:2008 intéressera les responsables et le personnel concerné par la gestion du risque en sécurité de l'information au sein d'une organisation et, le cas échéant, les parties extérieures qui travaillent en soutien à de telles activités.»
L'ISO/IEC 27005:2008, Technologies de l'information – Techniques de sécurité – Gestion du risque en sécurité de l'information, a été élaborée par le comité technique mixte ISO/IEC JTC 1, Technologies de l'information, Sous-comité SC 27, Techniques de sécurité des TI. Elle est disponible, au prix de 154 francs suisses, auprès des instituts nationaux membres de l'ISO (voir la liste complète avec les coordonnées) et du Secrétariat central de l'ISO par l'ISO Store ou en contactant le département Marketing & Communication (voir colonne de droite).
