Méthode de gestion des risques ISO 27005

Transcription

1 HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Méthode de gestion des risques ISO Netfocus, Bruxelles,12 mai 2009 CLUSIR Aquitaine, Bordeaux,12 juin 2009 Hervé Schauer Hervé Schauer

2 Introduction Historique Sommaire Schéma de modélisation Exemple relié au schéma Etablissement du contexte : critères et échelles Cartographie des actifs Menaces, vulnérabilités, conséquences et impacts sur les actifs Scénarios d'incident Plan de traitement des risques Conclusion 2

3 Introduction Objectif : Démontrer la méthode ISO Schéma modélisant chaque activité et sous-activité de la méthode proposée par la norme ISO Voir schéma joint en format PDF Exemple simple qui déroule la méthode N sur le schéma correspondant aux n des tableaux Exemples de tableaux A titre illustratif et non contractuel!

4 1992 Historique Managing and planning IT security ISO TR Techniques for the management IT security ; Selection of safeguards ISO TR Information security risk management ISO TR 15-4 ISO CCTA Risk Assessment and Management Method CRAMM PD Guide to BS7799 Risk Assessment PD BS Guidelines for information ; security Risk Assessment 1995 Risk management AS/NZS Expression des Besoins et Identification des Objectifs de Sécurité EBIOS Influences diverses

5 Schéma de modélisation 5

6 Exemple 6 Un journaliste utilise un ordinateur portable pour rédiger ses articles. Il est employé par le magazine VSD (Vous et la Sécurité de Demain) mais il lui arrive de vendre ses articles à d'autres journaux. Sur son ordinateur, sont stockés son courrier électronique, ses contacts et tous ses articles publiés, non encore parus et en cours de rédaction. Pour rédiger des articles pertinents, ce journaliste se doit être un véritable globe trotter. Dans l'urgence, il est amené à rédiger ses articles dans les salles d'attente, voire de les envoyer en utilisant les hotspots disponibles. A l'heure actuelle, la seule protection utilisée est un simple couple identifiant / mot de passe à l'allumage de l'ordinateur

7 Établissement du contexte Définir les critères de base (7.2) Critères d'impact Bas-niveau : vis-à-vis de l'actif Impact de la perte ou de l'atteinte d'un critère de sécurité Disponibilité, intégrité, confidentialité (7.2) Haut-niveau : vis-à-vis de l'organisme, du processus métier, du projet Echelle de mesure, ou critère d'estimation, des conséquences (financières, délais, image) (7.2)(8222)(B.) Critères évaluation des risques Critères d'acceptation des risques 7

8 Critères d'impact Établissement du contexte A partir d'où l'impact est assez important pour que le risque soit pris en compte? Dans l'analyse du risque Critères d'évaluation des risques A partir d'où je dois passer de l'analyse du risque à son traitement? Critères d'acceptation des risques A partir de quel niveau le risque sera acceptable par la direction? 8 Pas d'échelles normalisées

9 Etablissement du contexte Autres échelles utiles lors de l'analyse de risque Pas explicitement imposées lors de l'établissement du contexte Echelle ou critères de valorisation des actifs ( )(B.2)( )( ) Echelles d'estimation Echelle d'estimation des menaces (vraisemblance) (8.2.1.)(C)(8.2.2.) Echelle d'estimation des vulnérabilités (difficulté d'exploitation) ( )(D) (8.2.2.) Echelle d'appréciation de la vraisemblance des scénarios d'incidents (8.2.2.)(B.) 9

10 Etablissement du contexte Récapitulatif par ordre d'utilisation dans la méthode Echelle ou critères de valorisation des actifs ( )(B.2)( )( ) Echelle d'estimation des menaces (vraisemblance) (8.2.1.)(C)(8.2.2.) Echelle d'estimation des vulnérabilités (difficulté d'exploitation) ( )(D) (8.2.2.) Critères d'impact (7.2) : échelle de mesure, ou critère d'estimation De l'impact de la perte ou de l'atteinte à la disponibilité, intégrité, confidentialité sur un actif (7.2) Des conséquences (financières, délais, image) des scénarios d'incidents (7.2)(8222)(B.) Echelle d'appréciation de la vraisemblance des scénarios d'incidents (8.2.2.)(B.) Critères évaluation des risques (7.2) 10 Critères d'acceptation des risques (7.2)

11 Valorisation des actifs Exemple Echelle de valorisation des actifs Valeur Signification 1 Faible Actif facilement remplaçable Coût d'achat faible Coût de maintenance faible Ne nécessite pas de compétences particulières 2 Moyen Actif remplaçable dans la journée Coût d'achat moyen Coût de maintenance moyen Nécessite des connaissances de base Élevé Actif remplaçable dans la semaine Coût d'achat élevé Coût de maintenance élevé Nécessite des connaissances techniques particulières 4 Très élevé Actif remplaçable dans le mois Coût d'achat très élevé Coût de maintenance très élevé Nécessite des connaissances spécifiques. 11

12 Critères d'impact Exemple Critères d'impact Confidentialité Qualification du besoin en Intégrité Disponibilité Niveau du besoin Pas de validation nécessaire Arrêt supérieur Faible ou 1 Peut ne pas être intègre Simple validation possible à jours Arrêt entre 1 inexistant Significatif 2 Peut être partiellement intègre jour et jours Validation croisée Arrêt inférieur à Fort Doit être intègre 1jours Triple validation Aucun arrêt Majeur 4 Doit être parfaitement intègre tolérable Informations pouvant être publiques Accès autorisé à l'ensemble du journal VSD Accès autorisé à l'ensemble de l'équipe Accès autorisé à un membre unique de l'équipe 12

13 Exemple : Echelle de mesure des conséquences Echelle de mesure des conséquences Financier Juridique Commercial Activité Image Niveau d'impact Perte financière Perte juridique faible ou null Détérioration Perte de Perte image Faible ou 1 faible ou nulle de la relation productivi faible ou inexistant client té null Perte financière Amende Perte de Arrêt de Mention Significatif 2 jugée modérée (10% du CA < X < 0% du CA) contrat,d'opé ration ou de transaction, travail court négative ponctuelle dans un Perte financière Retrait temporaire de carte de perte Perte de Arrêt de média Mention Fort jugée significative (>0% du CA) presse, interdiction temporaire d'exercer l'activité client travail long dans les supports de Perte financière Procès diffamation, atteinte à Perte d'un Reprise presse Mention à Majeur 4 jugée inacceptable la vie prive, plagia (> 50% du CA) groupe de clients ou du travail dans la impossibl presse d'un grand e spécialisée 1

14 Critères d'évaluation des risques Exemple : 14 Utilisés par le RSSI ou le gestionnaire de risques SI Seuil Impact MAX (SOM(CID)) Critères d'évaluation des risques Vraisemblance d'un scénario d'incident Faible (Peu probable) Moyenne (Possible) Elevée (Probable) Très élevée (Fréquente)

15 Critères d'acceptation des risques Exemple : Validés par la direction et utilisés par la direction Seuil 15

16 Cartographie des actifs Actifs primordiaux (principaux, de haut-niveau) (B.1) : Processus et activités métier Information Actifs en support (de soutien, de bas-niveau, secondaires) : Cadre organisationnel, site, personnel, réseau, logiciel, matériel, etc 0.Liste des actifs primordiaux Actifs Primordiaux Processus de rédaction Processus de vente rédaction Articles non publiés et non vendus Articles publiés Contacts 16

17 Cartographie des actifs 1.Liste des processus métiers reliés aux actifs Actif Processus de rédaction Ordinateur Logiciel de traitement de texte Journaliste rédaction Propriétaire Journaliste Journaliste Journaliste Journaliste Journaliste Processus de vente Ordinateur Connexion internet Logiciel de messagerie Mails Journaliste Articles non publiés et non vendus Contacts Journaliste Journaliste Journaliste Journaliste Journaliste Journaliste Journaliste Journaliste 17

18 Cartographie des actifs 2.Liste des actifs Actif Propriétaire Actifs Primordiaux 1 Processus de rédaction Journaliste 2 Processus de vente Journaliste rédaction Journaliste 4 Articles non publiés et non vendus Journaliste 5 Articles publiés Acheteur 6 Contacts Journaliste Actifs en support 7 Ordinateur Journaliste 8 logiciel de traitement de texte Journaliste 9 logiciel de messagerie Journaliste 10 connexion internet Journaliste 11 mails Journaliste 12 Fichier d'article Journaliste 1 journaliste Journaliste 18

19 Actifs valorises.liste des actifs valorisés Actif Propriétaire Valeur Actifs Primordiaux 1 Processus de rédaction Journaliste 4 2 Processus de vente Journaliste rédaction Journaliste 4 4 Articles non publiés et non vendus Journaliste 4 5 Articles publiés Acheteur 2 6 Contacts Journaliste 2 Actifs en support 7 Ordinateur Journaliste 4 8 logiciel de traitement de texte Journaliste 2 9 logiciel de messagerie Journaliste 2 10 connexion internet Journaliste 1 11 mails Journaliste 2 12 Fichier d'article Journaliste 4 1 journaliste Journaliste 4 19

20 Actifs sélectionnés 4.Liste des actifs sélectionnés Actif Propriétaire Valeur Sélectionné Actifs Primordiaux 1 Processus de rédaction Journaliste 4 oui 2 Processus de vente Journaliste oui rédaction Journaliste 4 oui 4 Articles non publiés et non vendus Journaliste 4 oui 5 Articles publiés Acheteur 2 non 6 Contacts Journaliste 2 non Actifs en support 7 Ordinateur Journaliste 4 oui 8 logiciel de traitement de texte Journaliste 2 non 9 logiciel de messagerie Journaliste 2 non 10 connexion internet Journaliste 1 non 11 mails Journaliste 2 non 12 Fichier d'article Journaliste 4 oui 1 journaliste Journaliste 4 oui 20

21 Menaces sur les actifs 5.Liste de menaces Actif Valeur Sélectionné Menaces Actifs Primordiaux 1 Processus de rédaction 4 oui 2 Processus de vente oui rédaction 4 oui 4 Articles non publiés et non vendus 4 oui 5 Articles publiés 2 non 6 Contacts 2 non Actifs en support 7 Ordinateur 4 oui Vol Identification de menaces ne effectuée pas sur les actifs primordiaux. Destruction Panne électrique 8 logiciel de traitement de texte 2 non 9 logiciel de messagerie 2 non 10 connexion internet 1 non 11 mails 2 non 12 Fichier d'article 4 oui Fraude Destruction Copie 1 journaliste 4 oui Enlèvement Maladie 21

22 Vulnérabilités des actifs Actifs Primordiaux Actifs en support 6. Liste de vulnérabilités Actif Valeur Sélectionné Menaces Vulnérabilité 1 Processus de rédaction 4 oui 2 Processus de vente oui rédaction 4 oui 4 Articles non publiés et non vendus 4 oui 5 Articles publiés 2 non 6 Contacts 2 non Identification de menaces ne effectuée pas sur les actifs primordiaux. 7 Ordinateur 4 oui Vol portabilité Destruction fragilité Panne électrique dépend de l'électricité 8 logiciel de traitement de texte 2 non 9 logiciel de messagerie 2 non 10 connexion internet 1 non 11 mails 2 non 12 Fichier d'article 4 oui Fraude Accès libre Destruction Copie manque de sensibilisation Accès libre Fichier en clair 1 journaliste 4 oui Enlèvement non préparation Maladie manque de sensibilisation 22

23 Conséquences et impacts sur les actifs 7.Liste de conséquences relatives aux actifs affectés et aux processus métiers affectés et impact vis-à-vis des critères CID Max Scénario d'incident Les actifs impactés C I D SOM(C,I,D) (SOM(CID)) Conséquences 1 Processus de rédaction Perte financière jugée modérée rédaction Perte juridique faible ou nulle 1.Vol de l'ordinateur du fait de sa portabilité. Perte de contrat, d'opération ou de transaction, 11 4 Articles non publiés et non vendus perte de client mineur 7 Ordinateur Perte de productivité 12 Fichier d'article Perte image faible ou nulle 2.Destruction de l'ordinateur du fait de sa fragilité..suite à une panne électrique l'ordinateur ne s'allume plus. 4.Après une connexion frauduleuse, le fichier d'article en cours de rédaction est modifié avec des informations fausses et publiés sans contrôle. 1 Processus de rédaction Perte financière faible ou nulle rédaction Perte juridique faible ou nulle 4 Articles non publiés et non vendus Détérioration de la relation client 7 Ordinateur Perte de productivité 12 Fichier d'article Perte image faible ou nulle 1 Processus de rédaction Perte financière faible ou nulle rédaction Perte juridique faible ou nulle 4 Articles non publiés et non vendus Détérioration de la relation client 7 Ordinateur Perte de productivité 12 Fichier d'article Perte image faible ou nulle 1 Processus de rédaction Perte financière jugée inacceptable Retrait temporaire de carte de presse, interdiction 2 Processus de vente temporaire d'exercer l'activité rédaction Perte de client Arrêt de travail longe presse à diffusion 12 Fichier d'article 4 10 restreinte impact sur le réputation à court terme. 5.Le manque de formation de l'utilisateur à l'utilisation du système d'exploitation entraîne une mauvaise manipulation causant la perte de l'article. 6.Après une connexion frauduleuse, le fichier d'article en cours de rédaction est copié et publié par un autre journal 7.Lors d'une connexion dans un aéroport, le fichier d'article en cours de transfert est écoutée et retransmis sur un site gratuit avant sa publication officielle 8.Dans une zone à risque, le journaliste est pris en otage par des révolutionnaires. 1 Processus de rédaction 1 7 Perte financière jugée significative rédaction Perte juridique faible ou nul 12 Fichier d'article Perte de client Arrêt de travail longe presse à diffusion restreinte impact sur le réputation à court terme. 1 Processus de rédaction Perte financière jugée inacceptable 2 Processus de vente Amende rédaction Perte de client 6 12 Fichier d'article Arrêt de travail longe presse à diffusion restreinte impact sur le réputation à court terme. 2 Processus de vente Perte financière jugée inacceptable 12 Fichier d'article Amende 6 Perte de client Arrêt de travail longe presse à diffusion restreinte impact sur le réputation à court terme. 1 Processus de rédaction Perte financière jugée significative 2 Processus de vente Perte juridique faible ou nul 1 journaliste Détérioration de la relation client Arrêt de travail longe Mention négative ponctuelle dans un média 9.Dans une gare, le journaliste mange des moules pas fraiches, il attrape une intoxication alimentaire et il va à l'hôpital. 2 1 Processus de rédaction Perte financière jugée significative 1 journaliste Perte juridique faible ou nulle 5 Détérioration de la relation client Perte de productivité Mention négative ponctuelle dans un média

24 Mesures de sécurité existantes 8. Liste des mesures de sécurité existantes et prévues Max Mesures de sécurité Scénario d'incident Les actifs impactés C I D SOM(C,I,D) (SOM(CID)) Conséquences existantes 1 Processus de rédaction Perte financière jugée modérée rédaction Perte juridique faible ou nulle 1.Vol de l'ordinateur du fait de sa portabilité. 4 Articles non publiés et non vendus Perte de contrat, d'opération ou de transaction, perte de client mineur 7 Ordinateur Perte de productivité 12 Fichier d'article Perte image faible ou nulle 2.Destruction de l'ordinateur du fait de sa fragilité..suite à une panne électrique l'ordinateur ne s'allume plus. 4.Après une connexion frauduleuse, le fichier d'article en cours de rédaction est modifié avec des informations fausses et publiés sans contrôle. 5.Le manque de formation de l'utilisateur à l'utilisation du système d'exploitation entraîne une mauvaise manipulation causant la perte de l'article. 6.Après une connexion frauduleuse, le fichier d'article en cours de rédaction est copié et publié par un autre journal 7.Lors d'une connexion dans un aéroport, le fichier d'article en cours de transfert est écoutée et retransmis sur un site gratuit avant sa publication officielle 8.Dans une zone à risque, le journaliste est pris en otage par des révolutionnaires. 1 Processus de rédaction Perte financière faible ou nulle rédaction Perte juridique faible ou nulle 4 Articles non publiés et non vendus Détérioration de la relation client 7 Ordinateur Perte de productivité 12 Fichier d'article Perte image faible ou nulle 1 Processus de rédaction Perte financière faible ou nulle rédaction Perte juridique faible ou nulle 4 Articles non publiés et non vendus Détérioration de la relation client 7 Ordinateur Perte de productivité 12 Fichier d'article Perte image faible ou nulle 1 Processus de rédaction Perte financière jugée inacceptable Retrait temporaire de carte de presse, interdiction temporaire 2 Processus de vente d'exercer l'activité Protection par rédaction 4 10 Perte de client 10 l'identifiant/ mot de Arrêt de travail longe passe presse à diffusion restreinte impact sur le réputation à court 12 Fichier d'article 4 10 terme. 1 Processus de rédaction 1 7 Perte financière jugée significative rédaction Perte juridique faible ou nul 12 Fichier d'article Perte de client 9 Arrêt de travail longe presse à diffusion restreinte impact sur le réputation à court terme. 1 Processus de rédaction Perte financière jugée inacceptable 2 Processus de vente Amende rédaction Perte de client Protection par 12 Fichier d'article Arrêt de travail longe l'identifiant/ mot de passe presse à diffusion restreinte impact sur le réputation à court terme. 2 Processus de vente Perte financière jugée inacceptable 12 Fichier d'article Amende Perte de client 6 Arrêt de travail longe presse à diffusion restreinte impact sur le réputation à court terme. 1 Processus de rédaction Perte financière jugée significative 2 Processus de vente Perte juridique faible ou nul 1 journaliste Détérioration de la relation client 6 Arrêt de travail longe Mention négative ponctuelle dans un média 9.Dans une gare, le journaliste mange des moules pas fraiches, il attrape une intoxication alimentaire et il va à l'hôpital Processus de rédaction Perte financière jugée significative 1 journaliste Perte juridique faible ou nulle 5 Détérioration de la relation client Perte de productivité Mention négative ponctuelle dans un média

25 Scénarios d'incident appréciés 9. Liste des conséquences estimées des scénarios d'incident Max Mesures de sécurité Valeur de Scénario d'incident Les actifs impactés C I D SOM(C,I,D) (SOM(CID)) existantes Conséquences conséquences 1 Processus de rédaction Perte financière jugée modérée Perte juridique faible ou nulle 1 1.Vol de l'ordinateur du fait de sa Articles non publiés et non 11 Perte de contrat, d'opération ou de portabilité. 4 vendus transaction, perte de client mineur 2 7 Ordinateur Perte de productivité 1 12 Fichier d'article Perte image faible ou nulle 1 2.Destruction de l'ordinateur du fait de sa fragilité..suite à une panne électrique l'ordinateur ne s'allume plus. 4.Après une connexion frauduleuse, le fichier d'article en cours de rédaction est modifié avec des informations fausses et publiés sans contrôle. 5.Le manque de formation de l'utilisateur à l'utilisation du système d'exploitation entraîne une mauvaise manipulation causant la perte de l'article. 6.Après une connexion frauduleuse, le fichier d'article en cours de rédaction est copié et publié par un autre journal 7.Lors d'une connexion dans un aéroport, le fichier d'article en cours de transfert est écoutée et retransmis sur un site gratuit avant sa publication officielle 8.Dans une zone à risque, le journaliste est pris en otage par des révolutionnaires. 1 Processus de rédaction Perte financière faible ou nulle Perte juridique faible ou nulle 1 Articles non publiés et non 7 4 vendus Détérioration de la relation client 1 7 Ordinateur Perte de productivité 1 12 Fichier d'article Perte image faible ou nulle 1 1 Processus de rédaction Perte financière faible ou nulle Perte juridique faible ou nulle 1 Articles non publiés et non 7 4 vendus Détérioration de la relation client 1 7 Ordinateur Perte de productivité 1 12 Fichier d'article Perte image faible ou nulle 1 1 Processus de rédaction Perte financière jugée inacceptable 4 Retrait temporaire de carte de presse, interdiction temporaire 2 Processus de vente d'exercer l'activité Protection par 10 l'identifiant/ mot de 4 10 Perte de client passe Arrêt de travail longe presse à diffusion restreinte impact 12 Fichier d'article 4 10 sur le réputation à court terme. 1 Processus de rédaction 1 7 Perte financière jugée significative Perte juridique faible ou nul 1 12 Fichier d'article Perte de client 9 Arrêt de travail longe presse à diffusion restreinte impact sur le réputation à court terme. 1 Processus de rédaction Perte financière jugée inacceptable 4 2 Processus de vente Amende 2 Protection par Perte de client 6 l'identifiant/ mot de 12 Fichier d'article passe Arrêt de travail longe presse à diffusion restreinte impact sur le réputation à court terme. 2 Processus de vente Perte financière jugée inacceptable 4 12 Fichier d'article Amende 2 Perte de client 6 Arrêt de travail longe presse à diffusion restreinte impact sur le réputation à court terme. 1 Processus de rédaction Perte financière jugée significative 2 Processus de vente Perte juridique faible ou nulle 1 1 journaliste Détérioration de la relation client 1 6 Arrêt de travail longe Mention négative ponctuelle dans un média 2 9.Dans une gare, le journaliste mange des moules pas fraiches, il attrape une intoxication alimentaire et il va à l'hôpital Processus de rédaction Perte financière jugée significative 1 journaliste Perte juridique faible ou nulle 1 5 Détérioration de la relation client 1 Perte de productivité 1 Mention négative ponctuelle dans 2 un média

26 Vraisemblance des scénarios d'incident 10. Vraisemblance des scénarios d'incident Mesures de Max sécurité Valeur de Scénario d'incident Les actifs impactés C I D SOM(C,I,D) (SOM(CID)) existantes Conséquences conséquences Vraisemblance 1 Processus de rédaction Perte financière jugée modérée Perte juridique faible ou nul 1 1.Vol de l'ordinateur du fait de sa Articles non publiés et non 11 Perte de contrat, d'opération ou de portabilité. 4 vendus transaction, perte de client mineur Ordinateur Perte de productivité 1 12 Fichier d'article Perte image faible ou nul 1 2.Destruction de l'ordinateur du fait de sa fragilité..suite à une panne électrique l'ordinateur ne s'allume plus. 4.Après une connexion frauduleuse, le fichier d'article en cours de rédaction est modifié avec des informations fausses et publiés sans contrôle. 5.Le manque de formation de l'utilisateur à l'utilisation du système d'exploitation entraîne une mauvaise manipulation causant la perte de l'article. 6.Après une connexion frauduleuse, le fichier d'article en cours de rédaction est copié et publié par un autre journal 7.Lors d'une connexion dans un aéroport, le fichier d'article en cours de transfert est écoutée et retransmis sur un site gratuit avant sa publication officielle 8.Dans une zone à risque, le journaliste est pris en otage par des révolutionnaires. 9.Dans une gare, le journaliste mange des moules pas fraiches, il attrape une intoxication alimentaire et il va à l'hôpital Processus de rédaction Perte financière faible ou nulle Perte juridique faible ou nul 1 Articles non publiés et non 7 4 vendus Détérioration de la relation client 1 7 Ordinateur Perte de productivité 1 12 Fichier d'article Perte image faible ou nul 1 1 Processus de rédaction Perte financière faible ou nulle Perte juridique faible ou nul 1 Articles non publiés et non 7 4 vendus Détérioration de la relation client 1 7 Ordinateur Perte de productivité 1 12 Fichier d'article Perte image faible ou nul 1 1 Processus de rédaction Perte financière jugée inacceptable 4 Retrait temporaire de carte de presse, interdiction temporaire 2 Processus de vente Protection d'exercer l'activité par 10 l'identifiant/ 4 10 Perte de client mot de passe Arrêt de travail longe presse à diffusion restreinte impact 12 Fichier d'article 4 10 sur le réputation à court terme. 1 Processus de rédaction 1 7 Perte financière jugée significative Perte juridique faible ou nul 1 12 Fichier d'article Perte de client 9 Arrêt de travail longe presse à diffusion restreinte impact sur le réputation à court terme. 1 Processus de rédaction Perte financière jugée inacceptable 4 2 Processus de vente Amende 2 Protection par Perte de client 6 l'identifiant/ 12 Fichier d'article mot de Arrêt de travail longe passe presse à diffusion restreinte impact sur le réputation à court terme. 2 Processus de vente Perte financière jugée inacceptable 4 12 Fichier d'article Amende 2 Perte de client 6 Arrêt de travail longe presse à diffusion restreinte impact sur le réputation à court terme. 1 Processus de rédaction Perte financière jugée significative 2 Processus de vente Perte juridique faible ou nul 1 1 journaliste Détérioration de la relation client 1 6 Arrêt de travail longe Mention négative ponctuelle dans un média 2 1 Processus de rédaction Perte financière jugée significative 1 journaliste Perte juridique faible ou nul 1 5 Arrêt de travail longe 1 Perte de productivité 1 Mention négative ponctuelle dans un média

27 11. Liste des risques avec le valeur de niveau de risque Calcul du niveau de risque Max Mesures de sécurité Valeur de Niveau de risque Scénario d'incident Les actifs impactés C I D SOM(C,I,D) (SOM(CID)) existantes Conséquences conséquences Vraisemblance =Max(SOM(CID))*Vrais 1 Processus de rédaction Perte financière jugée modérée Perte juridique faible ou nul 1 1.Vol de l'ordinateur du fait de sa Articles non publiés et non 11 Perte de contrat, d'opération ou de portabilité. 4 vendus transaction, perte de client mineur Ordinateur Perte de productivité 1 12 Fichier d'article Perte image faible ou nul 1 2.Destruction de l'ordinateur du fait de sa fragilité..suite à une panne électrique l'ordinateur ne s'allume plus. 4.Après une connexion frauduleuse, le fichier d'article en cours de rédaction est modifié avec des informations fausses et publiés sans contrôle. 1 Processus de rédaction Perte financière faible ou nulle Perte juridique faible ou nul 1 Articles non publiés et non 7 4 vendus Détérioration de la relation client 1 7 Ordinateur Perte de productivité 1 12 Fichier d'article Perte image faible ou nul 1 1 Processus de rédaction Perte financière faible ou nulle Perte juridique faible ou nul 1 Articles non publiés et non 7 4 vendus Détérioration de la relation client 1 7 Ordinateur Perte de productivité 1 12 Fichier d'article Perte image faible ou nul 1 1 Processus de rédaction Perte financière jugée inacceptable 4 Retrait temporaire de carte de presse, interdiction temporaire 2 Processus de vente d'exercer l'activité Protection par 10 l'identifiant/ mot de 4 10 Perte de client passe Arrêt de travail longe presse à diffusion restreinte impact 12 Fichier d'article 4 10 sur le réputation à court terme Le manque de formation de l'utilisateur à l'utilisation du système d'exploitation entraîne une mauvaise manipulation causant la perte de l'article. 1 Processus de rédaction 1 7 Perte financière jugée significative Perte juridique faible ou nul 1 12 Fichier d'article Perte de client 9 Arrêt de travail longe presse à diffusion restreinte impact sur le réputation à court terme Après une connexion frauduleuse, le fichier d'article en cours de rédaction est copié et publié par un autre journal 7.Lors d'une connexion dans un aéroport, le fichier d'article en cours de transfert est écoutée et retransmis sur un site gratuit avant sa publication officielle 8.Dans une zone à risque, le journaliste est pris en otage par des révolutionnaires. 9.Dans une gare, le journaliste mange des moules pas fraiches, il attrape une intoxication alimentaire et il va à l'hôpital Processus de rédaction Perte financière jugée inacceptable 4 2 Processus de vente Amende 2 Protection par Perte de client 6 l'identifiant/ mot de 12 Fichier d'article passe Arrêt de travail longe presse à diffusion restreinte impact sur le réputation à court terme. 2 Processus de vente Perte financière jugée inacceptable 4 12 Fichier d'article Amende 2 Perte de client 6 Arrêt de travail longe presse à diffusion restreinte impact sur le réputation à court terme. 1 Processus de rédaction Perte financière jugée significative 2 Processus de vente Perte juridique faible ou nul 1 1 journaliste Détérioration de la relation client 1 6 Arrêt de travail longe Mention négative ponctuelle dans un média 2 1 Processus de rédaction Perte financière jugée significative 1 journaliste Perte juridique faible ou nul 1 5 Arrêt de travail longe 1 Perte de productivité 1 Mention négative ponctuelle dans un média

28 Risques sélectionnés pour traitement 12. Liste des risques priorités en relation avec les scénarios d'incident Max Mesures de sécurité Valeur de Niveau de risque Scénario d'incident Les actifs impactés C I D SOM(C,I,D) (SOM(CID)) existantes Conséquences conséquences Vraisemblance =Max(SOM(CID))*Vrai 1 Processus de rédaction Perte financière jugée modérée Perte juridique faible ou nul 1 1.Vol de l'ordinateur du fait de sa Articles non publiés et non 11 Perte de contrat, d'opération ou de portabilité. 4 vendus transaction, perte de client mineur Ordinateur Perte de productivité 1 12 Fichier d'article Perte image faible ou nul 1 2.Destruction de l'ordinateur du fait de sa fragilité..suite à une panne électrique l'ordinateur ne s'allume plus. 4.Après une connexion frauduleuse, le fichier d'article en cours de rédaction est modifié avec des informations fausses et publiés sans contrôle. 5.Le manque de formation de l'utilisateur à l'utilisation du système d'exploitation entraîne une mauvaise manipulation causant la perte de l'article. 6.Après une connexion frauduleuse, le fichier d'article en cours de rédaction est copié et publié par un autre journal 7.Lors d'une connexion dans un aéroport, le fichier d'article en cours de transfert est écoutée et retransmis sur un site gratuit avant sa publication officielle 8.Dans une zone à risque, le journaliste est pris en otage par des révolutionnaires. 9.Dans une gare, le journaliste mange des moules pas fraiches, il attrape une intoxication alimentaire et il va à l'hôpital Processus de rédaction Perte financière faible ou nulle Perte juridique faible ou nul 1 Articles non publiés et non 7 4 vendus Détérioration de la relation client 1 7 Ordinateur Perte de productivité 1 12 Fichier d'article Perte image faible ou nul 1 1 Processus de rédaction Perte financière faible ou nulle Perte juridique faible ou nul 1 Articles non publiés et non 7 4 vendus Détérioration de la relation client 1 7 Ordinateur Perte de productivité 1 12 Fichier d'article Perte image faible ou nul 1 1 Processus de rédaction Perte financière jugée inacceptable 4 Retrait temporaire de carte de presse, interdiction temporaire 2 Processus de vente d'exercer l'activité Protection par 10 l'identifiant/ mot de 4 10 Perte de client passe Arrêt de travail longe presse à diffusion restreinte impact 12 Fichier d'article 4 10 sur le réputation à court terme. 1 Processus de rédaction 1 7 Perte financière jugée significative Perte juridique faible ou nul 1 12 Fichier d'article Perte de client 9 Arrêt de travail longe presse à diffusion restreinte impact sur le réputation à court terme. 1 Processus de rédaction Perte financière jugée inacceptable 4 2 Processus de vente Amende 2 Protection par Perte de client 6 l'identifiant/ mot de 12 Fichier d'article passe Arrêt de travail longe presse à diffusion restreinte impact sur le réputation à court terme. 2 Processus de vente Perte financière jugée inacceptable 4 12 Fichier d'article Amende 2 Perte de client 6 Arrêt de travail longe presse à diffusion restreinte impact sur le réputation à court terme. 1 Processus de rédaction Perte financière jugée significative 2 Processus de vente Perte juridique faible ou nul 1 1 journaliste Détérioration de la relation client 1 6 Arrêt de travail longe Mention négative ponctuelle dans un média 2 1 Processus de rédaction Perte financière jugée significative 1 journaliste Perte juridique faible ou nul 1 5 Arrêt de travail longe 1 Perte de productivité 1 Mention négative ponctuelle dans 2 un média

29 Plan de traitement des risques 1.Plan de traitement des risques Niveau Personnes Scénario de risque Traitement Mesure de sécurité (ISO27002) Priorités responsable Coût 1.Vol de l'ordinateur du fait de sa portabilité, Sauvegarde. ce qui engendre une perte financière, Sensibilisation. perte de productivité, perte d'image. 22 Réduction Chiffrement. 1 Journaliste Moyen 2.Destruction de l'ordinateur du fait de sa fragilité,.suite à une panne électrique l'ordinateur ne s'allume plus, perte financière, perte de productivité. 4.Après une connexion frauduleuse, le fichier d'article en cours de rédaction est modifié avec des informations fausses et publiés sans contrôle. 5.Le manque de formation de l'utilisateur à l'utilisation du système d'exploitation entraîne une mauvaise manipulation causant la perte de l'article. 6.Après une connexion frauduleuse, le fichier d'article en cours de rédaction est copié et publié par un autre journal 7.Lors d'une connexion dans un aéroport, le fichier d'article en cours de transfert est écoutée et retransmis sur un site gratuit avant sa publication officielle. 8.Dans une zone à risque, le journaliste est pris en otage par des révolutionnaires. Sauvegarde. protection antivirale. Sensibilisation. mise à jour du logiciel. 14 Réduction HIPS. 2 Journaliste Moyen 7 Maintien Sensibilisation. Chiffrement. Réexamen des droits d'accès. Déconnexion automatique. des 20 Réduction sessions inactives. 1 Journaliste Moyen Sauvegarde Formation 18 Réduction Sensibilisation 2 Journaliste Faible Sensibilisation. Chiffrement. Réexamen des droits d'accès. Déconnexion automatique des 18 Réduction sessions inactives. 1 Journaliste Moyen Sensibilisation. 18 Réduction Chiffrement. 1 Journaliste Faible 6 Maintien 29 9.Dans une gare, le journaliste mange des moules pas fraiches, il attrape une intoxication alimentaire et il va à l'hôpital.. 10 Réduction Sensibilisation. Journaliste Faible

30 Plan de traitement des risques 14.Plan de traitment du risque avec le niveau des risques résiduels Niveau Vraisemblan des Mesure de sécurité Personnes SOM(CID) ce ré Risque Scénario risques Traitement (ISO27002) Priorités responsable Coût ré estimée estimée Résiduel 1.Vol de l'ordinateur du fait de sa portabilité, Sauvegarde. ce qui engendre une perte financière, Sensibilisation. perte de productivité, perte d'image. 22 Réduction Chiffrement. 1 Journaliste Moyen Destruction de l'ordinateur du fait de sa fragilité,.suite à une panne électrique l'ordinateur ne s'allume plus, perte financière, perte de productivité. 4.Après une connexion frauduleuse, le fichier d'article en cours de rédaction est modifié avec des informations fausses et publiés sans contrôle. 5.Le manque de formation de l'utilisateur à l'utilisation du système d'exploitation entraîne une mauvaise manipulation causant la perte de l'article. 6.Après une connexion frauduleuse, le fichier d'article en cours de rédaction est copié et publié par un autre journal 7.Lors d'une connexion dans un aéroport, le fichier d'article en cours de transfert est écoutée et retransmis sur un site gratuit avant sa publication officielle. 8.Dans une zone à risque, le journaliste est pris en otage par des révolutionnaires. Sauvegarde. protection antivirale. Sensibilisation. mise à jour du logiciel. 14 Réduction HIPS. 2 Journaliste Moyen 1 7 Maintien Sensibilisation. Chiffrement. Réexamen des droits d'accès. Déconnexion automatique. 20 Réduction des sessions inactives. 1 Journaliste Moyen Sauvegarde Formation 18 Réduction Sensibilisation 2 Journaliste Faible 1 Sensibilisation. Chiffrement. Réexamen des droits d'accès. Déconnexion automatique 18 Réduction des sessions inactives. 1 Journaliste Moyen Sensibilisation. 18 Réduction Chiffrement. 1 Journaliste Faible Maintien 9.Dans une gare, le journaliste mange des moules pas fraiches, il attrape une intoxication alimentaire et il va à l'hôpital Réduction Sensibilisation. Journaliste Faible 1

31 15. Liste de risques acceptés avec justification Acceptation des risques Niveau Vraisemblan Niveau des des Mesure de sécurité Personnes SOM(CID) ce ré Risques Acceptation Scénario risques Traitement (ISO27002) Priorités responsable Coût ré estimée estimée Résiduels des risques Signature Date 1.Vol de l'ordinateur du fait de sa portabilité, Sauvegarde. ce qui engendre une perte financière, Sensibilisation. perte de productivité, perte d'image. 22 Réduction Chiffrement. 1 Journaliste Moyen oui 2.Destruction de l'ordinateur du fait de sa fragilité,.suite à une panne électrique l'ordinateur ne s'allume plus, perte financière, perte de productivité. 4.Après une connexion frauduleuse, le fichier d'article en cours de rédaction est modifié avec des informations fausses et publiés sans contrôle. 5.Le manque de formation de l'utilisateur à l'utilisation du système d'exploitation entraîne une mauvaise manipulation causant la perte de l'article. 6.Après une connexion frauduleuse, le fichier d'article en cours de rédaction est copié et publié par un autre journal 7.Lors d'une connexion dans un aéroport, le fichier d'article en cours de transfert est écoutée et retransmis sur un site gratuit avant sa publication officielle. 8.Dans une zone à risque, le journaliste est pris en otage par des révolutionnaires. Sauvegarde. protection antivirale. Sensibilisation. mise à jour du logiciel. 14 Réduction HIPS. 2 Journaliste Moyen 1 oui 7 Maintien Sensibilisation. Chiffrement. Réexamen des droits d'accès. Déconnexion automatique. 20 Réduction des sessions inactives. 1 Journaliste Moyen oui Sauvegarde Formation 18 Réduction Sensibilisation 2 Journaliste Faible 1 oui Sensibilisation. Chiffrement. Réexamen des droits d'accès. Déconnexion automatique 18 Réduction des sessions inactives. 1 Journaliste Moyen non Sensibilisation. 18 Réduction Chiffrement. 1 Journaliste Faible non 6 Maintien 9.Dans une gare, le journaliste mange des moules pas fraiches, il attrape une intoxication alimentaire et il va à l'hôpital Réduction Sensibilisation. Journaliste Faible 1 oui

32 Conclusion Pas un processus linéaire Pas une étape infaisable sans avoir fait la précédente Possible de démarrer au milieu et d'y aller progressivement Peut tendre vers une gestion des risques très fine Rien d'obligatoire dans le formalisme Seules les étapes imposées par l'iso doivent être suivies Le fait qu'elles ont été suivies doit être montrable Permet de prendre en compte toute la hiérarchie 2

33 Conclusion ISO est incontournable au niveau international ISO est directement appliquée de l'iso ISO est utilisable dans des contextes et des métiers variés ISO27005 permet une gestion des risques simple, pragmatique, adaptée aux réalités des affaires