HERVÉ SCHAUER CONSULTANTS
   Cabinet de Consultants en Sécurité Informatique depuis 1989
   Spécialisé sur Unix, Windows, ...
Sommaire
    Introduction
    Historique
    Schéma de modélisation
    Exemple relié au schéma
    Etablissement du conte...
Introduction
    Objectif : Démontrer la méthode ISO 27005
    Schéma modélisant chaque activité et sous-activité de la
  ...
Historique
                                                  Techniques for the management IT
                  Managing a...
Schéma de modélisation




5   Copyright Hervé Schauer Consultants 2009 - Reproduction Interdite
Exemple
                   Un journaliste utilise un ordinateur portable pour
                   rédiger ses articles. Il ...
Établissement du contexte
    Définir les critères de base (7.2)
       Critères d'impact
          Bas-niveau : vis-à-vis...
Établissement du contexte

    Critères d'impact
       A partir d'où l'impact est assez important pour que le risque soit...
Etablissement du contexte
    Autres échelles utiles lors de l'analyse de risque
       Pas explicitement imposées lors de...
Etablissement du contexte
     Récapitulatif par ordre d'utilisation dans la méthode
        Echelle ou critères de valori...
Valorisation des actifs
     Exemple


           Echelle de valorisation des actifs
                    Valeur           ...
Critères d'impact
      Exemple



                                                Critères d'impact
                     ...
Echelle de mesure des conséquences
     Exemple :


                                       Echelle de mesure des conséquen...
Critères d'évaluation des risques
     Exemple :
       Utilisés par le RSSI ou le gestionnaire de risques SI
       Seuil...
Critères d'acceptation des risques
     Exemple :
       Validés par la direction et utilisés par la direction
       Seui...
Cartographie des actifs
     Actifs primordiaux (principaux, de haut-niveau) (B.1) :
        Processus et activités métier...
Cartographie des actifs

     1.Liste des processus métiers reliés aux actifs
     Actif                                  ...
Cartographie des actifs


                              2.Liste des actifs
                                     Actif     ...
Actifs valorises



                             3.Liste des actifs valorisés
                                      Actif ...
Actifs sélectionnés



                         4.Liste des actifs sélectionnés
                                Actif     ...
Menaces sur les actifs

                                      5.Liste de menaces
                                  Actif  ...
Vulnérabilités des actifs

                         6. Liste de vulnérabilités
                        Actif              ...
Conséquences et impacts sur les actifs
      7.Liste de conséquences relatives aux actifs affectés et aux processus métier...
Mesures de sécurité existantes
                                                          8. Liste des mesures de sécurité ...
Scénarios d'incident appréciés
                                                9. Liste des conséquences estimées des scén...
Vraisemblance des scénarios d'incident                                             10. Vraisemblance des scénarios d'incid...
Calcul du niveau de risque
11. Liste des risques avec le valeur de niveau de risque
                                      ...
Risques sélectionnés pour traitement
12. Liste des risques priorités en relation avec les scénarios d'incident
           ...
Netclu09 27005
Netclu09 27005
Netclu09 27005
Netclu09 27005
Netclu09 27005
Prochain SlideShare
Chargement dans…5
×

Netclu09 27005

1 229 vues

Publié le

Publié dans : Voyages, Business
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
1 229
Sur SlideShare
0
Issues des intégrations
0
Intégrations
7
Actions
Partages
0
Téléchargements
50
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Netclu09 27005

  1. 1. HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Méthode de gestion des risques ISO 27005 Netfocus, Bruxelles,12 mai 2009 CLUSIR Aquitaine, Bordeaux,12 juin 2009 Hervé Schauer <Herve.Schauer@hsc.fr>
  2. 2. Sommaire Introduction Historique Schéma de modélisation Exemple relié au schéma Etablissement du contexte : critères et échelles Cartographie des actifs Menaces, vulnérabilités, conséquences et impacts sur les actifs Scénarios d'incident Plan de traitement des risques Conclusion 2 Copyright Hervé Schauer Consultants 2009 - Reproduction Interdite
  3. 3. Introduction Objectif : Démontrer la méthode ISO 27005 Schéma modélisant chaque activité et sous-activité de la méthode proposée par la norme ISO 27005 Voir schéma joint en format PDF Exemple simple qui déroule la méthode N° sur le schéma correspondant aux n° des tableaux Exemples de tableaux A titre illustratif et non contractuel ! 3 Copyright Hervé Schauer Consultants 2009 - Reproduction Interdite
  4. 4. Historique Techniques for the management IT Managing and planning security ; Selection of safeguards Information security IT security ISO TR 13335-3 risk management 1998 ISO TR 13335-2 ISO TR 13335-4 ISO 27005 1992 1997 2000 2008 Guide to BS7799 Guidelines for CCTA Risk Assessment Risk Assessment information ; security and Management Method PD 3002 Risk Assessment 1998 CRAMM PD 3005 BS-7799-3 1985 1996 2002 2006 Risk management AS/NZS 4360 1995 2004 Expression des Besoins et Identification des Objectifs de Sécurité EBIOS 2004 1997 2004 Influences diverses 4 Copyright Hervé Schauer Consultants 2009 - Reproduction Interdite
  5. 5. Schéma de modélisation 5 Copyright Hervé Schauer Consultants 2009 - Reproduction Interdite
  6. 6. Exemple Un journaliste utilise un ordinateur portable pour rédiger ses articles. Il est employé par le magazine VSD (Vous et la Sécurité de Demain) mais il lui arrive de vendre ses articles à d'autres journaux. Sur son ordinateur, sont stockés son courrier électronique, ses contacts et tous ses articles publiés, non encore parus et en cours de rédaction. Pour rédiger des articles pertinents, ce journaliste se doit être un véritable globe trotter. Dans l'urgence, il est amené à rédiger ses articles dans les salles d'attente, voire de les envoyer en utilisant les hotspots disponibles. A l'heure actuelle, la seule protection utilisée est un simple couple identifiant / mot de passe à l'allumage de l'ordinateur 6 Copyright Hervé Schauer Consultants 2009 - Reproduction Interdite
  7. 7. Établissement du contexte Définir les critères de base (7.2) Critères d'impact Bas-niveau : vis-à-vis de l'actif Impact de la perte ou de l'atteinte d'un critère de sécurité Disponibilité, intégrité, confidentialité (7.2) Haut-niveau : vis-à-vis de l'organisme, du processus métier, du projet Echelle de mesure, ou critère d'estimation, des conséquences (financières, délais, image) (7.2)(8222)(B.3) Critères évaluation des risques Critères d'acceptation des risques 7 Copyright Hervé Schauer Consultants 2009 - Reproduction Interdite
  8. 8. Établissement du contexte Critères d'impact A partir d'où l'impact est assez important pour que le risque soit pris en compte ? Dans l'analyse du risque Critères d'évaluation des risques A partir d'où je dois passer de l'analyse du risque à son traitement ? Critères d'acceptation des risques A partir de quel niveau le risque sera acceptable par la direction ? Pas d'échelles normalisées 8 Copyright Hervé Schauer Consultants 2009 - Reproduction Interdite
  9. 9. Etablissement du contexte Autres échelles utiles lors de l'analyse de risque Pas explicitement imposées lors de l'établissement du contexte Echelle ou critères de valorisation des actifs (8.2.1.2)(B.2)(8.2.1.6)(8.2.2.2) Echelles d'estimation Echelle d'estimation des menaces (vraisemblance) (8.2.1.3)(C)(8.2.2.3) Echelle d'estimation des vulnérabilités (difficulté d'exploitation) (8.2.1.5)(D) (8.2.2.3) Echelle d'appréciation de la vraisemblance des scénarios d'incidents (8.2.2.3)(B.3) 9 Copyright Hervé Schauer Consultants 2009 - Reproduction Interdite
  10. 10. Etablissement du contexte Récapitulatif par ordre d'utilisation dans la méthode Echelle ou critères de valorisation des actifs (8.2.1.2)(B.2)(8.2.1.6)(8.2.2.2) Echelle d'estimation des menaces (vraisemblance) (8.2.1.3)(C)(8.2.2.3) Echelle d'estimation des vulnérabilités (difficulté d'exploitation) (8.2.1.5)(D) (8.2.2.3) Critères d'impact (7.2) : échelle de mesure, ou critère d'estimation De l'impact de la perte ou de l'atteinte à la disponibilité, intégrité, confidentialité sur un actif (7.2) Des conséquences (financières, délais, image) des scénarios d'incidents (7.2)(8222)(B.3) Echelle d'appréciation de la vraisemblance des scénarios d'incidents (8.2.2.3)(B.3) Critères évaluation des risques (7.2) Critères d'acceptation des risques (7.2) 10 Copyright Hervé Schauer Consultants 2009 - Reproduction Interdite
  11. 11. Valorisation des actifs Exemple Echelle de valorisation des actifs Valeur Signification 1 Faible Actif facilement remplaçable Coût d'achat faible Coût de maintenance faible Ne nécessite pas de compétences particulières 2 Moyen Actif remplaçable dans la journée Coût d'achat moyen Coût de maintenance moyen Nécessite des connaissances de base 3 Élevé Actif remplaçable dans la semaine Coût d'achat élevé Coût de maintenance élevé Nécessite des connaissances techniques particulières 4 Très élevé Actif remplaçable dans le mois Coût d'achat très élevé Coût de maintenance très élevé Nécessite des connaissances spécifiques. 11 Copyright Hervé Schauer Consultants 2009 - Reproduction Interdite
  12. 12. Critères d'impact Exemple Critères d'impact Qualification du besoin en Confidentialité Intégrité Disponibilité Niveau du besoin Informations pouvant être Pas de validation nécessaire Arrêt supérieur Faible ou 1 publiques Peut ne pas être intègre à 3 jours inexistant Accès autorisé à l'ensemble Simple validation possible Arrêt entre 1 Significatif 2 du journal VSD Peut être partiellement intègre jour et 3 jours Accès autorisé à l'ensemble Validation croisée Arrêt inférieur à Fort 3 de l'équipe Doit être intègre 1jours Accès autorisé à un membre Triple validation Aucun arrêt Majeur 4 unique de l'équipe Doit être parfaitement intègre tolérable 12 Copyright Hervé Schauer Consultants 2009 - Reproduction Interdite
  13. 13. Echelle de mesure des conséquences Exemple : Echelle de mesure des conséquences Financier Juridique Commercial Activité Image Niveau d'impact Perte financière Perte juridique faible ou null Détérioration Perte de Perte image Faible ou 1 faible ou nulle de la relation productivi faible ou inexistant client té null Perte financière Amende Perte de Arrêt de Mention Significatif 2 jugée modérée contrat,d'opé travail négative (10% du CA < X < ration ou de court ponctuelle 30% du CA) transaction, dans un Perte financière Retrait temporaire de carte de perte de Perte de Arrêt de média Mention Fort 3 jugée significative presse, interdiction client travail dans les (>30% du CA) temporaire d'exercer l'activité long supports de Perte financière Procès diffamation, atteinte à Perte d'un Reprise presse à Mention Majeur 4 jugée inacceptable la vie prive, plagia groupe de du travail dans la (> 50% du CA) clients ou impossibl presse d'un grand e spécialisée 13 Copyright Hervé Schauer Consultants 2009 - Reproduction Interdite
  14. 14. Critères d'évaluation des risques Exemple : Utilisés par le RSSI ou le gestionnaire de risques SI Seuil Critères d'évaluation des risques Vraisemblance Faible d'un scénario (Peu Moyenne Elevée Très élevée d'incident probable) (Possible) (Probable) (Fréquente) 1 2 3 4 1 1 2 3 4 2 2 4 6 8 3 3 6 9 12 4 4 8 12 16 5 5 10 15 20 Impact 6 6 12 18 24 MAX 7 7 14 21 28 (SOM(CID)) 8 8 16 24 32 9 9 18 27 36 10 10 20 30 40 11 11 22 33 44 12 12 24 36 48 14 Copyright Hervé Schauer Consultants 2009 - Reproduction Interdite
  15. 15. Critères d'acceptation des risques Exemple : Validés par la direction et utilisés par la direction Seuil 15 Copyright Hervé Schauer Consultants 2009 - Reproduction Interdite
  16. 16. Cartographie des actifs Actifs primordiaux (principaux, de haut-niveau) (B.1) : Processus et activités métier Information Actifs en support (de soutien, de bas-niveau, secondaires) : Cadre organisationnel, site, personnel, réseau, logiciel, matériel, etc 0.Liste des actifs primordiaux Actifs Primordiaux Processus de rédaction Processus de vente Articles en cours de rédaction Articles non publiés et non vendus Articles publiés Contacts 16 Copyright Hervé Schauer Consultants 2009 - Reproduction Interdite
  17. 17. Cartographie des actifs 1.Liste des processus métiers reliés aux actifs Actif Propriétaire Processus de rédaction Journaliste Ordinateur Journaliste Logiciel de traitement de texte Journaliste Journaliste Journaliste Articles en cours de rédaction Journaliste Processus de vente Journaliste Ordinateur Journaliste Connexion internet Journaliste Logiciel de messagerie Journaliste Mails Journaliste Journaliste Journaliste Articles non publiés et non vendus Journaliste Contacts Journaliste 17 Copyright Hervé Schauer Consultants 2009 - Reproduction Interdite
  18. 18. Cartographie des actifs 2.Liste des actifs Actif Propriétaire Actifs Primordiaux 1 Processus de rédaction Journaliste 2 Processus de vente Journaliste 3 Articles en cours de rédaction Journaliste 4 Articles non publiés et non vendus Journaliste 5 Articles publiés Acheteur 6 Contacts Journaliste Actifs en support 7 Ordinateur Journaliste 8 logiciel de traitement de texte Journaliste 9 logiciel de messagerie Journaliste 10 connexion internet Journaliste 11 mails Journaliste 12 Fichier d'article Journaliste 13 journaliste Journaliste 18 Copyright Hervé Schauer Consultants 2009 - Reproduction Interdite
  19. 19. Actifs valorises 3.Liste des actifs valorisés Actif Propriétaire Valeur Actifs Primordiaux 1 Processus de rédaction Journaliste 4 2 Processus de vente Journaliste 3 3 Articles en cours de rédaction Journaliste 4 4 Articles non publiés et non vendus Journaliste 4 5 Articles publiés Acheteur 2 6 Contacts Journaliste 2 Actifs en support 7 Ordinateur Journaliste 4 8 logiciel de traitement de texte Journaliste 2 9 logiciel de messagerie Journaliste 2 10 connexion internet Journaliste 1 11 mails Journaliste 2 12 Fichier d'article Journaliste 4 13 journaliste Journaliste 4 19 Copyright Hervé Schauer Consultants 2009 - Reproduction Interdite
  20. 20. Actifs sélectionnés 4.Liste des actifs sélectionnés Actif Propriétaire Valeur Sélectionné Actifs Primordiaux 1 Processus de rédaction Journaliste 4 oui 2 Processus de vente Journaliste 3 oui 3 Articles en cours de rédaction Journaliste 4 oui 4 Articles non publiés et non vendus Journaliste 4 oui 5 Articles publiés Acheteur 2 non 6 Contacts Journaliste 2 non Actifs en support 7 Ordinateur Journaliste 4 oui 8 logiciel de traitement de texte Journaliste 2 non 9 logiciel de messagerie Journaliste 2 non 10 connexion internet Journaliste 1 non 11 mails Journaliste 2 non 12 Fichier d'article Journaliste 4 oui 13 journaliste Journaliste 4 oui 20 Copyright Hervé Schauer Consultants 2009 - Reproduction Interdite
  21. 21. Menaces sur les actifs 5.Liste de menaces Actif Valeur Sélectionné Menaces Actifs Primordiaux 1 Processus de rédaction 4 oui 2 Processus de vente 3 oui Identification de 3 Articles en cours de rédaction 4 oui menaces ne effectuée pas sur 4 Articles non publiés et non vendus 4 oui les actifs 5 Articles publiés 2 non primordiaux. 6 Contacts 2 non Actifs en support 7 Ordinateur 4 oui Vol Destruction Panne électrique 8 logiciel de traitement de texte 2 non 9 logiciel de messagerie 2 non 10 connexion internet 1 non 11 mails 2 non 12 Fichier d'article 4 oui Fraude Destruction Copie 13 journaliste 4 oui Enlèvement Maladie 21 Copyright Hervé Schauer Consultants 2009 - Reproduction Interdite
  22. 22. Vulnérabilités des actifs 6. Liste de vulnérabilités Actif Valeur Sélectionné Menaces Vulnérabilité Actifs Primordiaux 1 Processus de rédaction 4 oui 2 Processus de vente 3 oui 3 Articles en cours de rédaction 4 oui Identification de menaces ne effectuée pas sur les actifs primordiaux. 4 Articles non publiés et non vendus 4 oui 5 Articles publiés 2 non 6 Contacts 2 non Actifs en support 7 Ordinateur 4 oui Vol portabilité Destruction fragilité Panne électrique dépend de l'électricité 8 logiciel de traitement de texte 2 non 9 logiciel de messagerie 2 non 10 connexion internet 1 non 11 mails 2 non 12 Fichier d'article 4 oui Fraude Accès libre Destruction manque de sensibilisation Copie Accès libre Fichier en clair 13 journaliste 4 oui Enlèvement non préparation Maladie manque de sensibilisation 22 Copyright Hervé Schauer Consultants 2009 - Reproduction Interdite
  23. 23. Conséquences et impacts sur les actifs 7.Liste de conséquences relatives aux actifs affectés et aux processus métiers affectés et impact vis-à-vis des critères CID Max Scénario d'incident Les actifs impactés C I D SOM(C,I,D) (SOM(CID)) Conséquences 1 Processus de rédaction 4 2 2 8 Perte financière jugée modérée 3 Articles en cours de rédaction 4 4 3 11 Perte juridique faible ou nulle Perte de contrat, d'opération ou de transaction, 1.Vol de l'ordinateur du fait de sa portabilité. 11 4 Articles non publiés et non vendus 4 4 3 11 perte de client mineur 7 Ordinateur 4 4 3 11 Perte de productivité 12 Fichier d'article 4 4 3 11 Perte image faible ou nulle 1 Processus de rédaction 1 2 2 5 Perte financière faible ou nulle 3 Articles en cours de rédaction 1 4 2 7 Perte juridique faible ou nulle 2.Destruction de l'ordinateur du fait de sa 4 Articles non publiés et non vendus 1 4 2 7 7 Détérioration de la relation client fragilité. 7 Ordinateur 1 2 2 5 Perte de productivité 12 Fichier d'article 1 4 2 7 Perte image faible ou nulle 1 Processus de rédaction 1 2 2 5 Perte financière faible ou nulle 3 Articles en cours de rédaction 1 4 2 7 Perte juridique faible ou nulle 3.Suite à une panne électrique l'ordinateur 4 Articles non publiés et non vendus 1 4 2 7 7 Détérioration de la relation client ne s'allume plus. 7 Ordinateur 1 2 2 5 Perte de productivité 12 Fichier d'article 1 4 2 7 Perte image faible ou nulle 1 Processus de rédaction 4 1 1 6 Perte financière jugée inacceptable Retrait temporaire de carte de presse, interdiction 4.Après une connexion frauduleuse, le 2 Processus de vente 2 1 3 6 temporaire d'exercer l'activité fichier d'article en cours de rédaction est 3 Articles en cours de rédaction 4 3 3 10 10 Perte de client modifié avec des informations fausses et publiés sans contrôle. Arrêt de travail longe Mention dans les supports de presse à diffusion 12 Fichier d'article 4 3 3 10 restreinte impact sur le réputation à court terme. 1 Processus de rédaction 1 3 3 7 Perte financière jugée significative 5.Le manque de formation de l'utilisateur à 3 Articles en cours de rédaction 1 4 4 9 Perte juridique faible ou nul l'utilisation du système d'exploitation 12 Fichier d'article 1 4 4 9 Perte de client 9 entraîne une mauvaise manipulation Arrêt de travail longe causant la perte de l'article. Mention dans les supports de presse à diffusion restreinte impact sur le réputation à court terme. 1 Processus de rédaction 4 1 1 6 Perte financière jugée inacceptable 6.Après une connexion frauduleuse, le 2 Processus de vente 2 1 1 4 Amende fichier d'article en cours de rédaction est 3 Articles en cours de rédaction 4 1 1 6 Perte de client 6 copié et publié par un autre journal 12 Fichier d'article 4 1 1 6 Arrêt de travail longe Mention dans les supports de presse à diffusion restreinte impact sur le réputation à court terme. 2 Processus de vente 4 1 1 6 Perte financière jugée inacceptable 7.Lors d'une connexion dans un aéroport, le 12 Fichier d'article 4 1 1 6 Amende fichier d'article en cours de transfert est Perte de client écoutée et retransmis sur un site gratuit 6 avant sa publication officielle Arrêt de travail longe Mention dans les supports de presse à diffusion restreinte impact sur le réputation à court terme. 1 Processus de rédaction 1 1 4 6 Perte financière jugée significative 8.Dans une zone à risque, le journaliste est 2 Processus de vente 1 1 4 6 Perte juridique faible ou nul pris en otage par des révolutionnaires. 13 journaliste 1 1 4 6 6 Détérioration de la relation client Arrêt de travail longe Mention négative ponctuelle dans un média 1 Processus de rédaction 1 1 3 5 Perte financière jugée significative 9.Dans une gare, le journaliste mange des 13 journaliste 1 1 3 5 Perte juridique faible ou nulle moules pas fraiches, il attrape une 5 Détérioration de la relation client intoxication alimentaire et il va à l'hôpital. Perte de productivité Mention négative ponctuelle dans un média 23 Copyright Hervé Schauer Consultants 2009 - Reproduction Interdite
  24. 24. Mesures de sécurité existantes 8. Liste des mesures de sécurité existantes et prévues Max Mesures de sécurité Scénario d'incident Les actifs impactés C I D SOM(C,I,D) (SOM(CID)) Conséquences existantes 1 Processus de rédaction 4 2 2 8 Perte financière jugée modérée 3 Articles en cours de rédaction 4 4 3 11 Perte juridique faible ou nulle Perte de contrat, d'opération ou de 1.Vol de l'ordinateur du fait de sa portabilité. 11 4 Articles non publiés et non vendus 4 4 3 11 transaction, perte de client mineur 7 Ordinateur 4 4 3 11 Perte de productivité 12 Fichier d'article 4 4 3 11 Perte image faible ou nulle 1 Processus de rédaction 1 2 2 5 Perte financière faible ou nulle 3 Articles en cours de rédaction 1 4 2 7 Perte juridique faible ou nulle 2.Destruction de l'ordinateur du fait de sa 4 Articles non publiés et non vendus 1 4 2 7 7 Détérioration de la relation client fragilité. 7 Ordinateur 1 2 2 5 Perte de productivité 12 Fichier d'article 1 4 2 7 Perte image faible ou nulle 1 Processus de rédaction 1 2 2 5 Perte financière faible ou nulle 3 Articles en cours de rédaction 1 4 2 7 Perte juridique faible ou nulle 3.Suite à une panne électrique l'ordinateur 4 Articles non publiés et non vendus 1 4 2 7 7 Détérioration de la relation client ne s'allume plus. 7 Ordinateur 1 2 2 5 Perte de productivité 12 Fichier d'article 1 4 2 7 Perte image faible ou nulle 1 Processus de rédaction 4 1 1 6 Perte financière jugée inacceptable Retrait temporaire de carte de presse, interdiction temporaire 4.Après une connexion frauduleuse, le 2 Processus de vente 2 1 3 6 d'exercer l'activité Protection par fichier d'article en cours de rédaction est 3 Articles en cours de rédaction 4 3 3 10 Perte de client 10 l'identifiant/ mot de modifié avec des informations fausses et Arrêt de travail longe passe publiés sans contrôle. Mention dans les supports de presse à diffusion restreinte impact sur le réputation à court 12 Fichier d'article 4 3 3 10 terme. 1 Processus de rédaction 1 3 3 7 Perte financière jugée significative 3 Articles en cours de rédaction 1 4 4 9 Perte juridique faible ou nul 5.Le manque de formation de l'utilisateur à 12 Fichier d'article 1 4 4 9 Perte de client l'utilisation du système d'exploitation Arrêt de travail longe 9 entraîne une mauvaise manipulation Mention dans les supports de causant la perte de l'article. presse à diffusion restreinte impact sur le réputation à court terme. 1 Processus de rédaction 4 1 1 6 Perte financière jugée inacceptable 2 Processus de vente 2 1 1 4 Amende 6.Après une connexion frauduleuse, le 3 Articles en cours de rédaction 4 1 1 6 Perte de client Protection par fichier d'article en cours de rédaction est 12 Fichier d'article 4 1 1 6 Arrêt de travail longe 6 l'identifiant/ mot de copié et publié par un autre journal Mention dans les supports de passe presse à diffusion restreinte impact sur le réputation à court terme. 2 Processus de vente 4 1 1 6 Perte financière jugée inacceptable 12 Fichier d'article 4 1 1 6 Amende 7.Lors d'une connexion dans un aéroport, le Perte de client fichier d'article en cours de transfert est écoutée et retransmis sur un site gratuit 6 Arrêt de travail longe avant sa publication officielle Mention dans les supports de presse à diffusion restreinte impact sur le réputation à court terme. 1 Processus de rédaction 1 1 4 6 Perte financière jugée significative 2 Processus de vente 1 1 4 6 Perte juridique faible ou nul 8.Dans une zone à risque, le journaliste est 13 journaliste 1 1 4 6 Détérioration de la relation client pris en otage par des révolutionnaires. 6 Arrêt de travail longe Mention négative ponctuelle dans un média 1 Processus de rédaction 1 1 3 5 Perte financière jugée significative 9.Dans une gare, le journaliste mange des 13 journaliste 1 1 3 5 Perte juridique faible ou nulle moules pas fraiches, il attrape une Détérioration de la relation client 5 intoxication alimentaire et il va à l'hôpital. Perte de productivité Mention négative ponctuelle dans un média 24 Copyright Hervé Schauer Consultants 2009 - Reproduction Interdite
  25. 25. Scénarios d'incident appréciés 9. Liste des conséquences estimées des scénarios d'incident Max Mesures de sécurité Valeur de Scénario d'incident Les actifs impactés C I D SOM(C,I,D) (SOM(CID)) existantes Conséquences conséquences 1 Processus de rédaction 4 2 2 8 Perte financière jugée modérée 2 Articles en cours de 3 rédaction 4 4 3 11 Perte juridique faible ou nulle 1 1.Vol de l'ordinateur du fait de sa Articles non publiés et non 11 Perte de contrat, d'opération ou de portabilité. 4 vendus 4 4 3 11 transaction, perte de client mineur 2 7 Ordinateur 4 4 3 11 Perte de productivité 1 12 Fichier d'article 4 4 3 11 Perte image faible ou nulle 1 1 Processus de rédaction 1 2 2 5 Perte financière faible ou nulle 1 Articles en cours de 3 rédaction 1 4 2 7 Perte juridique faible ou nulle 1 2.Destruction de l'ordinateur du fait Articles non publiés et non 7 de sa fragilité. 4 vendus 1 4 2 7 Détérioration de la relation client 1 7 Ordinateur 1 2 2 5 Perte de productivité 1 12 Fichier d'article 1 4 2 7 Perte image faible ou nulle 1 1 Processus de rédaction 1 2 2 5 Perte financière faible ou nulle 1 Articles en cours de 3 rédaction 1 4 2 7 Perte juridique faible ou nulle 1 3.Suite à une panne électrique Articles non publiés et non 7 l'ordinateur ne s'allume plus. 4 vendus 1 4 2 7 Détérioration de la relation client 1 7 Ordinateur 1 2 2 5 Perte de productivité 1 12 Fichier d'article 1 4 2 7 Perte image faible ou nulle 1 1 Processus de rédaction 4 1 1 6 Perte financière jugée inacceptable 4 Retrait temporaire de carte de presse, interdiction temporaire 4.Après une connexion frauduleuse, 2 Processus de vente 2 1 3 6 d'exercer l'activité 3 le fichier d'article en cours de Protection par Articles en cours de rédaction est modifié avec des 10 l'identifiant/ mot de 3 rédaction 4 3 3 10 Perte de client 3 informations fausses et publiés passe sans contrôle. Arrêt de travail longe 3 Mention dans les supports de presse à diffusion restreinte impact 12 Fichier d'article 4 3 3 10 sur le réputation à court terme. 3 1 Processus de rédaction 1 3 3 7 Perte financière jugée significative 4 Articles en cours de 5.Le manque de formation de 3 rédaction 1 4 4 9 Perte juridique faible ou nul 1 l'utilisateur à l'utilisation du système 12 Fichier d'article 1 4 4 9 Perte de client 3 d'exploitation entraîne une 9 mauvaise manipulation causant la Arrêt de travail longe 3 perte de l'article. Mention dans les supports de presse à diffusion restreinte impact sur le réputation à court terme. 3 1 Processus de rédaction 4 1 1 6 Perte financière jugée inacceptable 4 2 Processus de vente 2 1 1 4 Amende 2 6.Après une connexion frauduleuse, Articles en cours de le fichier d'article en cours de Protection par 3 rédaction 4 1 1 6 Perte de client 3 rédaction est copié et publié par un 6 l'identifiant/ mot de autre journal 12 Fichier d'article 4 1 1 6 passe Arrêt de travail longe 3 Mention dans les supports de presse à diffusion restreinte impact sur le réputation à court terme. 3 2 Processus de vente 4 1 1 6 Perte financière jugée inacceptable 4 7.Lors d'une connexion dans un 12 Fichier d'article 4 1 1 6 Amende 2 aéroport, le fichier d'article en cours Perte de client 3 de transfert est écoutée et 6 Arrêt de travail longe 3 retransmis sur un site gratuit avant sa publication officielle Mention dans les supports de presse à diffusion restreinte impact sur le réputation à court terme. 3 1 Processus de rédaction 1 1 4 6 Perte financière jugée significative 3 8.Dans une zone à risque, le 2 Processus de vente 1 1 4 6 Perte juridique faible ou nulle 1 journaliste est pris en otage par des 13 journaliste 1 1 4 6 Détérioration de la relation client 1 6 révolutionnaires. Arrêt de travail longe 3 Mention négative ponctuelle dans un média 2 1 Processus de rédaction 1 1 3 5 Perte financière jugée significative 3 9.Dans une gare, le journaliste 13 journaliste 1 1 3 5 Perte juridique faible ou nulle 1 mange des moules pas fraiches, il Détérioration de la relation client 1 attrape une intoxication alimentaire 5 et il va à l'hôpital. Perte de productivité 1 25 Copyright Hervé Schauer Consultants 2009 - Reproduction Interdite Mention négative ponctuelle dans un média 2
  26. 26. Vraisemblance des scénarios d'incident 10. Vraisemblance des scénarios d'incident Mesures de Max sécurité Valeur de Scénario d'incident Les actifs impactés C I D SOM(C,I,D) (SOM(CID)) existantes Conséquences conséquences Vraisemblance 1 Processus de rédaction 4 2 2 8 Perte financière jugée modérée 2 Articles en cours de 3 rédaction 4 4 3 11 Perte juridique faible ou nul 1 1.Vol de l'ordinateur du fait de sa Articles non publiés et non 11 Perte de contrat, d'opération ou de 2 portabilité. 4 vendus 4 4 3 11 transaction, perte de client mineur 2 7 Ordinateur 4 4 3 11 Perte de productivité 1 12 Fichier d'article 4 4 3 11 Perte image faible ou nul 1 1 Processus de rédaction 1 2 2 5 Perte financière faible ou nulle 1 Articles en cours de 3 rédaction 1 4 2 7 Perte juridique faible ou nul 1 2.Destruction de l'ordinateur du fait Articles non publiés et non 7 2 de sa fragilité. 4 vendus 1 4 2 7 Détérioration de la relation client 1 7 Ordinateur 1 2 2 5 Perte de productivité 1 12 Fichier d'article 1 4 2 7 Perte image faible ou nul 1 1 Processus de rédaction 1 2 2 5 Perte financière faible ou nulle 1 Articles en cours de 3 rédaction 1 4 2 7 Perte juridique faible ou nul 1 3.Suite à une panne électrique Articles non publiés et non 7 1 l'ordinateur ne s'allume plus. 4 vendus 1 4 2 7 Détérioration de la relation client 1 7 Ordinateur 1 2 2 5 Perte de productivité 1 12 Fichier d'article 1 4 2 7 Perte image faible ou nul 1 1 Processus de rédaction 4 1 1 6 Perte financière jugée inacceptable 4 Retrait temporaire de carte de presse, interdiction temporaire 4.Après une connexion frauduleuse, 2 Processus de vente 2 1 3 6 Protection d'exercer l'activité 3 le fichier d'article en cours de Articles en cours de par rédaction est modifié avec des 10 l'identifiant/ 2 3 rédaction 4 3 3 10 Perte de client 3 informations fausses et publiés mot de sans contrôle. passe Arrêt de travail longe 3 Mention dans les supports de presse à diffusion restreinte impact 12 Fichier d'article 4 3 3 10 sur le réputation à court terme. 3 1 Processus de rédaction 1 3 3 7 Perte financière jugée significative 4 Articles en cours de 5.Le manque de formation de 3 rédaction 1 4 4 9 Perte juridique faible ou nul 1 l'utilisateur à l'utilisation du système 12 Fichier d'article 1 4 4 9 Perte de client 3 d'exploitation entraîne une mauvaise 9 2 manipulation causant la perte de Arrêt de travail longe 3 l'article. Mention dans les supports de presse à diffusion restreinte impact sur le réputation à court terme. 3 1 Processus de rédaction 4 1 1 6 Perte financière jugée inacceptable 4 2 Processus de vente 2 1 1 4 Amende 2 6.Après une connexion frauduleuse, Protection Articles en cours de le fichier d'article en cours de par 3 rédaction 4 1 1 6 Perte de client 3 rédaction est copié et publié par un 6 l'identifiant/ 3 autre journal 12 Fichier d'article 4 1 1 6 mot de Arrêt de travail longe 3 passe Mention dans les supports de presse à diffusion restreinte impact sur le réputation à court terme. 3 2 Processus de vente 4 1 1 6 Perte financière jugée inacceptable 4 7.Lors d'une connexion dans un 12 Fichier d'article 4 1 1 6 Amende 2 aéroport, le fichier d'article en cours Perte de client 3 de transfert est écoutée et 6 Arrêt de travail longe 3 3 retransmis sur un site gratuit avant sa publication officielle Mention dans les supports de presse à diffusion restreinte impact sur le réputation à court terme. 3 1 Processus de rédaction 1 1 4 6 Perte financière jugée significative 3 8.Dans une zone à risque, le 2 Processus de vente 1 1 4 6 Perte juridique faible ou nul 1 journaliste est pris en otage par des 13 journaliste 1 1 4 6 Détérioration de la relation client 1 6 1 révolutionnaires. Arrêt de travail longe 3 Mention négative ponctuelle dans un média 2 1 Processus de rédaction 1 1 3 5 Perte financière jugée significative 3 9.Dans une gare, le journaliste 13 journaliste 1 1 3 5 Perte juridique faible ou nul 1 mange des moules pas fraiches, il Arrêt de travail longe 1 attrape une intoxication alimentaire 5 2 et il va à l'hôpital. Perte de productivité 1 Mention négative ponctuelle dans 26 Copyright Hervé Schauer Consultants 2009 - Reproduction Interdite un média 2
  27. 27. Calcul du niveau de risque 11. Liste des risques avec le valeur de niveau de risque Max Mesures de sécurité Valeur de Niveau de risque Scénario d'incident Les actifs impactés C I D SOM(C,I,D) (SOM(CID)) existantes Conséquences conséquences Vraisemblance =Max(SOM(CID))*Vrais 1 Processus de rédaction 4 2 2 8 Perte financière jugée modérée 2 Articles en cours de 3 rédaction 4 4 3 11 Perte juridique faible ou nul 1 1.Vol de l'ordinateur du fait de sa Articles non publiés et non 11 Perte de contrat, d'opération ou de 2 22 portabilité. 4 vendus 4 4 3 11 transaction, perte de client mineur 2 7 Ordinateur 4 4 3 11 Perte de productivité 1 12 Fichier d'article 4 4 3 11 Perte image faible ou nul 1 1 Processus de rédaction 1 2 2 5 Perte financière faible ou nulle 1 Articles en cours de 3 rédaction 1 4 2 7 Perte juridique faible ou nul 1 2.Destruction de l'ordinateur du fait Articles non publiés et non 7 2 14 de sa fragilité. 4 vendus 1 4 2 7 Détérioration de la relation client 1 7 Ordinateur 1 2 2 5 Perte de productivité 1 12 Fichier d'article 1 4 2 7 Perte image faible ou nul 1 1 Processus de rédaction 1 2 2 5 Perte financière faible ou nulle 1 Articles en cours de 3 rédaction 1 4 2 7 Perte juridique faible ou nul 1 3.Suite à une panne électrique Articles non publiés et non 7 1 7 l'ordinateur ne s'allume plus. 4 vendus 1 4 2 7 Détérioration de la relation client 1 7 Ordinateur 1 2 2 5 Perte de productivité 1 12 Fichier d'article 1 4 2 7 Perte image faible ou nul 1 1 Processus de rédaction 4 1 1 6 Perte financière jugée inacceptable 4 Retrait temporaire de carte de presse, interdiction temporaire 4.Après une connexion frauduleuse, 2 Processus de vente 2 1 3 6 d'exercer l'activité 3 le fichier d'article en cours de Protection par Articles en cours de rédaction est modifié avec des 10 l'identifiant/ mot de 2 20 3 rédaction 4 3 3 10 Perte de client 3 informations fausses et publiés passe sans contrôle. Arrêt de travail longe 3 Mention dans les supports de presse à diffusion restreinte impact 12 Fichier d'article 4 3 3 10 sur le réputation à court terme. 3 1 Processus de rédaction 1 3 3 7 Perte financière jugée significative 4 Articles en cours de 5.Le manque de formation de 3 rédaction 1 4 4 9 Perte juridique faible ou nul 1 l'utilisateur à l'utilisation du système 12 Fichier d'article 1 4 4 9 Perte de client 3 d'exploitation entraîne une mauvaise 9 2 18 manipulation causant la perte de Arrêt de travail longe 3 l'article. Mention dans les supports de presse à diffusion restreinte impact sur le réputation à court terme. 3 1 Processus de rédaction 4 1 1 6 Perte financière jugée inacceptable 4 2 Processus de vente 2 1 1 4 Amende 2 6.Après une connexion frauduleuse, Articles en cours de le fichier d'article en cours de Protection par 3 rédaction 4 1 1 6 Perte de client 3 rédaction est copié et publié par un 6 l'identifiant/ mot de 3 18 autre journal 12 Fichier d'article 4 1 1 6 passe Arrêt de travail longe 3 Mention dans les supports de presse à diffusion restreinte impact sur le réputation à court terme. 3 2 Processus de vente 4 1 1 6 Perte financière jugée inacceptable 4 7.Lors d'une connexion dans un 12 Fichier d'article 4 1 1 6 Amende 2 aéroport, le fichier d'article en cours Perte de client 3 de transfert est écoutée et 6 Arrêt de travail longe 3 3 18 retransmis sur un site gratuit avant sa publication officielle Mention dans les supports de presse à diffusion restreinte impact sur le réputation à court terme. 3 1 Processus de rédaction 1 1 4 6 Perte financière jugée significative 3 8.Dans une zone à risque, le 2 Processus de vente 1 1 4 6 Perte juridique faible ou nul 1 journaliste est pris en otage par des 13 journaliste 1 1 4 6 Détérioration de la relation client 1 6 1 6 révolutionnaires. Arrêt de travail longe 3 Mention négative ponctuelle dans un média 2 1 Processus de rédaction 1 1 3 5 Perte financière jugée significative 3 9.Dans une gare, le journaliste 13 journaliste 1 1 3 5 Perte juridique faible ou nul 1 mange des moules pas fraiches, il Arrêt de travail longe 1 attrape une intoxication alimentaire 5 2 10 et il va à l'hôpital. Perte de productivité 1 Mention négative ponctuelle dans 27 un média Copyright Hervé Schauer Consultants 2009 - Reproduction Interdite 2
  28. 28. Risques sélectionnés pour traitement 12. Liste des risques priorités en relation avec les scénarios d'incident Max Mesures de sécurité Valeur de Niveau de risque Scénario d'incident Les actifs impactés C I D SOM(C,I,D) (SOM(CID)) existantes Conséquences conséquences Vraisemblance =Max(SOM(CID))*Vrai 1 Processus de rédaction 4 2 2 8 Perte financière jugée modérée 2 Articles en cours de 3 rédaction 4 4 3 11 Perte juridique faible ou nul 1 1.Vol de l'ordinateur du fait de sa Articles non publiés et non 11 Perte de contrat, d'opération ou de 2 22 portabilité. 4 vendus 4 4 3 11 transaction, perte de client mineur 2 7 Ordinateur 4 4 3 11 Perte de productivité 1 12 Fichier d'article 4 4 3 11 Perte image faible ou nul 1 1 Processus de rédaction 1 2 2 5 Perte financière faible ou nulle 1 Articles en cours de 3 rédaction 1 4 2 7 Perte juridique faible ou nul 1 2.Destruction de l'ordinateur du fait Articles non publiés et non 7 2 14 de sa fragilité. 4 vendus 1 4 2 7 Détérioration de la relation client 1 7 Ordinateur 1 2 2 5 Perte de productivité 1 12 Fichier d'article 1 4 2 7 Perte image faible ou nul 1 1 Processus de rédaction 1 2 2 5 Perte financière faible ou nulle 1 Articles en cours de 3 rédaction 1 4 2 7 Perte juridique faible ou nul 1 3.Suite à une panne électrique Articles non publiés et non 7 1 7 l'ordinateur ne s'allume plus. 4 vendus 1 4 2 7 Détérioration de la relation client 1 7 Ordinateur 1 2 2 5 Perte de productivité 1 12 Fichier d'article 1 4 2 7 Perte image faible ou nul 1 1 Processus de rédaction 4 1 1 6 Perte financière jugée inacceptable 4 Retrait temporaire de carte de presse, interdiction temporaire 4.Après une connexion frauduleuse, 2 Processus de vente 2 1 3 6 d'exercer l'activité 3 le fichier d'article en cours de Protection par Articles en cours de rédaction est modifié avec des 10 l'identifiant/ mot de 2 20 3 rédaction 4 3 3 10 Perte de client 3 informations fausses et publiés passe sans contrôle. Arrêt de travail longe 3 Mention dans les supports de presse à diffusion restreinte impact 12 Fichier d'article 4 3 3 10 sur le réputation à court terme. 3 1 Processus de rédaction 1 3 3 7 Perte financière jugée significative 4 Articles en cours de 5.Le manque de formation de 3 rédaction 1 4 4 9 Perte juridique faible ou nul 1 l'utilisateur à l'utilisation du système 12 Fichier d'article 1 4 4 9 Perte de client 3 d'exploitation entraîne une mauvaise 9 2 18 manipulation causant la perte de Arrêt de travail longe 3 l'article. Mention dans les supports de presse à diffusion restreinte impact sur le réputation à court terme. 3 1 Processus de rédaction 4 1 1 6 Perte financière jugée inacceptable 4 2 Processus de vente 2 1 1 4 Amende 2 6.Après une connexion frauduleuse, Articles en cours de le fichier d'article en cours de Protection par 3 rédaction 4 1 1 6 Perte de client 3 rédaction est copié et publié par un 6 l'identifiant/ mot de 3 18 autre journal 12 Fichier d'article 4 1 1 6 passe Arrêt de travail longe 3 Mention dans les supports de presse à diffusion restreinte impact sur le réputation à court terme. 3 2 Processus de vente 4 1 1 6 Perte financière jugée inacceptable 4 7.Lors d'une connexion dans un 12 Fichier d'article 4 1 1 6 Amende 2 aéroport, le fichier d'article en cours Perte de client 3 de transfert est écoutée et 6 Arrêt de travail longe 3 3 18 retransmis sur un site gratuit avant sa publication officielle Mention dans les supports de presse à diffusion restreinte impact sur le réputation à court terme. 3 1 Processus de rédaction 1 1 4 6 Perte financière jugée significative 3 8.Dans une zone à risque, le 2 Processus de vente 1 1 4 6 Perte juridique faible ou nul 1 journaliste est pris en otage par des 13 journaliste 1 1 4 6 Détérioration de la relation client 1 6 1 6 révolutionnaires. Arrêt de travail longe 3 Mention négative ponctuelle dans un média 2 1 Processus de rédaction 1 1 3 5 Perte financière jugée significative 3 9.Dans une gare, le journaliste 13 journaliste 1 1 3 5 Perte juridique faible ou nul 1 mange des moules pas fraiches, il Arrêt de travail longe 1 attrape une intoxication alimentaire 5 2 10 et il va à l'hôpital. Perte de productivité 1 Mention négative ponctuelle dans 28 Copyright Hervé Schauer Consultants 2009 - Reproduction Interdite un média 2

×