Face à la pression croissante des régulateurs (DORA, NIS2) et des conseils d'administration, les équipes sécurité et risque doivent justifier leurs priorités avec des méthodes reconnues. Deux approches dominent : FAIR, méthode quantitative américaine standard Open Group, et ISO 27005, méthode qualitative ancrée dans la famille ISO 27000. Comment choisir ? Et surtout, faut-il vraiment choisir ?
Qu'est-ce que FAIR ?
FAIR (Factor Analysis of Information Risk) est une méthode quantitative publiée comme standard Open Group (O-RT et O-RA). Elle décompose le risque en deux composantes principales : fréquence de l'événement de perte (LEF - Loss Event Frequency) et magnitude de la perte (LM - Loss Magnitude). Chaque composante est elle-même affinée par des sous-facteurs : fréquence de menace, vulnérabilité, pertes primaires, pertes secondaires.
FAIR exprime le risque en valeur monétaire, avec des distributions statistiques (souvent simulées par Monte Carlo sur 10 000 à 100 000 itérations) qui produisent des courbes de perte annuelle (LEC - Loss Exceedance Curve). Exemple : "Il y a 10 % de chance que ce risque coûte plus de 2,4 M€ sur un an, valeur médiane 800 k€."
Qu'est-ce qu'ISO 27005 ?
ISO 27005:2022 est la méthode de gestion des risques associée à ISO 27001. Elle suit le cycle d'identification, d'analyse, d'évaluation et de traitement des risques. Traditionnellement qualitative, elle utilise des échelles (faible, moyen, élevé, critique) et des matrices vraisemblance × impact.
La version 2022 introduit des concepts plus matures : scénarios de risque basés sur des sources de menace, actifs primaires et de support, critères de risque explicites. ISO 27005 s'articule avec EBIOS Risk Manager (ANSSI) dans de nombreux contextes français.
Comparaison détaillée
| Critère | FAIR | ISO 27005 |
|---|---|---|
| Nature | Quantitative (€) | Qualitative / semi-quantitative |
| Origine | Open Group, 2005 | ISO/IEC, 2008 (v2022) |
| Unité de mesure | Pertes annualisées, distributions | Niveaux de risque |
| Public cible | COMEX, CFO, CISO | RSSI, audit, certification |
| Effort d'entrée | Élevé (données, calibration) | Modéré |
| Courbe d'apprentissage | Forte (statistiques, Monte Carlo) | Douce |
| Reconnaissance réglementaire | Forte aux US, en croissance en UE | Native ISO 27001, NIS2 |
| Outillage | RiskLens, FAIR-U, tableurs | Nombreux, dont EBIOS RM |
| Comparabilité inter-entreprises | Élevée (€) | Faible (échelles subjectives) |
Forces et limites de FAIR
Forces :
- Traduit le risque en langage business (euros, dollars)
- Permet un retour sur investissement (ROI) des contrôles
- Compatible avec la modélisation statistique avancée (distributions lognormales, PERT, bootstrap)
- Aligne sécurité, finance et direction générale sur un même vocabulaire
Limites :
- Exigeant en données historiques et en calibration des experts
- Risque de "précision illusoire" si les hypothèses ne sont pas challengées
- Moins adapté aux risques rares et catastrophiques (black swans)
- Nécessite une formation solide (certifications FAIR Open FAIR, FAIR Institute)
Forces et limites d'ISO 27005
Forces :
- Adoption massive, reconnue par les certifications ISO 27001
- Intégration naturelle avec les SMSI et les politiques de sécurité
- Couvre l'ensemble du cycle (identification à amélioration)
- Moins coûteux en mise en œuvre initiale
Limites :
- Subjectivité des échelles (le "élevé" varie selon les évaluateurs)
- Difficile d'agréger et de comparer des risques de natures différentes
- Peu adapté aux arbitrages budgétaires fins
- Tendance à la bureaucratisation si mal outillé
Comment choisir ?
Le choix dépend du public cible et du niveau de maturité :
- Start-up ou PME en démarrage SMSI : ISO 27005 est plus accessible et s'aligne avec la certification ISO 27001
- Grande entreprise soumise à DORA : FAIR apporte la quantification financière attendue par les régulateurs et les conseils
- Secteur public : EBIOS RM (aligné ISO 27005) reste la référence ANSSI
- Organisation avec un CISO reportant au CFO : FAIR crée un langage commun
- Projet de certification ISO 27001/22301 : ISO 27005 est incontournable
L'approche hybride : le meilleur des deux mondes
En pratique, les organisations matures combinent les deux méthodes. ISO 27005 structure le processus global (identification exhaustive, cartographie des actifs, traitement) pendant que FAIR est appliquée aux 20 à 50 top risks qui concentrent l'exposition financière. Cette approche satisfait à la fois les auditeurs ISO et les directions financières.
Pour aller plus loin
ResiPlan supporte nativement les 36 méthodologies de risque, dont ISO 27005, ISO 31000, EBIOS RM, FAIR avec moteur Monte Carlo intégré, Bow-Tie et arbres de défaillance. Les équipes peuvent modéliser un même scénario en qualitatif et en quantitatif, et produire à la fois la matrice de risques pour l'audit ISO et la courbe de perte annualisée pour le COMEX.
- Solution Risk Manager (36 méthodologies)
- EBIOS RM : guide complet des 5 ateliers
- Solution CISO et résilience opérationnelle
- Tarifs et démonstration
Sources : Standard Open Group O-RT/O-RA, ISO/IEC 27005:2022, EBIOS Risk Manager (ANSSI 2018), FAIR Institute benchmarks 2025.