28/10/2013
Management des risques SI
Méthodes & Normes
Ahmed BADER
Sommaire
• Contexte cyber-guerre, cyber-crime….
• Définitions & vocabulaire
• Pourquoi une Méthode ?
• Analyse des risques SI: Démarche globale
• ISO 27001 et le management des risuqes
• Les METHODES & NORME
– EBIOS
– MEHARI
– OCTAVE
– CRAMM
– ISO 27005
• Choix d’une méthode
• Conclusion
1
� 28/10/2013
Contexte Actuel
Cyber-guerre & cyber-crime
Contexte : Cyber-guerre, crime, …
• Verisign avoue s’être fait attaqué et que ses systèmes
d’information ont été exploités avec succès en 2010.
Src: LeMAGIT 2012
• le Ministère de l’Economie et des Finances annonce
avoir subi une attaque visant à voler des documents
relatifs au G20. Mars 2011, Src: Bilan 2011 Cert-IST
• RSA annonce qu'il a subi une attaque et que des
données relatives aux calculettes d'authentification
SecurID lui ont été volées. Mars 2011, Src: Bilan 2011 Cert-IST
2
� 28/10/2013
Contexte : Cyber-guerre, crime, …
• Après Comodo et DigiNotar, la CA KPN suspend l ’émission de certificats en
raison de la compromission de plusieurs de ses serveurs Web, Nov. 2011 Src: ZDnet
• Enregistrement de la conférence téléphonique organisé par le FBI avec des
membres de Scotland Yard le 17 janv. Par Anonymous, fév. 2012 Src: ZDnet
• L'Agence nationale de sécurité américaine (NSA) espionne tous azimuts :
le siège des Nations unies à New York, l'Agence internationale de l'énergie
atomique (AIEA), mais aussi le ministère des affaires étrangères Français.
Outre la diplomatie, les espions de la NSA s'intéressent aussi et sans
surprise aux secrets de l'industrie militaire française, relève le Spiegel.
François Hollande a exigé l'arrêt du programme d'écoute américain."Nous
demandons que cela cesse dans les meilleurs délais, j'allais dire
immédiatement"
Le [Link] avec AFP et Reuters | 01.09.2013
Contexte
• Les SI des entreprises sont devenus la cible de
toutes les convoitises
– Le SI en soi n’est pas la cible mais un moyen
• Les entreprises doivent donc conjuguer avec
ce nouveau type de risques qui pèsent sur le
SI et par conséquent sur l’organisme
Comment gérer ces risques?
Quelles sont les normes, standards et bonnes pratiques?
3
� 28/10/2013
Quelques Définitions
Vocabulaire
Définitions
• Actif (asset): tout élément ayant une valeur pour l’organisation
• Information: actif (Asset/bien) qu’il convient de protéger de façon appropriée
quelle que soit sa forme (écrite, orale, électronique, visuelle…) ou son support
(patrimoine informationnel)
• Système d’information: est constitué de l’ensemble de l’information et des
moyens techniques, organisationnels, humains, tant matériel que immatériel la
manipulant
• Sécurité
– Absence de risques inacceptable
• En cohérence avec les enjeux et objectifs de l’entreprise
– Sécuriser un système d’information c’est : maitriser les risques
4
� 28/10/2013
Définitions
• Menace: cause potentielle des dommages causés à un système ou à
une entreprise (ISO 13335-1). Trois catégorie (A: Accident, E: Erreur, M:
Malveillance)
• Vulnérabilité: faiblesse ou faille pouvant être exploitée (par une
menace) et entrainer un risque sur un actif
• Risque: combinaison de la probabilité d’occurrence d’un dommage et
de ses conséquences (Risque= fonction(menace, vuln., proba., impact)
• Analyse de risque: identification systématique des risques pesant sur le
SI
• Estimation du risque: assignation d’une métrique à la probabilité et
l’impact du risque
• Évaluation de risque: comparaison de l’estimation du risque avec les
critères définis par la politique de sécurité
Définitions Norme, Standard, Méthode
• Une norme désigne un ensemble de spécifications décrivant un principe
servant de référence technique.
– Une norme n'est pas obligatoire, son adhésion est un acte volontaire
• Peut être rendues obligatoires par un texte réglementaire ou décret de
loi
• Un standard résulte d’un consensus plus restreint que pour la norme
– élaboré entre des industriels au sein de consortiums et non par des
organismes nationaux
– les anglo-saxons utilisent le terme de « standard » pour désigner une
norme
• Une méthode est un moyen d’arriver efficacement à un résultat souhaité,
précis.
– n’intègre pas la notion de document de référence, ni la notion de
consensus
• Ne pas opposer norme et méthode, mais plutôt les associer,
– une méthode sera «l’outil» utilisé pour satisfaire à une norme
5
� 28/10/2013
Méthodes
Pourquoi faire ?
Méthodes : Pourquoi ?
• L’intérêt d’utiliser une méthode de sécurité :
– Approche globale et complète : étapes structurées et cohérentes
– Uniformité : assurer une cohérence d’analyse
– Rapidité / efficacité : optimiser les coûts
– Éviter une approche trop technicienne
• L’intérêt d’utiliser une méthode de sécurité connue :
– Possibilité d’avoir un retour d’expérience par groupe utilisateurs
– Évolution méthode et outillage associé
6
� 28/10/2013
Analyse de risques
Démarche Globale
Démarche Globale
G Etape 1 • Instruire: contexte, périmètre, besoins,
exigences, sensibilité…
E
S • Analyser: menaces, vulnérabilités,
Etape 2
T classification, impact, probabilité, gravité,
I
O Etape 3
• Traiter: choix, mesures, risques résiduels,
approbation, mise en œuvre
N
7
� 28/10/2013
Etape 1 : Instruire
– Global: (Direction & SSI)
– Identifier les objectifs principaux de l’organisation
• Exigences de la DSI,
• Contraintes légales et réglementaires à prendre en compte (PSSI)
– NB: Un risque ne présente de gravité que s’il met en danger la réalisation d’un
de ces objectifs
• Par Projet ou SI: (MOA ou métier)
– Déterminer les caractéristiques particulières en termes de sécurité
– Apporter une appréciation qualitative de la sensibilité globale du projet
– Définir avec précision le périmètre du projet et le modéliser de manière
fonctionnelle
Etape 2 : Analyser
• Biens à protéger
– Inventorier les actifs du système cible,
– Exprimer la sensibilité et/ou la criticité selon
• Critères fondamentaux de sécurité, DICP
• De qui, de quoi:
– Identifier les menaces qui pèsent sur le SI
– Identifier les vulnérabilités liés au SI
• Le risque
– Estimer le couple de « probabilité de survenance/ Impact»;
• Gravité (Risque)= proba. x Impact
– Les études statistiques pour évaluer la survenance est judicieuse
– Une classification des risque en fonction de leur gravité
8
� 28/10/2013
Etape 2 : Analyser
• Le livrable de cette étape:
Etape 3 : Traiter
• Décider du traitement de chacun des risques (MOA et la Direction):
– Accepter: le risque est accepté en connaissance de cause et avec objectivité
– Refuser: le risque est complètement éliminé (activité retirée, etc.), dans le cas où la
gravité du risque est trop élevée et les coûts de traitement sont extrêmement
importants.
– Transférer: le risque est transféré à un tiers (fournisseur, assureur, partenaire ou client),
qui peut l’appréhender plus facilement et efficacement.
– Réduire: le risque est minimisé en déployant des mesures de sécurisation (protection,
prévention, etc.), dans le but de réduire la probabilité d’occurrence et/ou l’impact du
risque.
• Evaluer l’efficacité des mesures de traitement du risque
• Evaluer la gravité résiduelle du risque qui résulte des impacts et probabilités
résiduels,
• Obtenir l’approbation du Management pour l’acceptation du risque, ainsi que
l’autorisation de mettre en œuvre les mesures proposées
9
� 28/10/2013
Etape 3 : Traiter
Options de
traitement
Scénario de
Transférer
Accepter
Menace Actifs concernés Mesures
• Tableau des synthèse des
Réduire
Refuser
risque concerné
traitements des risques
Mise en œuvre d’un
- Postes de travail
I. Incendie Incendie système d’extinction
- Routeurs
• Mesures de réduction incendie
Coût de mise en œuvre de
Interception de
Écoute solutions de chiffrement
V. données sur le - Réseau interne
passive plus élevé que la perte
réseau interne
financière engendrée
• Risques résiduels
• Approbation, Acceptation
ISO 27001
Présentation
10
� 28/10/2013
Norme ISO 27001: Présentation
• ISO 27001 est la norme centrale de la famille ISO 2700x,
• Publié en 2005
• Définit les conditions pour mettre en œuvre un SMSI
– Un Système de Management permet la
• Etablissement d’une politique
• Définition des objectifs
• Atteindre ces objectifs
• Cinq chapitres principaux
• Chapitre 4 :SMSI : Établissement et management du SMSI pour les 4 étapes du
PDCA
• Chapitre 5 : Responsabilité de la direction
• Chapitre 6 : Audits internes du SMSI
• Chapitre 7 : Revue de direction du SMSI
• Chapitre 8 : Amélioration du SMSI
Norme ISO 27001: Roue de Deming ou
PDCA
Prévoir
PLAN Plan
Identification d'action
Indicateurs des
de progrès objectifs
Confiance
Maîtrise
Progrès
Amélioration
Réagir des
pratiques
ACT Définition et
Faire
mise en œuvre
DO
Supervision
et
vérification
Tableaux
de bord Audit
Vérifier sécurité
CHECK
11
� 28/10/2013
Norme ISO 27001
• ISO 27001 exige une gestion stricte des risques SI
• une description de la méthodologie d'appréciation du risques
• un rapport d'appréciation du risque
• le plan de traitement du risque
• ISO 27001 n’impose pas de méthode
• Deux chapitres consacrés à l’implication de la
direction dans le SMSI
• Chapitre 5 : Responsabilité de la direction
• Chapitre 7 : Revue de direction du SMSI
LES Méthodes
Analyse des risques
12
� 28/10/2013
EBIOS
ANSSI (DCSSI)
EBIOS
• EBIOS: Expression des Besoins et Identification des Objectifs de
Sécurité
• EBIOS a été développé par l’ANSSI (ex: DCSSI, du Ministère de la
Défense (France))
• Un logiciel libre et gratuit permettant de simplifier l'application et
automatiser la création des documents de synthèse
• Un centre de formation à l’ASSI organise des stages à destination des
organismes publics Français
• Un club d'utilisateurs EBIOS a été créé en 2003 et constitue une
communauté experts permettant le partage des expériences
• Une base de connaissances utilisable en ligne par le logiciel EBIOS
• Dernière version: 2010 Objectifs:
– [Link] de satisfaire les exigences de gestion des risques d'un
SMSI (ISO 27001)
– de définir une démarche méthodologique complète en cohérence et en conformité
avec les normes internationales de gestion des risques ([ISO 31000], [ISO 27005]…)
13
� 28/10/2013
EBIOS
La démarche est dite itérative; il fait plusieurs fois appel à chaque module afin d'en
améliorer progressivement le contenu
M 1 – Étude du contexte Instruire
• établissement du contexte
• le cadre de la gestion des risques
• les métriques et le périmètre de l'étude
• les biens essentiels, les biens supports
Analyser
M 2 – Étude des événements redoutés
• identifier et estimer les besoins de
sécurité des biens essentiels (CIDP,
• évaluer les impacts en cas de non
respect de ces besoins Traiter
• formuler les événements redoutés.
EBIOS
• M 3 – Étude des scénarios de menaces
– identifier et estimer les scénarios qui peuvent engendrer les
événements redoutés, et ainsi composer des risques
– étudier les menaces que les sources de menaces pouvant
générer et les vulnérabilités exploitables
• M 4 – Étude des risques
– mettre en évidence les risques pesant sur l'organisme
• en confrontant les événements redoutés aux scénarios de menaces
– estimer et évaluer ces risques
– identifier les objectifs de sécurité qu'il faudra atteindre
• M 5 – Étude des mesures de sécurité
– spécifier les mesures de sécurité à mettre en œuvre
– planifier la mise en œuvre de ces mesures
– valider le traitement des risques et les risques résiduels.
14
� 28/10/2013
EBIOS
• EBIOS est une boîte à outils à usage multiple
– schémas directeurs, politiques de sécurité de l'information,
– de cadrage, stratégies de sécurité,
– PCA et PRA plans de continuité d'activités,
– cahiers des charges, plans de traitement de risques,
– cartographie des risques,
– référentiels d'audit, tableaux de bord…
MEHARI
CLUSIF
15
� 28/10/2013
MEHARI
• Mehari (MEthode Harmonisée d'Analyse de RIsques)
• Développée et maintenue par le CLUSIF depuis 1995,
– Clusif: Club de la Sécurité des Systèmes d'Information
Français
• Reprend et remplace les méthodes Melisa et Marion
• MEHARI se présente comme un ensemble cohérent
d’outils et de méthodes de management de la
sécurité, fondés sur l’analyse des risques
• Elle a été conçue pour être adaptable au contexte de
l’entreprise mais elle ne dispose pas de déclinaison
par typologie d’entreprise ou métier.
• Existant en une dizaine de langue
• Dernière version 2010
MEHARI
• MEHARI une méthode complète d’évaluation et de
management des risques liés à l'information
Instruire
Analyser
Traiter
16
� 28/10/2013
MEHARI
• MEHARI 2010 est conforme aux exigences de la norme ISO/IEC 27005
pour gérer les risques
• MEHARI peut être utilisée dans une démarche de type SMSI l’ISO/IEC
27001,
– Identifier et évaluer les risques dans le cadre d’une politique de sécurité
(Planifier),
– Fournir des indications précises sur les plans à bâtir (Déployer)
– Construire des points de contrôle des vulnérabilités (Contrôler)
– et dans une approche cyclique de pilotage (Améliorer)
• Elle fournit un cadre méthodologique, des outils et des bases de
connaissance pour :
• analyser les enjeux majeurs,
• étudier les vulnérabilités,
• réduire la gravité des risques,
• piloter la sécurité de l'information
• MEHARI apporte une aide efficace pour manager et sécuriser le SI de
toutes sortes d’organisations
OCTAVE
CERT (SEM)
17
� 28/10/2013
OCTAVE
• OCTAVE : Operationally Critical Threat, Asset and Vulnerability
Evaluation
• Développé par le CERT® Survivable Entreprise Management team de
l’université de Carnegie Mellon :
– une méthode d’identification des actifs, d’analyse des vulnérabilités et de
pondération des risques
• La première version d’OCTAVE est parue en 1999 et a subi plusieurs
révisions depuis cette date
• OCTAVE est destinée aux grandes entreprises, mais depuis 2003 elle a
été adaptée pour les petites et moyennes entreprises (OCTAVE-S)
• OCTAVE est une méthodologie pour identifier et évaluer les
– risques de sécurité associés aux systèmes d’information
– Développer des critères qualitatifs d’évaluation de risque
– Évaluer les conséquences sur les objectifs d’affaires si une attaque réussit
OCTAVE
• Phase 1, vue organisationnelle : Constitution des profils de menaces basés sur les actifs
de l’entreprise
– Une évaluation avant tout organisationnelle
– Identification des ressources informatiques importantes
– menaces associées et des exigences de sécurité qui leur sont associées
– Identification des vulnérabilités sur ces ressources
• Phase 2, vue technique : Identification des vulnérabilités de l’infrastructure
– une évaluation de l’infrastructure informatique
– identification des moyens d’accès aux actifs,
– Identification des classes qui doivent être assujettie(s) à amélioration
• Phase 3, développement de la stratégie de sécurité et planification
– une analyse des risques sur les actifs opérationnels
– Définir le plan de traitement des risques
– Production des documents
18
� 28/10/2013
OCTAVE
• L’approche OCTAVE est avant tout basée sur les actifs de
l’entreprise. L’équipe d’analyse devra donc :
• Identifier les actifs importants de l’entreprise
• Centrer son analyse des risques sur ces actifs les plus critiques
• Considérer les relations entre ces actifs ainsi que les menaces et les vulnérabilités
pesant sur eux
• Evaluer les risques d’un point de vue opérationnel
• Créer une stratégie de protection basée sur des pratiques
• OCTAVE est accompagné d’un catalogue de pratiques de sécurité.
– Ce catalogue de bonnes pratiques est basé sur des référentiels tels que
ISO 27002 et sur l’expérience des créateurs d’OCTAVE et du SEI
• La documentation offre des conseils sur la préparation à la
méthode, comment sélectionner son équipe d’analyse, choisir le
périmètre de l’étude
• Elle fournit également un modèle de planning et des références
pour l’adaptation de la méthode.
CRAMM
SIEMENS
19
� 28/10/2013
CRAMM
• CRAMM (CCTA Risk Analysis and Management Method)
– CCTA: Agence Centrale de l’Informatique et des Télécommunications du
gouvernement Anglais,
• Créée par Siemens et le CCTA en 1986,
• Version actuelle: v5.2
• CRAMM est applicable à toutes
les étapes du cycle de vie du système
d’information de tout organisme.
• CRAMM est constituée de trois étapes :
– l’établissement des objectifs de la sécurité (identification et évaluation de l’existant),
– évaluation des menaces et des vulnérabilités,
– sélection des remèdes (contremesures) et recommandations
CRAMM
• CRAMM est une méthode payante et propose une base de connaissance
(librairie) très riche:
– contenant plus de trois milles contre-mesures détaillées,
– organisées en soixante dix groupes logiques
• CRAMM fournit des logiciels pour:
– la mise en œuvre de la méthode
– Faire des simulations, des rapports et le suivi des mesures (contre-
mesures) de sécurité
• CRAMM est proposée en deux variantes: CRAMM Express et CRAMM Expert.
– La version express permet de faire un état de la sécurité du système
d’information en limitant les points de contrôle (contre-mesures) à
considérer
20
� 28/10/2013
IT
RiSK Management
ISO 27005
ISO 27005: Présentation
• La norme ISO 27005 (ISO/CEI 27005:2008) IT-
Risk Management a été publiée le 4 juin
• Cette norme adresse la gestion des risques de
en Sécurité des Systèmes d'Information
• conçue pour aider à une mise en place de la sécurité de l’information basée sur une
approche méthodique de gestion du risque
• Elle peut venir en appui de tout SMSI, ou même être utilisée de façon autonome
• Complète ISO 27001 en précisant les exigences portant sur la gestion des risques
• La norme ISO 27005 est un guide qui
• Définit le cadre d’une méthode d’analyse des risques en sécurité de l’information
• S’impose comme un consensus international
21
� 28/10/2013
ISO 27005 : Méthode ou cadre
normatif ?
• L’ISO 27005 est la seule à imposer à la direction générale d’être
parfaitement informée, et de prendre ses responsabilités en toute
connaissance de cause ce qui facilite les arbitrages budgétaires
• ISO 27005 est un ensemble plus ou moins structuré de principes et propose
une démarche en étapes logiques. Est-ce pour autant une méthode?
• Difficile de dire qu'ISO 27005 est efficace car elle ne propose pas de bases
de connaissances de scénarios d'incident et de vulnérabilités
• La norme précise en Introduction : « La présente Norme internationale ne
fournit aucune méthodologie spécifique à la gestion de risque en sécurité
de l'information »
• La norme se définit elle même comme un cadre méthodologique
ISO 27005 : Processus
• La démarche ISO 27005 est composé de trois phases:
– Etablissement du contexte
– Appréciation du risque
• Identification du risque
• Estimation du risque
• Evaluation du risques
– Traitement du risque
• Apporte un changement
fondamental par rapports aux méthodes qui l’ont
précédées comme EBIOS ou Mehari :
• la gestion des risques dans la durée, dans le temps
• de gérer les risques en sécurité de l’information au quotidien
– ce changement majeur est imposé par l’approche continue de l’ISO 27001
22
� 28/10/2013
Choix d’une méthode
Quelle est la meilleure méthode?
La réponse est simple !!
Choix d’une méthode
Quelle est la meilleure méthode?
La réponse est simple : AUCUNE
23
� 28/10/2013
Critères de choix d’une méthode
• Choisir une méthode dont les caractéristiques propres conviendraient le
mieux à la protection de nos SI
– Langue: importance de bien comprendre le vocabulaire employé par la méthode
– Culture: du pays d’origine de la méthode est à prendre en considération
– Base de connaissance et outils: pour faciliter son utilisation est fortement
souhaitable
– Documentation: L’existence et la qualité d’une documentation est d’un support
certain
– Maintenance: l’assistance est plus que nécessaire, et est même incontournable
– Pérennité: Il est très important que l’éditeur de la méthode nous en assure la
pérennité
– Compatibilité: avec des méthodes internationales doit peser énormément
– Retour d’expérience: support d’un club d’utilisateurs
– Adaptabilité: à la taille, personnalisation des critères, nature de l’activité
– ….
Statistiques 2011
Source
Clusif
24
� 28/10/2013
Synthèse
Titre Auteur Mise en œuvre par Outil et bases de
connaissances
EBIOS Appréciation des ANSSI, Expert sécurité Gratuits
risques Gouvernement France Guides
d’implémentatio
n
MEHARI Analyse et CLUSIF, RSSI et RM Gratuits
management des associatif Base complète
risques Enrichissable
CRAMM Evaluation des SIEMENS et RM (Risk Manager) Payants
risques Gouvernement UK Expert et Express
OCTAVE Evaluation des CERT –SEM de Expert processus Gratuits
vulnérabilités et l’Université de OCTAVE OCTAVE
des menaces Garnegie Mellon OCTAVE-S
ISO 27005 IT- Gestion des ISO Expert sécurité ISO 27002
risques en sécurité 2700x RSSI Non disponible
de l’information RM
CONCLUSION
25
� 28/10/2013
Synthèse
• ISO 27005
– a le soutien de l’ISO (organisme international)
– son statut de norme, lui confère une popularité native et accrue
– ne suffit pas à elle seule pour mener une étude approfondie
– est un guide très utile pour cadrer une analyse de risques mais n’est
pas suffisant pour mener une analyse approfondie
– Manque de bases de connaissance, outils ….
• est une norme intéressante pour développer sa propre méthodologie
• EBIOS et MEHARI
– adressent les risques avec une approche classique et complète
– succès: les clubs utilisateurs et les soutiens apportés par l’ANSSI et
par le CLUSIF
– un atout de poids: compatibilité accrue envers la norme
internationale ISO 27005
– très complètes pour mener une analyse de risques
– sont largement suffisantes pour être utilisé dans le cadre de l’ISO
27001
synthèse
• En ce qui concerne CRAMM,
– la méthode a subi une évolution récente et est soutenue
par SIEMENS
– est également familier avec l’approche ISO 27001,
– CRAMM est une méthode payante
• OCTAVE
– est une méthode très lourde et gourmande en termes
de ressources
– adapté aux grandes entreprises
– L’avenir de OCTAVE et OCTAVE-S est un peu plus
nébuleux
– OCTAVE souffre de son manque de popularité
26
� 28/10/2013
Conclusion
• Choisir l’équipe qui conduira l’analyse de risques avant la méthode
• Intégrer l’analyse de risques au processus projet
• L’analyse de risque doit être menée progressivement mais dès le lancement du
projet
– Dès l’études d'opportunité et de faisabilité d'un système d'information et
jusqu’à la fin de vie du système,
• Désigner une équipe (fonction) d’experts qui prendra en charge le choix et la
mise en œuvre des mesures de sécurité
• Ne pas essayer de tout faire d’une seule itération
QUESTIONS
27
� 28/10/2013
Références
• Nicolas Mayer « La gestion des risques pour les systèmes d’information » MISC
n°24 (Avril-Mai 2006), ISSN: 1631-9036
• CLUSIR Rhône Alpes « Point sur les méthodes de sécurité »
• [Link] Sébastien « Etude comparée de référentiels et méthodes utilisées en
sécurité informatique » Mai 2005, [Link]
• Siemens Entreprise; CRAMM v5.1 « Information Security Toolkit» 2010
• Software Engineering Institute, CMU, Documentation OCTAVE,
[Link]/octave
• Jean-Marc Robert, ETS MTI 719 - Analyse de risque - OCTAVE v1.1
• Tarik Beldjilali, Ph.D. Communications of the IBIMA Volume 9, 2009 ISSN: 1943-
7765
28
