Les architectures orientées services (SOA) offrent de nouvelles opportunités pour l’interconnexion des systèmes. Cependant, pour une entreprise, l’ouverture de son Système d’Information au “monde” n’est pas négligeable en termes de sécurité. Qu’il s’agisse d’utiliser les services disponibles ou de fournir ses propres services, les nouvelles technologies ont introduit de nouvelles vulnérabilités et donc de nouveaux risques. Nos travaux visent à proposer une approche de gestion des risques basée sur la norme ISO/CEI 27005:2011 : nous proposons un développement de cette norme (par extension de l’annexe D) afin qu’elle puisse prendre en compte pleinement le type service comme les services web et les services cloud. En effet, un monde de services ne se limite pas à relier des systèmes interconnectés, c’est plutôt une relation entre le client et le fournisseur, où se développent les notions de confiance, de responsabilité, de traçabilité et de gouvernance. Suite à cette étude, nous introduisons un nouveau critère de sécurité, la contrôlabilité, pour s’assurer qu’une entreprise garde le contrôle de ses informations même si elle utilise de tels services externalisés.