Risicare Premium en pratique selon Méhari 2010 Et ISO 27005

Dimension: px

Commencer à balayer dès la page:

Download "Risicare Premium en pratique selon Méhari 2010 Et ISO 27005"

Antonin Arsène Coutu
il y a 10 ans
Total affichages :

1 Risicare Premium en pratique selon Méhari 2010 Et ISO Novembre 2010 Pour l ASIQ 1

2 Un peu d histoire 2008 ISO 2700x ISO Gestion des risques 1996 Version 2001, V3, 2007, Version 2007, Premium Bien comprendre la théorie pour bien la mettre en pratique 2

2007, 2010 1998 Version 2007, Premium Bien

3 Méhari vs ISO Domaines 1 Organisation de la sécurité 2 Sécurité des sites 3 Sécurité des locaux 4 Réseau étendus intersites (WAN) 5 Réseau Local (LAN) 6 Exploitation des réseaux 7 Sécurité des systèmes et de leur architecture 8 Production informatique 9 Sécurité Applicative 10 Sécurité des projets et développements applicatifs 11 Protection des postes de travail utilisateurs 12 Exploitation des télécommunications 13 Processus de gestion 14 Gestion de la sécurité de l information Domaines 5 Politique de sécurité 6 Organisation de la sécurité de l'information 7 Gestion des biens 8 Sécurité liée aux ressources humaines 9 Sécurité physique et environnementale 10 Gestion de l'exploitation et des télécommunications 11 Contrôle d'accès 12 Acquisition, développement et maintenance des systèmes d'information 13 Gestion des incidents liés à la sécurité de l'information 14 Gestion du plan de continuité de l'activité 15 Conformité 2134 questions 133 mesures 3

Exploitation des télécommunications 13 Processus de gestion 14 Gestion de la sécurité de l information Domaines 5 Politique de sécurité 6 Organisation de la sécurité de l'information 7 Gestion des

4 Gestion du risque en sécurité de l information selon ISO Audit d un SMSI Définition et vocabulaire Exigences d un SMSI Exigences d audit et certification x Guide des bonnes pratiques Analyse de risques Gestion des risques Indicateur et tableaux de bord Implémentatio n SMSI 4

et certification 27 000x 27 0002 Guide des bonnes pratiques Analyse de risques 27 0005

5 Exemple de risque appréhendé Indisponibilité de l'information Indisponibilité de l information 5

Exemple de risque appréhendé Perte d'informations Perte de renseignements personnels http://www.

6 Exemple de risque appréhendé Perte d'informations Perte de renseignements personnels 6

Exemple de risque appréhendé Modification volontaire de l'information Un employé de la banque HSBC détourne 900.

7 Exemple de risque appréhendé Modification volontaire de l'information Un employé de la banque HSBC détourne euros 7

8 Enjeux corporatifs Les risques d affaires appréhendés peuvent être : Accès à l information (V, I) Modification d information (V, I) Perte d information Vol d information Indisponibilité de l information 8

9 Évolution de Méhari depuis Marion et Melisa (96) 9

10 Évolution de Méhari 2010 selon ISO 10

11 ISO Gestion du risque en sécurité de l information Gestion des risques corporatifs Gestion de la sécurité de l information liée aux TI Gestion du risque en sécurité de l information Très TI Analyse de risques en sécurité de l information Risicare = Outil Méhari = Méthode 11

liée aux TI Gestion du risque en sécurité de l information Très TI

12 Processus de gestion du risque selon ISO

13 Démarche Méhari

14 Démarche Risicare Premium 14

15 Établissement du contexte Organisation Vice-présidence (ligne d affaires) Direction Secteur Projet Système Information et services corpos 15

16 Classification des actifs 16

17 Section Enjeux dans Risicare 17

18 Phase d audit dans Risicare 18

19 Niveau de maturité selon Risicare ISO Méhari environ 670..sur 2134 questions. 19

20 Évaluation du risque selon Risicare 20

21 de la norme ISO2700x Uniformise Encadre Oriente Guide Confirme des intuitions de gestion des risques selon les besoins d affaires d une organisation. 21

de Méhari & Risicare + 2000 mesures et mécanismes de sécurité tant

22 de Méhari & Risicare mesures et mécanismes de sécurité tant technologiques qu organisationnels scénarios de risques (45 familles de scénarios) 22

23 Traitement des risques selon Risicare 23

24 Présentation du risque initial Avant traitement : 24

25 Gestion par projet dans Risicare 25

26 Présentation du risque résiduel Après traitement : 26

27 Déclaration d applicabilité (ISO) 27

28 Déclaration d applicabilité Déclaration Mesures réductrices 28

29 Avantages de Risicare Hérite du meilleur de Méhari (scénarios de risques) Hérite des meilleures pratiques Automatise les calculs Facilite le retour en arrière Facilite la présentation à des gestionnaires Permet de faire un suivi année après année Possibilité de personnalisation et d ajout de thèmes avec RisiBase 29

Recommandations Dans la mise en place Comprendre le langage ISO/Méhari/Risicare Désigner une cellule de gestion du risque TI Comprendre les domaines d affaires de son organisation Définir le contexte

30 Recommandations Dans la mise en place Comprendre le langage ISO/Méhari/Risicare Désigner une cellule de gestion du risque TI Comprendre les domaines d affaires de son organisation Définir le contexte (dans la philosophie SMSI) Préparer les intrants (identification des processus) Se doter de courroies d engrenage maison Rentrer dans un modèle d amélioration continue Dans l utilisation Accepter la jeunesse de la science Ne pas se laisser démotiver par l ampleur des questionnaires Adapter son discours face à son interlocuteur (pas assez technique, pas assez gestion ) 30

31 Christophe Jolivet

32 Reproduction de ce document Ce document est diffusé selon les termes de la licence BY-NC-ND du Creative Commons. Vous êtes libres de reproduire, distribuer et communiquer cette création au public selon les conditions suivantes : Paternité. Vous devez citer le nom de l auteur original de la manière indiquée par l auteur de l œuvre ou le titulaire des droits qui vous confère cette autorisation (mais pas d une manière qui suggérerait qu ils vous soutiennent ou approuvent votre utilisation de l œuvre). Pas d utilisation commerciale. Vous n avez pas le droit d utiliser cette création à des fins commerciales. Pas de modification. Vous n avez pas le droit de modifier, de transformer ou d adapter cette création. Pour toute demande, veuillez communiquer avec Christophe Jolivet à [email protected] ou au Merci. 32

Documents pareils

Cinq questions sur la vraie utilité de l'iso 27001. Alexandre Fernandez-Toro <[email protected]>

Cinq questions sur la vraie utilité de l'iso 27001 Alexandre Fernandez-Toro Contexte On parle de SMSI depuis 2002 Est-ce un effet de mode? Est-ce une bulle entretenue