Gestion des risques

2 298 vues

Publié le

Présentation donnée dans le cadre d'un workshop consacré aux menaces informatiques dans l’eGovernment.

Publié dans : Technologie
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
2 298
Sur SlideShare
0
Issues des intégrations
0
Intégrations
210
Actions
Partages
0
Téléchargements
130
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Gestion des risques

  1. 1. LE RISQUE 2
  2. 2. "Risque" selon ISO ISO Guide 73, Management du risque – Vocabulaire 2002 "Combinaison de la probabilité d’un événement et de ses conséquences" 2009 "Effet de l'incertitude sur l'atteinte des objectifs" – Un effet = un écart, positif ou négatif, par rapport à une attente – Un risque est souvent exprimé en termes • des conséquences d'un événement et • de sa vraisemblance ["likelihood"] 3 Sources : ISO Guide 73:2002, Management du risque - Vocabulaire ISO Guide 73:2009, Management du risque - Vocabulaire
  3. 3. Types de risques liés à l'informatique Source : ISACA (2009), "The Risk IT Framework", Figure 2 ou ISACA (2014), "COBIT 5 for Risk", Figure 5 Opportunités d'apporter de la valeur Risques des projets Risques opérationnels 4
  4. 4. Menace Vulnérabilité Faiblesse dans une défense Conséquences Impacts sur les actifs Défenses en profondeur Le modèle du « fromage suisse » "Swiss cheese model" Basé sur : Reason, J. (1997), "Managing The Risks of Organisational Accidents" 5
  5. 5. LE MANAGEMENT DES RISQUES 6
  6. 6. Normes de management des risques Evolution BS 7799-3 :2006 EBIOS 19972004 OCTAVE 19992007 et d'autres influences ISO 31000 :2009 AS/NZS 4360 :1995 :2004 ISO Guide 73 :2002 :2009 Vocabulaire ISO 27005 :2011 ISO 13335-1 :2004 ISO 13335-3 :1998 ISO 13335-4 :2000 ISO 27005 :2008 Gestion des risques (entreprise) Gestion des risques (sécurité de l'information) 7
  7. 7. Management des risques Le processus selon ISO 31000:2009 (et ISO 27005:2011) Source : ISO 31000:2009, Management du risque — Principes et lignes directrices Processus similaire : ISO 27005:2011, Gestion des risques liés à la sécurité de l'information 8
  8. 8. Etablissement du contexte " ... définition du domaine d'application ainsi que des critères de risque ..." Source : ISO 31000:2009, Management du risque — Principes et lignes directrices 9
  9. 9. Identification du risque "processus de recherche, de reconnaissance et de description des risques" Source : ISO 31000:2009, Management du risque — Principes et lignes directrices 10 Cette étape peut faire appel à la créativité !
  10. 10. Identification du risque Exemple (méthode CORAS) : Identification des scénarios de risque 11 Basé sur : Lund, M.S. et al (2011), "Model-Driven Risk Analysis, The CORAS Approach"
  11. 11. Identification du risque Exemple (méthode CORAS) : Identification des vulnérabilités 12 Source : Lund, M.S. et al (2011), "Model-Driven Risk Analysis, The CORAS Approach"
  12. 12. Analyse du risque • Vraisemblance • Conséquence(s) "comprendre la nature d'un risque et ... déterminer le niveau de risque" Source : ISO 31000:2009, Management du risque — Principes et lignes directrices 13
  13. 13. Conséquence Critique Majeure Modérée Mineure Insignifiante Très probableProbablePossibleNégligeable Analyse des risques Exemple : résumé de l'analyse sous forme d'une matrice des risques R1 R6 R2 R3R8 R7R4 R5 Vraisemblance 14 Peu probable
  14. 14. Evaluation du risque "comparaison des résultats de l'analyse du risque avec les critères de risque afin de déterminer si le risque et/ou son importance sont acceptables ou tolérables" Source : ISO 31000:2009, Management du risque — Principes et lignes directrices 15
  15. 15. Conséquence Critique Majeure Modérée Mineure Insignifiante Très probableProbablePossiblePeu probableNégligeable Evaluation des risques Exemple : résumé de l'évaluation sous forme d'une matrice des risques Vraisemblance R1 R6 R2 R3R8 R7R4 R5 = Priorité 1 = Priorité 2 = Acceptable 16
  16. 16. Traitement du risque "processus destiné à modifier un risque" Source : ISO 31000:2009, Management du risque — Principes et lignes directrices 17
  17. 17. Traitement du risque Choix de la stratégie de traitement Basé sur : ISO 27005:2011, Gestion des risques liés à la sécurité de l'information 18
  18. 18. Traitement du risque Acceptation du risque résiduel après réduction Risque actuel Risque résiduel Réduction du risque due au traitement proposé Traitement du risque Niveau de risque "acceptable" Basé sur : ISO/IEC 13335-1:2004, Concepts and models for ICT security management 19
  19. 19. Traitement du risque Acceptation du traitement Réduction du risque = (Risque initial) – (Risque résiduel) Coût du traitement proposé 20 > Principe de proportionnalité
  20. 20. Plan de traitement des risques Exemple Action A 2016 A+1 2017 A+2 2018 Coûts (mandats, achats) Effort métier Effort administratif DSI Effort technique DSI Délai 1. Analyser & évaluer les risques [en cours] 15kFr 3 jh 20 jh - 02.2016 2. Inventorier la règlementation applicable - 3 jh 1 jh - 04.2016 3. Elaborer la Politique générale de sécurité 15kFr 5 jh 10 jh - 09.2016 4. Elaborer une charte sur l'utilisation de l'IT - 5 jh 5 jh - 12.2016 5. Processus de tests périodiques de la sécurité 30kFr/an - 5 jh + 10 jh/an 10 jh/an 06.2016 6. Mettre sur pied un programme de sensibilisation InfoSéc internalisé 15kFr 5 jh + 1 jh/an 5 jh + 10 jh/an - 12.2016 7. Approfondir l'analyse BIA (pré-requis pour la démarche DRP) 15kFr 10 jh 10 jh - 04.2017 etc. etc. etc. 21
  21. 21. Le processus est itératif ! Source : ISO 31000:2009, Management du risque — Principes et lignes directrices 22
  22. 22. RÉFÉRENCES 23
  23. 23. Informatique Sécurité de l'info, Sécurité informatique Management du risque Entreprise  ISO 31000  COSO ERM •Risk IT + COBIT 4.1 •COBIT 5 for Risk •ISO 27005 •OCTAVE family •EBIOS, MEHARI •CORAS •ENISA •CPI-RISC Développement  STRIDE, DREAD, ... Audit / Gouvernance •CobiT 4.1 + Val IT •CobiT Quickstart •COBIT 5 • Gouvernance: ISO 38500 • Audit: ISO 27007 • Audit: ISO 27008 • Gouvernance: ISO 27014 Bonnes pratiques •ITIL, ... •ISO 27002 Certification •ISO 20000, ... •ISO 27001 Quelques méthodes et normes 24
  24. 24. Références Vocabulaire ISO Les normes sont payantes, mais un extrait – contenant toutes les définitions des termes – peut être consulté gratuitement ici : • ISO Guide 73 Management du risque – Vocabulaire – https://www.iso.org/obp/ui/#iso:std:iso:guide:73:ed-1:v1:fr • ISO/CEI 27000 Systèmes de management de la sécurité de l'information – Vue d'ensemble et vocabulaire – https://www.iso.org/obp/ui/#iso:std:iso-iec:27000:ed-3:v1:fr 25
  25. 25. Références Méthodes simples • Méthode d'ENISA (European Union Agency for Network and Information Security) – http://www.enisa.europa.eu/activities/risk-management/current-risk/risk- management-inventory/files/deliverables [Documentation complète en français, anglais, etc.] • CORAS - méthode et outil graphique – http://coras.sourceforge.net/ – Lund, M.S., Solhaug, B., Stølen, K. (2011), "Model-Driven Risk Analysis, The CORAS Approach", Springer, ISBN 978-3-642-12323-8 Chapter 3 - A Guided Tour of the CORAS Method : http://www.springer.com/cda/content/document/cda_downloaddocument/978364 2123221-c3.pdf [Documentation complète, en anglais] • OCTAVE Allegro - la méthode la plus simple de la famille "OCTAVE" – http://www.cert.org/archive/pdf/07tr012.pdf [Méthode complète & work-sheets, en anglais] • CPI-RISC - méthode rapide basée sur l'évaluation du niveau de maturité – http://cpi-risc.org/en/Downloads.html [Documentation partielle, en anglais] 26

×