SlideShare une entreprise Scribd logo
1
une analyse de risque , un audit entre théorie et
confrontation à la réalité
La méthode est bonne :
sa mise en application est perfectible
2
 Retour d’expérience de quelques années d’analyse
 Les retours sur
 Services
 Industries
 Etat
 Sans contrainte ou avec
• 27001 ou 27005
 Comme dirait FS, j’essaye de faire de la sécurité
3
 Dans la suite
 Risk Manager =>
• Celui qui travaille
• Le Risk Manager
• L’auditeur
 Equipe d’analyse
• Ensemble des risks manager
 MOA => Propriétaire des actifs
 MOE => les équipes autours
• La MOE
• Les architectes
• Les experts
 Propriétaire du processus
• Propriétaire du processus d’audit, d’analyse de risque conforme à la
ISO/CEI 27005:2018
4
Vulnérabilité MOA
 Rappel les bases du SMSI est du topdown
7.2.4 Critères d'acceptation des risques
 Méthode d’acceptation des risques
 Inexistante
 Inconnue
 Exotique
 Trop compliqué
 Changeante
 Inadaptée
5
Vulnérabilité MOA
 Valorisation des actifs
 8.2.2 Identification des actifs
 Multi-propriétaires des actifs
 Risque manager explique à la
MOA les grilles de valorisation
 Valorisation des actifs fonctions de
l’offre offert
 Négociation de la valeur des actifs
 Grilles impaires
6
Vulnérabilité MOA
 Traitement des risques (9)
 Juste une MS sur 25 => on
baisse
 On a contractualisé !!!
 Existence de mesure de
sécurité ….. Un jour
 Analyse de risque comme
méthode de management
Faire passer les évolutions (c'est pas
nous mais le méchant auditeur)
7
Vulnérabilité MOA
 Vulnérabilité 10 Acceptation des risques
en sécurité de l'information
 MOA Absente
 MOA qui veut mettre son risque
 11 Communication et concertation
relatives aux risques en sécurité de
l'information
 Moa qui veut comprendre
 Une MOE aux fraises
8
Vulnérabilité MOA-MOE
 Traitement des risques (9)
 La MOA sait ce qu’elle vous achète :
• audit de vulnérabilités,
• analyse de risque,
• Ebios, 901, 27001, 27002
 Hypothèse d'une communication
interne chez le client
 Multi propriétaire des actifs
9
Vulnérabilité MOE
 Absence d’input
 8.2.2 Identification des actifs
 Absence de DAT
 Matrice des flux
 Externalisation
 Hors de mon projet – je ne
prends pas en compte
10
Vulnérabilité MOE
 Changement du périmètre
 7.3 Domaine d'application et limites
 Changement multiple
 Lors de la restitution un cas non présenté est proposé
 Evacuation de tous les CU compliqués
 Saucissonnage qui empêche d’avoir une vision globale
11
Vulnérabilité MOE
 Problèmes de rôles
 Architecte qui se prend pour
le risk manager et qui
maitrise mal les concepts
12
Vulnérabilité MOE
 Mauvaise foi totale des audités
 Régle any any accept
 On va faire
 le prestataire doit faire passer
son projet
 il a vendu au forfait, on
arrive comme
accompagnateur sécurité
et on doit à la fin donner
notre avis de sécurité :
positif
 Ne jamais faire l'hypothèse :
mon fils s'appelle Thomas
13
Vulnérabilité Risk Manager
 Incompétence complète
 Changement de son périmètre usuel
 27005 passe à une conformité 27001
 Ebios RM => 27005
 Différence entre auditeur et risk manager
 Audit de maturité et Analyse de risque
 Mesure de Sécurité exotique pour faire plaisir à l’auditeur
 Rigide
 Vulnérabilité industriel windows XP
14
Vulnérabilité Risk Manager
 Auditeur c'est un homme objectif, un audit peut être renouvelé par
n'importe quel auditeur
 Auditeur est un prestataire qui est contrant dans le temps
Auditeur à son appétence
Auditeur à un grand âge
 Risque environnement hautement sécurisé : site SEVESO,
banque, station d'épuration, data center
15
Vulnérabilité Risk Manager
 Il est influençable
 On connait les règles d’acceptation
 Les grilles pression du Cdp
 Phase de négociation
16
Vulnérabilité Risk Manager
La différence entre les ppt et docs et
fichier excel
Notamment les périmètres qui
divergent
17
Vulnérabilité Propriétaire du Processus
 Absence de PDCA du processus
 Absence de revues des Adr
 Risk manager qui décident de se qui est acceptable
Absence ce révision
 Entre liste figée et
vulnérabilités exotique
 Invention de menace
www.la-rache.com
18
Vulnérabilité Propriétaire du Processus
 Grille de décision du risque
 7.2.2 Critères d'évaluation du risque
 Valeur du risque toujours trop élevé : impact ne pourra jamais être
baissé
 7.2.3 Critères d'impact
 Grille inadaptée aux contextes
 Exemple audit de vulnérabilité qui ne prends pas en compte le
contexte
19
Vulnérabilité Propriétaire du Processus
 12 Surveillance et réexamen des risques en sécurité de
l'information :
 Nouveaux process, nouvelles grilles
 Mises à jours des précédentes analyses
 Temps
 Absence des acteurs
 Appuie sur une doc applicative mais de 2003… (confirme
W2000 est bien obsolète, syslog, en UDP, SNMP V1)
20
Jusque la tout va bien

Contenu connexe

Tendances

Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatique
Mohamed Ali Hadhri
 
Ebios
EbiosEbios
Ebios
kilojolid
 
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
lancedafric.org
 
Gestion des risques
Gestion des risquesGestion des risques
Gestion des risques
eGov Innovation Center
 
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...
Eric Clairvoyant, Adm.A.,T.P., CRISC
 
Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013
Bachir Benyammi
 
Présentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerPrésentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk Manager
Comsoce
 
PCI DSS - SSC ... C'est Quoi ?
PCI DSS - SSC ... C'est Quoi ?PCI DSS - SSC ... C'est Quoi ?
PCI DSS - SSC ... C'est Quoi ?
Djallal BOUABDALLAH
 
ISO 27001
ISO 27001ISO 27001
Mission d'audit des Systéme d'information
Mission d'audit des Systéme d'informationMission d'audit des Systéme d'information
Mission d'audit des Systéme d'information
Aymen Foudhaili
 
Mehari 2010-manuel-de-reference-2-14
Mehari 2010-manuel-de-reference-2-14Mehari 2010-manuel-de-reference-2-14
Mehari 2010-manuel-de-reference-2-14imen1989
 
Mehari
MehariMehari
Mehari
Afaf MATOUG
 
Référentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIRéférentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SI
Alghajati
 
Presentation iso27002
Presentation iso27002Presentation iso27002
Presentation iso27002
soumaila Doumbia
 
Normes ISO 2700X et CISO MINDMAP 2022-23.pptx
Normes ISO 2700X et CISO MINDMAP 2022-23.pptxNormes ISO 2700X et CISO MINDMAP 2022-23.pptx
Normes ISO 2700X et CISO MINDMAP 2022-23.pptx
AmorFranois
 
Présentation audits de sécurité
Présentation   audits de sécuritéPrésentation   audits de sécurité
Présentation audits de sécurité
Harvey Francois
 
SMSI.pdf
SMSI.pdfSMSI.pdf
SMSI.pdf
HajarSalimi
 
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entrepriseProgramme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
EyesOpen Association
 

Tendances (20)

Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatique
 
Ebios
EbiosEbios
Ebios
 
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
 
Gestion des risques
Gestion des risquesGestion des risques
Gestion des risques
 
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...
 
Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013
 
Présentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerPrésentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk Manager
 
PCI DSS - SSC ... C'est Quoi ?
PCI DSS - SSC ... C'est Quoi ?PCI DSS - SSC ... C'est Quoi ?
PCI DSS - SSC ... C'est Quoi ?
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 
Mission d'audit des Systéme d'information
Mission d'audit des Systéme d'informationMission d'audit des Systéme d'information
Mission d'audit des Systéme d'information
 
Mehari 2010-manuel-de-reference-2-14
Mehari 2010-manuel-de-reference-2-14Mehari 2010-manuel-de-reference-2-14
Mehari 2010-manuel-de-reference-2-14
 
Ebios
EbiosEbios
Ebios
 
Netclu09 27005
Netclu09 27005Netclu09 27005
Netclu09 27005
 
Mehari
MehariMehari
Mehari
 
Référentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIRéférentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SI
 
Presentation iso27002
Presentation iso27002Presentation iso27002
Presentation iso27002
 
Normes ISO 2700X et CISO MINDMAP 2022-23.pptx
Normes ISO 2700X et CISO MINDMAP 2022-23.pptxNormes ISO 2700X et CISO MINDMAP 2022-23.pptx
Normes ISO 2700X et CISO MINDMAP 2022-23.pptx
 
Présentation audits de sécurité
Présentation   audits de sécuritéPrésentation   audits de sécurité
Présentation audits de sécurité
 
SMSI.pdf
SMSI.pdfSMSI.pdf
SMSI.pdf
 
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entrepriseProgramme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
 

Similaire à ISO/IEC 27005 : processus de traitement des risques et conformité

MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...PMI-Montréal
 
2011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v022011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v02
Sébastien GIORIA
 
#NSD16 - rex-audit coté startup - Youen Chéné
#NSD16 - rex-audit coté startup - Youen Chéné#NSD16 - rex-audit coté startup - Youen Chéné
#NSD16 - rex-audit coté startup - Youen Chéné
NetSecure Day
 
EBIOS Risk Manager
EBIOS Risk ManagerEBIOS Risk Manager
EBIOS Risk Manager
Comsoce
 
OWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 -  Les 10 risques sur les mobilesOWASP Mobile Top10 -  Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobiles
Sébastien GIORIA
 
Université laval présentation sur la gestion des risques 31-03-2015 vf2
Université laval   présentation sur la gestion des risques 31-03-2015 vf2Université laval   présentation sur la gestion des risques 31-03-2015 vf2
Université laval présentation sur la gestion des risques 31-03-2015 vf2
ISACA Chapitre de Québec
 
Maîtrise de risques en gestion de projet
Maîtrise de risques en gestion de projetMaîtrise de risques en gestion de projet
Maîtrise de risques en gestion de projet
Chef De Projet Détendu
 
Atelier Technique RAPID7 ACSS 2018
Atelier Technique RAPID7 ACSS 2018Atelier Technique RAPID7 ACSS 2018
Atelier Technique RAPID7 ACSS 2018
African Cyber Security Summit
 
La sécurité applicative par le design
La sécurité applicative par le designLa sécurité applicative par le design
La sécurité applicative par le design
Christophe Villeneuve
 
Gp 06 La Planification Auxiliaire
Gp 06   La Planification AuxiliaireGp 06   La Planification Auxiliaire
Gp 06 La Planification Auxiliaire
Claude Michaud
 
LA GESTION DES RISQUES DANS UN PROJET.pptx
LA GESTION DES RISQUES DANS UN PROJET.pptxLA GESTION DES RISQUES DANS UN PROJET.pptx
LA GESTION DES RISQUES DANS UN PROJET.pptx
mouradsaadoun
 
Presentation gestion risques
Presentation gestion risquesPresentation gestion risques
Presentation gestion risques
Florine Clomegah
 
amelioration de disponibilité.pdf
amelioration de disponibilité.pdfamelioration de disponibilité.pdf
amelioration de disponibilité.pdf
GhizlaneLam
 
Un peu de sécurité dans ce monde de Kiwi
Un peu de sécurité dans ce monde de KiwiUn peu de sécurité dans ce monde de Kiwi
Un peu de sécurité dans ce monde de Kiwi
Laurie-Anne Bourdain
 
CONF. 201 - Gérer des projets de système d’information à risque élevé : raiso...
CONF. 201 - Gérer des projets de système d’information à risque élevé : raiso...CONF. 201 - Gérer des projets de système d’information à risque élevé : raiso...
CONF. 201 - Gérer des projets de système d’information à risque élevé : raiso...
PMI-Montréal
 
#NSD15 - Intelligence juridique & systèmes d'informations
#NSD15 - Intelligence juridique & systèmes d'informations#NSD15 - Intelligence juridique & systèmes d'informations
#NSD15 - Intelligence juridique & systèmes d'informations
NetSecure Day
 
Développer la culture ERM
Développer la culture ERMDévelopper la culture ERM
Développer la culture ERM
David Dubois
 
Présentation résistante directeurs experts 20140527
Présentation résistante   directeurs experts 20140527Présentation résistante   directeurs experts 20140527
Présentation résistante directeurs experts 20140527
Résistante Risk Solutions
 
Sécurité dans les contrats d'externalisation de services de développement et ...
Sécurité dans les contrats d'externalisation de services de développement et ...Sécurité dans les contrats d'externalisation de services de développement et ...
Sécurité dans les contrats d'externalisation de services de développement et ...
Antonio Fontes
 

Similaire à ISO/IEC 27005 : processus de traitement des risques et conformité (20)

MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
 
2011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v022011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v02
 
#NSD16 - rex-audit coté startup - Youen Chéné
#NSD16 - rex-audit coté startup - Youen Chéné#NSD16 - rex-audit coté startup - Youen Chéné
#NSD16 - rex-audit coté startup - Youen Chéné
 
EBIOS Risk Manager
EBIOS Risk ManagerEBIOS Risk Manager
EBIOS Risk Manager
 
OWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 -  Les 10 risques sur les mobilesOWASP Mobile Top10 -  Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobiles
 
Université laval présentation sur la gestion des risques 31-03-2015 vf2
Université laval   présentation sur la gestion des risques 31-03-2015 vf2Université laval   présentation sur la gestion des risques 31-03-2015 vf2
Université laval présentation sur la gestion des risques 31-03-2015 vf2
 
Maîtrise de risques en gestion de projet
Maîtrise de risques en gestion de projetMaîtrise de risques en gestion de projet
Maîtrise de risques en gestion de projet
 
Atelier Technique RAPID7 ACSS 2018
Atelier Technique RAPID7 ACSS 2018Atelier Technique RAPID7 ACSS 2018
Atelier Technique RAPID7 ACSS 2018
 
La sécurité applicative par le design
La sécurité applicative par le designLa sécurité applicative par le design
La sécurité applicative par le design
 
Gp 06 La Planification Auxiliaire
Gp 06   La Planification AuxiliaireGp 06   La Planification Auxiliaire
Gp 06 La Planification Auxiliaire
 
LA GESTION DES RISQUES DANS UN PROJET.pptx
LA GESTION DES RISQUES DANS UN PROJET.pptxLA GESTION DES RISQUES DANS UN PROJET.pptx
LA GESTION DES RISQUES DANS UN PROJET.pptx
 
Presentation gestion risques
Presentation gestion risquesPresentation gestion risques
Presentation gestion risques
 
Livre Blanc Sauvetage de projets
Livre Blanc Sauvetage de projetsLivre Blanc Sauvetage de projets
Livre Blanc Sauvetage de projets
 
amelioration de disponibilité.pdf
amelioration de disponibilité.pdfamelioration de disponibilité.pdf
amelioration de disponibilité.pdf
 
Un peu de sécurité dans ce monde de Kiwi
Un peu de sécurité dans ce monde de KiwiUn peu de sécurité dans ce monde de Kiwi
Un peu de sécurité dans ce monde de Kiwi
 
CONF. 201 - Gérer des projets de système d’information à risque élevé : raiso...
CONF. 201 - Gérer des projets de système d’information à risque élevé : raiso...CONF. 201 - Gérer des projets de système d’information à risque élevé : raiso...
CONF. 201 - Gérer des projets de système d’information à risque élevé : raiso...
 
#NSD15 - Intelligence juridique & systèmes d'informations
#NSD15 - Intelligence juridique & systèmes d'informations#NSD15 - Intelligence juridique & systèmes d'informations
#NSD15 - Intelligence juridique & systèmes d'informations
 
Développer la culture ERM
Développer la culture ERMDévelopper la culture ERM
Développer la culture ERM
 
Présentation résistante directeurs experts 20140527
Présentation résistante   directeurs experts 20140527Présentation résistante   directeurs experts 20140527
Présentation résistante directeurs experts 20140527
 
Sécurité dans les contrats d'externalisation de services de développement et ...
Sécurité dans les contrats d'externalisation de services de développement et ...Sécurité dans les contrats d'externalisation de services de développement et ...
Sécurité dans les contrats d'externalisation de services de développement et ...
 

Plus de PECB

ISO/IEC 27001, ISO/IEC 42001, and GDPR: Best Practices for Implementation and...
ISO/IEC 27001, ISO/IEC 42001, and GDPR: Best Practices for Implementation and...ISO/IEC 27001, ISO/IEC 42001, and GDPR: Best Practices for Implementation and...
ISO/IEC 27001, ISO/IEC 42001, and GDPR: Best Practices for Implementation and...
PECB
 
Beyond the EU: DORA and NIS 2 Directive's Global Impact
Beyond the EU: DORA and NIS 2 Directive's Global ImpactBeyond the EU: DORA and NIS 2 Directive's Global Impact
Beyond the EU: DORA and NIS 2 Directive's Global Impact
PECB
 
DORA, ISO/IEC 27005, and the Rise of AI: Securing the Future of Cybersecurity
DORA, ISO/IEC 27005, and the Rise of AI: Securing the Future of CybersecurityDORA, ISO/IEC 27005, and the Rise of AI: Securing the Future of Cybersecurity
DORA, ISO/IEC 27005, and the Rise of AI: Securing the Future of Cybersecurity
PECB
 
Securing the Future: ISO/IEC 27001, ISO/IEC 42001, and AI Governance
Securing the Future: ISO/IEC 27001, ISO/IEC 42001, and AI GovernanceSecuring the Future: ISO/IEC 27001, ISO/IEC 42001, and AI Governance
Securing the Future: ISO/IEC 27001, ISO/IEC 42001, and AI Governance
PECB
 
ISO/IEC 27032, ISO/IEC 27002, and CMMC Frameworks - Achieving Cybersecurity M...
ISO/IEC 27032, ISO/IEC 27002, and CMMC Frameworks - Achieving Cybersecurity M...ISO/IEC 27032, ISO/IEC 27002, and CMMC Frameworks - Achieving Cybersecurity M...
ISO/IEC 27032, ISO/IEC 27002, and CMMC Frameworks - Achieving Cybersecurity M...
PECB
 
ISO/IEC 27001 and ISO/IEC 27035: Building a Resilient Cybersecurity Strategy ...
ISO/IEC 27001 and ISO/IEC 27035: Building a Resilient Cybersecurity Strategy ...ISO/IEC 27001 and ISO/IEC 27035: Building a Resilient Cybersecurity Strategy ...
ISO/IEC 27001 and ISO/IEC 27035: Building a Resilient Cybersecurity Strategy ...
PECB
 
ISO/IEC 27001 and ISO/IEC 27005: Managing AI Risks Effectively
ISO/IEC 27001 and ISO/IEC 27005: Managing AI Risks EffectivelyISO/IEC 27001 and ISO/IEC 27005: Managing AI Risks Effectively
ISO/IEC 27001 and ISO/IEC 27005: Managing AI Risks Effectively
PECB
 
Aligning ISO/IEC 27032:2023 and ISO/IEC 27701: Strengthening Cybersecurity Re...
Aligning ISO/IEC 27032:2023 and ISO/IEC 27701: Strengthening Cybersecurity Re...Aligning ISO/IEC 27032:2023 and ISO/IEC 27701: Strengthening Cybersecurity Re...
Aligning ISO/IEC 27032:2023 and ISO/IEC 27701: Strengthening Cybersecurity Re...
PECB
 
ISO/IEC 27001 and ISO/IEC 27032:2023 - Safeguarding Your Digital Transformation
ISO/IEC 27001 and ISO/IEC 27032:2023 - Safeguarding Your Digital TransformationISO/IEC 27001 and ISO/IEC 27032:2023 - Safeguarding Your Digital Transformation
ISO/IEC 27001 and ISO/IEC 27032:2023 - Safeguarding Your Digital Transformation
PECB
 
Managing ISO 31000 Framework in AI Systems - The EU ACT and other regulations
Managing ISO 31000 Framework in AI Systems - The EU ACT and other regulationsManaging ISO 31000 Framework in AI Systems - The EU ACT and other regulations
Managing ISO 31000 Framework in AI Systems - The EU ACT and other regulations
PECB
 
Impact of Generative AI in Cybersecurity - How can ISO/IEC 27032 help?
Impact of Generative AI in Cybersecurity - How can ISO/IEC 27032 help?Impact of Generative AI in Cybersecurity - How can ISO/IEC 27032 help?
Impact of Generative AI in Cybersecurity - How can ISO/IEC 27032 help?
PECB
 
GDPR and Data Protection: Ensure compliance and minimize the risk of penaltie...
GDPR and Data Protection: Ensure compliance and minimize the risk of penaltie...GDPR and Data Protection: Ensure compliance and minimize the risk of penaltie...
GDPR and Data Protection: Ensure compliance and minimize the risk of penaltie...
PECB
 
How Can ISO/IEC 27001 Help Organizations Align With the EU Cybersecurity Regu...
How Can ISO/IEC 27001 Help Organizations Align With the EU Cybersecurity Regu...How Can ISO/IEC 27001 Help Organizations Align With the EU Cybersecurity Regu...
How Can ISO/IEC 27001 Help Organizations Align With the EU Cybersecurity Regu...
PECB
 
Student Information Session University KTMC
Student Information Session University KTMC Student Information Session University KTMC
Student Information Session University KTMC
PECB
 
ISO/IEC 27001 and ISO 22301 - How to ensure business survival against cyber a...
ISO/IEC 27001 and ISO 22301 - How to ensure business survival against cyber a...ISO/IEC 27001 and ISO 22301 - How to ensure business survival against cyber a...
ISO/IEC 27001 and ISO 22301 - How to ensure business survival against cyber a...
PECB
 
Integrating ISO/IEC 27001 and ISO 31000 for Effective Information Security an...
Integrating ISO/IEC 27001 and ISO 31000 for Effective Information Security an...Integrating ISO/IEC 27001 and ISO 31000 for Effective Information Security an...
Integrating ISO/IEC 27001 and ISO 31000 for Effective Information Security an...
PECB
 
Student Information Session University CREST ADVISORY AFRICA
Student Information Session University CREST ADVISORY AFRICA Student Information Session University CREST ADVISORY AFRICA
Student Information Session University CREST ADVISORY AFRICA
PECB
 
IT Governance and Information Security – How do they map?
IT Governance and Information Security – How do they map?IT Governance and Information Security – How do they map?
IT Governance and Information Security – How do they map?
PECB
 
Information Session University Egybyte.pptx
Information Session University Egybyte.pptxInformation Session University Egybyte.pptx
Information Session University Egybyte.pptx
PECB
 
Student Information Session University Digital Encode.pptx
Student Information Session University Digital Encode.pptxStudent Information Session University Digital Encode.pptx
Student Information Session University Digital Encode.pptx
PECB
 

Plus de PECB (20)

ISO/IEC 27001, ISO/IEC 42001, and GDPR: Best Practices for Implementation and...
ISO/IEC 27001, ISO/IEC 42001, and GDPR: Best Practices for Implementation and...ISO/IEC 27001, ISO/IEC 42001, and GDPR: Best Practices for Implementation and...
ISO/IEC 27001, ISO/IEC 42001, and GDPR: Best Practices for Implementation and...
 
Beyond the EU: DORA and NIS 2 Directive's Global Impact
Beyond the EU: DORA and NIS 2 Directive's Global ImpactBeyond the EU: DORA and NIS 2 Directive's Global Impact
Beyond the EU: DORA and NIS 2 Directive's Global Impact
 
DORA, ISO/IEC 27005, and the Rise of AI: Securing the Future of Cybersecurity
DORA, ISO/IEC 27005, and the Rise of AI: Securing the Future of CybersecurityDORA, ISO/IEC 27005, and the Rise of AI: Securing the Future of Cybersecurity
DORA, ISO/IEC 27005, and the Rise of AI: Securing the Future of Cybersecurity
 
Securing the Future: ISO/IEC 27001, ISO/IEC 42001, and AI Governance
Securing the Future: ISO/IEC 27001, ISO/IEC 42001, and AI GovernanceSecuring the Future: ISO/IEC 27001, ISO/IEC 42001, and AI Governance
Securing the Future: ISO/IEC 27001, ISO/IEC 42001, and AI Governance
 
ISO/IEC 27032, ISO/IEC 27002, and CMMC Frameworks - Achieving Cybersecurity M...
ISO/IEC 27032, ISO/IEC 27002, and CMMC Frameworks - Achieving Cybersecurity M...ISO/IEC 27032, ISO/IEC 27002, and CMMC Frameworks - Achieving Cybersecurity M...
ISO/IEC 27032, ISO/IEC 27002, and CMMC Frameworks - Achieving Cybersecurity M...
 
ISO/IEC 27001 and ISO/IEC 27035: Building a Resilient Cybersecurity Strategy ...
ISO/IEC 27001 and ISO/IEC 27035: Building a Resilient Cybersecurity Strategy ...ISO/IEC 27001 and ISO/IEC 27035: Building a Resilient Cybersecurity Strategy ...
ISO/IEC 27001 and ISO/IEC 27035: Building a Resilient Cybersecurity Strategy ...
 
ISO/IEC 27001 and ISO/IEC 27005: Managing AI Risks Effectively
ISO/IEC 27001 and ISO/IEC 27005: Managing AI Risks EffectivelyISO/IEC 27001 and ISO/IEC 27005: Managing AI Risks Effectively
ISO/IEC 27001 and ISO/IEC 27005: Managing AI Risks Effectively
 
Aligning ISO/IEC 27032:2023 and ISO/IEC 27701: Strengthening Cybersecurity Re...
Aligning ISO/IEC 27032:2023 and ISO/IEC 27701: Strengthening Cybersecurity Re...Aligning ISO/IEC 27032:2023 and ISO/IEC 27701: Strengthening Cybersecurity Re...
Aligning ISO/IEC 27032:2023 and ISO/IEC 27701: Strengthening Cybersecurity Re...
 
ISO/IEC 27001 and ISO/IEC 27032:2023 - Safeguarding Your Digital Transformation
ISO/IEC 27001 and ISO/IEC 27032:2023 - Safeguarding Your Digital TransformationISO/IEC 27001 and ISO/IEC 27032:2023 - Safeguarding Your Digital Transformation
ISO/IEC 27001 and ISO/IEC 27032:2023 - Safeguarding Your Digital Transformation
 
Managing ISO 31000 Framework in AI Systems - The EU ACT and other regulations
Managing ISO 31000 Framework in AI Systems - The EU ACT and other regulationsManaging ISO 31000 Framework in AI Systems - The EU ACT and other regulations
Managing ISO 31000 Framework in AI Systems - The EU ACT and other regulations
 
Impact of Generative AI in Cybersecurity - How can ISO/IEC 27032 help?
Impact of Generative AI in Cybersecurity - How can ISO/IEC 27032 help?Impact of Generative AI in Cybersecurity - How can ISO/IEC 27032 help?
Impact of Generative AI in Cybersecurity - How can ISO/IEC 27032 help?
 
GDPR and Data Protection: Ensure compliance and minimize the risk of penaltie...
GDPR and Data Protection: Ensure compliance and minimize the risk of penaltie...GDPR and Data Protection: Ensure compliance and minimize the risk of penaltie...
GDPR and Data Protection: Ensure compliance and minimize the risk of penaltie...
 
How Can ISO/IEC 27001 Help Organizations Align With the EU Cybersecurity Regu...
How Can ISO/IEC 27001 Help Organizations Align With the EU Cybersecurity Regu...How Can ISO/IEC 27001 Help Organizations Align With the EU Cybersecurity Regu...
How Can ISO/IEC 27001 Help Organizations Align With the EU Cybersecurity Regu...
 
Student Information Session University KTMC
Student Information Session University KTMC Student Information Session University KTMC
Student Information Session University KTMC
 
ISO/IEC 27001 and ISO 22301 - How to ensure business survival against cyber a...
ISO/IEC 27001 and ISO 22301 - How to ensure business survival against cyber a...ISO/IEC 27001 and ISO 22301 - How to ensure business survival against cyber a...
ISO/IEC 27001 and ISO 22301 - How to ensure business survival against cyber a...
 
Integrating ISO/IEC 27001 and ISO 31000 for Effective Information Security an...
Integrating ISO/IEC 27001 and ISO 31000 for Effective Information Security an...Integrating ISO/IEC 27001 and ISO 31000 for Effective Information Security an...
Integrating ISO/IEC 27001 and ISO 31000 for Effective Information Security an...
 
Student Information Session University CREST ADVISORY AFRICA
Student Information Session University CREST ADVISORY AFRICA Student Information Session University CREST ADVISORY AFRICA
Student Information Session University CREST ADVISORY AFRICA
 
IT Governance and Information Security – How do they map?
IT Governance and Information Security – How do they map?IT Governance and Information Security – How do they map?
IT Governance and Information Security – How do they map?
 
Information Session University Egybyte.pptx
Information Session University Egybyte.pptxInformation Session University Egybyte.pptx
Information Session University Egybyte.pptx
 
Student Information Session University Digital Encode.pptx
Student Information Session University Digital Encode.pptxStudent Information Session University Digital Encode.pptx
Student Information Session University Digital Encode.pptx
 

Dernier

Iris van Herpen. pptx
Iris         van         Herpen.      pptxIris         van         Herpen.      pptx
Iris van Herpen. pptx
Txaruka
 
Cycle de Formation Théâtrale 2024 / 2025
Cycle de Formation Théâtrale 2024 / 2025Cycle de Formation Théâtrale 2024 / 2025
Cycle de Formation Théâtrale 2024 / 2025
Billy DEYLORD
 
Formation M2i - Onboarding réussi - les clés pour intégrer efficacement vos n...
Formation M2i - Onboarding réussi - les clés pour intégrer efficacement vos n...Formation M2i - Onboarding réussi - les clés pour intégrer efficacement vos n...
Formation M2i - Onboarding réussi - les clés pour intégrer efficacement vos n...
M2i Formation
 
Burkina Faso library newsletter May 2024
Burkina Faso library newsletter May 2024Burkina Faso library newsletter May 2024
Burkina Faso library newsletter May 2024
Friends of African Village Libraries
 
Iris van Herpen. pptx
Iris            van        Herpen.     pptxIris            van        Herpen.     pptx
Iris van Herpen. pptx
Txaruka
 
Formation Intelligence Artificielle pour dirigeants- IT6-DIGITALIX 24_opt OK_...
Formation Intelligence Artificielle pour dirigeants- IT6-DIGITALIX 24_opt OK_...Formation Intelligence Artificielle pour dirigeants- IT6-DIGITALIX 24_opt OK_...
Formation Intelligence Artificielle pour dirigeants- IT6-DIGITALIX 24_opt OK_...
cristionobedi
 
Iris van Herpen. pptx
Iris         van        Herpen.      pptxIris         van        Herpen.      pptx
Iris van Herpen. pptx
Txaruka
 
Newsletter SPW Agriculture en province du Luxembourg du 12-06-24
Newsletter SPW Agriculture en province du Luxembourg du 12-06-24Newsletter SPW Agriculture en province du Luxembourg du 12-06-24
Newsletter SPW Agriculture en province du Luxembourg du 12-06-24
BenotGeorges3
 

Dernier (8)

Iris van Herpen. pptx
Iris         van         Herpen.      pptxIris         van         Herpen.      pptx
Iris van Herpen. pptx
 
Cycle de Formation Théâtrale 2024 / 2025
Cycle de Formation Théâtrale 2024 / 2025Cycle de Formation Théâtrale 2024 / 2025
Cycle de Formation Théâtrale 2024 / 2025
 
Formation M2i - Onboarding réussi - les clés pour intégrer efficacement vos n...
Formation M2i - Onboarding réussi - les clés pour intégrer efficacement vos n...Formation M2i - Onboarding réussi - les clés pour intégrer efficacement vos n...
Formation M2i - Onboarding réussi - les clés pour intégrer efficacement vos n...
 
Burkina Faso library newsletter May 2024
Burkina Faso library newsletter May 2024Burkina Faso library newsletter May 2024
Burkina Faso library newsletter May 2024
 
Iris van Herpen. pptx
Iris            van        Herpen.     pptxIris            van        Herpen.     pptx
Iris van Herpen. pptx
 
Formation Intelligence Artificielle pour dirigeants- IT6-DIGITALIX 24_opt OK_...
Formation Intelligence Artificielle pour dirigeants- IT6-DIGITALIX 24_opt OK_...Formation Intelligence Artificielle pour dirigeants- IT6-DIGITALIX 24_opt OK_...
Formation Intelligence Artificielle pour dirigeants- IT6-DIGITALIX 24_opt OK_...
 
Iris van Herpen. pptx
Iris         van        Herpen.      pptxIris         van        Herpen.      pptx
Iris van Herpen. pptx
 
Newsletter SPW Agriculture en province du Luxembourg du 12-06-24
Newsletter SPW Agriculture en province du Luxembourg du 12-06-24Newsletter SPW Agriculture en province du Luxembourg du 12-06-24
Newsletter SPW Agriculture en province du Luxembourg du 12-06-24
 

ISO/IEC 27005 : processus de traitement des risques et conformité

  • 1. 1 une analyse de risque , un audit entre théorie et confrontation à la réalité La méthode est bonne : sa mise en application est perfectible
  • 2. 2  Retour d’expérience de quelques années d’analyse  Les retours sur  Services  Industries  Etat  Sans contrainte ou avec • 27001 ou 27005  Comme dirait FS, j’essaye de faire de la sécurité
  • 3. 3  Dans la suite  Risk Manager => • Celui qui travaille • Le Risk Manager • L’auditeur  Equipe d’analyse • Ensemble des risks manager  MOA => Propriétaire des actifs  MOE => les équipes autours • La MOE • Les architectes • Les experts  Propriétaire du processus • Propriétaire du processus d’audit, d’analyse de risque conforme à la ISO/CEI 27005:2018
  • 4. 4 Vulnérabilité MOA  Rappel les bases du SMSI est du topdown 7.2.4 Critères d'acceptation des risques  Méthode d’acceptation des risques  Inexistante  Inconnue  Exotique  Trop compliqué  Changeante  Inadaptée
  • 5. 5 Vulnérabilité MOA  Valorisation des actifs  8.2.2 Identification des actifs  Multi-propriétaires des actifs  Risque manager explique à la MOA les grilles de valorisation  Valorisation des actifs fonctions de l’offre offert  Négociation de la valeur des actifs  Grilles impaires
  • 6. 6 Vulnérabilité MOA  Traitement des risques (9)  Juste une MS sur 25 => on baisse  On a contractualisé !!!  Existence de mesure de sécurité ….. Un jour  Analyse de risque comme méthode de management Faire passer les évolutions (c'est pas nous mais le méchant auditeur)
  • 7. 7 Vulnérabilité MOA  Vulnérabilité 10 Acceptation des risques en sécurité de l'information  MOA Absente  MOA qui veut mettre son risque  11 Communication et concertation relatives aux risques en sécurité de l'information  Moa qui veut comprendre  Une MOE aux fraises
  • 8. 8 Vulnérabilité MOA-MOE  Traitement des risques (9)  La MOA sait ce qu’elle vous achète : • audit de vulnérabilités, • analyse de risque, • Ebios, 901, 27001, 27002  Hypothèse d'une communication interne chez le client  Multi propriétaire des actifs
  • 9. 9 Vulnérabilité MOE  Absence d’input  8.2.2 Identification des actifs  Absence de DAT  Matrice des flux  Externalisation  Hors de mon projet – je ne prends pas en compte
  • 10. 10 Vulnérabilité MOE  Changement du périmètre  7.3 Domaine d'application et limites  Changement multiple  Lors de la restitution un cas non présenté est proposé  Evacuation de tous les CU compliqués  Saucissonnage qui empêche d’avoir une vision globale
  • 11. 11 Vulnérabilité MOE  Problèmes de rôles  Architecte qui se prend pour le risk manager et qui maitrise mal les concepts
  • 12. 12 Vulnérabilité MOE  Mauvaise foi totale des audités  Régle any any accept  On va faire  le prestataire doit faire passer son projet  il a vendu au forfait, on arrive comme accompagnateur sécurité et on doit à la fin donner notre avis de sécurité : positif  Ne jamais faire l'hypothèse : mon fils s'appelle Thomas
  • 13. 13 Vulnérabilité Risk Manager  Incompétence complète  Changement de son périmètre usuel  27005 passe à une conformité 27001  Ebios RM => 27005  Différence entre auditeur et risk manager  Audit de maturité et Analyse de risque  Mesure de Sécurité exotique pour faire plaisir à l’auditeur  Rigide  Vulnérabilité industriel windows XP
  • 14. 14 Vulnérabilité Risk Manager  Auditeur c'est un homme objectif, un audit peut être renouvelé par n'importe quel auditeur  Auditeur est un prestataire qui est contrant dans le temps Auditeur à son appétence Auditeur à un grand âge  Risque environnement hautement sécurisé : site SEVESO, banque, station d'épuration, data center
  • 15. 15 Vulnérabilité Risk Manager  Il est influençable  On connait les règles d’acceptation  Les grilles pression du Cdp  Phase de négociation
  • 16. 16 Vulnérabilité Risk Manager La différence entre les ppt et docs et fichier excel Notamment les périmètres qui divergent
  • 17. 17 Vulnérabilité Propriétaire du Processus  Absence de PDCA du processus  Absence de revues des Adr  Risk manager qui décident de se qui est acceptable Absence ce révision  Entre liste figée et vulnérabilités exotique  Invention de menace www.la-rache.com
  • 18. 18 Vulnérabilité Propriétaire du Processus  Grille de décision du risque  7.2.2 Critères d'évaluation du risque  Valeur du risque toujours trop élevé : impact ne pourra jamais être baissé  7.2.3 Critères d'impact  Grille inadaptée aux contextes  Exemple audit de vulnérabilité qui ne prends pas en compte le contexte
  • 19. 19 Vulnérabilité Propriétaire du Processus  12 Surveillance et réexamen des risques en sécurité de l'information :  Nouveaux process, nouvelles grilles  Mises à jours des précédentes analyses  Temps  Absence des acteurs  Appuie sur une doc applicative mais de 2003… (confirme W2000 est bien obsolète, syslog, en UDP, SNMP V1)
  • 20. 20 Jusque la tout va bien

Notes de l'éditeur

  1. Pas d’acceptation du moindre risque Acceptation des risques majeurs => la MOA voulait faire son projet Argument on a achet très chère le produit… Cotation des risques : pas de budget = nouveau dirigeant, il veut du budget Décision prise sur un risque majeur = passe pas alors que 8 risques modéré cela passe…. Auditeur est-il non-objectif ? Multi propriétaire des actifs
  2. Arrivé à expliqué que ce n’est pas parque 1 MS que le niveau il baisse Je ne me souviens plus quelle est le service qui a tout perdu en ligne The solution est le contrat PAS PAQ … qui n'et jamais fait qui met en place mais pas pour tout
  3. Arrivé à expliqué que ce n’est pas parque 1 MS que le niveau il baisse Je ne me souviens plus quelle est le service qui a tout perdu en ligne The solution est le contrat PAS PAQ … qui n'et jamais fait qui met en place mais pas pour tout
  4. Arrivé à expliqué que ce n’est pas parque 1 MS que le niveau il baisse Je ne me souviens plus quelle est le service qui a tout perdu en ligne The solution est le contrat PAS PAQ … qui n'et jamais fait qui met en place mais pas pour tout
  5. Nous allons décrire dans cette partie la méthode ou protocole que nous allons suivre pour établir un plan de sécurité informatique global et actionnable, c’est à dire, une analyse des menaces que fait peser le Système Informatique (SI) sur l’entreprise et les actions à réaliser pour les prévenir. Dans un premier temps nous allons définir le périmètre de l’étude. Il s’agit d’isoler les différents actifs métier de l’entreprise pour définir les risques qu’ils engendrent. Enfin pour déterminer le niveau global de sécurité de l’entreprise on considère l’actif ou le couple actif-menace le moins sécurisé. À noter tout de même qu’obtenir une note de la sécurité globale de l’entreprise est moins intéressant que d’évaluer actif par actif car seule cette dernière méthode permet réellement de mettre en place les actions ciblées et pertinentes pour chaque actif. Le risk manager va donner son avis sur Conformité alros qu’il a un périmetre d’audit technique Perimetre :
  6. Nous allons décrire dans cette partie la méthode ou protocole que nous allons suivre pour établir un plan de sécurité informatique global et actionnable, c’est à dire, une analyse des menaces que fait peser le Système Informatique (SI) sur l’entreprise et les actions à réaliser pour les prévenir. Dans un premier temps nous allons définir le périmètre de l’étude. Il s’agit d’isoler les différents actifs métier de l’entreprise pour définir les risques qu’ils engendrent. Enfin pour déterminer le niveau global de sécurité de l’entreprise on considère l’actif ou le couple actif-menace le moins sécurisé. À noter tout de même qu’obtenir une note de la sécurité globale de l’entreprise est moins intéressant que d’évaluer actif par actif car seule cette dernière méthode permet réellement de mettre en place les actions ciblées et pertinentes pour chaque actif. Le risk manager va donner son avis sur Conformité alros qu’il a un périmetre d’audit technique Perimetre :
  7. Si je mets un risque modéré il est accepté, si majeur risque refusé. Christophe tu es anxiogene
  8. Audit rsque terroristre ignoré
  9. Valeur de l’actif est la valeur de l’impact … et l’impact est toujoues élevé =Il faut laisser les mesures se faire… Devient un audit de conformité Vulnérabilité critique otp clair alors qu’i s’agit d’un VLAN dédié
  10. Valeur de l’actif est la valeur de l’impact … et l’impact est toujoues élevé =Il faut laisser les mesures se faire… Devient un audit de conformité Vulnérabilité critique otp clair alors qu’i s’agit d’un VLAN dédié