ISO 27001 et la gestion des risques

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet ISO 27001 et la gestion des risques Conférence Netfocus Lyon, 10 avril 2008 Hervé Schauer <Herve.Schauer@hsc.fr>

Sommaire ISO 27001 ISO 27001 et la gestion de risques Recommandations ISO 27005 Vocabulaire Processus de gestion de risques Appréciation des risques Traitement des risques Acceptation des risques Rappel des recommandations Conclusion Les transparents seront disponibles sur www.hsc.fr 2 / 40

Processus ISO 27001 Plan Act Matérialisé par Do Check Politique (4.3.1.a) et périmètre (4.3.1.b) Appréciation des risques (4.3.1.e) Plan de traitement des risques (4.3.1.f) Déclaration d'applicabilité (4.3.1.i) Procédures (4.3.1.g) 3 / 40

ISO 27001 et la gestion des risques Exigences ISO 27001 en gestion de risques Impose pas de méthode Impose de définir la méthode employée Impose des éléments structurants : (4.3.1.d et 4.2.1.c) Identifier les actifs, les menaces et les vulnérabilités (4.2.1.d) Identifier les impacts en terme de perte de confidentialité, intégrité, et disponibilité (4.2.1.d.4) Analyser et évaluer les risques (4.2.1.e) Méthodes en phase avec cette démarche conviennent Globalement toutes les méthodes peuvent convenir : BS7799-3, EBIOS, ERSI-CAP, Mehari, Octave, etc 4 / 40

Recommandations Ne pas faire une appréciation des risques une fois pour toute et ne plus y toucher Ne pas chercher à faire une appréciation exhaustive Ne pas travailler 3 mois sur une appréciation des risques Ne pas réinventer la roue Ne pas perdre de temps Ne pas tomber dans le travers de nombre d'entreprises 1/3 5 / 40

Recommandations Faire sa gestion du risque soi-même 2/3 Ou se faire accompagner pour la mise en place et devenir autonome après Faire vivre sa gestion du risque L'entreprise change Les gens gens changent Les objectifs changent Les risques changent Les risques SI évoluent quotidiennement 6 / 40

Recommandations 3/3 Créer un processus de gestion du risque qui vit : Plan Act Identifier l'existant et l'adapter Do Check Construire une méthode simple que l'on fera évoluer dans le temps Communiquer avec la direction et les équipes régulièrement 7 / 40

ISO 27005 Guide de mise en oeuvre de la partie appréciation des risques et traitement des risques de l'iso 27001 ISO 27001 de 4.2.1 c) à 4.2.1 f) 4), plus 4.2.3.d) et 5.1.f) soit 1 page + quelques lignes ISO 27001 4.2.1 c) 4.2.1 f) ISO 27005 ISO 27005 56 pages 24 pages normatives, chap 1 à 12 32 pages d'annexes A à F 8 / 40

ISO 27005 Norme consensus entre les acteurs du marché Noyau commun accepté par tous Peut être complétée Guide complétant ISO 27001 Conforme à l'iso 27001 Méthodes d'appréciation des risques existantes Se qualifieront de "conforme à la norme ISO 27005" Continueront à évoluer et innover Contribueront à l'amélioration de la norme ISO 27005 Compléteront la norme pour ceux qui en ont le besoin 9 / 40

Vocabulaire (3) Analyse de risque / Appréciation du risque Risque de sécurité de l'information (information security risk ) (3.2) Actif (asset) (B) Menace (threat) (C) Vulnérabilité (vulnerability) (D) Impact / Conséquence Tableau d'appréciation des risques Comparatif 10 / 40

ISO 27001 Analyse de risque/appréciation du risque Risk Analysis (IS27001 3.11) Analyse du risque Risk Estimation (3.4) Estimation du risque Risk Evaluation (3.5) Evaluation du risque Risk Assessment (IS27001 3.12) Appréciation du risque Langage couramment employé dans le microcosme de la SSI Analyse de risque Risk Assessment Usage impossible à garder sans confusions Pas d'autre traduction possible que Risk Analysis Analyse du risque Confusion avec Risk Assessment Donc : Risk Assessment Appréciation du risque Comme dans tous les autres métiers qui gèrent des risques 11 / 40

12 / 40 Risque (de( sécurité de l'information) Risque de sécurité de l'information (Information security risk) (3.2) : Possibilité (potential) qu'une menace va exploiter une vulnérabilité d'un actif et ainsi causer un préjudice à l'organisation Mesuré par combinaison de Probabilité d'occurence ou vraisemblance ou potentialité de l'évènement Impact (3.1) ou conséquence ou préjudice Impact plutôt SI Conséquence plutôt processus métier, organisme Conséquence ou Préjudice Menace exploite Vulnérabilité Impact cible Actif 1/3 possède

Risque 2/3 Risque généralement caractérisé par : Source ou origine Employé malveillant, employé non sensibilisé,... Menace Divulgation d'information confidentielle, coupure d'électricité,... Probabilité d'occurence ou vraisemblance ou potentialité Durée et lieu d'occurrence, probabilité d'occurrence Vulnérabilité ayant permis ce risque Erreur de conception, erreur humaine,... Impact, conséquence ou préjudice Indisponibilité du service, perte de marché ou d'image,... Mesure de sécurité ou protection ou contre-mesure pour s'en protéger Contrôle d'accès, politique de sécurité, sensibilisation du personnel,... 13 / 40

Risque 3/3 Exemple dans un tableau d'appréciation des risques : Actif Menace Probabilité Vulnérabilité Impact Niveau de risque d'occurence 14 / 40

Actif Bien, patrimoine informationnel Identification, valorisation, dépendances (B) : Actifs primordiaux (principaux, primaires) (primary assets) : Processus et activités métier Information Actifs de soutien (en support, secondaires) (supporting assets) : Cadre organisationnel Site Personnel Réseau Logiciel Matériel 15 / 40

Menace (C) Menaces (Threat) (CD27000:3.3.6) Source potentielle d'incident pouvant entraîner des changements indésirables sur : un actif Menaces un ensemble d'actifs l'organisation Classées par : 1/4 Menace cible Actif exploite possède Vulnérabilité Origine Type Source, motivation, action Impact 16 / 40

Menace (C) 2/4 Origines des menaces (C) Accidentelle (accidental) : A Action humaine qui endommage accidentellement un actif Délibérée (deliberate) : D Action délibérée sur un actif Environnementale (environmental) : E Tout incident sur un actif qui ne vient pas d'une action humaine 17 / 40

Menace (C) 3/4 Types de menaces (C) Dommage physique (A, D, E) Feu, dégât des eaux, pollution, poussière, gel Evènement naturel (E) Séisme, éruption volcanique, inondation (d'origine naturelle) Perte de service essentiel Eau (A, D), air conditionné (A, D), électricité (A, D, E), télécommunication Perturbations dues aux radiations (A, D, E) Compromission de l'information Interceptions de toutes natures (D) Vol d'équipement, de supports, d'équipements (D) Divulgation d'information, données peu fiables (A, D) Détection de position (D) 18 / 40

Menace (C) 4/4 Type de menaces (C) Pannes techniques Mauvais fonctionnement d'un équipement ou d'un logiciel (A) Saturation (A, D) Actions non-autorisées Copies de logiciels non-autorisés (A), usage de contrefaçons (A, D), corruption de données (D) Compromission de fonction Erreur d'utilisation, abus ou contrefaçon de droits, répudiation 19 / 40

20 / 40 Vulnérabilité (D) Vulnérabilité : propriété intrinsèque de l'actif Menaces peuvent exploiter les vulnérabilités (D) Exemples vulnérabilité menace Zone inondable inondation Spécifications incomplète pour les développeurs mauvais fonctionnement du logiciel Manque des rôles et responsabilités en sécurité de l'information dans la description de poste erreur d'utilisation Conséquence ou Préjudice Menace exploite Vulnérabilité Impact cible Actif possède

Impact/Conséquence Impact d'un risque exprimé (27001 4.2.1.d.4) par : Atteinte à un critère de risque, ou perte d'un critère de risque Exemples : Atteinte à l'intégrité Perte de disponibilité Menace exploite cible Actif possède Conséquence d'un risque (ou préjudice) exprimée par : Du français Vulnérabilité Impact Exemple : Atteinte à l'image de marque Perte de chiffre d'affaires Conséquence 21 / 40

Tableau d'appréciation des risques Exemple dans un tableau d'appréciation des risques : Rapport (report) d'appréciation des risques Tableau (table) d'appréciation des risques (IS27001 4.3.1.e) (IS27005 E.2) Actif Menace Prob.Occ. Vulnérabilité Impact Niveau de risque 22 / 40

Comparatif Attention aux vocabulaires antérieurs Inspiré en partie d'un travail initial de Nicolas Mayer du Centre de Pecherche Public Henri Tudor 23 / 40

Processus de gestion du risque Définition d'un processus Continu et qui s'améliore, donc PDCA Processus de gestion de risque de la sécurité de l'information (information security risk management process) Processus applicable A toute l'organisation A un sous ensemble Plan Do Act Check Service, site géographique, etc. A tout système d'information A une mesure de sécurité ou un traitement existant ou planifié 24 / 40 Exemple : continuité d'activité

Processus de gestion du risque Identifier les risques Plan Quantifier chaque risque par rapport aux conséquences que sa matérialisation pourrait avoir sur le business à sa vraisemblance (likelihood) Identifier les actions appropriées pour réduire les risques identifiés à un niveau acceptable Implémenter les actions Do pour réduire les risques Eduquer la direction et le personnel sur les risques et les actions prises pour les atténuer Rectifier le traitement du risque à la lumière des évènements et des changements de circonstances Améliorer le processus de gestion du risque Act 25 / 40 Surveiller et réexaminer les résultats, l'efficacité et l'efficience du processus Check

Processus de gestion du risque (6) p6 Décomposé en deux activités { séquentielles et itératives Approche itérative Améliore la finesse de l'analyse à chaque itération Garantie une appréciation des risques élevés Minimise le temps et l'effort consenti dans l'identification des mesures de sécurité Appréciation des risques satisfaisante? Risques acceptables? dans ISO 27001 l'activité appréciation du risque s'appelle processus d'appréciation du risque (8.1) Appréciation du risque (risk assessment) Appréciation satisfaisante? oui non Traitement du risque (risk treatment) Risques résiduels à un niveau acceptable? non 26 / 40

Processus de gestion du risque Approche itérative ou cyclique Permet d'avancer avec des Interlocuteurs absents ou incapables de savoir ou qui refusent de répondre Livrables incomplets Incapacité du management de se prononcer sur l'approbation des risques résiduels sans connaître d'abord les coûts associés Facilite la gestion des susceptibilités et des aspects politiques entre Interviewés Actifs et processus métier Appréciation du risque (risk assessment) Appréciation satisfaisante? oui non Traitement du risque (risk treatment) Facilite les liens entre les risques et les impacts sur les processus métier 27 / 40

Processus de gestion du risque Appréciation du risque (8) Analyse des risques Mise en évidence des composantes des risques Estimation de leur importance Evaluation des risques Analyse d'ensemble et prise de décision sur les risques Traitement du risque (9) Sélection des objectifs et mesures de sécurité pour réduire le risque Refus, transfert ou prise du risque Acceptation du risque (10) Approbation par la direction des choix effectués lors du traitement du risque Communication du risque (11) 28 / 40

Processus de gestion du risque (6) p8-9 n 1 Est-ce que l'appréciation des risques donne assez d'éléments pour déterminer les actions nécessaires à la réduction des risques à un niveau acceptable? n 2 Est-ce que le plan de traitement des risques réduit le risque à un risque résiduel qui sera acceptable par la direction générale? Communication du risque Etablissement du contexte Appréciation du risque Analyse de risque Identification du risque Estimation du risque Evaluation du risque Appréciation satisfaisante? Risque acceptable? oui Traitement du risque oui non Acceptation du risque Surveillance et réexamen du risque 29 / 40

Processus de gestion du risque (6) p7 Etablissement du contexte Appréciation du risque Analyse de risque Identification du risque Plan Do Implémentation du plan de traitement du risque Estimation du risque Evaluation du risque Elaboration du plan de traitement du risque Act Améliorer le processus de gestion de risque 30 / 40 Surveillance et réexamen du risque Check

Appréciation du risque Communication du risque Etablissement du contexte Appréciation du risque Analyse de risque Identification du risque Estimation du risque Evaluation du risque Appréciation satisfaisante? Risque acceptable? oui Traitement du risque non oui Acceptation du risque Surveillance et réexamen du risque 31 / 40

Appréciation du risque Appréciation du risque (8.1) : Déterminer la valeur des actifs Identifier les menaces et les vulnérabilités Identifier les mesures de sécurité existantes et leurs effets sur le risque identifié Quantifier les conséquences potentielles Prioritiser et ordonnancer les risques par rapport aux critères préalablement établis Appréciation du risque Analyse de risque Identification du risque Estimation du risque Evaluation du risque Appréciation satisfaisante? Itérations de l'appréciation (8.1) Haut-niveau De plus en plus en profondeur 32 / 40

Traitement et acceptation du risque Communication du risque Etablissement du contexte Appréciation du risque Analyse de risque Identification du risque Estimation du risque Evaluation du risque Appréciation satisfaisante? Risque acceptable? oui Traitement du risque oui non Acceptation du risque Surveillance et réexamen du risque 33 / 40

Traitement du risque (9.1) : Refus ou évitement Traitement et acceptation du risque Appréciation des risques Résultats Liste des risques prioritisés Choix des options de traitement des risques Transfert Réduction (IS27001 4.2.1.f) (9.4) (9.3) (9.5) (9.2) Prise (Retention) Acceptation du risque (10) : risques résiduels risques acceptables? non oui 34 / 40 Plan de traitement des risques accepté

Acceptation (10) Acceptation du risque Du plan de traitement des risques De l'appréciation du risque résiduel Par la direction générale Soit le plan de traitement du risque est réussi Soit la direction générale accepte le risque en toute connaissance de cause Manque de budget Contraintes de temps Bien que le risque soit au-delà des critères d'acceptation des risques Enregistrement formel Traitement du risque Risque acceptable? oui Acceptation du risque (IS27001 4.2.1.h) 35 / 40

ISO27005 ISO 27005 est une méthode en elle-même Autres méthodes servent comme outil au cas par cas Méthode de calcul dans l'estimation du risque Questionnaires pour conduire les entretiens etc 36 / 40

Rappels des recommandations Identifier les objectifs Mise en conformité ISO 27001, établissement de plan de reprise, démarche sécurité,... Adhésion de la direction? Identifier le périmètre Identifier les éléments existants Risques opérationnels? Risques métiers? Méthode? Risk manager? Mener des interviews Savoir où on va 37 / 40

Rappels Adapter l'existant Construire la méthode et établir les critères progressivement Choisir des formules simples NR = Max(C,I,D)*P NR = Max(C,I,D)*P*Difficulté d'exploitation... Conduire des entretiens Identifier et évaluer les actifs Identifier les menaces et vulnérabilités Identifier les mesures de sécurité existantes Identifier les mesures de sécurité potentielles 38 / 40

Conclusion Construisez une gestion de risques Pragmatique Vivante et Maitrisée Questions? Herve.Schauer@hsc.fr www.hsc.fr ISO 27001 a son club! Paris, Toulouse, Rennes, Nantes,... En projet : Lyon, Nice,.. Mutualisation ITIL/itSMF www.club 27001.fr 39 / 40

40 / 40