La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

AVRIL 2005 Thierry RAMARD 1 Comment utiliser la norme ISO 17799 dans un modèle de gouvernance des risques ? AVRIL 2005 Conférence sécurité

Présentations similaires


Présentation au sujet: "AVRIL 2005 Thierry RAMARD 1 Comment utiliser la norme ISO 17799 dans un modèle de gouvernance des risques ? AVRIL 2005 Conférence sécurité"— Transcription de la présentation:

1 AVRIL 2005 Thierry RAMARD 1 Comment utiliser la norme ISO dans un modèle de gouvernance des risques ? AVRIL 2005 Conférence sécurité

2 AVRIL 2005 Thierry RAMARD 2 Sommaire Modèle de gestion des risques Norme ISO : Concepts généraux Usage de la norme dans le cadre de la gestion des risques Conclusion

3 AVRIL 2005 Thierry RAMARD 3 1.La stratégie de protection du SI doit intégrer lapproche métier & les enjeux de lentreprise pour être efficace. 2.La gestion des risques doit devenir une culture dentreprise. 3.Tous les acteurs de lentreprise (management, utilisateurs, équipes informatiques, etc.) doivent être impliqués 4.Lapproche technologique génère des investissements pas toujours justifiés et justifiables : attention au surinvestissement. 5.Une approche structurée de la sécurité incluant les aspects organisationnels et techniques est indispensable. Les enjeux pour lentreprise (5/5) STRATEGIE GENERALE A METTRE EN OEUVRE

4 AVRIL 2005 Thierry RAMARD 4

5 AVRIL 2005 Thierry RAMARD 5 Fournir une approche structurée et méthodologique, Intégrant la dimension « métier » de lentreprise, Prenant en compte les aspects humains, structurels, organisationnels et techniques, Prenant en compte la situation opérationnelle réelle de lentreprise tout en Limitant les coûts et optimisant les ROIs. Modèle Général (1/2) Objectifs dun modèle de gestion des risques

6 AVRIL 2005 Thierry RAMARD 6 Stratégie générale dentreprise Définition de la politique de sécurité du SI Mesure et analyse des enjeux « métiers » Mesure et analyse des risques résiduels Définition & mise en œuvre dun plan dactions sécurité pluriannuel Approche « Top-down » Approche « Bottom-up » Définition & mise en œuvre dun tableau de bord sécurité Actions techniques Actions fonctionnelles Analyses financières © Copyright Ageris Consulting Modèle Général (2/2) Démarche Générale

7 AVRIL 2005 Thierry RAMARD 7 flux dinformations 1. Cartographier et classifier les flux dinformations le coût 2. Mesurer le coût de son insécurité (calcul du coût des incidents) risques potentiels 3. Evaluer les menaces et les risques potentiels qui pèsent sur lentreprise exigences 4. Définir les exigences de protection politique générale 5. Rédiger une politique générale de sécurité directives techniques et fonctionnelles 6. Définir les directives techniques et fonctionnelles de protection du SI charte informatique 7. Rédiger une charte informatique à destination des utilisateurs internes vulnérabilités 8. Identifier ses vulnérabilités risques réels 9. Cartographier ses risques réels les actions de protection 10. Définir les actions de protection à déployer un plan pluriannuel 11. Planifier les actions dans un plan pluriannuel retours sur investissement 12. Calculer les retours sur investissement (ROI) et les gains escomptés budgets pluriannuels 13. Calculer les budgets pluriannuels Responsabilités en matière de sécurité 14. Désigner les Responsabilités en matière de sécurité du SI tableaux de bord 15. Définir des tableaux de bord sécurité MOSAIC = 15 actions Liste des actions à mener

8 AVRIL 2005 Thierry RAMARD 8

9 AVRIL 2005 Thierry RAMARD 9 Quelques autres normes Les sources d'information : ISO TR : GMITS - nouvelle partie 2 (en préparation) ISO : Critères Communs ISO : Code of Practice ISO : Intrusion Detection Framework ISO TR : B&F Services - Information Security Guidelines Projets ISO : : Network Security : Security Incident Management (SIM) : Intrusion Detection Systems (IDS) : Framework for Security Assurance (FRITSA) : B&F Services - Framework for Security in Financial Systems

10 AVRIL 2005 Thierry RAMARD 10 Historique 1992 « Code de bonnes pratiques » Groupe de travail industriels British Standard Institut BS7799 : 1995 Révision BS7799 part 1 & BS7799 : 1998 part 2 ISO : 2000 (BS7799:1999 part 1) Fast Track Août Parution Décembre ISO : 2005 Parution 2ème Semestre Démarrage révision ISO : BS7799 : 2002 part 2 200x Normalisation de la partie 2 de la BS 7799 : Certification ISO Historique de la norme ISO 17799

11 AVRIL 2005 Thierry RAMARD 11 Structure et contenu (1/2) 127 Mesures (contrôles) de sécurité 10 domaines VERSION Mesures(contrôles) de sécurité 11 domaines VERSION 2005 SECURITY POLICY SECURITY ORGANISATION ASSET CLASSIFICATION & CONTROL PERSONNAL SECURITY PHYSICAL & ENVIRONMENTAL SECURITY COMMUNICATIONS & OPERATIONS MANAGEMENT ACCESS CONTROL SYSTEM DEVELOPMENT & MAINTENANCE BUSINESS CONTINUITY COMPLIANCE SECURITY POLICY ORGANISING INFORMATION SECURITY ASSET MANAGEMENT HUMAN RESOURCES SECURITY PHYSICAL & ENVIRONMENTAL SECURITY COMMUNICATIONS & OPERATIONS MANAGEMENT ACCESS CONTROL INFORMATION SYSTEM ACQUISITION, DEVELOPMENT & MAINTENANCE BUSINESS CONTINUITY MANAGEMENT COMPLIANCE INFORMATION SECURITY INCIDENT MANAGEMENT Evolution de la norme

12 AVRIL 2005 Thierry RAMARD 12 Structure et contenu (2/2) 9 mesures supprimées17 mesures ajoutées 125 mesures révisées ISO : 2000ISO : 2005 Contrôles/mesures + Quelques définitions et guides de mise en oeuvre CONTRÔLES / MESURES GUIDES DETAILLES DE MISE EN OEUVRE INFORMATIONS COMPLEMENTAIRES Principaux apports

13 AVRIL 2005 Thierry RAMARD 13

14 AVRIL 2005 Thierry RAMARD 14 Usage de la norme (1/4) 1. SUPPORT POUR LA DEFINITION DUNE POLITIQUE DE SECURITE GUIDE DE BONNES PRATIQUES A ADAPTER AU CONTEXTE DE LENTREPRISE (REFERENTIEL DE SECURITE) A COMPLETER PAR DES DIRECTIVES (MESURES) NON TRAITEES Exemple de framework Cas 1

15 AVRIL 2005 Thierry RAMARD 15 Usage de la norme (2/4) 2. EVALUATION DES MESURES DEPLOYEES AUDIT DU SYSTEME DINFORMATION A COMPLETER PAR UNE ANALYSE DES RISQUES Exemple de résultats Cas 2

16 AVRIL 2005 Thierry RAMARD 16 Usage de la norme (3/4) 3. SUPPORT POUR LA DEFINITION DUN PLAN DACTIONS STRUCTURATION DU PLAN DACTIONS A COMPLETER PAR DES MESURES DETAILLEES Exemple de résultats Cas 3

17 AVRIL 2005 Thierry RAMARD 17 Usage de la norme (4/4) 4. SUPPORT POUR LA CREATION DE TABLEAUX DE BORD PERMET UN SUIVI DE LA POLITIQUE DE SECURITE SENSIBILISE LA DIRECTION GENERALE Exemple de résultats Cas 4

18 AVRIL 2005 Thierry RAMARD 18

19 AVRIL 2005 Thierry RAMARD 19 Conclusion (1/2) La norme ISO est un bon outil pour la gouvernance des risques Stratégie générale dentreprise Définition de la politique de sécurité du SI Mesure et analyse des enjeux « métiers » Mesure et analyse des risques résiduels Définition & mise en œuvre dun plan dactions sécurité pluriannuel Approche « Top-down » Approche « Bottom-up » Définition & mise en œuvre dun tableau de bord sécurité Actions techniques Actions fonctionnelles Analyses financières © Copyright Ageris Consulting Synthèse de lutilisation de la norme ISO 17799

20 AVRIL 2005 Thierry RAMARD 20 Son usage tend à se généraliser au niveau international et en France Conclusion (2/2) Une certification ISO est possible depuis peu ISO Comparaison possible (benchmark), langage commun utile dans les groupes internationaux Anticipation et mise en conformité possible dès aujourdhui Evolutions futures

21 AVRIL 2005 Thierry RAMARD 21 Politique de sécurité : Framework © Copyright Ageris Consulting Politique de sécurité de linformation Organisation de la sécurité Directives de sécurité au niveau : Des employés et des Sous traitants De linfrastructure technique Des applications et des données Des informations écrites De la gestion et du suivi des risques De la continuité des activités Réseaux et Télecoms fixe et sans fil Systèmes centraux et départementaux Données et Informations écrites Postes de travail fixe ou nomade Applications et des projets Plan de secours et plan de reprise Chiffrement et certification Contrôle daccès logique et physique Gestion des alertes et des logs Lutte anti-virale & anti spam Sécurité des employés Protection physique & environnement de travail Guide de protection des : Choix des Solutions techniques : Lutte anti-intrusion logique et physique Objectifs et besoins de sécurité Classification des Informations et des flux Du respect des apects juridiques Audits et contrôles Tableaux de bord et suivi Intelligence économique : Approche défensive Fonctionnement de lentreprise : Lutte contre les dysfonctionnements Risques juridiques : Respect des lois et réglements

22 AVRIL 2005 Thierry RAMARD 22

23 AVRIL 2005 Thierry RAMARD 23

24 AVRIL 2005 Thierry RAMARD 24

25 AVRIL 2005 Thierry RAMARD 25 2 catégories : 1.Actions TECHNIQUES : Anti-virus, Firewall IDS/IPS Chiffrement PKI / SSO / Contrôle daccès Logiciels de surveillance, de traitement des fichiers logs Solutions techniques de redondance, de sauvegardes, ….. Etc. 2.Actions FONCTIONNELLES : Procédures dexploitation, Formations / Sensibilisations, Pilotage & suivi, Plan de secours et plan de continuité dactivité, Etc. Définir les actions à déployer

26 AVRIL 2005 Thierry RAMARD 26

27 AVRIL 2005 Thierry RAMARD 27 Tableau de bord SSI

28 AVRIL 2005 Thierry RAMARD 28

29 AVRIL 2005 Thierry RAMARD 29 « Ensemble des lois, règlements et pratiques qui régissent la façon de gérer, protéger et diffuser les biens, en particuliers les informations sensibles, au sein de l'organisation » (ITSEC, Commission européenne, juin 1991 §2.10). Objectifs : - Informer et sensibiliser les individus sur les risques encourus par un système dinformation (provenance du risque, risque maximum toléré…). - Fournir les moyens techniques et organisationnels pour se prémunir des risques identifiés et garantir un niveau de sécurité durable vis-à-vis des clients de lentreprise, du système bancaire et de lentreprise elle-même. - Élaborer un cadre général permettant aux opérationnels et décisionnels de construire et mettre en œuvre lensemble des procédures nécessaires à lapplication homogène de la politique de sécurité, afin de garantir la protection du système dinformation. Objectif de la politique de sécurité

30 AVRIL 2005 Thierry RAMARD 30 Politique générale de sécurité Un document décrivant la politique générale de lentreprise (2/3 pages maximum), démontrant la motivation de la Direction Générale, précisant les concepts et les directives générales, et impliquant lensemble du personnel de lentreprise. Contenu général de la politique de sécurité

31 AVRIL 2005 Thierry RAMARD 31 Politique de sécurité : Framework © Copyright Ageris Consulting Politique de sécurité de linformation Organisation de la sécurité Directives de sécurité au niveau : Des employés et des Sous traitants De linfrastructure technique Des applications et des données Des informations écrites De la gestion et du suivi des risques De la continuité des activités Réseaux et Télecoms fixe et sans fil Systèmes centraux et départementaux Données et Informations écrites Postes de travail fixe ou nomade Applications et des projets Plan de secours et plan de reprise Chiffrement et certification Contrôle daccès logique et physique Gestion des alertes et des logs Lutte anti-virale & anti spam Sécurité des employés Protection physique & environnement de travail Guide de protection des : Choix des Solutions techniques : Lutte anti-intrusion logique et physique Objectifs et besoins de sécurité Classification des Informations et des flux Du respect des apects juridiques Audits et contrôles Tableaux de bord et suivi Intelligence économique : Approche défensive Fonctionnement de lentreprise : Lutte contre les dysfonctionnements Risques juridiques : Respect des lois et réglements Contenu détaillé de la politique de sécurité

32 AVRIL 2005 Thierry RAMARD 32

33 AVRIL 2005 Thierry RAMARD 33 Les acteurs de la SSI La sécurité doit être structurée : une organisation particulière doit être mise en place afin de gérer les différents composants de la sécurité, les acteurs et leurs évolutions. Les responsabilités doivent être partagées entre les différents niveaux hiérarchiques : - Niveau décisionnel : il conçoit, met en place, et assure le respect de la politique de sécurité. - Niveau de pilotage : il sagit des autorités qualifiées responsables de la sécurité du système d'information dont elles ont la charge (consignes, directives, contrôle interne, sensibilisation). - Niveau opérationnel : il sagit des agents de la sécurité en charge de la gestion, du contrôle et du suivi de la sécurité. RSICP : Responsable sécurité informatique du Centre de profit CISI : Correspondant informatique du site

34 AVRIL 2005 Thierry RAMARD 34 Responsable de la Sécurité des Systèmes dInformation (RSSI) Définition: « Le RSSI est le garant de la sécurité des systèmes dinformation de lentreprise. Ses domaines daction sont multiples mais ils répondent à un seul objectif : assurer lintégrité, la cohérence et la confidentialité des données de tous les systèmes dinformation de lentreprise. » Positionnement hiérarchique (ideal) : - rattaché directement à la Direction générale - dispose dun budget spécifique Pourquoi? - SSI = partie intégrante de la stratégie de lentreprise - La SSI doit venir de la volonté du sommet de lentreprise - La SSI exige une vision globale de lentreprise Fonctions - Bonne connaissance de lensemble des métiers, ancienneté - Bonnes compétences techniques (système et réseau) - Sens avéré de la stratégie et de la communication Missions - Analyse des risques. - Contrôle, audit. - Architecture, conception. - Veille technologique. - Sensibilisation, formation.

35 AVRIL 2005 Thierry RAMARD 35 - Sous la responsabilité de la DG - Un budget propre - Fonctions: examiner et approuver la politique de sécurité de linformation gérer la sécurité de linformation contrôler les changements significatifs des SI et des dispositifs de Sécurité examiner et contrôler les incidents de sécurité approuver les principales initiatives qui permettent de renforcer la sécurité de linformation nommer le RSSI Comité de Sécurité des Systèmes dInformation (CSSI)

36 AVRIL 2005 Thierry RAMARD 36 Continuité de services BCP (PCA) / DRP (PRA) AVRIL 2005 Conférence sécurité

37 AVRIL 2005 Thierry RAMARD 37 Sommaire Le contexte général & les enjeux Méthode et démarche Sommaire

38 AVRIL 2005 Thierry RAMARD 38 Des risques à impacts majeurs Inondation Incendie Tremblement de terre Attentat Un environnement risqué Chute davion Explosion industriel Gard (FR) Somme (FR) Asie Iran Algérie Japon Toulouse (FR) Ath (BE) Crédit Lyonnais (FR) Bibliothèque nationale (FR) Franière industrie (BE) New York Madrid Concorde New York Madrid Londres Irlande Tempête / Ouragan ……. Un environnement risqué

39 AVRIL 2005 Thierry RAMARD 39 Un environnement risqué Des servitudes de plus en plus défaillantes Rupture dalimentation électrique Rupture de télécommunications Rupture de climatisation Suisse Etat-Unis Angleterre France Télécom Bouygues Un environnement risqué

40 AVRIL 2005 Thierry RAMARD 40 Un environnement risqué Les risques humains sont importants Conflit social interne Conflit social externe Erreur humaine Malveillance Grèves dans les transports (SNCF, RATP) Grèves 1995 Grèves des routiers Pirate informatique Espionnage Vol - Sabotage Erreur utilisateur Erreur de programmation Un environnement risqué

41 AVRIL 2005 Thierry RAMARD 41 Un environnement risqué Les systèmes dinformation sont vulnérables Panne matériel Vulnérabilités technologiques Les informations sont mal protégées Les utilisateurs ne sont pas suffisamment formés Un environnement risqué

42 AVRIL 2005 Thierry RAMARD 42 Un environnement risqué Les procédures ne sont pas toujours adaptées Pas de procédures formalisées Les rôles et les responsabilités ne sont pas définies La gestion de crise est souvent négligée Un environnement risqué

43 AVRIL 2005 Thierry RAMARD 43 Les enjeux sont importants Les marges dexploitation peuvent être impactées Le chiffre daffaires peut diminuer La productivité peut être affectée Impossibilité de fournir un service ou un produit Perte de productivité Insatisfaction & perte de clients Frais et charges supplémentaires non prévues Indisponibilité de ses moyens de production Les enjeux sont importants

44 AVRIL 2005 Thierry RAMARD 44 Sommaire Le contexte général & les enjeux Méthode et démarche Sommaire

45 AVRIL 2005 Thierry RAMARD 45 Méthode et démarche La continuité des activités et les plans de secours Modèle et guide du BCI Business Continuity Management & Disaster Recovery Plan Méthode et démarche

46 AVRIL 2005 Thierry RAMARD 46 Les phases dun projet P1 : Analyser les exigences et les enjeux Identifier les processus et les fonctions critiques Identifier les ressources et les flux internes et externes critiques Identifier les obligations légales et contractuelles critiques Classifier les informations, les ressources et les flux Définir les scénarios de sinistre à prendre en compte Mesurer les impacts des scénarios sur lentreprise (par processus) Définir les temps de reprise par processus ou activités (MTO, RTO)MTO, RTO) Analyser les impacts métiers (BIA) Identifier les menaces pesant sur les processus et les fonctions critiques Analyser les probabilités de survenance des risques Cartographier les risques potentiels et résiduels (en intégrant les BIA) Analyser les risques potentiels et résiduels Faire valider les exigences et les enjeux par la direction générale Les phases dun projet

47 AVRIL 2005 Thierry RAMARD 47 Les phases dun projet P2 : Définir la stratégie de gestion de la continuité Formaliser les choix parmi : Ne pas traiter le risque (risques acceptables pour la DG) Changer ou améliorer les procédures actuelles Couvrir le risque par une assurance Mettre en œuvre des solutions pour réduire le risque Définir les orientations stratégiques (externalisation, internes, etc.) Définir la stratégie générale de continuité Définir la stratégie au niveau des processus métiers Valider les MTO et RTO pour chaque processus métiersMTO et RTO Identifier les solutions stratégiques appropriées Chiffrer les solutions en terme defficacité, dobjectifs et de coûts Faire valider la stratégie de continuité par la direction générale Définir les ressources nécessaires à la reprise dactivité Définir les ressources humaines et techniques nécessaires Définir le plan dactions de déploiement du projet Les phases dun projet

48 AVRIL 2005 Thierry RAMARD 48 Les phases dun projet P3 : Définir un plan stratégique de gestion de crise Définir léquipe de gestion de crise (ressources, responsabilité, etc.) Définir la stratégie de gestion de crise (objectifs, localisation, contenu, etc.) Définir le plan de gestion de crise (CMP) Définir les plans de continuité dactivité Définir la liste des actions à mener en cas de crise Définir le déroulement des plans dactions (ressources, timing, etc.) Définir les plans opérationnels de reprise dactivité Définir les lorganisation et les ressources dans les BU ou services Définir les procédures de traitements des incidents Les phases dun projet

49 AVRIL 2005 Thierry RAMARD 49 Les phases dun projet P4 : Former et sensibiliser à la continuité dactivité Evaluer le degré de sensibilisation des utilisateurs Former et sensibiliser les utilisateurs Définir le contenu précis des programmes de formations Former les utilisateurs Auditer les utilisateurs et évaluer leur degré de sensibilisation Définir les plans de formation adaptés Evaluer les changements de comportement Définir le programme dévaluation continu Evaluer régulièrement les utilisateurs et mesurer les évolutions Les phases dun projet

50 AVRIL 2005 Thierry RAMARD 50 Les phases dun projet P5 : Tester et maintenir le plan de continuité Tester le plan de continuité dactivité Maintenir le plan de continuité Définir les procédures dévolutions du BCP Définir les responsabilités dans le processus de maintenance Définir les objectifs et le champ des tests (évaluer les risques) Mettre en œuvre le plan de tests Analyser les résultats des tests Auditer le plan de continuité Définir les procédures, le champ et les méthodes daudit Définir les procédures de prise en compte des résultats daudit Les phases dun projet

51 AVRIL 2005 Thierry RAMARD 51

52 AVRIL 2005 Thierry RAMARD 52 Objectif de ce cours Fournir un panorama des techniques, solutions et méthodes permettant de mettre en évidence les risques relatifs à la sécurité du SI Ne seront pas abordés : Les méthodes danalyse des risques dans les projets informatiques Les outils ou méthodes daudit du SI (ex.: COBIT) Le contenu détaillé des méthodes

53 AVRIL 2005 Thierry RAMARD 53 Sujets abordés Introduction Les objectifs recherchés Les enjeux majeurs des entreprises – pourquoi faire une analyse des risques ? Audit vs Analyse de risques La gouvernance des risques Les approches ….. … par la mesure de lhistorique … par la mesure des risques « intrinsèques » … par la mesure des risques « résiduels » Létat du marché Les méthodes « gouvernementales / détats » (ou soutenues par) Les méthodes « issues du secteur associatif » Les méthodes « universitaires / R&D» Les méthodes « privées » (développées par des fournisseurs privées) Les méthodes « Internes » (développées par les entreprises en interne)

54 AVRIL 2005 Thierry RAMARD 54 Objectifs recherchés « Cartographier » lensemble des risques pesant sur lentreprise afin de prendre les décisions stratégiques adaptées ….. …. En fonction du niveau de gravité des risques encourus …. …. Décisions de traitement ou non des risques Lanalyse des risques est un « outil » de management et de pilotage

55 AVRIL 2005 Thierry RAMARD 55 Un audit identifie les failles et les vulnérabilités : - Plus la faille est importante, plus la probabilité de survenance dun incident est élevée Une analyse des risques intègre lanalyse de la conséquence (limpact) de lexploitation de la faille : - Plus la faille est importante et plus limpact de son exploitation est important, plus la gravité du risque est élevée Audit vs Analyse de risques Mesure de la gravité

56 AVRIL 2005 Thierry RAMARD 56 2 méthodes de calcul / destimation du niveau de risque Quantitative – Cette méthode vise à exprimer le risque en termes financiers et de fréquence Qualitative – Cette méthode vise à exprimer le risque en terme dimpact potentiel et de probabilité de survenance.

57 AVRIL 2005 Thierry RAMARD 57 Les approches (1/3) Catégorie 1 : Approche par la mesure de lhistorique Lidée : Travailler sur lhistorique des incidents Lobjectif :Calculer le coût des incidents sur les 12 derniers mois 2 variables :- Limpact financier dun sinistre (mesure quantitative) - La fréquence annuelle (mesure quantitative) IntérêtsSensibilise fortement une direction générale Pragmatique et concret Exigée par certaines directives (Bâle II) et par certains métiers

58 AVRIL 2005 Thierry RAMARD 58 Les approches (2/3) Catégorie 2 : Approche par la mesure des risques « intrinsèques » Lidée : Analyser les probabilités de survenance et les impacts métiers (menaces et impacts intrinsèques) Lobjectif :Dresser une cartographie des risques perçus (vision DG) 2 variables :- Limpact « métiers » (mesure qualitative ou mesure quantitative) - La probabilité potentielle estimée ou la fréquence (C1) IntérêtsFournie la vision des risques perçus par le management Rapide à réaliser

59 AVRIL 2005 Thierry RAMARD 59 Les approches (3/3) Catégorie 3 : Approche par la mesure des risques « résiduels » Lidée : Analyser les impacts métiers et auditer les vulnérabilités Lobjectif :Dresser une cartographie des risques résiduels 2 variables :- Limpact métier (mesure quantitative ou mesure qualitative) - La probabilité potentielle mesurée (mesure qualitative) IntérêtsMesure le niveau de risques résiduel Exhaustif (en fonction de la nature de laudit) Permet une comparaison avec la vision DG (C2)

60 AVRIL 2005 Thierry RAMARD 60 Létat du marché (1/5) Famille 1 : Méthodes « gouvernementales / détat » ou soutenues par … France : EBIOS (DCSSI) Angleterre : CRAMM ( Siemens ) [Allemagne : BSI ] : Plus un outil daudit - Développé depuis Logiciel EBIOS disponible gratuitement - « Compatible » ISO Langue Française - Cible : Administration & grands comptes Méthode de catégorie 2 Mesure qualitative - Développé depuis Logiciel CRAMM V5 - à partir de 6 600$ - « Full - Compatible » BS 7799 / ISO Langue Anglaise - Cible : Administration & grands comptes & PME-PMI Méthode de catégorie 3 Mesure qualitative Australie : Guide (élaboré par l«Office of Information and communications Technology)

61 AVRIL 2005 Thierry RAMARD 61 Létat du marché (2/5) Famille 1 : Méthodes « issues du monde associatif » France : MARION (CLUSIF) France : MEHARI (CLUSIF) - Fin des développements depuis 1998 Méthode de catégorie 2 - Développé depuis pour les bases de connaissance (Clusif) - Logiciel RISICARE (Société BUC SA) – « Compatible » BS 7799 / ISO Langue Française (en cours de traduction en Anglais) - Cible : Administration & grands comptes & PME-PMI Méthode de catégorie 2 & 3 Mesure qualitative Angleterre : SPRINT (ISF) - Développé depuis Logiciel SPRINT (gratuit pour les membres) - « Compatible » BS 7799 / ISO Langue Anglaise - Cible : Administration & grands comptes Méthode de catégorie 3 Mesure qualitative

62 AVRIL 2005 Thierry RAMARD 62 Létat du marché (3/5) Famille 1 : Méthodes « universitaires et R&D » Etats Unis : OCTAVE (Carnegie Mellon) Luxembourg : Programme de recherche - Développé depuis Logiciel OCTAVE – à partir de Pas de référence lISO Langue Anglaise - Cible : Administration & grands comptes & PME/PMI Méthode de catégorie 2 & 3 Mesure qualitative - Depuis Mai Travaux de recherche sur la convergence MEHARI (FR) et BSI (DE) Méthode de catégorie 2 et/ou 3

63 AVRIL 2005 Thierry RAMARD 63 Létat du marché (4/5) Famille 1 : Méthodes « issues du secteur privé » France : SCORE (Ageris Consulting) - Développé depuis fin Logiciels SCORE & ROSI+ / Modèle MOSAIC – à partir de « Full - Compatible » BS 7799 / ISO Langue Française (& Anglaise – en cours) - Cible : Administration & grands comptes & PME-PMI Méthode de catégorie 1,2 & 3 Mesure qualitative et mesure quantitative Angleterre : COBRA ( C & A Systems Security Limited) Belgique : ISAMM (Evosec) - Développé depuis 2002 – méthode « de consultants » - « Compatible » BS 7799 / ISO Langue Anglaise - Cible : Administration & grands comptes & PME-PMI - Développé depuis Logiciel Cobra – à partir de 895 $ - « Full - Compatible » BS 7799 / ISO Langue Anglaise - Cible : Administration & grands comptes & PME-PMI Méthode de catégorie 3 Mesure quantitative Méthode de catégorie 3 Mesure qualitative Canada : CALLIO (CALLIO Technologies) Méthode de catégorie 3 Mesure qualitative - Développé depuis Logiciel CALLIO Secura. À partir de « Full - Compatible » BS 7799 / ISO Langue Française & Anglaise - Cible : Administration & grands comptes & PME-PMI Allemagne : RA2 (aexis) France : RISICARE (BUC sa) - Développé depuis Logiciel : « Full - Compatible » BS 7799 / ISO Langue Anglaise & Japonaise - Cible : Administration & grands comptes & PME-PMI Méthode de catégorie 2 & 3 Mesure qualitative

64 AVRIL 2005 Thierry RAMARD 64 Létat du marché (5/5) Famille 5 : Méthodes « développées en interne » Adaptation de méthodes des années (Marion ou Mélisa (CF6) ) Développement par des équipes DSI / RSSI Méthode de catégorie 2 Mesure qualitative Méthode de catégorie 2 ou 3 Développement par des équipes de « Risk Management » Méthode de catégorie 1 & 3 - Notamment dans le secteur financier (exigences Bâle II) - mais également dans dautres secteurs (ex. : Logistique)

65 AVRIL 2005 Thierry RAMARD 65 Les critères de choix Lapproche (M : quantitative/qualitative ; C : historique/intrinsèque/résiduel) lorigine de la méthode (Famille – pays) Le langage dutilisation (FR, EN, FR & EN, autre) Le support dun logiciel ou dutilitaires Le support et lassistance locale Ladaptabilité et la personnalisation au contexte Facilité dutilisation et le pragmatisme La compatibilité avec la norme ISO Le coût

66 AVRIL 2005 Thierry RAMARD 66

67 AVRIL 2005 Thierry RAMARD 67 Conclusion Le nombre de méthodes / doutils disponibles (> 12) et leurs caractéristiques permet à lentreprise de choisir celle la mieux adaptée à ces besoins. Lanalyse des risques répond à un besoin de gouvernance des risques


Télécharger ppt "AVRIL 2005 Thierry RAMARD 1 Comment utiliser la norme ISO 17799 dans un modèle de gouvernance des risques ? AVRIL 2005 Conférence sécurité"

Présentations similaires


Annonces Google