SlideShare une entreprise Scribd logo
3/06/2015
1
Sécurité de l'information
et gestion du risque
Alain Huet
huet.alain@skynet.be
be.linkedin.com/in/AlainHuetConsulting
© 2015 – Alain Huet – All rights reserved
2
Sommaire
 Concepts – définitions
 Gestion de la sécurité de l'information
 Normes
 ISO 27001 : SGSI – exigences
 ISO 27002 : code de pratique
 ISO 27005 : gestion du risque
 Gestion du risque : méthodes et outils classiques
 Gestion du risque : méthode simplifiée
 Gestion du risque : EBIOS
 Gestion du risque : présentation des résultats
3/06/2015
2
3
Sommaire
 Concepts – définitions
 Gestion de la sécurité de l'information
 Normes
 ISO 27001 : SGSI – exigences
 ISO 27002 : code de pratique
 ISO 27005 : gestion du risque
 Gestion du risque : méthodes et outils classiques
 Gestion du risque : méthode simplifiée
 Gestion du risque : EBIOS
 Gestion du risque : présentation des résultats
4
Concepts – définitions (1)
 Référence : ISO 27000
" Information technology
Security techniques
Information security management systems
Overview and vocabulary "
 Concepts
• Actif
• Attributs de sécurité
Disponibilité
Intégrité
Confidentialité
...
• Menace
• Vulnérabilité
• Risque

3/06/2015
3
5
Concepts – définitions (2)
 Actif [asset]
• tout élément du système d'information, ayant de la valeur pour
l'organisation
• exemples :
locaux et installations techniques (électricité, airco, …)
matériel informatique
infrastructure télécom
logiciels
bases de données
documentation
personnel
…
6
Concepts – définitions (3)
 Attributs de sécurité (1)
• Disponibilité [availability]
(actifs) utilisables et accessibles
• Intégrité [integrity]
(informations) transmises / traitées / conservées sans erreur
• Confidentialité [confidentiality]
(informations) accessibles seulement aux personnes autorisées
3/06/2015
4
7
Concepts – définitions (4)
 Attributs de sécurité (2)
• Authenticité [authenticity]
identification certaine de l'utilisateur
• Traçabilité (imputabilité) [accountability]
attribution d'une action à son auteur
• Irrévocabilité [non-repudiation]
attribution incontestable d'une action à son auteur
• Fiabilité [reliability]
(traitement)  résultats logiques intentionnels
• Légalité (ISO 27000)
(traitement)  conforme aux dispositions légales

 Preuve
(ISO 27000)
8
Concepts – définitions (5)
 Menace [threat]
• cause pouvant affecter la sécurité d'un actif
• caractéristiques
– origine :
- naturelle : incendie, inondation, …
- humaine :
accidentelle : erreurs (saisie, bug …)
délibérée : fraude, virus, intrusion …
– impact sur le système d'information
 sur l'organisation
 probabilité
 opportunité,
motivation,
faisabilité
3/06/2015
5
9
Concepts – définitions (6)
 Vulnérabilité [vulnerability]
• point faible permettant à une menace de porter atteinte à la
sécurité d'un actif
• exemples
détection / extinction d'incendie absente ou inefficace
test insuffisant des logiciels
personnel insuffisamment formé
antivirus non mis à jour
architecture du système trop fragile
copies de sauvegarde absentes ou non testées
plan "catastrophe" absent ou non testé
10
Concepts – définitions (7)
 Risque [risk]
• probabilité qu'une menace exploite une vulnérabilité du système
d'information pour affecter un actif de l'organisation
• caractéristiques :
- impact
sur les actifs : disponibilité, intégrité, confidentialité, …
 sur l'organisation : perte financière, image, …
- probabilité / fréquence / opportunité
3/06/2015
6
11
Sommaire
 Concepts – définitions
 Gestion de la sécurité de l'information
 Normes
 ISO 27001 : SGSI – exigences
 ISO 27002 : code de pratique
 ISO 27005 : gestion du risque
 Gestion du risque : méthodes et outils classiques
 Gestion du risque : méthode simplifiée
 Gestion du risque : EBIOS
 Gestion du risque : présentation des résultats
12
Gestion de la sécurité de l'information (1)
 Objectif fondamental
 Gestion de la sécurité  gestion du risque
 Aspect de la gestion de l'organisation
Elément de bonne gouvernance
Financiers
Image
Juridiques
Humains
Financier
Organisationnel
Inconfort
Dommages dus aux
incidents / sinistres
Coût des mesures de
sécurité
3/06/2015
7
13
Gestion de la sécurité de l'information (2)
 Evolution technologique continue
Menaces 
 gestion du risque : processus continu
 organisation permanente
"Système de gestion de la sécurité de l'information" (SGSI)
[Information Security Management System = ISMS]
14
Gestion de la sécurité de l'information (3)
 Processus continu
 roue de Deming
PDCA
 [Plan]
Identifier / évaluer
- risques
- actions adéquates
 [Check]
Mesurer / évaluer
les résultats
 [Act]
Rectifier
Améliorer
 [Do]
Réaliser les actions
Informer / éduquer
3/06/2015
8
15
Gestion de la sécurité de l'information (4)
 Facteurs critiques de succès
• Support de la direction
• Stratégie : définition centrale
mise en œuvre : locale
" think globally, act locally "
• Impact des risques pour l'organisation
• Sensibilisation / formation (personnel, …)
• Méthodes  standards
• Outils
16
Sommaire
 Concepts – définitions
 Gestion de la sécurité de l'information
 Normes
 ISO 27001 : SGSI – exigences
 ISO 27002 : code de pratique
 ISO 27005 : gestion du risque
 Gestion du risque : méthodes et outils classiques
 Gestion du risque : méthode simplifiée
 Gestion du risque : EBIOS
 Gestion du risque : présentation des résultats
3/06/2015
9
17
Normes
 ISO 27000 Vue d'ensemble et vocabulaire
 ISO 27001 Systèmes de gestion de sécurité de
l'information (SGSI) : exigences ( BS7799-2)
 ISO 27002 Code de pratique (= ISO17799  BS7799-1)
 ISO 27003 Guide de mise en oeuvre
 ISO 27004 SGSI : métriques
 ISO 27005 Gestion du risque ( ISO 13335-3/4)
 ISO 27006 Homologation
 ISO 27007 Directives d'audit
18
Sommaire
 Concepts – définitions
 Gestion de la sécurité de l'information
 Normes
 ISO 27001 : SGSI – exigences
 ISO 27002 : code de pratique
 ISO 27005 : gestion du risque
 Gestion du risque : méthodes et outils classiques
 Gestion du risque : méthode simplifiée
 Gestion du risque : EBIOS
 Gestion du risque : présentation des résultats
3/06/2015
10
19
ISO 27001 : "SGSI : exigences"
 Définition du SGSI ( ISO 27000)
• " An ISMS consists of the policies, procedures, guidelines, and
associated resources and activities, collectively managed by an
organization, in the pursuit of protecting its information assets.
• An ISMS is a systematic approach for establishing, implementing,
operating, monitoring, reviewing, maintaining and improving an
organization’s information security to achieve business objectives.
• It is based upon a risk assessment and the organization’s risk
acceptance levels designed to effectively treat and manage risks. "
 Compatible ISO 9001
 Roue de Deming
(implicite)
20
Sommaire
 Concepts – définitions
 Gestion de la sécurité de l'information
 Normes
 ISO 27001 : SGSI – exigences
 ISO 27002 : code de pratique
 ISO 27005 : gestion du risque
 Gestion du risque : méthodes et outils classiques
 Gestion du risque : méthode simplifiée
 Gestion du risque : EBIOS
 Gestion du risque : présentation des résultats
3/06/2015
11
21
ISO 27002 : code de pratique
 14 thèmes
5 Règlement de sécurité
6 Organisation de la sécurité de l'information
7 Ressources humaines
8 Gestion des actifs
9 Gestion d'accès
10 Cryptographie
11 Sécurité physique
12 Exploitation
13 Communications
14 Acquisition, développement et maintenance
15 Relations avec les fournisseurs
16 Incidents de sécurité
17 Continuité
18 Conformité
 114 "contrôles" = enjeux de sécurité ()
22
ISO 27002 : exemple
11.1.3 Securing offices, rooms, and facilities
Control
Physical security for offices, rooms, and facilities should be designed
and applied.
Implementation guidance
The following guidelines should be considered to secure offices, rooms,
and facilities :
a) key facilities should be sited to avoid access by the public ;
b) where applicable, buildings should be unobtrusive and give
minimum indication of their purpose, with no obvious signs, outside
or inside the building identifying the presence of information
processing activities ;
c) facilities should be configured to prevent confidential information or
activities from being visible and audible from the outside ;
electromagnetic shielding should also be considered as appropriate ;
d) directories and internal telephone books identifying locations of
confidential information processing facilities should not be readily
accessible to anyone unauthorized.
3/06/2015
12
23
ISO 27002 : 5. Règlement de sécurité
 Règlement de sécurité de l'information
 Règlement
approuvé par la direction
communiqué au personnel et aux tiers
tenant compte des objectifs de l'organisation
assignant des responsabilités à des rôles exercés
décliné en règlements spécifiques
 Révision
périodique
en fonction des évolutions importantes
24
ISO 27002 : 6. Organisation de la sécurité
de l'information
 Organisation interne
 Rôles et responsabilités
 Séparation de fonctions
 Relations avec les autorités
 ...
 Portables et télétravail
 Portables
enregistrement
mesures de protection
restrictions d'emploi
BYOD (bring your own device)
 Télétravail
mesures de protection
restrictions d'emploi
3/06/2015
13
25
ISO 27002 : 7. Ressources humaines
 Avant l'engagement
 Sélection
 Conditions d'engagement
 Durant le contrat
 Responsabilités de la direction
 Sensibilisation et formation à la sécurité
 Procédures disciplinaires
 A la fin du contrat
 Responsabilités
26
ISO 27002 : 8. Gestion des actifs
 Responsabilité liée aux actifs
 Inventaire
 Propriété
 Usage licite
 Restitution
 Classification de l'information
 Directives de classification
 Marquage
 Procédures de traitement des actifs classifiés
 Traitement des supports
 Gestion des supports amovibles
 Elimination des supports
 Transport physique
3/06/2015
14
27
ISO 27002 : 9. Gestion d'accès (1)
 Exigences fonctionnelles
 Règlement général
 Accès aux réseaux
 Accès des utilisateurs
 Enregistrement et radiation des utilisateurs
 Gestion des droits d'accès
 Gestion des crédentiels
 …
 Responsabilités des utilisateurs
 Usage des crédentiels
28
ISO 27002 : 9. Gestion d'accès (2)
 Accès aux systèmes / applications
 Limitation d'accès
 Procédures d'authentification
 Mots de passe
 Usage des utilitaires privilégiés
 Accès aux sources de programmes
3/06/2015
15
29
ISO 27002 : 10. Cryptographie
 Cryptographie
 Règlement d'usage
 Gestion des clés
30
ISO 27002 : 11. Sécurité physique
 Zones de sécurité
 Périmètre de sécurité physique
 Mesures de sécurité à l'entrée
 Sécurité des bureaux, locaux, …
 Incendie, inondation, séisme, ...
 …
 Matériel
 Placement et protection
 Alimentations (énergie, ventilation, …)
 Câblage
 Maintenance
 Déplacement
 Matériel plus / ré- utilisé
 …
3/06/2015
16
31
ISO 27002 : 12. Exploitation (1)
 Procédures / responsabilités opérationnelles
 Documentation des procédures
 Gestion des changements
 Gestion de la capacité
 Séparation développement / test / production
 Programmes malveillants, …
 Sauvegarde
 Journaux / suivi
 Enregistrement des événements
 Protection des journaux
 Synchronisation des horloges
 ...
32
ISO 27002 : 12. Exploitation (2)
 Logiciel opérationnel
 Installation du logiciel
tests
gestion de changement
procédure de retour en arrière
...
 Vulnérabilités techniques
 Evaluation des vulnérabilités et choix de mesures de sécurité
 Limites des installations permises aux utilisateurs finaux
 Conditions d'audit
3/06/2015
17
33
ISO 27002 : 13. Communications
 Sécurité des réseaux
 Mesures générales
 Fourniture de services
 Cloisonnement
 Echanges d'information
 Règlements et procédures
 Accords avec les partenaires externes
 Messagerie électronique
 …
34
ISO 27002 : 14. Acquisition, développement
et maintenance
 Exigences de sécurité
 Analyse et spécifications de sécurité
 Services applicatifs sur réseaux publics
 Sécurité des transactions
 Développement / support
 Changements
 Progiciels
 Ingéniérie système
 Environnement de développement
 Sous-traitance
 Test
 …
 Données de test
 Protection des données de test
3/06/2015
18
35
ISO 27002 : 15. Relations avec les fournisseurs
 Sécurité dans les relations avec les fournisseurs
 Règles générales
 Convention avec chaque fournisseur
 ...
 Fourniture de service
 Suivi des services fournis
 Changements des services fournis
36
ISO 27002 : 16. Incidents de sécurité
 Incidents et améliorations
 Responsabilités et procédures
 Signalement des incidents de sécurité
 Signalement des points faibles
 Evaluation
 Réponse aux incidents
 Enseignement retiré des incidents
 Constitution de preuves
3/06/2015
19
37
ISO 27002 : 17. Continuité
 Continuité
 Exigences
 Mise en oeuvre
 Vérification et évaluation
 Redondances
 Disponibilité des équipements
38
ISO 27002 : 18. Conformité
 Analyses de sécurité
 Indépendance des analyses de sécurité
 Conformité aux règlements et normes de sécurité
 Conformité technique
 Contraintes légales
 Identification des législations applicables
 Droits intellectuels
 Protection des informations
 Vie privée
 Cryptographie
3/06/2015
20
39
Sommaire
 Concepts – définitions
 Gestion de la sécurité de l'information
 Normes
 ISO 27001 : SGSI – exigences
 ISO 27002 : code de pratique
 ISO 27005 : gestion du risque
 Gestion du risque : méthodes et outils classiques
 Gestion du risque : méthode simplifiée
 Gestion du risque : EBIOS
 Gestion du risque : présentation des résultats
40
ISO 27005 : Gestion du risque (1)
 Rappels
 [Plan]
Identifier / évaluer
- risques
- actions adéquates
 [Check]
Mesurer / évaluer
les résultats
 [Act]
Rectifier
Améliorer
 [Do]
Réaliser les actions
Informer / éduquer
3/06/2015
21
41
ISO 27005 : Gestion du risque (2)
 Types de risque
• Risque stratégique
Système d’information inadapté aux objectifs de l’organisation
• Risque de changement
Echec de projet
Coût
Qualité
Facteurs humains
• Risque opérationnel
Dysfonctionnement portant atteinte à l’organisation
42
ISO 27005 : Gestion du risque (3)
 Méthode Référentiel méthodologique
Source : ISO/IEC 27005:2011
3/06/2015
22
43
ISO 27005 : Gestion du risque (4)
 Schéma simplifié
44
ISO 27005 : Gestion du risque (5)
 Etablissement du contexte
 Objet
? toute l'organisation  SGSI
? 1 système / service  spécifications du système / service
 Critères de base
évaluation des risques
impact
probabilité, opportunité
acceptation des risques
3/06/2015
23
45
ISO 27005 : Gestion du risque (6)
 Appréciation des risques
• Actifs ( valeur)
• Menaces
ISO 27005 (annexe C "informative")
• Vulnérabilités
ISO 27005 (annexe D "informative")
• Conséquences pour l'organisation
 Liste des risques et de leur niveau
46
ISO 27005 : Gestion du risque (7)
 Plan de traitement
• Mesures de sécurité : bonnes pratiques (ISO 27002) + …
prévention : probabilité 
protection : impact 
coût : initial / récurrent
• Décision
refus du risque  STOP
transfert du risque  assurance, exonération, …
réduction du risque  mesures de sécurité
 Risque résiduel : à accepter par la direction
3/06/2015
24
47
Sommaire
 Concepts – définitions
 Gestion de la sécurité de l'information
 Normes
 ISO 27001 : SGSI – exigences
 ISO 27002 : code de pratique
 ISO 27005 : gestion du risque
 Gestion du risque : méthodes et outils classiques
 Gestion du risque : méthode simplifiée
 Gestion du risque : EBIOS
 Gestion du risque : présentation des résultats
48
Risque : méthodes et outils classiques (1)
 ISO 27005 : orientations méthodologiques
méthode
 Méthodes et outils
Exemples
* Expertise nécessaire :  base
 standard
 spécialiste
Source : ENISA
EN
EN DE
EN FR
DE ES
EN NL
Langue
USAOctave
DGrundschutz
FEBIOS
UKCRAMM
OutilExper-
tise *
Traite-
ment
Evalu-
ation
Ana-
lyse
Origine
3/06/2015
25
49
Risque : méthodes et outils classiques (2)
 Mise en œuvre assez lourde
 experts en sécurité
 charge de travail
 délai
? implication du propriétaire fonctionnel du système ?
[business owner]
50
Sommaire
 Concepts – définitions
 Gestion de la sécurité de l'information
 Normes
 ISO 27001 : SGSI – exigences
 ISO 27002 : code de pratique
 ISO 27005 : gestion du risque
 Gestion du risque : méthodes et outils classiques
 Gestion du risque : méthode simplifiée
 Gestion du risque : EBIOS
 Gestion du risque : présentation des résultats
3/06/2015
26
51
Risque : méthode simplifiée (1)
 Objectif
propriétaire du système [business owner]
 acteur principal de la gestion de risque
 Simplifications
• métrique d'impact (sur l'organisation)
• métrique de défauts de sécurité
• probabilités : rôle secondaire
• socle de bonnes pratiques de base : pour toute l'organisation
• + mesures de sécurité spécifiques : par système
52
Risque : méthode simplifiée (2)
 Métrique d'impact (1)
Exemple : firme commerciale
Divulgation de
secret industriel
Condamnation
pénale
Inférieure à la
concurrence
Altération
sérieuse de
l'image
> 1.0004
Divulgation de
secret
commercial
Condamnation
civile
Egale à la
concurrence
Clientèle
sérieusement
perturbée
100 – 1.0003
Divulgation de
données
personnelles
Perte légère
Nombreuses
plaintes
10 – 1002
Quelques
plaintes
1 – 101
Secret
S
Juridique
Judiciaire
J
Compétitivité
C
Image
I
Perte
financière
(milliers €)
F
Nature des conséquencesG
r
a
v
i
t
é
3/06/2015
27
53
Risque : méthode simplifiée (3)
 Métrique d'impact (2)
Exemple : service gouvernemental
Très secret
Perte de vie
humaine
Atteinte grave à la
réputation
Altération
définitive
Condamnation
internationale de
l’Autorité
Ordre public
gravement en
péril
> 1004
Secret
Atteinte sérieuse à
l'intégrité ou à la
réputation
Critiques graves
dans les media
Condamnation de
l’Autorité
Difficulté à
maintenir l’ordre
public
10 – 1003
Confidentiel
Divulgation de
données
personnelles
sensibles
Critiques
occasionnelles
dans les media
Actions en justice
Menace pour
l’ordre public
1 – 102
Diffusion restreinte
Divulgation de
données
personnelles
Plaintes
occasionnelles
Sanctions internes
Perturbation
locale et
momentanée
0,001 – 11
Classification
C
Social et humain
S
Image du
service public
I
Juridique
Judiciaire
J
Ordre public
O
Perte
financière
(millions
€)
F
Nature des conséquencesG
r
a
v
i
t
é
54
Risque : méthode simplifiée (4)
 Métrique d'impact (3)
• Exercices
Choisir une métrique d'impact
Codifier l'impact des incidents décrits
P. ex. : F2 O1 J1 I3 S0 C0
• Exercice 1
Une négligence entraîne l'arrêt, pendant 24 heures, d'un site web
gouvernemental servant à collecter des données économiques.
Il en résulte une perte de temps d'un quart d'heure pour les
comptables de 10.000 entreprises. L'incident est relaté dans la
presse. Le fonctionnaire négligent est réprimandé.
3/06/2015
28
55
Risque : méthode simplifiée (5)
 Métrique d'impact (4)
• Exercice 2
Une société d'ingéniérie a établi pour un client les plans d'une
installation très innovante.
Quelques mois plus tard, un concurrent de ce client construit une
usine exploitant les mêmes idées.
Le client suspecte donc une fuite au sein de la société
d'ingéniérie et menace de réclamer en justice une indemnité de
2.000.000 €.
Une enquête interne révèle que les droits d'accès d'un
collaborateur licencié n'avaient pas été révoqués, ce qui constitue
peut-être la cause de la fuite. L'administrateur des droits d'accès
est licencié à son tour.
56
Risque : méthode simplifiée (6)
 Métrique d'impact (5)
• Exercice 3
Grâce à une intrusion dans un système gouvernemental, des
écologistes extrémistes identifient des entreprises qui utilisent
des méthodes de production contraires à leurs principes, mais
légales.
Ils en menacent les dirigeants et réussissent même à entraver le
bon fonctionnement de ces sociétés, ce qui entraîne une perte
financière estimée à 1.500.000 €.
La sécurité informatique de l'administration fait l'objet d'une
question parlementaire relayée par les medias.
3/06/2015
29
57
Risque : méthode simplifiée (7)
 Métrique de défauts de sécurité
Disponibilité
Indisponibilité : 5 minutes
1 heure
1 jour
1 semaine
> 1 semaine
Intégrité
Altération / destruction
Transactions perdues : 1
10
100
1.000
Confidentialité Divulgation
Preuve Enregistrements non probants
Légalité Transgression (loi, règlement, ...)
58
Risque : méthode simplifiée (8)
 Appréciation des risques (1)
• Actifs
Immobilier
Matériel
Informations
Traitements / processus / fonctions
Flux / liaisons
 Regrouper / limiter
Max. 10 – 20 actifs
3/06/2015
30
59
Risque : méthode simplifiée (9)
 Appréciation des risques (2)
• Pour chaque actif
• Impact pour l'organisation
• Modèle documentaire 
Valeur des actifs, indépendamment du risque
Conséquences
Actif : F I ... S Max
Disponibilité
Indisponibilité : 5 minutes
1 heure
1 jour
1 semaine
> 1 semaine
Intégrité
Altération / destruction
Transactions perdues : 1
10
100
1.000
Confidentialité Divulgation
Preuve Enregistrements non probants
Légalité Transgression (loi, règlement, ...)
60
Risque : méthode simplifiée (10)
 Appréciation des risques (3)
• Menaces / vulnérabilités
ISO 27005 - ann. C : menaces
ISO 27005 - ann. D : vulnérabilités
• "Menace / vulnérabilité" = "événement redouté"
• Modèle documentaire 
Evénement redouté : ER
#
Origine de la menace : Cause naturelle
Erreur humaine
Action délibérée
 motivation :



Vulnérabilité : Matériel
Logiciel
Réseau
Personnel
Site
Organisation






3/06/2015
31
61
Risque : méthode simplifiée (11)
 Appréciation des risques (4)
• Pour chaque actif :
impact des événements redoutés
Actif : Max ER1 ER2 ...
Disponibilité
Indisponibilité : 5 minutes
1 heure
1 jour
1 semaine
> 1 semaine
Intégrité
Altération / destruction
Transactions perdues : 1
10
100
1.000
Confidentialité Divulgation
Preuve Enregistrements non probants
Légalité Transgression
62
Risque : méthode simplifiée (12)
 Appréciation des risques (5)
Exemple
 Mesures de sécurité à élaborer
Actif : Max ER1 ER2 ...
Disponibilité
Indisponibilité : 5 minutes
1 heure
1 jour
1 semaine
> 1 semaine
1
2
3
4
X
X
X
X
Intégrité
Altération / destruction
Transactions perdues : 1
10
100
1.000
4 X
Confidentialité Divulgation 3 X
Preuve Enregistrements non probants
Légalité Transgression
3/06/2015
32
63
Risque : méthode simplifiée (13)
 Plan de traitement (1)
• Mesures de base
SGSI ( ISO 27001)
bonnes pratiques de base ( ISO 27002)
• Mesures spécifiques
au métier, à l'application, …
• Attributs des mesures
- Mode d'action
PV : prévention (probabilité/opportunité )
PT : protection (impact )
- Localisation
IT : ICT
US : end user
- Coût : initial / récurrent
- Attributs de sécurité améliorés : disponibilité, intégrité, …
- Evénements redoutés traités
64
Risque : méthode simplifiée (14)
 Plan de traitement (2)
• Modèle documentaire 
Mesure de sécurité : MS #
Mode d'action
Localisation
Coût initial
Coût récurrent
Disponibilité
Indisponibilité : 5 minutes
1 heure
1 jour
1 semaine
> 1 semaine
Attributs de
sécurité améliorés

Intégrité
Altération / destruction
Transactions perdues : 1
10
100
1.000
Evénements
redoutés traités

Confidentialité Divulgation ER1  ER2  ER3 
Preuve Enregistrements non probants ER4  ER5  ER6 
Légalité Transgression ER7  ER8  ER9 
3/06/2015
33
65
Risque : méthode simplifiée (15)
 Plan de traitement (3)
• Pour chaque actif :
efficacité des mesures de sécurité sur les événements redoutés
Actif : ER1 ... MS1 ...
Disponibilité
Indisponibilité : 5 minutes
1 heure
1 jour
1 semaine
> 1 semaine
Intégrité
Altération / destruction
Transactions perdues : 1
10
100
1.000
Confidentialité Divulgation
Preuve Enregistrements non probants
Légalité Transgression
66
Risque : méthode simplifiée (16)
 Plan de traitement (4)
• Risque résiduel
après application des mesures de sécurité
Conséquences
Actif : F I ... S Max
Disponibilité
Indisponibilité : 5 minutes
1 heure
1 jour
1 semaine
> 1 semaine
Intégrité
Altération / destruction
Transactions perdues : 1
10
100
1.000
Confidentialité Divulgation
Preuve Enregistrements non probants
Légalité Transgression (loi, règlement, ...)
3/06/2015
34
67
Risque : méthode simplifiée (17)
 Résumé
68
Risque : méthode simplifiée - histoire (18)
 1991 établissement bancaire
audit informatique
 risque supporté par le département informatique
non supporté par les responsables fonctionnels
méthode : gestion de risque
check list  méthodes d'audit
 méthode simplifiée
 1997 ISO 13335
 2005 administration fédérale
 2008 ISO 27005
3/06/2015
35
69
Risque : méthode simplifiée - évaluation (19)
+
démarrage très court
implication des propriétaires fonctionnels
effort global : faible
documentation : claire et synthétique
expert en sécurité : intervention limitée
–
(supposition : bonnes pratiques de base)
70
Risque : méthode simplifiée (20)
 Exercice
La firme d'ingéniérie BelSmartChem réalise des projets d'usine chimique au
moyen d'un logiciel de conception assistée, développé par les fondateurs
associés, qui lui permet de produire ses plans et calculs plus vite que ses
concurrents.
Chiffre d'affaires : 7 millions €/an.
Elle utilise l'email dans ses relations commerciales.
Elle emploie 20 ingénieurs (800 €/j) et 5 employés administratifs
(400 €/j) chargés de la comptabilité et du suivi des projets.
Ses bureaux se trouvent dans un immeuble partagé avec un atelier de
mécanique.
3/06/2015
36
71
Sommaire
 Concepts – définitions
 Gestion de la sécurité de l'information
 Normes
 ISO 27001 : SGSI – exigences
 ISO 27002 : code de pratique
 ISO 27005 : gestion du risque
 Gestion du risque : méthodes et outils classiques
 Gestion du risque : méthode simplifiée
 Gestion du risque : EBIOS
 Gestion du risque : présentation des résultats
72
Risque : EBIOS (1)
 Origine
• FR : Agence Nationale de la Sécurité des Systèmes d'Information
www.ssi.gouv.fr/fr/anssi/
 EBIOS = Expression des Besoins et Identification des Objectifs
de Sécurité
 Méthode publique et gratuite
• Guide méthodologique
• Base de connaissances
• Exemple
• Outil documentaire
3/06/2015
37
73
Risque : EBIOS (2)
 Domaine d'emploi
• Organisations publiques et privées
• Organisations grandes et petites
• ISMS ( ISO 27001)
• Documents "common criteria" ( ISO 15408)
• ...
74
Risque : EBIOS (3)
 Etapes
3/06/2015
38
75
Risque : EBIOS (4)
 Module 1 : Etude du contexte (1)
• Périmètre
• Sources de menace : retenues ou non
• Métriques
Echelle de besoin
disponibilité
intégrité
confidentialité
preuve
légalité
Niveaux de gravité (impact)
Niveaux de vraisemblance des scénarios de menace
Critères de gestion des risques (seuils de tolérance, ...)

76
Risque : EBIOS (5)
 Module 1 : Etude du contexte (2)
• Biens
Biens essentiels : "patrimoine informationnel", "biens immatériels"
 "dépositaire" !?
Biens supports : composants du système d'information
 "propriétaire" !?
Tableau : biens essentiels / biens supports
Mesures de sécurité existantes  ISO 27002 (p. ex.)
Tableau : mesures existantes / biens supports
3/06/2015
39
77
Risque : EBIOS (6)
 Module 2 : Evénements redoutés
• Sur les biens essentiels
sans considération pour le scénario technique
• Sources de menace
• Impacts
• Tableau : événement redouté / source menace / impact / gravité
78
Risque : EBIOS (7)
 Module 3 : Scénarios de menaces
• Sur les biens supports
• Menaces
• Vulnérabilités
• Tableau :
biens supports / scénarios menace / sources menace / vraisemblance
3/06/2015
40
79
Risque : EBIOS (8)
 Module 4 : Etude des risques (1)
• Corrélation événements redoutés / scénarios de menace
 module 2  module 3
• Analyse des risques
Par risque : gravité / vraisemblance
• Evaluation des risques
Classement des risques par gravité et vraisemblance
Risques Vraisemblance
+ ++ +++
Gravité
+++
++
+
80
Risque : EBIOS (9)
 Module 4 : Etude des risques (2)
• Options de traitement
Eviter
Réduire
Accepter
Transférer
• Risques résiduels
3/06/2015
41
81
Risque : EBIOS (10)
 Module 5 : Mesures de sécurité
• Formalisation
Spécification
Risque résiduel
• Mise en oeuvre
82
Risque : EBIOS (11)
+
gratuité
marché de consultance
support d'une agence gouvernementale
outil informatique
documentation  certification (ISO 15408)
base de connaissances
–
formation à la méthode
lourdeur
3/06/2015
42
83
Sommaire
 Concepts – définitions
 Gestion de la sécurité de l'information
 Normes
 ISO 27001 : SGSI – exigences
 ISO 27002 : code de pratique
 ISO 27005 : gestion du risque
 Gestion du risque : méthodes et outils classiques
 Gestion du risque : méthode simplifiée
 Gestion du risque : EBIOS
 Gestion du risque : présentation des résultats
84
Risque : présentation des résultats
A un comité de
pilotage technique
A un comité
stratégique
Actifs du système
d’information
Composants
techniques
Fonctions générales
Menaces
Vulnérabilités
Evénements
redoutés
Impact technique :
disponibilité
intégrité
confidentialité
…
Impact final sur
l’organisation :
financier
image
…
Mesures de sécurité Efficacité technique
Coût
Délai
Risque technique
résiduel
Coût
Délai
Risque résiduel sur
l’organisation

Contenu connexe

Tendances

Dans les coulisses des normes ISO
Dans les coulisses des normes ISODans les coulisses des normes ISO
Dans les coulisses des normes ISO
NURUNconseils
 
Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001
Intellectus services and consulting
 
French acreditation process homologation 2010-01-19
French acreditation process homologation   2010-01-19French acreditation process homologation   2010-01-19
French acreditation process homologation 2010-01-19
Laurent Pingault
 
Presentation iso27002
Presentation iso27002Presentation iso27002
Presentation iso27002
soumaila Doumbia
 
Guide hygiene informatique Anssi
Guide hygiene informatique AnssiGuide hygiene informatique Anssi
Guide hygiene informatique Anssi
Agathe Mercante
 
La Politique de Sécurité du Système d’Information (PSSI)
La Politique de Sécurité du Système d’Information (PSSI) La Politique de Sécurité du Système d’Information (PSSI)
La Politique de Sécurité du Système d’Information (PSSI)
BRIVA
 
Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013
Bachir Benyammi
 
Sécurité des Systèmes d'Information et de l'Information
Sécurité des Systèmes d'Information et de l'InformationSécurité des Systèmes d'Information et de l'Information
Sécurité des Systèmes d'Information et de l'Information
Shema Labidi
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’information
Abbes Rharrab
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'information
Franck Franchin
 
ISO 27500
ISO 27500ISO 27500
ISO 27500
dihiaselma
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Bachir Benyammi
 
Ageris training 2016
Ageris training 2016Ageris training 2016
Ageris training 2016
Thierry RAMARD
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
Philippe CELLIER
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatique
Mohamed Ali Hadhri
 
Ageris software 2016
Ageris software 2016Ageris software 2016
Ageris software 2016
Thierry RAMARD
 
ISO 27002 COLLABORATION RSI ET AUTRES DEPARTEMENTS
ISO 27002 COLLABORATION  RSI ET  AUTRES DEPARTEMENTSISO 27002 COLLABORATION  RSI ET  AUTRES DEPARTEMENTS
ISO 27002 COLLABORATION RSI ET AUTRES DEPARTEMENTS
Prof. Jacques Folon (Ph.D)
 
Sécurisation d’un patrimoine d’entreprise - méthodologie et bonnes pratiques
Sécurisation d’un patrimoine d’entreprise - méthodologie et bonnes pratiquesSécurisation d’un patrimoine d’entreprise - méthodologie et bonnes pratiques
Sécurisation d’un patrimoine d’entreprise - méthodologie et bonnes pratiques
Elodie Heitz
 
PECB Webinaire: Certification ISO 27001, mythes et réalités
PECB Webinaire: Certification ISO 27001, mythes et réalitésPECB Webinaire: Certification ISO 27001, mythes et réalités
PECB Webinaire: Certification ISO 27001, mythes et réalités
PECB
 

Tendances (20)

Dans les coulisses des normes ISO
Dans les coulisses des normes ISODans les coulisses des normes ISO
Dans les coulisses des normes ISO
 
Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001
 
French acreditation process homologation 2010-01-19
French acreditation process homologation   2010-01-19French acreditation process homologation   2010-01-19
French acreditation process homologation 2010-01-19
 
Presentation iso27002
Presentation iso27002Presentation iso27002
Presentation iso27002
 
Guide hygiene informatique Anssi
Guide hygiene informatique AnssiGuide hygiene informatique Anssi
Guide hygiene informatique Anssi
 
La Politique de Sécurité du Système d’Information (PSSI)
La Politique de Sécurité du Système d’Information (PSSI) La Politique de Sécurité du Système d’Information (PSSI)
La Politique de Sécurité du Système d’Information (PSSI)
 
Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013
 
Sécurité des Systèmes d'Information et de l'Information
Sécurité des Systèmes d'Information et de l'InformationSécurité des Systèmes d'Information et de l'Information
Sécurité des Systèmes d'Information et de l'Information
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’information
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'information
 
ISO 27500
ISO 27500ISO 27500
ISO 27500
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
 
Sécurité vs Continuité -rev2-
Sécurité vs Continuité -rev2-Sécurité vs Continuité -rev2-
Sécurité vs Continuité -rev2-
 
Ageris training 2016
Ageris training 2016Ageris training 2016
Ageris training 2016
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatique
 
Ageris software 2016
Ageris software 2016Ageris software 2016
Ageris software 2016
 
ISO 27002 COLLABORATION RSI ET AUTRES DEPARTEMENTS
ISO 27002 COLLABORATION  RSI ET  AUTRES DEPARTEMENTSISO 27002 COLLABORATION  RSI ET  AUTRES DEPARTEMENTS
ISO 27002 COLLABORATION RSI ET AUTRES DEPARTEMENTS
 
Sécurisation d’un patrimoine d’entreprise - méthodologie et bonnes pratiques
Sécurisation d’un patrimoine d’entreprise - méthodologie et bonnes pratiquesSécurisation d’un patrimoine d’entreprise - méthodologie et bonnes pratiques
Sécurisation d’un patrimoine d’entreprise - méthodologie et bonnes pratiques
 
PECB Webinaire: Certification ISO 27001, mythes et réalités
PECB Webinaire: Certification ISO 27001, mythes et réalitésPECB Webinaire: Certification ISO 27001, mythes et réalités
PECB Webinaire: Certification ISO 27001, mythes et réalités
 

En vedette

Paysage de la sécurité de l'information
Paysage de la sécurité de l'informationPaysage de la sécurité de l'information
Paysage de la sécurité de l'information
Alain Huet
 
Classification de l'information
Classification de l'informationClassification de l'information
Classification de l'information
Alain Huet
 
A Pragmatic Approach to Identity and Access Management
A Pragmatic Approach to Identity and Access ManagementA Pragmatic Approach to Identity and Access Management
A Pragmatic Approach to Identity and Access Management
hankgruenberg
 
Intel IT's Identity and Access Management Journey
Intel IT's Identity and Access Management JourneyIntel IT's Identity and Access Management Journey
Intel IT's Identity and Access Management Journey
Intel IT Center
 
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...
Eric Clairvoyant, Adm.A.,T.P., CRISC
 
Infosafe ah iam 2015
Infosafe ah iam 2015Infosafe ah iam 2015
Infosafe ah iam 2015
Alain Huet
 
Gestion des risques
Gestion des risquesGestion des risques
Gestion des risques
eGov Innovation Center
 
Identity and Access Management - Data modeling concepts
Identity and Access Management - Data modeling conceptsIdentity and Access Management - Data modeling concepts
Identity and Access Management - Data modeling concepts
Alain Huet
 

En vedette (8)

Paysage de la sécurité de l'information
Paysage de la sécurité de l'informationPaysage de la sécurité de l'information
Paysage de la sécurité de l'information
 
Classification de l'information
Classification de l'informationClassification de l'information
Classification de l'information
 
A Pragmatic Approach to Identity and Access Management
A Pragmatic Approach to Identity and Access ManagementA Pragmatic Approach to Identity and Access Management
A Pragmatic Approach to Identity and Access Management
 
Intel IT's Identity and Access Management Journey
Intel IT's Identity and Access Management JourneyIntel IT's Identity and Access Management Journey
Intel IT's Identity and Access Management Journey
 
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...
 
Infosafe ah iam 2015
Infosafe ah iam 2015Infosafe ah iam 2015
Infosafe ah iam 2015
 
Gestion des risques
Gestion des risquesGestion des risques
Gestion des risques
 
Identity and Access Management - Data modeling concepts
Identity and Access Management - Data modeling conceptsIdentity and Access Management - Data modeling concepts
Identity and Access Management - Data modeling concepts
 

Similaire à Ichec entrepr ah 2015

Cours Préparation à l’ISO 27001 version 2022.pdf
Cours Préparation à l’ISO 27001 version 2022.pdfCours Préparation à l’ISO 27001 version 2022.pdf
Cours Préparation à l’ISO 27001 version 2022.pdf
ssuserc72852
 
SMSI.pdf
SMSI.pdfSMSI.pdf
SMSI.pdf
HajarSalimi
 
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxcyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
Jean-Michel Razafindrabe
 
Support formation en ligne : Manager et auditer les risques informatiques
Support formation en ligne : Manager et auditer les risques informatiquesSupport formation en ligne : Manager et auditer les risques informatiques
Support formation en ligne : Manager et auditer les risques informatiques
SmartnSkilled
 
Sécurité Internet
Sécurité InternetSécurité Internet
Sécurité Internet
proximit
 
Audit Informatique
Audit InformatiqueAudit Informatique
Audit Informatique
etienne
 
Ageris privacy 2016
Ageris privacy 2016Ageris privacy 2016
Ageris privacy 2016
Thierry RAMARD
 
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entrepriseProgramme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
EyesOpen Association
 
Référentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIRéférentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SI
Alghajati
 
Défis, enjeux et solutions de la GRC en sécurité de l’information
Défis, enjeux et solutions de la GRC en sécurité de l’informationDéfis, enjeux et solutions de la GRC en sécurité de l’information
Défis, enjeux et solutions de la GRC en sécurité de l’information
PECB
 
1.3_Intr_ISO_27001_pr_voca_fr.ppt EXERCICE x
1.3_Intr_ISO_27001_pr_voca_fr.ppt EXERCICE x1.3_Intr_ISO_27001_pr_voca_fr.ppt EXERCICE x
1.3_Intr_ISO_27001_pr_voca_fr.ppt EXERCICE x
ssuserc72852
 
EBIOS
EBIOSEBIOS
Comment appliquer le principe du Privacy By Design
Comment appliquer le principe du Privacy By DesignComment appliquer le principe du Privacy By Design
Comment appliquer le principe du Privacy By Design
Thierry RAMARD
 
Mehari
MehariMehari
AMAN - JNS4 Management sécurité 13 Mai 2014
AMAN - JNS4 Management sécurité 13 Mai 2014AMAN - JNS4 Management sécurité 13 Mai 2014
AMAN - JNS4 Management sécurité 13 Mai 2014
Abdeljalil AGNAOU
 
présentation-PFE.pptx
présentation-PFE.pptxprésentation-PFE.pptx
présentation-PFE.pptx
AdemKorani
 
#NSD15 - Intelligence juridique & systèmes d'informations
#NSD15 - Intelligence juridique & systèmes d'informations#NSD15 - Intelligence juridique & systèmes d'informations
#NSD15 - Intelligence juridique & systèmes d'informations
NetSecure Day
 
Normes ISO 2700X et CISO MINDMAP 2022-23.pptx
Normes ISO 2700X et CISO MINDMAP 2022-23.pptxNormes ISO 2700X et CISO MINDMAP 2022-23.pptx
Normes ISO 2700X et CISO MINDMAP 2022-23.pptx
AmorFranois
 
Accroître et préserver la valeur de l'entreprise avec COBIT5 for Risk AFAI APMG
Accroître et préserver la valeur de l'entreprise avec COBIT5 for Risk AFAI APMGAccroître et préserver la valeur de l'entreprise avec COBIT5 for Risk AFAI APMG
Accroître et préserver la valeur de l'entreprise avec COBIT5 for Risk AFAI APMG
Antoine Vigneron
 

Similaire à Ichec entrepr ah 2015 (20)

Cours Préparation à l’ISO 27001 version 2022.pdf
Cours Préparation à l’ISO 27001 version 2022.pdfCours Préparation à l’ISO 27001 version 2022.pdf
Cours Préparation à l’ISO 27001 version 2022.pdf
 
SMSI.pdf
SMSI.pdfSMSI.pdf
SMSI.pdf
 
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxcyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
 
Support formation en ligne : Manager et auditer les risques informatiques
Support formation en ligne : Manager et auditer les risques informatiquesSupport formation en ligne : Manager et auditer les risques informatiques
Support formation en ligne : Manager et auditer les risques informatiques
 
Sécurité Internet
Sécurité InternetSécurité Internet
Sécurité Internet
 
Audit Informatique
Audit InformatiqueAudit Informatique
Audit Informatique
 
Ageris privacy 2016
Ageris privacy 2016Ageris privacy 2016
Ageris privacy 2016
 
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entrepriseProgramme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
 
Référentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIRéférentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SI
 
Défis, enjeux et solutions de la GRC en sécurité de l’information
Défis, enjeux et solutions de la GRC en sécurité de l’informationDéfis, enjeux et solutions de la GRC en sécurité de l’information
Défis, enjeux et solutions de la GRC en sécurité de l’information
 
1.3_Intr_ISO_27001_pr_voca_fr.ppt EXERCICE x
1.3_Intr_ISO_27001_pr_voca_fr.ppt EXERCICE x1.3_Intr_ISO_27001_pr_voca_fr.ppt EXERCICE x
1.3_Intr_ISO_27001_pr_voca_fr.ppt EXERCICE x
 
EBIOS
EBIOSEBIOS
EBIOS
 
Presentation club qualite
Presentation club qualitePresentation club qualite
Presentation club qualite
 
Comment appliquer le principe du Privacy By Design
Comment appliquer le principe du Privacy By DesignComment appliquer le principe du Privacy By Design
Comment appliquer le principe du Privacy By Design
 
Mehari
MehariMehari
Mehari
 
AMAN - JNS4 Management sécurité 13 Mai 2014
AMAN - JNS4 Management sécurité 13 Mai 2014AMAN - JNS4 Management sécurité 13 Mai 2014
AMAN - JNS4 Management sécurité 13 Mai 2014
 
présentation-PFE.pptx
présentation-PFE.pptxprésentation-PFE.pptx
présentation-PFE.pptx
 
#NSD15 - Intelligence juridique & systèmes d'informations
#NSD15 - Intelligence juridique & systèmes d'informations#NSD15 - Intelligence juridique & systèmes d'informations
#NSD15 - Intelligence juridique & systèmes d'informations
 
Normes ISO 2700X et CISO MINDMAP 2022-23.pptx
Normes ISO 2700X et CISO MINDMAP 2022-23.pptxNormes ISO 2700X et CISO MINDMAP 2022-23.pptx
Normes ISO 2700X et CISO MINDMAP 2022-23.pptx
 
Accroître et préserver la valeur de l'entreprise avec COBIT5 for Risk AFAI APMG
Accroître et préserver la valeur de l'entreprise avec COBIT5 for Risk AFAI APMGAccroître et préserver la valeur de l'entreprise avec COBIT5 for Risk AFAI APMG
Accroître et préserver la valeur de l'entreprise avec COBIT5 for Risk AFAI APMG
 

Ichec entrepr ah 2015

  • 1. 3/06/2015 1 Sécurité de l'information et gestion du risque Alain Huet huet.alain@skynet.be be.linkedin.com/in/AlainHuetConsulting © 2015 – Alain Huet – All rights reserved 2 Sommaire  Concepts – définitions  Gestion de la sécurité de l'information  Normes  ISO 27001 : SGSI – exigences  ISO 27002 : code de pratique  ISO 27005 : gestion du risque  Gestion du risque : méthodes et outils classiques  Gestion du risque : méthode simplifiée  Gestion du risque : EBIOS  Gestion du risque : présentation des résultats
  • 2. 3/06/2015 2 3 Sommaire  Concepts – définitions  Gestion de la sécurité de l'information  Normes  ISO 27001 : SGSI – exigences  ISO 27002 : code de pratique  ISO 27005 : gestion du risque  Gestion du risque : méthodes et outils classiques  Gestion du risque : méthode simplifiée  Gestion du risque : EBIOS  Gestion du risque : présentation des résultats 4 Concepts – définitions (1)  Référence : ISO 27000 " Information technology Security techniques Information security management systems Overview and vocabulary "  Concepts • Actif • Attributs de sécurité Disponibilité Intégrité Confidentialité ... • Menace • Vulnérabilité • Risque 
  • 3. 3/06/2015 3 5 Concepts – définitions (2)  Actif [asset] • tout élément du système d'information, ayant de la valeur pour l'organisation • exemples : locaux et installations techniques (électricité, airco, …) matériel informatique infrastructure télécom logiciels bases de données documentation personnel … 6 Concepts – définitions (3)  Attributs de sécurité (1) • Disponibilité [availability] (actifs) utilisables et accessibles • Intégrité [integrity] (informations) transmises / traitées / conservées sans erreur • Confidentialité [confidentiality] (informations) accessibles seulement aux personnes autorisées
  • 4. 3/06/2015 4 7 Concepts – définitions (4)  Attributs de sécurité (2) • Authenticité [authenticity] identification certaine de l'utilisateur • Traçabilité (imputabilité) [accountability] attribution d'une action à son auteur • Irrévocabilité [non-repudiation] attribution incontestable d'une action à son auteur • Fiabilité [reliability] (traitement)  résultats logiques intentionnels • Légalité (ISO 27000) (traitement)  conforme aux dispositions légales   Preuve (ISO 27000) 8 Concepts – définitions (5)  Menace [threat] • cause pouvant affecter la sécurité d'un actif • caractéristiques – origine : - naturelle : incendie, inondation, … - humaine : accidentelle : erreurs (saisie, bug …) délibérée : fraude, virus, intrusion … – impact sur le système d'information  sur l'organisation  probabilité  opportunité, motivation, faisabilité
  • 5. 3/06/2015 5 9 Concepts – définitions (6)  Vulnérabilité [vulnerability] • point faible permettant à une menace de porter atteinte à la sécurité d'un actif • exemples détection / extinction d'incendie absente ou inefficace test insuffisant des logiciels personnel insuffisamment formé antivirus non mis à jour architecture du système trop fragile copies de sauvegarde absentes ou non testées plan "catastrophe" absent ou non testé 10 Concepts – définitions (7)  Risque [risk] • probabilité qu'une menace exploite une vulnérabilité du système d'information pour affecter un actif de l'organisation • caractéristiques : - impact sur les actifs : disponibilité, intégrité, confidentialité, …  sur l'organisation : perte financière, image, … - probabilité / fréquence / opportunité
  • 6. 3/06/2015 6 11 Sommaire  Concepts – définitions  Gestion de la sécurité de l'information  Normes  ISO 27001 : SGSI – exigences  ISO 27002 : code de pratique  ISO 27005 : gestion du risque  Gestion du risque : méthodes et outils classiques  Gestion du risque : méthode simplifiée  Gestion du risque : EBIOS  Gestion du risque : présentation des résultats 12 Gestion de la sécurité de l'information (1)  Objectif fondamental  Gestion de la sécurité  gestion du risque  Aspect de la gestion de l'organisation Elément de bonne gouvernance Financiers Image Juridiques Humains Financier Organisationnel Inconfort Dommages dus aux incidents / sinistres Coût des mesures de sécurité
  • 7. 3/06/2015 7 13 Gestion de la sécurité de l'information (2)  Evolution technologique continue Menaces   gestion du risque : processus continu  organisation permanente "Système de gestion de la sécurité de l'information" (SGSI) [Information Security Management System = ISMS] 14 Gestion de la sécurité de l'information (3)  Processus continu  roue de Deming PDCA  [Plan] Identifier / évaluer - risques - actions adéquates  [Check] Mesurer / évaluer les résultats  [Act] Rectifier Améliorer  [Do] Réaliser les actions Informer / éduquer
  • 8. 3/06/2015 8 15 Gestion de la sécurité de l'information (4)  Facteurs critiques de succès • Support de la direction • Stratégie : définition centrale mise en œuvre : locale " think globally, act locally " • Impact des risques pour l'organisation • Sensibilisation / formation (personnel, …) • Méthodes  standards • Outils 16 Sommaire  Concepts – définitions  Gestion de la sécurité de l'information  Normes  ISO 27001 : SGSI – exigences  ISO 27002 : code de pratique  ISO 27005 : gestion du risque  Gestion du risque : méthodes et outils classiques  Gestion du risque : méthode simplifiée  Gestion du risque : EBIOS  Gestion du risque : présentation des résultats
  • 9. 3/06/2015 9 17 Normes  ISO 27000 Vue d'ensemble et vocabulaire  ISO 27001 Systèmes de gestion de sécurité de l'information (SGSI) : exigences ( BS7799-2)  ISO 27002 Code de pratique (= ISO17799  BS7799-1)  ISO 27003 Guide de mise en oeuvre  ISO 27004 SGSI : métriques  ISO 27005 Gestion du risque ( ISO 13335-3/4)  ISO 27006 Homologation  ISO 27007 Directives d'audit 18 Sommaire  Concepts – définitions  Gestion de la sécurité de l'information  Normes  ISO 27001 : SGSI – exigences  ISO 27002 : code de pratique  ISO 27005 : gestion du risque  Gestion du risque : méthodes et outils classiques  Gestion du risque : méthode simplifiée  Gestion du risque : EBIOS  Gestion du risque : présentation des résultats
  • 10. 3/06/2015 10 19 ISO 27001 : "SGSI : exigences"  Définition du SGSI ( ISO 27000) • " An ISMS consists of the policies, procedures, guidelines, and associated resources and activities, collectively managed by an organization, in the pursuit of protecting its information assets. • An ISMS is a systematic approach for establishing, implementing, operating, monitoring, reviewing, maintaining and improving an organization’s information security to achieve business objectives. • It is based upon a risk assessment and the organization’s risk acceptance levels designed to effectively treat and manage risks. "  Compatible ISO 9001  Roue de Deming (implicite) 20 Sommaire  Concepts – définitions  Gestion de la sécurité de l'information  Normes  ISO 27001 : SGSI – exigences  ISO 27002 : code de pratique  ISO 27005 : gestion du risque  Gestion du risque : méthodes et outils classiques  Gestion du risque : méthode simplifiée  Gestion du risque : EBIOS  Gestion du risque : présentation des résultats
  • 11. 3/06/2015 11 21 ISO 27002 : code de pratique  14 thèmes 5 Règlement de sécurité 6 Organisation de la sécurité de l'information 7 Ressources humaines 8 Gestion des actifs 9 Gestion d'accès 10 Cryptographie 11 Sécurité physique 12 Exploitation 13 Communications 14 Acquisition, développement et maintenance 15 Relations avec les fournisseurs 16 Incidents de sécurité 17 Continuité 18 Conformité  114 "contrôles" = enjeux de sécurité () 22 ISO 27002 : exemple 11.1.3 Securing offices, rooms, and facilities Control Physical security for offices, rooms, and facilities should be designed and applied. Implementation guidance The following guidelines should be considered to secure offices, rooms, and facilities : a) key facilities should be sited to avoid access by the public ; b) where applicable, buildings should be unobtrusive and give minimum indication of their purpose, with no obvious signs, outside or inside the building identifying the presence of information processing activities ; c) facilities should be configured to prevent confidential information or activities from being visible and audible from the outside ; electromagnetic shielding should also be considered as appropriate ; d) directories and internal telephone books identifying locations of confidential information processing facilities should not be readily accessible to anyone unauthorized.
  • 12. 3/06/2015 12 23 ISO 27002 : 5. Règlement de sécurité  Règlement de sécurité de l'information  Règlement approuvé par la direction communiqué au personnel et aux tiers tenant compte des objectifs de l'organisation assignant des responsabilités à des rôles exercés décliné en règlements spécifiques  Révision périodique en fonction des évolutions importantes 24 ISO 27002 : 6. Organisation de la sécurité de l'information  Organisation interne  Rôles et responsabilités  Séparation de fonctions  Relations avec les autorités  ...  Portables et télétravail  Portables enregistrement mesures de protection restrictions d'emploi BYOD (bring your own device)  Télétravail mesures de protection restrictions d'emploi
  • 13. 3/06/2015 13 25 ISO 27002 : 7. Ressources humaines  Avant l'engagement  Sélection  Conditions d'engagement  Durant le contrat  Responsabilités de la direction  Sensibilisation et formation à la sécurité  Procédures disciplinaires  A la fin du contrat  Responsabilités 26 ISO 27002 : 8. Gestion des actifs  Responsabilité liée aux actifs  Inventaire  Propriété  Usage licite  Restitution  Classification de l'information  Directives de classification  Marquage  Procédures de traitement des actifs classifiés  Traitement des supports  Gestion des supports amovibles  Elimination des supports  Transport physique
  • 14. 3/06/2015 14 27 ISO 27002 : 9. Gestion d'accès (1)  Exigences fonctionnelles  Règlement général  Accès aux réseaux  Accès des utilisateurs  Enregistrement et radiation des utilisateurs  Gestion des droits d'accès  Gestion des crédentiels  …  Responsabilités des utilisateurs  Usage des crédentiels 28 ISO 27002 : 9. Gestion d'accès (2)  Accès aux systèmes / applications  Limitation d'accès  Procédures d'authentification  Mots de passe  Usage des utilitaires privilégiés  Accès aux sources de programmes
  • 15. 3/06/2015 15 29 ISO 27002 : 10. Cryptographie  Cryptographie  Règlement d'usage  Gestion des clés 30 ISO 27002 : 11. Sécurité physique  Zones de sécurité  Périmètre de sécurité physique  Mesures de sécurité à l'entrée  Sécurité des bureaux, locaux, …  Incendie, inondation, séisme, ...  …  Matériel  Placement et protection  Alimentations (énergie, ventilation, …)  Câblage  Maintenance  Déplacement  Matériel plus / ré- utilisé  …
  • 16. 3/06/2015 16 31 ISO 27002 : 12. Exploitation (1)  Procédures / responsabilités opérationnelles  Documentation des procédures  Gestion des changements  Gestion de la capacité  Séparation développement / test / production  Programmes malveillants, …  Sauvegarde  Journaux / suivi  Enregistrement des événements  Protection des journaux  Synchronisation des horloges  ... 32 ISO 27002 : 12. Exploitation (2)  Logiciel opérationnel  Installation du logiciel tests gestion de changement procédure de retour en arrière ...  Vulnérabilités techniques  Evaluation des vulnérabilités et choix de mesures de sécurité  Limites des installations permises aux utilisateurs finaux  Conditions d'audit
  • 17. 3/06/2015 17 33 ISO 27002 : 13. Communications  Sécurité des réseaux  Mesures générales  Fourniture de services  Cloisonnement  Echanges d'information  Règlements et procédures  Accords avec les partenaires externes  Messagerie électronique  … 34 ISO 27002 : 14. Acquisition, développement et maintenance  Exigences de sécurité  Analyse et spécifications de sécurité  Services applicatifs sur réseaux publics  Sécurité des transactions  Développement / support  Changements  Progiciels  Ingéniérie système  Environnement de développement  Sous-traitance  Test  …  Données de test  Protection des données de test
  • 18. 3/06/2015 18 35 ISO 27002 : 15. Relations avec les fournisseurs  Sécurité dans les relations avec les fournisseurs  Règles générales  Convention avec chaque fournisseur  ...  Fourniture de service  Suivi des services fournis  Changements des services fournis 36 ISO 27002 : 16. Incidents de sécurité  Incidents et améliorations  Responsabilités et procédures  Signalement des incidents de sécurité  Signalement des points faibles  Evaluation  Réponse aux incidents  Enseignement retiré des incidents  Constitution de preuves
  • 19. 3/06/2015 19 37 ISO 27002 : 17. Continuité  Continuité  Exigences  Mise en oeuvre  Vérification et évaluation  Redondances  Disponibilité des équipements 38 ISO 27002 : 18. Conformité  Analyses de sécurité  Indépendance des analyses de sécurité  Conformité aux règlements et normes de sécurité  Conformité technique  Contraintes légales  Identification des législations applicables  Droits intellectuels  Protection des informations  Vie privée  Cryptographie
  • 20. 3/06/2015 20 39 Sommaire  Concepts – définitions  Gestion de la sécurité de l'information  Normes  ISO 27001 : SGSI – exigences  ISO 27002 : code de pratique  ISO 27005 : gestion du risque  Gestion du risque : méthodes et outils classiques  Gestion du risque : méthode simplifiée  Gestion du risque : EBIOS  Gestion du risque : présentation des résultats 40 ISO 27005 : Gestion du risque (1)  Rappels  [Plan] Identifier / évaluer - risques - actions adéquates  [Check] Mesurer / évaluer les résultats  [Act] Rectifier Améliorer  [Do] Réaliser les actions Informer / éduquer
  • 21. 3/06/2015 21 41 ISO 27005 : Gestion du risque (2)  Types de risque • Risque stratégique Système d’information inadapté aux objectifs de l’organisation • Risque de changement Echec de projet Coût Qualité Facteurs humains • Risque opérationnel Dysfonctionnement portant atteinte à l’organisation 42 ISO 27005 : Gestion du risque (3)  Méthode Référentiel méthodologique Source : ISO/IEC 27005:2011
  • 22. 3/06/2015 22 43 ISO 27005 : Gestion du risque (4)  Schéma simplifié 44 ISO 27005 : Gestion du risque (5)  Etablissement du contexte  Objet ? toute l'organisation  SGSI ? 1 système / service  spécifications du système / service  Critères de base évaluation des risques impact probabilité, opportunité acceptation des risques
  • 23. 3/06/2015 23 45 ISO 27005 : Gestion du risque (6)  Appréciation des risques • Actifs ( valeur) • Menaces ISO 27005 (annexe C "informative") • Vulnérabilités ISO 27005 (annexe D "informative") • Conséquences pour l'organisation  Liste des risques et de leur niveau 46 ISO 27005 : Gestion du risque (7)  Plan de traitement • Mesures de sécurité : bonnes pratiques (ISO 27002) + … prévention : probabilité  protection : impact  coût : initial / récurrent • Décision refus du risque  STOP transfert du risque  assurance, exonération, … réduction du risque  mesures de sécurité  Risque résiduel : à accepter par la direction
  • 24. 3/06/2015 24 47 Sommaire  Concepts – définitions  Gestion de la sécurité de l'information  Normes  ISO 27001 : SGSI – exigences  ISO 27002 : code de pratique  ISO 27005 : gestion du risque  Gestion du risque : méthodes et outils classiques  Gestion du risque : méthode simplifiée  Gestion du risque : EBIOS  Gestion du risque : présentation des résultats 48 Risque : méthodes et outils classiques (1)  ISO 27005 : orientations méthodologiques méthode  Méthodes et outils Exemples * Expertise nécessaire :  base  standard  spécialiste Source : ENISA EN EN DE EN FR DE ES EN NL Langue USAOctave DGrundschutz FEBIOS UKCRAMM OutilExper- tise * Traite- ment Evalu- ation Ana- lyse Origine
  • 25. 3/06/2015 25 49 Risque : méthodes et outils classiques (2)  Mise en œuvre assez lourde  experts en sécurité  charge de travail  délai ? implication du propriétaire fonctionnel du système ? [business owner] 50 Sommaire  Concepts – définitions  Gestion de la sécurité de l'information  Normes  ISO 27001 : SGSI – exigences  ISO 27002 : code de pratique  ISO 27005 : gestion du risque  Gestion du risque : méthodes et outils classiques  Gestion du risque : méthode simplifiée  Gestion du risque : EBIOS  Gestion du risque : présentation des résultats
  • 26. 3/06/2015 26 51 Risque : méthode simplifiée (1)  Objectif propriétaire du système [business owner]  acteur principal de la gestion de risque  Simplifications • métrique d'impact (sur l'organisation) • métrique de défauts de sécurité • probabilités : rôle secondaire • socle de bonnes pratiques de base : pour toute l'organisation • + mesures de sécurité spécifiques : par système 52 Risque : méthode simplifiée (2)  Métrique d'impact (1) Exemple : firme commerciale Divulgation de secret industriel Condamnation pénale Inférieure à la concurrence Altération sérieuse de l'image > 1.0004 Divulgation de secret commercial Condamnation civile Egale à la concurrence Clientèle sérieusement perturbée 100 – 1.0003 Divulgation de données personnelles Perte légère Nombreuses plaintes 10 – 1002 Quelques plaintes 1 – 101 Secret S Juridique Judiciaire J Compétitivité C Image I Perte financière (milliers €) F Nature des conséquencesG r a v i t é
  • 27. 3/06/2015 27 53 Risque : méthode simplifiée (3)  Métrique d'impact (2) Exemple : service gouvernemental Très secret Perte de vie humaine Atteinte grave à la réputation Altération définitive Condamnation internationale de l’Autorité Ordre public gravement en péril > 1004 Secret Atteinte sérieuse à l'intégrité ou à la réputation Critiques graves dans les media Condamnation de l’Autorité Difficulté à maintenir l’ordre public 10 – 1003 Confidentiel Divulgation de données personnelles sensibles Critiques occasionnelles dans les media Actions en justice Menace pour l’ordre public 1 – 102 Diffusion restreinte Divulgation de données personnelles Plaintes occasionnelles Sanctions internes Perturbation locale et momentanée 0,001 – 11 Classification C Social et humain S Image du service public I Juridique Judiciaire J Ordre public O Perte financière (millions €) F Nature des conséquencesG r a v i t é 54 Risque : méthode simplifiée (4)  Métrique d'impact (3) • Exercices Choisir une métrique d'impact Codifier l'impact des incidents décrits P. ex. : F2 O1 J1 I3 S0 C0 • Exercice 1 Une négligence entraîne l'arrêt, pendant 24 heures, d'un site web gouvernemental servant à collecter des données économiques. Il en résulte une perte de temps d'un quart d'heure pour les comptables de 10.000 entreprises. L'incident est relaté dans la presse. Le fonctionnaire négligent est réprimandé.
  • 28. 3/06/2015 28 55 Risque : méthode simplifiée (5)  Métrique d'impact (4) • Exercice 2 Une société d'ingéniérie a établi pour un client les plans d'une installation très innovante. Quelques mois plus tard, un concurrent de ce client construit une usine exploitant les mêmes idées. Le client suspecte donc une fuite au sein de la société d'ingéniérie et menace de réclamer en justice une indemnité de 2.000.000 €. Une enquête interne révèle que les droits d'accès d'un collaborateur licencié n'avaient pas été révoqués, ce qui constitue peut-être la cause de la fuite. L'administrateur des droits d'accès est licencié à son tour. 56 Risque : méthode simplifiée (6)  Métrique d'impact (5) • Exercice 3 Grâce à une intrusion dans un système gouvernemental, des écologistes extrémistes identifient des entreprises qui utilisent des méthodes de production contraires à leurs principes, mais légales. Ils en menacent les dirigeants et réussissent même à entraver le bon fonctionnement de ces sociétés, ce qui entraîne une perte financière estimée à 1.500.000 €. La sécurité informatique de l'administration fait l'objet d'une question parlementaire relayée par les medias.
  • 29. 3/06/2015 29 57 Risque : méthode simplifiée (7)  Métrique de défauts de sécurité Disponibilité Indisponibilité : 5 minutes 1 heure 1 jour 1 semaine > 1 semaine Intégrité Altération / destruction Transactions perdues : 1 10 100 1.000 Confidentialité Divulgation Preuve Enregistrements non probants Légalité Transgression (loi, règlement, ...) 58 Risque : méthode simplifiée (8)  Appréciation des risques (1) • Actifs Immobilier Matériel Informations Traitements / processus / fonctions Flux / liaisons  Regrouper / limiter Max. 10 – 20 actifs
  • 30. 3/06/2015 30 59 Risque : méthode simplifiée (9)  Appréciation des risques (2) • Pour chaque actif • Impact pour l'organisation • Modèle documentaire  Valeur des actifs, indépendamment du risque Conséquences Actif : F I ... S Max Disponibilité Indisponibilité : 5 minutes 1 heure 1 jour 1 semaine > 1 semaine Intégrité Altération / destruction Transactions perdues : 1 10 100 1.000 Confidentialité Divulgation Preuve Enregistrements non probants Légalité Transgression (loi, règlement, ...) 60 Risque : méthode simplifiée (10)  Appréciation des risques (3) • Menaces / vulnérabilités ISO 27005 - ann. C : menaces ISO 27005 - ann. D : vulnérabilités • "Menace / vulnérabilité" = "événement redouté" • Modèle documentaire  Evénement redouté : ER # Origine de la menace : Cause naturelle Erreur humaine Action délibérée  motivation :    Vulnérabilité : Matériel Logiciel Réseau Personnel Site Organisation      
  • 31. 3/06/2015 31 61 Risque : méthode simplifiée (11)  Appréciation des risques (4) • Pour chaque actif : impact des événements redoutés Actif : Max ER1 ER2 ... Disponibilité Indisponibilité : 5 minutes 1 heure 1 jour 1 semaine > 1 semaine Intégrité Altération / destruction Transactions perdues : 1 10 100 1.000 Confidentialité Divulgation Preuve Enregistrements non probants Légalité Transgression 62 Risque : méthode simplifiée (12)  Appréciation des risques (5) Exemple  Mesures de sécurité à élaborer Actif : Max ER1 ER2 ... Disponibilité Indisponibilité : 5 minutes 1 heure 1 jour 1 semaine > 1 semaine 1 2 3 4 X X X X Intégrité Altération / destruction Transactions perdues : 1 10 100 1.000 4 X Confidentialité Divulgation 3 X Preuve Enregistrements non probants Légalité Transgression
  • 32. 3/06/2015 32 63 Risque : méthode simplifiée (13)  Plan de traitement (1) • Mesures de base SGSI ( ISO 27001) bonnes pratiques de base ( ISO 27002) • Mesures spécifiques au métier, à l'application, … • Attributs des mesures - Mode d'action PV : prévention (probabilité/opportunité ) PT : protection (impact ) - Localisation IT : ICT US : end user - Coût : initial / récurrent - Attributs de sécurité améliorés : disponibilité, intégrité, … - Evénements redoutés traités 64 Risque : méthode simplifiée (14)  Plan de traitement (2) • Modèle documentaire  Mesure de sécurité : MS # Mode d'action Localisation Coût initial Coût récurrent Disponibilité Indisponibilité : 5 minutes 1 heure 1 jour 1 semaine > 1 semaine Attributs de sécurité améliorés  Intégrité Altération / destruction Transactions perdues : 1 10 100 1.000 Evénements redoutés traités  Confidentialité Divulgation ER1  ER2  ER3  Preuve Enregistrements non probants ER4  ER5  ER6  Légalité Transgression ER7  ER8  ER9 
  • 33. 3/06/2015 33 65 Risque : méthode simplifiée (15)  Plan de traitement (3) • Pour chaque actif : efficacité des mesures de sécurité sur les événements redoutés Actif : ER1 ... MS1 ... Disponibilité Indisponibilité : 5 minutes 1 heure 1 jour 1 semaine > 1 semaine Intégrité Altération / destruction Transactions perdues : 1 10 100 1.000 Confidentialité Divulgation Preuve Enregistrements non probants Légalité Transgression 66 Risque : méthode simplifiée (16)  Plan de traitement (4) • Risque résiduel après application des mesures de sécurité Conséquences Actif : F I ... S Max Disponibilité Indisponibilité : 5 minutes 1 heure 1 jour 1 semaine > 1 semaine Intégrité Altération / destruction Transactions perdues : 1 10 100 1.000 Confidentialité Divulgation Preuve Enregistrements non probants Légalité Transgression (loi, règlement, ...)
  • 34. 3/06/2015 34 67 Risque : méthode simplifiée (17)  Résumé 68 Risque : méthode simplifiée - histoire (18)  1991 établissement bancaire audit informatique  risque supporté par le département informatique non supporté par les responsables fonctionnels méthode : gestion de risque check list  méthodes d'audit  méthode simplifiée  1997 ISO 13335  2005 administration fédérale  2008 ISO 27005
  • 35. 3/06/2015 35 69 Risque : méthode simplifiée - évaluation (19) + démarrage très court implication des propriétaires fonctionnels effort global : faible documentation : claire et synthétique expert en sécurité : intervention limitée – (supposition : bonnes pratiques de base) 70 Risque : méthode simplifiée (20)  Exercice La firme d'ingéniérie BelSmartChem réalise des projets d'usine chimique au moyen d'un logiciel de conception assistée, développé par les fondateurs associés, qui lui permet de produire ses plans et calculs plus vite que ses concurrents. Chiffre d'affaires : 7 millions €/an. Elle utilise l'email dans ses relations commerciales. Elle emploie 20 ingénieurs (800 €/j) et 5 employés administratifs (400 €/j) chargés de la comptabilité et du suivi des projets. Ses bureaux se trouvent dans un immeuble partagé avec un atelier de mécanique.
  • 36. 3/06/2015 36 71 Sommaire  Concepts – définitions  Gestion de la sécurité de l'information  Normes  ISO 27001 : SGSI – exigences  ISO 27002 : code de pratique  ISO 27005 : gestion du risque  Gestion du risque : méthodes et outils classiques  Gestion du risque : méthode simplifiée  Gestion du risque : EBIOS  Gestion du risque : présentation des résultats 72 Risque : EBIOS (1)  Origine • FR : Agence Nationale de la Sécurité des Systèmes d'Information www.ssi.gouv.fr/fr/anssi/  EBIOS = Expression des Besoins et Identification des Objectifs de Sécurité  Méthode publique et gratuite • Guide méthodologique • Base de connaissances • Exemple • Outil documentaire
  • 37. 3/06/2015 37 73 Risque : EBIOS (2)  Domaine d'emploi • Organisations publiques et privées • Organisations grandes et petites • ISMS ( ISO 27001) • Documents "common criteria" ( ISO 15408) • ... 74 Risque : EBIOS (3)  Etapes
  • 38. 3/06/2015 38 75 Risque : EBIOS (4)  Module 1 : Etude du contexte (1) • Périmètre • Sources de menace : retenues ou non • Métriques Echelle de besoin disponibilité intégrité confidentialité preuve légalité Niveaux de gravité (impact) Niveaux de vraisemblance des scénarios de menace Critères de gestion des risques (seuils de tolérance, ...)  76 Risque : EBIOS (5)  Module 1 : Etude du contexte (2) • Biens Biens essentiels : "patrimoine informationnel", "biens immatériels"  "dépositaire" !? Biens supports : composants du système d'information  "propriétaire" !? Tableau : biens essentiels / biens supports Mesures de sécurité existantes  ISO 27002 (p. ex.) Tableau : mesures existantes / biens supports
  • 39. 3/06/2015 39 77 Risque : EBIOS (6)  Module 2 : Evénements redoutés • Sur les biens essentiels sans considération pour le scénario technique • Sources de menace • Impacts • Tableau : événement redouté / source menace / impact / gravité 78 Risque : EBIOS (7)  Module 3 : Scénarios de menaces • Sur les biens supports • Menaces • Vulnérabilités • Tableau : biens supports / scénarios menace / sources menace / vraisemblance
  • 40. 3/06/2015 40 79 Risque : EBIOS (8)  Module 4 : Etude des risques (1) • Corrélation événements redoutés / scénarios de menace  module 2  module 3 • Analyse des risques Par risque : gravité / vraisemblance • Evaluation des risques Classement des risques par gravité et vraisemblance Risques Vraisemblance + ++ +++ Gravité +++ ++ + 80 Risque : EBIOS (9)  Module 4 : Etude des risques (2) • Options de traitement Eviter Réduire Accepter Transférer • Risques résiduels
  • 41. 3/06/2015 41 81 Risque : EBIOS (10)  Module 5 : Mesures de sécurité • Formalisation Spécification Risque résiduel • Mise en oeuvre 82 Risque : EBIOS (11) + gratuité marché de consultance support d'une agence gouvernementale outil informatique documentation  certification (ISO 15408) base de connaissances – formation à la méthode lourdeur
  • 42. 3/06/2015 42 83 Sommaire  Concepts – définitions  Gestion de la sécurité de l'information  Normes  ISO 27001 : SGSI – exigences  ISO 27002 : code de pratique  ISO 27005 : gestion du risque  Gestion du risque : méthodes et outils classiques  Gestion du risque : méthode simplifiée  Gestion du risque : EBIOS  Gestion du risque : présentation des résultats 84 Risque : présentation des résultats A un comité de pilotage technique A un comité stratégique Actifs du système d’information Composants techniques Fonctions générales Menaces Vulnérabilités Evénements redoutés Impact technique : disponibilité intégrité confidentialité … Impact final sur l’organisation : financier image … Mesures de sécurité Efficacité technique Coût Délai Risque technique résiduel Coût Délai Risque résiduel sur l’organisation