Méthode de gestion des risques ISO 27005
|
|
- Nicole Bernard
- il y a 2 ans
- Total affichages :
Transcription
1 HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Méthode de gestion des risques ISO Netfocus, Bruxelles,12 mai 2009 CLUSIR Aquitaine, Bordeaux,12 juin 2009 Hervé Schauer Hervé Schauer
2 Introduction Historique Sommaire Schéma de modélisation Exemple relié au schéma Etablissement du contexte : critères et échelles Cartographie des actifs Menaces, vulnérabilités, conséquences et impacts sur les actifs Scénarios d'incident Plan de traitement des risques Conclusion 2
3 Introduction Objectif : Démontrer la méthode ISO Schéma modélisant chaque activité et sous-activité de la méthode proposée par la norme ISO Voir schéma joint en format PDF Exemple simple qui déroule la méthode N sur le schéma correspondant aux n des tableaux Exemples de tableaux A titre illustratif et non contractuel!
4 1992 Historique Managing and planning IT security ISO TR Techniques for the management IT security ; Selection of safeguards ISO TR Information security risk management ISO TR 15-4 ISO CCTA Risk Assessment and Management Method CRAMM PD Guide to BS7799 Risk Assessment PD BS Guidelines for information ; security Risk Assessment 1995 Risk management AS/NZS Expression des Besoins et Identification des Objectifs de Sécurité EBIOS Influences diverses
5 Schéma de modélisation 5
6 Exemple 6 Un journaliste utilise un ordinateur portable pour rédiger ses articles. Il est employé par le magazine VSD (Vous et la Sécurité de Demain) mais il lui arrive de vendre ses articles à d'autres journaux. Sur son ordinateur, sont stockés son courrier électronique, ses contacts et tous ses articles publiés, non encore parus et en cours de rédaction. Pour rédiger des articles pertinents, ce journaliste se doit être un véritable globe trotter. Dans l'urgence, il est amené à rédiger ses articles dans les salles d'attente, voire de les envoyer en utilisant les hotspots disponibles. A l'heure actuelle, la seule protection utilisée est un simple couple identifiant / mot de passe à l'allumage de l'ordinateur
7 Établissement du contexte Définir les critères de base (7.2) Critères d'impact Bas-niveau : vis-à-vis de l'actif Impact de la perte ou de l'atteinte d'un critère de sécurité Disponibilité, intégrité, confidentialité (7.2) Haut-niveau : vis-à-vis de l'organisme, du processus métier, du projet Echelle de mesure, ou critère d'estimation, des conséquences (financières, délais, image) (7.2)(8222)(B.) Critères évaluation des risques Critères d'acceptation des risques 7
8 Critères d'impact Établissement du contexte A partir d'où l'impact est assez important pour que le risque soit pris en compte? Dans l'analyse du risque Critères d'évaluation des risques A partir d'où je dois passer de l'analyse du risque à son traitement? Critères d'acceptation des risques A partir de quel niveau le risque sera acceptable par la direction? 8 Pas d'échelles normalisées
9 Etablissement du contexte Autres échelles utiles lors de l'analyse de risque Pas explicitement imposées lors de l'établissement du contexte Echelle ou critères de valorisation des actifs ( )(B.2)( )( ) Echelles d'estimation Echelle d'estimation des menaces (vraisemblance) (8.2.1.)(C)(8.2.2.) Echelle d'estimation des vulnérabilités (difficulté d'exploitation) ( )(D) (8.2.2.) Echelle d'appréciation de la vraisemblance des scénarios d'incidents (8.2.2.)(B.) 9
10 Etablissement du contexte Récapitulatif par ordre d'utilisation dans la méthode Echelle ou critères de valorisation des actifs ( )(B.2)( )( ) Echelle d'estimation des menaces (vraisemblance) (8.2.1.)(C)(8.2.2.) Echelle d'estimation des vulnérabilités (difficulté d'exploitation) ( )(D) (8.2.2.) Critères d'impact (7.2) : échelle de mesure, ou critère d'estimation De l'impact de la perte ou de l'atteinte à la disponibilité, intégrité, confidentialité sur un actif (7.2) Des conséquences (financières, délais, image) des scénarios d'incidents (7.2)(8222)(B.) Echelle d'appréciation de la vraisemblance des scénarios d'incidents (8.2.2.)(B.) Critères évaluation des risques (7.2) 10 Critères d'acceptation des risques (7.2)
11 Valorisation des actifs Exemple Echelle de valorisation des actifs Valeur Signification 1 Faible Actif facilement remplaçable Coût d'achat faible Coût de maintenance faible Ne nécessite pas de compétences particulières 2 Moyen Actif remplaçable dans la journée Coût d'achat moyen Coût de maintenance moyen Nécessite des connaissances de base Élevé Actif remplaçable dans la semaine Coût d'achat élevé Coût de maintenance élevé Nécessite des connaissances techniques particulières 4 Très élevé Actif remplaçable dans le mois Coût d'achat très élevé Coût de maintenance très élevé Nécessite des connaissances spécifiques. 11
12 Critères d'impact Exemple Critères d'impact Confidentialité Qualification du besoin en Intégrité Disponibilité Niveau du besoin Pas de validation nécessaire Arrêt supérieur Faible ou 1 Peut ne pas être intègre Simple validation possible à jours Arrêt entre 1 inexistant Significatif 2 Peut être partiellement intègre jour et jours Validation croisée Arrêt inférieur à Fort Doit être intègre 1jours Triple validation Aucun arrêt Majeur 4 Doit être parfaitement intègre tolérable Informations pouvant être publiques Accès autorisé à l'ensemble du journal VSD Accès autorisé à l'ensemble de l'équipe Accès autorisé à un membre unique de l'équipe 12
13 Exemple : Echelle de mesure des conséquences Echelle de mesure des conséquences Financier Juridique Commercial Activité Image Niveau d'impact Perte financière Perte juridique faible ou null Détérioration Perte de Perte image Faible ou 1 faible ou nulle de la relation productivi faible ou inexistant client té null Perte financière Amende Perte de Arrêt de Mention Significatif 2 jugée modérée (10% du CA < X < 0% du CA) contrat,d'opé ration ou de transaction, travail court négative ponctuelle dans un Perte financière Retrait temporaire de carte de perte Perte de Arrêt de média Mention Fort jugée significative (>0% du CA) presse, interdiction temporaire d'exercer l'activité client travail long dans les supports de Perte financière Procès diffamation, atteinte à Perte d'un Reprise presse Mention à Majeur 4 jugée inacceptable la vie prive, plagia (> 50% du CA) groupe de clients ou du travail dans la impossibl presse d'un grand e spécialisée 1
14 Critères d'évaluation des risques Exemple : 14 Utilisés par le RSSI ou le gestionnaire de risques SI Seuil Impact MAX (SOM(CID)) Critères d'évaluation des risques Vraisemblance d'un scénario d'incident Faible (Peu probable) Moyenne (Possible) Elevée (Probable) Très élevée (Fréquente)
15 Critères d'acceptation des risques Exemple : Validés par la direction et utilisés par la direction Seuil 15
16 Cartographie des actifs Actifs primordiaux (principaux, de haut-niveau) (B.1) : Processus et activités métier Information Actifs en support (de soutien, de bas-niveau, secondaires) : Cadre organisationnel, site, personnel, réseau, logiciel, matériel, etc 0.Liste des actifs primordiaux Actifs Primordiaux Processus de rédaction Processus de vente rédaction Articles non publiés et non vendus Articles publiés Contacts 16
17 Cartographie des actifs 1.Liste des processus métiers reliés aux actifs Actif Processus de rédaction Ordinateur Logiciel de traitement de texte Journaliste rédaction Propriétaire Journaliste Journaliste Journaliste Journaliste Journaliste Processus de vente Ordinateur Connexion internet Logiciel de messagerie Mails Journaliste Articles non publiés et non vendus Contacts Journaliste Journaliste Journaliste Journaliste Journaliste Journaliste Journaliste Journaliste 17
18 Cartographie des actifs 2.Liste des actifs Actif Propriétaire Actifs Primordiaux 1 Processus de rédaction Journaliste 2 Processus de vente Journaliste rédaction Journaliste 4 Articles non publiés et non vendus Journaliste 5 Articles publiés Acheteur 6 Contacts Journaliste Actifs en support 7 Ordinateur Journaliste 8 logiciel de traitement de texte Journaliste 9 logiciel de messagerie Journaliste 10 connexion internet Journaliste 11 mails Journaliste 12 Fichier d'article Journaliste 1 journaliste Journaliste 18
19 Actifs valorises.liste des actifs valorisés Actif Propriétaire Valeur Actifs Primordiaux 1 Processus de rédaction Journaliste 4 2 Processus de vente Journaliste rédaction Journaliste 4 4 Articles non publiés et non vendus Journaliste 4 5 Articles publiés Acheteur 2 6 Contacts Journaliste 2 Actifs en support 7 Ordinateur Journaliste 4 8 logiciel de traitement de texte Journaliste 2 9 logiciel de messagerie Journaliste 2 10 connexion internet Journaliste 1 11 mails Journaliste 2 12 Fichier d'article Journaliste 4 1 journaliste Journaliste 4 19
20 Actifs sélectionnés 4.Liste des actifs sélectionnés Actif Propriétaire Valeur Sélectionné Actifs Primordiaux 1 Processus de rédaction Journaliste 4 oui 2 Processus de vente Journaliste oui rédaction Journaliste 4 oui 4 Articles non publiés et non vendus Journaliste 4 oui 5 Articles publiés Acheteur 2 non 6 Contacts Journaliste 2 non Actifs en support 7 Ordinateur Journaliste 4 oui 8 logiciel de traitement de texte Journaliste 2 non 9 logiciel de messagerie Journaliste 2 non 10 connexion internet Journaliste 1 non 11 mails Journaliste 2 non 12 Fichier d'article Journaliste 4 oui 1 journaliste Journaliste 4 oui 20
21 Menaces sur les actifs 5.Liste de menaces Actif Valeur Sélectionné Menaces Actifs Primordiaux 1 Processus de rédaction 4 oui 2 Processus de vente oui rédaction 4 oui 4 Articles non publiés et non vendus 4 oui 5 Articles publiés 2 non 6 Contacts 2 non Actifs en support 7 Ordinateur 4 oui Vol Identification de menaces ne effectuée pas sur les actifs primordiaux. Destruction Panne électrique 8 logiciel de traitement de texte 2 non 9 logiciel de messagerie 2 non 10 connexion internet 1 non 11 mails 2 non 12 Fichier d'article 4 oui Fraude Destruction Copie 1 journaliste 4 oui Enlèvement Maladie 21
22 Vulnérabilités des actifs Actifs Primordiaux Actifs en support 6. Liste de vulnérabilités Actif Valeur Sélectionné Menaces Vulnérabilité 1 Processus de rédaction 4 oui 2 Processus de vente oui rédaction 4 oui 4 Articles non publiés et non vendus 4 oui 5 Articles publiés 2 non 6 Contacts 2 non Identification de menaces ne effectuée pas sur les actifs primordiaux. 7 Ordinateur 4 oui Vol portabilité Destruction fragilité Panne électrique dépend de l'électricité 8 logiciel de traitement de texte 2 non 9 logiciel de messagerie 2 non 10 connexion internet 1 non 11 mails 2 non 12 Fichier d'article 4 oui Fraude Accès libre Destruction Copie manque de sensibilisation Accès libre Fichier en clair 1 journaliste 4 oui Enlèvement non préparation Maladie manque de sensibilisation 22
23 Conséquences et impacts sur les actifs 7.Liste de conséquences relatives aux actifs affectés et aux processus métiers affectés et impact vis-à-vis des critères CID Max Scénario d'incident Les actifs impactés C I D SOM(C,I,D) (SOM(CID)) Conséquences 1 Processus de rédaction Perte financière jugée modérée rédaction Perte juridique faible ou nulle 1.Vol de l'ordinateur du fait de sa portabilité. Perte de contrat, d'opération ou de transaction, 11 4 Articles non publiés et non vendus perte de client mineur 7 Ordinateur Perte de productivité 12 Fichier d'article Perte image faible ou nulle 2.Destruction de l'ordinateur du fait de sa fragilité..suite à une panne électrique l'ordinateur ne s'allume plus. 4.Après une connexion frauduleuse, le fichier d'article en cours de rédaction est modifié avec des informations fausses et publiés sans contrôle. 1 Processus de rédaction Perte financière faible ou nulle rédaction Perte juridique faible ou nulle 4 Articles non publiés et non vendus Détérioration de la relation client 7 Ordinateur Perte de productivité 12 Fichier d'article Perte image faible ou nulle 1 Processus de rédaction Perte financière faible ou nulle rédaction Perte juridique faible ou nulle 4 Articles non publiés et non vendus Détérioration de la relation client 7 Ordinateur Perte de productivité 12 Fichier d'article Perte image faible ou nulle 1 Processus de rédaction Perte financière jugée inacceptable Retrait temporaire de carte de presse, interdiction 2 Processus de vente temporaire d'exercer l'activité rédaction Perte de client Arrêt de travail longe presse à diffusion 12 Fichier d'article 4 10 restreinte impact sur le réputation à court terme. 5.Le manque de formation de l'utilisateur à l'utilisation du système d'exploitation entraîne une mauvaise manipulation causant la perte de l'article. 6.Après une connexion frauduleuse, le fichier d'article en cours de rédaction est copié et publié par un autre journal 7.Lors d'une connexion dans un aéroport, le fichier d'article en cours de transfert est écoutée et retransmis sur un site gratuit avant sa publication officielle 8.Dans une zone à risque, le journaliste est pris en otage par des révolutionnaires. 1 Processus de rédaction 1 7 Perte financière jugée significative rédaction Perte juridique faible ou nul 12 Fichier d'article Perte de client Arrêt de travail longe presse à diffusion restreinte impact sur le réputation à court terme. 1 Processus de rédaction Perte financière jugée inacceptable 2 Processus de vente Amende rédaction Perte de client 6 12 Fichier d'article Arrêt de travail longe presse à diffusion restreinte impact sur le réputation à court terme. 2 Processus de vente Perte financière jugée inacceptable 12 Fichier d'article Amende 6 Perte de client Arrêt de travail longe presse à diffusion restreinte impact sur le réputation à court terme. 1 Processus de rédaction Perte financière jugée significative 2 Processus de vente Perte juridique faible ou nul 1 journaliste Détérioration de la relation client Arrêt de travail longe Mention négative ponctuelle dans un média 9.Dans une gare, le journaliste mange des moules pas fraiches, il attrape une intoxication alimentaire et il va à l'hôpital. 2 1 Processus de rédaction Perte financière jugée significative 1 journaliste Perte juridique faible ou nulle 5 Détérioration de la relation client Perte de productivité Mention négative ponctuelle dans un média
24 Mesures de sécurité existantes 8. Liste des mesures de sécurité existantes et prévues Max Mesures de sécurité Scénario d'incident Les actifs impactés C I D SOM(C,I,D) (SOM(CID)) Conséquences existantes 1 Processus de rédaction Perte financière jugée modérée rédaction Perte juridique faible ou nulle 1.Vol de l'ordinateur du fait de sa portabilité. 4 Articles non publiés et non vendus Perte de contrat, d'opération ou de transaction, perte de client mineur 7 Ordinateur Perte de productivité 12 Fichier d'article Perte image faible ou nulle 2.Destruction de l'ordinateur du fait de sa fragilité..suite à une panne électrique l'ordinateur ne s'allume plus. 4.Après une connexion frauduleuse, le fichier d'article en cours de rédaction est modifié avec des informations fausses et publiés sans contrôle. 5.Le manque de formation de l'utilisateur à l'utilisation du système d'exploitation entraîne une mauvaise manipulation causant la perte de l'article. 6.Après une connexion frauduleuse, le fichier d'article en cours de rédaction est copié et publié par un autre journal 7.Lors d'une connexion dans un aéroport, le fichier d'article en cours de transfert est écoutée et retransmis sur un site gratuit avant sa publication officielle 8.Dans une zone à risque, le journaliste est pris en otage par des révolutionnaires. 1 Processus de rédaction Perte financière faible ou nulle rédaction Perte juridique faible ou nulle 4 Articles non publiés et non vendus Détérioration de la relation client 7 Ordinateur Perte de productivité 12 Fichier d'article Perte image faible ou nulle 1 Processus de rédaction Perte financière faible ou nulle rédaction Perte juridique faible ou nulle 4 Articles non publiés et non vendus Détérioration de la relation client 7 Ordinateur Perte de productivité 12 Fichier d'article Perte image faible ou nulle 1 Processus de rédaction Perte financière jugée inacceptable Retrait temporaire de carte de presse, interdiction temporaire 2 Processus de vente d'exercer l'activité Protection par rédaction 4 10 Perte de client 10 l'identifiant/ mot de Arrêt de travail longe passe presse à diffusion restreinte impact sur le réputation à court 12 Fichier d'article 4 10 terme. 1 Processus de rédaction 1 7 Perte financière jugée significative rédaction Perte juridique faible ou nul 12 Fichier d'article Perte de client 9 Arrêt de travail longe presse à diffusion restreinte impact sur le réputation à court terme. 1 Processus de rédaction Perte financière jugée inacceptable 2 Processus de vente Amende rédaction Perte de client Protection par 12 Fichier d'article Arrêt de travail longe l'identifiant/ mot de passe presse à diffusion restreinte impact sur le réputation à court terme. 2 Processus de vente Perte financière jugée inacceptable 12 Fichier d'article Amende Perte de client 6 Arrêt de travail longe presse à diffusion restreinte impact sur le réputation à court terme. 1 Processus de rédaction Perte financière jugée significative 2 Processus de vente Perte juridique faible ou nul 1 journaliste Détérioration de la relation client 6 Arrêt de travail longe Mention négative ponctuelle dans un média 9.Dans une gare, le journaliste mange des moules pas fraiches, il attrape une intoxication alimentaire et il va à l'hôpital Processus de rédaction Perte financière jugée significative 1 journaliste Perte juridique faible ou nulle 5 Détérioration de la relation client Perte de productivité Mention négative ponctuelle dans un média
25 Scénarios d'incident appréciés 9. Liste des conséquences estimées des scénarios d'incident Max Mesures de sécurité Valeur de Scénario d'incident Les actifs impactés C I D SOM(C,I,D) (SOM(CID)) existantes Conséquences conséquences 1 Processus de rédaction Perte financière jugée modérée Perte juridique faible ou nulle 1 1.Vol de l'ordinateur du fait de sa Articles non publiés et non 11 Perte de contrat, d'opération ou de portabilité. 4 vendus transaction, perte de client mineur 2 7 Ordinateur Perte de productivité 1 12 Fichier d'article Perte image faible ou nulle 1 2.Destruction de l'ordinateur du fait de sa fragilité..suite à une panne électrique l'ordinateur ne s'allume plus. 4.Après une connexion frauduleuse, le fichier d'article en cours de rédaction est modifié avec des informations fausses et publiés sans contrôle. 5.Le manque de formation de l'utilisateur à l'utilisation du système d'exploitation entraîne une mauvaise manipulation causant la perte de l'article. 6.Après une connexion frauduleuse, le fichier d'article en cours de rédaction est copié et publié par un autre journal 7.Lors d'une connexion dans un aéroport, le fichier d'article en cours de transfert est écoutée et retransmis sur un site gratuit avant sa publication officielle 8.Dans une zone à risque, le journaliste est pris en otage par des révolutionnaires. 1 Processus de rédaction Perte financière faible ou nulle Perte juridique faible ou nulle 1 Articles non publiés et non 7 4 vendus Détérioration de la relation client 1 7 Ordinateur Perte de productivité 1 12 Fichier d'article Perte image faible ou nulle 1 1 Processus de rédaction Perte financière faible ou nulle Perte juridique faible ou nulle 1 Articles non publiés et non 7 4 vendus Détérioration de la relation client 1 7 Ordinateur Perte de productivité 1 12 Fichier d'article Perte image faible ou nulle 1 1 Processus de rédaction Perte financière jugée inacceptable 4 Retrait temporaire de carte de presse, interdiction temporaire 2 Processus de vente d'exercer l'activité Protection par 10 l'identifiant/ mot de 4 10 Perte de client passe Arrêt de travail longe presse à diffusion restreinte impact 12 Fichier d'article 4 10 sur le réputation à court terme. 1 Processus de rédaction 1 7 Perte financière jugée significative Perte juridique faible ou nul 1 12 Fichier d'article Perte de client 9 Arrêt de travail longe presse à diffusion restreinte impact sur le réputation à court terme. 1 Processus de rédaction Perte financière jugée inacceptable 4 2 Processus de vente Amende 2 Protection par Perte de client 6 l'identifiant/ mot de 12 Fichier d'article passe Arrêt de travail longe presse à diffusion restreinte impact sur le réputation à court terme. 2 Processus de vente Perte financière jugée inacceptable 4 12 Fichier d'article Amende 2 Perte de client 6 Arrêt de travail longe presse à diffusion restreinte impact sur le réputation à court terme. 1 Processus de rédaction Perte financière jugée significative 2 Processus de vente Perte juridique faible ou nulle 1 1 journaliste Détérioration de la relation client 1 6 Arrêt de travail longe Mention négative ponctuelle dans un média 2 9.Dans une gare, le journaliste mange des moules pas fraiches, il attrape une intoxication alimentaire et il va à l'hôpital Processus de rédaction Perte financière jugée significative 1 journaliste Perte juridique faible ou nulle 1 5 Détérioration de la relation client 1 Perte de productivité 1 Mention négative ponctuelle dans 2 un média
26 Vraisemblance des scénarios d'incident 10. Vraisemblance des scénarios d'incident Mesures de Max sécurité Valeur de Scénario d'incident Les actifs impactés C I D SOM(C,I,D) (SOM(CID)) existantes Conséquences conséquences Vraisemblance 1 Processus de rédaction Perte financière jugée modérée Perte juridique faible ou nul 1 1.Vol de l'ordinateur du fait de sa Articles non publiés et non 11 Perte de contrat, d'opération ou de portabilité. 4 vendus transaction, perte de client mineur Ordinateur Perte de productivité 1 12 Fichier d'article Perte image faible ou nul 1 2.Destruction de l'ordinateur du fait de sa fragilité..suite à une panne électrique l'ordinateur ne s'allume plus. 4.Après une connexion frauduleuse, le fichier d'article en cours de rédaction est modifié avec des informations fausses et publiés sans contrôle. 5.Le manque de formation de l'utilisateur à l'utilisation du système d'exploitation entraîne une mauvaise manipulation causant la perte de l'article. 6.Après une connexion frauduleuse, le fichier d'article en cours de rédaction est copié et publié par un autre journal 7.Lors d'une connexion dans un aéroport, le fichier d'article en cours de transfert est écoutée et retransmis sur un site gratuit avant sa publication officielle 8.Dans une zone à risque, le journaliste est pris en otage par des révolutionnaires. 9.Dans une gare, le journaliste mange des moules pas fraiches, il attrape une intoxication alimentaire et il va à l'hôpital Processus de rédaction Perte financière faible ou nulle Perte juridique faible ou nul 1 Articles non publiés et non 7 4 vendus Détérioration de la relation client 1 7 Ordinateur Perte de productivité 1 12 Fichier d'article Perte image faible ou nul 1 1 Processus de rédaction Perte financière faible ou nulle Perte juridique faible ou nul 1 Articles non publiés et non 7 4 vendus Détérioration de la relation client 1 7 Ordinateur Perte de productivité 1 12 Fichier d'article Perte image faible ou nul 1 1 Processus de rédaction Perte financière jugée inacceptable 4 Retrait temporaire de carte de presse, interdiction temporaire 2 Processus de vente Protection d'exercer l'activité par 10 l'identifiant/ 4 10 Perte de client mot de passe Arrêt de travail longe presse à diffusion restreinte impact 12 Fichier d'article 4 10 sur le réputation à court terme. 1 Processus de rédaction 1 7 Perte financière jugée significative Perte juridique faible ou nul 1 12 Fichier d'article Perte de client 9 Arrêt de travail longe presse à diffusion restreinte impact sur le réputation à court terme. 1 Processus de rédaction Perte financière jugée inacceptable 4 2 Processus de vente Amende 2 Protection par Perte de client 6 l'identifiant/ 12 Fichier d'article mot de Arrêt de travail longe passe presse à diffusion restreinte impact sur le réputation à court terme. 2 Processus de vente Perte financière jugée inacceptable 4 12 Fichier d'article Amende 2 Perte de client 6 Arrêt de travail longe presse à diffusion restreinte impact sur le réputation à court terme. 1 Processus de rédaction Perte financière jugée significative 2 Processus de vente Perte juridique faible ou nul 1 1 journaliste Détérioration de la relation client 1 6 Arrêt de travail longe Mention négative ponctuelle dans un média 2 1 Processus de rédaction Perte financière jugée significative 1 journaliste Perte juridique faible ou nul 1 5 Arrêt de travail longe 1 Perte de productivité 1 Mention négative ponctuelle dans un média
27 11. Liste des risques avec le valeur de niveau de risque Calcul du niveau de risque Max Mesures de sécurité Valeur de Niveau de risque Scénario d'incident Les actifs impactés C I D SOM(C,I,D) (SOM(CID)) existantes Conséquences conséquences Vraisemblance =Max(SOM(CID))*Vrais 1 Processus de rédaction Perte financière jugée modérée Perte juridique faible ou nul 1 1.Vol de l'ordinateur du fait de sa Articles non publiés et non 11 Perte de contrat, d'opération ou de portabilité. 4 vendus transaction, perte de client mineur Ordinateur Perte de productivité 1 12 Fichier d'article Perte image faible ou nul 1 2.Destruction de l'ordinateur du fait de sa fragilité..suite à une panne électrique l'ordinateur ne s'allume plus. 4.Après une connexion frauduleuse, le fichier d'article en cours de rédaction est modifié avec des informations fausses et publiés sans contrôle. 1 Processus de rédaction Perte financière faible ou nulle Perte juridique faible ou nul 1 Articles non publiés et non 7 4 vendus Détérioration de la relation client 1 7 Ordinateur Perte de productivité 1 12 Fichier d'article Perte image faible ou nul 1 1 Processus de rédaction Perte financière faible ou nulle Perte juridique faible ou nul 1 Articles non publiés et non 7 4 vendus Détérioration de la relation client 1 7 Ordinateur Perte de productivité 1 12 Fichier d'article Perte image faible ou nul 1 1 Processus de rédaction Perte financière jugée inacceptable 4 Retrait temporaire de carte de presse, interdiction temporaire 2 Processus de vente d'exercer l'activité Protection par 10 l'identifiant/ mot de 4 10 Perte de client passe Arrêt de travail longe presse à diffusion restreinte impact 12 Fichier d'article 4 10 sur le réputation à court terme Le manque de formation de l'utilisateur à l'utilisation du système d'exploitation entraîne une mauvaise manipulation causant la perte de l'article. 1 Processus de rédaction 1 7 Perte financière jugée significative Perte juridique faible ou nul 1 12 Fichier d'article Perte de client 9 Arrêt de travail longe presse à diffusion restreinte impact sur le réputation à court terme Après une connexion frauduleuse, le fichier d'article en cours de rédaction est copié et publié par un autre journal 7.Lors d'une connexion dans un aéroport, le fichier d'article en cours de transfert est écoutée et retransmis sur un site gratuit avant sa publication officielle 8.Dans une zone à risque, le journaliste est pris en otage par des révolutionnaires. 9.Dans une gare, le journaliste mange des moules pas fraiches, il attrape une intoxication alimentaire et il va à l'hôpital Processus de rédaction Perte financière jugée inacceptable 4 2 Processus de vente Amende 2 Protection par Perte de client 6 l'identifiant/ mot de 12 Fichier d'article passe Arrêt de travail longe presse à diffusion restreinte impact sur le réputation à court terme. 2 Processus de vente Perte financière jugée inacceptable 4 12 Fichier d'article Amende 2 Perte de client 6 Arrêt de travail longe presse à diffusion restreinte impact sur le réputation à court terme. 1 Processus de rédaction Perte financière jugée significative 2 Processus de vente Perte juridique faible ou nul 1 1 journaliste Détérioration de la relation client 1 6 Arrêt de travail longe Mention négative ponctuelle dans un média 2 1 Processus de rédaction Perte financière jugée significative 1 journaliste Perte juridique faible ou nul 1 5 Arrêt de travail longe 1 Perte de productivité 1 Mention négative ponctuelle dans un média
28 Risques sélectionnés pour traitement 12. Liste des risques priorités en relation avec les scénarios d'incident Max Mesures de sécurité Valeur de Niveau de risque Scénario d'incident Les actifs impactés C I D SOM(C,I,D) (SOM(CID)) existantes Conséquences conséquences Vraisemblance =Max(SOM(CID))*Vrai 1 Processus de rédaction Perte financière jugée modérée Perte juridique faible ou nul 1 1.Vol de l'ordinateur du fait de sa Articles non publiés et non 11 Perte de contrat, d'opération ou de portabilité. 4 vendus transaction, perte de client mineur Ordinateur Perte de productivité 1 12 Fichier d'article Perte image faible ou nul 1 2.Destruction de l'ordinateur du fait de sa fragilité..suite à une panne électrique l'ordinateur ne s'allume plus. 4.Après une connexion frauduleuse, le fichier d'article en cours de rédaction est modifié avec des informations fausses et publiés sans contrôle. 5.Le manque de formation de l'utilisateur à l'utilisation du système d'exploitation entraîne une mauvaise manipulation causant la perte de l'article. 6.Après une connexion frauduleuse, le fichier d'article en cours de rédaction est copié et publié par un autre journal 7.Lors d'une connexion dans un aéroport, le fichier d'article en cours de transfert est écoutée et retransmis sur un site gratuit avant sa publication officielle 8.Dans une zone à risque, le journaliste est pris en otage par des révolutionnaires. 9.Dans une gare, le journaliste mange des moules pas fraiches, il attrape une intoxication alimentaire et il va à l'hôpital Processus de rédaction Perte financière faible ou nulle Perte juridique faible ou nul 1 Articles non publiés et non 7 4 vendus Détérioration de la relation client 1 7 Ordinateur Perte de productivité 1 12 Fichier d'article Perte image faible ou nul 1 1 Processus de rédaction Perte financière faible ou nulle Perte juridique faible ou nul 1 Articles non publiés et non 7 4 vendus Détérioration de la relation client 1 7 Ordinateur Perte de productivité 1 12 Fichier d'article Perte image faible ou nul 1 1 Processus de rédaction Perte financière jugée inacceptable 4 Retrait temporaire de carte de presse, interdiction temporaire 2 Processus de vente d'exercer l'activité Protection par 10 l'identifiant/ mot de 4 10 Perte de client passe Arrêt de travail longe presse à diffusion restreinte impact 12 Fichier d'article 4 10 sur le réputation à court terme. 1 Processus de rédaction 1 7 Perte financière jugée significative Perte juridique faible ou nul 1 12 Fichier d'article Perte de client 9 Arrêt de travail longe presse à diffusion restreinte impact sur le réputation à court terme. 1 Processus de rédaction Perte financière jugée inacceptable 4 2 Processus de vente Amende 2 Protection par Perte de client 6 l'identifiant/ mot de 12 Fichier d'article passe Arrêt de travail longe presse à diffusion restreinte impact sur le réputation à court terme. 2 Processus de vente Perte financière jugée inacceptable 4 12 Fichier d'article Amende 2 Perte de client 6 Arrêt de travail longe presse à diffusion restreinte impact sur le réputation à court terme. 1 Processus de rédaction Perte financière jugée significative 2 Processus de vente Perte juridique faible ou nul 1 1 journaliste Détérioration de la relation client 1 6 Arrêt de travail longe Mention négative ponctuelle dans un média 2 1 Processus de rédaction Perte financière jugée significative 1 journaliste Perte juridique faible ou nul 1 5 Arrêt de travail longe 1 Perte de productivité 1 Mention négative ponctuelle dans 2 un média
29 Plan de traitement des risques 1.Plan de traitement des risques Niveau Personnes Scénario de risque Traitement Mesure de sécurité (ISO27002) Priorités responsable Coût 1.Vol de l'ordinateur du fait de sa portabilité, Sauvegarde. ce qui engendre une perte financière, Sensibilisation. perte de productivité, perte d'image. 22 Réduction Chiffrement. 1 Journaliste Moyen 2.Destruction de l'ordinateur du fait de sa fragilité,.suite à une panne électrique l'ordinateur ne s'allume plus, perte financière, perte de productivité. 4.Après une connexion frauduleuse, le fichier d'article en cours de rédaction est modifié avec des informations fausses et publiés sans contrôle. 5.Le manque de formation de l'utilisateur à l'utilisation du système d'exploitation entraîne une mauvaise manipulation causant la perte de l'article. 6.Après une connexion frauduleuse, le fichier d'article en cours de rédaction est copié et publié par un autre journal 7.Lors d'une connexion dans un aéroport, le fichier d'article en cours de transfert est écoutée et retransmis sur un site gratuit avant sa publication officielle. 8.Dans une zone à risque, le journaliste est pris en otage par des révolutionnaires. Sauvegarde. protection antivirale. Sensibilisation. mise à jour du logiciel. 14 Réduction HIPS. 2 Journaliste Moyen 7 Maintien Sensibilisation. Chiffrement. Réexamen des droits d'accès. Déconnexion automatique. des 20 Réduction sessions inactives. 1 Journaliste Moyen Sauvegarde Formation 18 Réduction Sensibilisation 2 Journaliste Faible Sensibilisation. Chiffrement. Réexamen des droits d'accès. Déconnexion automatique des 18 Réduction sessions inactives. 1 Journaliste Moyen Sensibilisation. 18 Réduction Chiffrement. 1 Journaliste Faible 6 Maintien 29 9.Dans une gare, le journaliste mange des moules pas fraiches, il attrape une intoxication alimentaire et il va à l'hôpital.. 10 Réduction Sensibilisation. Journaliste Faible
30 Plan de traitement des risques 14.Plan de traitment du risque avec le niveau des risques résiduels Niveau Vraisemblan des Mesure de sécurité Personnes SOM(CID) ce ré Risque Scénario risques Traitement (ISO27002) Priorités responsable Coût ré estimée estimée Résiduel 1.Vol de l'ordinateur du fait de sa portabilité, Sauvegarde. ce qui engendre une perte financière, Sensibilisation. perte de productivité, perte d'image. 22 Réduction Chiffrement. 1 Journaliste Moyen Destruction de l'ordinateur du fait de sa fragilité,.suite à une panne électrique l'ordinateur ne s'allume plus, perte financière, perte de productivité. 4.Après une connexion frauduleuse, le fichier d'article en cours de rédaction est modifié avec des informations fausses et publiés sans contrôle. 5.Le manque de formation de l'utilisateur à l'utilisation du système d'exploitation entraîne une mauvaise manipulation causant la perte de l'article. 6.Après une connexion frauduleuse, le fichier d'article en cours de rédaction est copié et publié par un autre journal 7.Lors d'une connexion dans un aéroport, le fichier d'article en cours de transfert est écoutée et retransmis sur un site gratuit avant sa publication officielle. 8.Dans une zone à risque, le journaliste est pris en otage par des révolutionnaires. Sauvegarde. protection antivirale. Sensibilisation. mise à jour du logiciel. 14 Réduction HIPS. 2 Journaliste Moyen 1 7 Maintien Sensibilisation. Chiffrement. Réexamen des droits d'accès. Déconnexion automatique. 20 Réduction des sessions inactives. 1 Journaliste Moyen Sauvegarde Formation 18 Réduction Sensibilisation 2 Journaliste Faible 1 Sensibilisation. Chiffrement. Réexamen des droits d'accès. Déconnexion automatique 18 Réduction des sessions inactives. 1 Journaliste Moyen Sensibilisation. 18 Réduction Chiffrement. 1 Journaliste Faible Maintien 9.Dans une gare, le journaliste mange des moules pas fraiches, il attrape une intoxication alimentaire et il va à l'hôpital Réduction Sensibilisation. Journaliste Faible 1
31 15. Liste de risques acceptés avec justification Acceptation des risques Niveau Vraisemblan Niveau des des Mesure de sécurité Personnes SOM(CID) ce ré Risques Acceptation Scénario risques Traitement (ISO27002) Priorités responsable Coût ré estimée estimée Résiduels des risques Signature Date 1.Vol de l'ordinateur du fait de sa portabilité, Sauvegarde. ce qui engendre une perte financière, Sensibilisation. perte de productivité, perte d'image. 22 Réduction Chiffrement. 1 Journaliste Moyen oui 2.Destruction de l'ordinateur du fait de sa fragilité,.suite à une panne électrique l'ordinateur ne s'allume plus, perte financière, perte de productivité. 4.Après une connexion frauduleuse, le fichier d'article en cours de rédaction est modifié avec des informations fausses et publiés sans contrôle. 5.Le manque de formation de l'utilisateur à l'utilisation du système d'exploitation entraîne une mauvaise manipulation causant la perte de l'article. 6.Après une connexion frauduleuse, le fichier d'article en cours de rédaction est copié et publié par un autre journal 7.Lors d'une connexion dans un aéroport, le fichier d'article en cours de transfert est écoutée et retransmis sur un site gratuit avant sa publication officielle. 8.Dans une zone à risque, le journaliste est pris en otage par des révolutionnaires. Sauvegarde. protection antivirale. Sensibilisation. mise à jour du logiciel. 14 Réduction HIPS. 2 Journaliste Moyen 1 oui 7 Maintien Sensibilisation. Chiffrement. Réexamen des droits d'accès. Déconnexion automatique. 20 Réduction des sessions inactives. 1 Journaliste Moyen oui Sauvegarde Formation 18 Réduction Sensibilisation 2 Journaliste Faible 1 oui Sensibilisation. Chiffrement. Réexamen des droits d'accès. Déconnexion automatique 18 Réduction des sessions inactives. 1 Journaliste Moyen non Sensibilisation. 18 Réduction Chiffrement. 1 Journaliste Faible non 6 Maintien 9.Dans une gare, le journaliste mange des moules pas fraiches, il attrape une intoxication alimentaire et il va à l'hôpital Réduction Sensibilisation. Journaliste Faible 1 oui
32 Conclusion Pas un processus linéaire Pas une étape infaisable sans avoir fait la précédente Possible de démarrer au milieu et d'y aller progressivement Peut tendre vers une gestion des risques très fine Rien d'obligatoire dans le formalisme Seules les étapes imposées par l'iso doivent être suivies Le fait qu'elles ont été suivies doit être montrable Permet de prendre en compte toute la hiérarchie 2
33 Conclusion ISO est incontournable au niveau international ISO est directement appliquée de l'iso ISO est utilisable dans des contextes et des métiers variés ISO27005 permet une gestion des risques simple, pragmatique, adaptée aux réalités des affaires
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 989 Spécialisé sur Unix, Windows, TCP/IP et Internet Normes en Sécurité Focus sur ISO00 OzSSI sud-est Lyon, 9 septembre
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet EBIOS
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet EBIOS Agrégation du risque & Rétro-propagation du risque Mikaël Smaha
Gestion des risques dans la santé
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Gestion des risques dans la santé Illustration avec le DMP1 CNSSIS,
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI INSA
HERÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI INSA Gestion des risques SSI dans les projets Julien Levrard
La conformité et sa dérive par rapport à la gestion des risques
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet La conformité et sa dérive par rapport à la gestion des risques Matinée
ISO 27001 et la gestion des risques
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet ISO 27001 et la gestion des risques Conférence Netfocus Lyon, 10 avril
ISO27005 Gestion de risque
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet ISO27005 Gestion de risque Clusif groupe méthodes / méhari Paris,
L'intérêt de la 27001 pour le CIL
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet L'intérêt de la 27001 pour le CIL Frédéric Connes
Introduction à la norme ISO 27001. Eric Lachapelle
Introduction à la norme ISO 27001 Eric Lachapelle Introduction à ISO 27001 Contenu de la présentation 1. Famille ISO 27000 2. La norme ISO 27001 Implémentation 3. La certification 4. ISO 27001:2014? 2
Gestion de la sécurité de l information dans une organisation. 14 février 2014
Gestion de la sécurité de l information dans une organisation 14 février 2014 Agenda Systèmes d information Concepts de sécurité SI Gestion de la sécurité de l information Normes et méthodes de sécurité
M2 Miage Processus de la Sécurité des Systèmes d information
M2 Miage Processus de la Sécurité des Systèmes d information Damien Ploix Université d Evry Val d Essonne damien.ploix@ibisc.univ-evry.fr http://www.ibisc.univ-evry.fr/~dploix 1 Plan Introduction Organisation
Politique de sécurité
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Politique de sécurité cohérente et pragmatique & ISO 27001 Club 27001,,
ISO 27001:2013 Béatrice Joucreau Julien Levrard
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet ISO 27001:2013 Béatrice Joucreau Julien Levrard Sommaire La norme
ISO/CEI 27005 NORME INTERNATIONALE. Technologies de l'information Techniques de sécurité Gestion des risques liés à la sécurité de l'information
NORME INTERNATIONALE ISO/CEI 27005 Deuxième édition 2011-06-01 Technologies de l'information Techniques de sécurité Gestion des risques liés à la sécurité de l'information Information technology Security
Enterprise Risk Management 01/12/09. Patrick CHAMBET http://www.chambet.com
Enterprise Risk Management 01/12/09 La gestion des risques de sécurité informatique De la protection du SI à la protection de l'information Patrick CHAMBET http://www.chambet.com Bouygues Telecom DSI/DGOA/SSI
Comment protéger ses systèmes d'information légalement et à moindre coût?
Se protéger légalement et à moindre coût. Comment protéger ses systèmes d'information légalement et à moindre coût? Thierry RAMARD Président d AGERIS Group SAS Président du Clusir Est mardi 19 juin 2012
Mohamed Houcine Elhdhili & Khaled Sammoud. khaled.sammoud@gmail.com. Remarque: ce document doit être complété par les notes de cours
Cours Sécurité et cryptographie Mohamed Houcine Elhdhili & Khaled Sammoud Med_elhdhili@yahoo.eselhdhili@yahoo es khaled.sammoud@gmail.com Remarque: ce document doit être complété par les notes de cours
Introduction à l'iso 27001
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Introduction à l'iso 27001 Séminaire sur la Sécurité Informatique
Menaces informatiques et Pratiques de sécurité en France Édition 2014. Paris, 25 juin 2014
Menaces informatiques et Pratiques de sécurité en France Édition 2014 Paris, Enquête 2014 Les Hôpitaux publics de + de 200 lits Mme Hélène COURTECUISSE Astrid LANG Fondatrice Responsable Sécurité SI Patient
Les normes de sécurité informatique
Les normes de sécurité informatique BS 7799 / ISO 17799, ISO 27002, ISO 27001, BS 7799-2 Présenté par Dr. Ala Eddine Barouni Plan Sécurité des informations, normes BS 7799, ISO 17799, ISO 27001 Normes
Plan de Continuité d'activité Concepts et démarche pour passer du besoin à la mise en oeuvre du PCA
Qu est-ce que la Continuité d'activité? 1. Définition 11 2. Les objectifs et enjeux du PCA 12 2.1 Les objectifs 12 2.2 Les enjeux 13 3. Les contraintes et réglementations 14 3.1 Les contraintes légales
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Norme ISO 22301 Système de Management de la Continuité d'activité
Insécurité des environnements JAVA embarqués
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Insécurité des environnements JAVA embarqués Eurosec 2003 18 Mars
MV Consulting. ITIL & IS02700x. Club - 27001- Toulouse Sébastien Rabaud Michel Viala. Michel Viala
MV Consulting Michel Viala ITIL & IS02700x Club - 27001- Toulouse Sébastien Rabaud Michel Viala ITIL & ISO2700x : Présentation Intervenants Michel VIALA : Consultant ITIL confronté à la prise en compte
ANALYSE DE RISQUE AVEC LA MÉTHODE MEHARI Eric Papet e.papet@dev1-0.com Co-Fondateur SSII DEV1.0 Architecte Logiciel & Sécurité Lead Auditor ISO 27001
ANALYSE DE RISQUE AVEC LA MÉTHODE MEHARI Eric Papet e.papet@dev1-0.com Co-Fondateur SSII DEV1.0 Architecte Logiciel & Sécurité Lead Auditor ISO 27001 PLAN Introduction Générale Introduction MEHARI L'analyse
Utilisation de la méthode EBIOS :
Utilisation de la méthode EBIOS : de l organisation projet aux composants du SMSI (Système de Management de la Sécurité de l Information) Philippe TOURRON Direction Opérationnelle des Systèmes d'information/université
D une PSSI d unité de recherche à la PSSI d établissement. Sylvie Vottier, RMSI, Université de Bourgogne Alain TABARD, ICMUB UMR CNRS 6302
D une PSSI d unité de recherche à la PSSI d établissement Sylvie Vottier, RMSI, Université de Bourgogne Alain TABARD, ICMUB UMR CNRS 6302 SOMMAIRE 2 1. Eléments de contexte 2. Elaboration d une PSSI d
Sécurisation des données
Sécurisation des données 1 Sommaire Introduction Les données informatiques et ce qu il faut savoir. Comment faire? Les solutions. Démo Présentation de deux logiciels Conclusion Pour conclure ce qu il faut
La sécurité informatique
1 La sécurité informatique 2 Sécurité des systèmes d information Yves Denneulin (ISI) et Sébastien Viardot(SIF) Cadre du cours Informatique civile (avec différences si publiques) Technologies répandues
Qu est-ce qu un système d Information? 1
Qu est-ce qu un système d Information? 1 Une définition du système d information «Tout moyen dont le fonctionnement fait appel à l électricité et qui est destiné à élaborer, traiter, stocker, acheminer,
Sécurité des applications Retour d'expérience
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Netfocus Sécurité des applications Retour d'expérience Nicolas Collignon
CHARTE DE LA SÉCURITÉ DES SYSTÈMES D INFORMATION DE L INSA ROUEN
CHARTE DE LA SÉCURITÉ DES SYSTÈMES D INFORMATION DE L INSA ROUEN Diffusion Référence Accès non restreint Charte_SSI_INSAR.doc Version Propriétaire 1 Responsable Qualité Date Jean- Louis Billoët Directeur,
Retour d expérience sur l implémentation et la certification ISO27001 de «EPPM»
Retour d expérience sur l implémentation et la certification ISO27001 de «EPPM» -Imed Yazidi- LSTI certified ISO 27001 Lead Implementer 14/02/2013 ENGINEERING PROCUREMENT & PROJECT MANAGEMENT s.a Présentation
La désignation d'un CIL : un retour sur investissement
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet CLUSIF 14 octobre 2010 La désignation d'un CIL : un retour sur investissement
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet ISO 27001:2013
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet ISO 27001:2013 Comparatif avec la version 2005 Béatrice Joucreau Julien
Les nouveaux guides de la CNIL. Comment gérer des risques dont l impact ne porte pas sur l organisme
Les nouveaux guides de la CNIL Comment gérer des risques dont l impact ne porte pas sur l organisme Matthieu GRALL CLUSIF Colloque «conformité et analyse des risques» 13 décembre 2012 Service de l expertise
Montrer que la gestion des risques en sécurité de l information est liée au métier
Montrer que la gestion des risques en sécurité de l information est liée au métier Missions de l entreprise Risques métier Solutions pragmatiques et adaptées Savoir gérer la différence Adapter à la norme
Cours. Plan. Définitions. Objectifs. Chapitre 4: Analyse de risques. Définitions et objectifs. Méthodes d analyse de risques. Méthode du NIST 8000-30
Plan Définitions et objectifs Cours Sécurité et cryptographie Chapitre 4: Analyse de risques Méthodes d analyse de risques Méthode Méhari Méthode du NIST 8000-30 Méthode Conclusion Hdhili M.H Cours sécurité
Sécurité : les principaux risques et les moyens de protection associés
Sécurité : les principaux risques et les moyens de protection associés Les dangers sont très nombreux et divers. De plus, ils évoluent rapidement dans le temps. Néanmoins, les principaux risques pour les
Gestion des services Informatiques ITIL Version 3, Les fondamentaux Conception des Services
Gestion des services Informatiques ITIL Version 3, Les fondamentaux Conception des Services Jaafar DEHBI 2003 Acadys - all rights reserved Conception des services Buts et objectifs Concevoir les nouveaux
CONDITIONS PARTICULIERES COMPTE INDIVIDUEL DE MESSAGERIE COLLABORATIVE
CONDITIONS PARTICULIERES COMPTE INDIVIDUEL DE MESSAGERIE COLLABORATIVE Définitions : Dernière version en date du 21 Avril 2011 Activation du Service : L activation du Service intervient à compter de la
CHARTE D'UTILISATION DES TICE ET D'INTERNET AU COLLEGE ALAIN-FOURNIER
CHARTE D'UTILISATION DES TICE ET D'INTERNET AU COLLEGE ALAIN-FOURNIER Les moyens modernes de diffusion et de traitement de l informatique étant devenus des supports essentiels de la pédagogie moderne,
JEAN LARROUMETS Co-fondateur FIDENS Consultant en Sécurité des Systèmes d Information
JEAN LARROUMETS Co-fondateur FIDENS Consultant en Sécurité des Systèmes d Information Copyright Fidens 2013 - All rights reserved 04/04/13 1 2! Consultant sécurité des SI et Co-fondateur de Fidens Chef
Sauvegarde et Restauration
Sauvegarde et Restauration Club POM Saint-Quentin Hubert et Bruno Lundi 4 mai 2009 A quoi bon soulever des montagnes quand il est simple de passer par-dessus? Boris VIAN Pourquoi Sauvegarder? N attendez
La sécurité informatique en mode projet Organisez la sécurité du SI de votre entreprise
Qu est-ce qu un projet en sécurité informatique? 1. Introduction 13 2. Les différentes populations d'une Directiondes Systèmes d'information 14 3. Le chef de projet en sécurité informatique 16 4. La compétence
Référentiel de compétences en système d'information
ANTICIPER ET COMPRENDRE Référentiel de compétences en système d'information OCTOBRE 2013 Publication réalisée dans le cadre du programme national Hôpital numérique Métiers Management des soins Cadre responsable
3. Guide Technique Type de l «utilisateur»
3. Guide Technique Type de l «utilisateur» Sommaire 1. Préambule.......................... page 25 2. Champ d application................... page 25 3. Procédures de sécurité................. page 25 3.1
Politique de sécurité de l information. Adoptée par le Conseil d administration
Politique de sécurité de l information Adoptée par le Conseil d administration Le 10 novembre 2011 Table des matières PRÉAMBULE 1. GÉNÉRALITÉS... 3 2. RÔLES ET RESPONSABILITÉS... 4 3. DÉFINITIONS... 8
Charte du Bon usage de l'informatique et des réseaux informatiques au Lycée St Jacques de Compostelle
Charte du Bon usage de l'informatique et des réseaux informatiques au Lycée St Jacques de Compostelle I - But de la charte Le but de la présente charte est de définir les règles de bonne utilisation des
La sécurité - Pourquoi? Pourquoi la sécurité? (suite) Confiance Affaires. Pourquoi parler de sécurité? La sécurité informatique, une entrée en matière
Pourquoi parler de sécurité Si vous ne pouvez expliquer un concept à un enfant de six ans, c est que vous ne le comprenez pas complètement - Albert Einstein La sécurité - Pourquoi Pourquoi la sécurité
Principes de base et aspects techniques
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Normes ISO27001 / ISO27002 Principes de base et aspects techniques
Guide de connexion sur les bornes hot-post WIFI de la collectivité de Saint-Pierre
Guide de connexion sur les bornes hot-post WIFI de la collectivité de Saint-Pierre Afin de pouvoir avoir accès à l'ensemble des fonctionnalités des hot-spot WIFI de la Mairie de Saint-Pierre, nous vous
Gestion des incidents
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Gestion des incidents liés à la sécurité de l'information Conférence
Les risques HERVE SCHAUER HSC
HERVE SCHAUER HSC Les risques Les risques ne cessent d'augmenter: Informatisation systématique de l'ensemble de la société Ouverture des systèmes d'information sur Internet Démultiplication de ce qui est
Usages de l'iso 27001 dans les entreprises
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Usages de l'iso 27001 dans les entreprises Paris 15 février 2008 Hervé
Etude du cas ASSURAL. Mise en conformité du système d'information avec la norme ISO 17799
David BIGOT Julien VEHENT Etude du cas ASSURAL Mise en conformité du système d'information avec la norme ISO 17799 Master Management de la Sécurité des Systèmes Industriels et des Systèmes d'information
Continuité. Management de la. d activité. Assurer la pérennité de l, entreprise : planification, choix techniques et mise en œuvre 2 e édition
E M M A N U E L Préface de Dominique Guinet B E S L U A U Management de la Continuité d activité Assurer la pérennité de l, entreprise : planification, choix techniques et mise en œuvre 2 e édition Groupe
Contractualiser la sécurité du cloud computing
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Club EBIOS, 11 décembre 2012 Contractualiser la sécurité du cloud
Sécurité des ordinateurs portables
ISMS (Information Security Management System) Sécurité des ordinateurs portables 2009 Version control please always check if you re using the latest version Doc. Ref. : isms.025.laptop Release Status Date
GROUPE PIN. Réunion du 21 janvier 2010. Certification des systèmes d'archivage numérique. Jean-Louis Pascon Vice-Président de FEDISA
GROUPE PIN Réunion du 21 janvier 2010 Certification des systèmes d'archivage numérique Jean-Louis Pascon Vice-Président de FEDISA Les constats Des besoins en matière de validation de fonctionnement des
Annuaire : Active Directory
Annuaire : Active Directory Un annuaire est une structure hiérarchique qui stocke des informations sur les objets du réseau. Un service d'annuaire, tel qu'active Directory, fournit des méthodes de stockage
La cartographie des Risques. Méthodes de Gestion des Risques Cartographie et APR. Cartographie et APR. Michael BESSE - déc 2012 1.
Méthodes de Gestion des Risques Cartographie et APR Michael BESSE Responsable Gestion des Risques Mercredi 12 décembre 2012 Sommaire La cartographie des risques La méthode APR 2 La cartographie des Risques
Évaluation financière d'un incident de sécurité SRE et SMP, deux mesures possibles d'un même risque
Jeudi 15 octobre Évaluation financière d'un incident de sécurité SRE et SMP, deux mesures possibles d'un même risque Luc Vignancour Luc.vignancour@marsh.com 06 07 52 10 89 www.marsh.fr SMP & SRE Terminologie
La continuité des activités informatiques. Intégrer un PCA dans mon entreprise Prangins 17 Janvier 2008
La continuité des activités informatiques Intégrer un PCA dans mon entreprise Prangins 17 Janvier 2008 Pas de recette toute faite!!! Vérité n 1 : «il existe autant de PCA différents que de sociétés» Votre
La GED Fonction et processus
La GED Fonction et processus Le contexte Les objectifs Les conditions d'une réussite Les moyens et les fonctions : Structure de données, Coffre fort, Workflow Référencer, retrouver, approuver, distribuer
Titre de la présentation. Le management par le risque informatique. 24 mai 2011 Jean-Louis Bleicher
Titre de la présentation Le management par le risque informatique 24 mai 2011 Jean-Louis Bleicher Quelques données Le chiffre d affaires annuel de la cybercriminalité serait environ deux fois supérieur
Documentation. Espace Privé Conseils
CPGA Centre Phocéen de Gestion Agréé Association Régie par la loi du 1 er Juillet 1901 30 Rue Victor Leydet 13100 AIX EN PROVENCE Tél. 04 42 26 55 26 Fax 04 42 26 99 66 www.cpga-asso.com Agrément par décision
LA CONTINUITÉ DES AFFAIRES
FORMATION LA CONTINUITÉ DES AFFAIRES Patrick Boucher CISSP, CISA, CGEIT, ITIL et Auditeur ISO 27001 1 LE 5 MAI 2009 QUI SUIS-JE? Patrick Boucher : Analyste principal chez Gardien Virtuel depuis 2003. Expérience
CLUB EBIOS réunion du 17 Janvier 2008 ISO 27001. Par Mauro ISRAEL certifié Lead Auditor ISO27001 mise à jour janvier 2008
CLUB EBIOS réunion du 17 Janvier 2008 ISO 27001 Présentation & Caractéristiques Par Mauro ISRAEL certifié Lead Auditor ISO27001 mise à jour janvier 2008 1 ISO 27001 en 6 questions D où vient la norme ISO
N oubliez pas de sauvegarder après avoir intégré ce fichier dans votre espace extranet!
FORMULAIRE PDF REMPLISSABLE POUR REPONSE PEDAGOGIQUE AAP 2014 DU Page 1 sur 14 Avant toute chose, rappelez ici : 1 - Le titre principal (anciennement titre long) de votre projet [90 caractères] Formation
La gestion des flux d information : EDI
La gestion des flux d information : EDI Introduction EDI (définition, composants, types et domaines d application) Les enjeux de l EDI La mise en œuvre de l EDI Conclusion Introduction Tâches Création
B2i. LE B2i Brevet Informatique et Internet. Niveau : tous. 1 S'approprier un environnement informatique de travail. b2ico1.odt.
1 S'approprier un environnement informatique de travail 1.1) Je sais m'identifier sur un réseau ou un site et mettre fin à cette identification. 1.2) Je sais accéder aux logiciels et aux documents disponibles
Entreprises de télécommunication
Entreprises de Les s sont au cœur de la stratégie de développement commercial et de productivité interne d une entreprise. Sans, impossible se faire connaitre, de vendre, de travailler Soumis à une pression
La réponse des DSI et RSSI
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Aristote La réponse des DSI et RSSI à la sécurité distribuée Raphaël
Solution de sauvegarde externalisée
Solution de sauvegarde externalisée POURQUOI BACK NET «Le choix d une stratégie de sauvegarde performante présente pour les entreprises d aujourd hui, un véritable enjeu en termes de viabilité.» Elle doit
SÉCURITÉ, COLLECTIVITÉS LOCALES ET ETABLISSEMENTS PUBLICS
SÉCURITÉ, COLLECTIVITÉS LOCALES ET ETABLISSEMENTS PUBLICS 04 / 06 / 2015 V1.0 www.advens.fr Document confidentiel Advens 2015 Conclusion: Yes we can! Des nombreux risques peuvent impacter la sécurité de
Créer un tableau de bord SSI
Session n 16 Créer un tableau de bord SSI en 4 fois sans frais Eric LARCHER Banque Fédérale des Banques Populaires http://www.internet-securise.com Patrick CHAMBET Bouygues Telecom http://www.chambet.com
En informatique et en particulier en génie logiciel, la qualité logicielle est une appréciation globale d'un logiciel, basée sur de nombreux
Introduction En informatique et en particulier en génie logiciel, la qualité logicielle est une appréciation globale d'un logiciel, basée sur de nombreux indicateurs 1. La complétude des fonctionnalités,
Fonctionnalités d un logiciel de GMAO
I.1. Introduction : Le caractère stratégique de la panne, préoccupe de plus en plus les responsables de la production ayant à faire face aux équipements complexes qui ne cessent de prendre de l ampleur
CertiAWARE. «La Sensibilisation autrement!»
CertiAWARE «La Sensibilisation autrement!» 1 CertiAWARE «La Sensibilisation autrement!» Une campagne annuelle type? TEMPS FORT FORMATION SUR SITE FORMATIONS EN LIGNE 2 TEMPS FORT CRÉATION D UN TEMPS FORT
PSSI, SMSI : de la théorie au terrain. Journées Informatique IN2P3/IRFU, Le Grau du Roi, Octobre 2014, BARBET JM Subatech
PSSI, SMSI : de la théorie au terrain 1/23 Plan Introduction : nécessité de la SSI Problématiques en SSI Cadre légal, réglementaire, normes Pilotage de la SSI : de la théorie au terrain Expérience SSI
ISO 17799 la norme de la sécurité de l'information
ISO 17799 la norme de la sécurité de l'information Maury Infosec Conseils en sécurité de l'information La sécurité de l information L information constitue le capital intellectuel de chaque organisation.
PROPOSER UNE SOLUTION OPEN SOURCE AU GOUVERNEMENT DU QUEBEC
PROPOSER UNE SOLUTION OPEN SOURCE AU GOUVERNEMENT DU QUEBEC PLAN DE MATCH LE WEB A QUÉBEC 23 au 25 février 2011 - Version 1.0 Mario Lapointe ing. MBA CISA CGEIT mario.lapointe@metastrategie.com Au programme
Introduction à ISO 22301
Introduction à ISO 22301 Présenté par : Denis Goulet Le 3 octobre 2013 1 Introduction à ISO 22301 ORDRE DU JOUR Section 1 Cadre normatif et réglementaire Section 2 Système de Management de la Continuité
Agrément des Hébergeurs de données de Santé Exemple d Audit de conformité Sécurité et Technique «ASIP Santé»
Agrément des Hébergeurs de données de Santé Exemple d Audit de conformité Sécurité et Technique «ASIP Santé» Sommaire 1 Glossaire et abréviations... 3 1.1 Glossaire... 3 1.2 Abréviations... 3 2 Liminaire...
Sécurité du cloud computing
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet ADIJ 20 janvier 2011 Sécurité du cloud computing Frédéric Connes Frédéric
CHARTE INFORMATIQUE Annexée au règlement intérieur
CHARTE INFORMATIQUE Annexée au règlement intérieur Préambule L informatique doit respecter l identité humaine, les droits de l homme, la vie privée et les libertés. Cette charte définit les conditions
PROJET TRIBOX-2012-A
PROJET TRIBOX-2012-A Auteur : MORELLE Romain Fixation des coûts de l'offre Trixbox Membres du projet: GUITTON Jordan MORELLE Romain SECK Mbaye Gueye Responsable de la formation: MOTAMED Cina Client: DUSSART
Service de Banque à Distance- Mascareignes Direct. Conditions générales. Banque des Mascareignes
Service de Banque à Distance- Mascareignes Direct Conditions générales Banque des Mascareignes 1.1 Objet Les dispositions suivantes ont pour objet de définir les Conditions Générales d accès et d utilisation
Administrateur Mai 2010 01
Charte Informatique Date de Date de Version Public Cible Publication Révision Administrateur Mai 2010 01 Portée La présente charte s applique à tout utilisateur du système informatique de l entreprise,
Conditions d utilisation du site fim@ktabati d Algérie Télécom
Conditions d utilisation du site fim@ktabati d Algérie Télécom Les conditions générales d utilisation de la bibliothèque numérique en ligne fim@ktabati d Algérie Télécom (désigné ci-après le «site») détaillées
Conditions générales d utilisation
Conditions générales d utilisation 1 - Objet de l Emploi Store Idées Pôle emploi met à disposition des internautes une plateforme de services web dénommée «Emploi Store Idées» (ci-après désignée «la plateforme»)
N oubliez pas de sauvegarder après avoir intégré ce fichier dans votre espace extranet!
FORMULAIRE PDF REMPLISSABLE POUR REPONSE PEDAGOGIQUE AAP 2014 DU Page 1 sur 14 Avant toute chose, rappelez ici : 1 - Le titre principal (anciennement titre long) de votre projet [90 caractères] Utilisation
Internet en Toute Sécurité. E-mail : contact@agile-informatique.com
Internet en Toute Sécurité E-mail : contact@agile-informatique.com Autor: 22/09/2015 Création Site Internet Sauvegarde de donnée Installation informatique Dépannage Téléphonie Formation 2 INTRODUCTION
Conditions générales d affaires (CGA) Portail clients SanitasNet
Conditions générales d affaires (CGA) Portail clients SanitasNet 1 Table des matières Contenu 1. Préambule 3 2. Autorisation d accès 3 3. Accès technique à SanitasNet et identification 3 4. Coûts 4 5.
CORRIGE ENTREPRISE BERNON
CORRIGE ENTREPRISE BERNON BARÈME DOSSIER 1 (20 points) 1 ère Partie (10 points) 2 ème Partie (10 points) DOSSIER 2 PARTIE (20 points) 1 ère Partie (8 points) 2 ème Partie (12 points) 1.1 4 1.2 3 1.3 1
Témoignage sur la sécurité dans la zone OI
Témoignage sur la sécurité dans la zone OI Xavier Debayle, Consultant Sécurité ( CISSP & ISO27001 Lead Implementor ) 23 et 24 Octobre 2013 Constats sur la Sécurité La Sécurité des Systèmes d Information
AdBackup Laptop. Solution de sauvegarde pour flotte nomade. Société Oodrive www.adbackup-corporatesolutions.com
AdBackup Laptop Solution de sauvegarde pour flotte nomade Société Oodrive www.adbackup-corporatesolutions.com Sommaire Présentation d Oodrive...3 Carte d identité...3 Références clients...3 Les enjeux...4
Windows 8 : une petite révolution? 9. Démarrer Windows 8 10. Ouvrir ou activer une nouvelle session 13. Utiliser les fonctionnalités tactiles 14
Généralités Windows 8 : une petite révolution? 9 Démarrer Windows 8 10 Ouvrir ou activer une nouvelle session 13 Utiliser les fonctionnalités tactiles 14 Utiliser l interface Windows 8 sur un écran tactile
Guide de démarrage rapide
Guide de démarrage rapide 1. À propos de ce guide Ce guide vous aide à installer et à commencer à utiliser BitDefender Security for Mail Servers. Pour des instructions détaillées, veuillez vous référer