SlideShare une entreprise Scribd logo

ISO/IEC 27005 : processus de traitement des risques et conformité

PECB
PECB

This presentation has been delivered by Christophe Maillet at the PECB Insights Conference 2018 in Paris.

1  sur  20
1
une analyse de risque , un audit entre théorie et
confrontation à la réalité
La méthode est bonne :
sa mise en application est perfectible
2
 Retour d’expérience de quelques années d’analyse
 Les retours sur
 Services
 Industries
 Etat
 Sans contrainte ou avec
• 27001 ou 27005
 Comme dirait FS, j’essaye de faire de la sécurité
3
 Dans la suite
 Risk Manager =>
• Celui qui travaille
• Le Risk Manager
• L’auditeur
 Equipe d’analyse
• Ensemble des risks manager
 MOA => Propriétaire des actifs
 MOE => les équipes autours
• La MOE
• Les architectes
• Les experts
 Propriétaire du processus
• Propriétaire du processus d’audit, d’analyse de risque conforme à la
ISO/CEI 27005:2018
4
Vulnérabilité MOA
 Rappel les bases du SMSI est du topdown
7.2.4 Critères d'acceptation des risques
 Méthode d’acceptation des risques
 Inexistante
 Inconnue
 Exotique
 Trop compliqué
 Changeante
 Inadaptée
5
Vulnérabilité MOA
 Valorisation des actifs
 8.2.2 Identification des actifs
 Multi-propriétaires des actifs
 Risque manager explique à la
MOA les grilles de valorisation
 Valorisation des actifs fonctions de
l’offre offert
 Négociation de la valeur des actifs
 Grilles impaires
6
Vulnérabilité MOA
 Traitement des risques (9)
 Juste une MS sur 25 => on
baisse
 On a contractualisé !!!
 Existence de mesure de
sécurité ….. Un jour
 Analyse de risque comme
méthode de management
Faire passer les évolutions (c'est pas
nous mais le méchant auditeur)

Recommandé

EBIOS Risk Manager
EBIOS Risk ManagerEBIOS Risk Manager
EBIOS Risk ManagerComsoce
 
Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Emna Tfifha
 
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...PECB
 
Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Bachir Benyammi
 
Conix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerConix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerThierry Pertus
 
LES SYSTEMES DE GESTION DES IDENTITES ET DES ACCES : MISE EN ŒUVRE ET APPORT ...
LES SYSTEMES DE GESTION DES IDENTITES ET DES ACCES : MISE EN ŒUVRE ET APPORT ...LES SYSTEMES DE GESTION DES IDENTITES ET DES ACCES : MISE EN ŒUVRE ET APPORT ...
LES SYSTEMES DE GESTION DES IDENTITES ET DES ACCES : MISE EN ŒUVRE ET APPORT ...Danny Batomen Yanga
 

Contenu connexe

Tendances

Présentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerPrésentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerComsoce
 
Gestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivitéGestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivitéPECB
 
Mission d'audit des Systéme d'information
Mission d'audit des Systéme d'informationMission d'audit des Systéme d'information
Mission d'audit des Systéme d'informationAymen Foudhaili
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatiqueMohamed Ali Hadhri
 
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Mémoire de stage :  Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...Mémoire de stage :  Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...Ammar Sassi
 
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...Tidiane Sylla
 
La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesISACA Chapitre de Québec
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Bachir Benyammi
 
Référentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIRéférentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIAlghajati
 
Cours sécurité 2_asr
Cours sécurité 2_asrCours sécurité 2_asr
Cours sécurité 2_asrTECOS
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAbbes Rharrab
 
Gouvernance de la sécurite des Systèmes d'Information Volet-2
Gouvernance de la sécurite des Systèmes d'Information Volet-2Gouvernance de la sécurite des Systèmes d'Information Volet-2
Gouvernance de la sécurite des Systèmes d'Information Volet-2PRONETIS
 
ANALYSE DE RISQUES
ANALYSE DE RISQUESANALYSE DE RISQUES
ANALYSE DE RISQUESndelannoy
 
Management des risques
Management des risques Management des risques
Management des risques Pasteur_Tunis
 
Mehari 2010-manuel-de-reference-2-14
Mehari 2010-manuel-de-reference-2-14Mehari 2010-manuel-de-reference-2-14
Mehari 2010-manuel-de-reference-2-14imen1989
 
la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)Diane de Haan
 

Tendances (20)

Présentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerPrésentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk Manager
 
Ebios
EbiosEbios
Ebios
 
Gestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivitéGestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivité
 
Mission d'audit des Systéme d'information
Mission d'audit des Systéme d'informationMission d'audit des Systéme d'information
Mission d'audit des Systéme d'information
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatique
 
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Mémoire de stage :  Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...Mémoire de stage :  Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
 
METHODE OCTAVE
METHODE OCTAVE METHODE OCTAVE
METHODE OCTAVE
 
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
 
La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internes
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
 
SMSI.pdf
SMSI.pdfSMSI.pdf
SMSI.pdf
 
Référentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIRéférentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SI
 
Cours sécurité 2_asr
Cours sécurité 2_asrCours sécurité 2_asr
Cours sécurité 2_asr
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’information
 
Gouvernance de la sécurite des Systèmes d'Information Volet-2
Gouvernance de la sécurite des Systèmes d'Information Volet-2Gouvernance de la sécurite des Systèmes d'Information Volet-2
Gouvernance de la sécurite des Systèmes d'Information Volet-2
 
Mehari
MehariMehari
Mehari
 
ANALYSE DE RISQUES
ANALYSE DE RISQUESANALYSE DE RISQUES
ANALYSE DE RISQUES
 
Management des risques
Management des risques Management des risques
Management des risques
 
Mehari 2010-manuel-de-reference-2-14
Mehari 2010-manuel-de-reference-2-14Mehari 2010-manuel-de-reference-2-14
Mehari 2010-manuel-de-reference-2-14
 
la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)
 

Similaire à ISO/IEC 27005 : processus de traitement des risques et conformité

MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...PMI-Montréal
 
2011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v022011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v02Sébastien GIORIA
 
#NSD16 - rex-audit coté startup - Youen Chéné
#NSD16 - rex-audit coté startup - Youen Chéné#NSD16 - rex-audit coté startup - Youen Chéné
#NSD16 - rex-audit coté startup - Youen ChénéNetSecure Day
 
OWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 -  Les 10 risques sur les mobilesOWASP Mobile Top10 -  Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobilesSébastien GIORIA
 
Université laval présentation sur la gestion des risques 31-03-2015 vf2
Université laval   présentation sur la gestion des risques 31-03-2015 vf2Université laval   présentation sur la gestion des risques 31-03-2015 vf2
Université laval présentation sur la gestion des risques 31-03-2015 vf2ISACA Chapitre de Québec
 
Maîtrise de risques en gestion de projet
Maîtrise de risques en gestion de projetMaîtrise de risques en gestion de projet
Maîtrise de risques en gestion de projetChef De Projet Détendu
 
La sécurité applicative par le design
La sécurité applicative par le designLa sécurité applicative par le design
La sécurité applicative par le designChristophe Villeneuve
 
Gp 06 La Planification Auxiliaire
Gp 06   La Planification AuxiliaireGp 06   La Planification Auxiliaire
Gp 06 La Planification AuxiliaireClaude Michaud
 
Presentation gestion risques
Presentation gestion risquesPresentation gestion risques
Presentation gestion risquesFlorine Clomegah
 
amelioration de disponibilité.pdf
amelioration de disponibilité.pdfamelioration de disponibilité.pdf
amelioration de disponibilité.pdfGhizlaneLam
 
Un peu de sécurité dans ce monde de Kiwi
Un peu de sécurité dans ce monde de KiwiUn peu de sécurité dans ce monde de Kiwi
Un peu de sécurité dans ce monde de KiwiLaurie-Anne Bourdain
 
CONF. 201 - Gérer des projets de système d’information à risque élevé : raiso...
CONF. 201 - Gérer des projets de système d’information à risque élevé : raiso...CONF. 201 - Gérer des projets de système d’information à risque élevé : raiso...
CONF. 201 - Gérer des projets de système d’information à risque élevé : raiso...PMI-Montréal
 
#NSD15 - Intelligence juridique & systèmes d'informations
#NSD15 - Intelligence juridique & systèmes d'informations#NSD15 - Intelligence juridique & systèmes d'informations
#NSD15 - Intelligence juridique & systèmes d'informationsNetSecure Day
 
Développer la culture ERM
Développer la culture ERMDévelopper la culture ERM
Développer la culture ERMDavid Dubois
 
Présentation résistante directeurs experts 20140527
Présentation résistante   directeurs experts 20140527Présentation résistante   directeurs experts 20140527
Présentation résistante directeurs experts 20140527Résistante Risk Solutions
 
Sécurité dans les contrats d'externalisation de services de développement et ...
Sécurité dans les contrats d'externalisation de services de développement et ...Sécurité dans les contrats d'externalisation de services de développement et ...
Sécurité dans les contrats d'externalisation de services de développement et ...Antonio Fontes
 

Similaire à ISO/IEC 27005 : processus de traitement des risques et conformité (20)

MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
 
2011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v022011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v02
 
Netclu09 27005
Netclu09 27005Netclu09 27005
Netclu09 27005
 
#NSD16 - rex-audit coté startup - Youen Chéné
#NSD16 - rex-audit coté startup - Youen Chéné#NSD16 - rex-audit coté startup - Youen Chéné
#NSD16 - rex-audit coté startup - Youen Chéné
 
OWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 -  Les 10 risques sur les mobilesOWASP Mobile Top10 -  Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobiles
 
Université laval présentation sur la gestion des risques 31-03-2015 vf2
Université laval   présentation sur la gestion des risques 31-03-2015 vf2Université laval   présentation sur la gestion des risques 31-03-2015 vf2
Université laval présentation sur la gestion des risques 31-03-2015 vf2
 
Maîtrise de risques en gestion de projet
Maîtrise de risques en gestion de projetMaîtrise de risques en gestion de projet
Maîtrise de risques en gestion de projet
 
Atelier Technique RAPID7 ACSS 2018
Atelier Technique RAPID7 ACSS 2018Atelier Technique RAPID7 ACSS 2018
Atelier Technique RAPID7 ACSS 2018
 
La sécurité applicative par le design
La sécurité applicative par le designLa sécurité applicative par le design
La sécurité applicative par le design
 
Gp 06 La Planification Auxiliaire
Gp 06   La Planification AuxiliaireGp 06   La Planification Auxiliaire
Gp 06 La Planification Auxiliaire
 
Presentation gestion risques
Presentation gestion risquesPresentation gestion risques
Presentation gestion risques
 
Livre Blanc Sauvetage de projets
Livre Blanc Sauvetage de projetsLivre Blanc Sauvetage de projets
Livre Blanc Sauvetage de projets
 
amelioration de disponibilité.pdf
amelioration de disponibilité.pdfamelioration de disponibilité.pdf
amelioration de disponibilité.pdf
 
Un peu de sécurité dans ce monde de Kiwi
Un peu de sécurité dans ce monde de KiwiUn peu de sécurité dans ce monde de Kiwi
Un peu de sécurité dans ce monde de Kiwi
 
CONF. 201 - Gérer des projets de système d’information à risque élevé : raiso...
CONF. 201 - Gérer des projets de système d’information à risque élevé : raiso...CONF. 201 - Gérer des projets de système d’information à risque élevé : raiso...
CONF. 201 - Gérer des projets de système d’information à risque élevé : raiso...
 
#NSD15 - Intelligence juridique & systèmes d'informations
#NSD15 - Intelligence juridique & systèmes d'informations#NSD15 - Intelligence juridique & systèmes d'informations
#NSD15 - Intelligence juridique & systèmes d'informations
 
Développer la culture ERM
Développer la culture ERMDévelopper la culture ERM
Développer la culture ERM
 
Présentation résistante directeurs experts 20140527
Présentation résistante   directeurs experts 20140527Présentation résistante   directeurs experts 20140527
Présentation résistante directeurs experts 20140527
 
Sécurité dans les contrats d'externalisation de services de développement et ...
Sécurité dans les contrats d'externalisation de services de développement et ...Sécurité dans les contrats d'externalisation de services de développement et ...
Sécurité dans les contrats d'externalisation de services de développement et ...
 
2012 03-02-sdl-sgi-v03
2012 03-02-sdl-sgi-v032012 03-02-sdl-sgi-v03
2012 03-02-sdl-sgi-v03
 

Plus de PECB

ISO/IEC 27032, ISO/IEC 27002, and CMMC Frameworks - Achieving Cybersecurity M...
ISO/IEC 27032, ISO/IEC 27002, and CMMC Frameworks - Achieving Cybersecurity M...ISO/IEC 27032, ISO/IEC 27002, and CMMC Frameworks - Achieving Cybersecurity M...
ISO/IEC 27032, ISO/IEC 27002, and CMMC Frameworks - Achieving Cybersecurity M...PECB
 
ISO/IEC 27001 and ISO/IEC 27005: Managing AI Risks Effectively
ISO/IEC 27001 and ISO/IEC 27005: Managing AI Risks EffectivelyISO/IEC 27001 and ISO/IEC 27005: Managing AI Risks Effectively
ISO/IEC 27001 and ISO/IEC 27005: Managing AI Risks EffectivelyPECB
 
Impact of Generative AI in Cybersecurity - How can ISO/IEC 27032 help?
Impact of Generative AI in Cybersecurity - How can ISO/IEC 27032 help?Impact of Generative AI in Cybersecurity - How can ISO/IEC 27032 help?
Impact of Generative AI in Cybersecurity - How can ISO/IEC 27032 help?PECB
 
GDPR and Data Protection: Ensure compliance and minimize the risk of penaltie...
GDPR and Data Protection: Ensure compliance and minimize the risk of penaltie...GDPR and Data Protection: Ensure compliance and minimize the risk of penaltie...
GDPR and Data Protection: Ensure compliance and minimize the risk of penaltie...PECB
 
How Can ISO/IEC 27001 Help Organizations Align With the EU Cybersecurity Regu...
How Can ISO/IEC 27001 Help Organizations Align With the EU Cybersecurity Regu...How Can ISO/IEC 27001 Help Organizations Align With the EU Cybersecurity Regu...
How Can ISO/IEC 27001 Help Organizations Align With the EU Cybersecurity Regu...PECB
 
Student Information Session University KTMC
Student Information Session University KTMC Student Information Session University KTMC
Student Information Session University KTMC PECB
 
ISO/IEC 27001 and ISO 22301 - How to ensure business survival against cyber a...
ISO/IEC 27001 and ISO 22301 - How to ensure business survival against cyber a...ISO/IEC 27001 and ISO 22301 - How to ensure business survival against cyber a...
ISO/IEC 27001 and ISO 22301 - How to ensure business survival against cyber a...PECB
 
Integrating ISO/IEC 27001 and ISO 31000 for Effective Information Security an...
Integrating ISO/IEC 27001 and ISO 31000 for Effective Information Security an...Integrating ISO/IEC 27001 and ISO 31000 for Effective Information Security an...
Integrating ISO/IEC 27001 and ISO 31000 for Effective Information Security an...PECB
 
Student Information Session University CREST ADVISORY AFRICA
Student Information Session University CREST ADVISORY AFRICA Student Information Session University CREST ADVISORY AFRICA
Student Information Session University CREST ADVISORY AFRICA PECB
 
Information Session University Egybyte.pptx
Information Session University Egybyte.pptxInformation Session University Egybyte.pptx
Information Session University Egybyte.pptxPECB
 
Student Information Session University Digital Encode.pptx
Student Information Session University Digital Encode.pptxStudent Information Session University Digital Encode.pptx
Student Information Session University Digital Encode.pptxPECB
 
Cybersecurity trends - What to expect in 2023
Cybersecurity trends - What to expect in 2023Cybersecurity trends - What to expect in 2023
Cybersecurity trends - What to expect in 2023PECB
 
ISO/IEC 27001:2022 – What are the changes?
ISO/IEC 27001:2022 – What are the changes?ISO/IEC 27001:2022 – What are the changes?
ISO/IEC 27001:2022 – What are the changes?PECB
 
George, Tony, Michael - PECB Webinar 27701 Data Protection Risk Management V1...
George, Tony, Michael - PECB Webinar 27701 Data Protection Risk Management V1...George, Tony, Michael - PECB Webinar 27701 Data Protection Risk Management V1...
George, Tony, Michael - PECB Webinar 27701 Data Protection Risk Management V1...PECB
 
CIA Triad in Data Governance, Information Security, and Privacy: Its Role and...
CIA Triad in Data Governance, Information Security, and Privacy: Its Role and...CIA Triad in Data Governance, Information Security, and Privacy: Its Role and...
CIA Triad in Data Governance, Information Security, and Privacy: Its Role and...PECB
 
Business Continuity, Data Privacy, and Information Security: How do they link?
Business Continuity, Data Privacy, and Information Security: How do they link?Business Continuity, Data Privacy, and Information Security: How do they link?
Business Continuity, Data Privacy, and Information Security: How do they link?PECB
 
Ethical Hacking vs Penetration Testing vs Cybersecurity: Know the Difference?
Ethical Hacking vs Penetration Testing vs Cybersecurity: Know the Difference?Ethical Hacking vs Penetration Testing vs Cybersecurity: Know the Difference?
Ethical Hacking vs Penetration Testing vs Cybersecurity: Know the Difference?PECB
 
Information Security vs. Data Governance vs. Data Protection: What Is the Rea...
Information Security vs. Data Governance vs. Data Protection: What Is the Rea...Information Security vs. Data Governance vs. Data Protection: What Is the Rea...
Information Security vs. Data Governance vs. Data Protection: What Is the Rea...PECB
 
GDPR vs US Regulations: Their differences and Commonalities with ISO/IEC 27701
GDPR vs US Regulations: Their differences and Commonalities with ISO/IEC 27701GDPR vs US Regulations: Their differences and Commonalities with ISO/IEC 27701
GDPR vs US Regulations: Their differences and Commonalities with ISO/IEC 27701PECB
 
ISO/IEC 27701, GDPR, and ePrivacy: How Do They Map?
ISO/IEC 27701, GDPR, and ePrivacy: How Do They Map?ISO/IEC 27701, GDPR, and ePrivacy: How Do They Map?
ISO/IEC 27701, GDPR, and ePrivacy: How Do They Map?PECB
 

Plus de PECB (20)

ISO/IEC 27032, ISO/IEC 27002, and CMMC Frameworks - Achieving Cybersecurity M...
ISO/IEC 27032, ISO/IEC 27002, and CMMC Frameworks - Achieving Cybersecurity M...ISO/IEC 27032, ISO/IEC 27002, and CMMC Frameworks - Achieving Cybersecurity M...
ISO/IEC 27032, ISO/IEC 27002, and CMMC Frameworks - Achieving Cybersecurity M...
 
ISO/IEC 27001 and ISO/IEC 27005: Managing AI Risks Effectively
ISO/IEC 27001 and ISO/IEC 27005: Managing AI Risks EffectivelyISO/IEC 27001 and ISO/IEC 27005: Managing AI Risks Effectively
ISO/IEC 27001 and ISO/IEC 27005: Managing AI Risks Effectively
 
Impact of Generative AI in Cybersecurity - How can ISO/IEC 27032 help?
Impact of Generative AI in Cybersecurity - How can ISO/IEC 27032 help?Impact of Generative AI in Cybersecurity - How can ISO/IEC 27032 help?
Impact of Generative AI in Cybersecurity - How can ISO/IEC 27032 help?
 
GDPR and Data Protection: Ensure compliance and minimize the risk of penaltie...
GDPR and Data Protection: Ensure compliance and minimize the risk of penaltie...GDPR and Data Protection: Ensure compliance and minimize the risk of penaltie...
GDPR and Data Protection: Ensure compliance and minimize the risk of penaltie...
 
How Can ISO/IEC 27001 Help Organizations Align With the EU Cybersecurity Regu...
How Can ISO/IEC 27001 Help Organizations Align With the EU Cybersecurity Regu...How Can ISO/IEC 27001 Help Organizations Align With the EU Cybersecurity Regu...
How Can ISO/IEC 27001 Help Organizations Align With the EU Cybersecurity Regu...
 
Student Information Session University KTMC
Student Information Session University KTMC Student Information Session University KTMC
Student Information Session University KTMC
 
ISO/IEC 27001 and ISO 22301 - How to ensure business survival against cyber a...
ISO/IEC 27001 and ISO 22301 - How to ensure business survival against cyber a...ISO/IEC 27001 and ISO 22301 - How to ensure business survival against cyber a...
ISO/IEC 27001 and ISO 22301 - How to ensure business survival against cyber a...
 
Integrating ISO/IEC 27001 and ISO 31000 for Effective Information Security an...
Integrating ISO/IEC 27001 and ISO 31000 for Effective Information Security an...Integrating ISO/IEC 27001 and ISO 31000 for Effective Information Security an...
Integrating ISO/IEC 27001 and ISO 31000 for Effective Information Security an...
 
Student Information Session University CREST ADVISORY AFRICA
Student Information Session University CREST ADVISORY AFRICA Student Information Session University CREST ADVISORY AFRICA
Student Information Session University CREST ADVISORY AFRICA
 
Information Session University Egybyte.pptx
Information Session University Egybyte.pptxInformation Session University Egybyte.pptx
Information Session University Egybyte.pptx
 
Student Information Session University Digital Encode.pptx
Student Information Session University Digital Encode.pptxStudent Information Session University Digital Encode.pptx
Student Information Session University Digital Encode.pptx
 
Cybersecurity trends - What to expect in 2023
Cybersecurity trends - What to expect in 2023Cybersecurity trends - What to expect in 2023
Cybersecurity trends - What to expect in 2023
 
ISO/IEC 27001:2022 – What are the changes?
ISO/IEC 27001:2022 – What are the changes?ISO/IEC 27001:2022 – What are the changes?
ISO/IEC 27001:2022 – What are the changes?
 
George, Tony, Michael - PECB Webinar 27701 Data Protection Risk Management V1...
George, Tony, Michael - PECB Webinar 27701 Data Protection Risk Management V1...George, Tony, Michael - PECB Webinar 27701 Data Protection Risk Management V1...
George, Tony, Michael - PECB Webinar 27701 Data Protection Risk Management V1...
 
CIA Triad in Data Governance, Information Security, and Privacy: Its Role and...
CIA Triad in Data Governance, Information Security, and Privacy: Its Role and...CIA Triad in Data Governance, Information Security, and Privacy: Its Role and...
CIA Triad in Data Governance, Information Security, and Privacy: Its Role and...
 
Business Continuity, Data Privacy, and Information Security: How do they link?
Business Continuity, Data Privacy, and Information Security: How do they link?Business Continuity, Data Privacy, and Information Security: How do they link?
Business Continuity, Data Privacy, and Information Security: How do they link?
 
Ethical Hacking vs Penetration Testing vs Cybersecurity: Know the Difference?
Ethical Hacking vs Penetration Testing vs Cybersecurity: Know the Difference?Ethical Hacking vs Penetration Testing vs Cybersecurity: Know the Difference?
Ethical Hacking vs Penetration Testing vs Cybersecurity: Know the Difference?
 
Information Security vs. Data Governance vs. Data Protection: What Is the Rea...
Information Security vs. Data Governance vs. Data Protection: What Is the Rea...Information Security vs. Data Governance vs. Data Protection: What Is the Rea...
Information Security vs. Data Governance vs. Data Protection: What Is the Rea...
 
GDPR vs US Regulations: Their differences and Commonalities with ISO/IEC 27701
GDPR vs US Regulations: Their differences and Commonalities with ISO/IEC 27701GDPR vs US Regulations: Their differences and Commonalities with ISO/IEC 27701
GDPR vs US Regulations: Their differences and Commonalities with ISO/IEC 27701
 
ISO/IEC 27701, GDPR, and ePrivacy: How Do They Map?
ISO/IEC 27701, GDPR, and ePrivacy: How Do They Map?ISO/IEC 27701, GDPR, and ePrivacy: How Do They Map?
ISO/IEC 27701, GDPR, and ePrivacy: How Do They Map?
 

Dernier

Le langage n'est-il qu'un instrument de communication ? (V2)
Le langage n'est-il qu'un instrument de communication ? (V2)Le langage n'est-il qu'un instrument de communication ? (V2)
Le langage n'est-il qu'un instrument de communication ? (V2)Gabriel Gay-Para
 
Français langue étrangère: Le but et l'obligation 2024
Français langue étrangère: Le but et l'obligation 2024Français langue étrangère: Le but et l'obligation 2024
Français langue étrangère: Le but et l'obligation 2024Paulo Marques
 
Modulation Fm Tp presentation avancée USTHB
Modulation Fm Tp presentation avancée USTHBModulation Fm Tp presentation avancée USTHB
Modulation Fm Tp presentation avancée USTHBUsaPlay2
 
DLAC 2024 - L’état de l’apprentissage électronique de la maternelle à la 12e ...
DLAC 2024 - L’état de l’apprentissage électronique de la maternelle à la 12e ...DLAC 2024 - L’état de l’apprentissage électronique de la maternelle à la 12e ...
DLAC 2024 - L’état de l’apprentissage électronique de la maternelle à la 12e ...Michael Barbour
 
Marseille XIXe fiche de travail 2024.pdf
Marseille XIXe fiche de travail 2024.pdfMarseille XIXe fiche de travail 2024.pdf
Marseille XIXe fiche de travail 2024.pdfNadineHG
 
Fabriquer une femme.Livre écrit par Marie Darrieussecq
Fabriquer une femme.Livre écrit par Marie DarrieussecqFabriquer une femme.Livre écrit par Marie Darrieussecq
Fabriquer une femme.Livre écrit par Marie DarrieussecqTxaruka
 
Français langue étrangère: L'impératif présent 2024
Français langue étrangère: L'impératif présent 2024Français langue étrangère: L'impératif présent 2024
Français langue étrangère: L'impératif présent 2024Paulo Marques
 

Dernier (8)

Le langage n'est-il qu'un instrument de communication ? (V2)
Le langage n'est-il qu'un instrument de communication ? (V2)Le langage n'est-il qu'un instrument de communication ? (V2)
Le langage n'est-il qu'un instrument de communication ? (V2)
 
Français langue étrangère: Le but et l'obligation 2024
Français langue étrangère: Le but et l'obligation 2024Français langue étrangère: Le but et l'obligation 2024
Français langue étrangère: Le but et l'obligation 2024
 
Cours prothèse dentaire bac professionnel
Cours prothèse dentaire bac professionnelCours prothèse dentaire bac professionnel
Cours prothèse dentaire bac professionnel
 
Modulation Fm Tp presentation avancée USTHB
Modulation Fm Tp presentation avancée USTHBModulation Fm Tp presentation avancée USTHB
Modulation Fm Tp presentation avancée USTHB
 
DLAC 2024 - L’état de l’apprentissage électronique de la maternelle à la 12e ...
DLAC 2024 - L’état de l’apprentissage électronique de la maternelle à la 12e ...DLAC 2024 - L’état de l’apprentissage électronique de la maternelle à la 12e ...
DLAC 2024 - L’état de l’apprentissage électronique de la maternelle à la 12e ...
 
Marseille XIXe fiche de travail 2024.pdf
Marseille XIXe fiche de travail 2024.pdfMarseille XIXe fiche de travail 2024.pdf
Marseille XIXe fiche de travail 2024.pdf
 
Fabriquer une femme.Livre écrit par Marie Darrieussecq
Fabriquer une femme.Livre écrit par Marie DarrieussecqFabriquer une femme.Livre écrit par Marie Darrieussecq
Fabriquer une femme.Livre écrit par Marie Darrieussecq
 
Français langue étrangère: L'impératif présent 2024
Français langue étrangère: L'impératif présent 2024Français langue étrangère: L'impératif présent 2024
Français langue étrangère: L'impératif présent 2024
 

ISO/IEC 27005 : processus de traitement des risques et conformité

  • 1. 1 une analyse de risque , un audit entre théorie et confrontation à la réalité La méthode est bonne : sa mise en application est perfectible
  • 2. 2  Retour d’expérience de quelques années d’analyse  Les retours sur  Services  Industries  Etat  Sans contrainte ou avec • 27001 ou 27005  Comme dirait FS, j’essaye de faire de la sécurité
  • 3. 3  Dans la suite  Risk Manager => • Celui qui travaille • Le Risk Manager • L’auditeur  Equipe d’analyse • Ensemble des risks manager  MOA => Propriétaire des actifs  MOE => les équipes autours • La MOE • Les architectes • Les experts  Propriétaire du processus • Propriétaire du processus d’audit, d’analyse de risque conforme à la ISO/CEI 27005:2018
  • 4. 4 Vulnérabilité MOA  Rappel les bases du SMSI est du topdown 7.2.4 Critères d'acceptation des risques  Méthode d’acceptation des risques  Inexistante  Inconnue  Exotique  Trop compliqué  Changeante  Inadaptée
  • 5. 5 Vulnérabilité MOA  Valorisation des actifs  8.2.2 Identification des actifs  Multi-propriétaires des actifs  Risque manager explique à la MOA les grilles de valorisation  Valorisation des actifs fonctions de l’offre offert  Négociation de la valeur des actifs  Grilles impaires
  • 6. 6 Vulnérabilité MOA  Traitement des risques (9)  Juste une MS sur 25 => on baisse  On a contractualisé !!!  Existence de mesure de sécurité ….. Un jour  Analyse de risque comme méthode de management Faire passer les évolutions (c'est pas nous mais le méchant auditeur)
  • 7. 7 Vulnérabilité MOA  Vulnérabilité 10 Acceptation des risques en sécurité de l'information  MOA Absente  MOA qui veut mettre son risque  11 Communication et concertation relatives aux risques en sécurité de l'information  Moa qui veut comprendre  Une MOE aux fraises
  • 8. 8 Vulnérabilité MOA-MOE  Traitement des risques (9)  La MOA sait ce qu’elle vous achète : • audit de vulnérabilités, • analyse de risque, • Ebios, 901, 27001, 27002  Hypothèse d'une communication interne chez le client  Multi propriétaire des actifs
  • 9. 9 Vulnérabilité MOE  Absence d’input  8.2.2 Identification des actifs  Absence de DAT  Matrice des flux  Externalisation  Hors de mon projet – je ne prends pas en compte
  • 10. 10 Vulnérabilité MOE  Changement du périmètre  7.3 Domaine d'application et limites  Changement multiple  Lors de la restitution un cas non présenté est proposé  Evacuation de tous les CU compliqués  Saucissonnage qui empêche d’avoir une vision globale
  • 11. 11 Vulnérabilité MOE  Problèmes de rôles  Architecte qui se prend pour le risk manager et qui maitrise mal les concepts
  • 12. 12 Vulnérabilité MOE  Mauvaise foi totale des audités  Régle any any accept  On va faire  le prestataire doit faire passer son projet  il a vendu au forfait, on arrive comme accompagnateur sécurité et on doit à la fin donner notre avis de sécurité : positif  Ne jamais faire l'hypothèse : mon fils s'appelle Thomas
  • 13. 13 Vulnérabilité Risk Manager  Incompétence complète  Changement de son périmètre usuel  27005 passe à une conformité 27001  Ebios RM => 27005  Différence entre auditeur et risk manager  Audit de maturité et Analyse de risque  Mesure de Sécurité exotique pour faire plaisir à l’auditeur  Rigide  Vulnérabilité industriel windows XP
  • 14. 14 Vulnérabilité Risk Manager  Auditeur c'est un homme objectif, un audit peut être renouvelé par n'importe quel auditeur  Auditeur est un prestataire qui est contrant dans le temps Auditeur à son appétence Auditeur à un grand âge  Risque environnement hautement sécurisé : site SEVESO, banque, station d'épuration, data center
  • 15. 15 Vulnérabilité Risk Manager  Il est influençable  On connait les règles d’acceptation  Les grilles pression du Cdp  Phase de négociation
  • 16. 16 Vulnérabilité Risk Manager La différence entre les ppt et docs et fichier excel Notamment les périmètres qui divergent
  • 17. 17 Vulnérabilité Propriétaire du Processus  Absence de PDCA du processus  Absence de revues des Adr  Risk manager qui décident de se qui est acceptable Absence ce révision  Entre liste figée et vulnérabilités exotique  Invention de menace www.la-rache.com
  • 18. 18 Vulnérabilité Propriétaire du Processus  Grille de décision du risque  7.2.2 Critères d'évaluation du risque  Valeur du risque toujours trop élevé : impact ne pourra jamais être baissé  7.2.3 Critères d'impact  Grille inadaptée aux contextes  Exemple audit de vulnérabilité qui ne prends pas en compte le contexte
  • 19. 19 Vulnérabilité Propriétaire du Processus  12 Surveillance et réexamen des risques en sécurité de l'information :  Nouveaux process, nouvelles grilles  Mises à jours des précédentes analyses  Temps  Absence des acteurs  Appuie sur une doc applicative mais de 2003… (confirme W2000 est bien obsolète, syslog, en UDP, SNMP V1)
  • 20. 20 Jusque la tout va bien

Notes de l'éditeur

  1. Pas d’acceptation du moindre risque Acceptation des risques majeurs => la MOA voulait faire son projet Argument on a achet très chère le produit… Cotation des risques : pas de budget = nouveau dirigeant, il veut du budget Décision prise sur un risque majeur = passe pas alors que 8 risques modéré cela passe…. Auditeur est-il non-objectif ? Multi propriétaire des actifs
  2. Arrivé à expliqué que ce n’est pas parque 1 MS que le niveau il baisse Je ne me souviens plus quelle est le service qui a tout perdu en ligne The solution est le contrat PAS PAQ … qui n'et jamais fait qui met en place mais pas pour tout
  3. Arrivé à expliqué que ce n’est pas parque 1 MS que le niveau il baisse Je ne me souviens plus quelle est le service qui a tout perdu en ligne The solution est le contrat PAS PAQ … qui n'et jamais fait qui met en place mais pas pour tout
  4. Arrivé à expliqué que ce n’est pas parque 1 MS que le niveau il baisse Je ne me souviens plus quelle est le service qui a tout perdu en ligne The solution est le contrat PAS PAQ … qui n'et jamais fait qui met en place mais pas pour tout
  5. Nous allons décrire dans cette partie la méthode ou protocole que nous allons suivre pour établir un plan de sécurité informatique global et actionnable, c’est à dire, une analyse des menaces que fait peser le Système Informatique (SI) sur l’entreprise et les actions à réaliser pour les prévenir. Dans un premier temps nous allons définir le périmètre de l’étude. Il s’agit d’isoler les différents actifs métier de l’entreprise pour définir les risques qu’ils engendrent. Enfin pour déterminer le niveau global de sécurité de l’entreprise on considère l’actif ou le couple actif-menace le moins sécurisé. À noter tout de même qu’obtenir une note de la sécurité globale de l’entreprise est moins intéressant que d’évaluer actif par actif car seule cette dernière méthode permet réellement de mettre en place les actions ciblées et pertinentes pour chaque actif. Le risk manager va donner son avis sur Conformité alros qu’il a un périmetre d’audit technique Perimetre :
  6. Nous allons décrire dans cette partie la méthode ou protocole que nous allons suivre pour établir un plan de sécurité informatique global et actionnable, c’est à dire, une analyse des menaces que fait peser le Système Informatique (SI) sur l’entreprise et les actions à réaliser pour les prévenir. Dans un premier temps nous allons définir le périmètre de l’étude. Il s’agit d’isoler les différents actifs métier de l’entreprise pour définir les risques qu’ils engendrent. Enfin pour déterminer le niveau global de sécurité de l’entreprise on considère l’actif ou le couple actif-menace le moins sécurisé. À noter tout de même qu’obtenir une note de la sécurité globale de l’entreprise est moins intéressant que d’évaluer actif par actif car seule cette dernière méthode permet réellement de mettre en place les actions ciblées et pertinentes pour chaque actif. Le risk manager va donner son avis sur Conformité alros qu’il a un périmetre d’audit technique Perimetre :
  7. Si je mets un risque modéré il est accepté, si majeur risque refusé. Christophe tu es anxiogene
  8. Audit rsque terroristre ignoré
  9. Valeur de l’actif est la valeur de l’impact … et l’impact est toujoues élevé =Il faut laisser les mesures se faire… Devient un audit de conformité Vulnérabilité critique otp clair alors qu’i s’agit d’un VLAN dédié
  10. Valeur de l’actif est la valeur de l’impact … et l’impact est toujoues élevé =Il faut laisser les mesures se faire… Devient un audit de conformité Vulnérabilité critique otp clair alors qu’i s’agit d’un VLAN dédié