La conformité et sa dérive par rapport à la gestion des risques



Documents pareils
ISO 27001:2013 Béatrice Joucreau Julien Levrard

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet ISO 27001:2013

ISO/CEI NORME INTERNATIONALE. Technologies de l'information Techniques de sécurité Gestion des risques liés à la sécurité de l'information

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI INSA

Gestion des incidents

METIERS DE L INFORMATIQUE

SMSI et normes ISO 27001

Consulter notre site : Network Telecom Security Solutions. en partenariat technique avec

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet

Cinq questions sur la vraie utilité de l'iso Alexandre Fernandez-Toro

Sécurité du cloud computing

Actuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information.

Mise en œuvre de la certification ISO 27001

Les clauses «sécurité» d'un contrat SaaS

AUDIT CONSEIL CERT FORMATION

Les risques HERVE SCHAUER HSC

Formation en SSI Système de management de la SSI

THEORIE ET CAS PRATIQUES

Contractualiser la sécurité du cloud computing

Brève étude de la norme ISO/IEC 27003

Fiche conseil n 16 Audit

Certification ISO 27001

Les clauses sécurité dans un contrat de cloud

ACCUEIL ET CONVIVIALITE DANS LA RESTAURATION Réf : R 01

Menaces et sécurité préventive

Club toulousain

Aspects juridiques des tests d'intrusion

Excellence. Technicité. Sagesse

Virtualisation et Sécurité

Montrer que la gestion des risques en sécurité de l information est liée au métier

Sécurité des applications Retour d'expérience

Analyse des protections et mécanismes de chiffrement fournis par BitLocker

Panorama général des normes et outils d audit. François VERGEZ AFAI

Comment développer vos missions paie?

Technologies de l information Techniques de sécurité Systèmes de management de la sécurité de l information Vue d ensemble et vocabulaire

5 novembre Cloud, Big Data et sécurité Conseils et solutions

ANALYSE DE RISQUE AVEC LA MÉTHODE MEHARI Eric Papet Co-Fondateur SSII DEV1.0 Architecte Logiciel & Sécurité Lead Auditor ISO 27001

SANS SEC 504 : Techniques de hacking, exploitation de failles et gestion des incidents

Catalogue de critères pour la reconnaissance de plateformes alternatives. Annexe 4

TUV Certification Maroc

MV Consulting. ITIL & IS02700x. Club Toulouse Sébastien Rabaud Michel Viala. Michel Viala

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet.

Bâtir et améliorer son système d appréciation

BUREAU DU CONSEIL PRIVÉ. Vérification de la sécurité des technologies de l information (TI) Rapport final

A-t-on le temps de faire les choses?

Conférence CRESTEL. Du risque SI aux risques business v1.0 09/03/2015

PROGRAMME DU CONCOURS DE RÉDACTEUR INFORMATICIEN

curité des TI : Comment accroître votre niveau de curité

Maîtriser les risques au sein d une d PMI. Comment une PME-PMI peut-elle faire face à ses enjeux en toutes circonstances?

La sécurité applicative

PROGRAMME DE FORMATION

INDICATIONS DE CORRECTION

Partie 1 : Introduction

Panorama de l'évolution du cloud. dans les domaines d'orchestration (cloud et virtualisation)

Gestion de parc et qualité de service

Retour sur investissement en sécurité

Club ISO Juin 2009

ISO/CEI 27001:2005 ISMS -Information Security Management System

Sécurité des Systèmes d Information

Mise en place d un SMSI selon la norme ISO Wadi Mseddi Tlemcen, le 05/06/2013

Réf. Module Public ciblé Durée Contenu. Décideurs du secteur Commerce ou des Institutions financières concernées par le paiement

PASSI Un label d exigence et de confiance?

Prestations d audit et de conseil 2015

2012 / Excellence. Technicité. Sagesse

ISO la norme de la sécurité de l'information

Université de Lausanne

Mini-Rapport d Audit basé sur la méthode d analyse MEHARI

Créer un tableau de bord SSI

Sécurité des Postes Clients

Symantec Control Compliance Suite 8.6

Gouvernance des mesures de sécurité avec DCM-Manager. Présentation du 22 mai 2014

D ITIL à D ISO 20000, une démarche complémentaire

Comment mettre en place une organisation adaptée pour faire vivre les solutions de gestion d information d entreprise?

1. Étude réalisée par l AFOPE en Hellriegel D., Slocum J. W., Woodman R. W., Management des organisations, Bruxelles, De Boeck, 1992.

Etude relative aux rapports des présidents sur les procédures de contrôle interne et de gestion des risques pour l exercice 2011

LES SYSTÈMES DE CONTRÔLE DE QUALITÉ (TELS QUE LE SYSTEME ISO 9000) POUR L'ÉVALUATION DES SERVICES VÉTÉRINAIRES DANS LE CADRE DU COMMERCE INTERNATIONAL

Mise en place de la composante technique d un SMSI Le Package RSSI Tools BOX

1. La sécurité applicative

HACCP Évolutions réglementaires et normatives

Conception et Réalisation d une Application de Gestion de Sécurité d Information pour la Poste Tunisienne

Principes de management de la qualité

Auditabilité des SI Retour sur l expérience du CH Compiègne-Noyon

L'infonuagique, les opportunités et les risques v.1

Catalogue Audit «Test Intrusion»

Comment assurer la conformité des systèmes informatiques avec les référentiels et normes en vigueur

La démarche qualité. Un nouveau mode de management pour l hôpital

Le risque opérationnel - Journées IARD de l'institut des Actuaires

Catalogue des formations 2014 #CYBERSECURITY

Mise en œuvre d un système de management de la sécurité de l information (SMSI) au sein de l Ambassade du Royaume du Maroc à Tunis

2 ASIP Santé/DSSIS : Guide Pratique - Règles de sauvegarde des Systèmes d Information de Santé (SIS) Juillet 2014 V0.3

Pour le Développement d une Relation Durable avec nos Clients

Extraction de données authentifiantes de la mémoire Windows

Risques d accès non autorisés : les atouts d une solution IAM

Transcription:

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet La conformité et sa dérive par rapport à la gestion des risques Matinée CNISevent, Paris, 27 avril 2011 Hervé Schauer Hervé Schauer <Herve.Schauer@hsc.fr>

Introduction Beaucoup d'organismes appliquent des mesures de sécurité à des fins de conformité Conformité groupe Questionnaires Auto-évaluation... Celui qui ne ment pas est vite le plus mal noté Simple..., Indicateurs faciles... A quoi ça rime? 2/12

Conformité vs Gestion des risques Approches conformité SoX ISO 27002 ISO 27799 Référentiels métiers Hébergeur de données de santé ARJEL PCI-DSS Approches gestion des risques RGS ISO 27001 ISO27001 + WLA 3/12

Conformité Législation Application de la loi du 6 janvier 1978 «Informatique et libertés» Personne responsable pénalement : responsable du traitement Personne qui détermine les finalités et les moyens du traitement Article 34 : obligation de moyens Mettre «tous les moyens en œuvre pour garantir la sécurité» Conformité à la loi pourtant pas la plus développée! Manque d'appréciation des risques juridiques? Législation américaine SoX Interprétation fantaisiste sur la partie sécurité de l'information Disproportion manifeste entre ce qui était demandé à l'un et à l'autre Vache à lait des «fat four» 4/12

Conformité Norme ISO 27002 Sisi, en 2011 il a encore des gens qui font de la conformité ISO 27002 et dans plusieurs secteurs! Normalement vocabulaire commun mais détourné pour de la conformité Application de mesures de sécurité non-justifiées Application de mesures de sécurité au mauvais endroit Mauvaise compréhension des coûts Norme ISO 27799 Appréciation des risques largement faite pour vous Mise en oeuvre de mesures de sécurité complètement disproportionnées Faillite financière garantie 5/12

Conformité Référenciel PCI-DSS Appréciation des risques faite pour vous pour les données cartes Impose des dispositifs de sécurité précis et nombreux sur les données carte Demeure ouvert par la possibilité de faire sa propre appréciation des risques lorsque qu'un dispositif de sécurité imposé est innapplicable Mesures de sécurité compensatoires A l'appréciation de l'auditeur Appréciation des risques sur le reste à faire en plus Sans PCI-DSS les données carte ne seraient pas protégées 6/12

Gestion des risques ISO 27001 impose une approche par la gestion des risques Près de 20% de la norme ISO 27001 uniquement sur ce point Impose de l'appréciation des risques donne des résultats comparables et (ISO27001 4.2.1.c) reproductibles Impose à l'auditeur de certification ISO 27001 d'explicitement contrôler tous ces aspects de l'appréciation des risques : Production par l'appréciation des risques de résultats comparables et (ISO27006 9.2.3.2.2 a) reproductibles Analyse de la sécurité par rapport aux menaces pertinente (ISO27006 9.2.3.3.a) Procédures d'identification, d'examen et d'évaluation reliant les menaces aux actifs, vulnérabilités et impacts cohérentes avec la (ISO27006 9.2.3.3.b) politique, les objectifs et les cibles de sécurité Impose une appréciation des risques dans la durée Impose à la direction générale de prendre ses responsabilités ISO270014.2.1.h) (ISO27001 5.1.f & 7/12

Gestion des risques ISO 27001 impose une approche par la gestion des risques Méthode de gestion des risques détaillée dans ISO 27005 Du haut vers le bas Processus métiers & information Actifs IT, personnes, services généraux, locaux, cadre organisationnel Menaces, vulnérabilités, scénarios d'incident, conséquences et impacts Choix des moyens de maîtrise des risques : réduction, transfert, refus, maintien Les mesures de sécurité sont sélectionnées là où elles sont le plus utiles Seule manière d'expliquer et justifier les coûts Evidemment, cela impose de travailler, et dans la durée Le contraire du simple... 8/12

Gestion des risques ISO27005 ISO27005 Ch 6 Processus de gestion du risque Découpé en activités et sous-activités Avec des entréessorties Identique à l'iso 31000 : norme de gestion des risques commune à tous les métiers Objectif : optimiser, équilibrer, ordonnancer, responsabiliser Communication du risque Etablissement du contexte Appréciation du risque Analyse de risque Identification du risque Estimation du risque Evaluation du risque Appréciation non satisfaisante? oui Traitement du risque Risque non acceptable? oui Acceptation du risque Surveillance et réexamen du risque 9/12

Intégration ISO 27005 / ISO 27001 Hiérarchie documentaire Approche descendante (top-down) Périmètre et Politique du SMSI Appréciation des risques ISO 27001 4.2.1.a, 4.2.1.b ISO 27002 5.1.1.a,.b,.d.1,.e ISO 27001 4.2.1.d, 4.2.1.e ISO 27005 8 Plan de traitement des risques ISO 27001 4.2.1.f, 4.2.1.g ISO 27005 9 Déclaration d'applicabilité ISO 27001 4.2.1.j 10/12

Intégration ISO 27005 / ISO 27001 Processus parmi d'autres 11/12

Conclusion Mesures de sécurité choisies par conformité Exigé car façon de réduire un risque de mauvaise gestion des risques Réellement indispensable dans des cas particuliers & périmètres limités Mesure de sécurité choisies par gestion de risque Indispensable pour le cas général Meilleure approche depuis 30 ans Toujours possible de tricher quelle que soit l'approche Questions? www.hsc.fr 12/12

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back