Scribd
Importer
121 vues18 pages

Identification de La Norme ISO 27005

Le document présente la norme ISO 27005, qui traite de la gestion des risques liés à la sécurité de l'information. Il décrit les principes fondamentaux de la sécurité de l'information, les étapes de la gestion des risques selon cette norme, ainsi que des exemples pratiques d'identification, d'évaluation et de traitement des risques. Enfin, il souligne l'importance de la communication et de la consultation tout au long du processus de gestion des risques.

Transféré par

Salina Mano
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats PPTX, PDF, TXT ou lisez en ligne sur Scribd
121 vues18 pages

Identification de La Norme ISO 27005

Le document présente la norme ISO 27005, qui traite de la gestion des risques liés à la sécurité de l'information. Il décrit les principes fondamentaux de la sécurité de l'information, les étapes de la gestion des risques selon cette norme, ainsi que des exemples pratiques d'identification, d'évaluation et de traitement des risques. Enfin, il souligne l'importance de la communication et de la consultation tout au long du processus de gestion des risques.

Transféré par

Salina Mano
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats PPTX, PDF, TXT ou lisez en ligne sur Scribd

IDENTIFICATIO

N DE LA NORME
ISO 27005
Gestion des Risques liés à la Sécurité de
l'Information

Présenter par: Mme MENAD


Objectifs du cours

1. Comprendre les concepts de base de la sécurité de


l'information

2. Apprendre les étapes de la gestion des risques selon ISO


27005

3. Etude de cas
Introduction à la sécurité de l'information
■ La sécurité de l'information est constitué de trois principes fondamentaux
(la triade CID) :

• Confidentialité : assure que les informations ne soient accessibles qu'aux


personnes autorisées à y accéder. Donc garder les données secrètes et privé
• Intégrité : L’intégrité implique de s’assurer que vos données sont fiables et
exemptes de falsification. L’intégrité de vos données est maintenue
uniquement si les données sont authentiques, exactes et fiables.
• Disponibilité : assure que les informations sont accessibles aux personnes
autorisées.
Introduction à la gestion des
risques
1. Définition du risque informatique :
Le risque informatique est la possibilité qu'une menace exploite
une vulnérabilité dans un système informatique, entraînant des
dommages, des perturbations ou des pertes pour
l'organisation, qui vont affecter la confidentialité, l’intégrité, la
disponibilité et la fiabilité des systèmes d’information
■ RISQUE = menace + vulnérabilité + impact
■ Exemple:
Menace : Cyberattaque -> Vulnérabilité : Mot de passe faible ->
Impact : Perte de données sensibles
Introduction à la gestion des risques
2. Principe de la gestion des risques selon la norme ISO 27005:

La norme ISO 27005 est une norme internationale en complément de la


norme ISO27001 (qui traite des systèmes de gestion de la sécurité de
l'information).

Objectifs Principaux :
• Identifier les risques liés à la sécurité de l'information.
• Évaluer et prioriser ces risques.
• Déterminer des mesures pour les traiter.
• Surveiller et réviser les risques et les mesures mises en place.
• Assurer une communication efficace sur la gestion des risques.
• Exemple : Etudions la gestion des risques de MedData, une entreprise de gestion des
dossiers médicaux électroniques
Étapes de la Gestion des Risques selon
ISO 27005 1- Identification des Risques:

Identifier les actifs Identifier les


Identifier les menaces
vulnérabilités

Les menaces peuvent Les vulnérabilités sont


Un actif est tout ce
provenir de nombreuses des faiblesses que ces
qui a de la valeur pour sources, notamment les menaces peuvent
pirates informatiques, les exploiter. Exp: faible mot
une organisation et
logiciels malveillants, les de passe
qui doit être protégé. erreurs humaines et les
catastrophes naturelles.
Etape1: Identification des risques
1- Actifs Informationnels Identifiés :
• Base de données des patients : Contient des
informations sensibles telles que les dossiers médicaux,
les diagnostics et les prescriptions.
• Système de gestion des prescriptions : Utilisé par les
médecins pour générer et envoyer des prescriptions
électroniques.
• Infrastructure réseau : Supporte les communications
internes et les services en ligne.
• Postes de travail des employés : Accès aux systèmes
internes et manipulation des données sensibles.
Etape1: Identification des risques
■ 2- Identification des Menaces et Vulnérabilités
Etape2: Evaluation des risques
■ Explication des Colonnes
• Actif : Le bien ou la ressource à protéger.
• Risque : L'impact potentiel sur l'actif si un événement indésirable se
produit.
• Probabilité : La chance que l'événement indésirable se réalise
(Faible, Moyenne, Élevée).
• Impact : La gravité des conséquences pour l'organisation (Faible,
Moyenne, Élevée, Très élevé).
• Niveau de Risque : La combinaison de la probabilité et de l'impact
(Faible, Modéré, Élevé, Très élevé).
Etape2: Evaluation des risques
Exercice 1:
Contexte :
Vous travaillez en tant qu'analyste de la sécurité dans une banque appelée BankSecure. La banque
utilise plusieurs systèmes informatiques pour gérer les comptes de ses clients, les transactions
financières, ainsi que la gestion interne. La direction souhaite renforcer la sécurité de son
infrastructure après avoir constaté une augmentation des cyberattaques dans le secteur bancaire.

Récemment, BankSecure a fait face à une panne de serveur due à une défaillance matérielle. De plus,
certains employés ont reçu des emails frauduleux (phishing) prétendant venir du service
informatique. Les systèmes d’information ont également révélé des vulnérabilités non corrigées dans
certaines applications internes, exposant potentiellement les données des clients.

La banque doit mener une analyse de risques afin d’identifier les menaces, vulnérabilités et les actifs
critiques.
Exercice 1: travail demandé
1. Quels sont les actifs impliqués dans ce scénario ?
1. Identifiez les actifs (données, systèmes, ressources humaines) qui sont
critiques pour BankSecure.
2. Quelles sont les menaces présentes ?
1. Décrivez les menaces spécifiques auxquelles ces actifs sont confrontés.
3. Quelles sont les vulnérabilités potentielles ?
1. Déterminez les faiblesses ou défaillances dans les systèmes de BankSecure
qui ont permis ou pourraient permettre aux menaces de se manifester.
4. Après avoir identifié les actifs, menaces, et vulnérabilités. Maintenant, réaliser l'évaluation des
risques pour chaque actif.
■ Quelle est la probabilité que la menace se réalise pour chaque actif ?
■ Quel serait l'impact de cette menace sur l'actif ?
■ Comment évalueriez-vous le niveau de risque global pour chaque actif
en fonction de la probabilité et de l'impact ?
Exercice 1: Solution
Etape3: Traitement des risques
• Objectif : Décider comment gérer chaque risque.
• Options :
• Éviter : Supprimer la source de risque.
• Réduire : Mettre en œuvre des mesures de protection (antivirus,
formation).
• Transférer : Donner la responsabilité à quelqu'un d'autre
• Accepter : Tolérer le risque s’il est faible ou maîtrisé.
Exemple 1 (éviter le risque) :
Une entreprise envisage d'utiliser un logiciel gratuit pour la gestion
de ses données sensibles, mais ce logiciel n’offre pas de mises à jour
de sécurité régulières. Elle décide de ne pas l’utiliser pour éviter tout
risque de faille de sécurité.
Action : Choisir un logiciel sécurisé et payant.
Etape3: Traitement des
risques (suite)
■ Exemple02 (Réduire le risque ): Pour Diminuer la probabilité ou l’impact des
attaques de phishing il faut Former le personnel à reconnaître les emails de phishing
(mauvaise grammaire, liens suspects, demandes inhabituelles).
■ Exemple 03(transférer le risque): Confier tout ou partie du risque à une tierce
partie.
Une entreprise souscrit un contrat de maintenance auprès d’un fournisseur IT qui garantit
une intervention rapide en cas de panne. Le prestataire gère alors les réparations et le temps
de rétablissement.
■ Exemple 04 (accepter le risque): Tolérer l’utilisation de mots de passe
simples pour un système non critique
Une petite entreprise utilise un outil interne pour gérer ses réservations,
mais cet outil n’a pas de données sensibles. L’entreprise
décide d'accepter le risque et de continuer à utiliser le système tel
quel, car les conséquences d’une faille seraient minimes.
Surveillance des risques
■ L’objectif est de s'assurer que Surveiller l’évolution des risques et l’efficacité
des mesures mises en [Link] les étapes clés :
• Collecte des informations : Surveille régulièrement les systèmes pour
détecter des anomalies (journaux d'événements, alertes, etc.).
• Analyse des changements : Évalue si de nouvelles menaces ou
vulnérabilités sont apparues (par exemple, une nouvelle cyberattaque).
• Vérification des contrôles : S’assure que les mesures de sécurité mises en
place (pare-feu, antivirus, formation, etc.) sont toujours efficaces.
• Mise à jour des risques : Révise la cartographie des risques si des
changements sont détectés dans l’environnement technique, organisationnel
ou réglementaire.
■ Exemple : Un système antivirus est en place, mais une nouvelle forme de
ransomware apparaît. La surveillance permet de détecter que l’antivirus
n’est pas adapté, ce qui nécessite une mise à jour.
5. Communication et Consultation
■ Assurer une communication efficace et une consultation régulière avec toutes les parties
prenantes impliquées dans le processus de gestion des risques.

■ Exemple : MedData

■ Stratégies de Communication et de Consultation :

1. Communication Interne :
 Rapports de Sécurité : Fournir des rapports mensuels aux équipes techniques et
aux dirigeants sur l'état de la sécurité, les incidents détectés, et les mesures prises.
 Réunions Régulières : Organiser des réunions trimestrielles avec les responsables
de chaque département pour discuter des préoccupations en matière de sécurité et
des améliorations possibles.
5. Communication et Consultation (suite)

1. Communication Externe :
 Informations aux Clients : Informer régulièrement les clients (hôpitaux et
cliniques) des mesures de sécurité en place et des résultats des audits de sécurité.
 Transparence en Cas d'Incident : En cas de violation de données, communiquer
rapidement et clairement avec les parties affectées, en détaillant les actions
correctives prises.

2. Sensibilisation et Formation :
 Programmes de Formation Continue : Offrir des sessions de formation régulières
pour maintenir la sensibilisation des employés aux nouvelles menaces et aux
meilleures pratiques en matière de sécurité.

Vous aimerez peut-être aussi