Le document traite des normes et concepts liés à la sécurité de l'information et à la gestion des risques, en particulier les normes ISO 27001, 27002 et 27005. Il détaille les définitions des actifs, menaces, vulnérabilités et risques, ainsi que les processus nécessaires pour établir un système de gestion de la sécurité de l'information (SGSI). Enfin, il présente des méthodes classiques et simplifiées pour la gestion des risques, y compris des spécifications pratiques pour la mise en œuvre des mesures de sécurité.

1. 21/11/2014
1
Sécurité de l'information
et gestion du risque
2014 - 2015
Alain Huet
Alain Huet Consulting
huet.alain@skynet.be
+ 32 (0) 495 34.71.01
be.linkedin.com/in/AlainHuetConsulting
2
Sommaire
 Concepts – définitions
 Gestion de la sécurité de l'information
 Normes
 ISO 27001 : SGSI – exigences
 ISO 27002 : code de pratique
 ISO 27005 : gestion du risque
 Gestion du risque : méthodes et outils classiques
 Gestion du risque : méthode simplifiée
 Gestion du risque : EBIOS

2. 21/11/2014
2
3
Sommaire
 Concepts – définitions
 Gestion de la sécurité de l'information
 Normes
 ISO 27001 : SGSI – exigences
 ISO 27002 : code de pratique
 ISO 27005 : gestion du risque
 Gestion du risque : méthodes et outils classiques
 Gestion du risque : méthode simplifiée
 Gestion du risque : EBIOS
4
Concepts – définitions (1)
 Référence : ISO 27000
" Information technology
Security techniques
Information security management systems
Overview and vocabulary "
 Concepts
• Actif

• Attributs de sécurité
Disponibilité
Intégrité
Confidentialité
...
• Menace
• Vulnérabilité
• Risque

3. 21/11/2014
3
5
Concepts – définitions (2)
 Actif [asset]
• tout élément du système d'information, ayant de la valeur pour
l'organisation
• exemples :
locaux et installations techniques (électricité, airco, …)
matériel informatique
infrastructure télécom
logiciels
bases de données
documentation
personnel
…
6
Concepts – définitions (3)
 Attributs de sécurité (1)
• Disponibilité [availability]
(actifs) utilisables et accessibles
• Intégrité [integrity]
(informations) transmises / traitées / conservées sans erreur
• Confidentialité [confidentiality]
(informations) accessibles seulement aux personnes autorisées

4. 21/11/2014
4
7
Concepts – définitions (4)
 Attributs de sécurité (2)
• Authenticité [authenticity]
identification certaine de l'utilisateur
• Traçabilité (imputabilité) [accountability]
attribution d'une action à son auteur
• Irrévocabilité [non-repudiation]
attribution incontestable d'une action à son auteur
• Fiabilité [reliability]
(traitement)  résultats logiques intentionnels

• Légalité (ISO 27000)
(traitement)  conforme aux dispositions légales
 Preuve
(ISO 270 00)
8
Concepts – définitions (5)
 Menace [threat]
• cause pouvant affecter la sécurité d'un actif
• caractéristiques
– origine :
- naturelle : incendie, inondation, …
- humaine :
accidentelle : erreurs (saisie, bug …)
délibérée : fraude, virus, intrusion …
– impact sur le système d'information
 sur l'organisation
 probabilité
 opportunité,
motivation,
faisabilité

5. 21/11/2014
5
9
Concepts – définitions (6)
 Vulnérabilité [vulnerability]
• point faible permettant à une menace de porter atteinte à la
sécurité d'un actif
• exemples
détection / extinction d'incendie absente ou inefficace
test insuffisant des logiciels
personnel insuffisamment formé
antivirus non mis à jour
architecture du système trop fragile
copies de sauvegarde absentes ou non testées
plan "catastrophe" absent ou non testé
10
Concepts – définitions (7)
 Risque [risk]
• probabilité qu'une menace exploite une vulnérabilité du système
d'information pour affecter un actif de l'organisation
• caractéristiques :
- impact
sur les actifs : disponibilité, intégrité, confidentialité, …
 sur l'organisation : perte financière, image, …
- probabilité / fréquence / opportunité

6. 21/11/2014
6
11
Sommaire
 Concepts – définitions
 Gestion de la sécurité de l'information
 Normes
 ISO 27001 : SGSI – exigences
 ISO 27002 : code de pratique
 ISO 27005 : gestion du risque
 Gestion du risque : méthodes et outils classiques
 Gestion du risque : méthode simplifiée
 Gestion du risque : EBIOS
12
Gestion de la sécurité de l'information (1)
 Objectif fondamental
 Gestion de la sécurité  gestion du risque
 Aspect de la gestion de l'organisation
Elément de bonne gouvernance
Financiers
Image
Juridiques
Humains
Financier
Organisationnel
Inconfort
Dommages dus aux
incidents / sinistres
Coût des mesures de
sécurité

7. 21/11/2014
7
13
Gestion de la sécurité de l'information (2)
 Evolution technologique continue
Menaces 
 gestion du risque : processus continu
 organisation permanente
"Système de gestion de la sécurité de l'information" (SGSI)
[Information Security Management System = ISMS]
14
Gestion de la sécurité de l'information (3)
 Processus continu
 roue de Deming
PDCA
 [Plan]
Identifier / évaluer
- risques
- actions adéquates
 [Act]
Rectifier
Améliorer
 [Check]
Mesurer / évaluer
les résultats
 [Do]
Réaliser les actions
Informer / éduquer

8. 21/11/2014
8
15
Gestion de la sécurité de l'information (4)
 Facteurs critiques de succès
• Support de la direction
• Stratégie : définition centrale
mise en oeuvre : locale
" think globally, act locally "
• Impact des risques pour l'organisation
• Sensibilisation / formation (personnel, …)
• Méthodes  standards
• Outils
16
Sommaire
 Concepts – définitions
 Gestion de la sécurité de l'information
 Normes
 ISO 27001 : SGSI – exigences
 ISO 27002 : code de pratique
 ISO 27005 : gestion du risque
 Gestion du risque : méthodes et outils classiques
 Gestion du risque : méthode simplifiée
 Gestion du risque : EBIOS

9. 21/11/2014
9
17
Normes
 ISO 27000 Vue d'ensemble et vocabulaire
 ISO 27001 Systèmes de gestion de sécurité de
l'information (SGSI) : exigences ( BS7799-2)
 ISO 27002 Code de pratique (= ISO17799  BS7799-1)
 ISO 27003 Guide de mise en oeuvre
 ISO 27004 SGSI : métriques
 ISO 27005 Gestion du risque ( ISO 13335-3/4)
 ISO 27006 Homologation
 ISO 27007 Directives d'audit
18
Sommaire
 Concepts – définitions
 Gestion de la sécurité de l'information
 Normes
 ISO 27001 : SGSI – exigences
 ISO 27002 : code de pratique
 ISO 27005 : gestion du risque
 Gestion du risque : méthodes et outils classiques
 Gestion du risque : méthode simplifiée
 Gestion du risque : EBIOS

10. 21/11/2014
10
19
ISO 27001 : "SGSI : exigences"
 Définition du SGSI
• " partie du système global de gestion, basée sur une approche
du risque 'métier', chargée d'établir, de mettre en oeuvre, de faire
fonctionner, de suivre, de réviser, de maintenir et d'améliorer la
sécurité de l'information "
• " le système de gestion comprend une structure d'organisation,
des règlements, des activités de planification, des pratiques, des
procédures, des processus et des ressources "
 Compatible ISO 9001
 Roue de Deming
20
Sommaire
 Concepts – définitions
 Gestion de la sécurité de l'information
 Normes
 ISO 27001 : SGSI – exigences
 ISO 27002 : code de pratique
 ISO 27005 : gestion du risque
 Gestion du risque : méthodes et outils classiques
 Gestion du risque : méthode simplifiée
 Gestion du risque : EBIOS

11. 21/11/2014
11
21
ISO 27002 : code de pratique
 14 thèmes
5 Règlement de sécurité
6 Organisation de la sécurité de l'information
7 Ressources humaines
8 Gestion des actifs
9 Gestion d'accès
10 Cryptographie
11 Sécurité physique
12 Exploitation
13 Communications
14 Acquisition, développement et maintenance
15 Relations avec les fournisseurs
16 Incidents de sécurité
17 Continuité
18 Conformité
 114 "contrôles" = enjeux de sécurité ()
22
ISO 27002 : exemple
11.1.3 Securing offices, rooms, and facilities
Control
Physical security for offices, rooms, and facilities should be designed
and applied.
Implementation guidance
The following guidelines should be considered to secure offices, rooms,
and facilities :
a) key facilities should be sited to avoid access by the public ;
b) where applicable, buildings should be unobtrusive and give
minimum indication of their purpose, with no obvious signs, outside
or inside the building identifying the presence of information
processing activities ;
c) facilities should be configured to prevent confidential information or
activities from being visible and audible from the outside ;
electromagnetic shielding should also be considered as appropriate ;
d) directories and internal telephone books identifying locations of
confidential information processing facilities should not be readily
accessible to anyone unauthorized.

12. 21/11/2014
12
23
ISO 27002 : 5. Règlement de sécurité
 Règlement de sécurité de l'information
 Règlement
approuvé par la direction
communiqué au personnel et aux tiers
tenant compte des objectifs de l'organisation
assignant des responsabilités à des rôles exercés
décliné en règlements spécifiques
 Révision
périodique
en fonction des évolutions importantes
24
ISO 27002 : 6. Organisation de la sécurité
de l'information
 Organisation interne
 Rôles et responsabilités
 Séparation de fonctions
 Relations avec les autorités
 ...
 Portables et télétravail
 Portables
enregistrement
mesures de protection
restrictions d'emploi
BYOD (bring your own device)
 Télétravail
mesures de protection
restrictions d'emploi

13. 21/11/2014
13
25
ISO 27002 : 7. Ressources humaines
 Avant l'engagement
 Sélection
 Conditions d'engagement
 Durant le contrat
 Responsabilités de la direction
 Sensibilisation et formation à la sécurité
 Procédures disciplinaires
 A la fin du contrat
 Responsabilités
26
ISO 27002 : 8. Gestion des actifs
 Responsabilité liée aux actifs
 Inventaire
 Propriété
 Usage licite
 Restitution
 Classification de l'information
 Directives de classification
 Marquage
 Procédures de traitement des actifs classifiés
 Traitement des supports
 Gestion des supports amovibles
 Elimination des supports
 Transport physique

14. 21/11/2014
14
27
ISO 27002 : 9. Gestion d'accès (1)
 Exigences fonctionnelles
 Règlement général
 Accès aux réseaux
 Accès des utilisateurs
 Enregistrement et radiation des utilisateurs
 Gestion des droits d'accès
 Gestion des crédentiels
 …
 Responsabilités des utilisateurs
 Usage des crédentiels
28
ISO 27002 : 9. Gestion d'accès (2)
 Accès aux systèmes / applications
 Limitation d'accès
 Procédures d'authentification
 Mots de passe
 Usage des utilitaires privilégiés
 Accès aux sources de programmes

15. 21/11/2014
15
29
ISO 27002 : 10. Cryptographie
 Cryptographie
 Règlement d'usage
 Gestion des clés
30
ISO 27002 : 11. Sécurité physique
 Zones de sécurité
 Périmètre de sécurité physique
 Mesures de sécurité à l'entrée
 Sécurité des bureaux, locaux, …
 Incendie, inondation, séisme, ...
 …
 Matériel
 Placement et protection
 Alimentations (énergie, ventilation, …)
 Câblage
 Maintenance
 Déplacement
 Matériel plus / ré- utilisé
 …

16. 21/11/2014
16
31
ISO 27002 : 12. Exploitation (1)
 Procédures / responsabilités opérationnelles
 Documentation des procédures
 Gestion des changements
 Gestion de la capacité
 Séparation développement / test / production
 Programmes malveillants, …
 Sauvegarde
 Journaux / suivi
 Enregistrement des événements
 Protection des journaux
 Synchronisation des horloges
 ...
32
ISO 27002 : 12. Exploitation (2)
 Logiciel opérationnel
 Installation du logiciel
tests
gestion de changement
procédure de retour en arrière
...
 Vulnérabilités techniques
 Evaluation des vulnérabilités et choix de mesures de sécurité
 Limites des installations permises aux utilisateurs finaux
 Conditions d'audit

17. 21/11/2014
17
33
ISO 27002 : 13. Communications
 Sécurité des réseaux
 Mesures générales
 Fourniture de services
 Cloisonnement
 Echanges d'information
 Règlements et procédures
 Accords avec les partenaires externes
 Messagerie électronique
 …
34
ISO 27002 : 14. Acquisition, développement
et maintenance
 Exigences de sécurité
 Analyse et spécifications de sécurité
 Services applicatifs sur réseaux publics
 Sécurité des transactions
 Développement / support
 Changements
 Progiciels
 Ingéniérie système
 Environnement de développement
 Sous-traitance
 Test
 …
 Données de test
 Protection des données de test

18. 21/11/2014
18
35
ISO 27002 : 15. Relations avec les fournisseurs
 Sécurité dans les relations avec les fournisseurs
 Règles générales
 Convention avec chaque fournisseur
 ...
 Fourniture de service
 Suivi des services fournis
 Changements des services fournis
36
ISO 27002 : 16. Incidents de sécurité
 Incidents et améliorations
 Responsabilités et procédures
 Signalement des incidents de sécurité
 Signalement des points faibles
 Evaluation
 Réponse aux incidents
 Enseignement retiré des incidents
 Constitution de preuves

19. 21/11/2014
19
37
ISO 27002 : 17. Continuité
 Continuité
 Exigences
 Mise en oeuvre
 Vérification et évaluation
 Redondances
 Disponibilité des équipements
38
ISO 27002 : 18. Conformité
 Analyses de sécurité
 Indépendance des analyses de sécurité
 Conformité aux règlements et normes de sécurité
 Conformité technique
 Contraintes légales
 Identification des législations applicables
 Droits intellectuels
 Protection des informations
 Vie privée
 Cryptographie

20. 21/11/2014
20
39
Sommaire
 Concepts – définitions
 Gestion de la sécurité de l'information
 Normes
 ISO 27001 : SGSI – exigences
 ISO 27002 : code de pratique
 ISO 27005 : gestion du risque
 Gestion du risque : méthodes et outils classiques
 Gestion du risque : méthode simplifiée
 Gestion du risque : EBIOS
40
ISO 27005 : Gestion du risque (1)
 Rappel
 [Plan]
Identifier / évaluer
- risques
- actions adéquates
 [Act]
Rectifier
Améliorer
 [Check]
Mesurer / évaluer
les résultats
 [Do]
Réaliser les actions
Informer / éduquer

21. 21/11/2014
21
41
ISO 27005 : Gestion du risque (2)
 Méthod e Référentiel méthodologique
Risque – étape 
Contexte
Appréciation
Plan de traitement
Analyse
Evaluation
Identification
Estimation
OK ?
Acceptation : risque résiduel
OUI
NON
42
ISO 27005 : Gestion du risque (3)
 Etablissement du contexte
 Objet
? toute l'organisation  SGSI
? 1 système / service  spécifications du système / service
 Critères de base
évaluation des risques
impact
probabilité, opportunité
acceptation des risques

22. 21/11/2014
22
43
ISO 27005 : Gestion du risque (4)
 Analyse des risques
• Actifs ( valeur)
• Menaces
ISO 27005 (annexe C "informative")
• Vulnérabilités
ISO 27005 (annexe D "informative")
 Liste des risques et de leur niveau
 Evaluation des risques
• Conséquences pour l'organisation
44
ISO 27005 : Gestion du risque (5)
 Plan de traitement
• Mesures de sécurité : bonnes pratiques (ISO 27002) + …
prévention : probabilité 
protection : impact 
coût : initial / récurrent
• Décision
refus du risque  STOP
transfert du risque  assurance, exonération, …
réduction du risque  mesures de sécurité
 Risque résiduel : à accepter par la direction

23. 21/11/2014
23
45
Sommaire
 Concepts – définitions
 Gestion de la sécurité de l'information
 Normes
 ISO 27001 : SGSI – exigences
 ISO 27002 : code de pratique
 ISO 27005 : gestion du risque
 Gestion du risque : méthodes et outils classiques
 Gestion du risque : méthode simplifiée
 Gestion du risque : EBIOS
46
Risque : méthodes et outils classiques (1)
 ISO 27005 : orientations méthodologiques
méthode
 Méthodes et outils
Exemples
Exper- Outil
tise *
Traite-ment
Evalu-ation
Ana-lyse
Origine
CRAMM UK    
EBIOS F     
Grundschutz D     
* Expertise nécessaire :  base
 standard
 spécialiste
Source : ENISA

Langue
EN NL
EN FR
DE ES
EN DE
EN
Octave USA    

24. 21/11/2014
24
47
Risque : méthodes et outils classiques (2)
 Mise en oeuvre assez lourde
 experts en sécurité
 charge de travail
 délai
? implication du propriétaire fonctionnel du système ?
[business owner]
48
Sommaire
 Concepts – définitions
 Gestion de la sécurité de l'information
 Normes
 ISO 27001 : SGSI – exigences
 ISO 27002 : code de pratique
 ISO 27005 : gestion du risque
 Gestion du risque : méthodes et outils classiques
 Gestion du risque : méthode simplifiée
 Gestion du risque : EBIOS

25. 21/11/2014
25
49
Risque : méthode simplifiée (1)
 Objectif
propriétaire du système [business owner]
 acteur principal de la gestion de risque
 Simplifications
• métrique d'impact (sur l'organisation)
• métrique de défauts de sécurité
• probabilités : rôle secondaire
• socle de bonnes pratiques de base : pour toute l'organisation
• + mesures de sécurité spécifiques : par système
50
Risque : méthode simplifiée (2)
 Métrique d'impact (1)
Exemple : firme commerciale
Divulgation de
secret industriel
G Nature des conséquences
r
a
v
i
t
é
Condamnation
pénale
Inférieure à la
concurrence
Altération
sérieuse de
l'image
4 > 1.000
Divulgation de
secret
commercial
Condamnation
civile
Egale à la
concurrence
Clientèle
sérieusement
perturbée
3 100 – 1.000
Divulgation de
données
personnelles
Perte légère
Nombreuses
plaintes
2 10 – 100
Quelques
plaintes
1 1 – 10
Secret
S
Juridique
Judiciaire
J
Compétitivité
C
Image
I
Perte
financière
(milliers €)
F

26. 21/11/2014
26
51
Risque : méthode simplifiée (3)
 Métrique d'impact (2)
Exemple : service gouvernemental
Très secret
Perte de vie
humaine
Atteinte grave à la
réputation
G Nature des conséquences
r
a
v
i
t
é
Altération
définitive
Condamnation
internationale de
l’Autorité
Ordre public
gravement en
péril
4 > 100
Secret
Atteinte sérieuse à
l'intégrité ou à la
réputation
Critiques graves
dans les media
Condamnation de
l’Autorité
Difficulté à
maintenir l’ordre
public
3 10 – 100
Confidentiel
Divulgation de
données
personnelles
sensibles
Critiques
occasionnelles
dans les media
Actions en justice
Menace pour
l’ordre public
2 1 – 10
Diffusion restreinte
Divulgation de
données
personnelles
Plaintes
occasionnelles
Sanctions internes
Perturbation
locale et
momentanée
1 0,001 – 1
Classification
C
Social et humain
S
Image du
service public
I
Juridique
Judiciaire
J
Ordre public
O
Perte
financière
(millions
€)
F
52
Risque : méthode simplifiée (4)
 Métrique d'impact (3)
• Exercices
Choisir une métrique d'impact
Codifier l'impact des incidents décrits
P. ex. : F2 O1 J1 I3 S0 C0
• Exercice 1
Une négligence entraîne l'arrêt, pendant 24 heures, d'un site web
gouvernemental servant à collecter des données économiques.
Il en résulte une perte de temps d'un quart d'heure pour les
comptables de 10.000 entreprises. L'incident est relaté dans la
presse. Le fonctionnaire négligent est réprimandé.

27. 21/11/2014
27
53
Risque : méthode simplifiée (5)
 Métrique d'impact (4)
• Exercice 2
Une société d'ingéniérie a établi pour un client les plans d'une
installation très innovante.
Quelques mois plus tard, un concurrent de ce client construit une
usine exploitant les mêmes idées.
Le client suspecte donc une fuite au sein de la société
d'ingéniérie et menace de réclamer en justice une indemnité de
2.000.000 €.
Une enquête interne révèle que les droits d'accès d'un
collaborateur licencié n'avaient pas été révoqués, ce qui constitue
peut-être la cause de la fuite. L'administrateur des droits d'accès
est licencié à son tour.
54
Risque : méthode simplifiée (6)
 Métrique d'impact (5)
• Exercice 3
Grâce à une intrusion dans un système gouvernemental, des
écologistes extrémistes identifient des entreprises qui utilisent
des méthodes de production contraires à leurs principes, mais
légales.
Ils en menacent les dirigeants et réussissent même à entraver le
bon fonctionnement de ces sociétés, ce qui entraîne une perte
financière estimée à 1.500.000 €.
La sécurité informatique de l'administration fait l'objet d'une
question parlementaire relayée par les medias.

28. 21/11/2014
28
55
Risque : méthode simplifiée (7)
 Métrique de défauts de sécurité
Disponibilité
Indisponibilité : 5 minutes
1 heure
1 jour
1 semaine
> 1 semaine
Intégrité
Corruption
Transactions perdues : 1
10
100
1.000
Confidentialité Divulgation
Preuve Enregistrements non probants
Légalité Transgression (loi, règlement, ...)
56
Risque : méthode simplifiée (8)
 Appréciation des risques (1)
• Actifs
Immobilier
Matériel
Informations
Traitements / processus / fonctions
Flux / liaisons
 Regrouper / limiter
Max. 10 – 20 actifs

29. 21/11/2014
29
57
Risque : méthode simplifiée (9)
 Appréciation des risques (2)
• Pour chaque actif
• Impact pour l'organisation
• Modèle documentaire 
Valeur des actifs, indépendamment du risque
Conséquences
Actif : F I ... S Max
Disponibilité
Indisponibilité : 5 minutes
1 heure
1 jour
1 semaine
> 1 semaine
Intégrité
Corruption
Transactions perdues : 1
10
100
1.000
Confidentialité Divulgation
Preuve Enregistrements non probants
Légalité Transgression (loi, règlement, ...)
58
Risque : méthode simplifiée (10)
 Appréciation des risques (3)
• Menaces / vulnérabilités
ISO 27005 - ann. C : menaces
ISO 27005 - ann. D : vulnérabilités
• "Menace / vulnérabilité" = "événement redouté"
• Modèle documentaire 
Evénement redouté :
ER
#
Origine de la menace : Cause naturelle
Erreur humaine
Action délibérée
 motivation :



Vulnérabilité : Matériel
Logiciel
Réseau
Personnel
Site
Organisation







30. 21/11/2014
30
59
Risque : méthode simplifiée (11)
 Appréciation des risques (4)
• Pour chaque actif :
impact des événements redoutés
Actif : Max ER1 ER2 ...
Disponibilité
Indisponibilité : 5 minutes
1 heure
1 jour
1 semaine
> 1 semaine
Intégrité
Corruption
Transactions perdues : 1
10
100
1.000
Confidentialité Divulgation
Preuve Enregistrements non probants
Légalité Transgression
60
Risque : méthode simplifiée (12)
 Appréciation des risques (5)
Exemple
Actif : Max ER1 ER2 ...
Disponibilité
Indisponibilité : 5 minutes
1 heure
1 jour
1 semaine
> 1 semaine
 Mesures de sécurité à élaborer
1
2
3
4
X
X
X
X
Intégrité
Corruption
Transactions perdues : 1
10
100
1.000
4
X
Confidentialité Divulgation 3 X
Preuve Enregistrements non probants
Légalité Transgression

31. 21/11/2014
31
61
Risque : méthode simplifiée (13)
 Plan de traitement (1)
• Mesures de base
SGSI ( ISO 27001)
bonnes pratiques de base ( ISO 27002)
• Mesures spécifiques
au métier, à l'application, …
• Attributs des mesures
- Mode d'action
PV : prévention (probabilité/opportunité )
PT : protection (impact )
- Localisation
IT : ICT
US : end user
- Coût : initial / récurrent
- Attributs de sécurité améliorés : disponibilité, intégrité, …
- Evénements redoutés traités
62
Risque : méthode simplifiée (14)
 Plan de traitement (2)
• Modèle documentaire 
Mesure de sécurité : MS #
Mode d'action
Localisation
Coût initial
Coût récurrent
Disponibilité
Indisponibilité : 5 minutes
1 heure
1 jour
1 semaine
> 1 semaine
Attributs de
sécurité améliorés

Intégrité
Corruption
Transactions perdues : 1
10
100
1.000
Evénements
redoutés traités

Confidentialité Divulgation ER1  ER2  ER3 
Preuve Enregistrements non probants ER4  ER5  ER6 
Légalité Transgression ER7  ER8  ER9 

32. 21/11/2014
32
63
Risque : méthode simplifiée (15)
 Plan de traitement (3)
• Pour chaque actif :
efficacité des mesures de sécurité sur les événements redoutés
Actif : ER1 ... MS1 ...
Disponibilité
Indisponibilité : 5 minutes
1 heure
1 jour
1 semaine
> 1 semaine
Intégrité
Corruption
Transactions perdues : 1
10
100
1.000
Confidentialité Divulgation
Preuve Enregistrements non probants
Légalité Transgression
64
Risque : méthode simplifiée (16)
 Plan de traitement (4)
• Risque résiduel
après application des mesures de sécurité
Conséquences
Actif : F I ... S Max
Disponibilité
Indisponibilité : 5 minutes
1 heure
1 jour
1 semaine
> 1 semaine
Intégrité
Corruption
Transactions perdues : 1
10
100
1.000
Confidentialité Divulgation
Preuve Enregistrements non probants
Légalité Transgression (loi, règlement, ...)

33. 21/11/2014
33
65
Risque : méthode simplifiée (17)
 Résumé
66
Risque : méthode simplifiée - histoire (18)
 1991 établissement bancaire
audit informatique
 risque supporté par le département informatique
non supporté par les responsables fonctionnels
méthode : gestion de risque
check 
list  méthodes d'audit
 méthode simplifiée
 1997 ISO 13335
 2005 administration fédérale
 2008 ISO 27005

34. 21/11/2014
34
67
Risque : méthode simplifiée - évaluation (19)
+
démarrage très court
implication des propriétaires fonctionnels
effort global : faible
documentation : claire et synthétique
expert en sécurité : intervention limitée
–
(supposition : bonnes pratiques de base)
68
Risque : méthode simplifiée (20)
 Exercice
La firme d'ingéniérie BelSmartChem réalise des projets d'usine chimique au
moyen d'un logiciel de conception assistée, développé par les fondateurs
associés, qui lui permet de produire ses plans et calculs plus vite que ses
concurrents.
Chiffre d'affaires : 5 millions €/an.
Elle utilise l'email dans ses relations commerciales.
Elle emploie 20 ingénieurs (800 €/j) et 5 employés administratifs
(400 €/j) chargés de la comptabilité et du suivi des projets.
Ses bureaux se trouvent dans un immeuble partagé avec un atelier de
mécanique.

35. 21/11/2014
35
69
Sommaire
 Concepts – définitions
 Gestion de la sécurité de l'information
 Normes
 ISO 27001 : SGSI – exigences
 ISO 27002 : code de pratique
 ISO 27005 : gestion du risque
 Gestion du risque : méthodes et outils classiques
 Gestion du risque : méthode simplifiée
 Gestion du risque : EBIOS
70
Risque : EBIOS (1)
 Origine
• FR : Agence Nationale de la Sécurité des Systèmes d'Information
www.ssi.gouv.fr/fr/anssi/
 EBIOS = Expression des Besoins et Identification des Objectifs
de Sécurité
 Méthode publique et gratuite
• Guide méthodologique
• Base de connaissances
• Exemple
• Outil documentaire

36. 21/11/2014
36
71
Risque : EBIOS (2)
 Domaine d'emploi
• Organisations publiques et privées
• Organisations grandes et petites
• ISMS ( ISO 27001)
• Documents "common criteria" ( ISO 15408)
• ...
72
Risque : EBIOS (3)
 Etapes

37. 21/11/2014
37
73
Risque : EBIOS (4)
 Module 1 : Etude du contexte (1)
• Périmètre
• Sources de menace : retenues ou non
• Métriques
Echelle de besoin
disponibilité
intégrité
confidentialité
preuve
 légalité

Niveaux de gravité (impact)
Niveaux de vraisemblance des scénarios de menace
Critères de gestion des risques (seuils de tolérance, ...)
74
Risque : EBIOS (5)
 Module 1 : Etude du contexte (2)
• Biens
Biens essentiels : "patrimoine informationnel", "biens immatériels"
 "dépositaire" !?
Biens supports : composants du système d'information
 "propriétaire" !?
Tableau : biens essentiels / biens supports
Mesures de sécurité existantes  ISO 27002 (p. ex.)
Tableau : mesures existantes / biens supports

38. 21/11/2014
38
75
Risque : EBIOS (6)
 Module 2 : Evénements redoutés
• Sur les biens essentiels
sans considération pour le scénario technique
• Sources de menace
• Impacts
• Tableau : événement redouté / source menace / impact / gravité
76
Risque : EBIOS (7)
 Module 3 : Scénarios de menaces
• Sur les biens supports
• Menaces
• Vulnérabilités
• Tableau :
biens supports / scénarios menace / sources menace / vraisemblance

39. 21/11/2014
39
77
Risque : EBIOS (8)
 Module 4 : Etude des risques (1)
• Corrélation événements redoutés / scénarios de menace
 module 2  module 3
• Analyse des risques
Par risque : gravité / vraisemblance
• Evaluation des risques
Classement des risques par gravité et vraisemblance
Risques Vraisemblance
+ ++ +++
Gravité
+++
++
+
78
Risque : EBIOS (9)
 Module 4 : Etude des risques (2)
• Options de traitement
Eviter
Réduire
Accepter
Transférer
• Risques résiduels

40. 21/11/2014
40
79
Risque : EBIOS (10)
 Module 5 : Mesures de sécurité
• Formalisation
Spécification
Risque résiduel
• Mise en oeuvre
80
Risque : EBIOS (11)
+
gratuité
marché de consultance
support d'une agence gouvernementale
outil informatique
documentation  certification (ISO 15408)
base de connaissances
–
formation à la méthode
lourdeur