Les responsables de la sécurité de l'information (RSSI) et directeurs des systèmes d'Information (DSI) et tous ceux qui s'intéressent à la gestion des risques informatiques liront avec profit cet ouvrage d'Anne Lupfer préfacé par Hervé Schauer, pour dépasser les méthodes telles qu'Ebios et Mehari, à la fois complexes et peu documentées. Première méthode de gestion des risques normalisée dans le monde, la norme ISO 27005 est implicitement désignée dans de nombreux référentiels : le RGS (référentiel Général de Sécurité) qui s'applique à tout le secteur public, la norme ISO 27001, la PRISv2, demandent notamment de mettre en place un SMSI et, partant, une gestion des risques informatiques.

Comment évaluer le risque pour les SI d'entreprise? Quels risques doit-on accepter de prendre ? La gestion des risques en sécurité de l'information, recommandée par de nombreux référentiels comme la norme 150 27001, est en train de devenir une obligation pour les responsables de la sécurité de l'information (RSSI), les directeurs des systèmes d'information (DSI), et bien d'autres acteurs de l'entreprise. Après les démarches locales, comme Ebios et Mehari en France, la norme ISO 27005, première méthode de gestion des risques structurée et normalisée, est appelée à s'imposer à l'échelle planétaire. Facilement accessible, elle propose une approche continue (au quotidien, dans la durée), systématique, pragmatique et adaptée à la réalité complexe des entreprises actuelles. S'appuyant, tout comme la norme, sur des scénarios d'incidents réels, ce guide de mise en oeuvre ISO 27005 dévoile l'essence des années d'expérience et de savoir-faire de l'auteur, et constituera une aide précieuse pour la certification ISO 27005 Risk Manager. Si ce livre est un complément indispensable de la compréhension de la norme 150 27005, le texte original de la norme reste disponible auprès des organismes de normalisation.

Votre organisation est-elle protégée contre la cybercriminalité ? Êtes-vous en conformité avec la loi concernant la protection de vos informations et de vos actifs ? Ce livre aborde la cybersécurité d'un point de vue organisationnel et managérial. Ainsi, les cybercriminels capitalisent sur les technologies émergentes (comme le big data ou l'intelligence artificielle) afin de mieux contourner les solutions classiques de cybersécurité. Et le développement du cloud computing n'arrange rien dans ce domaine. C'est pour ces raisons que nous dépassons l'aspect technologique, pour proposer la mise en place d'un cadre de travail, qui s'appuie sur les normes ISO et les meilleurs standards du marché, afin : d'une part, de protéger les informations et les actifs les plus sensibles de votre organisation, contre toute forme de cybercriminalité ; d'autre part, d'être en conformité avec l'évolution des exigences légales concernant la protection des informations sensibles. Notamment, la mise en place de la GDPR (General Data Protection Régulation), applicable dès mai 2018, un arsenal législatif européen auquel doivent se conformer toutes les organisations, sous peine de paiement de très fortes amendes. Ce domaine est amplement développé dans le livre. Préfaces du Général d'armée (2S) Watin-Augouard, fondateur du Forum International de la Cybersécurité (FIC), et Éric Lachapelle, CEO de PECB Certification.

The first in a series of reviews of various countries' risk management policies, this review identifies areas of good practice in Norway's policies for information security, as well as areas where improvements could be made.