Cette question fait débat … pour autant la réalité fait que cette norme, qui vient préciser la norme ISO 27001, traitant du « Système de Management de la Sécurité de l’Information », apporte un éclairage et un cadre utile à tout « utilisateur averti »(1) qui souhaite entreprendre une démarche d’analyse de risques dans son entreprise.
A3SI_Risques___27005Les références à la norme ISO  27005 se multiplient dans le secteur privé aussi bien que dans le public. Par exemple dans le monde de la Santé, l’agrément « Hébergeur de données de santé » s’appuie sur une analyse de risques et l’ASIP (Agence des Systèmes d’Information Partagés de Santé ») recommande l’usage de cette norme.
La norme décrit pas à pas les étapes à suivre. Elle laisse l’utilisateur libre de la définition de son référentiel d’évaluation (critères d’évaluation des conséquences d’un incident, de sa vraisemblance, critères d’acceptation des risques …)

… Une norme pragmatique, à recommander, à adapter à ses besoins.

, tout en précisant ce qu’il est nécessaire d’évaluer pour parvenir à une liste priorisée des risques à traiter, validée par la Direction Générale.
Les annexes apportent des précisions sur ces échelles d’évaluation.

(1) Par utilisateur averti, j’entends un DSI, un RSSI, un chef de projet ayant un « background » en matière de management du Système d’Information. C’est un généraliste ayant une vision et une connaissance transverse de l’entreprise.