La norme ISO 27005. Mêmes principes que la qualité



Documents pareils
Cinq questions sur la vraie utilité de l'iso Alexandre Fernandez-Toro

THEORIE ET CAS PRATIQUES

Actuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information.

ITIL V Préparation à la certification ITIL Foundation V3 (3ième édition)

ITIL V Préparation à la certification ITIL Foundation V3 (2ième édition)

ISO 27001:2013 Béatrice Joucreau Julien Levrard

ISO/CEI 27001:2005 ISMS -Information Security Management System

DECLARATION DES PERFORMANCES N 1

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet ISO 27001:2013

MV Consulting. ITIL & IS02700x. Club Toulouse Sébastien Rabaud Michel Viala. Michel Viala

Opportunités s de mutualisation ITIL et ISO 27001

HEG Gestion de la Qualité L.Cornaglia. Les référentiels SMI, normes, processus de certification

Mise en place d un SMSI selon la norme ISO Wadi Mseddi Tlemcen, le 05/06/2013

D ITIL à D ISO 20000, une démarche complémentaire

2.La bibliothèque ITIL est composé de 2 ouvrages La bibliothèque : Dans sa version actuelle, ITIL est composé de huit ouvrages :

ANALYSE DE RISQUE AVEC LA MÉTHODE MEHARI Eric Papet Co-Fondateur SSII DEV1.0 Architecte Logiciel & Sécurité Lead Auditor ISO 27001

SMSI et normes ISO 27001

Catalogue de critères pour la reconnaissance de plateformes alternatives. Annexe 4

ISO/CEI NORME INTERNATIONALE. Technologies de l'information Techniques de sécurité Gestion des risques liés à la sécurité de l'information

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet

C N F - Tunis. Manuel du stagiaire. Intitulé de l'atelier : Animer la qualité au quotidien Dans un établissement universitaire juin 2015

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet

Gestion des incidents

Vers un nouveau modèle de sécurité

ITIL v3. La clé d une gestion réussie des services informatiques

Partie 1 : Introduction

Gestion de parc et qualité de service

SYSTÈME DE MANAGEMENT ENVIRONNEMENTAL

METIERS DE L INFORMATIQUE

CCSP EN UN COUP D OEIL. Chapitre SP 4250 Présentation des entités contrôlées et apparentées dans les états financiers des organismes sans but lucratif

Plan de Continuité d'activité Concepts et démarche pour passer du besoin à la mise en oeuvre du PCA

Face aux nouvelles menaces liées aux cyber attaques et l évolution des technologies, comment adapter son SMSI? CLUB27001 PARIS 22 novembre 2012

Initiation à la sécurité

Formation en SSI Système de management de la SSI

La politique de sécurité

Mise en place d'une démarche qualité et maintien de la certification ISO 9001:2008 dans un système d'information

Cours n 2. UE706: Veille et intelligence économique EC3: Intelligence Économique et réseaux. Promo. Master : SIC. Documentation numérique

PRÉVENIR ET DIMINUER VOS RISQUES ANTICIPATE AND REDUCE YOUR RISKS

ITIL 2011 Fondamentaux avec certification - 3 jours (français et anglais)

CLUB SOCIAL DE LA SOCIÉTÉ DE L'ASSURANCE AUTOMOBILE DU QUÉBEC (C.S.S.A.A.Q.) INC. RAPPORT DE MISSION D'EXAMEN ET ÉTATS FINANCIERS 31 AOÛT 2012

Brève étude de la norme ISO/IEC 27003

JaafarDEHBI; Consultant SI-TI Pragmatic Consulting

Les clauses «sécurité» d'un contrat SaaS

Gestion de Projet 11 - PMI. Contact: Yossi Gal, yossi.gal@galyotis.fr, Téléphone: Gestion de Projet Cours PMI

La boite à outils du dirigeant, Dispositif packagé ou modularisable en fonction des besoins

PLATEFORME HORIZONS EMPLOI Métiers et professions

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet

JOURNÉE THÉMATIQUE SUR LES RISQUES

LA CONDUITE DE L ACTION COMMERCIALE

DEVENIR ANIMATEUR CERTIFIE DE LA DEMARCHE LEAN

Sécurité informatique : règles et pratiques

CONTRAT LOGICIEL CERTIFICATION

Système de Management Intégré Qualité, Sécurité et Environnement. Un atout pour l entreprise

RÈGLES DE CERTIFICATION D ENTREPRISE

Groupe Eyrolles, 2006, ISBN :

L analyse de risques avec MEHARI

Marquage CE des enrobés bitumineux à chaud QUESTIONS - REPONSES SUR LE MARQUAGE CE DES ENROBES BITUMINEUX A CHAUD

Mise en place d une démarche qualité dans un système d information

Sécurité des Systèmes d Information

Quels échanges et pourquoi? Pour faire évoluer dans le temps vers quelle structure de pilotage?

PUISSANCE ET SIMPLICITE. Business Suite

Direction d'entreprise, Gestion des risques, continuité

TOURISME CHAUDIÈRE- APPALACHES

ITIL, quel impact dans nos laboratoires? Pourquoi se poser cette question? Geneviève Romier, CNRS UREC

Master "Generating Eco Innovation"

L Assurance Qualité DOSSIER L ASSURANCE QUALITE

Menaces et sécurité préventive

PRIMAVERA RISK ANALYSIS

IT Gouvernance. Plan. Définition. IT gouvernance pourquoi? But et enjeux. Les bonnes pratiques et composantes d une IT gouvernance

Suivi des émissions de gaz à effet serre causées par l'achat d'électricité

L Audit selon la norme ISO27001

ISO la norme de la sécurité de l'information

Les conséquences de Bâle II pour la sécurité informatique

Comprendre ITIL 2011

2 nde édition Octobre 2008 LIVRE BLANC. ISO Le nouveau nirvana de la sécurité?

Plan d études du CAS SMSI Volée 2014

Technologies de l information Techniques de sécurité Systèmes de management de la sécurité de l information Vue d ensemble et vocabulaire

Les quatre chantiers :

SEMINAIRES INTERNATIONAUX

GLOBAL CAPABILITY. PERSONAL ACCOUNTABILITY.

Avenant technologique à la Description commune des services RMS de gestion à distance de Cisco

Réponse standard pour les demandes d'information. Sécurité et Respect de la vie privée

POLITIQUE ET LIGNES DIRECTRICES EN MATIERE DE TRACABILITE DES RESULTATS DE MESURE

Tableau 1 Routes nouvelles ou modifiées : les infrastructures concernées

La conformité et sa dérive par rapport à la gestion des risques

Mise en œuvre d un système de management de la sécurité de l information (SMSI) au sein de l Ambassade du Royaume du Maroc à Tunis


Quel est le document principal qui vous précise les instructions de sécurité

Rapport de stage de fin d étude

Conception et Réalisation d une Application de Gestion de Sécurité d Information pour la Poste Tunisienne

Becca Distribution Inc

APPLICATION DU SCN A L'EVALUATION DES REVENUS NON DECLARES DES MENAGES

Filière Master Sciences et Techniques

MANUEL DE MANAGEMENT QUALITE

Notre offre Réseaux

ISMS. Politique de sécurité de l'information. (Information Security Management System) (Information Security Policy)

Transcription:

La norme ISO 27005 Information Security Risk Management Pierre-Yves BONNETAIN B&A Consultants py.bonnetain@ba-consultants.fr Certificat LSTI/RM27005/17 ReSIST - février 2009 Mêmes principes que la qualité Cycle continu selon la roue de Deming (Plan, Do, Check, Act). De manière (très) simplifiée : Identifier les actions à mener, Réaliser les actions prévues, Vérifier les résultats et l'efficacité des actions, Adapter le processus pour l'itération suivante. 2 1

Processus ISO 27005 3 Terminologie Norme en anglais, traduite en francais Risk analysis : Analyse du risque Risk evaluation : Evaluation du risque Risk estimation : Estimation du risque Risk assessment : Appréciation du risque Attention à ne pas confondre Appréciation du risque et Analyse du risque 4 2

ISO 27005 et PDCA 5 ISO 27005 Norme «non directive» : Explicite comment faire (le processus général) Tout en laissant l'entière liberté de comment on exécute chaque étape Peut couvrir des situations très diverses sans modification. L'avantage d'une norme «consensuelle». Inconvénient, la première itération peut être «plus longue» (définition des critères, des règles, formules de calcul, etc). 6 3

Etablissement du contexte Définit «ce sur quoi va porter l'analyse de risques» et «comment on va mesurer...» Etape d'identification (actifs principaux, actifs supports, processus...) Peut être corrigée suite aux étapes ultérieures. Le contexte peut concerner un ensemble très large ou très resserré, par exemple : Tout un système d'informations, ou Juste un sous-composant du SI. 7 Etablissement du contexte Définition des critères et échelles D'évaluation : seuil de traitement des risques D'impact : seuil de prise en compte des risques. D'acceptation : seuil d'acceptation d'un risque résiduel. Pas d'échelles standards, ce doit être pertinent pour l'entreprise. Les critères peuvent changer d'une itération à l'autre, ou être revus dans une itération. 8 4

Etablissement du contexte Définir L'objectif du processus de gestion des risques (vision claire de ce sur quoi va porter la gestion des risques), sa portée ainsi que ses limites, l'environnement dans lequel il s'inscrit (organisation, contraintes...) Organiser et diriger la gestion des risques (intervenants, rôles, chemins de décision...) 9 Appréciation des risques 10 5

Identification des risques Identifier et évaluer les actifs associés au contexte et leur propriétaire, les menaces qui pèsent sur ces actifs, les mesures de sécurité existantes, les vulnérabilités possibles, et les conséquences de celles-ci. Evaluation == donner une note. Elaboration de scénarii d'incidents 11 Identification des risques Que peut-il arriver aux actifs qui composent le contexte? Réunions, brainstorming, Réflexions individuelles, Approches scénarisées, Entretiens, Lectures Expériences vécues... 12 6

Identifier les risques Critères d'évaluation pour les actifs, menaces, conséquences : Qualitatifs, Quantitatifs, Financiers, Etc. Les critères peuvent être quelconques. Obtenir une note pour les différents éléments. 13 Estimation des risques Estimer les conséquences de l'avénement d'un risque. Estimer la vraisemblance d'un scénario d'incident. Estimer le niveau de risque. Méthodes d'estimation qualitatives (coûts difficiles à mesurer), quantitatives (coûts mesurables), ou mixtes. 14 7

Exemple d'échelles Actifs : notés de 0 (jetable) à 4 (vital). Vraisemblance des menaces : 0 (peu vraisemblable) à 2 (très vraisemblable). Facilité d'exploitation : 0 (très difficile) à 2 (facile). Ce ne sont que quelques exemples simples, sur échelles resserrées. L'échelle peut être très large (1 à 100). 15 Estimation des risques Exemple classique : somme des pondérations des trois critères (probabilité, facilité, valeur) 0 à 2 : bénin ; 3 ou 4 : moyen ; supérieur à 5 : grave Valeur de l'actif Probabilité d'occurrence du risque Faible Moyenne Elevée Facilité d'exploitation F M E F M E F M E 0 0 1 2 1 2 3 2 3 4 1 1 2 3 2 3 4 3 4 5 2 2 3 4 3 4 5 4 5 6 3 3 4 5 4 5 6 5 6 7 4 4 5 6 5 6 7 6 7 8 16 8

Règles de calcul Absentes de la norme, donc à définir selon le projet, son contexte, la maturité de l'organisation. Commencer avec des règles simples. Faciliter la comparaison avec d'autres situations et d'autres projets. 17 Evaluation des risques Etape de prise de décision : Faut-il traiter le risque? Comment établir les priorités? Analyse des risques => comprendre ceux-ci. On peut «redresser» les résultats de l'estimation des risques du fait de contraintes qualitatives difficiles à chiffrer (obligations contractuelles, réglementation, notoriété, etc.). 18 9

Prise de décision Niveau du risque (estimation des risques) Critères d'évaluation des risques (établissement du contexte) => priorisation des risques. Point de contrôle : l'appréciation est-elle satisfaisante? Oui, on passe à la définition du plan de traitement Si non, on refait une itération 19 Traitement du risque 20 10

Définition du plan de traitement Pour définir les options de traitement : Mettre en adéquation le risque et le coût de traitement/réduction. Intégration possible d'éléments non rationnels («11 septembre»). Intégration des parties concernées Perception des risques par celles-ci Communication avec elles. 21 Options de traitement Refus du risque : l activité amenant le risque doit être éliminée. Réduction du risque : le risque doit être diminué. Transfert du risque : le risque sera transféré à une autre «entité» capable de le gérer. Conservation du risque : le risque est maintenu tel quel. Chaque option produit un risque résiduel à évaluer. 22 11

Acceptation du risque 23 Acceptation du risque Le plan de traitement des risques et les risques résiduels qui en découlent doivent être approuvés par la direction. Peut déroger aux règles d'évaluation des risques (critères d'acceptation) Coût jugé trop élevé, Avantages intéressants à maintenir un risque etc. Dérogations justifiées et documentées. Prises en compte à la prochaine itération. 24 12

Au-delà de la 27005 S intègre normalement dans un SMSI Par exemple un processus ISO 27001 Ou toute autre méthode d organisation de la gestion de la sécurité informatique Peut fonctionner de manière autonome, hors SMSI Attention à ne pas oublier d appliquer le plan de traitement! 25 Vision à moyen et long terme Un processus comme ISO 27005 permet de garder un historique significatif : Des risques, hypothèses, scénarii envisagés Des analyses, évolutions du contexte et modifications associées des scénarii Des plans de traitement, dérogations, contraintes spécifiques Donc, de maîtriser son existant. 26 13

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back