La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Implémentation d’un SMSI -

Publié parFlorentin Despres Modifié depuis plus de 9 années

Présentations similaires

Présentation au sujet: "Implémentation d’un SMSI -"— Transcription de la présentation:

1 Implémentation d’un SMSI -
Méthode de management des risques Norme ISO 27005 Jeudi 27 janvier 2011 Casablanca Taoufik ZNIBER Copyright FMD INFORMATIQUE Reproduction Interdite 1

2 Le management des risques & la norme ISO 27005
Sommaire Le SMSI 1. Les normes ISO & ISO 27002 2. Le management des risques & la norme ISO 27005 3. Copyright FMD INFORMATIQUE Reproduction Interdite 2

3 ISMS Information Security Management System
Système de Management de la sécurité de l’information 1. Le SMSI ISMS Information Security Management System Système de gestion de la sécurité des systèmes d’information SGSI Système de gestion de la sécurité des systèmes d’information SGSSI SGSI Copyright FMD INFORMATIQUE Reproduction Interdite 3

4 Système de Management ? Sécurité de l’Information ?
Système de Management de la Sécurité de l’Information Système de Management ? Sécurité de l’Information ? 1. 2. Copyright FMD INFORMATIQUE Reproduction Interdite 4

5 Système de Management de la Sécurité de l’Information
1. Copyright FMD INFORMATIQUE Reproduction Interdite 5

6 Système de Management C’est la norme ISO 9000 qui va nous permettre de définir ce qu’est un système de management. ISO Systèmes de management de la qualité - Principes essentiels et vocabulaire ISO 9001 Systèmes de management de la qualité - Exigences ISO 9004 Systèmes de management de la qualité - Gestion des performances durables d'un organisme - Approche de management par la qualité Copyright FMD INFORMATIQUE Reproduction Interdite 6

7 Système de Management Système permettant • D’établir une politique
• D’établir des objectifs • D’atteindre ces objectifs Copyright FMD INFORMATIQUE Reproduction Interdite 7

8 Propriétés des systèmes de management
Système de Management Propriétés des systèmes de management • Large spectre de métiers et de compétences • Projet fédérateur et mobilisateur • Importance de l’écrit • Auditabilité Copyright FMD INFORMATIQUE Reproduction Interdite 8

9 Apport des systèmes de management
Système de Management Apport des systèmes de management • Adoption de bonnes pratiques • Augmentation de la fiabilité • Accroissement de la confiance des parties prenantes, des « stakeholers» Copyright FMD INFORMATIQUE Reproduction Interdite 9

10 Amélioration Continue et
Système de Management Amélioration Continue et Méthode PDCA Copyright FMD INFORMATIQUE Reproduction Interdite 10

11 Amélioration Continue et Méthode PDCA
Système de Management Amélioration Continue et Méthode PDCA 4 Phases • Plan Préparer - Planifier • Do Développer - Faire • Check Contrôler - Vérifier • Act Agir - Corriger Copyright FMD INFORMATIQUE Reproduction Interdite 11

12 Amélioration Continue et Méthode PDCA
Système de Management Amélioration Continue et Méthode PDCA Roue de DEMING Plan Préparer - Planifier Do Développer - Faire Check Contrôler - Vérifier Act Agir - Corriger Copyright FMD INFORMATIQUE Reproduction Interdite 12

13 Amélioration Continue et Méthode PDCA
Système de Management Amélioration Continue et Méthode PDCA Applications Conduite de projet Capitalisation des leçons apprises Structure de découpage, rolling wave Développement, test Sécurité des systèmes d’informations … Copyright FMD INFORMATIQUE Reproduction Interdite 13

14 Système de Management Synthèse • Qualité • Amélioration Continue
• Dynamique • Ecrit Copyright FMD INFORMATIQUE Reproduction Interdite 14

15 Système de Management de la Sécurité de l’Information
Copyright FMD INFORMATIQUE Reproduction Interdite 15

16 Langue française - ambigüité !
Sécurité de l’Information Langue française - ambigüité ! Sécurité Sécurité Sureté Sureté Copyright FMD INFORMATIQUE Reproduction Interdite 16

17 Langue anglaise Sécurité de l’Information • Safety, sécurité physique
• Security, protection face à malveillance Copyright FMD INFORMATIQUE Reproduction Interdite 17

18 S’appuie sur 3 critères C I A Sécurité de l’Information
• Confidentiality - Confidentialité • Integrity - Intégrité C • Availability - Disponibilité I A Copyright FMD INFORMATIQUE Reproduction Interdite 18

19 Sécurité de l’Information
• Identification • Autorisation • Imputabilité • Auditabilité • Non répudiation Copyright FMD INFORMATIQUE Reproduction Interdite 19

20 Natures diverses Sécurité de l’Information • Technique
• Organisationnelle • Humaine, Culturelle Copyright FMD INFORMATIQUE Reproduction Interdite 20

21 Sécurité de l’information =
Système de Management de la Sécurité de l’Information Système de Management + Sécurité de l’information = SMSI Copyright FMD INFORMATIQUE Reproduction Interdite 21

22 - Norme ISO 27001 Norme ISO 27001 Techniques de sécurité -
Systèmes de gestion de la sécurité de l'information Copyright FMD INFORMATIQUE Reproduction Interdite 22

23 Norme ISO 27001 Concerne • Organisme • Individu 23 www.fmd.fr
Copyright FMD INFORMATIQUE Reproduction Interdite 23

24 La norme ISO 27001 spécifie les exigences relatives à
l'établissement la mise en œuvre le fonctionnement la surveillance et au réexamen la mise à jour l'amélioration d'un système de management de la sécurité de l'information. Copyright FMD INFORMATIQUE Reproduction Interdite 24

25 Domaine d’application Références normatives Termes et définitions SMSI
Norme ISO 27001 •Chapitre 0 •Chapitre 1 •Chapitre 2 •Chapitre 3 •Chapitre 4 •Chapitre 5 •Chapitre 6 •Chapitre 7 •Chapitre 8 Introduction Domaine d’application Références normatives Termes et définitions SMSI Responsabilité de la direction Audits internes du SMSI Revue de direction du SMSI Amélioration du SMSI •Annexe A Objectifs de sécurité et mesures de sécurité Copyright FMD INFORMATIQUE Reproduction Interdite 25

26 Norme ISO 27002 Norme ISO 27002 - Technologies de l'information — Techniques de sécurité — Code de bonne pratique pour la gestion de la sécurité de l'information Copyright FMD INFORMATIQUE Reproduction Interdite 26

27 Norme ISO 27005 Norme 27005 - Information technology — Security techniques — Information security risk management Copyright FMD INFORMATIQUE Reproduction Interdite 27

28 ISO 27005 - Définition ISO 27005 - Méthode
Norme ISO 27005 ISO Définition ISO Méthode 1. 2. Copyright FMD INFORMATIQUE Reproduction Interdite 28

29 Le risque de sécurité de l’information
Norme ISO 27005 Le risque de sécurité de l’information La potentialité qu'une menace donnée exploite les vulnérabilités d'un actif ou d'un groupe d'actifs et cause ainsi des désagréments à l’organisme Copyright FMD INFORMATIQUE Reproduction Interdite 29

30 Les trois composantes du risque
Norme ISO 27005 Les trois composantes du risque Les actifs 1. Les vulnérabilités Les menaces 2. 3. Copyright FMD INFORMATIQUE Reproduction Interdite 30

31 Processus et Activité Information
Norme ISO Actifs Actifs primordiaux Processus et Activité Information Actifs en supports Matériel Logiciel, OS Réseau Personnel Communication Energies Copyright FMD INFORMATIQUE Reproduction Interdite 31

32 Norme ISO 27005 - Vulnérabilités
Propriété intrinsèque de l’actif Les actifs possèdent des vulnérabilités Elle est exploitée (ou pas !) Copyright FMD INFORMATIQUE Reproduction Interdite 32

33 Action ou événement ayant une conséquence négative
Norme ISO Menaces Action ou événement ayant une conséquence négative Origine Motivation (humaine) Ciblent le CIA Copyright FMD INFORMATIQUE Reproduction Interdite 33

34 ? Norme ISO 27005 - Risque de sécurité Actif Menace Vulnérabilité
Cible Possède Menace Vulnérabilité exploite Conséquences C négatives I A Copyright FMD INFORMATIQUE Reproduction Interdite 34

35 Norme ISO 27005 - Risque de sécurité
Jeu de Go Copyright FMD INFORMATIQUE Reproduction Interdite 35

36 Norme ISO 27005 - Méthode Norme 27005 36 www.fmd.fr
Copyright FMD INFORMATIQUE Reproduction Interdite 36

37 Approche systématique
Norme ISO 27005 Exigences imposées Processus continu Approche systématique Alignement sur la gestion du risque en général Permettre résultats comparables et reproductibles Copyright FMD INFORMATIQUE Reproduction Interdite 37

38 Processus de gestion du risque
Etablissement du contexte APPRECIATION DU RISQUE ANALYSE DU RISQUE Identification du risque Estimation du risque Evaluation du risque Non Oui Décision : Appréciation satisfaisante Traitement du risque Non Oui Décision : Traitement satisfaisant Acceptation du risque Copyright FMD INFORMATIQUE Reproduction Interdite 38

39 Processus de gestion du risque
ACT PLAN Maintien et amélioration du processus de gestion des risques Etablissement du contexte Appréciation des risques Plan de traitement du risque Acceptation du risque CHECK DO Implémentation du plan de traitement du risque Surveillance continue Réexamen des risques Copyright FMD INFORMATIQUE Reproduction Interdite 39

40 Processus de gestion du risque
Etablissement du contexte APPRECIATION DU RISQUE ANALYSE DU RISQUE Identification du risque Estimation du risque Evaluation du risque Non Oui Décision : Appréciation satisfaisante Traitement du risque Non Oui Décision : Traitement satisfaisant Acceptation du risque Copyright FMD INFORMATIQUE Reproduction Interdite 40

41 Etablissement du contexte
• Définir le périmètre • Définir les critères de base • Critères d’impact • Critères d’évaluation des risques • Critères d’acceptation des risques • Critères de valorisation des actifs • Echelle d’estimation Copyright FMD INFORMATIQUE Reproduction Interdite 41

42 Processus de gestion du risque
Etablissement du contexte APPRECIATION DU RISQUE ANALYSE DU RISQUE Identification du risque Estimation du risque Evaluation du risque Non Oui Décision : Appréciation satisfaisante Traitement du risque Non Oui Décision : Traitement satisfaisant Acceptation du risque Copyright FMD INFORMATIQUE Reproduction Interdite 42

43 Identification du risque
Appréciation du risque Ensemble du processus d’analyse du risque et d’évaluation du risque • Identification du risque • Estimation du risque • Evaluation du risque Analyse du risque Utilisation systématique d’informations pour identifier les sources et pour estimer le risque • Estimation du risque • Evaluation du risque Copyright FMD INFORMATIQUE Reproduction Interdite 43

44 Identification du risque
• Phase de collecte d’informations • Méthodes Identifier • Actifs • Menaces • Vulnérabilités • Mesures de sécurité existantes • Conséquences Copyright FMD INFORMATIQUE Reproduction Interdite 44

45 Identification du risque
Actifs et leur propriétaire • Actifs primordiaux • Actifs en support Valoriser les actifs suivant l’échelle de valorisation Livrable : liste des actifs avec leur propriétaire et leur valeur Copyright FMD INFORMATIQUE Reproduction Interdite 45

46 Identification du risque
Un exemple pour illustrer Un Organisme de formation ayant pour activité Créer les supports de cours Donner les formations 2 salariés : le formateur et un assistant Formation sur la norme ISO 27005 Copyright FMD INFORMATIQUE Reproduction Interdite 46

47 Identification du risque - actif
Liste des actifs Description Nature Propriétaire Actifs Primordiaux AP - 1 Processus de formation Processus Formateur AP - 2 Processus de création du contenu Processus Formateur AP - 3 Cours - Contenu Information Assistant Actifs en Support AS - 1 Salle de Formation Site Assistant AS - 2 Vidéo Projecteur Matériel Assistant AS - 3 Ordinateur Matériel Assistant AS - 4 Formateur Personnel Formateur AS - 5 Norme 2005 Matériel Formateur AS - 6 Norme 2001 & 2002 Matériel Formateur AS - 7 Microsoft PowerPoint Logiciel Assistant AS - 8 Cours - Format numérique Logiciel Assistant Copyright FMD INFORMATIQUE Reproduction Interdite 47

48 Identification du risque - actif
Echelle de valorisation des actifs Valeur Signification Coût achat délai remplacement Compétence Faible moyen élevé jour semaine > semaine aucune faible forte 1 Faible X X X 2 Moyen X X X 3 Elevé X X 4 Très élevé - - - - - - X Copyright FMD INFORMATIQUE Reproduction Interdite 48

49 Identification du risque - actif
Liste des actifs valorisés Description Nature Propriétaire Valeur Actifs Primordiaux AP - 1 Processus de formation Processus Formateur 4 AP - 2 Processus de création du contenu Processus Formateur 3 AP - 3 Cours - Contenu Information Assistant 4 Actifs en Support AS - 1 Salle de Formation Site Assistant 3 AS - 2 Vidéo Projecteur Matériel Assistant 2 AS - 3 Ordinateur Matériel Assistant 2 AS - 4 Formateur Personnel Formateur 4 AS - 5 Norme 2005 Matériel Formateur 1 AS - 6 Norme 2001 & 2002 Matériel Formateur 1 AS - 7 Microsoft PowerPoint Logiciel Assistant 1 AS - 8 Cours - Format numérique Logiciel Assistant 3 AS - 9 Assistant Personnel Assistant 3 Copyright FMD INFORMATIQUE Reproduction Interdite 49

50 Identification du risque - actif
Liste des actifs retenus Description Nature Propriétaire Valeur Retenu Actifs Primordiaux AP - 1 Processus de formation Processus Formateur 4 OUI AP - 2 Processus de création du contenu Processus Formateur 3 AP - 3 Cours - Contenu Information Assistant 4 OUI Actifs en Support AS - 1 Salle de Formation Site Assistant 3 AS - 2 Vidéo Projecteur Matériel Assistant 2 AS - 3 Ordinateur Matériel Assistant 2 OUI AS - 4 Formateur Personnel Formateur 4 OUI AS - 5 Norme 2005 Matériel Formateur 1 AS - 6 Norme 2001 & 2002 Matériel Formateur 1 AS - 7 Microsoft PowerPoint Logiciel Assistant 1 AS - 8 Cours - Format numérique Logiciel Assistant 3 OUI AS - 9 Assistant Personnel Assistant 3 Copyright FMD INFORMATIQUE Reproduction Interdite 50

51 Identification du risque - menace
Toutes les menaces • Accidentelles • Délibérées Par type, source, cible Méthode • Interview • Expérience • Annexe C de la norme 43 menaces Livrable : liste des menaces Copyright FMD INFORMATIQUE Reproduction Interdite 51

52 Identification du risque - menace
Liste des actifs Description Nature Propriétaire Valeur Retenu Menace Actifs Primordiaux AP - 1 Processus de formation Processus Formateur 4 OUI AP - 2 Processus de création du contenu Processus Formateur 3 AP - 3 Cours - Contenu Information Assistant 4 OUI Actifs en Support AS - 1 Salle de Formation Site Assistant 3 AS - 2 Vidéo Projecteur Matériel Assistant 2 AS - 3 Ordinateur Matériel Assistant 2 OUI Vol Panne AS - 4 Formateur Personnel Formateur 4 OUI Maladie Démission AS - 5 Norme 2005 Matériel Formateur 1 AS - 6 Norme 2001 & 2002 Matériel Formateur 1 AS - 7 Microsoft PowerPoint Logiciel Assistant 1 AS - 8 Cours - Format numérique Logiciel Assistant 3 Destruction AS - 9 Assistant Personnel Assistant 3 Copyright FMD INFORMATIQUE Reproduction Interdite 52

53 Identification du risque - vulnérabilité
Méthode Catalogue ISO Annexe D Audit Contrôle Interne Interview Expérience Autre méthode : EBIOS, … Livrable : liste des vulnérabilités Copyright FMD INFORMATIQUE Reproduction Interdite 53

54 Identification du risque - vulnérabilité
Liste des actifs Description Nature Propriétaire Valeur Retenu Menace Vulnérabilité Actifs Primordiaux AP - 1 Processus de formation Processus Formateur 4 OUI AP - 2 Processus de création du contenu Processus Formateur 3 AP - 3 Cours - Contenu Information Assistant 4 OUI Actifs en Support AS - 1 Salle de Formation Site Assistant 3 AS - 2 Vidéo Projecteur Matériel Assistant 2 AS - 3 Ordinateur Matériel Assistant 2 OUI Vol Portabilité Panne Alimentation élec. AS - 4 Formateur Personnel Formateur 4 OUI Maladie Manque de prévenance Démission Ambition AS - 5 Norme 2005 Matériel Formateur 1 AS - 6 Norme 2001 & 2002 Matériel Formateur 1 AS - 7 Microsoft PowerPoint Logiciel Assistant 1 AS - 8 Cours - Format numérique Logiciel Assistant 3 Destruction Support numérique AS - 9 Assistant Personnel Assistant 3 Copyright FMD INFORMATIQUE Reproduction Interdite 54

55 Identification du risque - scénario
Identification des conséquences Identifier les impacts sur CIA Confidentialité, Intégrité, Disponibilité (Availability) Identifier les conséquences causées par des menaces exploitant les vulnérabilités des actifs. Impact mesuré suivant les critères d’impact Copyright FMD INFORMATIQUE Reproduction Interdite 55

56 Identification du risque
Identification des conséquences Pour une bonne communication et compréhension Scénario d’incident Tableau de synthèse : scénario d’incident Actifs impactés Conséquence de l’occurrence Livrable : liste des scenarios d’incidents avec leur conséquence Copyright FMD INFORMATIQUE Reproduction Interdite 56

57 Identification du risque
M N Som a Scénario d'incident Actif impacté C I A me x Conséquence AP - 1 Processus de formation 3 1 2 6 Perte financière modérée AP -2 AP -3 Processus de création du contenu Cours - Contenu Perte d'image très importante Perte de productivité modérée Vol de l'ordinateur du à sa portabilité 1 AS - 3 Ordinateur 3 3 2 8 AS - 8 Cours - Format numérique 3 3 2 8 AP - 1 Processus de formation 1 2 2 5 Perte financière modérée AP -2 AP -3 Processus de création du contenu Cours - Contenu Perte d'image nulle Perte de productivité modérée Destruction de l'ordinateur du à sa portabilité 2 AS - 3 Ordinateur 1 3 2 6 AS - 8 Cours - Format numérique 1 3 2 6 AP -1 AP -2 Processus de formation Processus de création du contenu Perte financière nulle Perte d'image nulle L'ordinateur ne s'allume - décharge totale des batteries 3 AS - 3 Ordinateur 1 1 2 4 Perte de productivité nulle AP - 1 Processus de formation 2 3 2 7 Perte financière nulle Connexion frauduleuse 4 altération AP - 3 Cours - Contenu 1 3 2 6 6 Perte d'image très importante du support de cours AS - 8 Cours - Format numérique 1 3 2 6 Perte de productivité modérée AP -1 AP -3 Processus de formation Cours - Contenu Perte financière modérée Perte d'image très importante Connexion frauduleuse vol du support par la concurrence 5 AS - 8 Cours - Format numérique 3 1 1 5 Perte de productivité modérée AP - 1 Processus de formation 1 1 3 5 Perte financière modérée 5 6 Formateur contracte la grippe AS - 4 Formateur 1 1 3 5 Perte d'image nulle Perte de productivité modérée AP - 1 Processus de formation 3 1 3 7 Perte financière importante Le formateur est approché 7 par la concurrence et AS - 4 Formateur 1 1 3 5 7 Perte d'image très importante démissionne Perte de productivité modérée Copyright FMD INFORMATIQUE Reproduction Interdite 57

58 Identification du risque - mesures existantes
Identification les mesures de sécurité existantes • Revue du plan de traitement du risque déjà en œuvre • Vérification de l’efficacité des mesures • Audit, contrôle interne, indicateurs • Interview du SI • Vérification sur le terrain • Le SOA, source d’informations •Statement of applicatibility •Déclaration d’applicatibilité Copyright FMD INFORMATIQUE Reproduction Interdite 58

59 Identification du risque - mesures existantes
Som a Scénario d'incident Actif impacté C I A me x Conséquence Mes. Séc. AP - 1 Processus de formation 3 1 2 6 Perte financière modérée AP -2 AP -3 Processus de création du contenu Cours - Contenu Perte d'image très importante Perte de productivité modérée Vol de l'ordinateur du à sa portabilité 1 AS - 3 Ordinateur 3 3 2 8 AS - 8 Cours - Format numérique 3 3 2 8 AP - 1 Processus de formation 1 2 2 5 Perte financière modérée AP -2 AP -3 Processus de création du contenu Cours - Contenu Perte d'image nulle Perte de productivité modérée Destruction de l'ordinateur du à sa portabilité 2 AS - 3 Ordinateur 1 3 2 6 AS - 8 Cours - Format numérique 1 3 2 6 AP -1 AP -2 Processus de formation Processus de création du contenu Perte financière nulle Perte d'image nulle L'ordinateur ne s'allume - décharge totale des batteries 3 AS - 3 Ordinateur 1 1 2 4 Perte de productivité nulle Processus de formation Cours - Contenu AP -1 Perte financière nulle Connexion frauduleuse Perte d'image très importante Perte de productivité modérée identifiant mot de passe 4 altération AP -3 du support de cours AS -8 Cours - Format numérique AP -1 AP -3 Processus de formation Cours - Contenu Perte financière modérée Perte d'image très importante Connexion frauduleuse vol du support par la concurrence identifiant mot de passe 5 AS - 8 Cours - Format numérique 3 1 1 5 Perte de productivité modérée AP - 1 Processus de formation 1 1 3 5 Perte financière modérée 5 6 Formateur contracte la grippe AS - 4 Formateur 1 1 3 5 Perte d'image nulle Perte de productivité modérée AP - 1 Processus de formation 3 1 3 7 Perte financière importante Le formateur est approché 7 par la concurrence et AS - 4 Formateur 1 1 3 5 7 Perte d'image très importante démissionne Perte de productivité modérée Copyright FMD INFORMATIQUE Reproduction Interdite 59

60 Processus de gestion du risque
Etablissement du contexte APPRECIATION DU RISQUE ANALYSE DU RISQUE Identification du risque Estimation du risque Evaluation du risque Non Oui Décision : Appréciation satisfaisante Traitement du risque Non Oui Décision : Traitement satisfaisant Acceptation du risque Copyright FMD INFORMATIQUE Reproduction Interdite 60

61 Méthode d’estimation des risques
Estimation du risque Méthode d’estimation des risques Qualitative Quantitative Copyright FMD INFORMATIQUE Reproduction Interdite 61

62 Echelle de valeur : appréciation Faible, moyen, élevé
Estimation du risque Qualitative Echelle de valeur : appréciation Faible, moyen, élevé Cout difficilement mesurable perte de part de marché, de confiance des clients, d’image de marque Facile à comprendre mais subjectif Quantitative Echelle de valeur numérique. Coûts mesurables : coût d’achat, de maintenance, perte de CA Livrable : liste des scenarios d’incidents avec leur conséquence Copyright FMD INFORMATIQUE Reproduction Interdite 62

63 Estimation du risque - conséquences
Valeur N. Scénario d'incident Actif impacté C I A Somme Max Conséquence Mesure sécurité Conséquenc e AP - 1 Processus de formation 3 1 2 6 Perte financière modérée 2 AP -2 AP -3 Processus de création du contenu Cours - Contenu Perte d'image très importante Perte de productivité modérée 3 Vol de l'ordinateur du à sa portabilité 1 2 AS - 3 Ordinateur 3 3 2 8 AS - 8 Cours - Format numérique 3 3 2 8 AP - 1 Processus de formation 1 2 2 5 Perte financière modérée 2 AP -2 AP -3 Processus de création du contenu Cours - Contenu Perte d'image nulle Perte de productivité modérée 1 Destruction de l'ordinateur du à sa portabilité 2 2 AS - 3 Ordinateur 1 3 2 6 AS - 8 Cours - Format numérique 1 3 2 6 AP - 1 Processus de formation 1 1 3 5 Perte financière nulle 1 L'ordinateur ne s'allume 3 - décharge totale des AP - 2 Processus de création du contenu 1 1 2 4 5 Perte d'image nulle 1 batteries AS - 3 Ordinateur 1 1 2 4 Perte de productivité nulle 1 Processus de formation Cours - Contenu AP -1 Perte financière nulle 1 Connexion frauduleuse Perte d'image très importante Perte de productivité modérée Perte financière modérée identifiant / mot de passe 4 altération AP -3 3 du support de cours AS -8 Cours - Format numérique Processus de formation Cours - Contenu 2 AP -1 2 Connexion frauduleuse vol Perte d'image très importante Perte de productivité modérée identifiant / mot de passe 5 du support par la AP -3 concurrence 3 AS -8 Cours - Format numérique 2 AP - 1 Processus de formation 1 1 3 5 Perte financière modérée 2 5 6 Formateur contracte la grippe AS - 4 Formateur 1 1 3 5 Perte d'image nulle 1 Perte de productivité modérée 2 AP - 1 Processus de formation 3 1 3 7 Perte financière importante 3 Le formateur est approché 7 par la concurrence et AS - 4 Formateur 1 1 3 5 7 Perte d'image très importante 3 démissionne Perte de productivité modérée 2 fr

64 Estimation du risque - vraisemblance
Estimation de la vraisemblance des scénarios Echelle quantitative de 1 à N 1 peu probable Méthode Entretien avec les métiers Expérience Bon sens Copyright FMD INFORMATIQUE Reproduction Interdite 64

65 Estimation du risque - vraisemblance
Valeur N. Scénario d'incident Actif impacté C I A Somme Max Conséquence Mes. Séc. Conséquenc e Vrais. AP - 1 Processus de formation 3 1 2 6 Perte financière modérée 2 AP - 2 Processus de création du contenu AP - 3 Cours - Contenu Perte d'image très importante Perte de productivité modérée 3 Vol de l'ordinateur du à sa portabilité 1 2 2 AS - 3 Ordinateur 3 3 2 8 AS - 8 Cours - Format numérique 3 3 2 8 AP - 1 Processus de formation 1 2 2 5 Perte financière modérée 2 AP - 2 Processus de création du contenu AP - 3 Cours - Contenu Perte d'image nulle Perte de productivité modérée 1 Destruction de l'ordinateur du à sa portabilité 2 2 2 AS - 3 Ordinateur 1 3 2 6 AS - 8 Cours - Format numérique 1 3 2 6 AP - 1 Processus de formation 1 1 3 5 Perte financière nulle 1 L'ordinateur ne s'allume 3 - décharge totale des AP - 2 Processus de création du contenu 1 1 2 4 5 Perte d'image nulle 1 3 batteries AS - 3 Ordinateur 1 1 2 4 Perte de productivité nulle 1 AP - 1 Processus de formation 2 3 2 7 Perte financière nulle 1 Connexion frauduleuse identifiant 4 altération AP - 3 Cours - Contenu 1 3 2 6 6 Perte d'image très importante mot de 3 3 du support de cours passe AS - 8 Cours - Format numérique 1 3 2 6 Perte de productivité modérée 2 AP - 1 Processus de formation 3 1 2 6 Perte financière modérée 2 Connexion frauduleuse vol identifiant 5 du support par la AP - 3 Cours - Contenu 3 1 2 6 6 Perte d'image très importante mot de 3 1 concurrence passe AS - 8 Cours - Format numérique 3 1 1 5 Perte de productivité modérée 2 AP - 1 Processus de formation 1 1 3 5 Perte financière modérée 2 5 6 Formateur contracte la grippe AS - 4 Formateur 1 1 3 5 Perte d'image nulle 1 1 Perte de productivité modérée 2 AP - 1 Processus de formation 3 1 3 7 Perte financière importante 3 Le formateur est approché 7 par la concurrence et AS - 4 Formateur 1 1 3 5 7 Perte d'image très importante 3 1 démissionne Perte de productivité modérée 2 Copyright FMD INFORMATIQUE Reproduction Interdite 65

66 Estimation du risque - Valeur de risque
Valeur de risque du scénario = Impact sur CIA * vraisemblance Copyright FMD INFORMATIQUE Reproduction Interdite 66

67 Estimation du risque - niveau de risque
Valeur Niv N Som a C I A me x Conséquenc e Vra Scénario d'incident Actif impacté Conséquence Mes. Séc. Ris is. q. AP - 1 Processus de formation 3 1 2 6 Perte financière modérée 2 AP - 2 AP - 3 Processus de création du contenu Cours - Contenu Perte d'image très importante Perte de productivité modérée 3 Vol de l'ordinateur du à sa portabilité 1 AS - 3 Ordinateur 3 3 2 8 AS - 8 Cours - Format numérique 3 3 2 8 AP - 1 Processus de formation 1 2 2 5 Perte financière modérée 2 AP - 2 AP - 3 Processus de création du contenu Cours - Contenu Perte d'image nulle Perte de productivité modérée 1 2 Destruction de l'ordinateur du à sa portabilité AS - 3 Ordinateur 1 3 2 6 AS - 8 Cours - Format numérique 1 3 2 6 AP - 1 Processus de formation 1 1 3 5 Perte financière nulle 1 L'ordinateur ne s'allume 3 - décharge totale des AP - 2 Processus de création du contenu 1 1 2 4 5 Perte d'image nulle 1 3 15 batteries AS - 3 Ordinateur 1 1 2 4 Perte de productivité nulle 1 AP - 1 Processus de formation 2 3 2 7 Perte financière nulle 1 Connexion frauduleuse identifiant 4 altération AP - 3 Cours - Contenu 1 3 2 6 6 Perte d'image très importante mot de 3 3 18 du support de cours passe AS - 8 Cours - Format numérique 1 3 2 6 Perte de productivité modérée 2 AP - 1 AP - 3 AS - 8 Processus de formation Cours - Contenu Perte financière modérée identifiant 2 Connexion frauduleuse vol du support par la concurrence 5 Perte d'image très importante mot de passe Perte de productivité modérée Cours - Format numérique AP - 1 Processus de formation 1 1 3 5 Perte financière modérée 2 5 6 Formateur contracte la grippe AS - 4 Formateur 1 1 3 5 Perte d'image nulle 1 1 5 Perte de productivité modérée 2 AP - 1 Processus de formation 3 1 3 7 Perte financière importante 3 Le formateur est approché 7 par la concurrence et AS - 4 Formateur 1 1 3 5 7 Perte d'image très importante 3 1 7 démissionne Perte de productivité modérée 2 Copyright FMD INFORMATIQUE Reproduction Interdite 67

68 Processus de gestion du risque
Etablissement du contexte APPRECIATION DU RISQUE ANALYSE DU RISQUE Identification du risque Estimation du risque Evaluation du risque Non Oui Décision : Appréciation satisfaisante Traitement du risque Non Oui Décision : Traitement satisfaisant Acceptation du risque Copyright FMD INFORMATIQUE Reproduction Interdite 68

69 Processus de comparaison du risque estimé avec des
Evaluation du risque Evaluation du risque Processus de comparaison du risque estimé avec des critères de risque donnés pour en déterminer l’importance Je compare la valeur de risque des scénarios avec les critères établis lors de l’établissement du contexte Une plage 1..n = j’accepte Une plage …. = à traiter non urgent Une plage > X = à traiter en priorité Copyright FMD INFORMATIQUE Reproduction Interdite 69

70 Evaluation du risque 70 www.fmd.fr
Valeur Niv N Scénario d'incident Actif impacté Som a C I A me x Vra Conséquenc e Conséquence Mes. Séc. Ris is. q. AP - 1 Processus de formation 3 1 2 6 Perte financière modérée 2 AP -2 Processus de création du contenu AP -3 Cours - Contenu Perte d'image très importante Perte de productivité modérée 3 Vol de l'ordinateur du à sa portabilité 1 AS - 3 Ordinateur 3 3 2 8 AS - 8 Cours - Format numérique 3 3 2 8 AP - 1 Processus de formation 1 2 2 5 Perte financière modérée 2 AP -2 Processus de création du contenu AP -3 Cours - Contenu Perte d'image nulle Perte de productivité modérée 1 Destruction de l'ordinateur du à sa portabilité 2 AS - 3 Ordinateur 1 3 2 6 AS - 8 Cours - Format numérique 1 3 2 6 AP - 1 Processus de formation 1 1 3 5 Perte financière nulle 1 L'ordinateur ne s'allume 3 - décharge totale des AP - 2 Processus de création du contenu 1 1 2 4 5 Perte d'image nulle 1 3 15 batteries AS - 3 Ordinateur 1 1 2 4 Perte de productivité nulle 1 AP - 1 Processus de formation 2 3 2 7 Perte financière nulle 1 Connexion frauduleuse identifiant 4 altération AP - 3 Cours - Contenu 1 3 2 6 6 Perte d'image très importante mot de 3 3 18 du support de cours passe AS - 8 Cours - Format numérique 1 3 2 6 Perte de productivité modérée 2 AP - 1 Processus de formation 3 1 2 6 Perte financière modérée 2 Connexion frauduleuse vol identifiant 5 du support par la AP - 3 Cours - Contenu 3 1 2 6 6 Perte d'image très importante mot de 3 1 6 concurrence passe AS - 8 Cours - Format numérique 3 1 1 5 Perte de productivité modérée 2 AP - 1 Processus de formation 1 1 3 5 Perte financière modérée 2 5 6 Formateur contracte la grippe AS - 4 Formateur 1 1 3 5 Perte d'image nulle 1 1 5 Perte de productivité modérée 2 AP - 1 Processus de formation 3 1 3 7 Perte financière importante 3 Le formateur est approché 7 par la concurrence et AS - 4 Formateur 1 1 3 5 7 Perte d'image très importante 3 1 7 démissionne Perte de productivité modérée 2 Copyright FMD INFORMATIQUE Reproduction Interdite 70

71 Processus de gestion du risque
Etablissement du contexte APPRECIATION DU RISQUE ANALYSE DU RISQUE Identification du risque Estimation du risque Evaluation du risque Non Oui Décision : Appréciation satisfaisante Traitement du risque Non Oui Décision : Traitement satisfaisant Acceptation du risque Copyright FMD INFORMATIQUE Reproduction Interdite 71

72 Traitement du risque Traitement du risque
processus de sélection et de mise en œuvre des mesures visant à diminuer le risque Copyright FMD INFORMATIQUE Reproduction Interdite 72

73 Options de traitement du risque
Réduction Refus Maintien Transfert du risque du risque du risque du risque Copyright FMD INFORMATIQUE Reproduction Interdite 73

74 Traitement du risque Réduction • Réduire le niveau de risque
• Mesures de sécurité • Niveau acceptable Copyright FMD INFORMATIQUE Reproduction Interdite 74

75 Contraintes multiples
Traitement du risque Contraintes multiples Temps Financières Techniques Culturelles Ethiques Environnementales Légales Copyright FMD INFORMATIQUE Reproduction Interdite 75

76 Maintien - Risk retention
Traitement du risque Maintien - Risk retention Décision de ne prendre aucune action face au risque Condition Le niveau de risque respecte les critères d’acceptation. Copyright FMD INFORMATIQUE Reproduction Interdite 76

77 Traitement du risque Refus - Risk avoidance
L’activité ou la situation qui engendre le risque est tout simplement éliminée Copyright FMD INFORMATIQUE Reproduction Interdite 77

78 Transfert - Risk Transfer
Traitement du risque Transfert - Risk Transfer Transfert du risque à un tiers qui pourra gérer le risque de manière plus efficiente. Copyright FMD INFORMATIQUE Reproduction Interdite 78

79 Options de traitement risque
Traitement du risque Options de traitement risque Réduction Refus Maintien Transfert du risque du risque du risque du risque Risques résiduels Traitement satisfaisant Copyright FMD INFORMATIQUE Reproduction Interdite 79

80 Processus de gestion du risque
Etablissement du contexte APPRECIATION DU RISQUE ANALYSE DU RISQUE Identification du risque Estimation du risque Evaluation du risque Non Oui Décision : Appréciation satisfaisante Traitement du risque Non Oui Décision : Traitement satisfaisant Acceptation du risque Copyright FMD INFORMATIQUE Reproduction Interdite 80

81 Acceptation par le management du risque résiduel Enregistrement formel
Acceptation du risque Acceptation par le management du risque résiduel Enregistrement formel Livrable Liste des risques acceptés avec justification pour les risques ne respectant pas les critères d’acceptation Copyright FMD INFORMATIQUE Reproduction Interdite 81

82 Processus de gestion du risque
Etablissement du contexte APPRECIATION DU RISQUE ANALYSE DU RISQUE Identification du risque Estimation du risque Evaluation du risque Non Oui Décision : Appréciation satisfaisante Traitement du risque Non Oui Décision : Traitement satisfaisant Acceptation du risque Copyright FMD INFORMATIQUE Reproduction Interdite 82

83 Communication du risque
Echange - bidirectionnelle Décisionnaires Stakeholders - parties prenantes (# shareholders) Objectifs Compréhension Information Sensibilisation Implication Copyright FMD INFORMATIQUE Reproduction Interdite 83

84 Processus de gestion du risque
Etablissement du contexte APPRECIATION DU RISQUE ANALYSE DU RISQUE Identification du risque Estimation du risque Evaluation du risque Non Oui Décision : Appréciation satisfaisante Traitement du risque Non Oui Décision : Traitement satisfaisant Acceptation du risque Copyright FMD INFORMATIQUE Reproduction Interdite 84

85 Surveillance et réexamen
Des facteurs de risques (nouveaux!) Actifs Nouveaux actifs Obsolescence, disparition d’actifs vulnérabilité menace vraisemblance impact Copyright FMD INFORMATIQUE Reproduction Interdite 85

86 Surveillance et réexamen
Surveillance du processus de gestion du risque Critères d’évaluation Critères d’acceptation Critères d’impact Concurrence Contexte légal Contexte environnemental Copyright FMD INFORMATIQUE Reproduction Interdite 86

87 Surveillance et réexamen
Revue de risque Capitaliser, leçons apprises Détecter les changements et évolutions Observer, consigner Mesurer l’avancement de la mise en œuvre des plans (PDCA) Copyright FMD INFORMATIQUE Reproduction Interdite 87

88 Processus de gestion du risque
Etablissement du contexte APPRECIATION DU RISQUE ANALYSE DU RISQUE Identification du risque Estimation du risque Evaluation du risque Non Oui Décision : Appréciation satisfaisante Traitement du risque Non Oui Décision : Traitement satisfaisant Acceptation du risque Copyright FMD INFORMATIQUE Reproduction Interdite 88

89 La norme ISO 27005 1. Périmètre 2. Références normatives
3. Définitions 4. Structure de la norme 5. Obligation 6. Processus 7. Contexte 8. Evaluation 9. Traitement 10. Acceptation 11. Communication 12. Surveillance et revue Copyright FMD INFORMATIQUE Reproduction Interdite 89

90 Processus de gestion du risque
Etablissement du contexte 12 7 12 APPRECIATION DU RISQUE ANALYSE DU RISQUE Identification du risque 8.2.1 Estimation du risque 8.2.2 Evaluation du risque 8.3 Non Oui Décision : Appréciation satisfaisante Traitement du risque 9 Non Décision : Traitement satisfaisant Oui Acceptation du risque 10 Copyright FMD INFORMATIQUE Reproduction Interdite 90

91 La norme ISO 27005 Annexes • Périmètre et limite du processus de gestion du risque • Identification et évaluation des actifs et estimation des impacts • Exemples de menaces • Vulnérabilités et méthodes pour les estimer • Méthode d’estimation du risque • Contraintes Copyright FMD INFORMATIQUE Reproduction Interdite 91

92 Le management des risques & la norme ISO 27005
Conclusion Le SMSI 1. Les normes ISO & ISO 27002 2. Le management des risques & la norme ISO 27005 3. Copyright FMD INFORMATIQUE Reproduction Interdite 92

93 Merci de votre attention
Copyright FMD INFORMATIQUE Reproduction Interdite 93

Télécharger ppt "Implémentation d’un SMSI -"

Présentations similaires

La place accordée à l’expression des salariés sur leur travail et leurs conditions de travail dans l’entreprise Résultats sondage exclusif CSA/ANACT.

La place accordée à l’expression des salariés sur leur travail et leurs conditions de travail dans l’entreprise Résultats sondage exclusif CSA/ANACT.
Mais vous comprenez qu’il s’agit d’une « tromperie ».

Mais vous comprenez qu’il s’agit d’une « tromperie ».
Le Nom L’adjectif Le verbe Objectif: Orthogram

Le Nom L’adjectif Le verbe Objectif: Orthogram
ORTHOGRAM PM 3 ou 4 Ecrire: « a » ou « à » Référentiel page 6

ORTHOGRAM PM 3 ou 4 Ecrire: « a » ou « à » Référentiel page 6
Reporting de la Cellule Nationale Droit dOption Situation au 31 décembre 2011.

Reporting de la Cellule Nationale Droit dOption Situation au 31 décembre 2011.
Licence pro MPCQ : Cours

Licence pro MPCQ : Cours
Présentation de la circonscription Année 2011/2012 Jeudi 24 novembre 2011.

Présentation de la circonscription Année 2011/2012 Jeudi 24 novembre 2011.
Additions soustractions

Additions soustractions
Distance inter-locuteur

Distance inter-locuteur
1 Plus loin dans lutilisation de Windows Vista ©Yves Roger Cornil - 2 août 2007 www.cornil.com.

1 Plus loin dans lutilisation de Windows Vista ©Yves Roger Cornil - 2 août
ACTIVITES NUMERIQUES Ranger les nombres Trouver le nombre manquant

ACTIVITES NUMERIQUES Ranger les nombres Trouver le nombre manquant
Piloter l'utilisation des informations produits et services par les télé-conseillers pour améliorer la qualité de service délivrée Dominique Gilles – InStranet.

Piloter l'utilisation des informations produits et services par les télé-conseillers pour améliorer la qualité de service délivrée Dominique Gilles – InStranet.
7 juin 2012 DGAL.

7 juin 2012 DGAL.
Les numéros 70 – 1 000 000 000 000 70 80 90 100 200 300 400 500 600 700 800 900 1000 5000 1000000 1000000000 1000000000000.

Les numéros 70 –
Les numéros 30 60 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60.

Les numéros
Les identités remarquables

Les identités remarquables
Xavier Mouranche 2002-2003-2004-2005-2006-2007 Registre e-MUST Evaluation en Médecine dUrgence des Stratégies Thérapeutiques de lInfarctus du Myocarde.

Xavier Mouranche Registre e-MUST Evaluation en Médecine dUrgence des Stratégies Thérapeutiques de lInfarctus du Myocarde.
PLAN DU COURS Outils de traitement des risques

PLAN DU COURS Outils de traitement des risques
LES TRIANGLES 1. Définitions 2. Constructions 3. Propriétés.

LES TRIANGLES 1. Définitions 2. Constructions 3. Propriétés.
Données statistiques sur le droit doption au 31/01 8 février 2012.

Données statistiques sur le droit doption au 31/01 8 février 2012.

Présentations similaires

Annonces Google