Scribd
Importer
192 vues13 pages

ISO 27005 : Gestion des Risques Sécurité

Ce document présente les principes de la norme ISO 27005 sur la gestion des risques en sécurité de l'information. Il décrit les étapes clés du processus comme l'établissement du contexte, l'identification, l'estimation et l'évaluation des risques, et le traitement des risques.

Transféré par

FOOVI Komlan Mawuli
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats PDF, TXT ou lisez en ligne sur Scribd
192 vues13 pages

ISO 27005 : Gestion des Risques Sécurité

Ce document présente les principes de la norme ISO 27005 sur la gestion des risques en sécurité de l'information. Il décrit les étapes clés du processus comme l'établissement du contexte, l'identification, l'estimation et l'évaluation des risques, et le traitement des risques.

Transféré par

FOOVI Komlan Mawuli
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats PDF, TXT ou lisez en ligne sur Scribd

La norme ISO 27005

Information Security Risk Management


Pierre-Yves BONNETAIN
B&A Consultants
[email protected]
Certificat LSTI/RM27005/17

ReSIST - février 2009

Mêmes principes que la qualité


l Cycle continu selon la roue de Deming (Plan,
Do, Check, Act).
l De manière (très) simplifiée :
− Identifier les actions à mener,
− Réaliser les actions prévues,
− Vérifier les résultats et l'efficacité des actions,
− Adapter le processus pour l'itération suivante.

ReSIST - février 2009 B&A Consultants - [email protected] 2

1
Processus ISO 27005

ReSIST - février 2009 B&A Consultants - [email protected] 3

Terminologie
l Norme en anglais, traduite en francais
− Risk analysis : Analyse du risque
− Risk evaluation : Evaluation du risque
− Risk estimation : Estimation du risque
− Risk assessment : Appréciation du risque
l Attention à ne pas confondre
− Appréciation du risque et
− Analyse du risque

ReSIST - février 2009 B&A Consultants - [email protected] 4

2
ISO 27005 et PDCA

ReSIST - février 2009 B&A Consultants - [email protected] 5

ISO 27005
l Norme « non directive » :
− Explicite comment faire (le processus général)
− Tout en laissant l'entière liberté de comment on
exécute chaque étape
l Peut couvrir des situations très diverses sans
modification.
− L'avantage d'une norme « consensuelle ».
− Inconvénient, la première itération peut être « plus
longue » (définition des critères, des règles, formules
de calcul, etc).

ReSIST - février 2009 B&A Consultants - [email protected] 6

3
Etablissement du contexte
l Définit « ce sur quoi va porter l'analyse de
risques » et « comment on va mesurer... »
l Etape d'identification (actifs principaux,
actifs supports, processus...)
l Peut être corrigée suite aux étapes
ultérieures.
l Le contexte peut concerner un ensemble
très large ou très resserré, par exemple :
− Tout un système d'informations, ou
− Juste un sous-composant du SI.

ReSIST - février 2009 B&A Consultants - [email protected] 7

Etablissement du contexte
l Définition des critères et échelles
− D'évaluation : seuil de traitement des risques
− D'impact : seuil de prise en compte des
risques.
− D'acceptation : seuil d'acceptation d'un risque
résiduel.
l Pas d'échelles standards, ce doit être
“pertinent” pour l'entreprise.
l Les critères peuvent changer d'une itération
à l'autre, ou être revus dans une itération.
ReSIST - février 2009 B&A Consultants - [email protected] 8

4
Etablissement du contexte
l Définir
− L'objectif du processus de gestion des risques
(vision claire de ce sur quoi va porter la gestion
des risques),
− sa portée ainsi que ses limites,
− l'environnement dans lequel il s'inscrit
(organisation, contraintes...)
l Organiser et diriger la gestion des risques
(intervenants, rôles, chemins de décision...)

ReSIST - février 2009 B&A Consultants - [email protected] 9

Appréciation des risques

ReSIST - février 2009 B&A Consultants - [email protected] 10

5
Identification des risques
l Identifier et évaluer
− les actifs associés au contexte et leur
propriétaire,
− les menaces qui pèsent sur ces actifs,
− les mesures de sécurité existantes,
− les vulnérabilités possibles, et
− les conséquences de celles-ci.
l Evaluation == donner une note.
l Elaboration de scénarii d'incidents
ReSIST - février 2009 B&A Consultants - [email protected] 11

Identification des risques


l Que peut-il arriver aux actifs qui composent
le contexte ?
− Réunions, brainstorming,
− Réflexions individuelles,
− Approches scénarisées,
− Entretiens,
− Lectures
− Expériences vécues...

ReSIST - février 2009 B&A Consultants - [email protected] 12

6
Identifier les risques
l Critères d'évaluation pour les actifs, menaces,
conséquences :
− Qualitatifs,
− Quantitatifs,
− Financiers,
− Etc.
l Les critères peuvent être quelconques.
l Obtenir une note pour les différents éléments.

ReSIST - février 2009 B&A Consultants - [email protected] 13

Estimation des risques


l Estimer les conséquences de l'avénement d'un
risque.
l Estimer la vraisemblance d'un scénario
d'incident.
l Estimer le niveau de risque.
l Méthodes d'estimation qualitatives (coûts
difficiles à mesurer), quantitatives (coûts
mesurables), ou mixtes.

ReSIST - février 2009 B&A Consultants - [email protected] 14

7
Exemple d'échelles
l Actifs : notés de 0 (jetable) à 4 (vital).
l Vraisemblance des menaces : 0 (peu
vraisemblable) à 2 (très vraisemblable).
l Facilité d'exploitation : 0 (très difficile) à 2
(facile).
l Ce ne sont que quelques exemples simples,
sur échelles resserrées.
l L'échelle peut être très large (1 à 100).

ReSIST - février 2009 B&A Consultants - [email protected] 15

Estimation des risques


l Exemple classique : somme des pondérations
des trois critères (probabilité, facilité, valeur)
l 0 à 2 : bénin ; 3 ou 4 : moyen ; supérieur à 5 :
grave
Probabilité d'occurrence
Faible Moyenne Elevée
du risque
Facilité d'exploitation F M E F M E F M E
0 0 1 2 1 2 3 2 3 4
Valeur de

1 1 2 3 2 3 4 3 4 5
l'actif

2 2 3 4 3 4 5 4 5 6
3 3 4 5 4 5 6 5 6 7
4 4 5 6 5 6 7 6 7 8

ReSIST - février 2009 B&A Consultants - [email protected] 16

8
Règles de calcul
l Absentes de la norme, donc à définir selon le
projet, son contexte, la maturité de
l'organisation.
l Commencer avec des règles simples.
l Faciliter la comparaison avec d'autres
situations et d'autres projets.

ReSIST - février 2009 B&A Consultants - [email protected] 17

Evaluation des risques


l Etape de prise de décision :
− Faut-il traiter le risque ?
− Comment établir les priorités ?
l Analyse des risques => comprendre ceux-ci.
l On peut « redresser » les résultats de
l'estimation des risques du fait de contraintes
qualitatives difficiles à chiffrer (obligations
contractuelles, réglementation, notoriété, etc.).

ReSIST - février 2009 B&A Consultants - [email protected] 18

9
Prise de décision
l Niveau du risque (estimation des risques)
l Critères d'évaluation des risques
(établissement du contexte)
l => priorisation des risques.
l Point de contrôle : l'appréciation est-elle
satisfaisante ?
− Oui, on passe à la définition du plan de
traitement
− Si non, on refait une itération

ReSIST - février 2009 B&A Consultants - [email protected] 19

Traitement du risque

ReSIST - février 2009 B&A Consultants - [email protected] 20

10
Définition du plan de traitement
l Pour définir les options de traitement :
− Mettre en adéquation le risque et le coût de
traitement/réduction.
− Intégration possible d'éléments non rationnels
(« 11 septembre »).
− Intégration des parties concernées
l Perception des risques par celles-ci
l Communication avec elles.

ReSIST - février 2009 B&A Consultants - [email protected] 21

Options de traitement
l Refus du risque : l’activité amenant le risque doit
être éliminée.
l Réduction du risque : le risque doit être diminué.
l Transfert du risque : le risque sera transféré à une
autre « entité » capable de le gérer.
l Conservation du risque : le risque est maintenu
tel quel.
l Chaque option produit un risque résiduel à
évaluer.

ReSIST - février 2009 B&A Consultants - [email protected] 22

11
Acceptation du risque

ReSIST - février 2009 B&A Consultants - [email protected] 23

Acceptation du risque
l Le plan de traitement des risques et les
risques résiduels qui en découlent doivent
être approuvés par la direction.
l Peut déroger aux règles d'évaluation des
risques (critères d'acceptation)
− Coût jugé trop élevé,
− Avantages intéressants à maintenir un risque
− etc.
l Dérogations justifiées et documentées.
l Prises en compte à la prochaine itération.
ReSIST - février 2009 B&A Consultants - [email protected] 24

12
Au-delà de la 27005
l S’intègre normalement dans un SMSI
l Par exemple un processus ISO 27001
l Ou toute autre méthode d’organisation de la
gestion de la sécurité informatique
l Peut fonctionner de manière autonome, hors
SMSI
l Attention à ne pas oublier d’appliquer le plan
de traitement !

ReSIST - février 2009 B&A Consultants - [email protected] 25

Vision à moyen et long terme


l Un processus comme ISO 27005 permet de
garder un historique significatif :
l Des risques, hypothèses, scénarii envisagés
l Des analyses, évolutions du contexte et
modifications associées des scénarii
l Des plans de traitement, dérogations,
contraintes spécifiques
l Donc, de maîtriser son existant.

ReSIST - février 2009 B&A Consultants - [email protected] 26

13

Vous aimerez peut-être aussi