La certification PECB Certified ISO/IEC 27005 Risk Manager est le titre francophone le plus accessible pour formaliser une compétence d’analyste de risque sécurité de l’information. Ce tutoriel propose un plan d’étude de cinq semaines, articulé autour de la norme ISO/IEC 27005:2022 et de la méthode EBIOS Risk Manager publiée par l’ANSSI. À l’issue du parcours, vous saurez produire une appréciation de risque complète, défendable devant un auditeur ISO 27001 et compatible avec les attendus des grandes entreprises françaises et africaines francophones.
Pour le panorama global et le positionnement de la Risk Manager face à la Lead Risk Manager, voir le panorama des certifications PECB 2026. Pour l’articulation avec la mise en œuvre du SMSI, voir Préparer ISO/IEC 27001 Lead Implementer.
Prérequis avant de démarrer
L’examen Risk Manager est plus court que le Lead Implementer (le cours dure trois jours et non cinq) mais il exige une rigueur méthodologique forte. Le profil idéal a déjà participé à au moins une revue de risque dans son organisation, même en tant qu’observateur. Sans cette exposition, le vocabulaire de la norme (vraisemblance, niveau de risque, critères d’acceptation, propriétaire du risque) reste abstrait et l’examen devient un exercice de mémorisation peu fiable.
Le matériel à se procurer en amont comprend le manuel candidat PECB ISO/IEC 27005 Risk Manager, un exemplaire de la norme ISO/IEC 27005:2022 (achat séparé sur iso.org), un exemplaire d’ISO/IEC 27001:2022 pour les références croisées, et idéalement le guide EBIOS Risk Manager publié par l’ANSSI (téléchargeable gratuitement) qui éclaire les choix méthodologiques pris par PECB.
Vue d’ensemble du plan en cinq semaines
- Semaine 1 — Vocabulaire, principes, articulation avec ISO 31000
- Semaine 2 — Établissement du contexte et critères de risque
- Semaine 3 — Appréciation : identification, analyse, évaluation
- Semaine 4 — Traitement et acceptation des risques
- Semaine 5 — Communication, surveillance, examens blancs
Étape 1 — Semaine 1 : vocabulaire et principes
La norme ISO/IEC 27005:2022 ne se comprend pas sans son socle conceptuel ISO 31000:2018, qui pose le cadre générique de la gestion des risques pour toute organisation. ISO 27005 est la déclinaison sectorielle de ce cadre pour la sécurité de l’information. La semaine 1 fixe le vocabulaire commun aux deux normes.
Les définitions à maîtriser sans hésitation sont : risque (effet de l’incertitude sur l’atteinte des objectifs), menace (cause potentielle d’un incident indésirable), vulnérabilité (faiblesse exploitable par une menace), vraisemblance (probabilité d’occurrence), impact (effet sur les objectifs en cas de réalisation), niveau de risque (ampleur du risque exprimée comme combinaison de vraisemblance et d’impact), propriétaire du risque (personne responsable du traitement). Ces sept définitions tombent à l’examen sous forme directe ou en filigrane des scénarios.
Un piège classique consiste à confondre menace et risque. Une menace est une cause possible (un attaquant externe, un employé négligent, une panne matérielle). Un risque est l’effet possible de cette menace sur l’organisation, qualifié par sa vraisemblance et son impact. « Attaque par ransomware » est une menace ; « interruption de service de 48 heures avec perte estimée à 200 000 € due à une attaque par ransomware » est un risque. L’examen testera cette distinction.
Livrable de la semaine : produire un glossaire personnel de quinze à vingt termes, avec définition officielle et exemple sectoriel. Ce glossaire sera votre référence rapide pendant l’examen à livre ouvert et il consolide la connaissance pendant la préparation.
Étape 2 — Semaine 2 : contexte et critères
L’établissement du contexte est l’étape qui structure tout le reste du processus. Elle correspond à la clause 5 d’ISO 27005:2022 et précède l’appréciation proprement dite. Sa négligence est la première cause d’échec des projets d’analyse de risque réels — l’équipe se lance directement dans l’identification des menaces sans avoir défini ce qu’elle cherche à protéger ni sous quels critères elle juge un risque acceptable.
Le contexte se décompose en trois sous-éléments. Le contexte externe (environnement réglementaire, marché, concurrents, écosystème de menaces) et interne (gouvernance, structure, processus, ressources, culture) selon ISO 31000. Le périmètre exact de l’appréciation (quels actifs, quels processus, quels sites, quelle période). Les critères de risque, qui se décomposent eux-mêmes en critères d’évaluation (échelles de vraisemblance et d’impact), critères d’acceptation (seuil au-dessus duquel un risque doit être traité) et critères d’inclusion (quels niveaux de risque sont remontés au comité de pilotage).
Livrable de la semaine : produire un document de contexte de deux pages pour une PME imaginaire, avec une échelle de vraisemblance à cinq niveaux (très improbable à quasi-certain), une échelle d’impact à cinq niveaux (négligeable à catastrophique), une matrice de criticité 5×5 et un seuil d’acceptation explicite. C’est exactement le livrable que l’examen scénarisé testera.
Étape 3 — Semaine 3 : appréciation des risques
L’appréciation se compose de trois sous-étapes successives : identification, analyse, évaluation. ISO/IEC 27005:2022 a introduit une nuance importante par rapport à la version 2018 — la norme accepte désormais deux approches d’identification, l’approche basée sur les actifs (lister les actifs, puis pour chaque actif lister les menaces et vulnérabilités) et l’approche basée sur les événements (lister les scénarios redoutés au niveau métier, puis remonter aux sources et aux composants techniques).
La première approche est historique et reste utilisée pour les SMSI matures à périmètre stable. La seconde, plus proche d’EBIOS Risk Manager publié par l’ANSSI, est plus adaptée aux organisations exposées à des menaces sophistiquées (cyberespionnage, sabotage). L’examen PECB teste les deux approches mais sanctionne l’incohérence : si vous commencez par les actifs, vous restez sur les actifs jusqu’à la fin de l’appréciation.
L’analyse du risque produit la combinaison vraisemblance × impact pour chaque risque identifié. Le choix d’une méthode qualitative (échelles nominales) ou quantitative (valeurs monétaires) doit être documenté dans le contexte. En pratique, la quasi-totalité des projets francophones utilisent une approche qualitative à cinq niveaux ; le quantitatif (FAIR par exemple) reste l’exception. L’examen testera votre capacité à appliquer correctement la méthode choisie dans le contexte.
L’évaluation compare le niveau de risque obtenu aux critères d’acceptation définis en semaine 2 et décide : risque acceptable (pas de traitement) ou risque à traiter (passage à l’étape suivante). Cette décision est portée par le propriétaire du risque, pas par l’analyste qui a conduit l’appréciation. Cette distinction de rôle est un point régulier de question d’examen.
Livrable de la semaine : produire une appréciation complète sur cinq scénarios de risque distincts (par exemple : fuite de base clients, indisponibilité du SaaS de paie, fraude interne sur les paiements, perte de poste nomade avec données sensibles, compromission de compte administrateur Azure). Pour chaque scénario, dérouler les trois sous-étapes.
# Trame pour chaque ligne de l'appréciation
Réf | Scénario | Source | Menace | Actif primaire | Actif support
| Vulnérabilité | Vraisemblance | Impact CIA | Niveau de risque
| Décision (acceptable / à traiter)Étape 4 — Semaine 4 : traitement et acceptation
Le traitement du risque suit quatre options qu’il faut savoir nommer et distinguer : réduction (mise en œuvre de mesures pour diminuer vraisemblance et/ou impact), partage (transfert d’une partie du risque à un tiers, par assurance ou contrat), évitement (suppression de l’activité qui porte le risque) et maintien (acceptation explicite du risque par le propriétaire).
La piège classique d’examen consiste à présenter une mesure de réduction comme un partage. Externaliser un service à un fournisseur cloud ne supprime pas le risque, il le partage avec le fournisseur — l’organisation reste responsable de la sécurité de ses données face à ses clients et au régulateur. Cette nuance est testée par scénarios.
L’articulation avec ISO/IEC 27001 se fait à travers la déclaration d’applicabilité (SoA). Les mesures retenues pour réduire les risques sont reprises de l’Annexe A d’ISO 27001 (93 contrôles dans la version 2022) ou peuvent être complétées par des mesures internes hors annexe. Cette traçabilité entre l’appréciation de risque et la SoA est le point central que tout auditeur ISO 27001 vérifiera lors d’un audit de certification, et c’est un sujet régulier des scénarios PECB.
L’acceptation finale du plan de traitement est portée par la direction (ou son délégué) et formalisée par une signature documentaire. Cette acceptation n’est pas un blanc-seing — elle inclut l’acceptation explicite des risques résiduels (ceux qui subsistent après mise en œuvre des mesures de réduction). Sans cette acceptation formalisée, le SMSI est en non-conformité.
Livrable de la semaine : produire un plan de traitement pour les cinq scénarios de la semaine 3, en spécifiant pour chaque ligne l’option de traitement retenue, les mesures issues de l’Annexe A 2022, le responsable de mise en œuvre, l’échéance, et le risque résiduel estimé.
Étape 5 — Semaine 5 : communication, surveillance et examens blancs
La communication et la consultation (clause 8 d’ISO 31000) ne sont pas une étape distincte mais une activité continue qui irrigue tout le processus de gestion du risque. L’analyste de risque doit savoir présenter les résultats au comité de pilotage avec un niveau de détail adapté — pas de matrice 5×5 pour la direction générale, mais une cartographie synthétique des risques majeurs avec un dashboard de suivi.
La surveillance et le réexamen (clause 9 d’ISO 31000) cadrent le rythme de mise à jour. Une appréciation de risque qui n’est jamais mise à jour devient une fiction documentaire au bout de douze mois. La norme impose une fréquence de réexamen documentée et déclenchée à la fois sur le temps (typiquement annuel) et sur les événements (introduction d’un nouveau service, incident significatif, évolution réglementaire majeure).
La fin de semaine est consacrée aux examens blancs. Le format scenario-based MCQ du Risk Manager comporte typiquement douze scénarios sur trois heures, livre ouvert, avec un seuil de réussite à 70 %. Le rythme cible reste de quinze minutes par scénario, avec une seconde passe de relecture sur les scénarios marqués.
Articulation avec EBIOS Risk Manager (ANSSI)
Pour les candidats francophones, et particulièrement les profils qui travailleront avec des entités publiques françaises ou des OIV, la maîtrise de l’articulation entre ISO 27005 et EBIOS RM est un différenciateur important. Les deux méthodes sont compatibles mais leurs vocabulaires divergent partiellement.
EBIOS Risk Manager structure le travail en cinq ateliers : cadrage et socle de sécurité, sources de risque, scénarios stratégiques, scénarios opérationnels, traitement du risque. Le mapping avec ISO 27005 est direct : l’atelier 1 correspond à l’établissement du contexte, les ateliers 2 et 3 à l’identification des risques au niveau métier, l’atelier 4 à l’identification au niveau technique, l’atelier 5 au traitement.
La spécificité d’EBIOS RM est sa focalisation sur les sources de risque (qui pourrait vouloir nuire et avec quel objectif) plutôt que sur les seules vulnérabilités. Cette approche orientée menaces avancées colle bien avec la version 2022 d’ISO 27005, qui a élargi son acceptation des approches basées événements. À l’examen PECB, vous pouvez référencer EBIOS RM dans vos justifications mais le manuel candidat reste votre source d’autorité.
Erreurs fréquentes en préparation
| Erreur | Cause | Solution |
|---|---|---|
| Sauter l’établissement du contexte | Empressement à identifier les menaces | Semaine 2 dédiée, livrable contexte avant tout |
| Mélanger approche actifs et approche événements | Lecture rapide d’ISO 27005:2022 | Choisir une approche au début et s’y tenir |
| Confondre risque résiduel et risque inhérent | Vocabulaire flou | Glossaire personnel avec exemples chiffrés |
| Présenter une externalisation comme un évitement | Confusion entre options de traitement | Apprendre les quatre options et leurs critères distinctifs |
| Omettre l’acceptation par le propriétaire | Focus sur la technique | Toujours inclure le rôle décisionnaire |
Après l’examen — Risk Manager ou Lead Risk Manager
La distinction entre Risk Manager (cours de 3 jours, examen 3 heures) et Lead Risk Manager (cours de 5 jours, examen 3 heures avec contenu approfondi) reste une question fréquente. La différence pratique : Risk Manager couvre la mise en œuvre opérationnelle du processus dans un SMSI existant ; Lead Risk Manager ajoute l’animation du processus à l’échelle d’une organisation, l’expertise sur des méthodes formelles d’appréciation avancées, et la posture de référent risque face à la direction.
Pour creuser l’angle gouvernance des risques au-delà d’ISO 27005, voir CISSP Domaine 1 — Security and Risk Management et le tutoriel Évaluer et traiter les risques informationnels (méthode CISM). Pour un correspondant sécurité en PME ou un analyste GRC en démarrage, Risk Manager suffit largement et offre le meilleur rapport effort / reconnaissance. Pour un consultant en cabinet conseil qui interviendra sur des grands comptes ou un futur RSSI, le Lead Risk Manager est plus valorisable. Les deux titres sont compatibles dans le temps : il est courant de passer Risk Manager puis Lead Risk Manager à deux ou trois ans d’intervalle.
Ressources et références officielles
- PECB — fiche officielle ISO/IEC 27005 Risk Manager
- PECB — Candidate Handbook ISO/IEC 27005 Risk Manager (MC)
- ISO — ISO/IEC 27005:2022
- ISO — ISO 31000:2018
- ANSSI — Méthode EBIOS Risk Manager
- ITSkillsCenter — Panorama des certifications PECB 2026
- ITSkillsCenter — Préparer ISO/IEC 27001 Lead Implementer