Implémentation d’un SMSI - Méthode de management des risques Norme ISO 27005 Jeudi 27 janvier 2011 Casablanca Taoufik ZNIBER jph@fmd.fr Copyright FMD INFORMATIQUE 2011 - Reproduction Interdite 1 www.fmd.fr
Le management des risques & la norme ISO 27005 Sommaire Le SMSI 1. Les normes ISO 27001 & ISO 27002 2. Le management des risques & la norme ISO 27005 3. Copyright FMD INFORMATIQUE 2011 - Reproduction Interdite 2 www.fmd.fr
ISMS Information Security Management System Système de Management de la sécurité de l’information 1. Le SMSI ISMS Information Security Management System Système de gestion de la sécurité des systèmes d’information SGSI Système de gestion de la sécurité des systèmes d’information SGSSI SGSI Copyright FMD INFORMATIQUE 2011 - Reproduction Interdite 3 www.fmd.fr
Système de Management ? Sécurité de l’Information ? Système de Management de la Sécurité de l’Information Système de Management ? Sécurité de l’Information ? 1. 2. Copyright FMD INFORMATIQUE 2011 - Reproduction Interdite 4 www.fmd.fr
Système de Management de la Sécurité de l’Information 1. Copyright FMD INFORMATIQUE 2011 - Reproduction Interdite 5 www.fmd.fr
Système de Management C’est la norme ISO 9000 qui va nous permettre de définir ce qu’est un système de management. ISO 9000 Systèmes de management de la qualité - Principes essentiels et vocabulaire ISO 9001 Systèmes de management de la qualité - Exigences ISO 9004 Systèmes de management de la qualité - Gestion des performances durables d'un organisme - Approche de management par la qualité Copyright FMD INFORMATIQUE 2011 - Reproduction Interdite 6 www.fmd.fr
Système de Management Système permettant • D’établir une politique • D’établir des objectifs • D’atteindre ces objectifs Copyright FMD INFORMATIQUE 2011 - Reproduction Interdite 7 www.fmd.fr
Propriétés des systèmes de management Système de Management Propriétés des systèmes de management • Large spectre de métiers et de compétences • Projet fédérateur et mobilisateur • Importance de l’écrit • Auditabilité Copyright FMD INFORMATIQUE 2011 - Reproduction Interdite 8 www.fmd.fr
Apport des systèmes de management Système de Management Apport des systèmes de management • Adoption de bonnes pratiques • Augmentation de la fiabilité • Accroissement de la confiance des parties prenantes, des « stakeholers» Copyright FMD INFORMATIQUE 2011 - Reproduction Interdite 9 www.fmd.fr
Amélioration Continue et Système de Management Amélioration Continue et Méthode PDCA Copyright FMD INFORMATIQUE 2011 - Reproduction Interdite 10 www.fmd.fr
Amélioration Continue et Méthode PDCA Système de Management Amélioration Continue et Méthode PDCA 4 Phases • Plan Préparer - Planifier • Do Développer - Faire • Check Contrôler - Vérifier • Act Agir - Corriger Copyright FMD INFORMATIQUE 2011 - Reproduction Interdite 11 www.fmd.fr
Amélioration Continue et Méthode PDCA Système de Management Amélioration Continue et Méthode PDCA Roue de DEMING Plan Préparer - Planifier Do Développer - Faire Check Contrôler - Vérifier Act Agir - Corriger Copyright FMD INFORMATIQUE 2011 - Reproduction Interdite 12 www.fmd.fr
Amélioration Continue et Méthode PDCA Système de Management Amélioration Continue et Méthode PDCA Applications Conduite de projet Capitalisation des leçons apprises Structure de découpage, rolling wave Développement, test Sécurité des systèmes d’informations … Copyright FMD INFORMATIQUE 2011 - Reproduction Interdite 13 www.fmd.fr
Système de Management Synthèse • Qualité • Amélioration Continue • Dynamique • Ecrit Copyright FMD INFORMATIQUE 2011 - Reproduction Interdite 14 www.fmd.fr
Système de Management de la Sécurité de l’Information Copyright FMD INFORMATIQUE 2011 - Reproduction Interdite 15 www.fmd.fr
Langue française - ambigüité ! Sécurité de l’Information Langue française - ambigüité ! Sécurité Sécurité Sureté Sureté Copyright FMD INFORMATIQUE 2011 - Reproduction Interdite 16 www.fmd.fr
Langue anglaise Sécurité de l’Information • Safety, sécurité physique • Security, protection face à malveillance Copyright FMD INFORMATIQUE 2011 - Reproduction Interdite 17 www.fmd.fr
S’appuie sur 3 critères C I A Sécurité de l’Information • Confidentiality - Confidentialité • Integrity - Intégrité C • Availability - Disponibilité I A Copyright FMD INFORMATIQUE 2011 - Reproduction Interdite 18 www.fmd.fr
Sécurité de l’Information • Identification • Autorisation • Imputabilité • Auditabilité • Non répudiation • … Copyright FMD INFORMATIQUE 2011 - Reproduction Interdite 19 www.fmd.fr
Natures diverses Sécurité de l’Information • Technique • Organisationnelle • Humaine, Culturelle Copyright FMD INFORMATIQUE 2011 - Reproduction Interdite 20 www.fmd.fr
Sécurité de l’information = Système de Management de la Sécurité de l’Information Système de Management + Sécurité de l’information = SMSI Copyright FMD INFORMATIQUE 2011 - Reproduction Interdite 21 www.fmd.fr
- Norme ISO 27001 Norme ISO 27001 Techniques de sécurité - Systèmes de gestion de la sécurité de l'information Copyright FMD INFORMATIQUE 2011 - Reproduction Interdite 22 www.fmd.fr
Norme ISO 27001 Concerne • Organisme • Individu 23 www.fmd.fr Copyright FMD INFORMATIQUE 2011 - Reproduction Interdite 23 www.fmd.fr
La norme ISO 27001 spécifie les exigences relatives à l'établissement la mise en œuvre le fonctionnement la surveillance et au réexamen la mise à jour l'amélioration d'un système de management de la sécurité de l'information. Copyright FMD INFORMATIQUE 2011 - Reproduction Interdite 24 www.fmd.fr
Domaine d’application Références normatives Termes et définitions SMSI Norme ISO 27001 •Chapitre 0 •Chapitre 1 •Chapitre 2 •Chapitre 3 •Chapitre 4 •Chapitre 5 •Chapitre 6 •Chapitre 7 •Chapitre 8 Introduction Domaine d’application Références normatives Termes et définitions SMSI Responsabilité de la direction Audits internes du SMSI Revue de direction du SMSI Amélioration du SMSI •Annexe A Objectifs de sécurité et mesures de sécurité Copyright FMD INFORMATIQUE 2011 - Reproduction Interdite 25 www.fmd.fr
Norme ISO 27002 Norme ISO 27002 - Technologies de l'information — Techniques de sécurité — Code de bonne pratique pour la gestion de la sécurité de l'information Copyright FMD INFORMATIQUE 2011 - Reproduction Interdite 26 www.fmd.fr
Norme ISO 27005 Norme 27005 - Information technology — Security techniques — Information security risk management Copyright FMD INFORMATIQUE 2011 - Reproduction Interdite 27 www.fmd.fr
ISO 27005 - Définition ISO 27005 - Méthode Norme ISO 27005 ISO 27005 - Définition ISO 27005 - Méthode 1. 2. Copyright FMD INFORMATIQUE 2011 - Reproduction Interdite 28 www.fmd.fr
Le risque de sécurité de l’information Norme ISO 27005 Le risque de sécurité de l’information La potentialité qu'une menace donnée exploite les vulnérabilités d'un actif ou d'un groupe d'actifs et cause ainsi des désagréments à l’organisme Copyright FMD INFORMATIQUE 2011 - Reproduction Interdite 29 www.fmd.fr
Les trois composantes du risque Norme ISO 27005 Les trois composantes du risque Les actifs 1. Les vulnérabilités Les menaces 2. 3. Copyright FMD INFORMATIQUE 2011 - Reproduction Interdite 30 www.fmd.fr
Processus et Activité Information Norme ISO 27005 - Actifs Actifs primordiaux Processus et Activité Information Actifs en supports Matériel Logiciel, OS Réseau Personnel Communication Energies Copyright FMD INFORMATIQUE 2011 - Reproduction Interdite 31 www.fmd.fr
Norme ISO 27005 - Vulnérabilités Propriété intrinsèque de l’actif Les actifs possèdent des vulnérabilités Elle est exploitée (ou pas !) Copyright FMD INFORMATIQUE 2011 - Reproduction Interdite 32 www.fmd.fr
Action ou événement ayant une conséquence négative Norme ISO 27005 - Menaces Action ou événement ayant une conséquence négative Origine Motivation (humaine) Ciblent le CIA Copyright FMD INFORMATIQUE 2011 - Reproduction Interdite 33 www.fmd.fr
? Norme ISO 27005 - Risque de sécurité Actif Menace Vulnérabilité Cible Possède Menace Vulnérabilité exploite Conséquences C négatives I A Copyright FMD INFORMATIQUE 2011 - Reproduction Interdite 34 www.fmd.fr
Norme ISO 27005 - Risque de sécurité Jeu de Go Copyright FMD INFORMATIQUE 2011 - Reproduction Interdite 35 www.fmd.fr
Norme ISO 27005 - Méthode Norme 27005 36 www.fmd.fr Copyright FMD INFORMATIQUE 2011 - Reproduction Interdite 36 www.fmd.fr
Approche systématique Norme ISO 27005 Exigences imposées Processus continu Approche systématique Alignement sur la gestion du risque en général Permettre résultats comparables et reproductibles Copyright FMD INFORMATIQUE 2011 - Reproduction Interdite 37 www.fmd.fr
Processus de gestion du risque Etablissement du contexte APPRECIATION DU RISQUE ANALYSE DU RISQUE Identification du risque Estimation du risque Evaluation du risque Non Oui Décision : Appréciation satisfaisante Traitement du risque Non Oui Décision : Traitement satisfaisant Acceptation du risque Copyright FMD INFORMATIQUE 2011 - Reproduction Interdite 38 www.fmd.fr
Processus de gestion du risque ACT PLAN Maintien et amélioration du processus de gestion des risques Etablissement du contexte Appréciation des risques Plan de traitement du risque Acceptation du risque CHECK DO Implémentation du plan de traitement du risque Surveillance continue Réexamen des risques Copyright FMD INFORMATIQUE 2011 - Reproduction Interdite 39 www.fmd.fr
Processus de gestion du risque Etablissement du contexte APPRECIATION DU RISQUE ANALYSE DU RISQUE Identification du risque Estimation du risque Evaluation du risque Non Oui Décision : Appréciation satisfaisante Traitement du risque Non Oui Décision : Traitement satisfaisant Acceptation du risque Copyright FMD INFORMATIQUE 2011 - Reproduction Interdite 40 www.fmd.fr
Etablissement du contexte • Définir le périmètre • Définir les critères de base • Critères d’impact • Critères d’évaluation des risques • Critères d’acceptation des risques • Critères de valorisation des actifs • Echelle d’estimation Copyright FMD INFORMATIQUE 2011 - Reproduction Interdite 41 www.fmd.fr
Processus de gestion du risque Etablissement du contexte APPRECIATION DU RISQUE ANALYSE DU RISQUE Identification du risque Estimation du risque Evaluation du risque Non Oui Décision : Appréciation satisfaisante Traitement du risque Non Oui Décision : Traitement satisfaisant Acceptation du risque Copyright FMD INFORMATIQUE 2011 - Reproduction Interdite 42 www.fmd.fr
Identification du risque Appréciation du risque Ensemble du processus d’analyse du risque et d’évaluation du risque • Identification du risque • Estimation du risque • Evaluation du risque Analyse du risque Utilisation systématique d’informations pour identifier les sources et pour estimer le risque • Estimation du risque • Evaluation du risque Copyright FMD INFORMATIQUE 2011 - Reproduction Interdite 43 www.fmd.fr
Identification du risque • Phase de collecte d’informations • Méthodes Identifier • Actifs • Menaces • Vulnérabilités • Mesures de sécurité existantes • Conséquences Copyright FMD INFORMATIQUE 2011 - Reproduction Interdite 44 www.fmd.fr
Identification du risque Actifs et leur propriétaire • Actifs primordiaux • Actifs en support Valoriser les actifs suivant l’échelle de valorisation Livrable : liste des actifs avec leur propriétaire et leur valeur Copyright FMD INFORMATIQUE 2011 - Reproduction Interdite 45 www.fmd.fr
Identification du risque Un exemple pour illustrer Un Organisme de formation ayant pour activité Créer les supports de cours Donner les formations 2 salariés : le formateur et un assistant Formation sur la norme ISO 27005 Copyright FMD INFORMATIQUE 2011 - Reproduction Interdite 46 www.fmd.fr
Identification du risque - actif Liste des actifs Description Nature Propriétaire Actifs Primordiaux AP - 1 Processus de formation Processus Formateur AP - 2 Processus de création du contenu Processus Formateur AP - 3 Cours - Contenu Information Assistant Actifs en Support AS - 1 Salle de Formation Site Assistant AS - 2 Vidéo Projecteur Matériel Assistant AS - 3 Ordinateur Matériel Assistant AS - 4 Formateur Personnel Formateur AS - 5 Norme 2005 Matériel Formateur AS - 6 Norme 2001 & 2002 Matériel Formateur AS - 7 Microsoft PowerPoint Logiciel Assistant AS - 8 Cours - Format numérique Logiciel Assistant Copyright FMD INFORMATIQUE 2011 - Reproduction Interdite 47 www.fmd.fr
Identification du risque - actif Echelle de valorisation des actifs Valeur Signification Coût achat délai remplacement Compétence Faible moyen élevé jour semaine > semaine aucune faible forte 1 Faible X X X 2 Moyen X X X 3 Elevé X X 4 Très élevé - - - - - - X Copyright FMD INFORMATIQUE 2011 - Reproduction Interdite 48 www.fmd.fr
Identification du risque - actif Liste des actifs valorisés Description Nature Propriétaire Valeur Actifs Primordiaux AP - 1 Processus de formation Processus Formateur 4 AP - 2 Processus de création du contenu Processus Formateur 3 AP - 3 Cours - Contenu Information Assistant 4 Actifs en Support AS - 1 Salle de Formation Site Assistant 3 AS - 2 Vidéo Projecteur Matériel Assistant 2 AS - 3 Ordinateur Matériel Assistant 2 AS - 4 Formateur Personnel Formateur 4 AS - 5 Norme 2005 Matériel Formateur 1 AS - 6 Norme 2001 & 2002 Matériel Formateur 1 AS - 7 Microsoft PowerPoint Logiciel Assistant 1 AS - 8 Cours - Format numérique Logiciel Assistant 3 AS - 9 Assistant Personnel Assistant 3 Copyright FMD INFORMATIQUE 2011 - Reproduction Interdite 49 www.fmd.fr
Identification du risque - actif Liste des actifs retenus Description Nature Propriétaire Valeur Retenu Actifs Primordiaux AP - 1 Processus de formation Processus Formateur 4 OUI AP - 2 Processus de création du contenu Processus Formateur 3 AP - 3 Cours - Contenu Information Assistant 4 OUI Actifs en Support AS - 1 Salle de Formation Site Assistant 3 AS - 2 Vidéo Projecteur Matériel Assistant 2 AS - 3 Ordinateur Matériel Assistant 2 OUI AS - 4 Formateur Personnel Formateur 4 OUI AS - 5 Norme 2005 Matériel Formateur 1 AS - 6 Norme 2001 & 2002 Matériel Formateur 1 AS - 7 Microsoft PowerPoint Logiciel Assistant 1 AS - 8 Cours - Format numérique Logiciel Assistant 3 OUI AS - 9 Assistant Personnel Assistant 3 Copyright FMD INFORMATIQUE 2011 - Reproduction Interdite 50 www.fmd.fr
Identification du risque - menace Toutes les menaces • Accidentelles • Délibérées Par type, source, cible Méthode • Interview • Expérience • Annexe C de la norme 43 menaces Livrable : liste des menaces Copyright FMD INFORMATIQUE 2011 - Reproduction Interdite 51 www.fmd.fr
Identification du risque - menace Liste des actifs Description Nature Propriétaire Valeur Retenu Menace Actifs Primordiaux AP - 1 Processus de formation Processus Formateur 4 OUI AP - 2 Processus de création du contenu Processus Formateur 3 AP - 3 Cours - Contenu Information Assistant 4 OUI Actifs en Support AS - 1 Salle de Formation Site Assistant 3 AS - 2 Vidéo Projecteur Matériel Assistant 2 AS - 3 Ordinateur Matériel Assistant 2 OUI Vol Panne AS - 4 Formateur Personnel Formateur 4 OUI Maladie Démission AS - 5 Norme 2005 Matériel Formateur 1 AS - 6 Norme 2001 & 2002 Matériel Formateur 1 AS - 7 Microsoft PowerPoint Logiciel Assistant 1 AS - 8 Cours - Format numérique Logiciel Assistant 3 Destruction AS - 9 Assistant Personnel Assistant 3 Copyright FMD INFORMATIQUE 2011 - Reproduction Interdite 52 www.fmd.fr
Identification du risque - vulnérabilité Méthode Catalogue ISO 27005 Annexe D Audit Contrôle Interne Interview Expérience Autre méthode : EBIOS, … Livrable : liste des vulnérabilités Copyright FMD INFORMATIQUE 2011 - Reproduction Interdite 53 www.fmd.fr
Identification du risque - vulnérabilité Liste des actifs Description Nature Propriétaire Valeur Retenu Menace Vulnérabilité Actifs Primordiaux AP - 1 Processus de formation Processus Formateur 4 OUI AP - 2 Processus de création du contenu Processus Formateur 3 AP - 3 Cours - Contenu Information Assistant 4 OUI Actifs en Support AS - 1 Salle de Formation Site Assistant 3 AS - 2 Vidéo Projecteur Matériel Assistant 2 AS - 3 Ordinateur Matériel Assistant 2 OUI Vol Portabilité Panne Alimentation élec. AS - 4 Formateur Personnel Formateur 4 OUI Maladie Manque de prévenance Démission Ambition AS - 5 Norme 2005 Matériel Formateur 1 AS - 6 Norme 2001 & 2002 Matériel Formateur 1 AS - 7 Microsoft PowerPoint Logiciel Assistant 1 AS - 8 Cours - Format numérique Logiciel Assistant 3 Destruction Support numérique AS - 9 Assistant Personnel Assistant 3 Copyright FMD INFORMATIQUE 2011 - Reproduction Interdite 54 www.fmd.fr
Identification du risque - scénario Identification des conséquences Identifier les impacts sur CIA Confidentialité, Intégrité, Disponibilité (Availability) Identifier les conséquences causées par des menaces exploitant les vulnérabilités des actifs. Impact mesuré suivant les critères d’impact Copyright FMD INFORMATIQUE 2011 - Reproduction Interdite 55 www.fmd.fr
Identification du risque Identification des conséquences Pour une bonne communication et compréhension Scénario d’incident Tableau de synthèse : scénario d’incident Actifs impactés Conséquence de l’occurrence Livrable : liste des scenarios d’incidents avec leur conséquence Copyright FMD INFORMATIQUE 2011 - Reproduction Interdite 56 www.fmd.fr
Identification du risque M N Som a Scénario d'incident Actif impacté C I A me x Conséquence AP - 1 Processus de formation 3 1 2 6 Perte financière modérée AP -2 AP -3 Processus de création du contenu Cours - Contenu 1 1 2 4 3 3 2 8 8 Perte d'image très importante Perte de productivité modérée Vol de l'ordinateur du à sa portabilité 1 AS - 3 Ordinateur 3 3 2 8 AS - 8 Cours - Format numérique 3 3 2 8 AP - 1 Processus de formation 1 2 2 5 Perte financière modérée AP -2 AP -3 Processus de création du contenu Cours - Contenu 1 2 2 5 1 2 2 5 6 Perte d'image nulle Perte de productivité modérée Destruction de l'ordinateur du à sa portabilité 2 AS - 3 Ordinateur 1 3 2 6 AS - 8 Cours - Format numérique 1 3 2 6 AP -1 AP -2 Processus de formation Processus de création du contenu 1 1 3 5 1 1 2 4 5 Perte financière nulle Perte d'image nulle L'ordinateur ne s'allume - décharge totale des batteries 3 AS - 3 Ordinateur 1 1 2 4 Perte de productivité nulle AP - 1 Processus de formation 2 3 2 7 Perte financière nulle Connexion frauduleuse 4 altération AP - 3 Cours - Contenu 1 3 2 6 6 Perte d'image très importante du support de cours AS - 8 Cours - Format numérique 1 3 2 6 Perte de productivité modérée AP -1 AP -3 Processus de formation Cours - Contenu 3 1 2 6 3 1 2 6 6 Perte financière modérée Perte d'image très importante Connexion frauduleuse vol du support par la concurrence 5 AS - 8 Cours - Format numérique 3 1 1 5 Perte de productivité modérée AP - 1 Processus de formation 1 1 3 5 Perte financière modérée 5 6 Formateur contracte la grippe AS - 4 Formateur 1 1 3 5 Perte d'image nulle Perte de productivité modérée AP - 1 Processus de formation 3 1 3 7 Perte financière importante Le formateur est approché 7 par la concurrence et AS - 4 Formateur 1 1 3 5 7 Perte d'image très importante démissionne Perte de productivité modérée Copyright FMD INFORMATIQUE 2011 - Reproduction Interdite 57 www.fmd.fr
Identification du risque - mesures existantes Identification les mesures de sécurité existantes • Revue du plan de traitement du risque déjà en œuvre • Vérification de l’efficacité des mesures • Audit, contrôle interne, indicateurs • Interview du SI • Vérification sur le terrain • Le SOA, source d’informations •Statement of applicatibility •Déclaration d’applicatibilité Copyright FMD INFORMATIQUE 2011 - Reproduction Interdite 58 www.fmd.fr
Identification du risque - mesures existantes Som a Scénario d'incident Actif impacté C I A me x Conséquence Mes. Séc. AP - 1 Processus de formation 3 1 2 6 Perte financière modérée AP -2 AP -3 Processus de création du contenu Cours - Contenu 1 1 2 4 3 3 2 8 8 Perte d'image très importante Perte de productivité modérée Vol de l'ordinateur du à sa portabilité 1 AS - 3 Ordinateur 3 3 2 8 AS - 8 Cours - Format numérique 3 3 2 8 AP - 1 Processus de formation 1 2 2 5 Perte financière modérée AP -2 AP -3 Processus de création du contenu Cours - Contenu 1 2 2 5 1 2 2 5 6 Perte d'image nulle Perte de productivité modérée Destruction de l'ordinateur du à sa portabilité 2 AS - 3 Ordinateur 1 3 2 6 AS - 8 Cours - Format numérique 1 3 2 6 AP -1 AP -2 Processus de formation Processus de création du contenu 1 1 3 5 1 1 2 4 5 Perte financière nulle Perte d'image nulle L'ordinateur ne s'allume - décharge totale des batteries 3 AS - 3 Ordinateur 1 1 2 4 Perte de productivité nulle Processus de formation Cours - Contenu AP -1 2 3 2 7 Perte financière nulle Connexion frauduleuse 1 3 2 6 6 1 3 2 6 Perte d'image très importante Perte de productivité modérée identifiant mot de passe 4 altération AP -3 du support de cours AS -8 Cours - Format numérique AP -1 AP -3 Processus de formation Cours - Contenu 3 1 2 6 3 1 2 6 6 Perte financière modérée Perte d'image très importante Connexion frauduleuse vol du support par la concurrence identifiant mot de passe 5 AS - 8 Cours - Format numérique 3 1 1 5 Perte de productivité modérée AP - 1 Processus de formation 1 1 3 5 Perte financière modérée 5 6 Formateur contracte la grippe AS - 4 Formateur 1 1 3 5 Perte d'image nulle Perte de productivité modérée AP - 1 Processus de formation 3 1 3 7 Perte financière importante Le formateur est approché 7 par la concurrence et AS - 4 Formateur 1 1 3 5 7 Perte d'image très importante démissionne Perte de productivité modérée Copyright FMD INFORMATIQUE 2011 - Reproduction Interdite 59 www.fmd.fr
Processus de gestion du risque Etablissement du contexte APPRECIATION DU RISQUE ANALYSE DU RISQUE Identification du risque Estimation du risque Evaluation du risque Non Oui Décision : Appréciation satisfaisante Traitement du risque Non Oui Décision : Traitement satisfaisant Acceptation du risque Copyright FMD INFORMATIQUE 2011 - Reproduction Interdite 60 www.fmd.fr
Méthode d’estimation des risques Estimation du risque Méthode d’estimation des risques • Qualitative • Quantitative Copyright FMD INFORMATIQUE 2011 - Reproduction Interdite 61 www.fmd.fr
Echelle de valeur : appréciation Faible, moyen, élevé Estimation du risque Qualitative Echelle de valeur : appréciation Faible, moyen, élevé Cout difficilement mesurable perte de part de marché, de confiance des clients, d’image de marque Facile à comprendre mais subjectif Quantitative Echelle de valeur numérique. Coûts mesurables : coût d’achat, de maintenance, perte de CA Livrable : liste des scenarios d’incidents avec leur conséquence Copyright FMD INFORMATIQUE 2011 - Reproduction Interdite 62 www.fmd.fr
Estimation du risque - conséquences Valeur N. Scénario d'incident Actif impacté C I A Somme Max Conséquence Mesure sécurité Conséquenc e AP - 1 Processus de formation 3 1 2 6 Perte financière modérée 2 AP -2 AP -3 Processus de création du contenu Cours - Contenu 1 1 2 4 3 3 2 8 8 Perte d'image très importante Perte de productivité modérée 3 Vol de l'ordinateur du à sa portabilité 1 2 AS - 3 Ordinateur 3 3 2 8 AS - 8 Cours - Format numérique 3 3 2 8 AP - 1 Processus de formation 1 2 2 5 Perte financière modérée 2 AP -2 AP -3 Processus de création du contenu Cours - Contenu 1 2 2 5 1 2 2 5 6 Perte d'image nulle Perte de productivité modérée 1 Destruction de l'ordinateur du à sa portabilité 2 2 AS - 3 Ordinateur 1 3 2 6 AS - 8 Cours - Format numérique 1 3 2 6 AP - 1 Processus de formation 1 1 3 5 Perte financière nulle 1 L'ordinateur ne s'allume 3 - décharge totale des AP - 2 Processus de création du contenu 1 1 2 4 5 Perte d'image nulle 1 batteries AS - 3 Ordinateur 1 1 2 4 Perte de productivité nulle 1 Processus de formation Cours - Contenu AP -1 2 3 2 7 Perte financière nulle 1 Connexion frauduleuse Perte d'image très importante Perte de productivité modérée Perte financière modérée identifiant / mot de passe 4 altération AP -3 1 3 2 6 6 3 du support de cours AS -8 Cours - Format numérique Processus de formation Cours - Contenu 1 3 2 6 2 AP -1 3 1 2 6 2 Connexion frauduleuse vol 3 1 2 6 6 3 1 1 5 Perte d'image très importante Perte de productivité modérée identifiant / mot de passe 5 du support par la AP -3 concurrence 3 AS -8 Cours - Format numérique 2 AP - 1 Processus de formation 1 1 3 5 Perte financière modérée 2 5 6 Formateur contracte la grippe AS - 4 Formateur 1 1 3 5 Perte d'image nulle 1 Perte de productivité modérée 2 AP - 1 Processus de formation 3 1 3 7 Perte financière importante 3 Le formateur est approché 7 par la concurrence et AS - 4 Formateur 1 1 3 5 7 Perte d'image très importante 3 démissionne Perte de productivité modérée 2 fr
Estimation du risque - vraisemblance Estimation de la vraisemblance des scénarios Echelle quantitative de 1 à N 1 peu probable Méthode Entretien avec les métiers Expérience Bon sens Copyright FMD INFORMATIQUE 2011 - Reproduction Interdite 64 www.fmd.fr
Estimation du risque - vraisemblance Valeur N. Scénario d'incident Actif impacté C I A Somme Max Conséquence Mes. Séc. Conséquenc e Vrais. AP - 1 Processus de formation 3 1 2 6 Perte financière modérée 2 AP - 2 Processus de création du contenu AP - 3 Cours - Contenu 1 1 2 4 Perte d'image très importante 3 3 2 8 8 Perte de productivité modérée 3 Vol de l'ordinateur du à sa portabilité 1 2 2 AS - 3 Ordinateur 3 3 2 8 AS - 8 Cours - Format numérique 3 3 2 8 AP - 1 Processus de formation 1 2 2 5 Perte financière modérée 2 AP - 2 Processus de création du contenu AP - 3 Cours - Contenu 1 2 2 5 Perte d'image nulle 1 2 2 5 6 Perte de productivité modérée 1 Destruction de l'ordinateur du à sa portabilité 2 2 2 AS - 3 Ordinateur 1 3 2 6 AS - 8 Cours - Format numérique 1 3 2 6 AP - 1 Processus de formation 1 1 3 5 Perte financière nulle 1 L'ordinateur ne s'allume 3 - décharge totale des AP - 2 Processus de création du contenu 1 1 2 4 5 Perte d'image nulle 1 3 batteries AS - 3 Ordinateur 1 1 2 4 Perte de productivité nulle 1 AP - 1 Processus de formation 2 3 2 7 Perte financière nulle 1 Connexion frauduleuse identifiant 4 altération AP - 3 Cours - Contenu 1 3 2 6 6 Perte d'image très importante mot de 3 3 du support de cours passe AS - 8 Cours - Format numérique 1 3 2 6 Perte de productivité modérée 2 AP - 1 Processus de formation 3 1 2 6 Perte financière modérée 2 Connexion frauduleuse vol identifiant 5 du support par la AP - 3 Cours - Contenu 3 1 2 6 6 Perte d'image très importante mot de 3 1 concurrence passe AS - 8 Cours - Format numérique 3 1 1 5 Perte de productivité modérée 2 AP - 1 Processus de formation 1 1 3 5 Perte financière modérée 2 5 6 Formateur contracte la grippe AS - 4 Formateur 1 1 3 5 Perte d'image nulle 1 1 Perte de productivité modérée 2 AP - 1 Processus de formation 3 1 3 7 Perte financière importante 3 Le formateur est approché 7 par la concurrence et AS - 4 Formateur 1 1 3 5 7 Perte d'image très importante 3 1 démissionne Perte de productivité modérée 2 Copyright FMD INFORMATIQUE 2011 - Reproduction Interdite 65 www.fmd.fr
Estimation du risque - Valeur de risque Valeur de risque du scénario = Impact sur CIA * vraisemblance Copyright FMD INFORMATIQUE 2011 - Reproduction Interdite 66 www.fmd.fr
Estimation du risque - niveau de risque Valeur Niv N Som a C I A me x Conséquenc e Vra Scénario d'incident Actif impacté Conséquence Mes. Séc. Ris is. q. AP - 1 Processus de formation 3 1 2 6 Perte financière modérée 2 AP - 2 AP - 3 Processus de création du contenu Cours - Contenu 1 1 2 4 3 3 2 8 8 Perte d'image très importante Perte de productivité modérée 3 Vol de l'ordinateur du à sa portabilité 1 2 2 16 AS - 3 Ordinateur 3 3 2 8 AS - 8 Cours - Format numérique 3 3 2 8 AP - 1 Processus de formation 1 2 2 5 Perte financière modérée 2 AP - 2 AP - 3 Processus de création du contenu Cours - Contenu 1 2 2 5 1 2 2 5 6 Perte d'image nulle Perte de productivité modérée 1 2 Destruction de l'ordinateur du à sa portabilité 2 2 12 AS - 3 Ordinateur 1 3 2 6 AS - 8 Cours - Format numérique 1 3 2 6 AP - 1 Processus de formation 1 1 3 5 Perte financière nulle 1 L'ordinateur ne s'allume 3 - décharge totale des AP - 2 Processus de création du contenu 1 1 2 4 5 Perte d'image nulle 1 3 15 batteries AS - 3 Ordinateur 1 1 2 4 Perte de productivité nulle 1 AP - 1 Processus de formation 2 3 2 7 Perte financière nulle 1 Connexion frauduleuse identifiant 4 altération AP - 3 Cours - Contenu 1 3 2 6 6 Perte d'image très importante mot de 3 3 18 du support de cours passe AS - 8 Cours - Format numérique 1 3 2 6 Perte de productivité modérée 2 AP - 1 AP - 3 AS - 8 Processus de formation Cours - Contenu 3 1 2 6 Perte financière modérée identifiant 2 Connexion frauduleuse vol du support par la concurrence 3 1 2 6 6 3 1 1 5 3 1 6 2 5 Perte d'image très importante mot de passe Perte de productivité modérée Cours - Format numérique AP - 1 Processus de formation 1 1 3 5 Perte financière modérée 2 5 6 Formateur contracte la grippe AS - 4 Formateur 1 1 3 5 Perte d'image nulle 1 1 5 Perte de productivité modérée 2 AP - 1 Processus de formation 3 1 3 7 Perte financière importante 3 Le formateur est approché 7 par la concurrence et AS - 4 Formateur 1 1 3 5 7 Perte d'image très importante 3 1 7 démissionne Perte de productivité modérée 2 Copyright FMD INFORMATIQUE 2011 - Reproduction Interdite 67 www.fmd.fr
Processus de gestion du risque Etablissement du contexte APPRECIATION DU RISQUE ANALYSE DU RISQUE Identification du risque Estimation du risque Evaluation du risque Non Oui Décision : Appréciation satisfaisante Traitement du risque Non Oui Décision : Traitement satisfaisant Acceptation du risque Copyright FMD INFORMATIQUE 2011 - Reproduction Interdite 68 www.fmd.fr
Processus de comparaison du risque estimé avec des Evaluation du risque Evaluation du risque Processus de comparaison du risque estimé avec des critères de risque donnés pour en déterminer l’importance Je compare la valeur de risque des scénarios avec les critères établis lors de l’établissement du contexte Une plage 1..n = j’accepte Une plage …. = à traiter non urgent Une plage > X = à traiter en priorité Copyright FMD INFORMATIQUE 2011 - Reproduction Interdite 69 www.fmd.fr
Evaluation du risque 70 www.fmd.fr Valeur Niv N Scénario d'incident Actif impacté Som a C I A me x Vra Conséquenc e Conséquence Mes. Séc. Ris is. q. AP - 1 Processus de formation 3 1 2 6 Perte financière modérée 2 AP -2 Processus de création du contenu AP -3 Cours - Contenu 1 1 2 4 3 3 2 8 8 Perte d'image très importante Perte de productivité modérée 3 Vol de l'ordinateur du à sa portabilité 1 2 2 16 AS - 3 Ordinateur 3 3 2 8 AS - 8 Cours - Format numérique 3 3 2 8 AP - 1 Processus de formation 1 2 2 5 Perte financière modérée 2 AP -2 Processus de création du contenu AP -3 Cours - Contenu 1 2 2 5 1 2 2 5 6 Perte d'image nulle Perte de productivité modérée 1 Destruction de l'ordinateur du à sa portabilité 2 2 2 12 AS - 3 Ordinateur 1 3 2 6 AS - 8 Cours - Format numérique 1 3 2 6 AP - 1 Processus de formation 1 1 3 5 Perte financière nulle 1 L'ordinateur ne s'allume 3 - décharge totale des AP - 2 Processus de création du contenu 1 1 2 4 5 Perte d'image nulle 1 3 15 batteries AS - 3 Ordinateur 1 1 2 4 Perte de productivité nulle 1 AP - 1 Processus de formation 2 3 2 7 Perte financière nulle 1 Connexion frauduleuse identifiant 4 altération AP - 3 Cours - Contenu 1 3 2 6 6 Perte d'image très importante mot de 3 3 18 du support de cours passe AS - 8 Cours - Format numérique 1 3 2 6 Perte de productivité modérée 2 AP - 1 Processus de formation 3 1 2 6 Perte financière modérée 2 Connexion frauduleuse vol identifiant 5 du support par la AP - 3 Cours - Contenu 3 1 2 6 6 Perte d'image très importante mot de 3 1 6 concurrence passe AS - 8 Cours - Format numérique 3 1 1 5 Perte de productivité modérée 2 AP - 1 Processus de formation 1 1 3 5 Perte financière modérée 2 5 6 Formateur contracte la grippe AS - 4 Formateur 1 1 3 5 Perte d'image nulle 1 1 5 Perte de productivité modérée 2 AP - 1 Processus de formation 3 1 3 7 Perte financière importante 3 Le formateur est approché 7 par la concurrence et AS - 4 Formateur 1 1 3 5 7 Perte d'image très importante 3 1 7 démissionne Perte de productivité modérée 2 Copyright FMD INFORMATIQUE 2011 - Reproduction Interdite 70 www.fmd.fr
Processus de gestion du risque Etablissement du contexte APPRECIATION DU RISQUE ANALYSE DU RISQUE Identification du risque Estimation du risque Evaluation du risque Non Oui Décision : Appréciation satisfaisante Traitement du risque Non Oui Décision : Traitement satisfaisant Acceptation du risque Copyright FMD INFORMATIQUE 2011 - Reproduction Interdite 71 www.fmd.fr
Traitement du risque Traitement du risque processus de sélection et de mise en œuvre des mesures visant à diminuer le risque Copyright FMD INFORMATIQUE 2011 - Reproduction Interdite 72 www.fmd.fr
Options de traitement du risque Réduction Refus Maintien Transfert du risque du risque du risque du risque Copyright FMD INFORMATIQUE 2011 - Reproduction Interdite 73 www.fmd.fr
Traitement du risque Réduction • Réduire le niveau de risque • Mesures de sécurité • Niveau acceptable Copyright FMD INFORMATIQUE 2011 - Reproduction Interdite 74 www.fmd.fr
Contraintes multiples Traitement du risque Contraintes multiples Temps Financières Techniques Culturelles Ethiques Environnementales Légales Copyright FMD INFORMATIQUE 2011 - Reproduction Interdite 75 www.fmd.fr
Maintien - Risk retention Traitement du risque Maintien - Risk retention Décision de ne prendre aucune action face au risque Condition Le niveau de risque respecte les critères d’acceptation. Copyright FMD INFORMATIQUE 2011 - Reproduction Interdite 76 www.fmd.fr
Traitement du risque Refus - Risk avoidance L’activité ou la situation qui engendre le risque est tout simplement éliminée Copyright FMD INFORMATIQUE 2011 - Reproduction Interdite 77 www.fmd.fr
Transfert - Risk Transfer Traitement du risque Transfert - Risk Transfer Transfert du risque à un tiers qui pourra gérer le risque de manière plus efficiente. Copyright FMD INFORMATIQUE 2011 - Reproduction Interdite 78 www.fmd.fr
Options de traitement risque Traitement du risque Options de traitement risque Réduction Refus Maintien Transfert du risque du risque du risque du risque Risques résiduels Traitement satisfaisant Copyright FMD INFORMATIQUE 2011 - Reproduction Interdite 79 www.fmd.fr
Processus de gestion du risque Etablissement du contexte APPRECIATION DU RISQUE ANALYSE DU RISQUE Identification du risque Estimation du risque Evaluation du risque Non Oui Décision : Appréciation satisfaisante Traitement du risque Non Oui Décision : Traitement satisfaisant Acceptation du risque Copyright FMD INFORMATIQUE 2011 - Reproduction Interdite 80 www.fmd.fr
Acceptation par le management du risque résiduel Enregistrement formel Acceptation du risque Acceptation par le management du risque résiduel Enregistrement formel Livrable Liste des risques acceptés avec justification pour les risques ne respectant pas les critères d’acceptation Copyright FMD INFORMATIQUE 2011 - Reproduction Interdite 81 www.fmd.fr
Processus de gestion du risque Etablissement du contexte APPRECIATION DU RISQUE ANALYSE DU RISQUE Identification du risque Estimation du risque Evaluation du risque Non Oui Décision : Appréciation satisfaisante Traitement du risque Non Oui Décision : Traitement satisfaisant Acceptation du risque Copyright FMD INFORMATIQUE 2011 - Reproduction Interdite 82 www.fmd.fr
Communication du risque Echange - bidirectionnelle Décisionnaires Stakeholders - parties prenantes (# shareholders) Objectifs Compréhension Information Sensibilisation Implication Copyright FMD INFORMATIQUE 2011 - Reproduction Interdite 83 www.fmd.fr
Processus de gestion du risque Etablissement du contexte APPRECIATION DU RISQUE ANALYSE DU RISQUE Identification du risque Estimation du risque Evaluation du risque Non Oui Décision : Appréciation satisfaisante Traitement du risque Non Oui Décision : Traitement satisfaisant Acceptation du risque Copyright FMD INFORMATIQUE 2011 - Reproduction Interdite 84 www.fmd.fr
Surveillance et réexamen Des facteurs de risques (nouveaux!) Actifs Nouveaux actifs Obsolescence, disparition d’actifs vulnérabilité menace vraisemblance impact Copyright FMD INFORMATIQUE 2011 - Reproduction Interdite 85 www.fmd.fr
Surveillance et réexamen Surveillance du processus de gestion du risque Critères d’évaluation Critères d’acceptation Critères d’impact Concurrence Contexte légal Contexte environnemental Copyright FMD INFORMATIQUE 2011 - Reproduction Interdite 86 www.fmd.fr
Surveillance et réexamen Revue de risque Capitaliser, leçons apprises Détecter les changements et évolutions Observer, consigner Mesurer l’avancement de la mise en œuvre des plans (PDCA) Copyright FMD INFORMATIQUE 2011 - Reproduction Interdite 87 www.fmd.fr
Processus de gestion du risque Etablissement du contexte APPRECIATION DU RISQUE ANALYSE DU RISQUE Identification du risque Estimation du risque Evaluation du risque Non Oui Décision : Appréciation satisfaisante Traitement du risque Non Oui Décision : Traitement satisfaisant Acceptation du risque Copyright FMD INFORMATIQUE 2011 - Reproduction Interdite 88 www.fmd.fr
La norme ISO 27005 1. Périmètre 2. Références normatives 3. Définitions 4. Structure de la norme 5. Obligation 6. Processus 7. Contexte 8. Evaluation 9. Traitement 10. Acceptation 11. Communication 12. Surveillance et revue Copyright FMD INFORMATIQUE 2011 - Reproduction Interdite 89 www.fmd.fr
Processus de gestion du risque Etablissement du contexte 12 7 12 APPRECIATION DU RISQUE ANALYSE DU RISQUE Identification du risque 8.2.1 Estimation du risque 8.2.2 Evaluation du risque 8.3 Non Oui Décision : Appréciation satisfaisante Traitement du risque 9 Non Décision : Traitement satisfaisant Oui Acceptation du risque 10 Copyright FMD INFORMATIQUE 2011 - Reproduction Interdite 90 www.fmd.fr
La norme ISO 27005 Annexes • Périmètre et limite du processus de gestion du risque • Identification et évaluation des actifs et estimation des impacts • Exemples de menaces • Vulnérabilités et méthodes pour les estimer • Méthode d’estimation du risque • Contraintes Copyright FMD INFORMATIQUE 2011 - Reproduction Interdite 91 www.fmd.fr
Le management des risques & la norme ISO 27005 Conclusion Le SMSI 1. Les normes ISO 27001 & ISO 27002 2. Le management des risques & la norme ISO 27005 3. Copyright FMD INFORMATIQUE 2011 - Reproduction Interdite 92 www.fmd.fr
Merci de votre attention Copyright FMD INFORMATIQUE 2011 - Reproduction Interdite 93 www.fmd.fr