HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet

Documents pareils
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet

ISO 27001:2013 Béatrice Joucreau Julien Levrard

Gestion des incidents

ISO/CEI NORME INTERNATIONALE. Technologies de l'information Techniques de sécurité Gestion des risques liés à la sécurité de l'information

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet

La conformité et sa dérive par rapport à la gestion des risques

ANALYSE DE RISQUE AVEC LA MÉTHODE MEHARI Eric Papet Co-Fondateur SSII DEV1.0 Architecte Logiciel & Sécurité Lead Auditor ISO 27001

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI INSA

SMSI et normes ISO 27001

Club toulousain

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet ISO 27001:2013

Prestations d audit et de conseil 2015

Sécurité des applications Retour d'expérience

Catalogue de critères pour la reconnaissance de plateformes alternatives. Annexe 4

La politique de sécurité

MV Consulting. ITIL & IS02700x. Club Toulouse Sébastien Rabaud Michel Viala. Michel Viala

curité des TI : Comment accroître votre niveau de curité

Brève étude de la norme ISO/IEC 27003

Menaces et sécurité préventive

Cinq questions sur la vraie utilité de l'iso Alexandre Fernandez-Toro

Guide de bonnes pratiques de sécurisation du système d information des cliniques

THEORIE ET CAS PRATIQUES

ISO/CEI 27001:2005 ISMS -Information Security Management System

ISMS. Politique de sécurité de l'information. (Information Security Management System) (Information Security Policy)

Approche Méthodologique de la Gestion des vulnérabilités. Jean-Paul JOANANY - RSSI

METIERS DE L INFORMATIQUE

Les risques HERVE SCHAUER HSC

Mini-Rapport d Audit basé sur la méthode d analyse MEHARI

Menaces informatiques et Pratiques de sécurité en France Édition Paris, 25 juin 2014

D ITIL à D ISO 20000, une démarche complémentaire

Mise en œuvre de la certification ISO 27001

Consulter notre site : Network Telecom Security Solutions. en partenariat technique avec

LA CONTINUITÉ DES AFFAIRES

Sujet 2 : Interconnexion de réseaux IP (routeurs CISCO). Sujet 3 : Implémentation d un serveur VPN avec OpenVPN.

2012 / Excellence. Technicité. Sagesse

JOURNÉE THÉMATIQUE SUR LES RISQUES

Actuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information.

Technologies de l information Techniques de sécurité Systèmes de management de la sécurité de l information Vue d ensemble et vocabulaire

Les clauses «sécurité» d'un contrat SaaS

Formation «Système de gestion des documents d activité (SGDA)»

Panorama général des normes et outils d audit. François VERGEZ AFAI

«ASSISTANT SECURITE RESEAU ET HELP DESK»

ISO/CEI Technologies de l information Gestion des actifs logiciels. Partie 1: Procédés et évaluation progressive de la conformité

Excellence. Technicité. Sagesse

L analyse de risques avec MEHARI

Formation en SSI Système de management de la SSI

Forum Suisse pour le Droit de la Communication. Séminaire du 28 novembre 2008

Université de Lausanne

SANS SEC 504 : Techniques de hacking, exploitation de failles et gestion des incidents

ISO/IEC TR Première édition Numéro de référence ISO/IEC TR 90006:2013(F) ISO/IEC 2013

1. La sécurité applicative

Systèmes et réseaux d information et de communication

Fiches micro-informatique SECURITE LOGIQUE LOGIxx

Spécifications de l'offre Surveillance d'infrastructure à distance

Pourquoi se protéger? Croissance exponentielle des incidents Hades Security - Hadès Sécurité

Sécurité de l information dans les TIC : Travaux normatifs en cours ILNAS / ANEC

HEG Gestion de la Qualité L.Cornaglia. Les référentiels SMI, normes, processus de certification

Bibliographie. Gestion des risques

Conférence CRESTEL. Du risque SI aux risques business v1.0 09/03/2015

Club ISO Juin 2009

Catalogue des formations 2014 #CYBERSECURITY

Vers un nouveau modèle de sécurité

ITIL V Préparation à la certification ITIL Foundation V3 (2ième édition)

Rapport de certification PP/0002

ITIL V Préparation à la certification ITIL Foundation V3 (3ième édition)

AUDIT CONSEIL CERT FORMATION


27 mars Sécurité ECNi. Présentation de la démarche sécurité

La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta

L'infonuagique, les opportunités et les risques v.1

Rapport de certification PP/0101

5 novembre Cloud, Big Data et sécurité Conseils et solutions

Actualités de la normalisation au Luxembourg

Sécurité du cloud computing

Panorama de l'évolution du cloud. dans les domaines d'orchestration (cloud et virtualisation)

ISO/CEI Technologies de l information Techniques de sécurité Systèmes de management de la sécurité de l information Exigences

Les principes de la sécurité

Le modèle de sécurité windows

Mise en œuvre d un système de management de la sécurité de l information (SMSI) au sein de l Ambassade du Royaume du Maroc à Tunis

Retour sur investissement en sécurité

Mise en place d un SMSI selon la norme ISO Wadi Mseddi Tlemcen, le 05/06/2013

CONDITIONS PARTICULIÈRES HÉBERGEMENT BLUE MIND

Fiche conseil n 16 Audit

PROGRAMME DU CONCOURS DE RÉDACTEUR INFORMATICIEN

Vector Security Consulting S.A

Plan de Continuité d'activité Concepts et démarche pour passer du besoin à la mise en oeuvre du PCA

Les clauses sécurité dans un contrat de cloud

Symantec Protection Suite Enterprise Edition Protection éprouvée pour les terminaux, la messagerie et les environnements Web

Sécurité des Postes Clients

Indicateur et tableau de bord

Politique de Référencement Intersectorielle de Sécurité (PRIS)

Opportunités s de mutualisation ITIL et ISO 27001

Qu est-ce qu un système d Information? 1

GUIDE INTERMINISTERIEL SUR LES SYSTEMES D'INFORMATION ET APPLICATIONS SENSIBLES

Orange Business Services. Direction de la sécurité. De l utilisation de la supervision de sécurité en Cyber-Defense? JSSI 2011 Stéphane Sciacco

L Audit selon la norme ISO27001

Transcription:

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 989 Spécialisé sur Unix, Windows, TCP/IP et Internet Normes en Sécurité Focus sur ISO00 OzSSI sud-est Lyon, 9 septembre 0 Hervé Schauer Herve.Schauer@hsc.fr

Sommaire Normes ISO Gestion des identités et vie privée Techniques de sécurité Normes de la série ISO 000 : Système de Management de la Sécurité de l'information & Mesures de Sécurité Continuité d'activité Méthode de gestion des risques ISO00 / 80 Copyright Hervé Schauer Consultants 000-0 - Reproduction Interdite

Normes ISO ISO : Agence des nations-unies Organisation internationale de normalisation International Organisation for Standardization pays représentés par leur agence de normalisation En France : AFNOR Normalisation JTC : informatique Cas particulier : comité joint entre l'iso et l'iec JTC/SC : sécurité En France : AFNOR CN Plus de 00 normes en cours de validité TC : sécurité sociétale / 80 Copyright Hervé Schauer Consultants 000-0 - Reproduction Interdite

Normes ISO Norme = consensus entre les acteurs De la société en général Du marché Des pays Norme = processus d'élaboration formel et rigoureux Commentaires traités et justifiés Autres organismes de normalisation HL IEEE UIT/ITU / 80 Copyright Hervé Schauer Consultants 000-0 - Reproduction Interdite

Normes ISO JTC/SC groupes de travail (Working Groups) Evaluation onon WG Evaluation de la sécurité WG Mesures de sécurité / Services de sécurité Lignes directrices Techniques WG Cryptographie / mécanismes de sécurité Produits / 80 WG Système de Management de la Sécurité de l'information (SMSI) Systèmes WG Gestion d'identités / Vie privée / Biométrie Processus Environnement Copyright Hervé Schauer Consultants 000-0 - Reproduction Interdite

Gestion d'identités et vie privée JTC/SC/WG Gestion d'identités et technologies relatives à la vie privée Protection des données personelles Biométrie et identification biométrique Soumis à des prérogatives nationales Convergence et consensus difficiles Parfois sensible / 80 Copyright Hervé Schauer Consultants 000-0 - Reproduction Interdite

Gestion d'identités et vie privée JTC/SC/WG Vie privée Experts de la CNIL participent et contribuent ISO/IEC 900 «Information technology Security techniques A privacy framework» Norme fondatrice ISO/IEC 90 «Information technology Security techniques A privacy reference architecture» / 80 Copyright Hervé Schauer Consultants 000-0 - Reproduction Interdite

Gestion d'identités et vie privée JTC/SC/WG Gestion d'identités ISO/IEC 9 «Information technology Security techniques Entity Authentication Assurance, texte commun au projet ITU-T X.eaa» ISO/IEC 0 «Information technology Security techniques A framework for identity management» ISO/IEC 9 «Information technology Security techniques A framework for Access Management» ISO/IEC 99 «Information technology Security techniques Requirements on relatively anonymous unlinkable authentication» ISO/IEC 990 «Information technology Security techniques Privacy capability assessment framework» 8 / 80 Copyright Hervé Schauer Consultants 000-0 - Reproduction Interdite

Gestion d'identités et vie privée JTC/SC/WG Biométrie ISO/IEC 99 «Information technology Security techniques Biometric template protection» Remplace la norme ISO ISOIEC «Technologies de l'information Techniques de sécurité Contexte d'authentification biométrique» 9 / 80 Copyright Hervé Schauer Consultants 000-0 - Reproduction Interdite

Techniques de sécurité JTC/SC/WG Cryptographie et mécanismes de sécurité Besoins Terminologie Interopérabilité Algotithmes 0 / 80 Copyright Hervé Schauer Consultants 000-0 - Reproduction Interdite

Techniques de sécurité JTC/SC/WG Beaucoup de normes Chiffrement Symétrique, assymétrique A flot, par bloc Signature numérique Authentification Fonction de hachage Non-répudiation Gestion de clés Horodatage Génération de nombres aléatoires / 80 Copyright Hervé Schauer Consultants 000-0 - Reproduction Interdite

Evaluation de la sécurité JTC/SC/WG Critères d'évaluation de la sécurité («Critères Communs») ISO/IEC 08-:009 : «Technologies de l'information Techniques de sécurité Critères d'évaluation pour la sécurité des Technologies de l'information Partie : Introduction et modèle général» Norme fondatrice Définition des termes spécifiques utilisés dans la série ISO 08 Vocabulaire non-conforme à ISO 000 Organisation générale des normes de la série ISO 08 Fonctionnalités ayant pour objectif de fournir un langage structuré pour exprimer ce que doit faire un produit de sécurité Exigences relatives à la documentation associée au produit évalué / 80 Copyright Hervé Schauer Consultants 000-0 - Reproduction Interdite

Evaluation de la sécurité JTC/SC/WG Critères d'évaluation de la sécurité («Critères Communs») ISO/IEC 08 En cours révision : contributions bienvenues Autres normes Méthodologies d'évaluation Exigences pour les modules cryptographiques Assurance de la sécurité Profils de protection Modèle de maturité Projet de norme ISO/IEC 9 : Divulgation des vulnérabilités / 80 Copyright Hervé Schauer Consultants 000-0 - Reproduction Interdite

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 989 Spécialisé sur Unix, Windows, TCP/IP et Internet Normes ISO000 SC WG & WG Hervé Schauer

Sommaire Panorama des normes ISO 000 Normes de mesures de sécurité Normes sectorielles Normes utiles à la mise en œuvre du SMSI Normes utiles à l'intégration du SMSI Normes en sécurité réseau / 80 Copyright Hervé Schauer Consultants 000-0 - Reproduction Interdite

Panorama des normes ISO 00 Exigences usage obligatoire dans la certification 00-0 00-0 ISO 00 SMSI ISO 00 Certification de SMSI 009 0 ISO 000 Guides usage facultatif Vocabulaire ISO 008 Audit des mesures 0 00-0 ISO 00 ISO 00 Audit de SMSI Mesures de sécurité 00 ISO 00 Implémentation / 80 009 ISO 00 Indicateurs SMSI 008-0 ISO 00 Gestion de risque Copyright Hervé Schauer Consultants 000-0 - Reproduction Interdite

Panorama des normes ISO 00 ISO 000 : Principes et vocabulaire Disponible gratuitement http://standards.iso.org/ittf/publiclyavailablestandards/ ISO 00 : Exigences d'un SMSI Norme permettant la certification En cours de révision à l'iso depuis 008 ISO 00 : Code de bonnes pratiques pour un SMSI Originellement appelée ISO 99 Liste des principales mesures de sécurité issues de l'expérience de la communauté En cours de révision à l'iso depuis 008 / 80 Copyright Hervé Schauer Consultants 000-0 - Reproduction Interdite

Panorama des normes ISO 00 ISO 00 : Guide d'implémentation d'un SMSI Adapté à un organisme qui ne dispose encore d'aucune mise en place de SSI Peu utile à un organisme ayant déjà une mise en oeuvre de mesures de sécurité ISO 00 : Mesurage du Management de la Sécurité de l'information Measurement mesurage Terme exact Security control mesure de sécurité donc pour évite les confusions Guide de mise en place du mesurage du SMSI Instancie le PDCA Inclus des exemples d'indicateurs 8 / 80 Copyright Hervé Schauer Consultants 000-0 - Reproduction Interdite

Panorama des normes ISO 00 ISO 00 : Gestion des risques en Sécurité de l'informations Précise et explicite le contenu de l'iso 00 Appréciation du risque Analyse de risque Evaluation du risque Traitement du risque Synthèse des normes et méthodologies existantes 9 / 80 Copyright Hervé Schauer Consultants 000-0 - Reproduction Interdite

Panorama des normes ISO 00 ISO 00 : Exigences pour l'accréditation des organismes de certification des SMSI Remplace la norme EA /0 S'appuie sur la norme ISO 0 : exigences pour l'accréditation des organismes de certification de systèmes de management en général Apporte des précisions pour les audits de certification ISO 00 Classement des mesures de sécurité : organisationelles / techniques Vérifications à faire ou pas pour les mesures de sécurité techniques 0 / 80 Copyright Hervé Schauer Consultants 000-0 - Reproduction Interdite

Panorama des normes ISO 00 ISO 00:0 : Guide d'audit de SMSI Etait à l'origine dans l'iso 00, séparé pour ne pas être obligatoire Application de l'iso 90:0 aux audits de SMSI En cohérence avec ISO 0-:009 Projet de norme ISO008 : Guide d'audit des mesures de sécurité / 80 Copyright Hervé Schauer Consultants 000-0 - Reproduction Interdite

Normes de mesures de sécurité Normes qui précisent ou détaillent des mesures de sécurité de l'iso 00 Série des normes ISO 0 : sécurité des réseaux Intègre notamment l'aspect gestion des risques Série des normes ISO 0 : intégration de la sécurité dans le cycle de vie du logiciel Projet de série de normes ISO 0 : sécurité dans l'infogérance Projet de norme ISO 0 : Guidelines for the identification, collection and/or acquisition, and preservation of digital evidence Projet de norme ISO 08 : Specification for digital redaction Projet de norme ISO 00 : Sécurité du stockage / 80 Copyright Hervé Schauer Consultants 000-0 - Reproduction Interdite

Normes de mesures de sécurité Normes qui précisent des mesures de sécurité ISO 00 ISO0:0 : Incident Security Management / Gestion des incidents de sécurité (ISO 00.,. & ISO 00..) Remplacement de l'iso80 Application de l'iso00 (...h,...a. &..) et l'iso00 () Définition complète et pratique du processus de gestion des incidents de sécurité Politique de gestion des incidents de sécurité de l'information Équipe de réponse aux incidents de sécurité de l'information ISIRT : Information Security Incident Response Team Détection et collecte des incidents Appréciation des incidents Réponse aux incidents Retour d'expérience suite aux incidents passés / 80 Copyright Hervé Schauer Consultants 000-0 - Reproduction Interdite

Normes sectorielles ISO 0:008 / recommandation ITU X.0 Opérateurs de télécommunications A été fait à l'uit, a été repris par l'iso tel quel Guide d'application des mesures de sécurité de l'iso 00 dans le cadre d'un opérateur de télécommunication Ajout de mesures de sécurité spécifiques pour les télécommunications Projet ISO 00 : communications inter-secteurs Projet ISO 0 : Organizational economics Projet ISO 0 : secteur finance & assurance / 80 Copyright Hervé Schauer Consultants 000-0 - Reproduction Interdite

Normes sectorielles ISO 99:00 : santé Fait dans la normalisation de la santé Adaptation de l'iso00 et ISO00 en un seul document pour le secteur de la santé Cherche à remplacer ISO 00 et créé une certification ISO 99 Caractère d'application des mesures de sécurité obligatoires dans certains cas Pas d'appréciation des risques obligatoire Chapitre donne l'application des mesures de sécurité dans le cas particulier de la santé Norme homologuée depuis le septembre 008 Sera sans doute renuméroté en ISO 0X dans une prochaine version En espérant que cela se repose sur l'iso 00 au lieu de réinventer la roue Ne fait pas l'unanimité, au contraire / 80 Copyright Hervé Schauer Consultants 000-0 - Reproduction Interdite

Autres normes Norme utile à la mise en œuvre de l'iso 00 ISO 89 : Gestion des enregistrements (ISO 00..) Norme générale, pas spécifique à la SSI Traite notamment de : Ce qui doit être enregistré, sous quelle forme Evaluation des risques Exigences légales et normes applicables Conditions et durée de conservation et gestion de la pérennité Gestion de l'intégrité, de la qualité et de l'efficacité Utilité pour la SSI Preuves et mise en œuvre des mesures de sécurité pour l'iso 00, SOX, etc Journaux système, réseaux, applicatifs Enregistrements financiers Archivages légaux / 80 Copyright Hervé Schauer Consultants 000-0 - Reproduction Interdite

Intégration du SMSI Normes utiles à l'intégration du SMSI dans l'organisme Projet de norme ISO 0 : Implémentation intégrée d'iso 00 et ISO0000- (ITIL) Projet de norme ISO 0 : Information Security Governance Cohérence avec ISO 800 / 80 Copyright Hervé Schauer Consultants 000-0 - Reproduction Interdite

Autres normes Normes en sécurité réseau Parfois obsolètes, souvent inutilisées Série de normes ISO 808 : Sécurité des réseaux ISO9 : IT intrusion detection framework Projets de normes ISO0- à : cybersecurity ISO80 : Selection, deployement and operations of intrusion detection systems (IDS) RFC de l'ietf plus accessibles et plus utilisés dans ces domaines 8 / 80 Copyright Hervé Schauer Consultants 000-0 - Reproduction Interdite

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 989 Spécialisé sur Unix, Windows, TCP/IP et Internet Continuité d'activité TC & JTC/SC Hervé Schauer

Continuité d'activité ISO 0:0 : Preparedness and Continuity Management Systems - Requirements Business Continuity Management System, BCMS Système de Management de la Continuité d'activité, SMCA Exigences pour des systèmes de management de la continuité d'activité et du maintien en condition opérationnelle Projet de norme ISO : Guideline for incident preparedness and operational continuity management Réintègre la norme britannique BS99- Guide de mise en œuvre de l'iso 0 0 / 80 Copyright Hervé Schauer Consultants 000-0 - Reproduction Interdite

Continuité d'activité ISO 0:0 : Guidelines for ICT (Information and Communications Technologies) Readiness for Business Continuity (IRBC) Partie système d'information d'un SMCA (ISO 0) en utilisation conjointe avec un SMSI (ISO 00) ISO :008 : Guidelines for information and communications technology disaster recovery services Plan de recouvrement informatique Réintègre la norme singapourienne SS0 Environnement, gestion des actifs, confidentialité, conditions d'activation, contrat, environnement partagé Service d'infrastructure liés au recouvrement de sinistre Capacité de reprise de service : niveau de service, bascule opérationnelle, accès, tests, plan de réponse d'urgence, formation,... Guide de sélection des sites de recouvrement / 80 Copyright Hervé Schauer Consultants 000-0 - Reproduction Interdite

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 989 Spécialisé sur Unix, Windows, TCP/IP et Internet Méthode de management des risques ISO 00 OzSSI Sud-Est Lyon, 9 septembre 0 Hervé Schauer <Herve.Schauer@hsc.fr>

Sommaire Introduction Schéma de modélisation Exemple Etablissement du contexte : critères et échelles Cartographie des actifs Menaces, vulnérabilités, conséquences et impacts sur les actifs Scénarios d'incident Plan de traitement des risques Défauts à atouts de l'iso 00 Conclusion / 80 Copyright Hervé Schauer Consultants 000-0 - Reproduction Interdite

Introduction Objectif : présenter la méthode ISO 00 Schéma modélisant chaque activité et sous-activité de la méthode proposée par la norme ISO 00 Voir schéma disponible sur www.hsc.fr en format PDF vectoriel Exemple simple qui déroule la méthode N sur le schéma correspondant aux n des tableaux Exemples de tableaux A titre illustratif! / 80 Copyright Hervé Schauer Consultants 000-0 - Reproduction Interdite

Schéma de modélisation / 80 Copyright Hervé Schauer Consultants 000-0 - Reproduction Interdite

Exemple Un journaliste utilise un ordinateur portable pour rédiger ses articles. Il est employé par le magazine SSID (Sécurité des Systèmes d'information de Demain) mais il lui arrive de vendre ses articles à d'autres journaux. Sur son ordinateur, sont stockés son courrier électronique, ses contacts et tous ses articles publiés, non encore parus et en cours de rédaction. Pour rédiger des articles pertinents, ce journaliste se doit être un véritable globe trotter. Dans l'urgence, il est amené à rédiger ses articles dans les salles d'attente, voire de les envoyer en utilisant les hotspots disponibles. A l'heure actuelle, la seule protection utilisée est un simple couple identifiant / mot de passe à l'allumage de l'ordinateur / 80 Copyright Hervé Schauer Consultants 000-0 - Reproduction Interdite

Établissement des critères / 80 Copyright Hervé Schauer Consultants 000-0 - Reproduction Interdite

Établissement des critères Définir les critères de base (.) Critères d'impact Bas-niveau : vis-à-vis de l'actif Impact de la perte ou de l'atteinte d'un critère de sécurité Disponibilité, intégrité, confidentialité (.) Haut-niveau : vis-à-vis de l'organisme, du processus métier, du projet Echelle de mesure, ou critère d'estimation, des conséquences (financières, délais, image) (.)(8)(B.) Critères évaluation des risques Critères d'acceptation des risques 8 / 80 Copyright Hervé Schauer Consultants 000-0 - Reproduction Interdite

Établissement des critères Critères d'impact Impact assez important pour que le risque doive être pris en compte? Dans l'analyse du risque Critères d'évaluation des risques Niveau de risque assez élevé pour le risque soit traité? Critères d'acceptation des risques Niveau le risque résiduel acceptable par la direction? 9 / 80 Copyright Hervé Schauer Consultants 000-0 - Reproduction Interdite

Établissement des critères Autres échelles utiles lors de l'analyse de risque Pas explicitement imposées lors de l'établissement du contexte Echelle ou critères de valorisation des actifs (8...)(B.)(8...)(8...) Echelles d'estimation Echelle d'estimation des menaces (vraisemblance) (8...)(C)(8...) Echelle d'estimation des vulnérabilités (difficulté d'exploitation) (8...)(D) (8...) Echelle d'appréciation de la vraisemblance des scénarios d'incidents (8...)(B.) 0 / 80 Copyright Hervé Schauer Consultants 000-0 - Reproduction Interdite

Critères d'impact Critères d'impact CID Exemple : Critères d'impact Qualification du besoin en Confidentialité Intégrité Informations pouvant être Pas de validation nécessaire publiques Peut ne pas être intègre Accès autorisé à l'ensemble Simple validation possible du journal SSID Peut être partiellement intègre Accès autorisé à l'ensemble Validation croisée de l'équipe Doit être intègre Accès autorisé à un membre Triple validation unique de l'équipe Doit être parfaitement intègre Disponibilité Niveau du besoin Arrêt supérieur Faible ou à jours inexistant Arrêt entre jour et jours Significatif Arrêt inférieur à Fort jours Aucun arrêt tolérable Majeur Impact sur un actif ou besoin sur cet actif / 80 Copyright Hervé Schauer Consultants 000-0 - Reproduction Interdite

Critères d'impact Critères d'impact «business» ou conséquences Exemple : Echelle de mesure des conséquences Financier Perte financière faible ou nulle Juridique Commercial Perte juridique faible ou null Détérioration de la relation client Perte financière Perte de Amende jugée modérée contrat,d'opé ration ou de (0% du CA < X < transaction, 0% du CA) Retrait temporaire de carte de perte Perte de de Perte financière client jugée significative presse, interdiction temporaire d'exercer l'activité (>0% du CA) Perte financière Procès diffamation, atteinte à Perte d'un jugée inacceptable la vie prive, plagia groupe de clients ou (> 0% du CA) d'un grand Activité Perte de productivi té Arrêt de travail court Arrêt de travail long Reprise du travail impossibl e Image Perte image faible ou null Mention négative ponctuelle dans un média Mention Niveau d'impact Faible ou inexistant Significatif Fort dans les supports de presse Mentionà Majeur dans la presse spécialisée Conséquence de l'occurence d'un scénario d'incident sur l'organisme, le métier, le projet / 80 Copyright Hervé Schauer Consultants 000-0 - Reproduction Interdite

Critères d'évaluation des risques Utilisés par le RSSI ou le gestionnaire de risques SI Exprimés en français Seuil Critères d'évaluation des risques Vraisemblance Faible Moyenne Elevée Très élevée d'un scénario (Peu d'incident probable) (Possible) (Probable) (Fréquente) Exemple : Impact MAX (SOM(CID)) / 80 8 9 0 8 9 0 8 0 8 0 9 8 0 Copyright Hervé Schauer Consultants 000-0 - Reproduction Interdite 8 0 8 0 8

Critères d'acceptation des risques Validés par la direction et utilisés par la direction Exprimés en français Seuil Exemple : / 80 Copyright Hervé Schauer Consultants 000-0 - Reproduction Interdite

Établissement du contexte / 80 Copyright Hervé Schauer Consultants 000-0 - Reproduction Interdite

Établissement du contexte / 80 Copyright Hervé Schauer Consultants 000-0 - Reproduction Interdite

Appréciation du risque / 80 Copyright Hervé Schauer Consultants 000-0 - Reproduction Interdite

Identification des actifs 8 / 80 Copyright Hervé Schauer Consultants 000-0 - Reproduction Interdite

Cartographie des actifs Actifs primordiaux (B.) : Processus et activités métier Information Actifs en support : Cadre organisationnel, site, personnel, réseau, logiciel, matériel, etc Exemple : 9 / 80 0.Liste des actifs primordiaux Actifs Primordiaux Processus de rédaction Processus de vente Articles en cours de rédaction Articles non publiés et non vendus Articles publiés Contacts Copyright Hervé Schauer Consultants 000-0 - Reproduction Interdite

Cartographie des actifs.liste des processus métiers reliés aux actifs Actif Processus de rédaction Ordinateur Logiciel de traitement de texte Articles en cours de rédaction Propriétaire Processus de vente Ordinateur Connexion internet Logiciel de messagerie Mails Articles non publiés et non vendus Contacts 0 / 80 Copyright Hervé Schauer Consultants 000-0 - Reproduction Interdite

Cartographie des actifs.liste des actifs Actifs Primordiaux Actifs en support / 80 Actif Processus de rédaction Processus de vente Articles en cours de rédaction Articles non publiés et non vendus Articles publiés Contacts Ordinateur 8 logiciel de traitement de texte 9 logiciel de messagerie 0 connexion internet mails Fichier d'article journaliste Propriétaire Acheteur Copyright Hervé Schauer Consultants 000-0 - Reproduction Interdite

Valorisation des actifs Exemple Echelle de valorisation des actifs Valeur / 80 Faible Moyen Élevé Très élevé Signification Actif facilement remplaçable Coût d'achat faible Coût de maintenance faible Ne nécessite pas de compétences particulières Actif remplaçable dans la journée Coût d'achat moyen Coût de maintenance moyen Nécessite des connaissances de base Actif remplaçable dans la semaine Coût d'achat élevé Coût de maintenance élevé Nécessite des connaissances techniques particulières Actif remplaçable dans le mois Coût d'achat très élevé Coût de maintenance très élevé Nécessite des connaissances spécifiques. Copyright Hervé Schauer Consultants 000-0 - Reproduction Interdite

Actifs valorises.liste des actifs valorisés Actifs Primordiaux Actifs en support / 80 Actif Processus de rédaction Processus de vente Articles en cours de rédaction Articles non publiés et non vendus Articles publiés Contacts Ordinateur 8 logiciel de traitement de texte 9 logiciel de messagerie 0 connexion internet mails Fichier d'article journaliste Propriétaire Acheteur Copyright Hervé Schauer Consultants 000-0 - Reproduction Interdite Valeur

Actifs sélectionnés.liste des actifs sélectionnés Actif Actifs Primordiaux Processus de rédaction Processus de vente Articles en cours de rédaction Articles non publiés et non vendus Articles publiés Contacts Actifs en support Ordinateur 8 logiciel de traitement de texte 9 logiciel de messagerie 0 connexion internet mails Fichier d'article journaliste / 80 Propriétaire Acheteur Valeur Copyright Hervé Schauer Consultants 000-0 - Reproduction Interdite Sélectionné oui oui oui oui non non oui non non non non oui oui

Identification des menaces / 80 Copyright Hervé Schauer Consultants 000-0 - Reproduction Interdite

Menaces sur les actifs.liste de menaces Actifs Primordiaux Actifs en support / 80 Actif Processus de rédaction Processus de vente Articles en cours de rédaction Articles non publiés et non vendus Articles publiés Contacts Ordinateur Valeur Sélectionné oui oui oui oui non non oui 8 logiciel de traitement de texte 9 logiciel de messagerie 0 connexion internet mails Fichier d'article non non non non oui journaliste oui Menaces Identification de menaces ne effectuée pas sur les actifs primordiaux. Vol Destruction Panne électrique Fraude Destruction Copie Enlèvement Maladie Copyright Hervé Schauer Consultants 000-0 - Reproduction Interdite

Identification des vulnérabilités / 80 Copyright Hervé Schauer Consultants 000-0 - Reproduction Interdite

Vulnérabilités des actifs. Liste de vulnérabilités Actif Actifs Primordiaux Actifs en support 8 / 80 Valeur Sélectionné Menaces Processus de rédaction Processus de vente Articles en cours de rédaction Articles non publiés et non vendus Articles publiés Contacts oui oui oui oui non non Ordinateur oui 8 logiciel de traitement de texte 9 logiciel de messagerie 0 connexion internet mails Fichier d'article non non non non oui journaliste oui Vulnérabilité Identification de menaces ne effectuée pas sur les actifs primordiaux. Vol portabilité Destruction fragilité Panne électrique dépend de l'électricité Fraude Destruction Copie Accès libre manque de sensibilisation Accès libre Fichier en clair Enlèvement Maladie non préparation manque de sensibilisation Copyright Hervé Schauer Consultants 000-0 - Reproduction Interdite

Identification des conséquences Reformuler sous forme de scénario d'incident Occurrence du scénario d'incident = incident de sécurité 9 / 80 Copyright Hervé Schauer Consultants 000-0 - Reproduction Interdite

Conséquences et impacts sur les actifs.liste de conséquences relatives aux actifs affectés et aux processus métiers affectés et impact vis-à-vis des critères CID Scénario d'incident Les actifs impactés Processus de rédaction Articles en cours de rédaction.vol de l'ordinateur du fait de sa portabilité. Max C I D SOM(C,I,D) (SOM(CID)) 8 Articles non publiés et non vendus Ordinateur Fichier d'article.destruction de l'ordinateur du fait de sa fragilité. Processus de rédaction Articles en cours de rédaction Articles non publiés et non vendus Ordinateur Fichier d'article.suite à une panne électrique l'ordinateur ne s'allume plus. Processus de rédaction Articles en cours de rédaction Articles non publiés et non vendus Ordinateur Fichier d'article Processus de rédaction Processus de vente Articles en cours de rédaction 0 Fichier d'article 0 Processus de rédaction Articles en cours de rédaction Fichier d'article 9 9 Processus de rédaction Processus de vente Articles en cours de rédaction Fichier d'article Processus de vente Fichier d'article.après une connexion frauduleuse, le fichier d'article en cours de rédaction est modifié avec des informations fausses et publiés sans contrôle..le manque de formation de l'utilisateur à l'utilisation du système d'exploitation entraîne une mauvaise manipulation causant la perte de l'article..après une connexion frauduleuse, le fichier d'article en cours de rédaction est copié et publié par un autre journal.lors d'une connexion dans un aéroport, le fichier d'article en cours de transfert est écoutée et retransmis sur un site gratuit avant sa publication officielle 8.Dans une zone à risque, le journaliste est pris en otage par des révolutionnaires. 9.Dans une gare, le journaliste mange des moules pas fraiches, il attrape une intoxication alimentaire et il va à l'hôpital. 0 / 80 Processus de rédaction Processus de vente journaliste Processus de rédaction journaliste Conséquences Perte financière jugée modérée Perte juridique faible ou nulle Perte de contrat, d'opération ou de transaction, perte de client mineur Perte de productivité Perte image faible ou nulle Perte financière faible ou nulle Perte juridique faible ou nulle Détérioration de la relation client Perte de productivité Perte image faible ou nulle Perte financière faible ou nulle Perte juridique faible ou nulle Détérioration de la relation client Perte de productivité Perte image faible ou nulle 0 Perte financière jugée inacceptable Retrait temporaire de carte de presse, interdiction temporaire d'exercer l'activité Perte de client Arrêt de travail longe Mention dans les supports de presse à diffusion restreinte impact sur le réputation à court terme. 9 Perte financière jugée significative Perte juridique faible ou nul Perte de client Arrêt de travail longe Mention dans les supports de presse à diffusion restreinte impact sur le réputation à court terme. Perte financière jugée inacceptable Amende Perte de client Arrêt de travail longe Mention dans les supports de presse à diffusion restreinte impact sur le réputation à court terme. Perte financière jugée inacceptable Amende Perte de client Arrêt de travail longe Mention dans les supports de presse à diffusion restreinte impact sur le réputation à court terme. Perte financière jugée significative Perte juridique faible ou nul Détérioration de la relation client Arrêt de travail longe Mention négative ponctuelle dans un média Perte financière jugée significative Perte juridique faible ou nulle Détérioration de la relation client Perte de productivité Mention négative ponctuelle dans un média Copyright Hervé Schauer Consultants 000-0 - Reproduction Interdite

Identification des mesures existantes Première itération : aucune mesure de sécurité existante / 80 Copyright Hervé Schauer Consultants 000-0 - Reproduction Interdite

Mesures de sécurité existantes 8. Liste des mesures de sécurité existantes et prévues Scénario d'incident Les actifs impactés Processus de rédaction Articles en cours de rédaction.vol de l'ordinateur du fait de sa portabilité. Max C I D SOM(C,I,D) (SOM(CID)) 8 Mesures de sécurité existantes Conséquences Perte financière jugée modérée Perte juridique faible ou nulle Perte de contrat, d'opération ou de transaction, perte de client mineur Perte de productivité Perte image faible ou nulle Articles non publiés et non vendus Ordinateur Fichier d'article.destruction de l'ordinateur du fait de sa fragilité. Processus de rédaction Articles en cours de rédaction Articles non publiés et non vendus Ordinateur Fichier d'article Perte financière faible ou nulle Perte juridique faible ou nulle Détérioration de la relation client Perte de productivité Perte image faible ou nulle.suite à une panne électrique l'ordinateur ne s'allume plus. Processus de rédaction Articles en cours de rédaction Articles non publiés et non vendus Ordinateur Fichier d'article Perte financière faible ou nulle Perte juridique faible ou nulle Détérioration de la relation client Perte de productivité Perte image faible ou nulle Processus de rédaction Processus de vente Articles en cours de rédaction 0 Fichier d'article 0 Processus de rédaction Articles en cours de rédaction Fichier d'article 9 9.Après une connexion frauduleuse, le fichier d'article en cours de rédaction est modifié avec des informations fausses et publiés sans contrôle..le manque de formation de l'utilisateur à l'utilisation du système d'exploitation entraîne une mauvaise manipulation causant la perte de l'article..après une connexion frauduleuse, le fichier d'article en cours de rédaction est copié et publié par un autre journal.lors d'une connexion dans un aéroport, le fichier d'article en cours de transfert est écoutée et retransmis sur un site gratuit avant sa publication officielle 8.Dans une zone à risque, le journaliste est pris en otage par des révolutionnaires. 9.Dans une gare, le journaliste mange des moules pas fraiches, il attrape une intoxication alimentaire et il va à l'hôpital. / 80 Processus de rédaction Processus de vente Articles en cours de rédaction Fichier d'article Processus de vente Fichier d'article Processus de rédaction Processus de vente journaliste Processus de rédaction journaliste 0 Perte financière jugée inacceptable Retrait temporaire de carte de presse, interdiction temporaire d'exercer l'activité Protection par Perte de client l'identifiant/ mot de Arrêt de travail longe passe Mention dans les supports de presse à diffusion restreinte impact sur le réputation à court terme. 9 Perte financière jugée significative Perte juridique faible ou nul Perte de client Arrêt de travail longe Mention dans les supports de presse à diffusion restreinte impact sur le réputation à court terme. Perte financière jugée inacceptable Amende Perte de client Protection par Arrêt de travail longe l'identifiant/ mot de Mention dans les supports de passe presse à diffusion restreinte impact sur le réputation à court terme. Perte financière jugée inacceptable Amende Perte de client Arrêt de travail longe Mention dans les supports de presse à diffusion restreinte impact sur le réputation à court terme. Perte financière jugée significative Perte juridique faible ou nul Détérioration de la relation client Arrêt de travail longe Mention négative ponctuelle dans un média Perte financière jugée significative Perte juridique faible ou nulle Détérioration de la relation client Perte de productivité Mention négative ponctuelle dans un média Copyright Hervé Schauer Consultants 000-0 - Reproduction Interdite

Estimation des risques : impacts / 80 Copyright Hervé Schauer Consultants 000-0 - Reproduction Interdite

Scénarios d'incident appréciés 9. Liste des conséquences estimées des scénarios d'incident Scénario d'incident.vol de l'ordinateur du fait de sa portabilité. Max Mesures de sécurité Les actifs impactés C I D SOM(C,I,D) (SOM(CID)) existantes Conséquences Processus de rédaction 8 Perte financière jugée modérée Articles en cours de rédaction Perte juridique faible ou nulle Articles non publiés et non Perte de contrat, d'opération ou de vendus transaction, perte de client mineur Ordinateur Perte de productivité Fichier d'article Perte image faible ou nulle Valeur de conséquences Perte financière faible ou nulle.destruction de l'ordinateur du fait de sa fragilité. Processus de rédaction Articles en cours de rédaction Articles non publiés et non vendus Ordinateur Fichier d'article Perte juridique faible ou nulle Détérioration de la relation client Perte de productivité Perte image faible ou nulle Perte financière faible ou nulle.suite à une panne électrique l'ordinateur ne s'allume plus. Processus de rédaction Articles en cours de rédaction Articles non publiés et non vendus Ordinateur Fichier d'article Perte juridique faible ou nulle Détérioration de la relation client Perte de productivité Perte image faible ou nulle Processus de rédaction Processus de vente Articles en cours de rédaction Perte financière jugée inacceptable Retrait temporaire de carte de presse, interdiction temporaire d'exercer l'activité 0 Fichier d'article 0 Perte de client Arrêt de travail longe Mention dans les supports de presse à diffusion restreinte impact sur le réputation à court terme. Processus de rédaction Articles en cours de rédaction Fichier d'article Perte financière jugée significative 9 9 Perte juridique faible ou nul Perte de client Arrêt de travail longe Mention dans les supports de presse à diffusion restreinte impact sur le réputation à court terme. Processus de rédaction Processus de vente Articles en cours de rédaction Fichier d'article Perte financière jugée inacceptable Amende Perte de client Arrêt de travail longe Mention dans les supports de presse à diffusion restreinte impact sur le réputation à court terme. Processus de vente Fichier d'article Perte financière jugée inacceptable Amende Perte de client Arrêt de travail longe Mention dans les supports de presse à diffusion restreinte impact sur le réputation à court terme. Perte financière jugée significative Perte juridique faible ou nulle Détérioration de la relation client Arrêt de travail longe Mention négative ponctuelle dans un média Perte financière jugée significative Perte juridique faible ou nulle Détérioration de la relation client Perte de productivité Mention négative ponctuelle dans un média.après une connexion frauduleuse, le fichier d'article en cours de rédaction est modifié avec des informations fausses et publiés sans contrôle..le manque de formation de l'utilisateur à l'utilisation du système d'exploitation entraîne une mauvaise manipulation causant la perte de l'article..après une connexion frauduleuse, le fichier d'article en cours de rédaction est copié et publié par un autre journal.lors d'une connexion dans un aéroport, le fichier d'article en cours de transfert est écoutée et retransmis sur un site gratuit avant sa publication officielle 8.Dans une zone à risque, le journaliste est pris en otage par des révolutionnaires. 9.Dans mange attrape et il va une gare, le journaliste des moules pas fraiches, il une intoxication alimentaire à l'hôpital. / 80 0 9 Processus de rédaction Processus de vente journaliste Processus de rédaction journaliste Protection par l'identifiant/ mot de passe Protection par l'identifiant/ mot de passe Copyright Hervé Schauer Consultants 000-0 - Reproduction Interdite

Estimation des risques : vraisemblance / 80 Copyright Hervé Schauer Consultants 000-0 - Reproduction Interdite

Vraisemblance des scénarios d'incident 0. Vraisemblance des scénarios d'incident Scénario d'incident Les actifs impactés Processus de rédaction Articles en cours de rédaction Articles non publiés et non vendus Ordinateur Fichier d'article Max C I D SOM(C,I,D) (SOM(CID)) 8.Destruction de l'ordinateur du fait de sa fragilité. Processus de rédaction Articles en cours de rédaction Articles non publiés et non vendus Ordinateur Fichier d'article.suite à une panne électrique l'ordinateur ne s'allume plus. Processus de rédaction Articles en cours de rédaction Articles non publiés et non vendus Ordinateur Fichier d'article Processus de rédaction Processus de vente Articles en cours de rédaction 0 Fichier d'article Processus de rédaction Articles en cours de rédaction Fichier d'article.vol de l'ordinateur du fait de sa portabilité..après une connexion frauduleuse, le fichier d'article en cours de rédaction est modifié avec des informations fausses et publiés sans contrôle..le manque de formation de l'utilisateur à l'utilisation du système d'exploitation entraîne une mauvaise manipulation causant la perte de l'article..après une connexion frauduleuse, le fichier d'article en cours de rédaction est copié et publié par un autre journal.lors d'une connexion dans un aéroport, le fichier d'article en cours de transfert est écoutée et retransmis sur un site gratuit avant sa publication officielle 8.Dans une zone à risque, le journaliste est pris en otage par des révolutionnaires. 9.Dans mange attrape et il va une gare, le journaliste des moules pas fraiches, il une intoxication alimentaire à l'hôpital. / 80 Processus de rédaction Processus de vente Articles en cours de rédaction Fichier d'article Processus de vente Fichier d'article Valeur de conséquences Perte financière faible ou nulle Perte juridique faible ou nul Détérioration de la relation client Perte de productivité Perte image faible ou nul Perte financière faible ou nulle Perte juridique faible ou nul Détérioration de la relation client Perte de productivité Perte image faible ou nul Perte financière jugée inacceptable Retrait temporaire de carte de presse, interdiction temporaire d'exercer l'activité 0 Perte de client Arrêt de travail longe Mention dans les supports de presse à diffusion restreinte impact sur le réputation à court terme. Perte financière jugée significative 9 9 Perte juridique faible ou nul Perte de client Arrêt de travail longe Mention dans les supports de presse à diffusion restreinte impact sur le réputation à court terme. Perte financière jugée inacceptable Amende Perte de client Arrêt de travail longe Mention dans les supports de presse à diffusion restreinte impact sur le réputation à court terme. Perte financière jugée inacceptable Amende Perte de client Arrêt de travail longe Mention dans les supports de presse à diffusion restreinte impact sur le réputation à court terme. Perte financière jugée significative Perte juridique faible ou nul Détérioration de la relation client Arrêt de travail longe Mention négative ponctuelle dans un média Perte financière jugée significative Perte juridique faible ou nul Arrêt de travail longe Perte de productivité Mention négative ponctuelle dans un média Conséquences Perte financière jugée modérée Perte juridique faible ou nul Perte de contrat, d'opération ou de transaction, perte de client mineur Perte de productivité Perte image faible ou nul Mesures de sécurité existantes 0 9 Processus de rédaction Processus de vente journaliste Processus de rédaction journaliste Protection par l'identifiant/ mot de passe Protection par l'identifiant/ mot de passe Copyright Hervé Schauer Consultants 000-0 - Reproduction Interdite Vraisemblance

Estimation des niveaux de risque / 80 Copyright Hervé Schauer Consultants 000-0 - Reproduction Interdite

Niveaux de risque estimés. Liste des risques avec le valeur de niveau de risque Scénario d'incident.vol de l'ordinateur du fait de sa portabilité. Max Les actifs impactés C I D SOM(C,I,D) (SOM(CID)) Processus de rédaction 8 Articles en cours de rédaction Articles non publiés et non vendus Ordinateur Fichier d'article Mesures de sécurité existantes Conséquences Perte financière jugée modérée Valeur de conséquences Perte juridique faible ou nul Perte de contrat, d'opération ou de transaction, perte de client mineur Perte de productivité Perte image faible ou nul Perte financière faible ou nulle.destruction de l'ordinateur du fait de sa fragilité. Processus de rédaction Articles en cours de rédaction Articles non publiés et non vendus Ordinateur Fichier d'article Perte juridique faible ou nul Détérioration de la relation client Perte de productivité Perte image faible ou nul Perte financière faible ou nulle.suite à une panne électrique l'ordinateur ne s'allume plus. Processus de rédaction Articles en cours de rédaction Articles non publiés et non vendus Ordinateur Fichier d'article Perte juridique faible ou nul Détérioration de la relation client Perte de productivité Perte image faible ou nul Processus de rédaction Processus de vente Articles en cours de rédaction Perte financière jugée inacceptable Retrait temporaire de carte de presse, interdiction temporaire d'exercer l'activité.après une connexion frauduleuse, le fichier d'article en cours de rédaction est modifié avec des informations fausses et publiés sans contrôle..le manque de formation de l'utilisateur à l'utilisation du système d'exploitation entraîne une mauvaise manipulation causant la perte de l'article..après une connexion frauduleuse, le fichier d'article en cours de rédaction est copié et publié par un autre journal.lors d'une connexion dans un aéroport, le fichier d'article en cours de transfert est écoutée et retransmis sur un site gratuit avant sa publication officielle 8.Dans une zone à risque, le journaliste est pris en otage par des révolutionnaires. 9.Dans une gare, le journaliste mange des moules pas fraiches, il attrape une intoxication alimentaire et il va à l'hôpital. 8 / 80 0 Protection par l'identifiant/ mot de passe 0 Fichier d'article 0 Perte de client Arrêt de travail longe Mention dans les supports de presse à diffusion restreinte impact sur le réputation à court terme. Processus de rédaction Articles en cours de rédaction Fichier d'article Perte financière jugée significative 9 9 Perte juridique faible ou nul Perte de client Arrêt de travail longe Mention dans les supports de presse à diffusion restreinte impact sur le réputation à court terme. Processus de rédaction Processus de vente Articles en cours de rédaction Fichier d'article Perte financière jugée inacceptable Amende Perte de client Arrêt de travail longe Mention dans les supports de presse à diffusion restreinte impact sur le réputation à court terme. Processus de vente Fichier d'article Perte financière jugée inacceptable Amende Perte de client Arrêt de travail longe Mention dans les supports de presse à diffusion restreinte impact sur le réputation à court terme. Perte financière jugée significative Perte juridique faible ou nul Détérioration de la relation client Arrêt de travail longe Mention négative ponctuelle dans un média Perte financière jugée significative Perte juridique faible ou nul Arrêt de travail longe Perte de productivité Mention négative ponctuelle dans un média Processus de rédaction Processus de vente journaliste Processus de rédaction journaliste Protection par l'identifiant/ mot de passe 0 8 8 8 0 9 Niveau de risque Vraisemblance =Max(SOM(CID))*Vrais Copyright Hervé Schauer Consultants 000-0 - Reproduction Interdite

Évaluation des risques 9 / 80 Copyright Hervé Schauer Consultants 000-0 - Reproduction Interdite

Risques sélectionnés pour traitement. Liste des risques priorités en relation avec les scénarios d'incident Scénario d'incident.vol de l'ordinateur du fait de sa portabilité. Max Les actifs impactés C I D SOM(C,I,D) (SOM(CID)) Processus de rédaction 8 Articles en cours de rédaction Articles non publiés et non vendus Ordinateur Fichier d'article Mesures de sécurité existantes Conséquences Perte financière jugée modérée Valeur de conséquences Perte juridique faible ou nul Perte de contrat, d'opération ou de transaction, perte de client mineur Perte de productivité Perte image faible ou nul Perte financière faible ou nulle.destruction de l'ordinateur du fait de sa fragilité. Processus de rédaction Articles en cours de rédaction Articles non publiés et non vendus Ordinateur Fichier d'article Perte juridique faible ou nul Détérioration de la relation client Perte de productivité Perte image faible ou nul Perte financière faible ou nulle.suite à une panne électrique l'ordinateur ne s'allume plus. Processus de rédaction Articles en cours de rédaction Articles non publiés et non vendus Ordinateur Fichier d'article Perte juridique faible ou nul Détérioration de la relation client Perte de productivité Perte image faible ou nul Processus de rédaction Processus de vente Articles en cours de rédaction Perte financière jugée inacceptable Retrait temporaire de carte de presse, interdiction temporaire d'exercer l'activité 0 Fichier d'article 0 Perte de client Arrêt de travail longe Mention dans les supports de presse à diffusion restreinte impact sur le réputation à court terme. Processus de rédaction Articles en cours de rédaction Fichier d'article Perte financière jugée significative 9 9 Perte juridique faible ou nul Perte de client Arrêt de travail longe Mention dans les supports de presse à diffusion restreinte impact sur le réputation à court terme. Processus de rédaction Processus de vente Articles en cours de rédaction Fichier d'article Perte financière jugée inacceptable Amende Perte de client Arrêt de travail longe Mention dans les supports de presse à diffusion restreinte impact sur le réputation à court terme. Processus de vente Fichier d'article Perte financière jugée inacceptable Amende Perte de client Arrêt de travail longe Mention dans les supports de presse à diffusion restreinte impact sur le réputation à court terme. Perte financière jugée significative Perte juridique faible ou nul Détérioration de la relation client Arrêt de travail longe Mention négative ponctuelle dans un média Perte financière jugée significative Perte juridique faible ou nul Arrêt de travail longe Perte de productivité Mention négative ponctuelle dans un média.après une connexion frauduleuse, le fichier d'article en cours de rédaction est modifié avec des informations fausses et publiés sans contrôle..le manque de formation de l'utilisateur à l'utilisation du système d'exploitation entraîne une mauvaise manipulation causant la perte de l'article..après une connexion frauduleuse, le fichier d'article en cours de rédaction est copié et publié par un autre journal.lors d'une connexion dans un aéroport, le fichier d'article en cours de transfert est écoutée et retransmis sur un site gratuit avant sa publication officielle 8.Dans une zone à risque, le journaliste est pris en otage par des révolutionnaires. 9.Dans une gare, le journaliste mange des moules pas fraiches, il attrape une intoxication alimentaire et il va à l'hôpital. 0 / 80 0 9 Processus de rédaction Processus de vente journaliste Processus de rédaction journaliste Protection par l'identifiant/ mot de passe Protection par l'identifiant/ mot de passe Niveau de risque Vraisemblance =Max(SOM(CID))*Vrai 0 8 8 8 0 Copyright Hervé Schauer Consultants 000-0 - Reproduction Interdite

Traitement des risques / 80 Copyright Hervé Schauer Consultants 000-0 - Reproduction Interdite

Plan de traitement des risques.plan de traitement des risques Scénario.Vol de l'ordinateur du fait de sa portabilité, ce qui engendre une perte financière, perte de productivité, perte d'image. Niveau de risque Traitement Réduction Mesure de sécurité (ISO00) Sauvegarde. Sensibilisation. Chiffrement. Personnes responsable Coût Moyen Sauvegarde. protection antivirale. Sensibilisation. mise à jour du logiciel. HIPS. Réduction Moyen Maintien Réduction Sensibilisation. Chiffrement. Réexamen des droits d'accès. Déconnexion automatique. des sessions inactives. Moyen Réduction Sauvegarde Formation Sensibilisation Faible Moyen.Destruction de l'ordinateur du fait de sa fragilité,.suite à une panne électrique l'ordinateur ne s'allume plus, perte financière, perte de productivité..après une connexion frauduleuse, le fichier d'article en cours de rédaction est modifié avec des informations fausses et publiés sans contrôle..le manque de formation de l'utilisateur à l'utilisation du système d'exploitation entraîne une mauvaise manipulation causant la perte de l'article. 0 8 Priorités.Après une connexion frauduleuse, le fichier d'article en cours de rédaction est copié et publié par un autre journal 8 Réduction Sensibilisation. Chiffrement. Réexamen des droits d'accès. Déconnexion automatique des sessions inactives..lors d'une connexion dans un aéroport, le fichier d'article en cours de transfert est écoutée et retransmis sur un site gratuit avant sa publication officielle. 8 Réduction Sensibilisation. Chiffrement. Faible 8.Dans une zone à risque, le journaliste est pris en otage par des révolutionnaires. Maintien 9.Dans une gare, le journaliste mange des moules pas fraiches, il attrape une intoxication alimentaire et il va à l'hôpital.. 0 Réduction Sensibilisation. Faible / 80 Copyright Hervé Schauer Consultants 000-0 - Reproduction Interdite

Plan de traitement des risques.plan de traitment du risque avec le niveau des risques résiduels Scénario.Vol de l'ordinateur du fait de sa portabilité, ce qui engendre une perte financière, perte de productivité, perte d'image. Niveau des Mesure de sécurité risques Traitement (ISO00) Sauvegarde. Sensibilisation. Réduction Chiffrement..Suite à une panne électrique l'ordinateur ne s'allume plus, perte financière, perte de productivité..après une connexion frauduleuse, le fichier d'article en cours de rédaction est modifié avec des informations fausses et publiés sans contrôle..le manque de formation de l'utilisateur à l'utilisation du système d'exploitation entraîne une mauvaise manipulation causant la perte de l'article. 0 8 Coût SOM(CID) ré estimée Vraisemblan ce ré estimée Risque Résiduel Moyen Sauvegarde. protection antivirale. Sensibilisation. mise à jour du logiciel. HIPS. Moyen Réduction Sensibilisation. Chiffrement. Réexamen des droits d'accès. Déconnexion automatique. des sessions inactives. Moyen Réduction Sauvegarde Formation Sensibilisation Faible Moyen 0.Destruction de l'ordinateur du fait de sa fragilité, Personnes Priorités responsable Réduction Maintien.Après une connexion frauduleuse, le fichier d'article en cours de rédaction est copié et publié par un autre journal 8 Réduction Sensibilisation. Chiffrement. Réexamen des droits d'accès. Déconnexion automatique des sessions inactives..lors d'une connexion dans un aéroport, le fichier d'article en cours de transfert est écoutée et retransmis sur un site gratuit avant sa publication officielle. 8 Réduction Sensibilisation. Chiffrement. Faible 8.Dans une zone à risque, le journaliste est pris en otage par des révolutionnaires. 9.Dans une gare, le journaliste mange des moules pas fraiches, il attrape une intoxication alimentaire et il va à l'hôpital.. 0 Sensibilisation. Faible / 80 Maintien Réduction Copyright Hervé Schauer Consultants 000-0 - Reproduction Interdite

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back