La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Comment utiliser la norme ISO dans un modèle

Présentations similaires


Présentation au sujet: "Comment utiliser la norme ISO dans un modèle"— Transcription de la présentation:

1 Comment utiliser la norme ISO 17799 dans un modèle
AVRIL 2005 Conférence sécurité Comment utiliser la norme ISO 17799 dans un modèle de gouvernance des risques ?

2 Sommaire Modèle de gestion des risques
Norme ISO : Concepts généraux Usage de la norme dans le cadre de la gestion des risques Conclusion

3 STRATEGIE GENERALE A METTRE EN OEUVRE
Les enjeux pour l’entreprise (5/5) La stratégie de protection du SI doit intégrer l’approche métier & les enjeux de l’entreprise pour être efficace. La gestion des risques doit devenir une culture d’entreprise. Tous les acteurs de l’entreprise (management, utilisateurs, équipes informatiques, etc.) doivent être impliqués L’approche technologique génère des investissements pas toujours justifiés et justifiables : attention au surinvestissement. Une approche structurée de la sécurité incluant les aspects organisationnels et techniques est indispensable.

4 Modèle de gestion des risques

5 Objectifs d’un modèle de gestion des risques
Modèle Général (1/2) Fournir une approche structurée et méthodologique, Intégrant la dimension « métier » de l’entreprise, Prenant en compte les aspects humains, structurels, organisationnels et techniques, Prenant en compte la situation opérationnelle réelle de l’entreprise tout en Limitant les coûts et optimisant les ROIs.

6 Stratégie générale d’entreprise
Démarche Générale Modèle Général (2/2) Stratégie générale d’entreprise Définition de la politique de sécurité du SI Mesure et analyse des enjeux « métiers » Mesure et analyse des risques résiduels Définition & mise en œuvre d’un plan d’actions sécurité pluriannuel Approche « Top-down » Approche « Bottom-up » Définition & mise en œuvre d’un tableau de bord sécurité Actions techniques Actions fonctionnelles Analyses financières 1 2 3 4 5 © Copyright Ageris Consulting

7 Liste des actions à mener
MOSAIC = 15 actions Cartographier et classifier les flux d’informations Mesurer le coût de son insécurité (calcul du coût des incidents) Evaluer les menaces et les risques potentiels qui pèsent sur l’entreprise Définir les exigences de protection Rédiger une politique générale de sécurité Définir les directives techniques et fonctionnelles de protection du SI Rédiger une charte informatique à destination des utilisateurs internes Identifier ses vulnérabilités Cartographier ses risques réels Définir les actions de protection à déployer Planifier les actions dans un plan pluriannuel Calculer les retours sur investissement (ROI) et les gains escomptés Calculer les budgets pluriannuels Désigner les Responsabilités en matière de sécurité du SI Définir des tableaux de bord sécurité 1 2 3 4 5

8 Norme ISO 17799

9 Quelques autres normes
Les sources d'information : ISO TR : GMITS - nouvelle partie 2 (en préparation) ISO : Critères Communs ISO : Code of Practice ISO : Intrusion Detection Framework ISO TR : B&F Services - Information Security Guidelines Projets ISO : 18028 : Network Security 18044 : Security Incident Management (SIM) 18043 : Intrusion Detection Systems (IDS) 15443 : Framework for Security Assurance (FRITSA) 17944 : B&F Services - Framework for Security in Financial Systems

10 Historique Historique de la norme ISO 17799 1992 1998 2000 2002 200x
Normalisation de la partie 2 de la BS 7799 : Certification ISO 17799 « Code de bonnes pratiques » Groupe de travail industriels ISO : 2000 (BS7799:1999 part 1) Fast Track Août Parution Décembre BS7799 : 1998 part 2 BS7799 : 2002 part 2 1992 1998 2000 2002 200x 1995 1999 2001 2005 British Standard Institut BS7799 : 1995 Révision BS7799 part 1 & 2 Démarrage révision ISO : 2000 ISO : 2005 Parution 2ème Semestre

11 Structure et contenu (1/2)
Evolution de la norme Structure et contenu (1/2) VERSION 2000 127 Mesures (contrôles) de sécurité 10 domaines VERSION 2005 133 Mesures(contrôles) de sécurité 11 domaines SECURITY POLICY SECURITY POLICY SECURITY ORGANISATION ORGANISING INFORMATION SECURITY ASSET CLASSIFICATION & CONTROL ASSET MANAGEMENT PERSONNAL SECURITY HUMAN RESOURCES SECURITY PHYSICAL & ENVIRONMENTAL SECURITY PHYSICAL & ENVIRONMENTAL SECURITY COMMUNICATIONS & OPERATIONS MANAGEMENT COMMUNICATIONS & OPERATIONS MANAGEMENT ACCESS CONTROL ACCESS CONTROL SYSTEM DEVELOPMENT & MAINTENANCE INFORMATION SYSTEM ACQUISITION, DEVELOPMENT & MAINTENANCE INFORMATION SECURITY INCIDENT MANAGEMENT BUSINESS CONTINUITY BUSINESS CONTINUITY MANAGEMENT COMPLIANCE COMPLIANCE

12 Quelques définitions et guides de mise en oeuvre
Principaux apports Structure et contenu (2/2) 125 mesures révisées ISO : 2000 9 mesures supprimées 17 mesures ajoutées ISO : 2005 CONTRÔLES / MESURES Contrôles/mesures + Quelques définitions et guides de mise en oeuvre GUIDES DETAILLES DE MISE EN OEUVRE INFORMATIONS COMPLEMENTAIRES

13 Usage de la norme

14 Usage de la norme (1/4) Cas 1
1. SUPPORT POUR LA DEFINITION D’UNE POLITIQUE DE SECURITE GUIDE DE BONNES PRATIQUES A ADAPTER AU CONTEXTE DE L’ENTREPRISE (REFERENTIEL DE SECURITE) A COMPLETER PAR DES DIRECTIVES (MESURES) NON TRAITEES Exemple de framework

15 AUDIT DU SYSTEME D’INFORMATION A COMPLETER PAR UNE ANALYSE DES RISQUES
Cas 2 Usage de la norme (2/4) 2. EVALUATION DES MESURES DEPLOYEES AUDIT DU SYSTEME D’INFORMATION A COMPLETER PAR UNE ANALYSE DES RISQUES Exemple de résultats

16 STRUCTURATION DU PLAN D’ACTIONS A COMPLETER PAR DES MESURES DETAILLEES
Cas 3 Usage de la norme (3/4) 3. SUPPORT POUR LA DEFINITION D’UN PLAN D’ACTIONS STRUCTURATION DU PLAN D’ACTIONS A COMPLETER PAR DES MESURES DETAILLEES Exemple de résultats

17 Usage de la norme (4/4) Cas 4
4. SUPPORT POUR LA CREATION DE TABLEAUX DE BORD PERMET UN SUIVI DE LA POLITIQUE DE SECURITE SENSIBILISE LA DIRECTION GENERALE Exemple de résultats

18 Conclusion

19 Synthèse de l’utilisation de la norme ISO 17799
Conclusion (1/2) La norme ISO est un bon outil pour la gouvernance des risques Stratégie générale d’entreprise Définition de la politique de sécurité du SI Mesure et analyse des enjeux « métiers » Mesure et analyse des risques résiduels Définition & mise en œuvre d’un plan d’actions sécurité pluriannuel Approche « Top-down » Approche « Bottom-up » Définition & mise en œuvre d’un tableau de bord sécurité Actions techniques Actions fonctionnelles Analyses financières 1 2 3 4 5 © Copyright Ageris Consulting

20 Conclusion (2/2) Evolutions futures
Son usage tend à se généraliser au niveau international et en France Comparaison possible (benchmark), langage commun utile dans les groupes internationaux Une certification ISO est possible depuis peu ISO 27001 Anticipation et mise en conformité possible dès aujourd’hui

21 Politique de sécurité : Framework
Intelligence économique : Approche défensive Fonctionnement de l’entreprise : Lutte contre les dysfonctionnements Risques juridiques : Respect des lois et réglements Politique de sécurité de l’information Objectifs et besoins de sécurité Classification des Informations et des flux Organisation de la sécurité Directives de sécurité au niveau : Du respect des apects juridiques De l’infrastructure technique Des applications et des données De la gestion et du suivi des risques De la continuité des activités Des informations écrites Des employés et des Sous traitants Audits et contrôles Tableaux de bord et suivi Guide de protection des : Plan de secours et plan de reprise Réseaux et Télecoms fixe et sans fil Systèmes centraux et départementaux Données et Informations écrites Postes de travail fixe ou nomade Applications et des projets & environnement de travail Protection physique Sécurité des employés Choix des Solutions techniques : Lutte anti-intrusion logique et physique Chiffrement et certification Contrôle d’accès logique et physique Gestion des alertes et des logs Lutte anti-virale & anti spam © Copyright Ageris Consulting

22

23

24

25 Définir les actions à déployer
2 catégories : Actions TECHNIQUES : Anti-virus, Firewall IDS/IPS Chiffrement PKI / SSO / Contrôle d’accès Logiciels de surveillance, de traitement des fichiers logs Solutions techniques de redondance, de sauvegardes, ….. Etc. Actions FONCTIONNELLES : Procédures d’exploitation, Formations / Sensibilisations, Pilotage & suivi, Plan de secours et plan de continuité d’activité,

26

27 Tableau de bord SSI

28 Politique de sécurité

29 Objectif de la politique de sécurité
« Ensemble des lois, règlements et pratiques qui régissent la façon de gérer, protéger et diffuser les biens, en particuliers les informations sensibles, au sein de l'organisation » (ITSEC, Commission européenne, juin 1991 §2.10). Objectifs : Informer et sensibiliser les individus sur les risques encourus par un système d’information (provenance du risque, risque maximum toléré…). Fournir les moyens techniques et organisationnels pour se prémunir des risques identifiés et garantir un niveau de sécurité durable vis-à-vis des clients de l’entreprise, du système bancaire et de l’entreprise elle-même. Élaborer un cadre général permettant aux opérationnels et décisionnels de construire et mettre en œuvre l’ensemble des procédures nécessaires à l’application homogène de la politique de sécurité, afin de garantir la protection du système d’information.

30 Politique générale de sécurité
Contenu général de la politique de sécurité Politique générale de sécurité Un document décrivant la politique générale de l’entreprise (2/3 pages maximum), démontrant la motivation de la Direction Générale, précisant les concepts et les directives générales, et impliquant l’ensemble du personnel de l’entreprise.

31 Politique de sécurité : Framework
Contenu détaillé de la politique de sécurité Politique de sécurité : Framework Intelligence économique : Approche défensive Fonctionnement de l’entreprise : Lutte contre les dysfonctionnements Risques juridiques : Respect des lois et réglements Politique de sécurité de l’information Objectifs et besoins de sécurité Classification des Informations et des flux Organisation de la sécurité Directives de sécurité au niveau : Du respect des apects juridiques De l’infrastructure technique Des applications et des données De la gestion et du suivi des risques De la continuité des activités Des informations écrites Des employés et des Sous traitants Audits et contrôles Tableaux de bord et suivi Guide de protection des : Plan de secours et plan de reprise Réseaux et Télecoms fixe et sans fil Systèmes centraux et départementaux Données et Informations écrites Postes de travail fixe ou nomade Applications et des projets & environnement de travail Protection physique Sécurité des employés Choix des Solutions techniques : Lutte anti-intrusion logique et physique Chiffrement et certification Contrôle d’accès logique et physique Gestion des alertes et des logs Lutte anti-virale & anti spam © Copyright Ageris Consulting

32 Organisation de la sécurité

33 Les acteurs de la SSI RSICP : Responsable sécurité informatique du Centre de profit CISI : Correspondant informatique du site La sécurité doit être structurée : une organisation particulière doit être mise en place afin de gérer les différents composants de la sécurité, les acteurs et leurs évolutions. Les responsabilités doivent être partagées entre les différents niveaux hiérarchiques : Niveau décisionnel : il conçoit, met en place, et assure le respect de la politique de sécurité. Niveau de pilotage : il s’agit des autorités qualifiées responsables de la sécurité du système d'information dont elles ont la charge (consignes, directives, contrôle interne, sensibilisation). Niveau opérationnel : il s’agit des agents de la sécurité en charge de la gestion, du contrôle et du suivi de la sécurité.

34 Responsable de la Sécurité des Systèmes d’Information (RSSI)
Définition: « Le RSSI est le garant de la sécurité des systèmes d’information de l’entreprise. Ses domaines d’action sont multiples mais ils répondent à un seul objectif : assurer l’intégrité, la cohérence et la confidentialité des données de tous les systèmes d’information de l’entreprise. » Positionnement hiérarchique (ideal) : rattaché directement à la Direction générale dispose d’un budget spécifique Pourquoi? SSI = partie intégrante de la stratégie de l’entreprise La SSI doit venir de la volonté du sommet de l’entreprise La SSI exige une vision globale de l’entreprise Missions - Analyse des risques. - Contrôle, audit. - Architecture, conception. - Veille technologique. - Sensibilisation, formation. Fonctions Bonne connaissance de l’ensemble des métiers, ancienneté Bonnes compétences techniques (système et réseau) Sens avéré de la stratégie et de la communication

35 Sous la responsabilité de la DG Un budget propre Fonctions:
Comité de Sécurité des Systèmes d’Information (CSSI) Sous la responsabilité de la DG Un budget propre Fonctions: examiner et approuver la politique de sécurité de l’information gérer la sécurité de l’information contrôler les changements significatifs des SI et des dispositifs de Sécurité examiner et contrôler les incidents de sécurité approuver les principales initiatives qui permettent de renforcer la sécurité de l’information nommer le RSSI

36 Continuité de services
AVRIL 2005 Conférence sécurité Continuité de services BCP (PCA) / DRP (PRA)

37 Le contexte général & les enjeux
Sommaire Sommaire Le contexte général & les enjeux Méthode et démarche

38 Un environnement risqué Un environnement risqué
Des risques à impacts majeurs Inondation Explosion industriel Incendie Gard (FR) Somme (FR) Asie Toulouse (FR) Ath (BE) Crédit Lyonnais (FR) Bibliothèque nationale (FR) Franière industrie (BE) Tremblement de terre Chute d’avion Attentat Iran Algérie Japon New York Madrid Concorde New York Madrid Londres Irlande Tempête / Ouragan …….

39 Un environnement risqué Un environnement risqué
Des servitudes de plus en plus défaillantes Rupture d’alimentation électrique Suisse Etat-Unis Angleterre Rupture de télécommunications France Télécom Bouygues Rupture de climatisation

40 Un environnement risqué Un environnement risqué
Les risques humains sont importants Conflit social interne Conflit social externe Grèves dans les transports (SNCF, RATP) Grèves 1995 Grèves des routiers Erreur humaine Erreur utilisateur Erreur de programmation Malveillance Pirate informatique Espionnage Vol - Sabotage

41 Un environnement risqué Un environnement risqué
Les systèmes d’information sont vulnérables Panne matériel Vulnérabilités technologiques Les informations sont mal protégées Les utilisateurs ne sont pas suffisamment formés

42 Un environnement risqué Un environnement risqué
Les procédures ne sont pas toujours adaptées Pas de procédures formalisées La gestion de crise est souvent négligée Les rôles et les responsabilités ne sont pas définies

43 Les enjeux sont importants Les enjeux sont importants
Indisponibilité de ses moyens de production Impossibilité de fournir un service ou un produit Perte de productivité Insatisfaction & perte de clients Frais et charges supplémentaires non prévues Les marges d’exploitation peuvent être impactées Le chiffre d’affaires peut diminuer La productivité peut être affectée

44 Le contexte général & les enjeux
Sommaire Sommaire Le contexte général & les enjeux Méthode et démarche

45 Méthode et démarche Méthode et démarche
La continuité des activités et les plans de secours Modèle et guide du BCI Business Continuity Management & Disaster Recovery Plan

46 Les phases d’un projet Les phases d’un projet
P1 : Analyser les exigences et les enjeux Classifier les informations, les ressources et les flux Identifier les processus et les fonctions critiques Identifier les ressources et les flux internes et externes critiques Identifier les obligations légales et contractuelles critiques Analyser les impacts métiers (BIA) Définir les scénarios de sinistre à prendre en compte Mesurer les impacts des scénarios sur l’entreprise (par processus) Définir les temps de reprise par processus ou activités (MTO, RTO) Analyser les risques potentiels et résiduels Identifier les menaces pesant sur les processus et les fonctions critiques Analyser les probabilités de survenance des risques Cartographier les risques potentiels et résiduels (en intégrant les BIA) Faire valider les exigences et les enjeux par la direction générale

47 Les phases d’un projet Les phases d’un projet
P2 : Définir la stratégie de gestion de la continuité Définir la stratégie générale de continuité Formaliser les choix parmi : Ne pas traiter le risque (risques acceptables pour la DG) Changer ou améliorer les procédures actuelles Couvrir le risque par une assurance Mettre en œuvre des solutions pour réduire le risque Définir les orientations stratégiques (externalisation, internes, etc.) Définir la stratégie au niveau des processus métiers Valider les MTO et RTO pour chaque processus métiers Identifier les solutions stratégiques appropriées Chiffrer les solutions en terme d’efficacité, d’objectifs et de coûts Définir les ressources nécessaires à la reprise d’activité Définir les ressources humaines et techniques nécessaires Définir le plan d’actions de déploiement du projet Faire valider la stratégie de continuité par la direction générale

48 Les phases d’un projet Les phases d’un projet
P3 : Définir un plan stratégique de gestion de crise Définir le plan de gestion de crise (CMP) Définir l’équipe de gestion de crise (ressources, responsabilité, etc.) Définir la stratégie de gestion de crise (objectifs, localisation, contenu, etc.) Définir les plans de continuité d’activité Définir la liste des actions à mener en cas de crise Définir le déroulement des plans d’actions (ressources, timing, etc.) Définir les plans opérationnels de reprise d’activité Définir les l’organisation et les ressources dans les BU ou services Définir les procédures de traitements des incidents

49 Les phases d’un projet Les phases d’un projet
P4 : Former et sensibiliser à la continuité d’activité Evaluer le degré de sensibilisation des utilisateurs Auditer les utilisateurs et évaluer leur degré de sensibilisation Définir les plans de formation adaptés Former et sensibiliser les utilisateurs Définir le contenu précis des programmes de formations Former les utilisateurs Evaluer les changements de comportement Définir le programme d’évaluation continu Evaluer régulièrement les utilisateurs et mesurer les évolutions

50 Les phases d’un projet Les phases d’un projet
P5 : Tester et maintenir le plan de continuité Tester le plan de continuité d’activité Définir les objectifs et le champ des tests (évaluer les risques) Mettre en œuvre le plan de tests Analyser les résultats des tests Maintenir le plan de continuité Définir les procédures d’évolutions du BCP Définir les responsabilités dans le processus de maintenance Auditer le plan de continuité Définir les procédures, le champ et les méthodes d’audit Définir les procédures de prise en compte des résultats d’audit

51 Méthodes d’analyse des risques
& D’audit

52 Objectif de ce cours Fournir un panorama des techniques, solutions et méthodes permettant de mettre en évidence les risques relatifs à la sécurité du SI Ne seront pas abordés : Les méthodes d’analyse des risques dans les projets informatiques Les outils ou méthodes d’audit du SI (ex.: COBIT) Le contenu détaillé des méthodes

53 Sujets abordés Introduction Les approches ….. L’état du marché
Les objectifs recherchés Les enjeux majeurs des entreprises – pourquoi faire une analyse des risques ? Audit vs Analyse de risques La gouvernance des risques Les approches ….. … par la mesure de l’historique … par la mesure des risques « intrinsèques » … par la mesure des risques « résiduels » L’état du marché Les méthodes « gouvernementales / d’états » (ou soutenues par) Les méthodes « issues du secteur associatif » Les méthodes « universitaires / R&D» Les méthodes « privées » (développées par des fournisseurs privées) Les méthodes « Internes » (développées par les entreprises en interne)

54 L’analyse des risques est un « outil » de management
Objectifs recherchés « Cartographier » l’ensemble des risques pesant sur l’entreprise afin de prendre les décisions stratégiques adaptées ….. …. En fonction du niveau de gravité des risques encourus …. …. Décisions de traitement ou non des risques L’analyse des risques est un « outil » de management et de pilotage

55 Audit vs Analyse de risques
Un audit identifie les failles et les vulnérabilités : - Plus la faille est importante, plus la probabilité de survenance d’un incident est élevée Mesure de la gravité Une analyse des risques intègre l’analyse de la conséquence (l’impact) de l’exploitation de la faille : - Plus la faille est importante et plus l’impact de son exploitation est important, plus la gravité du risque est élevée

56 2 méthodes de calcul / d’estimation
du niveau de risque Quantitative – Cette méthode vise à exprimer le risque en termes financiers et de fréquence Qualitative – Cette méthode vise à exprimer le risque en terme d’impact potentiel et de probabilité de survenance.

57 Les approches (1/3) Catégorie 1 : Approche par la mesure de l’historique L’idée : Travailler sur l’historique des incidents L’objectif : Calculer le coût des incidents sur les 12 derniers mois 2 variables : - L’impact financier d’un sinistre (mesure quantitative) - La fréquence annuelle (mesure quantitative) Intérêts Sensibilise fortement une direction générale Pragmatique et concret Exigée par certaines directives (Bâle II) et par certains métiers

58 Les approches (2/3) Catégorie 2 : Approche par la mesure des risques « intrinsèques » L’idée : Analyser les probabilités de survenance et les impacts métiers (menaces et impacts intrinsèques) L’objectif : Dresser une cartographie des risques perçus (vision DG) 2 variables : - L’impact « métiers » (mesure qualitative ou mesure quantitative) - La probabilité potentielle estimée ou la fréquence (C1) Intérêts Fournie la vision des risques perçus par le management Rapide à réaliser

59 Les approches (3/3) Catégorie 3 : Approche par la mesure des risques « résiduels » L’idée : Analyser les impacts métiers et auditer les vulnérabilités L’objectif : Dresser une cartographie des risques résiduels 2 variables : - L’impact métier (mesure quantitative ou mesure qualitative) - La probabilité potentielle mesurée (mesure qualitative) Intérêts Mesure le niveau de risques résiduel Exhaustif (en fonction de la nature de l’audit) Permet une comparaison avec la vision DG (C2)

60 L’état du marché (1/5) Famille 1 : Méthodes « gouvernementales / d’état » ou soutenues par … France : EBIOS (DCSSI) Développé depuis 1995 Logiciel EBIOS disponible gratuitement « Compatible » ISO 17799 Langue Française Cible : Administration & grands comptes Méthode de catégorie 2 Mesure qualitative Angleterre : CRAMM (Siemens) Développé depuis 1986 Logiciel CRAMM V5 - à partir de 6 600$ « Full - Compatible » BS 7799 / ISO 17799 Langue Anglaise Cible : Administration & grands comptes & PME-PMI Méthode de catégorie 3 Mesure qualitative [Allemagne : BSI ] : Plus un outil d’audit Australie : Guide (élaboré par l’«Office of Information and communications Technology)

61 L’état du marché (2/5) Famille 1 : Méthodes « issues du monde associatif » France : MARION (CLUSIF) Fin des développements depuis 1998 Méthode de catégorie 2 Développé depuis 1995 500€ pour les bases de connaissance (Clusif) Logiciel RISICARE (Société BUC SA) – € « Compatible » BS 7799 / ISO 17799 Langue Française (en cours de traduction en Anglais) Cible : Administration & grands comptes & PME-PMI France : MEHARI (CLUSIF) Méthode de catégorie 2 & 3 Mesure qualitative Angleterre : SPRINT (ISF) Développé depuis 1995 Logiciel SPRINT (gratuit pour les membres) « Compatible » BS 7799 / ISO 17799 Langue Anglaise Cible : Administration & grands comptes Méthode de catégorie 3 Mesure qualitative

62 L’état du marché (3/5) Famille 1 : Méthodes « universitaires et R&D »
Etats Unis : OCTAVE (Carnegie Mellon) Développé depuis 1999 Logiciel OCTAVE – à partir de 1000 € Pas de référence l’ISO 17799 Langue Anglaise Cible : Administration & grands comptes & PME/PMI Méthode de catégorie 2 & 3 Mesure qualitative Luxembourg : Programme de recherche Depuis Mai 2005 Travaux de recherche sur la convergence MEHARI (FR) et BSI (DE) Méthode de catégorie 2 et/ou 3

63 L’état du marché (4/5) Famille 1 : Méthodes « issues du secteur privé » France : SCORE (Ageris Consulting) Développé depuis fin 2004 Logiciels SCORE & ROSI+ / Modèle MOSAIC – à partir de € « Full - Compatible » BS 7799 / ISO 17799 Langue Française (& Anglaise – en cours) Cible : Administration & grands comptes & PME-PMI Méthode de catégorie 1,2 & 3 Mesure qualitative et mesure quantitative Canada : CALLIO (CALLIO Technologies) Développé depuis 2001 Logiciel CALLIO Secura. À partir de € « Full - Compatible » BS 7799 / ISO 17799 Langue Française & Anglaise Cible : Administration & grands comptes & PME-PMI Méthode de catégorie 3 Mesure qualitative Angleterre : COBRA (C & A Systems Security Limited) Développé depuis 2001 Logiciel Cobra – à partir de 895 $ « Full - Compatible » BS 7799 / ISO 17799 Langue Anglaise Cible : Administration & grands comptes & PME-PMI Méthode de catégorie 3 Mesure qualitative Belgique : ISAMM (Evosec) Développé depuis 2002 – méthode « de consultants » « Compatible » BS 7799 / ISO 17799 Langue Anglaise Cible : Administration & grands comptes & PME-PMI Méthode de catégorie 3 Mesure quantitative Allemagne : RA2 (aexis) Développé depuis 2000 Logiciel : € « Full - Compatible » BS 7799 / ISO 17799 Langue Anglaise & Japonaise Cible : Administration & grands comptes & PME-PMI Méthode de catégorie 2 & 3 Mesure qualitative France : RISICARE (BUC sa)

64 L’état du marché (5/5) Famille 5 : Méthodes « développées en interne »
Adaptation de méthodes des années 80-90 (Marion ou Mélisa (CF6)) Méthode de catégorie 2 Mesure qualitative Développement par des équipes DSI / RSSI Méthode de catégorie 2 ou 3 Développement par des équipes de « Risk Management » Méthode de catégorie 1 & 3 Notamment dans le secteur financier (exigences Bâle II) mais également dans d’autres secteurs (ex. : Logistique)

65 Les critères de choix L’approche (M : quantitative/qualitative ; C : historique/intrinsèque/résiduel) l’origine de la méthode (Famille – pays) Le langage d’utilisation (FR, EN, FR & EN, autre) Le support d’un logiciel ou d’utilitaires Le support et l’assistance locale L’adaptabilité et la personnalisation au contexte Facilité d’utilisation et le pragmatisme La compatibilité avec la norme ISO 17799 Le coût

66 Conclusion

67 Conclusion Le nombre de méthodes / d’outils disponibles (> 12) et leurs caractéristiques permet à l’entreprise de choisir celle la mieux adaptée à ces besoins. L’analyse des risques répond à un besoin de gouvernance des risques


Télécharger ppt "Comment utiliser la norme ISO dans un modèle"

Présentations similaires


Annonces Google