SlideShare une entreprise Scribd logo

Gestion des risques SSI : Approche globale ou individuelle ?

Télécharger en tant que PPTX, PDF
B
BPMSinfo

Présentation de deux méthodes de gestion des risques SSI : Ebios et Méhari.

Formation
1  sur  10
Gestion des risques SSI : approche globale ou individuelle du risque ? Novembre 2013
Panorama des méthodes Le tableau suivant liste les principales méthodes utilisées dans le cadre de la gestion des risques SSI. Présentation BPMS 2
Gestion des risques : les concepts qui font consensus Un risque provient du fait que l’entité, entreprise ou organisation, possède des « valeurs », matérielles ou non, qui pourraient subir une dégradation ou un dommage, dégradation ayant des conséquences pour l’entité considérée. Actifs/ biens • Tout ce qui peut représenter une valeur ou un enjeu pour l’entité. • Essentiel : processus, information • Support : Bien sur lequel reposent des biens essentiels (logiciel, matériel, ressources humaines) Dégradation subie par un actif • Types de dommages subis par des informations (perte de disponibilité, d’intégrité ou de confidentialité). • On évaluera la gravité de la dégradation. Conséquences de la dégradation • Conséquence d’une dégradation au niveau de l’entité. • Ce terme recouvre la notion d’impact. Causes de la dégradation • Evénement certain ou non certains conduisant à la réalisation d’un risque. • On évaluera la probabilité de survenance de l ’événement. Présentation BPMS 3
Ebios : approche indirecte du risque La gestion globale et indirecte des risques proposée par Ebios vise à : Identifier des éléments pouvant conduire à des risques (menaces et vulnérabilité). Hiérarchiser ces éléments. En déduire une politique et des objectifs de sécurité. Mettre en place, comme outil de pilotage, un suivi permanent des objectifs de sécurité ou des éléments de la politique de sécurité. Analyse générale afin de définir des objectifs et des directives de sécurité propres à réduire globalement les risques. Présentation BPMS 4
Méhari : approche directe du risque La gestion individualisée et directe des risques proposée par Méhari vise à : Identifier l'ensemble des risques auxquels l’entreprise est exposée. Quantifier le niveau de chaque risque (gravité et probabilité) et le seuil d’acceptabilité. Prendre, pour chaque risque considéré comme inadmissible, des mesures pour que le niveau de ce risque soit ramené à un niveau acceptable. Mettre en place, comme outil de pilotage, un suivi permanent des risques et de leur niveau. S’assurer que chaque risque, pris individuellement, est bien pris en charge et a fait l’objet d’une décision soit d’acceptation soit de réduction, soit de transfert. Analyse de chaque situation de risque identifiée et prise de décisions spécifiques et adaptées à chacune d’elles Présentation BPMS 5
Ebios et Méhari : la notion de risque EBIOS : Actif, menace et vulnérabilité MEHARI : scénarios de risques • Le risque est la conjonction d’un actif, d’une menace susceptible de faire subir un dommage à cet actif et de vulnérabilités exploitées par la menace pour faire subir à l’actif ce dommage. • Ces définitions du risque conduisent à une notion de « risques types ». • Il s’agit donc d’une vision « statique » des risques, au sens où les éléments pris en compte ne font pas intervenir la variable « temps » et ne permettent pas de décrire des enchaînements d’événements, de causes ou de conséquences. • Le risque est la conjonction d’un actif, d’un type de dommage pouvant être subi par cet actif et de circonstances dans lesquelles ce dommage pourrait survenir. • Cette définition conduit, en pratique, à définir des « situations de risque» ou des « scénarios de risque» qui décrivent, à la fois, le dommage subi et les circonstances dans lesquelles se produit ce dommage. • Les circonstances recouvrent les notions de lieux, de temps. • Il s’agit donc d’une vision «dynamique» des risques, dans laquelle le temps peut intervenir. Présentation BPMS 6
Ebios et Méhari : bottom-up et top-down Méthode Méhari : Démarche centrée sur les enjeux des diverses activités de l’entité, et menée de préférence à un niveau élevé de management (approche top-down). Cette démarche débouche sur une recherche des circonstances dans lesquelles les dommages pourraient survenir et donc sur une définition de scénarios de risques. Quelles dégradations pourraient affecter ces actifs et dans quelles circonstances ces dégradations pourraient survenir? Méthode Ebios : Cette démarche débouche sur une recherche des menaces pouvant agir sur un actifs et des vulnérabilité de l’actif qui pourraient faciliter la réalisation de la menace. Cette démarche suppose une analyse techniques des actifs par les opérationnels. Le management est donc peu impliqué à ce stade de la démarche (approche bottom-up). Quelles menaces seraient susceptibles de causer un dommage à ces actifs, et quelles vulnérabilités pourraient être exploitées ? Présentation BPMS 7
Ebios et Méhari : estimation du risque EBIOS (gestion globale et indirecte) MEHARI (gestion individuelle et directe) • L’analyse des enjeux ou des conséquences du risque • L’estimation du niveau de la menace • L’estimation du niveau des vulnérabilités • L’analyse des enjeux ou des conséquences du risque • L’analyse de la probabilité de survenance du scénario de risque • L’effet des mesures de sécurité • L’estimation des risques aboutit à une hiérarchisation des risques. • L’estimation des risques aboutit à une évaluation de l’impact (I) et de la probabilité (P) de chaque risque. Présentation BPMS 8
Focus sur la notion de vulnérabilité Dans la méthode Ebios, la notion de vulnérabilité est introduite dès la phase d’identification des risques : Introduire les vulnérabilités dans la définition des risques revient à considérer que ce sont bien elles que l’on entend évaluer et gérer. Il s’agit bien alors d’une gestion indirecte des risques. Introduire dans la définition des risques la liste des vulnérabilités exploitées est source de difficultés pour une gestion directe des risques et oblige à introduire une analyse technique (la recherche de l’ensemble des vulnérabilités concernées par cette situation de risque). Dans la méthode Méhari, la notion de vulnérabilité est introduite dans la phase d’analyse des risques : Ne pas faire intervenir les vulnérabilités dans l’identification des risques revient à considérer qu’un risque naît de la simple conjonction d’un élément d’actif qui a une valeur et de circonstances dans lesquelles cette valeur pourrait être mise en cause et que c’est cette situation que l’on entend gérer. Présentation BPMS 9
Conclusion EBIOS • Gestion globale et indirecte • Objectif: définition d’une politique de sécurité • Définition du risque basée sur les menaces et vulnérabilité de l’actif • Implication faible du management • Vision statique des risques MEHARI • Gestion individuelle et directe • Objectif: définition d’une politique de gestion des risques • Définition du risque basée sur des scénarios de menace • Implication forte du management • Vision dynamique des risques Présentation BPMS 10

Recommandé

METHODE OCTAVE
METHODE OCTAVE METHODE OCTAVE
METHODE OCTAVE dazaiazouze
 
ANALYSE DE RISQUES
ANALYSE DE RISQUESANALYSE DE RISQUES
ANALYSE DE RISQUESndelannoy
 
EBIOS
EBIOSEBIOS
EBIOSHouda Elmoutaoukil
 
PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...
PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...
PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...PECB
 
ISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéPECB
 
2011-04-20 Marc Fréchette Gestion de risques
2011-04-20 Marc Fréchette Gestion de risques2011-04-20 Marc Fréchette Gestion de risques
2011-04-20 Marc Fréchette Gestion de risquesPMI Lévis-Québec
 
Mehari
MehariMehari
MehariHouda Elmoutaoukil
 
Identifier les risques
Identifier les risquesIdentifier les risques
Identifier les risquesCarine Pascal
 

Recommandé

METHODE OCTAVE
METHODE OCTAVE METHODE OCTAVE
METHODE OCTAVE dazaiazouze
 
ANALYSE DE RISQUES
ANALYSE DE RISQUESANALYSE DE RISQUES
ANALYSE DE RISQUESndelannoy
 
EBIOS
EBIOSEBIOS
EBIOSHouda Elmoutaoukil
 
PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...
PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...
PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...PECB
 
ISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéPECB
 
2011-04-20 Marc Fréchette Gestion de risques
2011-04-20 Marc Fréchette Gestion de risques2011-04-20 Marc Fréchette Gestion de risques
2011-04-20 Marc Fréchette Gestion de risquesPMI Lévis-Québec
 
Mehari
MehariMehari
MehariHouda Elmoutaoukil
 
Identifier les risques
Identifier les risquesIdentifier les risques
Identifier les risquesCarine Pascal
 
Gestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivitéGestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivitéPECB
 
Evaluer les risques dans un projet
Evaluer les risques dans un projetEvaluer les risques dans un projet
Evaluer les risques dans un projetClément Dussarps
 
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...PECB
 
Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SIDIALLO Boubacar
 
Management des risques 10 : Aspect Réglementaire et Normatif
Management des risques 10 : Aspect Réglementaire et Normatif Management des risques 10 : Aspect Réglementaire et Normatif
Management des risques 10 : Aspect Réglementaire et Normatif ibtissam el hassani
 
Développement sécurisé
Développement sécuriséDéveloppement sécurisé
Développement sécuriséfacemeshfacemesh
 
EBIOS Risk Manager
EBIOS Risk ManagerEBIOS Risk Manager
EBIOS Risk ManagerComsoce
 
Ebios
EbiosEbios
Ebioskilojolid
 
Gestion des risques
Gestion des risquesGestion des risques
Gestion des risqueseGov Innovation Center
 
Management des risques
Management des risquesManagement des risques
Management des risquesyounes elhaiba
 
Gestion des risques
Gestion des risquesGestion des risques
Gestion des risquesAymen Foudhaili
 
La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesISACA Chapitre de Québec
 
L’organisation et la formalisation du management des risques selon l’ISO 31000
L’organisation et la formalisation du management des risques selon l’ISO 31000 L’organisation et la formalisation du management des risques selon l’ISO 31000
L’organisation et la formalisation du management des risques selon l’ISO 31000 PECB
 
Sécurité des Applications WEB -LEVEL1
Sécurité des Applications WEB -LEVEL1 Sécurité des Applications WEB -LEVEL1
Sécurité des Applications WEB -LEVEL1Tarek MOHAMED
 
Mesure & Analyse: Mesurer les Risques
Mesure & Analyse: Mesurer les RisquesMesure & Analyse: Mesurer les Risques
Mesure & Analyse: Mesurer les RisquesOlivier Pinette
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatiqueMohamed Ali Hadhri
 
Concevoir, développer et sécuriser des micro-services avec Spring Boot
Concevoir, développer et sécuriser des micro-services avec Spring BootConcevoir, développer et sécuriser des micro-services avec Spring Boot
Concevoir, développer et sécuriser des micro-services avec Spring BootDNG Consulting
 
Vapt pci dss methodology ppt v1.0
Vapt pci dss methodology ppt v1.0Vapt pci dss methodology ppt v1.0
Vapt pci dss methodology ppt v1.0Network Intelligence India
 
Secure Software Development Life Cycle (SSDLC)
Secure Software Development Life Cycle (SSDLC)Secure Software Development Life Cycle (SSDLC)
Secure Software Development Life Cycle (SSDLC)Aymeric Lagier
 
Cours de Gestion des risques
Cours de Gestion des risquesCours de Gestion des risques
Cours de Gestion des risquesRémi Bachelet
 
ASIS Training #4 - Gestion des risques et innovation sociale
ASIS Training #4 - Gestion des risques et innovation socialeASIS Training #4 - Gestion des risques et innovation sociale
ASIS Training #4 - Gestion des risques et innovation socialearmelleguillermet
 
LA GESTION DES RISQUES PROCESSUS ET THEORIES.pptx
LA GESTION DES RISQUES PROCESSUS ET THEORIES.pptxLA GESTION DES RISQUES PROCESSUS ET THEORIES.pptx
LA GESTION DES RISQUES PROCESSUS ET THEORIES.pptxkhiyersaad
 

Contenu connexe

Tendances

Gestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivitéGestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivitéPECB
 
Evaluer les risques dans un projet
Evaluer les risques dans un projetEvaluer les risques dans un projet
Evaluer les risques dans un projetClément Dussarps
 
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...PECB
 
Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SIDIALLO Boubacar
 
Management des risques 10 : Aspect Réglementaire et Normatif
Management des risques 10 : Aspect Réglementaire et Normatif Management des risques 10 : Aspect Réglementaire et Normatif
Management des risques 10 : Aspect Réglementaire et Normatif ibtissam el hassani
 
EBIOS Risk Manager
EBIOS Risk ManagerEBIOS Risk Manager
EBIOS Risk ManagerComsoce
 
Management des risques
Management des risquesManagement des risques
Management des risquesyounes elhaiba
 
La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesISACA Chapitre de Québec
 
L’organisation et la formalisation du management des risques selon l’ISO 31000
L’organisation et la formalisation du management des risques selon l’ISO 31000 L’organisation et la formalisation du management des risques selon l’ISO 31000
L’organisation et la formalisation du management des risques selon l’ISO 31000 PECB
 
Sécurité des Applications WEB -LEVEL1
Sécurité des Applications WEB -LEVEL1 Sécurité des Applications WEB -LEVEL1
Sécurité des Applications WEB -LEVEL1Tarek MOHAMED
 
Mesure & Analyse: Mesurer les Risques
Mesure & Analyse: Mesurer les RisquesMesure & Analyse: Mesurer les Risques
Mesure & Analyse: Mesurer les RisquesOlivier Pinette
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatiqueMohamed Ali Hadhri
 
Concevoir, développer et sécuriser des micro-services avec Spring Boot
Concevoir, développer et sécuriser des micro-services avec Spring BootConcevoir, développer et sécuriser des micro-services avec Spring Boot
Concevoir, développer et sécuriser des micro-services avec Spring BootDNG Consulting
 
Secure Software Development Life Cycle (SSDLC)
Secure Software Development Life Cycle (SSDLC)Secure Software Development Life Cycle (SSDLC)
Secure Software Development Life Cycle (SSDLC)Aymeric Lagier
 
Cours de Gestion des risques
Cours de Gestion des risquesCours de Gestion des risques
Cours de Gestion des risquesRémi Bachelet
 

Tendances (20)

Gestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivitéGestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivité
 
Evaluer les risques dans un projet
Evaluer les risques dans un projetEvaluer les risques dans un projet
Evaluer les risques dans un projet
 
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
 
Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SI
 
Management des risques 10 : Aspect Réglementaire et Normatif
Management des risques 10 : Aspect Réglementaire et Normatif Management des risques 10 : Aspect Réglementaire et Normatif
Management des risques 10 : Aspect Réglementaire et Normatif
 
Développement sécurisé
Développement sécuriséDéveloppement sécurisé
Développement sécurisé
 
EBIOS Risk Manager
EBIOS Risk ManagerEBIOS Risk Manager
EBIOS Risk Manager
 
Ebios
EbiosEbios
Ebios
 
Gestion des risques
Gestion des risquesGestion des risques
Gestion des risques
 
Management des risques
Management des risquesManagement des risques
Management des risques
 
Gestion des risques
Gestion des risquesGestion des risques
Gestion des risques
 
La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internes
 
L’organisation et la formalisation du management des risques selon l’ISO 31000
L’organisation et la formalisation du management des risques selon l’ISO 31000 L’organisation et la formalisation du management des risques selon l’ISO 31000
L’organisation et la formalisation du management des risques selon l’ISO 31000
 
Sécurité des Applications WEB -LEVEL1
Sécurité des Applications WEB -LEVEL1 Sécurité des Applications WEB -LEVEL1
Sécurité des Applications WEB -LEVEL1
 
Mesure & Analyse: Mesurer les Risques
Mesure & Analyse: Mesurer les RisquesMesure & Analyse: Mesurer les Risques
Mesure & Analyse: Mesurer les Risques
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatique
 
Concevoir, développer et sécuriser des micro-services avec Spring Boot
Concevoir, développer et sécuriser des micro-services avec Spring BootConcevoir, développer et sécuriser des micro-services avec Spring Boot
Concevoir, développer et sécuriser des micro-services avec Spring Boot
 
Vapt pci dss methodology ppt v1.0
Vapt pci dss methodology ppt v1.0Vapt pci dss methodology ppt v1.0
Vapt pci dss methodology ppt v1.0
 
Secure Software Development Life Cycle (SSDLC)
Secure Software Development Life Cycle (SSDLC)Secure Software Development Life Cycle (SSDLC)
Secure Software Development Life Cycle (SSDLC)
 
Cours de Gestion des risques
Cours de Gestion des risquesCours de Gestion des risques
Cours de Gestion des risques
 

Similaire à Gestion des risques SSI : Approche globale ou individuelle ?

ASIS Training #4 - Gestion des risques et innovation sociale
ASIS Training #4 - Gestion des risques et innovation socialeASIS Training #4 - Gestion des risques et innovation sociale
ASIS Training #4 - Gestion des risques et innovation socialearmelleguillermet
 
LA GESTION DES RISQUES PROCESSUS ET THEORIES.pptx
LA GESTION DES RISQUES PROCESSUS ET THEORIES.pptxLA GESTION DES RISQUES PROCESSUS ET THEORIES.pptx
LA GESTION DES RISQUES PROCESSUS ET THEORIES.pptxkhiyersaad
 
Sécurité Internet
Sécurité InternetSécurité Internet
Sécurité Internetproximit
 
Fiche 4 management des risques
Fiche 4 management des risquesFiche 4 management des risques
Fiche 4 management des risquesHalim ARROUDJ
 
Gestion des risques
Gestion des risquesGestion des risques
Gestion des risquesmoussadiom
 
cours de Gestion des risques - demarche
cours de Gestion des risques - demarchecours de Gestion des risques - demarche
cours de Gestion des risques - demarcheRémi Bachelet
 
La gestion des risques
La gestion des risquesLa gestion des risques
La gestion des risquesMariem SELLAMI
 
++Le risque r_siduel_qui l'assume
++Le risque r_siduel_qui l'assume++Le risque r_siduel_qui l'assume
++Le risque r_siduel_qui l'assumeSouad Hadjadj
 
Presentation ppt converti
Presentation ppt convertiPresentation ppt converti
Presentation ppt convertiIsmailElouarga
 
Les risques associés aux transitions agile scrum breakfast
Les risques associés aux transitions agile scrum breakfastLes risques associés aux transitions agile scrum breakfast
Les risques associés aux transitions agile scrum breakfastYves Zieba
 
Pr. Badre Eddine CHEGRI & Pr. NAJI SAIDA Seminaire Gestion des risques des Et...
Pr. Badre Eddine CHEGRI & Pr. NAJI SAIDA Seminaire Gestion des risques des Et...Pr. Badre Eddine CHEGRI & Pr. NAJI SAIDA Seminaire Gestion des risques des Et...
Pr. Badre Eddine CHEGRI & Pr. NAJI SAIDA Seminaire Gestion des risques des Et...yossracherkaoui
 
Claude Emond – Axe 2 : Analyse et acceptabilité interdisciplinaire des risques
Claude Emond – Axe 2 : Analyse et acceptabilité interdisciplinaire des risquesClaude Emond – Axe 2 : Analyse et acceptabilité interdisciplinaire des risques
Claude Emond – Axe 2 : Analyse et acceptabilité interdisciplinaire des risquesNe3LS_Network
 
2017-02-AtelierA4GouvernanceRisques-Amrae-C.pdf
2017-02-AtelierA4GouvernanceRisques-Amrae-C.pdf2017-02-AtelierA4GouvernanceRisques-Amrae-C.pdf
2017-02-AtelierA4GouvernanceRisques-Amrae-C.pdfSARASIM6
 
L’identification, l’analyse et l’évaluation des risques selon l’ISO 31000 : l...
L’identification, l’analyse et l’évaluation des risques selon l’ISO 31000 : l...L’identification, l’analyse et l’évaluation des risques selon l’ISO 31000 : l...
L’identification, l’analyse et l’évaluation des risques selon l’ISO 31000 : l...PECB
 
Evaluation des risques professionnels.ppt
Evaluation des risques professionnels.pptEvaluation des risques professionnels.ppt
Evaluation des risques professionnels.pptsodautritoubasamb
 
Développer la culture ERM
Développer la culture ERMDévelopper la culture ERM
Développer la culture ERMDavid Dubois
 

Similaire à Gestion des risques SSI : Approche globale ou individuelle ? (20)

ASIS Training #4 - Gestion des risques et innovation sociale
ASIS Training #4 - Gestion des risques et innovation socialeASIS Training #4 - Gestion des risques et innovation sociale
ASIS Training #4 - Gestion des risques et innovation sociale
 
LA GESTION DES RISQUES PROCESSUS ET THEORIES.pptx
LA GESTION DES RISQUES PROCESSUS ET THEORIES.pptxLA GESTION DES RISQUES PROCESSUS ET THEORIES.pptx
LA GESTION DES RISQUES PROCESSUS ET THEORIES.pptx
 
Sécurité Internet
Sécurité InternetSécurité Internet
Sécurité Internet
 
Fiche 4 management des risques
Fiche 4 management des risquesFiche 4 management des risques
Fiche 4 management des risques
 
Gestion des risques
Gestion des risquesGestion des risques
Gestion des risques
 
cours de Gestion des risques - demarche
cours de Gestion des risques - demarchecours de Gestion des risques - demarche
cours de Gestion des risques - demarche
 
Du sst-inrs-ed480
Du sst-inrs-ed480Du sst-inrs-ed480
Du sst-inrs-ed480
 
Rendez vous Expert: La gestion du risque
Rendez vous Expert: La gestion du risqueRendez vous Expert: La gestion du risque
Rendez vous Expert: La gestion du risque
 
La gestion des risques
La gestion des risquesLa gestion des risques
La gestion des risques
 
++Le risque r_siduel_qui l'assume
++Le risque r_siduel_qui l'assume++Le risque r_siduel_qui l'assume
++Le risque r_siduel_qui l'assume
 
Presentation ppt converti
Presentation ppt convertiPresentation ppt converti
Presentation ppt converti
 
Les risques associés aux transitions agile scrum breakfast
Les risques associés aux transitions agile scrum breakfastLes risques associés aux transitions agile scrum breakfast
Les risques associés aux transitions agile scrum breakfast
 
Pr. Badre Eddine CHEGRI & Pr. NAJI SAIDA Seminaire Gestion des risques des Et...
Pr. Badre Eddine CHEGRI & Pr. NAJI SAIDA Seminaire Gestion des risques des Et...Pr. Badre Eddine CHEGRI & Pr. NAJI SAIDA Seminaire Gestion des risques des Et...
Pr. Badre Eddine CHEGRI & Pr. NAJI SAIDA Seminaire Gestion des risques des Et...
 
Claude Emond – Axe 2 : Analyse et acceptabilité interdisciplinaire des risques
Claude Emond – Axe 2 : Analyse et acceptabilité interdisciplinaire des risquesClaude Emond – Axe 2 : Analyse et acceptabilité interdisciplinaire des risques
Claude Emond – Axe 2 : Analyse et acceptabilité interdisciplinaire des risques
 
Présentation document unique
Présentation document uniquePrésentation document unique
Présentation document unique
 
2017-02-AtelierA4GouvernanceRisques-Amrae-C.pdf
2017-02-AtelierA4GouvernanceRisques-Amrae-C.pdf2017-02-AtelierA4GouvernanceRisques-Amrae-C.pdf
2017-02-AtelierA4GouvernanceRisques-Amrae-C.pdf
 
L’identification, l’analyse et l’évaluation des risques selon l’ISO 31000 : l...
L’identification, l’analyse et l’évaluation des risques selon l’ISO 31000 : l...L’identification, l’analyse et l’évaluation des risques selon l’ISO 31000 : l...
L’identification, l’analyse et l’évaluation des risques selon l’ISO 31000 : l...
 
Evaluation des risques professionnels.ppt
Evaluation des risques professionnels.pptEvaluation des risques professionnels.ppt
Evaluation des risques professionnels.ppt
 
Développer la culture ERM
Développer la culture ERMDévelopper la culture ERM
Développer la culture ERM
 
Management des risques
Management des risquesManagement des risques
Management des risques
 

Dernier

A3iFormations, organisme de formations certifié qualiopi.
A3iFormations, organisme de formations certifié qualiopi.A3iFormations, organisme de formations certifié qualiopi.
A3iFormations, organisme de formations certifié qualiopi.Franck Apolis
 
Le Lean sur une ligne de production : Formation et mise en application directe
Le Lean sur une ligne de production : Formation et mise en application directeLe Lean sur une ligne de production : Formation et mise en application directe
Le Lean sur une ligne de production : Formation et mise en application directeXL Groupe
 
Présentation_ Didactique 1_SVT (S4) complet.pptx
Présentation_ Didactique 1_SVT (S4) complet.pptxPrésentation_ Didactique 1_SVT (S4) complet.pptx
Présentation_ Didactique 1_SVT (S4) complet.pptxrababouerdighi
 
Evaluation du systeme d'Education. Marocpptx
Evaluation du systeme d'Education. MarocpptxEvaluation du systeme d'Education. Marocpptx
Evaluation du systeme d'Education. MarocpptxAsmaa105193
 
Saint Georges, martyr, et la lègend du dragon.pptx
Saint Georges, martyr, et la lègend du dragon.pptxSaint Georges, martyr, et la lègend du dragon.pptx
Saint Georges, martyr, et la lègend du dragon.pptxMartin M Flynn
 
Annie Ernaux Extérieurs. pptx. Exposition basée sur un livre .
Annie Ernaux Extérieurs. pptx. Exposition basée sur un livre .Annie Ernaux Extérieurs. pptx. Exposition basée sur un livre .
Annie Ernaux Extérieurs. pptx. Exposition basée sur un livre .Txaruka
 
Cours SE Le système Linux : La ligne de commande bash - IG IPSET
Cours SE Le système Linux : La ligne de commande bash - IG IPSETCours SE Le système Linux : La ligne de commande bash - IG IPSET
Cours SE Le système Linux : La ligne de commande bash - IG IPSETMedBechir
 
Formation M2i - Comprendre les neurosciences pour développer son leadership
Formation M2i - Comprendre les neurosciences pour développer son leadershipFormation M2i - Comprendre les neurosciences pour développer son leadership
Formation M2i - Comprendre les neurosciences pour développer son leadershipM2i Formation
 
666148532-Formation-Habilitation-ELECTRIQUE-ENTREPRISE-MARS-2017.pptx
666148532-Formation-Habilitation-ELECTRIQUE-ENTREPRISE-MARS-2017.pptx666148532-Formation-Habilitation-ELECTRIQUE-ENTREPRISE-MARS-2017.pptx
666148532-Formation-Habilitation-ELECTRIQUE-ENTREPRISE-MARS-2017.pptxSAID MASHATE
 
BONNES PRATIQUES DE FABRICATION RESUME SIMPLIFIE
BONNES PRATIQUES DE FABRICATION RESUME SIMPLIFIEBONNES PRATIQUES DE FABRICATION RESUME SIMPLIFIE
BONNES PRATIQUES DE FABRICATION RESUME SIMPLIFIEgharebikram98
 
systeme expert_systeme expert_systeme expert
systeme expert_systeme expert_systeme expertsysteme expert_systeme expert_systeme expert
systeme expert_systeme expert_systeme expertChristianMbip
 
Fondation Louis Vuitton. pptx
Fondation Louis Vuitton. pptxFondation Louis Vuitton. pptx
Fondation Louis Vuitton. pptxTxaruka
 
Cours SE Gestion des périphériques - IG IPSET
Cours SE Gestion des périphériques - IG IPSETCours SE Gestion des périphériques - IG IPSET
Cours SE Gestion des périphériques - IG IPSETMedBechir
 

Dernier (14)

A3iFormations, organisme de formations certifié qualiopi.
A3iFormations, organisme de formations certifié qualiopi.A3iFormations, organisme de formations certifié qualiopi.
A3iFormations, organisme de formations certifié qualiopi.
 
Le Lean sur une ligne de production : Formation et mise en application directe
Le Lean sur une ligne de production : Formation et mise en application directeLe Lean sur une ligne de production : Formation et mise en application directe
Le Lean sur une ligne de production : Formation et mise en application directe
 
Présentation_ Didactique 1_SVT (S4) complet.pptx
Présentation_ Didactique 1_SVT (S4) complet.pptxPrésentation_ Didactique 1_SVT (S4) complet.pptx
Présentation_ Didactique 1_SVT (S4) complet.pptx
 
Pâques de Sainte Marie-Euphrasie Pelletier
Pâques de Sainte Marie-Euphrasie PelletierPâques de Sainte Marie-Euphrasie Pelletier
Pâques de Sainte Marie-Euphrasie Pelletier
 
Evaluation du systeme d'Education. Marocpptx
Evaluation du systeme d'Education. MarocpptxEvaluation du systeme d'Education. Marocpptx
Evaluation du systeme d'Education. Marocpptx
 
Saint Georges, martyr, et la lègend du dragon.pptx
Saint Georges, martyr, et la lègend du dragon.pptxSaint Georges, martyr, et la lègend du dragon.pptx
Saint Georges, martyr, et la lègend du dragon.pptx
 
Annie Ernaux Extérieurs. pptx. Exposition basée sur un livre .
Annie Ernaux Extérieurs. pptx. Exposition basée sur un livre .Annie Ernaux Extérieurs. pptx. Exposition basée sur un livre .
Annie Ernaux Extérieurs. pptx. Exposition basée sur un livre .
 
Cours SE Le système Linux : La ligne de commande bash - IG IPSET
Cours SE Le système Linux : La ligne de commande bash - IG IPSETCours SE Le système Linux : La ligne de commande bash - IG IPSET
Cours SE Le système Linux : La ligne de commande bash - IG IPSET
 
Formation M2i - Comprendre les neurosciences pour développer son leadership
Formation M2i - Comprendre les neurosciences pour développer son leadershipFormation M2i - Comprendre les neurosciences pour développer son leadership
Formation M2i - Comprendre les neurosciences pour développer son leadership
 
666148532-Formation-Habilitation-ELECTRIQUE-ENTREPRISE-MARS-2017.pptx
666148532-Formation-Habilitation-ELECTRIQUE-ENTREPRISE-MARS-2017.pptx666148532-Formation-Habilitation-ELECTRIQUE-ENTREPRISE-MARS-2017.pptx
666148532-Formation-Habilitation-ELECTRIQUE-ENTREPRISE-MARS-2017.pptx
 
BONNES PRATIQUES DE FABRICATION RESUME SIMPLIFIE
BONNES PRATIQUES DE FABRICATION RESUME SIMPLIFIEBONNES PRATIQUES DE FABRICATION RESUME SIMPLIFIE
BONNES PRATIQUES DE FABRICATION RESUME SIMPLIFIE
 
systeme expert_systeme expert_systeme expert
systeme expert_systeme expert_systeme expertsysteme expert_systeme expert_systeme expert
systeme expert_systeme expert_systeme expert
 
Fondation Louis Vuitton. pptx
Fondation Louis Vuitton. pptxFondation Louis Vuitton. pptx
Fondation Louis Vuitton. pptx
 
Cours SE Gestion des périphériques - IG IPSET
Cours SE Gestion des périphériques - IG IPSETCours SE Gestion des périphériques - IG IPSET
Cours SE Gestion des périphériques - IG IPSET
 

Gestion des risques SSI : Approche globale ou individuelle ?

  • 1. Gestion des risques SSI : approche globale ou individuelle du risque ? Novembre 2013
  • 2. Panorama des méthodes Le tableau suivant liste les principales méthodes utilisées dans le cadre de la gestion des risques SSI. Présentation BPMS 2
  • 3. Gestion des risques : les concepts qui font consensus Un risque provient du fait que l’entité, entreprise ou organisation, possède des « valeurs », matérielles ou non, qui pourraient subir une dégradation ou un dommage, dégradation ayant des conséquences pour l’entité considérée. Actifs/ biens • Tout ce qui peut représenter une valeur ou un enjeu pour l’entité. • Essentiel : processus, information • Support : Bien sur lequel reposent des biens essentiels (logiciel, matériel, ressources humaines) Dégradation subie par un actif • Types de dommages subis par des informations (perte de disponibilité, d’intégrité ou de confidentialité). • On évaluera la gravité de la dégradation. Conséquences de la dégradation • Conséquence d’une dégradation au niveau de l’entité. • Ce terme recouvre la notion d’impact. Causes de la dégradation • Evénement certain ou non certains conduisant à la réalisation d’un risque. • On évaluera la probabilité de survenance de l ’événement. Présentation BPMS 3
  • 4. Ebios : approche indirecte du risque La gestion globale et indirecte des risques proposée par Ebios vise à : Identifier des éléments pouvant conduire à des risques (menaces et vulnérabilité). Hiérarchiser ces éléments. En déduire une politique et des objectifs de sécurité. Mettre en place, comme outil de pilotage, un suivi permanent des objectifs de sécurité ou des éléments de la politique de sécurité. Analyse générale afin de définir des objectifs et des directives de sécurité propres à réduire globalement les risques. Présentation BPMS 4
  • 5. Méhari : approche directe du risque La gestion individualisée et directe des risques proposée par Méhari vise à : Identifier l'ensemble des risques auxquels l’entreprise est exposée. Quantifier le niveau de chaque risque (gravité et probabilité) et le seuil d’acceptabilité. Prendre, pour chaque risque considéré comme inadmissible, des mesures pour que le niveau de ce risque soit ramené à un niveau acceptable. Mettre en place, comme outil de pilotage, un suivi permanent des risques et de leur niveau. S’assurer que chaque risque, pris individuellement, est bien pris en charge et a fait l’objet d’une décision soit d’acceptation soit de réduction, soit de transfert. Analyse de chaque situation de risque identifiée et prise de décisions spécifiques et adaptées à chacune d’elles Présentation BPMS 5
  • 6. Ebios et Méhari : la notion de risque EBIOS : Actif, menace et vulnérabilité MEHARI : scénarios de risques • Le risque est la conjonction d’un actif, d’une menace susceptible de faire subir un dommage à cet actif et de vulnérabilités exploitées par la menace pour faire subir à l’actif ce dommage. • Ces définitions du risque conduisent à une notion de « risques types ». • Il s’agit donc d’une vision « statique » des risques, au sens où les éléments pris en compte ne font pas intervenir la variable « temps » et ne permettent pas de décrire des enchaînements d’événements, de causes ou de conséquences. • Le risque est la conjonction d’un actif, d’un type de dommage pouvant être subi par cet actif et de circonstances dans lesquelles ce dommage pourrait survenir. • Cette définition conduit, en pratique, à définir des « situations de risque» ou des « scénarios de risque» qui décrivent, à la fois, le dommage subi et les circonstances dans lesquelles se produit ce dommage. • Les circonstances recouvrent les notions de lieux, de temps. • Il s’agit donc d’une vision «dynamique» des risques, dans laquelle le temps peut intervenir. Présentation BPMS 6
  • 7. Ebios et Méhari : bottom-up et top-down Méthode Méhari : Démarche centrée sur les enjeux des diverses activités de l’entité, et menée de préférence à un niveau élevé de management (approche top-down). Cette démarche débouche sur une recherche des circonstances dans lesquelles les dommages pourraient survenir et donc sur une définition de scénarios de risques. Quelles dégradations pourraient affecter ces actifs et dans quelles circonstances ces dégradations pourraient survenir? Méthode Ebios : Cette démarche débouche sur une recherche des menaces pouvant agir sur un actifs et des vulnérabilité de l’actif qui pourraient faciliter la réalisation de la menace. Cette démarche suppose une analyse techniques des actifs par les opérationnels. Le management est donc peu impliqué à ce stade de la démarche (approche bottom-up). Quelles menaces seraient susceptibles de causer un dommage à ces actifs, et quelles vulnérabilités pourraient être exploitées ? Présentation BPMS 7
  • 8. Ebios et Méhari : estimation du risque EBIOS (gestion globale et indirecte) MEHARI (gestion individuelle et directe) • L’analyse des enjeux ou des conséquences du risque • L’estimation du niveau de la menace • L’estimation du niveau des vulnérabilités • L’analyse des enjeux ou des conséquences du risque • L’analyse de la probabilité de survenance du scénario de risque • L’effet des mesures de sécurité • L’estimation des risques aboutit à une hiérarchisation des risques. • L’estimation des risques aboutit à une évaluation de l’impact (I) et de la probabilité (P) de chaque risque. Présentation BPMS 8
  • 9. Focus sur la notion de vulnérabilité Dans la méthode Ebios, la notion de vulnérabilité est introduite dès la phase d’identification des risques : Introduire les vulnérabilités dans la définition des risques revient à considérer que ce sont bien elles que l’on entend évaluer et gérer. Il s’agit bien alors d’une gestion indirecte des risques. Introduire dans la définition des risques la liste des vulnérabilités exploitées est source de difficultés pour une gestion directe des risques et oblige à introduire une analyse technique (la recherche de l’ensemble des vulnérabilités concernées par cette situation de risque). Dans la méthode Méhari, la notion de vulnérabilité est introduite dans la phase d’analyse des risques : Ne pas faire intervenir les vulnérabilités dans l’identification des risques revient à considérer qu’un risque naît de la simple conjonction d’un élément d’actif qui a une valeur et de circonstances dans lesquelles cette valeur pourrait être mise en cause et que c’est cette situation que l’on entend gérer. Présentation BPMS 9
  • 10. Conclusion EBIOS • Gestion globale et indirecte • Objectif: définition d’une politique de sécurité • Définition du risque basée sur les menaces et vulnérabilité de l’actif • Implication faible du management • Vision statique des risques MEHARI • Gestion individuelle et directe • Objectif: définition d’une politique de gestion des risques • Définition du risque basée sur des scénarios de menace • Implication forte du management • Vision dynamique des risques Présentation BPMS 10