La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Gestion des risques de la sécurité de l’information: de l'évaluation, à la gestion et à la prise de décision. Gautier Dallons.

Présentations similaires


Présentation au sujet: "Gestion des risques de la sécurité de l’information: de l'évaluation, à la gestion et à la prise de décision. Gautier Dallons."— Transcription de la présentation:

1 Gestion des risques de la sécurité de l’information: de l'évaluation, à la gestion et à la prise de décision. Gautier Dallons

2 Agenda Introduction Définitions Processus Gestion de la sécurité Gestion du risque Méthodes d’analyse de risques Cas pratique

3 Agenda Introduction Définitions Processus Gestion de la sécurité Gestion du risque Méthodes d’analyse de risques Cas pratique

4 Des faits inquiétants …

5

6 L’or immatériel : l’information L’information a de la valeur Information sur un nouveau produit pour une société concurrente (Plusieurs millions d’euros) Information personnelle (Quelques euros à plusieurs milliers d’euros) Information bancaire pour un pirate (Quelques milliers d’euros ou plus) … L’impact d’une fuite d’information peut être grand Impacts financiers Impacts juridiques Impacts sociaux Impacts en terme d’image …  Nécessité de protéger l’information importante

7 Statistiques +/- 40 % d’origine interne +/- 60 % hors piraterie informatique  majoritairement un problème organisationnel Source : CLUSSIF

8 Gestion du risque, pourquoi faire? Avoir connaissance des risques et de leur priorité pour l’entreprise Maîtriser les aléas de l’entreprise et de l’environnement Aider à prendre des décisions en connaissance de cause  Assurer la survie et la pérennité de l’entreprise par la maîtrise des risques  Gérer le court terme  Gérer les risques

9 Agenda Introduction Définitions Processus Gestion de la sécurité Gestion du risque Méthodes d’analyse de risques Cas pratique

10 Quelques définitions Actif (Asset): élément du SI qui a de la valeur pour l’organisation (donnée papier/informatique, personnel, Infrastructure, …) Menace (Threat): évènement qui peut mettre en défaut la sécurité d’un actif Vulnérabilité (Vulnerability): faille du système permettant à une menace de se réaliser en impactant la sécurité d’un actif Risque (Risk): la probabilité qu’une menace exploite une vulnérabilité en mettant en défaut la sécurité d’un actif et provoque un impact pour l’entreprise  R = P x I  Certaines variantes sont plus complexes

11 Sécurité des actifs La sécurité des actifs reposent sur quatre grandes propriétés : La confidentialité L’intégrité La disponibilité La force probante (irrévocable, traçable, authentification)

12 Agenda Introduction Définitions Processus Gestion de la sécurité Gestion du risque Méthodes d’analyse de risques Cas pratique

13 Deux processus clés Gestion de la sécurité Processus global de gestion Basé sur la gestion du risque Gestion du risque Processus spécifique Fournit les éléments de décision Intégré dans la gestion de la sécurité

14 Gestion de la sécurité PlanDo CheckAct Niveau de sécurité Temps Basé sur la roue de Demming Gestion du risque

15 Gestion du risque Objectifs de sécurité Analyse de risque Évaluation du risque Traitement du risque Monitoring

16 Objectifs de sécurité Basé sur les objectifs du business La sécurité n’est pas un but en soi T S O Objectifs business Plan de réalisation Réalisation Entreprise Objectifs de sécurité Plan de sécurité Mesures de sécurité Stratégique, Tactique, Opérationnel

17 Analyse de risque Identifier les risques auxquels est sujet l’organisation  Rendre explicite l’ensemble des aléas  Partir des objectifs business et de sécurité  Utiliser la connaissance du domaine  Essayer d’être exhaustif  Itération lors des cycles des mises à jour Décrire les risques  Garder trace des risques  Nécessaire à la gestion continue  Itération lors des cycles des mises à jour

18 Évaluation du risque Estimation De la probabilité De l’impact Trois grands types d’évaluation Haut Moyen Bas Méthode simplifiée (une dimension) PxI Impact P Très faible (1) Faibl e (2) Modéré (3) Important (4) Majeur (5) Très élevé (5) Elevée (4) Normal (3) Faible (2) Méthode semi quantitative P et I évalués séparément Quantitative (basée sur les courbes de probabilité) P finement évalué

19 Traitement du risque Décision à prendre concernant le risque Refus Optimisation Transfert Prise de risque Des mesures à prendre dans le cas de l’optimisation Prévention Protection Les mesures doivent rentrer dans une stratégie globale de réduction du risque

20 Mesures Rappel distinction entre moyen et fin (résultat) La sécurité est un état du système (une fin, un résultat) Une mesure est un moyen pouvant contribué à résultat Le moyen en lui-même ne garantit pas le résultat ISO (ISO 17799) Catalogue de mesure (moyens) Organisée selon 11 chapitres thématiques 5. Politique (règlement) 6. Organisation de la sécurité de l'information 7. Actifs 8. Ressources humaines 9. Sécurité physique 10. Communications et exploitation 11. Gestion d'accès 12. Acquisition, développement et maintenance 13. Incidents de sécurité 14. Continuité 15. Conformité Se place au niveau opérationnel T S O IT Impliquée

21 Agenda Introduction Définitions Processus Gestion de la sécurité Gestion du risque Méthodes d’analyse de risques Cas pratique

22 Méthodes d’analyse de risque CRAMM Méthode de l’OTAN UK Outillée EBIOS Méthode française de la DCSSI Outillée Octave USA Version spécifique pour les PMEs Mehari Méthode très utilisée en Belgique QuickWin Méthode du FEDICT …

23 Comparatif (ENISA)

24 Méthode QuickWin Avantages Légère Facilement compréhensible Applicable en PMEs et comme première approche en grandes entreprises Méthode orientée résultat Exploite le modèle ISMS de la norme Inconvénients Ne tient pas compte des probabilités Pas outillée Incomplète

25 Agenda Introduction Définitions Processus Gestion de la sécurité Gestion du risque Méthodes d’analyse de risques Cas pratique

26 Cas d’étude PME ICT Produit de conception assistée de ponts par ordinateur pour les ingénieurs Produit nettement supérieur à la concurrence (leader sur le marché) Mal documenté Pas de sécurité en place car jeune entreprise Travaille dans un grand garage 5 personnes toute hautement qualifiée 1 serveur partagé

27 Analyse des risques Rester leader sur le marché Vendre le produit existant Innover Résultats de recherche corrompus / volés / indisponibles Infrastructure technique nécessaire indisponible / corrompue Perte des ressources humaines qualifiées Problème de gestion financière Perte des ressources humaines qualifiées Infrastructure technique nécessaire indisponible / corrompue Produits (code) corrompus / indisponibles / volés Problème de gestion financière

28 Évaluation du risque Métrique L’entreprise détermine les aspects à prendre en compte pour l’évaluation des conséquences Pour chacun des aspects une échelle de gravité de 5 niveau est déterminée

29 Outil CAO Indisponibilité  critique pour le business Corruption  Risques humains si les calculs sont incorrects et risques en cascade Confidentialité  Perte de leadership Preuve  La paternité du programme est capitale (vol, …)

30 Données financières Indisponibilité  critique sur le long terme pour la bonne marche de l’entreprise Corruption  Le risque principal est juridique (comptabilité incorrecte, …) et risques indirects Confidentialité  Les informations concernant les finances (paiement des clients) sont sensibles Preuve  La comptabilité doit être incontestable

31 Employés Indisponibilité  critique pour le business car le know-how leur appartient Corruption  Risques humains si les calculs sont incorrects et risques en cascade Confidentialité  Perte de leadership (vol, …)

32 Infrastructure Indisponibilité  critique pour le business car le support, le développement et la R&D sont à l’arrêt

33 Recherches Indisponibilité  long terme : perte de leadership Corruption  Risques humains si les calculs sont incorrects et risques en cascade Confidentialité  Perte de leadership Preuve  La paternité des inventions est capitale (vol, …)

34 Synthèse des risques

35 Traitement du risque Réduire l’impact plutôt que combattre les attaques et « patcher » les vulnérabilité Protection en profondeur plutôt que protection de surface  Réduire les coûts de la sécurité en maximisant celle-ci Information Protection directe Protection de surface Attaque

36 Analyse de la synthèse

37 Mesures (1/5)  Diminution de l’indisponibilité des actifs numériques et d’infrastructure

38 Mesures (2/5)  Diminution des risques de corruption des fichiers numériques

39 Mesures (3/5)  Diminution des risques de divulgation des fichiers numériques depuis « l’extérieur »

40 Mesures (4/5)  Diminution des risques d’enregistrements non probants pour l’outil et la recherche

41 Mesures (5/5)  Diminution des risques humains

42 Synthèse après réduction  Les risques résiduels sont devenus acceptables

43 Monitoring Mise en place de revue des risques Consultation d’un CERT … D’indicateurs de changement Remontée des incidents Contrôle des accès …

44 Références Fedict (www.fedict.belgium.be/) ISO (http://www.iso.org/) ENISA (http://www.enisa.europa.eu/) Octave (http://www.cert.org/octave/)s MEHARI (http://www.clusif.asso.fr/) EBIOS (http://www.ssi.gouv.fr/fr/confiance/methodes.html ) Livres Information Security Risk Analysis (THOMAS R. PELTIER) Managing Information Security Risks: The OCTAVE Approach (Christopher Alberts, Audrey Dorofee)

45 Conclusions La gestion des risque Permet une prise de décision en connaissance de cause Permet la prioritisation et le choix des investissement Objective la perception des risques Permet le choix d’une stratégie par rapport à un problème Cependant Les méthodes ne sont pas toujours simple L’évaluation de la probabilité n’est pas facile Une culture du risque est nécessaire

46 Des questions, des idées … ?


Télécharger ppt "Gestion des risques de la sécurité de l’information: de l'évaluation, à la gestion et à la prise de décision. Gautier Dallons."

Présentations similaires


Annonces Google