SlideShare une entreprise Scribd logo

Gestion des risques SSI : Approche globale ou individuelle ?

Télécharger en tant que PPTX, PDF
B
BPMSinfo

Présentation de deux méthodes de gestion des risques SSI : Ebios et Méhari.

Formation
1  sur  10
Gestion des risques SSI : approche globale ou individuelle du risque ? Novembre 2013
Panorama des méthodes Le tableau suivant liste les principales méthodes utilisées dans le cadre de la gestion des risques SSI. Présentation BPMS 2
Gestion des risques : les concepts qui font consensus Un risque provient du fait que l’entité, entreprise ou organisation, possède des « valeurs », matérielles ou non, qui pourraient subir une dégradation ou un dommage, dégradation ayant des conséquences pour l’entité considérée. Actifs/ biens • Tout ce qui peut représenter une valeur ou un enjeu pour l’entité. • Essentiel : processus, information • Support : Bien sur lequel reposent des biens essentiels (logiciel, matériel, ressources humaines) Dégradation subie par un actif • Types de dommages subis par des informations (perte de disponibilité, d’intégrité ou de confidentialité). • On évaluera la gravité de la dégradation. Conséquences de la dégradation • Conséquence d’une dégradation au niveau de l’entité. • Ce terme recouvre la notion d’impact. Causes de la dégradation • Evénement certain ou non certains conduisant à la réalisation d’un risque. • On évaluera la probabilité de survenance de l ’événement. Présentation BPMS 3
Ebios : approche indirecte du risque La gestion globale et indirecte des risques proposée par Ebios vise à : Identifier des éléments pouvant conduire à des risques (menaces et vulnérabilité). Hiérarchiser ces éléments. En déduire une politique et des objectifs de sécurité. Mettre en place, comme outil de pilotage, un suivi permanent des objectifs de sécurité ou des éléments de la politique de sécurité. Analyse générale afin de définir des objectifs et des directives de sécurité propres à réduire globalement les risques. Présentation BPMS 4
Méhari : approche directe du risque La gestion individualisée et directe des risques proposée par Méhari vise à : Identifier l'ensemble des risques auxquels l’entreprise est exposée. Quantifier le niveau de chaque risque (gravité et probabilité) et le seuil d’acceptabilité. Prendre, pour chaque risque considéré comme inadmissible, des mesures pour que le niveau de ce risque soit ramené à un niveau acceptable. Mettre en place, comme outil de pilotage, un suivi permanent des risques et de leur niveau. S’assurer que chaque risque, pris individuellement, est bien pris en charge et a fait l’objet d’une décision soit d’acceptation soit de réduction, soit de transfert. Analyse de chaque situation de risque identifiée et prise de décisions spécifiques et adaptées à chacune d’elles Présentation BPMS 5
Ebios et Méhari : la notion de risque EBIOS : Actif, menace et vulnérabilité MEHARI : scénarios de risques • Le risque est la conjonction d’un actif, d’une menace susceptible de faire subir un dommage à cet actif et de vulnérabilités exploitées par la menace pour faire subir à l’actif ce dommage. • Ces définitions du risque conduisent à une notion de « risques types ». • Il s’agit donc d’une vision « statique » des risques, au sens où les éléments pris en compte ne font pas intervenir la variable « temps » et ne permettent pas de décrire des enchaînements d’événements, de causes ou de conséquences. • Le risque est la conjonction d’un actif, d’un type de dommage pouvant être subi par cet actif et de circonstances dans lesquelles ce dommage pourrait survenir. • Cette définition conduit, en pratique, à définir des « situations de risque» ou des « scénarios de risque» qui décrivent, à la fois, le dommage subi et les circonstances dans lesquelles se produit ce dommage. • Les circonstances recouvrent les notions de lieux, de temps. • Il s’agit donc d’une vision «dynamique» des risques, dans laquelle le temps peut intervenir. Présentation BPMS 6
Ebios et Méhari : bottom-up et top-down Méthode Méhari : Démarche centrée sur les enjeux des diverses activités de l’entité, et menée de préférence à un niveau élevé de management (approche top-down). Cette démarche débouche sur une recherche des circonstances dans lesquelles les dommages pourraient survenir et donc sur une définition de scénarios de risques. Quelles dégradations pourraient affecter ces actifs et dans quelles circonstances ces dégradations pourraient survenir? Méthode Ebios : Cette démarche débouche sur une recherche des menaces pouvant agir sur un actifs et des vulnérabilité de l’actif qui pourraient faciliter la réalisation de la menace. Cette démarche suppose une analyse techniques des actifs par les opérationnels. Le management est donc peu impliqué à ce stade de la démarche (approche bottom-up). Quelles menaces seraient susceptibles de causer un dommage à ces actifs, et quelles vulnérabilités pourraient être exploitées ? Présentation BPMS 7
Ebios et Méhari : estimation du risque EBIOS (gestion globale et indirecte) MEHARI (gestion individuelle et directe) • L’analyse des enjeux ou des conséquences du risque • L’estimation du niveau de la menace • L’estimation du niveau des vulnérabilités • L’analyse des enjeux ou des conséquences du risque • L’analyse de la probabilité de survenance du scénario de risque • L’effet des mesures de sécurité • L’estimation des risques aboutit à une hiérarchisation des risques. • L’estimation des risques aboutit à une évaluation de l’impact (I) et de la probabilité (P) de chaque risque. Présentation BPMS 8
Focus sur la notion de vulnérabilité Dans la méthode Ebios, la notion de vulnérabilité est introduite dès la phase d’identification des risques : Introduire les vulnérabilités dans la définition des risques revient à considérer que ce sont bien elles que l’on entend évaluer et gérer. Il s’agit bien alors d’une gestion indirecte des risques. Introduire dans la définition des risques la liste des vulnérabilités exploitées est source de difficultés pour une gestion directe des risques et oblige à introduire une analyse technique (la recherche de l’ensemble des vulnérabilités concernées par cette situation de risque). Dans la méthode Méhari, la notion de vulnérabilité est introduite dans la phase d’analyse des risques : Ne pas faire intervenir les vulnérabilités dans l’identification des risques revient à considérer qu’un risque naît de la simple conjonction d’un élément d’actif qui a une valeur et de circonstances dans lesquelles cette valeur pourrait être mise en cause et que c’est cette situation que l’on entend gérer. Présentation BPMS 9
Conclusion EBIOS • Gestion globale et indirecte • Objectif: définition d’une politique de sécurité • Définition du risque basée sur les menaces et vulnérabilité de l’actif • Implication faible du management • Vision statique des risques MEHARI • Gestion individuelle et directe • Objectif: définition d’une politique de gestion des risques • Définition du risque basée sur des scénarios de menace • Implication forte du management • Vision dynamique des risques Présentation BPMS 10

Recommandé

EBIOS
EBIOSEBIOS
EBIOS
Houda Elmoutaoukil
 
Mesure & Analyse: Mesurer les Risques
Mesure & Analyse: Mesurer les RisquesMesure & Analyse: Mesurer les Risques
Mesure & Analyse: Mesurer les Risques
Olivier Pinette
 
Management des risques ibtissam el hassani-chapitre1-2
Management des risques ibtissam el hassani-chapitre1-2Management des risques ibtissam el hassani-chapitre1-2
Management des risques ibtissam el hassani-chapitre1-2
ibtissam el hassani
 
Présentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerPrésentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk Manager
Comsoce
 
Gestion des risques
Gestion des risquesGestion des risques
Gestion des risques
eGov Innovation Center
 
ISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformité
PECB
 
L’organisation et la formalisation du management des risques selon l’ISO 31000
L’organisation et la formalisation du management des risques selon l’ISO 31000 L’organisation et la formalisation du management des risques selon l’ISO 31000
L’organisation et la formalisation du management des risques selon l’ISO 31000
PECB
 
Conix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerConix - EBIOS Risk Manager
Conix - EBIOS Risk Manager
Thierry Pertus
 

Recommandé

EBIOS
EBIOSEBIOS
EBIOS
Houda Elmoutaoukil
 
Mesure & Analyse: Mesurer les Risques
Mesure & Analyse: Mesurer les RisquesMesure & Analyse: Mesurer les Risques
Mesure & Analyse: Mesurer les Risques
Olivier Pinette
 
Management des risques ibtissam el hassani-chapitre1-2
Management des risques ibtissam el hassani-chapitre1-2Management des risques ibtissam el hassani-chapitre1-2
Management des risques ibtissam el hassani-chapitre1-2
ibtissam el hassani
 
Présentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerPrésentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk Manager
Comsoce
 
Gestion des risques
Gestion des risquesGestion des risques
Gestion des risques
eGov Innovation Center
 
ISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformité
PECB
 
L’organisation et la formalisation du management des risques selon l’ISO 31000
L’organisation et la formalisation du management des risques selon l’ISO 31000 L’organisation et la formalisation du management des risques selon l’ISO 31000
L’organisation et la formalisation du management des risques selon l’ISO 31000
PECB
 
Conix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerConix - EBIOS Risk Manager
Conix - EBIOS Risk Manager
Thierry Pertus
 
Management des risques
Management des risquesManagement des risques
Management des risques
abdelghani Koura
 
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
PECB
 
Management des risques 10 : Aspect Réglementaire et Normatif
Management des risques 10 : Aspect Réglementaire et Normatif Management des risques 10 : Aspect Réglementaire et Normatif
Management des risques 10 : Aspect Réglementaire et Normatif
ibtissam el hassani
 
ANALYSE DE RISQUES
ANALYSE DE RISQUESANALYSE DE RISQUES
ANALYSE DE RISQUES
ndelannoy
 
Outils et techniques des gestion des risques
Outils et techniques des gestion des risquesOutils et techniques des gestion des risques
Outils et techniques des gestion des risques
GBO
 
L’identification, l’analyse et l’évaluation des risques selon l’ISO 31000 : l...
L’identification, l’analyse et l’évaluation des risques selon l’ISO 31000 : l...L’identification, l’analyse et l’évaluation des risques selon l’ISO 31000 : l...
L’identification, l’analyse et l’évaluation des risques selon l’ISO 31000 : l...
PECB
 
SMSI.pdf
SMSI.pdfSMSI.pdf
SMSI.pdf
HajarSalimi
 
Ebios
EbiosEbios
Ebios
kilojolid
 
Management des risques 9 : Risques d’Entreprise et Cartographie
Management des risques 9 : Risques d’Entreprise et CartographieManagement des risques 9 : Risques d’Entreprise et Cartographie
Management des risques 9 : Risques d’Entreprise et Cartographie
ibtissam el hassani
 
Management des risques - Support de cours - ibtissam el hassani-2015-2016
Management des risques - Support de cours - ibtissam el hassani-2015-2016Management des risques - Support de cours - ibtissam el hassani-2015-2016
Management des risques - Support de cours - ibtissam el hassani-2015-2016
ibtissam el hassani
 
Maîtrise de risques en gestion de projet
Maîtrise de risques en gestion de projetMaîtrise de risques en gestion de projet
Maîtrise de risques en gestion de projet
Chef De Projet Détendu
 
cybersecurite-passons-lechelle-rapport.pdf
cybersecurite-passons-lechelle-rapport.pdfcybersecurite-passons-lechelle-rapport.pdf
cybersecurite-passons-lechelle-rapport.pdf
Gaudefroy Ariane
 
METHODE OCTAVE
METHODE OCTAVE METHODE OCTAVE
METHODE OCTAVE
dazaiazouze
 
Gestion des risques
Gestion des risquesGestion des risques
Gestion des risques
Aymen Foudhaili
 
Methodes risques vp
Methodes risques vpMethodes risques vp
Methodes risques vp
Philippe Porta
 
Soutenance gestion du risque credit
Soutenance gestion du risque creditSoutenance gestion du risque credit
Soutenance gestion du risque credit
Zouhair Aitelhaj
 
2011-04-20 Marc Fréchette Gestion de risques
2011-04-20 Marc Fréchette Gestion de risques2011-04-20 Marc Fréchette Gestion de risques
2011-04-20 Marc Fréchette Gestion de risques
PMI Lévis-Québec
 
Mehari
MehariMehari
Mehari
Afaf MATOUG
 
Le risque de liquidité des banques islamiques
Le risque de liquidité des banques islamiquesLe risque de liquidité des banques islamiques
Le risque de liquidité des banques islamiques
Ade Med
 
[Gestion des risques et conformite] gerer les risques operationnels
[Gestion des risques et conformite] gerer les risques operationnels[Gestion des risques et conformite] gerer les risques operationnels
[Gestion des risques et conformite] gerer les risques operationnels
onepoint x weave
 
ASIS Training #4 - Gestion des risques et innovation sociale
ASIS Training #4 - Gestion des risques et innovation socialeASIS Training #4 - Gestion des risques et innovation sociale
ASIS Training #4 - Gestion des risques et innovation sociale
armelleguillermet
 
LA GESTION DES RISQUES PROCESSUS ET THEORIES.pptx
LA GESTION DES RISQUES PROCESSUS ET THEORIES.pptxLA GESTION DES RISQUES PROCESSUS ET THEORIES.pptx
LA GESTION DES RISQUES PROCESSUS ET THEORIES.pptx
khiyersaad
 

Contenu connexe

Tendances

[Gestion des risques et conformite] gerer les risques operationnels
[Gestion des risques et conformite] gerer les risques operationnels[Gestion des risques et conformite] gerer les risques operationnels
[Gestion des risques et conformite] gerer les risques operationnels
onepoint x weave
 

Tendances (20)

Management des risques
Management des risquesManagement des risques
Management des risques
 
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
 
Management des risques 10 : Aspect Réglementaire et Normatif
Management des risques 10 : Aspect Réglementaire et Normatif Management des risques 10 : Aspect Réglementaire et Normatif
Management des risques 10 : Aspect Réglementaire et Normatif
 
ANALYSE DE RISQUES
ANALYSE DE RISQUESANALYSE DE RISQUES
ANALYSE DE RISQUES
 
Outils et techniques des gestion des risques
Outils et techniques des gestion des risquesOutils et techniques des gestion des risques
Outils et techniques des gestion des risques
 
L’identification, l’analyse et l’évaluation des risques selon l’ISO 31000 : l...
L’identification, l’analyse et l’évaluation des risques selon l’ISO 31000 : l...L’identification, l’analyse et l’évaluation des risques selon l’ISO 31000 : l...
L’identification, l’analyse et l’évaluation des risques selon l’ISO 31000 : l...
 
SMSI.pdf
SMSI.pdfSMSI.pdf
SMSI.pdf
 
Ebios
EbiosEbios
Ebios
 
Management des risques 9 : Risques d’Entreprise et Cartographie
Management des risques 9 : Risques d’Entreprise et CartographieManagement des risques 9 : Risques d’Entreprise et Cartographie
Management des risques 9 : Risques d’Entreprise et Cartographie
 
Management des risques - Support de cours - ibtissam el hassani-2015-2016
Management des risques - Support de cours - ibtissam el hassani-2015-2016Management des risques - Support de cours - ibtissam el hassani-2015-2016
Management des risques - Support de cours - ibtissam el hassani-2015-2016
 
Maîtrise de risques en gestion de projet
Maîtrise de risques en gestion de projetMaîtrise de risques en gestion de projet
Maîtrise de risques en gestion de projet
 
cybersecurite-passons-lechelle-rapport.pdf
cybersecurite-passons-lechelle-rapport.pdfcybersecurite-passons-lechelle-rapport.pdf
cybersecurite-passons-lechelle-rapport.pdf
 
METHODE OCTAVE
METHODE OCTAVE METHODE OCTAVE
METHODE OCTAVE
 
Gestion des risques
Gestion des risquesGestion des risques
Gestion des risques
 
Methodes risques vp
Methodes risques vpMethodes risques vp
Methodes risques vp
 
Soutenance gestion du risque credit
Soutenance gestion du risque creditSoutenance gestion du risque credit
Soutenance gestion du risque credit
 
2011-04-20 Marc Fréchette Gestion de risques
2011-04-20 Marc Fréchette Gestion de risques2011-04-20 Marc Fréchette Gestion de risques
2011-04-20 Marc Fréchette Gestion de risques
 
Mehari
MehariMehari
Mehari
 
Le risque de liquidité des banques islamiques
Le risque de liquidité des banques islamiquesLe risque de liquidité des banques islamiques
Le risque de liquidité des banques islamiques
 
[Gestion des risques et conformite] gerer les risques operationnels
[Gestion des risques et conformite] gerer les risques operationnels[Gestion des risques et conformite] gerer les risques operationnels
[Gestion des risques et conformite] gerer les risques operationnels
 

Similaire à Gestion des risques SSI : Approche globale ou individuelle ?

LA GESTION DES RISQUES PROCESSUS ET THEORIES.pptx
LA GESTION DES RISQUES PROCESSUS ET THEORIES.pptxLA GESTION DES RISQUES PROCESSUS ET THEORIES.pptx
LA GESTION DES RISQUES PROCESSUS ET THEORIES.pptx
khiyersaad
 
Sécurité Internet
Sécurité InternetSécurité Internet
Sécurité Internet
proximit
 
Gestion des risques
Gestion des risquesGestion des risques
Gestion des risques
moussadiom
 
++Le risque r_siduel_qui l'assume
++Le risque r_siduel_qui l'assume++Le risque r_siduel_qui l'assume
++Le risque r_siduel_qui l'assume
Souad Hadjadj
 
Pr. Badre Eddine CHEGRI & Pr. NAJI SAIDA Seminaire Gestion des risques des Et...
Pr. Badre Eddine CHEGRI & Pr. NAJI SAIDA Seminaire Gestion des risques des Et...Pr. Badre Eddine CHEGRI & Pr. NAJI SAIDA Seminaire Gestion des risques des Et...
Pr. Badre Eddine CHEGRI & Pr. NAJI SAIDA Seminaire Gestion des risques des Et...
yossracherkaoui
 
Claude Emond – Axe 2 : Analyse et acceptabilité interdisciplinaire des risques
Claude Emond – Axe 2 : Analyse et acceptabilité interdisciplinaire des risquesClaude Emond – Axe 2 : Analyse et acceptabilité interdisciplinaire des risques
Claude Emond – Axe 2 : Analyse et acceptabilité interdisciplinaire des risques
Ne3LS_Network
 
2017-02-AtelierA4GouvernanceRisques-Amrae-C.pdf
2017-02-AtelierA4GouvernanceRisques-Amrae-C.pdf2017-02-AtelierA4GouvernanceRisques-Amrae-C.pdf
2017-02-AtelierA4GouvernanceRisques-Amrae-C.pdf
SARASIM6
 

Similaire à Gestion des risques SSI : Approche globale ou individuelle ? (20)

ASIS Training #4 - Gestion des risques et innovation sociale
ASIS Training #4 - Gestion des risques et innovation socialeASIS Training #4 - Gestion des risques et innovation sociale
ASIS Training #4 - Gestion des risques et innovation sociale
 
LA GESTION DES RISQUES PROCESSUS ET THEORIES.pptx
LA GESTION DES RISQUES PROCESSUS ET THEORIES.pptxLA GESTION DES RISQUES PROCESSUS ET THEORIES.pptx
LA GESTION DES RISQUES PROCESSUS ET THEORIES.pptx
 
Approche et management des risques 31000.pptx
Approche et management des risques 31000.pptxApproche et management des risques 31000.pptx
Approche et management des risques 31000.pptx
 
Sécurité Internet
Sécurité InternetSécurité Internet
Sécurité Internet
 
Fiche 4 management des risques
Fiche 4 management des risquesFiche 4 management des risques
Fiche 4 management des risques
 
Gestion des risques
Gestion des risquesGestion des risques
Gestion des risques
 
cours de Gestion des risques - demarche
cours de Gestion des risques - demarchecours de Gestion des risques - demarche
cours de Gestion des risques - demarche
 
Du sst-inrs-ed480
Du sst-inrs-ed480Du sst-inrs-ed480
Du sst-inrs-ed480
 
Rendez vous Expert: La gestion du risque
Rendez vous Expert: La gestion du risqueRendez vous Expert: La gestion du risque
Rendez vous Expert: La gestion du risque
 
La gestion des risques
La gestion des risquesLa gestion des risques
La gestion des risques
 
++Le risque r_siduel_qui l'assume
++Le risque r_siduel_qui l'assume++Le risque r_siduel_qui l'assume
++Le risque r_siduel_qui l'assume
 
Mehari
MehariMehari
Mehari
 
Presentation ppt converti
Presentation ppt convertiPresentation ppt converti
Presentation ppt converti
 
Les risques associés aux transitions agile scrum breakfast
Les risques associés aux transitions agile scrum breakfastLes risques associés aux transitions agile scrum breakfast
Les risques associés aux transitions agile scrum breakfast
 
Pr. Badre Eddine CHEGRI & Pr. NAJI SAIDA Seminaire Gestion des risques des Et...
Pr. Badre Eddine CHEGRI & Pr. NAJI SAIDA Seminaire Gestion des risques des Et...Pr. Badre Eddine CHEGRI & Pr. NAJI SAIDA Seminaire Gestion des risques des Et...
Pr. Badre Eddine CHEGRI & Pr. NAJI SAIDA Seminaire Gestion des risques des Et...
 
Claude Emond – Axe 2 : Analyse et acceptabilité interdisciplinaire des risques
Claude Emond – Axe 2 : Analyse et acceptabilité interdisciplinaire des risquesClaude Emond – Axe 2 : Analyse et acceptabilité interdisciplinaire des risques
Claude Emond – Axe 2 : Analyse et acceptabilité interdisciplinaire des risques
 
PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...
PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...
PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...
 
Présentation document unique
Présentation document uniquePrésentation document unique
Présentation document unique
 
2017-02-AtelierA4GouvernanceRisques-Amrae-C.pdf
2017-02-AtelierA4GouvernanceRisques-Amrae-C.pdf2017-02-AtelierA4GouvernanceRisques-Amrae-C.pdf
2017-02-AtelierA4GouvernanceRisques-Amrae-C.pdf
 
Evaluation des risques professionnels.ppt
Evaluation des risques professionnels.pptEvaluation des risques professionnels.ppt
Evaluation des risques professionnels.ppt
 

Dernier

Cours Préparation à l’ISO 27001 version 2022.pdf
Cours Préparation à l’ISO 27001 version 2022.pdfCours Préparation à l’ISO 27001 version 2022.pdf
Cours Préparation à l’ISO 27001 version 2022.pdf
ssuserc72852
 
Copie de Engineering Software Marketing Plan by Slidesgo.pptx.pptx
Copie de Engineering Software Marketing Plan by Slidesgo.pptx.pptxCopie de Engineering Software Marketing Plan by Slidesgo.pptx.pptx
Copie de Engineering Software Marketing Plan by Slidesgo.pptx.pptx
ikospam0
 
Bilan énergétique des chambres froides.pdf
Bilan énergétique des chambres froides.pdfBilan énergétique des chambres froides.pdf
Bilan énergétique des chambres froides.pdf
AmgdoulHatim
 

Dernier (20)

Cours ofppt du Trade-Marketing-Présentation.pdf
Cours ofppt du Trade-Marketing-Présentation.pdfCours ofppt du Trade-Marketing-Présentation.pdf
Cours ofppt du Trade-Marketing-Présentation.pdf
 
Apolonia, Apolonia.pptx Film documentaire
Apolonia, Apolonia.pptx Film documentaireApolonia, Apolonia.pptx Film documentaire
Apolonia, Apolonia.pptx Film documentaire
 
Intégration des TICE dans l'enseignement de la Physique-Chimie.pptx
Intégration des TICE dans l'enseignement de la Physique-Chimie.pptxIntégration des TICE dans l'enseignement de la Physique-Chimie.pptx
Intégration des TICE dans l'enseignement de la Physique-Chimie.pptx
 
L application de la physique classique dans le golf.pptx
L application de la physique classique dans le golf.pptxL application de la physique classique dans le golf.pptx
L application de la physique classique dans le golf.pptx
 
les_infections_a_streptocoques.pptkioljhk
les_infections_a_streptocoques.pptkioljhkles_infections_a_streptocoques.pptkioljhk
les_infections_a_streptocoques.pptkioljhk
 
Cours Préparation à l’ISO 27001 version 2022.pdf
Cours Préparation à l’ISO 27001 version 2022.pdfCours Préparation à l’ISO 27001 version 2022.pdf
Cours Préparation à l’ISO 27001 version 2022.pdf
 
Conférence Sommet de la formation 2024 : Développer des compétences pour la m...
Conférence Sommet de la formation 2024 : Développer des compétences pour la m...Conférence Sommet de la formation 2024 : Développer des compétences pour la m...
Conférence Sommet de la formation 2024 : Développer des compétences pour la m...
 
Boléro. pptx Film français réalisé par une femme.
Boléro. pptx Film français réalisé par une femme.Boléro. pptx Film français réalisé par une femme.
Boléro. pptx Film français réalisé par une femme.
 
CompLit - Journal of European Literature, Arts and Society - n. 7 - Table of ...
CompLit - Journal of European Literature, Arts and Society - n. 7 - Table of ...CompLit - Journal of European Literature, Arts and Society - n. 7 - Table of ...
CompLit - Journal of European Literature, Arts and Society - n. 7 - Table of ...
 
Les roches magmatique géodynamique interne.pptx
Les roches magmatique géodynamique interne.pptxLes roches magmatique géodynamique interne.pptx
Les roches magmatique géodynamique interne.pptx
 
Copie de Engineering Software Marketing Plan by Slidesgo.pptx.pptx
Copie de Engineering Software Marketing Plan by Slidesgo.pptx.pptxCopie de Engineering Software Marketing Plan by Slidesgo.pptx.pptx
Copie de Engineering Software Marketing Plan by Slidesgo.pptx.pptx
 
RAPPORT DE STAGE D'INTERIM DE ATTIJARIWAFA BANK
RAPPORT DE STAGE D'INTERIM DE ATTIJARIWAFA BANKRAPPORT DE STAGE D'INTERIM DE ATTIJARIWAFA BANK
RAPPORT DE STAGE D'INTERIM DE ATTIJARIWAFA BANK
 
Chapitre 2 du cours de JavaScript. Bon Cours
Chapitre 2 du cours de JavaScript. Bon CoursChapitre 2 du cours de JavaScript. Bon Cours
Chapitre 2 du cours de JavaScript. Bon Cours
 
Formation qhse - GIASE saqit_105135.pptx
Formation qhse - GIASE saqit_105135.pptxFormation qhse - GIASE saqit_105135.pptx
Formation qhse - GIASE saqit_105135.pptx
 
Sidonie au Japon . pptx Un film français
Sidonie au Japon . pptx Un film françaisSidonie au Japon . pptx Un film français
Sidonie au Japon . pptx Un film français
 
L'expression du but : fiche et exercices niveau C1 FLE
L'expression du but : fiche et exercices niveau C1 FLEL'expression du but : fiche et exercices niveau C1 FLE
L'expression du but : fiche et exercices niveau C1 FLE
 
Bilan énergétique des chambres froides.pdf
Bilan énergétique des chambres froides.pdfBilan énergétique des chambres froides.pdf
Bilan énergétique des chambres froides.pdf
 
Formation échiquéenne jwhyCHESS, parallèle avec la planification de projet
Formation échiquéenne jwhyCHESS, parallèle avec la planification de projetFormation échiquéenne jwhyCHESS, parallèle avec la planification de projet
Formation échiquéenne jwhyCHESS, parallèle avec la planification de projet
 
Computer Parts in French - Les parties de l'ordinateur.pptx
Computer Parts in French - Les parties de l'ordinateur.pptxComputer Parts in French - Les parties de l'ordinateur.pptx
Computer Parts in French - Les parties de l'ordinateur.pptx
 
La mondialisation avantages et inconvénients
La mondialisation avantages et inconvénientsLa mondialisation avantages et inconvénients
La mondialisation avantages et inconvénients
 

Gestion des risques SSI : Approche globale ou individuelle ?

  • 1. Gestion des risques SSI : approche globale ou individuelle du risque ? Novembre 2013
  • 2. Panorama des méthodes Le tableau suivant liste les principales méthodes utilisées dans le cadre de la gestion des risques SSI. Présentation BPMS 2
  • 3. Gestion des risques : les concepts qui font consensus Un risque provient du fait que l’entité, entreprise ou organisation, possède des « valeurs », matérielles ou non, qui pourraient subir une dégradation ou un dommage, dégradation ayant des conséquences pour l’entité considérée. Actifs/ biens • Tout ce qui peut représenter une valeur ou un enjeu pour l’entité. • Essentiel : processus, information • Support : Bien sur lequel reposent des biens essentiels (logiciel, matériel, ressources humaines) Dégradation subie par un actif • Types de dommages subis par des informations (perte de disponibilité, d’intégrité ou de confidentialité). • On évaluera la gravité de la dégradation. Conséquences de la dégradation • Conséquence d’une dégradation au niveau de l’entité. • Ce terme recouvre la notion d’impact. Causes de la dégradation • Evénement certain ou non certains conduisant à la réalisation d’un risque. • On évaluera la probabilité de survenance de l ’événement. Présentation BPMS 3
  • 4. Ebios : approche indirecte du risque La gestion globale et indirecte des risques proposée par Ebios vise à : Identifier des éléments pouvant conduire à des risques (menaces et vulnérabilité). Hiérarchiser ces éléments. En déduire une politique et des objectifs de sécurité. Mettre en place, comme outil de pilotage, un suivi permanent des objectifs de sécurité ou des éléments de la politique de sécurité. Analyse générale afin de définir des objectifs et des directives de sécurité propres à réduire globalement les risques. Présentation BPMS 4
  • 5. Méhari : approche directe du risque La gestion individualisée et directe des risques proposée par Méhari vise à : Identifier l'ensemble des risques auxquels l’entreprise est exposée. Quantifier le niveau de chaque risque (gravité et probabilité) et le seuil d’acceptabilité. Prendre, pour chaque risque considéré comme inadmissible, des mesures pour que le niveau de ce risque soit ramené à un niveau acceptable. Mettre en place, comme outil de pilotage, un suivi permanent des risques et de leur niveau. S’assurer que chaque risque, pris individuellement, est bien pris en charge et a fait l’objet d’une décision soit d’acceptation soit de réduction, soit de transfert. Analyse de chaque situation de risque identifiée et prise de décisions spécifiques et adaptées à chacune d’elles Présentation BPMS 5
  • 6. Ebios et Méhari : la notion de risque EBIOS : Actif, menace et vulnérabilité MEHARI : scénarios de risques • Le risque est la conjonction d’un actif, d’une menace susceptible de faire subir un dommage à cet actif et de vulnérabilités exploitées par la menace pour faire subir à l’actif ce dommage. • Ces définitions du risque conduisent à une notion de « risques types ». • Il s’agit donc d’une vision « statique » des risques, au sens où les éléments pris en compte ne font pas intervenir la variable « temps » et ne permettent pas de décrire des enchaînements d’événements, de causes ou de conséquences. • Le risque est la conjonction d’un actif, d’un type de dommage pouvant être subi par cet actif et de circonstances dans lesquelles ce dommage pourrait survenir. • Cette définition conduit, en pratique, à définir des « situations de risque» ou des « scénarios de risque» qui décrivent, à la fois, le dommage subi et les circonstances dans lesquelles se produit ce dommage. • Les circonstances recouvrent les notions de lieux, de temps. • Il s’agit donc d’une vision «dynamique» des risques, dans laquelle le temps peut intervenir. Présentation BPMS 6
  • 7. Ebios et Méhari : bottom-up et top-down Méthode Méhari : Démarche centrée sur les enjeux des diverses activités de l’entité, et menée de préférence à un niveau élevé de management (approche top-down). Cette démarche débouche sur une recherche des circonstances dans lesquelles les dommages pourraient survenir et donc sur une définition de scénarios de risques. Quelles dégradations pourraient affecter ces actifs et dans quelles circonstances ces dégradations pourraient survenir? Méthode Ebios : Cette démarche débouche sur une recherche des menaces pouvant agir sur un actifs et des vulnérabilité de l’actif qui pourraient faciliter la réalisation de la menace. Cette démarche suppose une analyse techniques des actifs par les opérationnels. Le management est donc peu impliqué à ce stade de la démarche (approche bottom-up). Quelles menaces seraient susceptibles de causer un dommage à ces actifs, et quelles vulnérabilités pourraient être exploitées ? Présentation BPMS 7
  • 8. Ebios et Méhari : estimation du risque EBIOS (gestion globale et indirecte) MEHARI (gestion individuelle et directe) • L’analyse des enjeux ou des conséquences du risque • L’estimation du niveau de la menace • L’estimation du niveau des vulnérabilités • L’analyse des enjeux ou des conséquences du risque • L’analyse de la probabilité de survenance du scénario de risque • L’effet des mesures de sécurité • L’estimation des risques aboutit à une hiérarchisation des risques. • L’estimation des risques aboutit à une évaluation de l’impact (I) et de la probabilité (P) de chaque risque. Présentation BPMS 8
  • 9. Focus sur la notion de vulnérabilité Dans la méthode Ebios, la notion de vulnérabilité est introduite dès la phase d’identification des risques : Introduire les vulnérabilités dans la définition des risques revient à considérer que ce sont bien elles que l’on entend évaluer et gérer. Il s’agit bien alors d’une gestion indirecte des risques. Introduire dans la définition des risques la liste des vulnérabilités exploitées est source de difficultés pour une gestion directe des risques et oblige à introduire une analyse technique (la recherche de l’ensemble des vulnérabilités concernées par cette situation de risque). Dans la méthode Méhari, la notion de vulnérabilité est introduite dans la phase d’analyse des risques : Ne pas faire intervenir les vulnérabilités dans l’identification des risques revient à considérer qu’un risque naît de la simple conjonction d’un élément d’actif qui a une valeur et de circonstances dans lesquelles cette valeur pourrait être mise en cause et que c’est cette situation que l’on entend gérer. Présentation BPMS 9
  • 10. Conclusion EBIOS • Gestion globale et indirecte • Objectif: définition d’une politique de sécurité • Définition du risque basée sur les menaces et vulnérabilité de l’actif • Implication faible du management • Vision statique des risques MEHARI • Gestion individuelle et directe • Objectif: définition d’une politique de gestion des risques • Définition du risque basée sur des scénarios de menace • Implication forte du management • Vision dynamique des risques Présentation BPMS 10