HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet

Transcription

1 HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 989 Spécialisé sur Unix, Windows, TCP/IP et Internet Normes en Sécurité Focus sur ISO00 OzSSI sud-est Lyon, 9 septembre 0 Hervé Schauer Herve.Schauer@hsc.fr

2 Sommaire Normes ISO Gestion des identités et vie privée Techniques de sécurité Normes de la série ISO 000 : Système de Management de la Sécurité de l'information & Mesures de Sécurité Continuité d'activité Méthode de gestion des risques ISO00 / 80 Copyright Hervé Schauer Consultants Reproduction Interdite

3 Normes ISO ISO : Agence des nations-unies Organisation internationale de normalisation International Organisation for Standardization pays représentés par leur agence de normalisation En France : AFNOR Normalisation JTC : informatique Cas particulier : comité joint entre l'iso et l'iec JTC/SC : sécurité En France : AFNOR CN Plus de 00 normes en cours de validité TC : sécurité sociétale / 80 Copyright Hervé Schauer Consultants Reproduction Interdite

4 Normes ISO Norme = consensus entre les acteurs De la société en général Du marché Des pays Norme = processus d'élaboration formel et rigoureux Commentaires traités et justifiés Autres organismes de normalisation HL IEEE UIT/ITU / 80 Copyright Hervé Schauer Consultants Reproduction Interdite

5 Normes ISO JTC/SC groupes de travail (Working Groups) Evaluation onon WG Evaluation de la sécurité WG Mesures de sécurité / Services de sécurité Lignes directrices Techniques WG Cryptographie / mécanismes de sécurité Produits / 80 WG Système de Management de la Sécurité de l'information (SMSI) Systèmes WG Gestion d'identités / Vie privée / Biométrie Processus Environnement Copyright Hervé Schauer Consultants Reproduction Interdite

6 Gestion d'identités et vie privée JTC/SC/WG Gestion d'identités et technologies relatives à la vie privée Protection des données personelles Biométrie et identification biométrique Soumis à des prérogatives nationales Convergence et consensus difficiles Parfois sensible / 80 Copyright Hervé Schauer Consultants Reproduction Interdite

7 Gestion d'identités et vie privée JTC/SC/WG Vie privée Experts de la CNIL participent et contribuent ISO/IEC 900 «Information technology Security techniques A privacy framework» Norme fondatrice ISO/IEC 90 «Information technology Security techniques A privacy reference architecture» / 80 Copyright Hervé Schauer Consultants Reproduction Interdite

8 Gestion d'identités et vie privée JTC/SC/WG Gestion d'identités ISO/IEC 9 «Information technology Security techniques Entity Authentication Assurance, texte commun au projet ITU-T X.eaa» ISO/IEC 0 «Information technology Security techniques A framework for identity management» ISO/IEC 9 «Information technology Security techniques A framework for Access Management» ISO/IEC 99 «Information technology Security techniques Requirements on relatively anonymous unlinkable authentication» ISO/IEC 990 «Information technology Security techniques Privacy capability assessment framework» 8 / 80 Copyright Hervé Schauer Consultants Reproduction Interdite

9 Gestion d'identités et vie privée JTC/SC/WG Biométrie ISO/IEC 99 «Information technology Security techniques Biometric template protection» Remplace la norme ISO ISOIEC «Technologies de l'information Techniques de sécurité Contexte d'authentification biométrique» 9 / 80 Copyright Hervé Schauer Consultants Reproduction Interdite

10 Techniques de sécurité JTC/SC/WG Cryptographie et mécanismes de sécurité Besoins Terminologie Interopérabilité Algotithmes 0 / 80 Copyright Hervé Schauer Consultants Reproduction Interdite

11 Techniques de sécurité JTC/SC/WG Beaucoup de normes Chiffrement Symétrique, assymétrique A flot, par bloc Signature numérique Authentification Fonction de hachage Non-répudiation Gestion de clés Horodatage Génération de nombres aléatoires / 80 Copyright Hervé Schauer Consultants Reproduction Interdite

12 Evaluation de la sécurité JTC/SC/WG Critères d'évaluation de la sécurité («Critères Communs») ISO/IEC 08-:009 : «Technologies de l'information Techniques de sécurité Critères d'évaluation pour la sécurité des Technologies de l'information Partie : Introduction et modèle général» Norme fondatrice Définition des termes spécifiques utilisés dans la série ISO 08 Vocabulaire non-conforme à ISO 000 Organisation générale des normes de la série ISO 08 Fonctionnalités ayant pour objectif de fournir un langage structuré pour exprimer ce que doit faire un produit de sécurité Exigences relatives à la documentation associée au produit évalué / 80 Copyright Hervé Schauer Consultants Reproduction Interdite

13 Evaluation de la sécurité JTC/SC/WG Critères d'évaluation de la sécurité («Critères Communs») ISO/IEC 08 En cours révision : contributions bienvenues Autres normes Méthodologies d'évaluation Exigences pour les modules cryptographiques Assurance de la sécurité Profils de protection Modèle de maturité Projet de norme ISO/IEC 9 : Divulgation des vulnérabilités / 80 Copyright Hervé Schauer Consultants Reproduction Interdite

14 HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 989 Spécialisé sur Unix, Windows, TCP/IP et Internet Normes ISO000 SC WG & WG Hervé Schauer

15 Sommaire Panorama des normes ISO 000 Normes de mesures de sécurité Normes sectorielles Normes utiles à la mise en œuvre du SMSI Normes utiles à l'intégration du SMSI Normes en sécurité réseau / 80 Copyright Hervé Schauer Consultants Reproduction Interdite

16 Panorama des normes ISO 00 Exigences usage obligatoire dans la certification ISO 00 SMSI ISO 00 Certification de SMSI ISO 000 Guides usage facultatif Vocabulaire ISO 008 Audit des mesures ISO 00 ISO 00 Audit de SMSI Mesures de sécurité 00 ISO 00 Implémentation / ISO 00 Indicateurs SMSI ISO 00 Gestion de risque Copyright Hervé Schauer Consultants Reproduction Interdite

17 Panorama des normes ISO 00 ISO 000 : Principes et vocabulaire Disponible gratuitement ISO 00 : Exigences d'un SMSI Norme permettant la certification En cours de révision à l'iso depuis 008 ISO 00 : Code de bonnes pratiques pour un SMSI Originellement appelée ISO 99 Liste des principales mesures de sécurité issues de l'expérience de la communauté En cours de révision à l'iso depuis 008 / 80 Copyright Hervé Schauer Consultants Reproduction Interdite

18 Panorama des normes ISO 00 ISO 00 : Guide d'implémentation d'un SMSI Adapté à un organisme qui ne dispose encore d'aucune mise en place de SSI Peu utile à un organisme ayant déjà une mise en oeuvre de mesures de sécurité ISO 00 : Mesurage du Management de la Sécurité de l'information Measurement mesurage Terme exact Security control mesure de sécurité donc pour évite les confusions Guide de mise en place du mesurage du SMSI Instancie le PDCA Inclus des exemples d'indicateurs 8 / 80 Copyright Hervé Schauer Consultants Reproduction Interdite

19 Panorama des normes ISO 00 ISO 00 : Gestion des risques en Sécurité de l'informations Précise et explicite le contenu de l'iso 00 Appréciation du risque Analyse de risque Evaluation du risque Traitement du risque Synthèse des normes et méthodologies existantes 9 / 80 Copyright Hervé Schauer Consultants Reproduction Interdite

20 Panorama des normes ISO 00 ISO 00 : Exigences pour l'accréditation des organismes de certification des SMSI Remplace la norme EA /0 S'appuie sur la norme ISO 0 : exigences pour l'accréditation des organismes de certification de systèmes de management en général Apporte des précisions pour les audits de certification ISO 00 Classement des mesures de sécurité : organisationelles / techniques Vérifications à faire ou pas pour les mesures de sécurité techniques 0 / 80 Copyright Hervé Schauer Consultants Reproduction Interdite

21 Panorama des normes ISO 00 ISO 00:0 : Guide d'audit de SMSI Etait à l'origine dans l'iso 00, séparé pour ne pas être obligatoire Application de l'iso 90:0 aux audits de SMSI En cohérence avec ISO 0-:009 Projet de norme ISO008 : Guide d'audit des mesures de sécurité / 80 Copyright Hervé Schauer Consultants Reproduction Interdite

22 Normes de mesures de sécurité Normes qui précisent ou détaillent des mesures de sécurité de l'iso 00 Série des normes ISO 0 : sécurité des réseaux Intègre notamment l'aspect gestion des risques Série des normes ISO 0 : intégration de la sécurité dans le cycle de vie du logiciel Projet de série de normes ISO 0 : sécurité dans l'infogérance Projet de norme ISO 0 : Guidelines for the identification, collection and/or acquisition, and preservation of digital evidence Projet de norme ISO 08 : Specification for digital redaction Projet de norme ISO 00 : Sécurité du stockage / 80 Copyright Hervé Schauer Consultants Reproduction Interdite

23 Normes de mesures de sécurité Normes qui précisent des mesures de sécurité ISO 00 ISO0:0 : Incident Security Management / Gestion des incidents de sécurité (ISO 00.,. & ISO 00..) Remplacement de l'iso80 Application de l'iso00 (...h,...a. &..) et l'iso00 () Définition complète et pratique du processus de gestion des incidents de sécurité Politique de gestion des incidents de sécurité de l'information Équipe de réponse aux incidents de sécurité de l'information ISIRT : Information Security Incident Response Team Détection et collecte des incidents Appréciation des incidents Réponse aux incidents Retour d'expérience suite aux incidents passés / 80 Copyright Hervé Schauer Consultants Reproduction Interdite

24 Normes sectorielles ISO 0:008 / recommandation ITU X.0 Opérateurs de télécommunications A été fait à l'uit, a été repris par l'iso tel quel Guide d'application des mesures de sécurité de l'iso 00 dans le cadre d'un opérateur de télécommunication Ajout de mesures de sécurité spécifiques pour les télécommunications Projet ISO 00 : communications inter-secteurs Projet ISO 0 : Organizational economics Projet ISO 0 : secteur finance & assurance / 80 Copyright Hervé Schauer Consultants Reproduction Interdite

25 Normes sectorielles ISO 99:00 : santé Fait dans la normalisation de la santé Adaptation de l'iso00 et ISO00 en un seul document pour le secteur de la santé Cherche à remplacer ISO 00 et créé une certification ISO 99 Caractère d'application des mesures de sécurité obligatoires dans certains cas Pas d'appréciation des risques obligatoire Chapitre donne l'application des mesures de sécurité dans le cas particulier de la santé Norme homologuée depuis le septembre 008 Sera sans doute renuméroté en ISO 0X dans une prochaine version En espérant que cela se repose sur l'iso 00 au lieu de réinventer la roue Ne fait pas l'unanimité, au contraire / 80 Copyright Hervé Schauer Consultants Reproduction Interdite

26 Autres normes Norme utile à la mise en œuvre de l'iso 00 ISO 89 : Gestion des enregistrements (ISO 00..) Norme générale, pas spécifique à la SSI Traite notamment de : Ce qui doit être enregistré, sous quelle forme Evaluation des risques Exigences légales et normes applicables Conditions et durée de conservation et gestion de la pérennité Gestion de l'intégrité, de la qualité et de l'efficacité Utilité pour la SSI Preuves et mise en œuvre des mesures de sécurité pour l'iso 00, SOX, etc Journaux système, réseaux, applicatifs Enregistrements financiers Archivages légaux / 80 Copyright Hervé Schauer Consultants Reproduction Interdite

27 Intégration du SMSI Normes utiles à l'intégration du SMSI dans l'organisme Projet de norme ISO 0 : Implémentation intégrée d'iso 00 et ISO0000- (ITIL) Projet de norme ISO 0 : Information Security Governance Cohérence avec ISO 800 / 80 Copyright Hervé Schauer Consultants Reproduction Interdite

28 Autres normes Normes en sécurité réseau Parfois obsolètes, souvent inutilisées Série de normes ISO 808 : Sécurité des réseaux ISO9 : IT intrusion detection framework Projets de normes ISO0- à : cybersecurity ISO80 : Selection, deployement and operations of intrusion detection systems (IDS) RFC de l'ietf plus accessibles et plus utilisés dans ces domaines 8 / 80 Copyright Hervé Schauer Consultants Reproduction Interdite

29 HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 989 Spécialisé sur Unix, Windows, TCP/IP et Internet Continuité d'activité TC & JTC/SC Hervé Schauer

30 Continuité d'activité ISO 0:0 : Preparedness and Continuity Management Systems - Requirements Business Continuity Management System, BCMS Système de Management de la Continuité d'activité, SMCA Exigences pour des systèmes de management de la continuité d'activité et du maintien en condition opérationnelle Projet de norme ISO : Guideline for incident preparedness and operational continuity management Réintègre la norme britannique BS99- Guide de mise en œuvre de l'iso 0 0 / 80 Copyright Hervé Schauer Consultants Reproduction Interdite

31 Continuité d'activité ISO 0:0 : Guidelines for ICT (Information and Communications Technologies) Readiness for Business Continuity (IRBC) Partie système d'information d'un SMCA (ISO 0) en utilisation conjointe avec un SMSI (ISO 00) ISO :008 : Guidelines for information and communications technology disaster recovery services Plan de recouvrement informatique Réintègre la norme singapourienne SS0 Environnement, gestion des actifs, confidentialité, conditions d'activation, contrat, environnement partagé Service d'infrastructure liés au recouvrement de sinistre Capacité de reprise de service : niveau de service, bascule opérationnelle, accès, tests, plan de réponse d'urgence, formation,... Guide de sélection des sites de recouvrement / 80 Copyright Hervé Schauer Consultants Reproduction Interdite

32 HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 989 Spécialisé sur Unix, Windows, TCP/IP et Internet Méthode de management des risques ISO 00 OzSSI Sud-Est Lyon, 9 septembre 0 Hervé Schauer <Herve.Schauer@hsc.fr>

33 Sommaire Introduction Schéma de modélisation Exemple Etablissement du contexte : critères et échelles Cartographie des actifs Menaces, vulnérabilités, conséquences et impacts sur les actifs Scénarios d'incident Plan de traitement des risques Défauts à atouts de l'iso 00 Conclusion / 80 Copyright Hervé Schauer Consultants Reproduction Interdite

34 Introduction Objectif : présenter la méthode ISO 00 Schéma modélisant chaque activité et sous-activité de la méthode proposée par la norme ISO 00 Voir schéma disponible sur en format PDF vectoriel Exemple simple qui déroule la méthode N sur le schéma correspondant aux n des tableaux Exemples de tableaux A titre illustratif! / 80 Copyright Hervé Schauer Consultants Reproduction Interdite

35 Schéma de modélisation / 80 Copyright Hervé Schauer Consultants Reproduction Interdite

36 Exemple Un journaliste utilise un ordinateur portable pour rédiger ses articles. Il est employé par le magazine SSID (Sécurité des Systèmes d'information de Demain) mais il lui arrive de vendre ses articles à d'autres journaux. Sur son ordinateur, sont stockés son courrier électronique, ses contacts et tous ses articles publiés, non encore parus et en cours de rédaction. Pour rédiger des articles pertinents, ce journaliste se doit être un véritable globe trotter. Dans l'urgence, il est amené à rédiger ses articles dans les salles d'attente, voire de les envoyer en utilisant les hotspots disponibles. A l'heure actuelle, la seule protection utilisée est un simple couple identifiant / mot de passe à l'allumage de l'ordinateur / 80 Copyright Hervé Schauer Consultants Reproduction Interdite

37 Établissement des critères / 80 Copyright Hervé Schauer Consultants Reproduction Interdite

38 Établissement des critères Définir les critères de base (.) Critères d'impact Bas-niveau : vis-à-vis de l'actif Impact de la perte ou de l'atteinte d'un critère de sécurité Disponibilité, intégrité, confidentialité (.) Haut-niveau : vis-à-vis de l'organisme, du processus métier, du projet Echelle de mesure, ou critère d'estimation, des conséquences (financières, délais, image) (.)(8)(B.) Critères évaluation des risques Critères d'acceptation des risques 8 / 80 Copyright Hervé Schauer Consultants Reproduction Interdite

39 Établissement des critères Critères d'impact Impact assez important pour que le risque doive être pris en compte? Dans l'analyse du risque Critères d'évaluation des risques Niveau de risque assez élevé pour le risque soit traité? Critères d'acceptation des risques Niveau le risque résiduel acceptable par la direction? 9 / 80 Copyright Hervé Schauer Consultants Reproduction Interdite

40 Établissement des critères Autres échelles utiles lors de l'analyse de risque Pas explicitement imposées lors de l'établissement du contexte Echelle ou critères de valorisation des actifs (8...)(B.)(8...)(8...) Echelles d'estimation Echelle d'estimation des menaces (vraisemblance) (8...)(C)(8...) Echelle d'estimation des vulnérabilités (difficulté d'exploitation) (8...)(D) (8...) Echelle d'appréciation de la vraisemblance des scénarios d'incidents (8...)(B.) 0 / 80 Copyright Hervé Schauer Consultants Reproduction Interdite

41 Critères d'impact Critères d'impact CID Exemple : Critères d'impact Qualification du besoin en Confidentialité Intégrité Informations pouvant être Pas de validation nécessaire publiques Peut ne pas être intègre Accès autorisé à l'ensemble Simple validation possible du journal SSID Peut être partiellement intègre Accès autorisé à l'ensemble Validation croisée de l'équipe Doit être intègre Accès autorisé à un membre Triple validation unique de l'équipe Doit être parfaitement intègre Disponibilité Niveau du besoin Arrêt supérieur Faible ou à jours inexistant Arrêt entre jour et jours Significatif Arrêt inférieur à Fort jours Aucun arrêt tolérable Majeur Impact sur un actif ou besoin sur cet actif / 80 Copyright Hervé Schauer Consultants Reproduction Interdite

42 Critères d'impact Critères d'impact «business» ou conséquences Exemple : Echelle de mesure des conséquences Financier Perte financière faible ou nulle Juridique Commercial Perte juridique faible ou null Détérioration de la relation client Perte financière Perte de Amende jugée modérée contrat,d'opé ration ou de (0% du CA < X < transaction, 0% du CA) Retrait temporaire de carte de perte Perte de de Perte financière client jugée significative presse, interdiction temporaire d'exercer l'activité (>0% du CA) Perte financière Procès diffamation, atteinte à Perte d'un jugée inacceptable la vie prive, plagia groupe de clients ou (> 0% du CA) d'un grand Activité Perte de productivi té Arrêt de travail court Arrêt de travail long Reprise du travail impossibl e Image Perte image faible ou null Mention négative ponctuelle dans un média Mention Niveau d'impact Faible ou inexistant Significatif Fort dans les supports de presse Mentionà Majeur dans la presse spécialisée Conséquence de l'occurence d'un scénario d'incident sur l'organisme, le métier, le projet / 80 Copyright Hervé Schauer Consultants Reproduction Interdite

43 Critères d'évaluation des risques Utilisés par le RSSI ou le gestionnaire de risques SI Exprimés en français Seuil Critères d'évaluation des risques Vraisemblance Faible Moyenne Elevée Très élevée d'un scénario (Peu d'incident probable) (Possible) (Probable) (Fréquente) Exemple : Impact MAX (SOM(CID)) / Copyright Hervé Schauer Consultants Reproduction Interdite

44 Critères d'acceptation des risques Validés par la direction et utilisés par la direction Exprimés en français Seuil Exemple : / 80 Copyright Hervé Schauer Consultants Reproduction Interdite

45 Établissement du contexte / 80 Copyright Hervé Schauer Consultants Reproduction Interdite

46 Établissement du contexte / 80 Copyright Hervé Schauer Consultants Reproduction Interdite

47 Appréciation du risque / 80 Copyright Hervé Schauer Consultants Reproduction Interdite

48 Identification des actifs 8 / 80 Copyright Hervé Schauer Consultants Reproduction Interdite

49 Cartographie des actifs Actifs primordiaux (B.) : Processus et activités métier Information Actifs en support : Cadre organisationnel, site, personnel, réseau, logiciel, matériel, etc Exemple : 9 / 80 0.Liste des actifs primordiaux Actifs Primordiaux Processus de rédaction Processus de vente Articles en cours de rédaction Articles non publiés et non vendus Articles publiés Contacts Copyright Hervé Schauer Consultants Reproduction Interdite

50 Cartographie des actifs.liste des processus métiers reliés aux actifs Actif Processus de rédaction Ordinateur Logiciel de traitement de texte Articles en cours de rédaction Propriétaire Processus de vente Ordinateur Connexion internet Logiciel de messagerie Mails Articles non publiés et non vendus Contacts 0 / 80 Copyright Hervé Schauer Consultants Reproduction Interdite

51 Cartographie des actifs.liste des actifs Actifs Primordiaux Actifs en support / 80 Actif Processus de rédaction Processus de vente Articles en cours de rédaction Articles non publiés et non vendus Articles publiés Contacts Ordinateur 8 logiciel de traitement de texte 9 logiciel de messagerie 0 connexion internet mails Fichier d'article journaliste Propriétaire Acheteur Copyright Hervé Schauer Consultants Reproduction Interdite

52 Valorisation des actifs Exemple Echelle de valorisation des actifs Valeur / 80 Faible Moyen Élevé Très élevé Signification Actif facilement remplaçable Coût d'achat faible Coût de maintenance faible Ne nécessite pas de compétences particulières Actif remplaçable dans la journée Coût d'achat moyen Coût de maintenance moyen Nécessite des connaissances de base Actif remplaçable dans la semaine Coût d'achat élevé Coût de maintenance élevé Nécessite des connaissances techniques particulières Actif remplaçable dans le mois Coût d'achat très élevé Coût de maintenance très élevé Nécessite des connaissances spécifiques. Copyright Hervé Schauer Consultants Reproduction Interdite

53 Actifs valorises.liste des actifs valorisés Actifs Primordiaux Actifs en support / 80 Actif Processus de rédaction Processus de vente Articles en cours de rédaction Articles non publiés et non vendus Articles publiés Contacts Ordinateur 8 logiciel de traitement de texte 9 logiciel de messagerie 0 connexion internet mails Fichier d'article journaliste Propriétaire Acheteur Copyright Hervé Schauer Consultants Reproduction Interdite Valeur

54 Actifs sélectionnés.liste des actifs sélectionnés Actif Actifs Primordiaux Processus de rédaction Processus de vente Articles en cours de rédaction Articles non publiés et non vendus Articles publiés Contacts Actifs en support Ordinateur 8 logiciel de traitement de texte 9 logiciel de messagerie 0 connexion internet mails Fichier d'article journaliste / 80 Propriétaire Acheteur Valeur Copyright Hervé Schauer Consultants Reproduction Interdite Sélectionné oui oui oui oui non non oui non non non non oui oui

55 Identification des menaces / 80 Copyright Hervé Schauer Consultants Reproduction Interdite

56 Menaces sur les actifs.liste de menaces Actifs Primordiaux Actifs en support / 80 Actif Processus de rédaction Processus de vente Articles en cours de rédaction Articles non publiés et non vendus Articles publiés Contacts Ordinateur Valeur Sélectionné oui oui oui oui non non oui 8 logiciel de traitement de texte 9 logiciel de messagerie 0 connexion internet mails Fichier d'article non non non non oui journaliste oui Menaces Identification de menaces ne effectuée pas sur les actifs primordiaux. Vol Destruction Panne électrique Fraude Destruction Copie Enlèvement Maladie Copyright Hervé Schauer Consultants Reproduction Interdite

57 Identification des vulnérabilités / 80 Copyright Hervé Schauer Consultants Reproduction Interdite

58 Vulnérabilités des actifs. Liste de vulnérabilités Actif Actifs Primordiaux Actifs en support 8 / 80 Valeur Sélectionné Menaces Processus de rédaction Processus de vente Articles en cours de rédaction Articles non publiés et non vendus Articles publiés Contacts oui oui oui oui non non Ordinateur oui 8 logiciel de traitement de texte 9 logiciel de messagerie 0 connexion internet mails Fichier d'article non non non non oui journaliste oui Vulnérabilité Identification de menaces ne effectuée pas sur les actifs primordiaux. Vol portabilité Destruction fragilité Panne électrique dépend de l'électricité Fraude Destruction Copie Accès libre manque de sensibilisation Accès libre Fichier en clair Enlèvement Maladie non préparation manque de sensibilisation Copyright Hervé Schauer Consultants Reproduction Interdite

59 Identification des conséquences Reformuler sous forme de scénario d'incident Occurrence du scénario d'incident = incident de sécurité 9 / 80 Copyright Hervé Schauer Consultants Reproduction Interdite

60 Conséquences et impacts sur les actifs.liste de conséquences relatives aux actifs affectés et aux processus métiers affectés et impact vis-à-vis des critères CID Scénario d'incident Les actifs impactés Processus de rédaction Articles en cours de rédaction.vol de l'ordinateur du fait de sa portabilité. Max C I D SOM(C,I,D) (SOM(CID)) 8 Articles non publiés et non vendus Ordinateur Fichier d'article.destruction de l'ordinateur du fait de sa fragilité. Processus de rédaction Articles en cours de rédaction Articles non publiés et non vendus Ordinateur Fichier d'article.suite à une panne électrique l'ordinateur ne s'allume plus. Processus de rédaction Articles en cours de rédaction Articles non publiés et non vendus Ordinateur Fichier d'article Processus de rédaction Processus de vente Articles en cours de rédaction 0 Fichier d'article 0 Processus de rédaction Articles en cours de rédaction Fichier d'article 9 9 Processus de rédaction Processus de vente Articles en cours de rédaction Fichier d'article Processus de vente Fichier d'article.après une connexion frauduleuse, le fichier d'article en cours de rédaction est modifié avec des informations fausses et publiés sans contrôle..le manque de formation de l'utilisateur à l'utilisation du système d'exploitation entraîne une mauvaise manipulation causant la perte de l'article..après une connexion frauduleuse, le fichier d'article en cours de rédaction est copié et publié par un autre journal.lors d'une connexion dans un aéroport, le fichier d'article en cours de transfert est écoutée et retransmis sur un site gratuit avant sa publication officielle 8.Dans une zone à risque, le journaliste est pris en otage par des révolutionnaires. 9.Dans une gare, le journaliste mange des moules pas fraiches, il attrape une intoxication alimentaire et il va à l'hôpital. 0 / 80 Processus de rédaction Processus de vente journaliste Processus de rédaction journaliste Conséquences Perte financière jugée modérée Perte juridique faible ou nulle Perte de contrat, d'opération ou de transaction, perte de client mineur Perte de productivité Perte image faible ou nulle Perte financière faible ou nulle Perte juridique faible ou nulle Détérioration de la relation client Perte de productivité Perte image faible ou nulle Perte financière faible ou nulle Perte juridique faible ou nulle Détérioration de la relation client Perte de productivité Perte image faible ou nulle 0 Perte financière jugée inacceptable Retrait temporaire de carte de presse, interdiction temporaire d'exercer l'activité Perte de client Arrêt de travail longe Mention dans les supports de presse à diffusion restreinte impact sur le réputation à court terme. 9 Perte financière jugée significative Perte juridique faible ou nul Perte de client Arrêt de travail longe Mention dans les supports de presse à diffusion restreinte impact sur le réputation à court terme. Perte financière jugée inacceptable Amende Perte de client Arrêt de travail longe Mention dans les supports de presse à diffusion restreinte impact sur le réputation à court terme. Perte financière jugée inacceptable Amende Perte de client Arrêt de travail longe Mention dans les supports de presse à diffusion restreinte impact sur le réputation à court terme. Perte financière jugée significative Perte juridique faible ou nul Détérioration de la relation client Arrêt de travail longe Mention négative ponctuelle dans un média Perte financière jugée significative Perte juridique faible ou nulle Détérioration de la relation client Perte de productivité Mention négative ponctuelle dans un média Copyright Hervé Schauer Consultants Reproduction Interdite

61 Identification des mesures existantes Première itération : aucune mesure de sécurité existante / 80 Copyright Hervé Schauer Consultants Reproduction Interdite

62 Mesures de sécurité existantes 8. Liste des mesures de sécurité existantes et prévues Scénario d'incident Les actifs impactés Processus de rédaction Articles en cours de rédaction.vol de l'ordinateur du fait de sa portabilité. Max C I D SOM(C,I,D) (SOM(CID)) 8 Mesures de sécurité existantes Conséquences Perte financière jugée modérée Perte juridique faible ou nulle Perte de contrat, d'opération ou de transaction, perte de client mineur Perte de productivité Perte image faible ou nulle Articles non publiés et non vendus Ordinateur Fichier d'article.destruction de l'ordinateur du fait de sa fragilité. Processus de rédaction Articles en cours de rédaction Articles non publiés et non vendus Ordinateur Fichier d'article Perte financière faible ou nulle Perte juridique faible ou nulle Détérioration de la relation client Perte de productivité Perte image faible ou nulle.suite à une panne électrique l'ordinateur ne s'allume plus. Processus de rédaction Articles en cours de rédaction Articles non publiés et non vendus Ordinateur Fichier d'article Perte financière faible ou nulle Perte juridique faible ou nulle Détérioration de la relation client Perte de productivité Perte image faible ou nulle Processus de rédaction Processus de vente Articles en cours de rédaction 0 Fichier d'article 0 Processus de rédaction Articles en cours de rédaction Fichier d'article 9 9.Après une connexion frauduleuse, le fichier d'article en cours de rédaction est modifié avec des informations fausses et publiés sans contrôle..le manque de formation de l'utilisateur à l'utilisation du système d'exploitation entraîne une mauvaise manipulation causant la perte de l'article..après une connexion frauduleuse, le fichier d'article en cours de rédaction est copié et publié par un autre journal.lors d'une connexion dans un aéroport, le fichier d'article en cours de transfert est écoutée et retransmis sur un site gratuit avant sa publication officielle 8.Dans une zone à risque, le journaliste est pris en otage par des révolutionnaires. 9.Dans une gare, le journaliste mange des moules pas fraiches, il attrape une intoxication alimentaire et il va à l'hôpital. / 80 Processus de rédaction Processus de vente Articles en cours de rédaction Fichier d'article Processus de vente Fichier d'article Processus de rédaction Processus de vente journaliste Processus de rédaction journaliste 0 Perte financière jugée inacceptable Retrait temporaire de carte de presse, interdiction temporaire d'exercer l'activité Protection par Perte de client l'identifiant/ mot de Arrêt de travail longe passe Mention dans les supports de presse à diffusion restreinte impact sur le réputation à court terme. 9 Perte financière jugée significative Perte juridique faible ou nul Perte de client Arrêt de travail longe Mention dans les supports de presse à diffusion restreinte impact sur le réputation à court terme. Perte financière jugée inacceptable Amende Perte de client Protection par Arrêt de travail longe l'identifiant/ mot de Mention dans les supports de passe presse à diffusion restreinte impact sur le réputation à court terme. Perte financière jugée inacceptable Amende Perte de client Arrêt de travail longe Mention dans les supports de presse à diffusion restreinte impact sur le réputation à court terme. Perte financière jugée significative Perte juridique faible ou nul Détérioration de la relation client Arrêt de travail longe Mention négative ponctuelle dans un média Perte financière jugée significative Perte juridique faible ou nulle Détérioration de la relation client Perte de productivité Mention négative ponctuelle dans un média Copyright Hervé Schauer Consultants Reproduction Interdite

63 Estimation des risques : impacts / 80 Copyright Hervé Schauer Consultants Reproduction Interdite

64 Scénarios d'incident appréciés 9. Liste des conséquences estimées des scénarios d'incident Scénario d'incident.vol de l'ordinateur du fait de sa portabilité. Max Mesures de sécurité Les actifs impactés C I D SOM(C,I,D) (SOM(CID)) existantes Conséquences Processus de rédaction 8 Perte financière jugée modérée Articles en cours de rédaction Perte juridique faible ou nulle Articles non publiés et non Perte de contrat, d'opération ou de vendus transaction, perte de client mineur Ordinateur Perte de productivité Fichier d'article Perte image faible ou nulle Valeur de conséquences Perte financière faible ou nulle.destruction de l'ordinateur du fait de sa fragilité. Processus de rédaction Articles en cours de rédaction Articles non publiés et non vendus Ordinateur Fichier d'article Perte juridique faible ou nulle Détérioration de la relation client Perte de productivité Perte image faible ou nulle Perte financière faible ou nulle.suite à une panne électrique l'ordinateur ne s'allume plus. Processus de rédaction Articles en cours de rédaction Articles non publiés et non vendus Ordinateur Fichier d'article Perte juridique faible ou nulle Détérioration de la relation client Perte de productivité Perte image faible ou nulle Processus de rédaction Processus de vente Articles en cours de rédaction Perte financière jugée inacceptable Retrait temporaire de carte de presse, interdiction temporaire d'exercer l'activité 0 Fichier d'article 0 Perte de client Arrêt de travail longe Mention dans les supports de presse à diffusion restreinte impact sur le réputation à court terme. Processus de rédaction Articles en cours de rédaction Fichier d'article Perte financière jugée significative 9 9 Perte juridique faible ou nul Perte de client Arrêt de travail longe Mention dans les supports de presse à diffusion restreinte impact sur le réputation à court terme. Processus de rédaction Processus de vente Articles en cours de rédaction Fichier d'article Perte financière jugée inacceptable Amende Perte de client Arrêt de travail longe Mention dans les supports de presse à diffusion restreinte impact sur le réputation à court terme. Processus de vente Fichier d'article Perte financière jugée inacceptable Amende Perte de client Arrêt de travail longe Mention dans les supports de presse à diffusion restreinte impact sur le réputation à court terme. Perte financière jugée significative Perte juridique faible ou nulle Détérioration de la relation client Arrêt de travail longe Mention négative ponctuelle dans un média Perte financière jugée significative Perte juridique faible ou nulle Détérioration de la relation client Perte de productivité Mention négative ponctuelle dans un média.après une connexion frauduleuse, le fichier d'article en cours de rédaction est modifié avec des informations fausses et publiés sans contrôle..le manque de formation de l'utilisateur à l'utilisation du système d'exploitation entraîne une mauvaise manipulation causant la perte de l'article..après une connexion frauduleuse, le fichier d'article en cours de rédaction est copié et publié par un autre journal.lors d'une connexion dans un aéroport, le fichier d'article en cours de transfert est écoutée et retransmis sur un site gratuit avant sa publication officielle 8.Dans une zone à risque, le journaliste est pris en otage par des révolutionnaires. 9.Dans mange attrape et il va une gare, le journaliste des moules pas fraiches, il une intoxication alimentaire à l'hôpital. / Processus de rédaction Processus de vente journaliste Processus de rédaction journaliste Protection par l'identifiant/ mot de passe Protection par l'identifiant/ mot de passe Copyright Hervé Schauer Consultants Reproduction Interdite

65 Estimation des risques : vraisemblance / 80 Copyright Hervé Schauer Consultants Reproduction Interdite

66 Vraisemblance des scénarios d'incident 0. Vraisemblance des scénarios d'incident Scénario d'incident Les actifs impactés Processus de rédaction Articles en cours de rédaction Articles non publiés et non vendus Ordinateur Fichier d'article Max C I D SOM(C,I,D) (SOM(CID)) 8.Destruction de l'ordinateur du fait de sa fragilité. Processus de rédaction Articles en cours de rédaction Articles non publiés et non vendus Ordinateur Fichier d'article.suite à une panne électrique l'ordinateur ne s'allume plus. Processus de rédaction Articles en cours de rédaction Articles non publiés et non vendus Ordinateur Fichier d'article Processus de rédaction Processus de vente Articles en cours de rédaction 0 Fichier d'article Processus de rédaction Articles en cours de rédaction Fichier d'article.vol de l'ordinateur du fait de sa portabilité..après une connexion frauduleuse, le fichier d'article en cours de rédaction est modifié avec des informations fausses et publiés sans contrôle..le manque de formation de l'utilisateur à l'utilisation du système d'exploitation entraîne une mauvaise manipulation causant la perte de l'article..après une connexion frauduleuse, le fichier d'article en cours de rédaction est copié et publié par un autre journal.lors d'une connexion dans un aéroport, le fichier d'article en cours de transfert est écoutée et retransmis sur un site gratuit avant sa publication officielle 8.Dans une zone à risque, le journaliste est pris en otage par des révolutionnaires. 9.Dans mange attrape et il va une gare, le journaliste des moules pas fraiches, il une intoxication alimentaire à l'hôpital. / 80 Processus de rédaction Processus de vente Articles en cours de rédaction Fichier d'article Processus de vente Fichier d'article Valeur de conséquences Perte financière faible ou nulle Perte juridique faible ou nul Détérioration de la relation client Perte de productivité Perte image faible ou nul Perte financière faible ou nulle Perte juridique faible ou nul Détérioration de la relation client Perte de productivité Perte image faible ou nul Perte financière jugée inacceptable Retrait temporaire de carte de presse, interdiction temporaire d'exercer l'activité 0 Perte de client Arrêt de travail longe Mention dans les supports de presse à diffusion restreinte impact sur le réputation à court terme. Perte financière jugée significative 9 9 Perte juridique faible ou nul Perte de client Arrêt de travail longe Mention dans les supports de presse à diffusion restreinte impact sur le réputation à court terme. Perte financière jugée inacceptable Amende Perte de client Arrêt de travail longe Mention dans les supports de presse à diffusion restreinte impact sur le réputation à court terme. Perte financière jugée inacceptable Amende Perte de client Arrêt de travail longe Mention dans les supports de presse à diffusion restreinte impact sur le réputation à court terme. Perte financière jugée significative Perte juridique faible ou nul Détérioration de la relation client Arrêt de travail longe Mention négative ponctuelle dans un média Perte financière jugée significative Perte juridique faible ou nul Arrêt de travail longe Perte de productivité Mention négative ponctuelle dans un média Conséquences Perte financière jugée modérée Perte juridique faible ou nul Perte de contrat, d'opération ou de transaction, perte de client mineur Perte de productivité Perte image faible ou nul Mesures de sécurité existantes 0 9 Processus de rédaction Processus de vente journaliste Processus de rédaction journaliste Protection par l'identifiant/ mot de passe Protection par l'identifiant/ mot de passe Copyright Hervé Schauer Consultants Reproduction Interdite Vraisemblance

67 Estimation des niveaux de risque / 80 Copyright Hervé Schauer Consultants Reproduction Interdite

68 Niveaux de risque estimés. Liste des risques avec le valeur de niveau de risque Scénario d'incident.vol de l'ordinateur du fait de sa portabilité. Max Les actifs impactés C I D SOM(C,I,D) (SOM(CID)) Processus de rédaction 8 Articles en cours de rédaction Articles non publiés et non vendus Ordinateur Fichier d'article Mesures de sécurité existantes Conséquences Perte financière jugée modérée Valeur de conséquences Perte juridique faible ou nul Perte de contrat, d'opération ou de transaction, perte de client mineur Perte de productivité Perte image faible ou nul Perte financière faible ou nulle.destruction de l'ordinateur du fait de sa fragilité. Processus de rédaction Articles en cours de rédaction Articles non publiés et non vendus Ordinateur Fichier d'article Perte juridique faible ou nul Détérioration de la relation client Perte de productivité Perte image faible ou nul Perte financière faible ou nulle.suite à une panne électrique l'ordinateur ne s'allume plus. Processus de rédaction Articles en cours de rédaction Articles non publiés et non vendus Ordinateur Fichier d'article Perte juridique faible ou nul Détérioration de la relation client Perte de productivité Perte image faible ou nul Processus de rédaction Processus de vente Articles en cours de rédaction Perte financière jugée inacceptable Retrait temporaire de carte de presse, interdiction temporaire d'exercer l'activité.après une connexion frauduleuse, le fichier d'article en cours de rédaction est modifié avec des informations fausses et publiés sans contrôle..le manque de formation de l'utilisateur à l'utilisation du système d'exploitation entraîne une mauvaise manipulation causant la perte de l'article..après une connexion frauduleuse, le fichier d'article en cours de rédaction est copié et publié par un autre journal.lors d'une connexion dans un aéroport, le fichier d'article en cours de transfert est écoutée et retransmis sur un site gratuit avant sa publication officielle 8.Dans une zone à risque, le journaliste est pris en otage par des révolutionnaires. 9.Dans une gare, le journaliste mange des moules pas fraiches, il attrape une intoxication alimentaire et il va à l'hôpital. 8 / 80 0 Protection par l'identifiant/ mot de passe 0 Fichier d'article 0 Perte de client Arrêt de travail longe Mention dans les supports de presse à diffusion restreinte impact sur le réputation à court terme. Processus de rédaction Articles en cours de rédaction Fichier d'article Perte financière jugée significative 9 9 Perte juridique faible ou nul Perte de client Arrêt de travail longe Mention dans les supports de presse à diffusion restreinte impact sur le réputation à court terme. Processus de rédaction Processus de vente Articles en cours de rédaction Fichier d'article Perte financière jugée inacceptable Amende Perte de client Arrêt de travail longe Mention dans les supports de presse à diffusion restreinte impact sur le réputation à court terme. Processus de vente Fichier d'article Perte financière jugée inacceptable Amende Perte de client Arrêt de travail longe Mention dans les supports de presse à diffusion restreinte impact sur le réputation à court terme. Perte financière jugée significative Perte juridique faible ou nul Détérioration de la relation client Arrêt de travail longe Mention négative ponctuelle dans un média Perte financière jugée significative Perte juridique faible ou nul Arrêt de travail longe Perte de productivité Mention négative ponctuelle dans un média Processus de rédaction Processus de vente journaliste Processus de rédaction journaliste Protection par l'identifiant/ mot de passe Niveau de risque Vraisemblance =Max(SOM(CID))*Vrais Copyright Hervé Schauer Consultants Reproduction Interdite

69 Évaluation des risques 9 / 80 Copyright Hervé Schauer Consultants Reproduction Interdite

70 Risques sélectionnés pour traitement. Liste des risques priorités en relation avec les scénarios d'incident Scénario d'incident.vol de l'ordinateur du fait de sa portabilité. Max Les actifs impactés C I D SOM(C,I,D) (SOM(CID)) Processus de rédaction 8 Articles en cours de rédaction Articles non publiés et non vendus Ordinateur Fichier d'article Mesures de sécurité existantes Conséquences Perte financière jugée modérée Valeur de conséquences Perte juridique faible ou nul Perte de contrat, d'opération ou de transaction, perte de client mineur Perte de productivité Perte image faible ou nul Perte financière faible ou nulle.destruction de l'ordinateur du fait de sa fragilité. Processus de rédaction Articles en cours de rédaction Articles non publiés et non vendus Ordinateur Fichier d'article Perte juridique faible ou nul Détérioration de la relation client Perte de productivité Perte image faible ou nul Perte financière faible ou nulle.suite à une panne électrique l'ordinateur ne s'allume plus. Processus de rédaction Articles en cours de rédaction Articles non publiés et non vendus Ordinateur Fichier d'article Perte juridique faible ou nul Détérioration de la relation client Perte de productivité Perte image faible ou nul Processus de rédaction Processus de vente Articles en cours de rédaction Perte financière jugée inacceptable Retrait temporaire de carte de presse, interdiction temporaire d'exercer l'activité 0 Fichier d'article 0 Perte de client Arrêt de travail longe Mention dans les supports de presse à diffusion restreinte impact sur le réputation à court terme. Processus de rédaction Articles en cours de rédaction Fichier d'article Perte financière jugée significative 9 9 Perte juridique faible ou nul Perte de client Arrêt de travail longe Mention dans les supports de presse à diffusion restreinte impact sur le réputation à court terme. Processus de rédaction Processus de vente Articles en cours de rédaction Fichier d'article Perte financière jugée inacceptable Amende Perte de client Arrêt de travail longe Mention dans les supports de presse à diffusion restreinte impact sur le réputation à court terme. Processus de vente Fichier d'article Perte financière jugée inacceptable Amende Perte de client Arrêt de travail longe Mention dans les supports de presse à diffusion restreinte impact sur le réputation à court terme. Perte financière jugée significative Perte juridique faible ou nul Détérioration de la relation client Arrêt de travail longe Mention négative ponctuelle dans un média Perte financière jugée significative Perte juridique faible ou nul Arrêt de travail longe Perte de productivité Mention négative ponctuelle dans un média.après une connexion frauduleuse, le fichier d'article en cours de rédaction est modifié avec des informations fausses et publiés sans contrôle..le manque de formation de l'utilisateur à l'utilisation du système d'exploitation entraîne une mauvaise manipulation causant la perte de l'article..après une connexion frauduleuse, le fichier d'article en cours de rédaction est copié et publié par un autre journal.lors d'une connexion dans un aéroport, le fichier d'article en cours de transfert est écoutée et retransmis sur un site gratuit avant sa publication officielle 8.Dans une zone à risque, le journaliste est pris en otage par des révolutionnaires. 9.Dans une gare, le journaliste mange des moules pas fraiches, il attrape une intoxication alimentaire et il va à l'hôpital. 0 / Processus de rédaction Processus de vente journaliste Processus de rédaction journaliste Protection par l'identifiant/ mot de passe Protection par l'identifiant/ mot de passe Niveau de risque Vraisemblance =Max(SOM(CID))*Vrai Copyright Hervé Schauer Consultants Reproduction Interdite

71 Traitement des risques / 80 Copyright Hervé Schauer Consultants Reproduction Interdite

72 Plan de traitement des risques.plan de traitement des risques Scénario.Vol de l'ordinateur du fait de sa portabilité, ce qui engendre une perte financière, perte de productivité, perte d'image. Niveau de risque Traitement Réduction Mesure de sécurité (ISO00) Sauvegarde. Sensibilisation. Chiffrement. Personnes responsable Coût Moyen Sauvegarde. protection antivirale. Sensibilisation. mise à jour du logiciel. HIPS. Réduction Moyen Maintien Réduction Sensibilisation. Chiffrement. Réexamen des droits d'accès. Déconnexion automatique. des sessions inactives. Moyen Réduction Sauvegarde Formation Sensibilisation Faible Moyen.Destruction de l'ordinateur du fait de sa fragilité,.suite à une panne électrique l'ordinateur ne s'allume plus, perte financière, perte de productivité..après une connexion frauduleuse, le fichier d'article en cours de rédaction est modifié avec des informations fausses et publiés sans contrôle..le manque de formation de l'utilisateur à l'utilisation du système d'exploitation entraîne une mauvaise manipulation causant la perte de l'article. 0 8 Priorités.Après une connexion frauduleuse, le fichier d'article en cours de rédaction est copié et publié par un autre journal 8 Réduction Sensibilisation. Chiffrement. Réexamen des droits d'accès. Déconnexion automatique des sessions inactives..lors d'une connexion dans un aéroport, le fichier d'article en cours de transfert est écoutée et retransmis sur un site gratuit avant sa publication officielle. 8 Réduction Sensibilisation. Chiffrement. Faible 8.Dans une zone à risque, le journaliste est pris en otage par des révolutionnaires. Maintien 9.Dans une gare, le journaliste mange des moules pas fraiches, il attrape une intoxication alimentaire et il va à l'hôpital.. 0 Réduction Sensibilisation. Faible / 80 Copyright Hervé Schauer Consultants Reproduction Interdite

73 Plan de traitement des risques.plan de traitment du risque avec le niveau des risques résiduels Scénario.Vol de l'ordinateur du fait de sa portabilité, ce qui engendre une perte financière, perte de productivité, perte d'image. Niveau des Mesure de sécurité risques Traitement (ISO00) Sauvegarde. Sensibilisation. Réduction Chiffrement..Suite à une panne électrique l'ordinateur ne s'allume plus, perte financière, perte de productivité..après une connexion frauduleuse, le fichier d'article en cours de rédaction est modifié avec des informations fausses et publiés sans contrôle..le manque de formation de l'utilisateur à l'utilisation du système d'exploitation entraîne une mauvaise manipulation causant la perte de l'article. 0 8 Coût SOM(CID) ré estimée Vraisemblan ce ré estimée Risque Résiduel Moyen Sauvegarde. protection antivirale. Sensibilisation. mise à jour du logiciel. HIPS. Moyen Réduction Sensibilisation. Chiffrement. Réexamen des droits d'accès. Déconnexion automatique. des sessions inactives. Moyen Réduction Sauvegarde Formation Sensibilisation Faible Moyen 0.Destruction de l'ordinateur du fait de sa fragilité, Personnes Priorités responsable Réduction Maintien.Après une connexion frauduleuse, le fichier d'article en cours de rédaction est copié et publié par un autre journal 8 Réduction Sensibilisation. Chiffrement. Réexamen des droits d'accès. Déconnexion automatique des sessions inactives..lors d'une connexion dans un aéroport, le fichier d'article en cours de transfert est écoutée et retransmis sur un site gratuit avant sa publication officielle. 8 Réduction Sensibilisation. Chiffrement. Faible 8.Dans une zone à risque, le journaliste est pris en otage par des révolutionnaires. 9.Dans une gare, le journaliste mange des moules pas fraiches, il attrape une intoxication alimentaire et il va à l'hôpital.. 0 Sensibilisation. Faible / 80 Maintien Réduction Copyright Hervé Schauer Consultants Reproduction Interdite