La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Gestion des risques de la sécurité de l’information: de l'évaluation, à la gestion et à la prise de décision. Gautier Dallons.

Publié parBibi Germain Modifié depuis plus de 9 années

Présentations similaires

Présentation au sujet: "Gestion des risques de la sécurité de l’information: de l'évaluation, à la gestion et à la prise de décision. Gautier Dallons."— Transcription de la présentation:

1 Gestion des risques de la sécurité de l’information: de l'évaluation, à la gestion et à la prise de décision. Gautier Dallons

2 Agenda Introduction Définitions Processus Gestion de la sécurité
Gestion du risque Méthodes d’analyse de risques Cas pratique

3 Agenda Introduction Définitions Processus Gestion de la sécurité
Gestion du risque Méthodes d’analyse de risques Cas pratique

4 Des faits inquiétants …

5 Des faits inquiétants …

6 L’or immatériel : l’information
L’information a de la valeur Information sur un nouveau produit pour une société concurrente (Plusieurs millions d’euros) Information personnelle (Quelques euros à plusieurs milliers d’euros) Information bancaire pour un pirate (Quelques milliers d’euros ou plus) L’impact d’une fuite d’information peut être grand Impacts financiers Impacts juridiques Impacts sociaux Impacts en terme d’image  Nécessité de protéger l’information importante

7 Statistiques +/- 40 % d’origine interne
+/- 60 % hors piraterie informatique  majoritairement un problème organisationnel Source : CLUSSIF

8 Gestion du risque, pourquoi faire?
Avoir connaissance des risques et de leur priorité pour l’entreprise Maîtriser les aléas de l’entreprise et de l’environnement Aider à prendre des décisions en connaissance de cause Assurer la survie et la pérennité de l’entreprise par la maîtrise des risques Gérer le court terme Gérer les risques

9 Agenda Introduction Définitions Processus Gestion de la sécurité
Gestion du risque Méthodes d’analyse de risques Cas pratique

10 Quelques définitions Actif (Asset): élément du SI qui a de la valeur pour l’organisation (donnée papier/informatique, personnel, Infrastructure, …) Menace (Threat): évènement qui peut mettre en défaut la sécurité d’un actif Vulnérabilité (Vulnerability): faille du système permettant à une menace de se réaliser en impactant la sécurité d’un actif Risque (Risk): la probabilité qu’une menace exploite une vulnérabilité en mettant en défaut la sécurité d’un actif et provoque un impact pour l’entreprise R = P x I Certaines variantes sont plus complexes

11 Sécurité des actifs La sécurité des actifs reposent sur quatre grandes propriétés : La confidentialité L’intégrité La disponibilité La force probante (irrévocable, traçable, authentification)

12 Agenda Introduction Définitions Processus Gestion de la sécurité
Gestion du risque Méthodes d’analyse de risques Cas pratique

13 Deux processus clés Gestion de la sécurité Processus global de gestion
Basé sur la gestion du risque Gestion du risque Processus spécifique Fournit les éléments de décision Intégré dans la gestion de la sécurité

14 Gestion de la sécurité Basé sur la roue de Demming Niveau de sécurité
du risque Plan Do Check Act Temps

15 Gestion du risque Analyse Objectifs de risque de sécurité Évaluation
Traitement du risque Monitoring

16 Objectifs de sécurité Objectifs de sécurité
Basé sur les objectifs du business La sécurité n’est pas un but en soi Entreprise Objectifs de sécurité S Objectifs business T Plan de réalisation Plan de sécurité Réalisation Mesures de sécurité O Stratégique, Tactique, Opérationnel

17 Analyse de risque Identifier les risques auxquels est sujet l’organisation Rendre explicite l’ensemble des aléas Partir des objectifs business et de sécurité Utiliser la connaissance du domaine Essayer d’être exhaustif Itération lors des cycles des mises à jour Décrire les risques  Garder trace des risques Nécessaire à la gestion continue

18 Évaluation du risque Estimation De la probabilité De l’impact
Trois grands types d’évaluation Impact P Très faible (1) Faible (2) Modéré (3) Important (4) Majeur (5) Très élevé Elevée Normal Haut Moyen Bas Méthode simplifiée (une dimension) PxI Méthode semi quantitative P et I évalués séparément Quantitative (basée sur les courbes de probabilité) P finement évalué

19 Traitement du risque Décision à prendre concernant le risque Refus
Optimisation Transfert Prise de risque Des mesures à prendre dans le cas de l’optimisation Prévention Protection Les mesures doivent rentrer dans une stratégie globale de réduction du risque

20 Mesures S T O Rappel distinction entre moyen et fin (résultat)
La sécurité est un état du système (une fin, un résultat) Une mesure est un moyen pouvant contribué à résultat Le moyen en lui-même ne garantit pas le résultat ISO (ISO 17799) Catalogue de mesure (moyens) Organisée selon 11 chapitres thématiques 5. Politique (règlement) 6. Organisation de la sécurité de l'information 7. Actifs 8. Ressources humaines 9. Sécurité physique 10. Communications et exploitation 11. Gestion d'accès 12. Acquisition, développement et maintenance 13. Incidents de sécurité 14. Continuité 15. Conformité Se place au niveau opérationnel IT Impliquée S T O

21 Agenda Introduction Définitions Processus Gestion de la sécurité
Gestion du risque Méthodes d’analyse de risques Cas pratique

22 Méthodes d’analyse de risque
CRAMM Méthode de l’OTAN UK Outillée EBIOS Méthode française de la DCSSI Octave USA Version spécifique pour les PMEs Mehari Méthode très utilisée en Belgique QuickWin Méthode du FEDICT

23 Comparatif (ENISA)

24 Méthode QuickWin Avantages Légère Facilement compréhensible
Applicable en PMEs et comme première approche en grandes entreprises Méthode orientée résultat Exploite le modèle ISMS de la norme 27001 Inconvénients Ne tient pas compte des probabilités Pas outillée Incomplète

25 Agenda Introduction Définitions Processus Gestion de la sécurité
Gestion du risque Méthodes d’analyse de risques Cas pratique

26 Cas d’étude PME ICT Produit de conception assistée de ponts par ordinateur pour les ingénieurs Produit nettement supérieur à la concurrence (leader sur le marché) Mal documenté Pas de sécurité en place car jeune entreprise Travaille dans un grand garage 5 personnes toute hautement qualifiée 1 serveur partagé

27 Analyse des risques Rester leader sur le marché
Vendre le produit existant Innover Résultats de recherche corrompus / volés / indisponibles Perte des ressources humaines qualifiées Produits (code) corrompus / indisponibles / volés Problème de gestion financière Perte des ressources humaines qualifiées Infrastructure technique nécessaire indisponible / corrompue Problème de gestion financière Infrastructure technique nécessaire indisponible / corrompue

28 Évaluation du risque Métrique
L’entreprise détermine les aspects à prendre en compte pour l’évaluation des conséquences Pour chacun des aspects une échelle de gravité de 5 niveau est déterminée

29 Outil CAO Indisponibilité critique pour le business Corruption
 Risques humains si les calculs sont incorrects et risques en cascade Confidentialité  Perte de leadership Preuve  La paternité du programme est capitale (vol, …)

30 Données financières Indisponibilité
 critique sur le long terme pour la bonne marche de l’entreprise Corruption  Le risque principal est juridique (comptabilité incorrecte, …) et risques indirects Confidentialité  Les informations concernant les finances (paiement des clients) sont sensibles Preuve  La comptabilité doit être incontestable

31 Employés Indisponibilité
 critique pour le business car le know-how leur appartient Corruption  Risques humains si les calculs sont incorrects et risques en cascade Confidentialité  Perte de leadership (vol, …)

32 Infrastructure Indisponibilité
critique pour le business car le support, le développement et la R&D sont à l’arrêt

33 Recherches Indisponibilité  long terme : perte de leadership
Corruption  Risques humains si les calculs sont incorrects et risques en cascade Confidentialité  Perte de leadership Preuve  La paternité des inventions est capitale (vol, …)

34 Synthèse des risques

35 Traitement du risque Information Protection directe Protection de surface Attaque Réduire l’impact plutôt que combattre les attaques et « patcher » les vulnérabilité Protection en profondeur plutôt que protection de surface  Réduire les coûts de la sécurité en maximisant celle-ci

36 Analyse de la synthèse

37 Mesures (1/5) Diminution de l’indisponibilité des actifs numériques et d’infrastructure

38 Mesures (2/5) Diminution des risques de corruption des fichiers numériques

39 Mesures (3/5) Diminution des risques de divulgation des fichiers numériques depuis « l’extérieur »

40 Mesures (4/5) Diminution des risques d’enregistrements non probants pour l’outil et la recherche

41 Mesures (5/5) Diminution des risques humains

42 Synthèse après réduction
Les risques résiduels sont devenus acceptables

43 Monitoring Mise en place de revue des risques Consultation d’un CERT …
D’indicateurs de changement Remontée des incidents Contrôle des accès

44 Références Fedict (www.fedict.belgium.be/) ISO (http://www.iso.org/)
ENISA ( Octave ( MEHARI ( EBIOS ( ) Livres Information Security Risk Analysis (THOMAS R. PELTIER) Managing Information Security Risks: The OCTAVE Approach (Christopher Alberts, Audrey Dorofee)

45 Conclusions La gestion des risque
Permet une prise de décision en connaissance de cause Permet la prioritisation et le choix des investissement Objective la perception des risques Permet le choix d’une stratégie par rapport à un problème Cependant Les méthodes ne sont pas toujours simple L’évaluation de la probabilité n’est pas facile Une culture du risque est nécessaire

46 Des questions, des idées …
?

Télécharger ppt "Gestion des risques de la sécurité de l’information: de l'évaluation, à la gestion et à la prise de décision. Gautier Dallons."

Présentations similaires

1ère partie : vision à 10 ans

1ère partie : vision à 10 ans
D2 : Sécurité de l'information et des systèmes d'information

D2 : Sécurité de l'information et des systèmes d'information
PLAN DU COURS Outils de traitement des risques

PLAN DU COURS Outils de traitement des risques
CLUSIR - mars 2002 J-François MAHE- 1 - INCAS IN tégration dans la C onception des A pplications de la S écurité

CLUSIR - mars 2002 J-François MAHE- 1 - INCAS IN tégration dans la C onception des A pplications de la S écurité
La politique de Sécurité

La politique de Sécurité
L’utilisation des Normes ISO 9001 et ISO 9004 dans la démarche qualité

L’utilisation des Normes ISO 9001 et ISO 9004 dans la démarche qualité
TD 1 ? Quels sont les avantages relatifs à la définition d’une politique de sécurité pour une organisation ? Avantage : traiter la problématique de la.

TD 1 ? Quels sont les avantages relatifs à la définition d’une politique de sécurité pour une organisation ? Avantage : traiter la problématique de la.
Gestion des connaissances

Gestion des connaissances
Environnement Interne de l’Entreprise

Environnement Interne de l’Entreprise
L’audit assisté par ordinateur

L’audit assisté par ordinateur
MRP, MRP II, ERP : Finalités et particularités de chacun.

MRP, MRP II, ERP : Finalités et particularités de chacun.
Control des objectifs des technologies de l’information COBIT

Control des objectifs des technologies de l’information COBIT
Gestion des risques Contrôle Interne

Gestion des risques Contrôle Interne
Altaïr Conseil Maîtriser l'information stratégique Sécurisé

Altaïr Conseil Maîtriser l'information stratégique Sécurisé
Le diagnostic de vulnérabilité : un outil mobilisable

Le diagnostic de vulnérabilité : un outil mobilisable
0 NOUVEAUTÉS 2001. 1 LES PREMIERS SCEAUX FRANÇAIS DÉLIVRÉS PAR WEBTRUST FRANCE.

0 NOUVEAUTÉS LES PREMIERS SCEAUX FRANÇAIS DÉLIVRÉS PAR WEBTRUST FRANCE.
Pérennité du Secteur de la Réadaptation Physique:

Pérennité du Secteur de la Réadaptation Physique:
Guide de gestion environnementale dans l’entreprise industrielle

Guide de gestion environnementale dans l’entreprise industrielle
A côté des systèmes d'information dans l'entreprise

A côté des systèmes d'information dans l'entreprise
PROGRAMME DE SCIENCES DE GESTION en lien avec l’ETUDE

PROGRAMME DE SCIENCES DE GESTION en lien avec l’ETUDE

Présentations similaires

Annonces Google