Newsletter SPW Agriculture en province du Luxembourg du 17-05-24
ISO/IEC 27005 : processus de traitement des risques et conformité
1. 1
une analyse de risque , un audit entre théorie et
confrontation à la réalité
La méthode est bonne :
sa mise en application est perfectible
2. 2
Retour d’expérience de quelques années d’analyse
Les retours sur
Services
Industries
Etat
Sans contrainte ou avec
• 27001 ou 27005
Comme dirait FS, j’essaye de faire de la sécurité
3. 3
Dans la suite
Risk Manager =>
• Celui qui travaille
• Le Risk Manager
• L’auditeur
Equipe d’analyse
• Ensemble des risks manager
MOA => Propriétaire des actifs
MOE => les équipes autours
• La MOE
• Les architectes
• Les experts
Propriétaire du processus
• Propriétaire du processus d’audit, d’analyse de risque conforme à la
ISO/CEI 27005:2018
4. 4
Vulnérabilité MOA
Rappel les bases du SMSI est du topdown
7.2.4 Critères d'acceptation des risques
Méthode d’acceptation des risques
Inexistante
Inconnue
Exotique
Trop compliqué
Changeante
Inadaptée
5. 5
Vulnérabilité MOA
Valorisation des actifs
8.2.2 Identification des actifs
Multi-propriétaires des actifs
Risque manager explique à la
MOA les grilles de valorisation
Valorisation des actifs fonctions de
l’offre offert
Négociation de la valeur des actifs
Grilles impaires
6. 6
Vulnérabilité MOA
Traitement des risques (9)
Juste une MS sur 25 => on
baisse
On a contractualisé !!!
Existence de mesure de
sécurité ….. Un jour
Analyse de risque comme
méthode de management
Faire passer les évolutions (c'est pas
nous mais le méchant auditeur)
7. 7
Vulnérabilité MOA
Vulnérabilité 10 Acceptation des risques
en sécurité de l'information
MOA Absente
MOA qui veut mettre son risque
11 Communication et concertation
relatives aux risques en sécurité de
l'information
Moa qui veut comprendre
Une MOE aux fraises
8. 8
Vulnérabilité MOA-MOE
Traitement des risques (9)
La MOA sait ce qu’elle vous achète :
• audit de vulnérabilités,
• analyse de risque,
• Ebios, 901, 27001, 27002
Hypothèse d'une communication
interne chez le client
Multi propriétaire des actifs
9. 9
Vulnérabilité MOE
Absence d’input
8.2.2 Identification des actifs
Absence de DAT
Matrice des flux
Externalisation
Hors de mon projet – je ne
prends pas en compte
10. 10
Vulnérabilité MOE
Changement du périmètre
7.3 Domaine d'application et limites
Changement multiple
Lors de la restitution un cas non présenté est proposé
Evacuation de tous les CU compliqués
Saucissonnage qui empêche d’avoir une vision globale
12. 12
Vulnérabilité MOE
Mauvaise foi totale des audités
Régle any any accept
On va faire
le prestataire doit faire passer
son projet
il a vendu au forfait, on
arrive comme
accompagnateur sécurité
et on doit à la fin donner
notre avis de sécurité :
positif
Ne jamais faire l'hypothèse :
mon fils s'appelle Thomas
13. 13
Vulnérabilité Risk Manager
Incompétence complète
Changement de son périmètre usuel
27005 passe à une conformité 27001
Ebios RM => 27005
Différence entre auditeur et risk manager
Audit de maturité et Analyse de risque
Mesure de Sécurité exotique pour faire plaisir à l’auditeur
Rigide
Vulnérabilité industriel windows XP
14. 14
Vulnérabilité Risk Manager
Auditeur c'est un homme objectif, un audit peut être renouvelé par
n'importe quel auditeur
Auditeur est un prestataire qui est contrant dans le temps
Auditeur à son appétence
Auditeur à un grand âge
Risque environnement hautement sécurisé : site SEVESO,
banque, station d'épuration, data center
15. 15
Vulnérabilité Risk Manager
Il est influençable
On connait les règles d’acceptation
Les grilles pression du Cdp
Phase de négociation
17. 17
Vulnérabilité Propriétaire du Processus
Absence de PDCA du processus
Absence de revues des Adr
Risk manager qui décident de se qui est acceptable
Absence ce révision
Entre liste figée et
vulnérabilités exotique
Invention de menace
www.la-rache.com
18. 18
Vulnérabilité Propriétaire du Processus
Grille de décision du risque
7.2.2 Critères d'évaluation du risque
Valeur du risque toujours trop élevé : impact ne pourra jamais être
baissé
7.2.3 Critères d'impact
Grille inadaptée aux contextes
Exemple audit de vulnérabilité qui ne prends pas en compte le
contexte
19. 19
Vulnérabilité Propriétaire du Processus
12 Surveillance et réexamen des risques en sécurité de
l'information :
Nouveaux process, nouvelles grilles
Mises à jours des précédentes analyses
Temps
Absence des acteurs
Appuie sur une doc applicative mais de 2003… (confirme
W2000 est bien obsolète, syslog, en UDP, SNMP V1)
Pas d’acceptation du moindre risque
Acceptation des risques majeurs => la MOA voulait faire son projet
Argument on a achet très chère le produit…
Cotation des risques : pas de budget = nouveau dirigeant, il veut du budget
Décision prise sur un risque majeur = passe pas alors que 8 risques modéré cela passe…. Auditeur est-il non-objectif ?
Multi propriétaire des actifs
Arrivé à expliqué que ce n’est pas parque 1 MS que le niveau il baisse
Je ne me souviens plus quelle est le service qui a tout perdu en ligne
The solution est le contrat PAS PAQ …
qui n'et jamais fait qui met en place mais pas pour tout
Arrivé à expliqué que ce n’est pas parque 1 MS que le niveau il baisse
Je ne me souviens plus quelle est le service qui a tout perdu en ligne
The solution est le contrat PAS PAQ …
qui n'et jamais fait qui met en place mais pas pour tout
Arrivé à expliqué que ce n’est pas parque 1 MS que le niveau il baisse
Je ne me souviens plus quelle est le service qui a tout perdu en ligne
The solution est le contrat PAS PAQ …
qui n'et jamais fait qui met en place mais pas pour tout
Nous allons décrire dans cette partie la méthode ou protocole que nous allons suivre pour établir un plan de sécurité informatique global et actionnable, c’est à dire, une analyse des menaces que fait peser le Système Informatique (SI) sur l’entreprise et les actions à réaliser pour les prévenir.
Dans un premier temps nous allons définir le périmètre de l’étude. Il s’agit d’isoler les différents actifs métier de l’entreprise pour définir les risques qu’ils engendrent.
Enfin pour déterminer le niveau global de sécurité de l’entreprise on considère l’actif ou le couple actif-menace le moins sécurisé. À noter tout de même qu’obtenir une note de la sécurité globale de l’entreprise est moins intéressant que d’évaluer actif par actif car seule cette dernière méthode permet réellement de mettre en place les actions ciblées et pertinentes pour chaque actif.
Le risk manager va donner son avis sur
Conformité alros qu’il a un périmetre d’audit technique
Perimetre :
Nous allons décrire dans cette partie la méthode ou protocole que nous allons suivre pour établir un plan de sécurité informatique global et actionnable, c’est à dire, une analyse des menaces que fait peser le Système Informatique (SI) sur l’entreprise et les actions à réaliser pour les prévenir.
Dans un premier temps nous allons définir le périmètre de l’étude. Il s’agit d’isoler les différents actifs métier de l’entreprise pour définir les risques qu’ils engendrent.
Enfin pour déterminer le niveau global de sécurité de l’entreprise on considère l’actif ou le couple actif-menace le moins sécurisé. À noter tout de même qu’obtenir une note de la sécurité globale de l’entreprise est moins intéressant que d’évaluer actif par actif car seule cette dernière méthode permet réellement de mettre en place les actions ciblées et pertinentes pour chaque actif.
Le risk manager va donner son avis sur
Conformité alros qu’il a un périmetre d’audit technique
Perimetre :
Si je mets un risque modéré il est accepté, si majeur risque refusé.
Christophe tu es anxiogene
Audit rsque terroristre ignoré
Valeur de l’actif est la valeur de l’impact … et l’impact est toujoues élevé =Il faut laisser les mesures se faire…
Devient un audit de conformité
Vulnérabilité critique otp clair alors qu’i s’agit d’un VLAN dédié
Valeur de l’actif est la valeur de l’impact … et l’impact est toujoues élevé =Il faut laisser les mesures se faire…
Devient un audit de conformité
Vulnérabilité critique otp clair alors qu’i s’agit d’un VLAN dédié