SlideShare une entreprise Scribd logo

ISO/IEC 27005 : processus de traitement des risques et conformité

PECB
PECB

This presentation has been delivered by Christophe Maillet at the PECB Insights Conference 2018 in Paris.

Formation
1  sur  20
1 une analyse de risque , un audit entre théorie et confrontation à la réalité La méthode est bonne : sa mise en application est perfectible
2  Retour d’expérience de quelques années d’analyse  Les retours sur  Services  Industries  Etat  Sans contrainte ou avec • 27001 ou 27005  Comme dirait FS, j’essaye de faire de la sécurité
3  Dans la suite  Risk Manager => • Celui qui travaille • Le Risk Manager • L’auditeur  Equipe d’analyse • Ensemble des risks manager  MOA => Propriétaire des actifs  MOE => les équipes autours • La MOE • Les architectes • Les experts  Propriétaire du processus • Propriétaire du processus d’audit, d’analyse de risque conforme à la ISO/CEI 27005:2018
4 Vulnérabilité MOA  Rappel les bases du SMSI est du topdown 7.2.4 Critères d'acceptation des risques  Méthode d’acceptation des risques  Inexistante  Inconnue  Exotique  Trop compliqué  Changeante  Inadaptée
5 Vulnérabilité MOA  Valorisation des actifs  8.2.2 Identification des actifs  Multi-propriétaires des actifs  Risque manager explique à la MOA les grilles de valorisation  Valorisation des actifs fonctions de l’offre offert  Négociation de la valeur des actifs  Grilles impaires
6 Vulnérabilité MOA  Traitement des risques (9)  Juste une MS sur 25 => on baisse  On a contractualisé !!!  Existence de mesure de sécurité ….. Un jour  Analyse de risque comme méthode de management Faire passer les évolutions (c'est pas nous mais le méchant auditeur)
7 Vulnérabilité MOA  Vulnérabilité 10 Acceptation des risques en sécurité de l'information  MOA Absente  MOA qui veut mettre son risque  11 Communication et concertation relatives aux risques en sécurité de l'information  Moa qui veut comprendre  Une MOE aux fraises
8 Vulnérabilité MOA-MOE  Traitement des risques (9)  La MOA sait ce qu’elle vous achète : • audit de vulnérabilités, • analyse de risque, • Ebios, 901, 27001, 27002  Hypothèse d'une communication interne chez le client  Multi propriétaire des actifs
9 Vulnérabilité MOE  Absence d’input  8.2.2 Identification des actifs  Absence de DAT  Matrice des flux  Externalisation  Hors de mon projet – je ne prends pas en compte
10 Vulnérabilité MOE  Changement du périmètre  7.3 Domaine d'application et limites  Changement multiple  Lors de la restitution un cas non présenté est proposé  Evacuation de tous les CU compliqués  Saucissonnage qui empêche d’avoir une vision globale
11 Vulnérabilité MOE  Problèmes de rôles  Architecte qui se prend pour le risk manager et qui maitrise mal les concepts
12 Vulnérabilité MOE  Mauvaise foi totale des audités  Régle any any accept  On va faire  le prestataire doit faire passer son projet  il a vendu au forfait, on arrive comme accompagnateur sécurité et on doit à la fin donner notre avis de sécurité : positif  Ne jamais faire l'hypothèse : mon fils s'appelle Thomas
13 Vulnérabilité Risk Manager  Incompétence complète  Changement de son périmètre usuel  27005 passe à une conformité 27001  Ebios RM => 27005  Différence entre auditeur et risk manager  Audit de maturité et Analyse de risque  Mesure de Sécurité exotique pour faire plaisir à l’auditeur  Rigide  Vulnérabilité industriel windows XP
14 Vulnérabilité Risk Manager  Auditeur c'est un homme objectif, un audit peut être renouvelé par n'importe quel auditeur  Auditeur est un prestataire qui est contrant dans le temps Auditeur à son appétence Auditeur à un grand âge  Risque environnement hautement sécurisé : site SEVESO, banque, station d'épuration, data center
15 Vulnérabilité Risk Manager  Il est influençable  On connait les règles d’acceptation  Les grilles pression du Cdp  Phase de négociation
16 Vulnérabilité Risk Manager La différence entre les ppt et docs et fichier excel Notamment les périmètres qui divergent
17 Vulnérabilité Propriétaire du Processus  Absence de PDCA du processus  Absence de revues des Adr  Risk manager qui décident de se qui est acceptable Absence ce révision  Entre liste figée et vulnérabilités exotique  Invention de menace www.la-rache.com
18 Vulnérabilité Propriétaire du Processus  Grille de décision du risque  7.2.2 Critères d'évaluation du risque  Valeur du risque toujours trop élevé : impact ne pourra jamais être baissé  7.2.3 Critères d'impact  Grille inadaptée aux contextes  Exemple audit de vulnérabilité qui ne prends pas en compte le contexte
19 Vulnérabilité Propriétaire du Processus  12 Surveillance et réexamen des risques en sécurité de l'information :  Nouveaux process, nouvelles grilles  Mises à jours des précédentes analyses  Temps  Absence des acteurs  Appuie sur une doc applicative mais de 2003… (confirme W2000 est bien obsolète, syslog, en UDP, SNMP V1)
20 Jusque la tout va bien

Recommandé

Ebios
EbiosEbios
Ebioskilojolid
 
ISO 27001
ISO 27001ISO 27001
ISO 27001MELLAH MOULOUD Sorbonne Université - Sciences et Ingénierie
 
Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Bachir Benyammi
 
Présentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerPrésentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerComsoce
 
EBIOS Risk Manager
EBIOS Risk ManagerEBIOS Risk Manager
EBIOS Risk ManagerComsoce
 
SMSI.pdf
SMSI.pdfSMSI.pdf
SMSI.pdfHajarSalimi
 
Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Intellectus services and consulting
 
ANALYSE DE RISQUES
ANALYSE DE RISQUESANALYSE DE RISQUES
ANALYSE DE RISQUESndelannoy
 

Recommandé

Ebios
EbiosEbios
Ebioskilojolid
 
ISO 27001
ISO 27001ISO 27001
ISO 27001MELLAH MOULOUD Sorbonne Université - Sciences et Ingénierie
 
Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Bachir Benyammi
 
Présentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerPrésentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerComsoce
 
EBIOS Risk Manager
EBIOS Risk ManagerEBIOS Risk Manager
EBIOS Risk ManagerComsoce
 
SMSI.pdf
SMSI.pdfSMSI.pdf
SMSI.pdfHajarSalimi
 
Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Intellectus services and consulting
 
ANALYSE DE RISQUES
ANALYSE DE RISQUESANALYSE DE RISQUES
ANALYSE DE RISQUESndelannoy
 
Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SIDIALLO Boubacar
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Bachir Benyammi
 
La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesISACA Chapitre de Québec
 
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...Eric Clairvoyant, Adm.A.,T.P., CRISC
 
Netclu09 27005
Netclu09 27005Netclu09 27005
Netclu09 27005michaeldean
 
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entrepriseProgramme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entrepriseEyesOpen Association
 
Conix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerConix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerThierry Pertus
 
Ebios
EbiosEbios
EbiosLandry Kientega
 
EBIOS
EBIOSEBIOS
EBIOSHouda Elmoutaoukil
 
Gestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivitéGestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivitéPECB
 
Normes ISO 2700X et CISO MINDMAP 2022-23.pptx
Normes ISO 2700X et CISO MINDMAP 2022-23.pptxNormes ISO 2700X et CISO MINDMAP 2022-23.pptx
Normes ISO 2700X et CISO MINDMAP 2022-23.pptxAmorFranois
 
BSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis RemliBSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis RemliShellmates
 
Gestion des risques
Gestion des risquesGestion des risques
Gestion des risqueseGov Innovation Center
 
Processus Audit SI
Processus Audit SIProcessus Audit SI
Processus Audit SIArsène Ngato
 
ISO 27001
ISO 27001ISO 27001
ISO 27001Philippe CELLIER
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAbbes Rharrab
 
PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...
PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...
PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...PECB
 
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...PECB
 
Management des risques
Management des risquesManagement des risques
Management des risquesabdelghani Koura
 
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...PMI-Montréal
 
2011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v022011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v02Sébastien GIORIA
 
#NSD16 - rex-audit coté startup - Youen Chéné
#NSD16 - rex-audit coté startup - Youen Chéné#NSD16 - rex-audit coté startup - Youen Chéné
#NSD16 - rex-audit coté startup - Youen ChénéNetSecure Day
 

Contenu connexe

Tendances

Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SIDIALLO Boubacar
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Bachir Benyammi
 
La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesISACA Chapitre de Québec
 
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...Eric Clairvoyant, Adm.A.,T.P., CRISC
 
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entrepriseProgramme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entrepriseEyesOpen Association
 
Conix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerConix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerThierry Pertus
 
Gestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivitéGestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivitéPECB
 
Normes ISO 2700X et CISO MINDMAP 2022-23.pptx
Normes ISO 2700X et CISO MINDMAP 2022-23.pptxNormes ISO 2700X et CISO MINDMAP 2022-23.pptx
Normes ISO 2700X et CISO MINDMAP 2022-23.pptxAmorFranois
 
BSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis RemliBSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis RemliShellmates
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAbbes Rharrab
 
PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...
PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...
PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...PECB
 
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...PECB
 
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...PMI-Montréal
 

Tendances (20)

Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SI
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
 
La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internes
 
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...
 
Netclu09 27005
Netclu09 27005Netclu09 27005
Netclu09 27005
 
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entrepriseProgramme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
 
Conix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerConix - EBIOS Risk Manager
Conix - EBIOS Risk Manager
 
Ebios
EbiosEbios
Ebios
 
EBIOS
EBIOSEBIOS
EBIOS
 
Gestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivitéGestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivité
 
Normes ISO 2700X et CISO MINDMAP 2022-23.pptx
Normes ISO 2700X et CISO MINDMAP 2022-23.pptxNormes ISO 2700X et CISO MINDMAP 2022-23.pptx
Normes ISO 2700X et CISO MINDMAP 2022-23.pptx
 
BSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis RemliBSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis Remli
 
Gestion des risques
Gestion des risquesGestion des risques
Gestion des risques
 
Processus Audit SI
Processus Audit SIProcessus Audit SI
Processus Audit SI
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’information
 
PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...
PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...
PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...
 
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
 
Management des risques
Management des risquesManagement des risques
Management des risques
 
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
 

Similaire à ISO/IEC 27005 : processus de traitement des risques et conformité

2011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v022011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v02Sébastien GIORIA
 
#NSD16 - rex-audit coté startup - Youen Chéné
#NSD16 - rex-audit coté startup - Youen Chéné#NSD16 - rex-audit coté startup - Youen Chéné
#NSD16 - rex-audit coté startup - Youen ChénéNetSecure Day
 
OWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobilesOWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobilesSébastien GIORIA
 
Université laval présentation sur la gestion des risques 31-03-2015 vf2
Université laval présentation sur la gestion des risques 31-03-2015 vf2Université laval présentation sur la gestion des risques 31-03-2015 vf2
Université laval présentation sur la gestion des risques 31-03-2015 vf2ISACA Chapitre de Québec
 
Maîtrise de risques en gestion de projet
Maîtrise de risques en gestion de projetMaîtrise de risques en gestion de projet
Maîtrise de risques en gestion de projetChef De Projet Détendu
 
La sécurité applicative par le design
La sécurité applicative par le designLa sécurité applicative par le design
La sécurité applicative par le designChristophe Villeneuve
 
Gp 06 La Planification Auxiliaire
Gp 06 La Planification AuxiliaireGp 06 La Planification Auxiliaire
Gp 06 La Planification AuxiliaireClaude Michaud
 
LA GESTION DES RISQUES DANS UN PROJET.pptx
LA GESTION DES RISQUES DANS UN PROJET.pptxLA GESTION DES RISQUES DANS UN PROJET.pptx
LA GESTION DES RISQUES DANS UN PROJET.pptxmouradsaadoun
 
Presentation gestion risques
Presentation gestion risquesPresentation gestion risques
Presentation gestion risquesFlorine Clomegah
 
amelioration de disponibilité.pdf
amelioration de disponibilité.pdfamelioration de disponibilité.pdf
amelioration de disponibilité.pdfGhizlaneLam
 
Un peu de sécurité dans ce monde de Kiwi
Un peu de sécurité dans ce monde de KiwiUn peu de sécurité dans ce monde de Kiwi
Un peu de sécurité dans ce monde de KiwiLaurie-Anne Bourdain
 
CONF. 201 - Gérer des projets de système d’information à risque élevé : raiso...
CONF. 201 - Gérer des projets de système d’information à risque élevé : raiso...CONF. 201 - Gérer des projets de système d’information à risque élevé : raiso...
CONF. 201 - Gérer des projets de système d’information à risque élevé : raiso...PMI-Montréal
 
#NSD15 - Intelligence juridique & systèmes d'informations
#NSD15 - Intelligence juridique & systèmes d'informations#NSD15 - Intelligence juridique & systèmes d'informations
#NSD15 - Intelligence juridique & systèmes d'informationsNetSecure Day
 
Développer la culture ERM
Développer la culture ERMDévelopper la culture ERM
Développer la culture ERMDavid Dubois
 
Présentation résistante directeurs experts 20140527
Présentation résistante directeurs experts 20140527Présentation résistante directeurs experts 20140527
Présentation résistante directeurs experts 20140527Résistante Risk Solutions
 
Sécurité dans les contrats d'externalisation de services de développement et ...
Sécurité dans les contrats d'externalisation de services de développement et ...Sécurité dans les contrats d'externalisation de services de développement et ...
Sécurité dans les contrats d'externalisation de services de développement et ...Antonio Fontes
 
Matinée PMI - La gestion de projet vue par un dirigeant
Matinée PMI - La gestion de projet vue par un dirigeantMatinée PMI - La gestion de projet vue par un dirigeant
Matinée PMI - La gestion de projet vue par un dirigeantPMI-Montréal
 

Similaire à ISO/IEC 27005 : processus de traitement des risques et conformité (20)

2011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v022011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v02
 
#NSD16 - rex-audit coté startup - Youen Chéné
#NSD16 - rex-audit coté startup - Youen Chéné#NSD16 - rex-audit coté startup - Youen Chéné
#NSD16 - rex-audit coté startup - Youen Chéné
 
OWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobilesOWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobiles
 
Université laval présentation sur la gestion des risques 31-03-2015 vf2
Université laval présentation sur la gestion des risques 31-03-2015 vf2Université laval présentation sur la gestion des risques 31-03-2015 vf2
Université laval présentation sur la gestion des risques 31-03-2015 vf2
 
Maîtrise de risques en gestion de projet
Maîtrise de risques en gestion de projetMaîtrise de risques en gestion de projet
Maîtrise de risques en gestion de projet
 
Atelier Technique RAPID7 ACSS 2018
Atelier Technique RAPID7 ACSS 2018Atelier Technique RAPID7 ACSS 2018
Atelier Technique RAPID7 ACSS 2018
 
La sécurité applicative par le design
La sécurité applicative par le designLa sécurité applicative par le design
La sécurité applicative par le design
 
Gp 06 La Planification Auxiliaire
Gp 06 La Planification AuxiliaireGp 06 La Planification Auxiliaire
Gp 06 La Planification Auxiliaire
 
LA GESTION DES RISQUES DANS UN PROJET.pptx
LA GESTION DES RISQUES DANS UN PROJET.pptxLA GESTION DES RISQUES DANS UN PROJET.pptx
LA GESTION DES RISQUES DANS UN PROJET.pptx
 
Presentation gestion risques
Presentation gestion risquesPresentation gestion risques
Presentation gestion risques
 
Livre Blanc Sauvetage de projets
Livre Blanc Sauvetage de projetsLivre Blanc Sauvetage de projets
Livre Blanc Sauvetage de projets
 
amelioration de disponibilité.pdf
amelioration de disponibilité.pdfamelioration de disponibilité.pdf
amelioration de disponibilité.pdf
 
Un peu de sécurité dans ce monde de Kiwi
Un peu de sécurité dans ce monde de KiwiUn peu de sécurité dans ce monde de Kiwi
Un peu de sécurité dans ce monde de Kiwi
 
CONF. 201 - Gérer des projets de système d’information à risque élevé : raiso...
CONF. 201 - Gérer des projets de système d’information à risque élevé : raiso...CONF. 201 - Gérer des projets de système d’information à risque élevé : raiso...
CONF. 201 - Gérer des projets de système d’information à risque élevé : raiso...
 
#NSD15 - Intelligence juridique & systèmes d'informations
#NSD15 - Intelligence juridique & systèmes d'informations#NSD15 - Intelligence juridique & systèmes d'informations
#NSD15 - Intelligence juridique & systèmes d'informations
 
Développer la culture ERM
Développer la culture ERMDévelopper la culture ERM
Développer la culture ERM
 
Présentation résistante directeurs experts 20140527
Présentation résistante directeurs experts 20140527Présentation résistante directeurs experts 20140527
Présentation résistante directeurs experts 20140527
 
Sécurité dans les contrats d'externalisation de services de développement et ...
Sécurité dans les contrats d'externalisation de services de développement et ...Sécurité dans les contrats d'externalisation de services de développement et ...
Sécurité dans les contrats d'externalisation de services de développement et ...
 
2012 03-02-sdl-sgi-v03
2012 03-02-sdl-sgi-v032012 03-02-sdl-sgi-v03
2012 03-02-sdl-sgi-v03
 
Matinée PMI - La gestion de projet vue par un dirigeant
Matinée PMI - La gestion de projet vue par un dirigeantMatinée PMI - La gestion de projet vue par un dirigeant
Matinée PMI - La gestion de projet vue par un dirigeant
 

Plus de PECB

Beyond the EU: DORA and NIS 2 Directive's Global Impact
Beyond the EU: DORA and NIS 2 Directive's Global ImpactBeyond the EU: DORA and NIS 2 Directive's Global Impact
Beyond the EU: DORA and NIS 2 Directive's Global ImpactPECB
 
DORA, ISO/IEC 27005, and the Rise of AI: Securing the Future of Cybersecurity
DORA, ISO/IEC 27005, and the Rise of AI: Securing the Future of CybersecurityDORA, ISO/IEC 27005, and the Rise of AI: Securing the Future of Cybersecurity
DORA, ISO/IEC 27005, and the Rise of AI: Securing the Future of CybersecurityPECB
 
Securing the Future: ISO/IEC 27001, ISO/IEC 42001, and AI Governance
Securing the Future: ISO/IEC 27001, ISO/IEC 42001, and AI GovernanceSecuring the Future: ISO/IEC 27001, ISO/IEC 42001, and AI Governance
Securing the Future: ISO/IEC 27001, ISO/IEC 42001, and AI GovernancePECB
 
ISO/IEC 27032, ISO/IEC 27002, and CMMC Frameworks - Achieving Cybersecurity M...
ISO/IEC 27032, ISO/IEC 27002, and CMMC Frameworks - Achieving Cybersecurity M...ISO/IEC 27032, ISO/IEC 27002, and CMMC Frameworks - Achieving Cybersecurity M...
ISO/IEC 27032, ISO/IEC 27002, and CMMC Frameworks - Achieving Cybersecurity M...PECB
 
ISO/IEC 27001 and ISO/IEC 27035: Building a Resilient Cybersecurity Strategy ...
ISO/IEC 27001 and ISO/IEC 27035: Building a Resilient Cybersecurity Strategy ...ISO/IEC 27001 and ISO/IEC 27035: Building a Resilient Cybersecurity Strategy ...
ISO/IEC 27001 and ISO/IEC 27035: Building a Resilient Cybersecurity Strategy ...PECB
 
ISO/IEC 27001 and ISO/IEC 27005: Managing AI Risks Effectively
ISO/IEC 27001 and ISO/IEC 27005: Managing AI Risks EffectivelyISO/IEC 27001 and ISO/IEC 27005: Managing AI Risks Effectively
ISO/IEC 27001 and ISO/IEC 27005: Managing AI Risks EffectivelyPECB
 
Aligning ISO/IEC 27032:2023 and ISO/IEC 27701: Strengthening Cybersecurity Re...
Aligning ISO/IEC 27032:2023 and ISO/IEC 27701: Strengthening Cybersecurity Re...Aligning ISO/IEC 27032:2023 and ISO/IEC 27701: Strengthening Cybersecurity Re...
Aligning ISO/IEC 27032:2023 and ISO/IEC 27701: Strengthening Cybersecurity Re...PECB
 
ISO/IEC 27001 and ISO/IEC 27032:2023 - Safeguarding Your Digital Transformation
ISO/IEC 27001 and ISO/IEC 27032:2023 - Safeguarding Your Digital TransformationISO/IEC 27001 and ISO/IEC 27032:2023 - Safeguarding Your Digital Transformation
ISO/IEC 27001 and ISO/IEC 27032:2023 - Safeguarding Your Digital TransformationPECB
 
Managing ISO 31000 Framework in AI Systems - The EU ACT and other regulations
Managing ISO 31000 Framework in AI Systems - The EU ACT and other regulationsManaging ISO 31000 Framework in AI Systems - The EU ACT and other regulations
Managing ISO 31000 Framework in AI Systems - The EU ACT and other regulationsPECB
 
Impact of Generative AI in Cybersecurity - How can ISO/IEC 27032 help?
Impact of Generative AI in Cybersecurity - How can ISO/IEC 27032 help?Impact of Generative AI in Cybersecurity - How can ISO/IEC 27032 help?
Impact of Generative AI in Cybersecurity - How can ISO/IEC 27032 help?PECB
 
GDPR and Data Protection: Ensure compliance and minimize the risk of penaltie...
GDPR and Data Protection: Ensure compliance and minimize the risk of penaltie...GDPR and Data Protection: Ensure compliance and minimize the risk of penaltie...
GDPR and Data Protection: Ensure compliance and minimize the risk of penaltie...PECB
 
How Can ISO/IEC 27001 Help Organizations Align With the EU Cybersecurity Regu...
How Can ISO/IEC 27001 Help Organizations Align With the EU Cybersecurity Regu...How Can ISO/IEC 27001 Help Organizations Align With the EU Cybersecurity Regu...
How Can ISO/IEC 27001 Help Organizations Align With the EU Cybersecurity Regu...PECB
 
Student Information Session University KTMC
Student Information Session University KTMC Student Information Session University KTMC
Student Information Session University KTMC PECB
 
ISO/IEC 27001 and ISO 22301 - How to ensure business survival against cyber a...
ISO/IEC 27001 and ISO 22301 - How to ensure business survival against cyber a...ISO/IEC 27001 and ISO 22301 - How to ensure business survival against cyber a...
ISO/IEC 27001 and ISO 22301 - How to ensure business survival against cyber a...PECB
 
Integrating ISO/IEC 27001 and ISO 31000 for Effective Information Security an...
Integrating ISO/IEC 27001 and ISO 31000 for Effective Information Security an...Integrating ISO/IEC 27001 and ISO 31000 for Effective Information Security an...
Integrating ISO/IEC 27001 and ISO 31000 for Effective Information Security an...PECB
 
Student Information Session University CREST ADVISORY AFRICA
Student Information Session University CREST ADVISORY AFRICA Student Information Session University CREST ADVISORY AFRICA
Student Information Session University CREST ADVISORY AFRICA PECB
 
IT Governance and Information Security – How do they map?
IT Governance and Information Security – How do they map?IT Governance and Information Security – How do they map?
IT Governance and Information Security – How do they map?PECB
 
Information Session University Egybyte.pptx
Information Session University Egybyte.pptxInformation Session University Egybyte.pptx
Information Session University Egybyte.pptxPECB
 
Student Information Session University Digital Encode.pptx
Student Information Session University Digital Encode.pptxStudent Information Session University Digital Encode.pptx
Student Information Session University Digital Encode.pptxPECB
 
Cybersecurity trends - What to expect in 2023
Cybersecurity trends - What to expect in 2023Cybersecurity trends - What to expect in 2023
Cybersecurity trends - What to expect in 2023PECB
 

Plus de PECB (20)

Beyond the EU: DORA and NIS 2 Directive's Global Impact
Beyond the EU: DORA and NIS 2 Directive's Global ImpactBeyond the EU: DORA and NIS 2 Directive's Global Impact
Beyond the EU: DORA and NIS 2 Directive's Global Impact
 
DORA, ISO/IEC 27005, and the Rise of AI: Securing the Future of Cybersecurity
DORA, ISO/IEC 27005, and the Rise of AI: Securing the Future of CybersecurityDORA, ISO/IEC 27005, and the Rise of AI: Securing the Future of Cybersecurity
DORA, ISO/IEC 27005, and the Rise of AI: Securing the Future of Cybersecurity
 
Securing the Future: ISO/IEC 27001, ISO/IEC 42001, and AI Governance
Securing the Future: ISO/IEC 27001, ISO/IEC 42001, and AI GovernanceSecuring the Future: ISO/IEC 27001, ISO/IEC 42001, and AI Governance
Securing the Future: ISO/IEC 27001, ISO/IEC 42001, and AI Governance
 
ISO/IEC 27032, ISO/IEC 27002, and CMMC Frameworks - Achieving Cybersecurity M...
ISO/IEC 27032, ISO/IEC 27002, and CMMC Frameworks - Achieving Cybersecurity M...ISO/IEC 27032, ISO/IEC 27002, and CMMC Frameworks - Achieving Cybersecurity M...
ISO/IEC 27032, ISO/IEC 27002, and CMMC Frameworks - Achieving Cybersecurity M...
 
ISO/IEC 27001 and ISO/IEC 27035: Building a Resilient Cybersecurity Strategy ...
ISO/IEC 27001 and ISO/IEC 27035: Building a Resilient Cybersecurity Strategy ...ISO/IEC 27001 and ISO/IEC 27035: Building a Resilient Cybersecurity Strategy ...
ISO/IEC 27001 and ISO/IEC 27035: Building a Resilient Cybersecurity Strategy ...
 
ISO/IEC 27001 and ISO/IEC 27005: Managing AI Risks Effectively
ISO/IEC 27001 and ISO/IEC 27005: Managing AI Risks EffectivelyISO/IEC 27001 and ISO/IEC 27005: Managing AI Risks Effectively
ISO/IEC 27001 and ISO/IEC 27005: Managing AI Risks Effectively
 
Aligning ISO/IEC 27032:2023 and ISO/IEC 27701: Strengthening Cybersecurity Re...
Aligning ISO/IEC 27032:2023 and ISO/IEC 27701: Strengthening Cybersecurity Re...Aligning ISO/IEC 27032:2023 and ISO/IEC 27701: Strengthening Cybersecurity Re...
Aligning ISO/IEC 27032:2023 and ISO/IEC 27701: Strengthening Cybersecurity Re...
 
ISO/IEC 27001 and ISO/IEC 27032:2023 - Safeguarding Your Digital Transformation
ISO/IEC 27001 and ISO/IEC 27032:2023 - Safeguarding Your Digital TransformationISO/IEC 27001 and ISO/IEC 27032:2023 - Safeguarding Your Digital Transformation
ISO/IEC 27001 and ISO/IEC 27032:2023 - Safeguarding Your Digital Transformation
 
Managing ISO 31000 Framework in AI Systems - The EU ACT and other regulations
Managing ISO 31000 Framework in AI Systems - The EU ACT and other regulationsManaging ISO 31000 Framework in AI Systems - The EU ACT and other regulations
Managing ISO 31000 Framework in AI Systems - The EU ACT and other regulations
 
Impact of Generative AI in Cybersecurity - How can ISO/IEC 27032 help?
Impact of Generative AI in Cybersecurity - How can ISO/IEC 27032 help?Impact of Generative AI in Cybersecurity - How can ISO/IEC 27032 help?
Impact of Generative AI in Cybersecurity - How can ISO/IEC 27032 help?
 
GDPR and Data Protection: Ensure compliance and minimize the risk of penaltie...
GDPR and Data Protection: Ensure compliance and minimize the risk of penaltie...GDPR and Data Protection: Ensure compliance and minimize the risk of penaltie...
GDPR and Data Protection: Ensure compliance and minimize the risk of penaltie...
 
How Can ISO/IEC 27001 Help Organizations Align With the EU Cybersecurity Regu...
How Can ISO/IEC 27001 Help Organizations Align With the EU Cybersecurity Regu...How Can ISO/IEC 27001 Help Organizations Align With the EU Cybersecurity Regu...
How Can ISO/IEC 27001 Help Organizations Align With the EU Cybersecurity Regu...
 
Student Information Session University KTMC
Student Information Session University KTMC Student Information Session University KTMC
Student Information Session University KTMC
 
ISO/IEC 27001 and ISO 22301 - How to ensure business survival against cyber a...
ISO/IEC 27001 and ISO 22301 - How to ensure business survival against cyber a...ISO/IEC 27001 and ISO 22301 - How to ensure business survival against cyber a...
ISO/IEC 27001 and ISO 22301 - How to ensure business survival against cyber a...
 
Integrating ISO/IEC 27001 and ISO 31000 for Effective Information Security an...
Integrating ISO/IEC 27001 and ISO 31000 for Effective Information Security an...Integrating ISO/IEC 27001 and ISO 31000 for Effective Information Security an...
Integrating ISO/IEC 27001 and ISO 31000 for Effective Information Security an...
 
Student Information Session University CREST ADVISORY AFRICA
Student Information Session University CREST ADVISORY AFRICA Student Information Session University CREST ADVISORY AFRICA
Student Information Session University CREST ADVISORY AFRICA
 
IT Governance and Information Security – How do they map?
IT Governance and Information Security – How do they map?IT Governance and Information Security – How do they map?
IT Governance and Information Security – How do they map?
 
Information Session University Egybyte.pptx
Information Session University Egybyte.pptxInformation Session University Egybyte.pptx
Information Session University Egybyte.pptx
 
Student Information Session University Digital Encode.pptx
Student Information Session University Digital Encode.pptxStudent Information Session University Digital Encode.pptx
Student Information Session University Digital Encode.pptx
 
Cybersecurity trends - What to expect in 2023
Cybersecurity trends - What to expect in 2023Cybersecurity trends - What to expect in 2023
Cybersecurity trends - What to expect in 2023
 

Dernier

EL KATRY Reem: Proposition de Programme Artistique et Exposition pour les Écoles
EL KATRY Reem: Proposition de Programme Artistique et Exposition pour les ÉcolesEL KATRY Reem: Proposition de Programme Artistique et Exposition pour les Écoles
EL KATRY Reem: Proposition de Programme Artistique et Exposition pour les ÉcolesSOLIANAEvelyne
 
Cahier-de-Charges-Communication-Digitale-1-1.pdf
Cahier-de-Charges-Communication-Digitale-1-1.pdfCahier-de-Charges-Communication-Digitale-1-1.pdf
Cahier-de-Charges-Communication-Digitale-1-1.pdfTOP AUTO CIV
 
Guide d'utilisation Microsoft PowerPoint 2016
Guide d'utilisation Microsoft PowerPoint 2016Guide d'utilisation Microsoft PowerPoint 2016
Guide d'utilisation Microsoft PowerPoint 2016ImnaTech
 
Épreuve de leçon SII.pptx
Épreuve de leçon SII.pptxÉpreuve de leçon SII.pptx
Épreuve de leçon SII.pptxSAIDALI701276
 
Festival de Cannes 2024.pptx
Festival de Cannes 2024.pptxFestival de Cannes 2024.pptx
Festival de Cannes 2024.pptxTxaruka
 
Comment enseigner la langue française en Colombie?
Comment enseigner la langue française en Colombie?Comment enseigner la langue française en Colombie?
Comment enseigner la langue française en Colombie?sashaflor182
 
Sainte Jeanne d'Arc, patronne de la France 1412-1431.pptx
Sainte Jeanne d'Arc, patronne de la France 1412-1431.pptxSainte Jeanne d'Arc, patronne de la France 1412-1431.pptx
Sainte Jeanne d'Arc, patronne de la France 1412-1431.pptxMartin M Flynn
 
Decret-n°19-10-du-23-janvier-2019-reglementant-lexportation-des-déchets-spéci...
Decret-n°19-10-du-23-janvier-2019-reglementant-lexportation-des-déchets-spéci...Decret-n°19-10-du-23-janvier-2019-reglementant-lexportation-des-déchets-spéci...
Decret-n°19-10-du-23-janvier-2019-reglementant-lexportation-des-déchets-spéci...zidani2
 
Résultats enquête RH 2024 Fonction Publique.pdf
Résultats enquête RH 2024 Fonction Publique.pdfRésultats enquête RH 2024 Fonction Publique.pdf
Résultats enquête RH 2024 Fonction Publique.pdfGERESO
 
Présentation Webinaire Cohésion - Concevoir et mettre en place une CMDB, comm...
Présentation Webinaire Cohésion - Concevoir et mettre en place une CMDB, comm...Présentation Webinaire Cohésion - Concevoir et mettre en place une CMDB, comm...
Présentation Webinaire Cohésion - Concevoir et mettre en place une CMDB, comm...Technologia Formation
 
support de formation Consignation et déconsignation des energies et produits...
support de formation Consignation et déconsignation des energies et produits...support de formation Consignation et déconsignation des energies et produits...
support de formation Consignation et déconsignation des energies et produits...ABDELHADI ENNAIR
 
Newsletter SPW Agriculture en province du Luxembourg du 17-05-24
Newsletter SPW Agriculture en province du Luxembourg du 17-05-24Newsletter SPW Agriculture en province du Luxembourg du 17-05-24
Newsletter SPW Agriculture en province du Luxembourg du 17-05-24BenotGeorges3
 

Dernier (12)

EL KATRY Reem: Proposition de Programme Artistique et Exposition pour les Écoles
EL KATRY Reem: Proposition de Programme Artistique et Exposition pour les ÉcolesEL KATRY Reem: Proposition de Programme Artistique et Exposition pour les Écoles
EL KATRY Reem: Proposition de Programme Artistique et Exposition pour les Écoles
 
Cahier-de-Charges-Communication-Digitale-1-1.pdf
Cahier-de-Charges-Communication-Digitale-1-1.pdfCahier-de-Charges-Communication-Digitale-1-1.pdf
Cahier-de-Charges-Communication-Digitale-1-1.pdf
 
Guide d'utilisation Microsoft PowerPoint 2016
Guide d'utilisation Microsoft PowerPoint 2016Guide d'utilisation Microsoft PowerPoint 2016
Guide d'utilisation Microsoft PowerPoint 2016
 
Épreuve de leçon SII.pptx
Épreuve de leçon SII.pptxÉpreuve de leçon SII.pptx
Épreuve de leçon SII.pptx
 
Festival de Cannes 2024.pptx
Festival de Cannes 2024.pptxFestival de Cannes 2024.pptx
Festival de Cannes 2024.pptx
 
Comment enseigner la langue française en Colombie?
Comment enseigner la langue française en Colombie?Comment enseigner la langue française en Colombie?
Comment enseigner la langue française en Colombie?
 
Sainte Jeanne d'Arc, patronne de la France 1412-1431.pptx
Sainte Jeanne d'Arc, patronne de la France 1412-1431.pptxSainte Jeanne d'Arc, patronne de la France 1412-1431.pptx
Sainte Jeanne d'Arc, patronne de la France 1412-1431.pptx
 
Decret-n°19-10-du-23-janvier-2019-reglementant-lexportation-des-déchets-spéci...
Decret-n°19-10-du-23-janvier-2019-reglementant-lexportation-des-déchets-spéci...Decret-n°19-10-du-23-janvier-2019-reglementant-lexportation-des-déchets-spéci...
Decret-n°19-10-du-23-janvier-2019-reglementant-lexportation-des-déchets-spéci...
 
Résultats enquête RH 2024 Fonction Publique.pdf
Résultats enquête RH 2024 Fonction Publique.pdfRésultats enquête RH 2024 Fonction Publique.pdf
Résultats enquête RH 2024 Fonction Publique.pdf
 
Présentation Webinaire Cohésion - Concevoir et mettre en place une CMDB, comm...
Présentation Webinaire Cohésion - Concevoir et mettre en place une CMDB, comm...Présentation Webinaire Cohésion - Concevoir et mettre en place une CMDB, comm...
Présentation Webinaire Cohésion - Concevoir et mettre en place une CMDB, comm...
 
support de formation Consignation et déconsignation des energies et produits...
support de formation Consignation et déconsignation des energies et produits...support de formation Consignation et déconsignation des energies et produits...
support de formation Consignation et déconsignation des energies et produits...
 
Newsletter SPW Agriculture en province du Luxembourg du 17-05-24
Newsletter SPW Agriculture en province du Luxembourg du 17-05-24Newsletter SPW Agriculture en province du Luxembourg du 17-05-24
Newsletter SPW Agriculture en province du Luxembourg du 17-05-24
 

ISO/IEC 27005 : processus de traitement des risques et conformité

  • 1. 1 une analyse de risque , un audit entre théorie et confrontation à la réalité La méthode est bonne : sa mise en application est perfectible
  • 2. 2  Retour d’expérience de quelques années d’analyse  Les retours sur  Services  Industries  Etat  Sans contrainte ou avec • 27001 ou 27005  Comme dirait FS, j’essaye de faire de la sécurité
  • 3. 3  Dans la suite  Risk Manager => • Celui qui travaille • Le Risk Manager • L’auditeur  Equipe d’analyse • Ensemble des risks manager  MOA => Propriétaire des actifs  MOE => les équipes autours • La MOE • Les architectes • Les experts  Propriétaire du processus • Propriétaire du processus d’audit, d’analyse de risque conforme à la ISO/CEI 27005:2018
  • 4. 4 Vulnérabilité MOA  Rappel les bases du SMSI est du topdown 7.2.4 Critères d'acceptation des risques  Méthode d’acceptation des risques  Inexistante  Inconnue  Exotique  Trop compliqué  Changeante  Inadaptée
  • 5. 5 Vulnérabilité MOA  Valorisation des actifs  8.2.2 Identification des actifs  Multi-propriétaires des actifs  Risque manager explique à la MOA les grilles de valorisation  Valorisation des actifs fonctions de l’offre offert  Négociation de la valeur des actifs  Grilles impaires
  • 6. 6 Vulnérabilité MOA  Traitement des risques (9)  Juste une MS sur 25 => on baisse  On a contractualisé !!!  Existence de mesure de sécurité ….. Un jour  Analyse de risque comme méthode de management Faire passer les évolutions (c'est pas nous mais le méchant auditeur)
  • 7. 7 Vulnérabilité MOA  Vulnérabilité 10 Acceptation des risques en sécurité de l'information  MOA Absente  MOA qui veut mettre son risque  11 Communication et concertation relatives aux risques en sécurité de l'information  Moa qui veut comprendre  Une MOE aux fraises
  • 8. 8 Vulnérabilité MOA-MOE  Traitement des risques (9)  La MOA sait ce qu’elle vous achète : • audit de vulnérabilités, • analyse de risque, • Ebios, 901, 27001, 27002  Hypothèse d'une communication interne chez le client  Multi propriétaire des actifs
  • 9. 9 Vulnérabilité MOE  Absence d’input  8.2.2 Identification des actifs  Absence de DAT  Matrice des flux  Externalisation  Hors de mon projet – je ne prends pas en compte
  • 10. 10 Vulnérabilité MOE  Changement du périmètre  7.3 Domaine d'application et limites  Changement multiple  Lors de la restitution un cas non présenté est proposé  Evacuation de tous les CU compliqués  Saucissonnage qui empêche d’avoir une vision globale
  • 11. 11 Vulnérabilité MOE  Problèmes de rôles  Architecte qui se prend pour le risk manager et qui maitrise mal les concepts
  • 12. 12 Vulnérabilité MOE  Mauvaise foi totale des audités  Régle any any accept  On va faire  le prestataire doit faire passer son projet  il a vendu au forfait, on arrive comme accompagnateur sécurité et on doit à la fin donner notre avis de sécurité : positif  Ne jamais faire l'hypothèse : mon fils s'appelle Thomas
  • 13. 13 Vulnérabilité Risk Manager  Incompétence complète  Changement de son périmètre usuel  27005 passe à une conformité 27001  Ebios RM => 27005  Différence entre auditeur et risk manager  Audit de maturité et Analyse de risque  Mesure de Sécurité exotique pour faire plaisir à l’auditeur  Rigide  Vulnérabilité industriel windows XP
  • 14. 14 Vulnérabilité Risk Manager  Auditeur c'est un homme objectif, un audit peut être renouvelé par n'importe quel auditeur  Auditeur est un prestataire qui est contrant dans le temps Auditeur à son appétence Auditeur à un grand âge  Risque environnement hautement sécurisé : site SEVESO, banque, station d'épuration, data center
  • 15. 15 Vulnérabilité Risk Manager  Il est influençable  On connait les règles d’acceptation  Les grilles pression du Cdp  Phase de négociation
  • 16. 16 Vulnérabilité Risk Manager La différence entre les ppt et docs et fichier excel Notamment les périmètres qui divergent
  • 17. 17 Vulnérabilité Propriétaire du Processus  Absence de PDCA du processus  Absence de revues des Adr  Risk manager qui décident de se qui est acceptable Absence ce révision  Entre liste figée et vulnérabilités exotique  Invention de menace www.la-rache.com
  • 18. 18 Vulnérabilité Propriétaire du Processus  Grille de décision du risque  7.2.2 Critères d'évaluation du risque  Valeur du risque toujours trop élevé : impact ne pourra jamais être baissé  7.2.3 Critères d'impact  Grille inadaptée aux contextes  Exemple audit de vulnérabilité qui ne prends pas en compte le contexte
  • 19. 19 Vulnérabilité Propriétaire du Processus  12 Surveillance et réexamen des risques en sécurité de l'information :  Nouveaux process, nouvelles grilles  Mises à jours des précédentes analyses  Temps  Absence des acteurs  Appuie sur une doc applicative mais de 2003… (confirme W2000 est bien obsolète, syslog, en UDP, SNMP V1)
  • 20. 20 Jusque la tout va bien

Notes de l'éditeur

  1. Pas d’acceptation du moindre risque Acceptation des risques majeurs => la MOA voulait faire son projet Argument on a achet très chère le produit… Cotation des risques : pas de budget = nouveau dirigeant, il veut du budget Décision prise sur un risque majeur = passe pas alors que 8 risques modéré cela passe…. Auditeur est-il non-objectif ? Multi propriétaire des actifs
  2. Arrivé à expliqué que ce n’est pas parque 1 MS que le niveau il baisse Je ne me souviens plus quelle est le service qui a tout perdu en ligne The solution est le contrat PAS PAQ … qui n'et jamais fait qui met en place mais pas pour tout
  3. Arrivé à expliqué que ce n’est pas parque 1 MS que le niveau il baisse Je ne me souviens plus quelle est le service qui a tout perdu en ligne The solution est le contrat PAS PAQ … qui n'et jamais fait qui met en place mais pas pour tout
  4. Arrivé à expliqué que ce n’est pas parque 1 MS que le niveau il baisse Je ne me souviens plus quelle est le service qui a tout perdu en ligne The solution est le contrat PAS PAQ … qui n'et jamais fait qui met en place mais pas pour tout
  5. Nous allons décrire dans cette partie la méthode ou protocole que nous allons suivre pour établir un plan de sécurité informatique global et actionnable, c’est à dire, une analyse des menaces que fait peser le Système Informatique (SI) sur l’entreprise et les actions à réaliser pour les prévenir. Dans un premier temps nous allons définir le périmètre de l’étude. Il s’agit d’isoler les différents actifs métier de l’entreprise pour définir les risques qu’ils engendrent. Enfin pour déterminer le niveau global de sécurité de l’entreprise on considère l’actif ou le couple actif-menace le moins sécurisé. À noter tout de même qu’obtenir une note de la sécurité globale de l’entreprise est moins intéressant que d’évaluer actif par actif car seule cette dernière méthode permet réellement de mettre en place les actions ciblées et pertinentes pour chaque actif. Le risk manager va donner son avis sur Conformité alros qu’il a un périmetre d’audit technique Perimetre :
  6. Nous allons décrire dans cette partie la méthode ou protocole que nous allons suivre pour établir un plan de sécurité informatique global et actionnable, c’est à dire, une analyse des menaces que fait peser le Système Informatique (SI) sur l’entreprise et les actions à réaliser pour les prévenir. Dans un premier temps nous allons définir le périmètre de l’étude. Il s’agit d’isoler les différents actifs métier de l’entreprise pour définir les risques qu’ils engendrent. Enfin pour déterminer le niveau global de sécurité de l’entreprise on considère l’actif ou le couple actif-menace le moins sécurisé. À noter tout de même qu’obtenir une note de la sécurité globale de l’entreprise est moins intéressant que d’évaluer actif par actif car seule cette dernière méthode permet réellement de mettre en place les actions ciblées et pertinentes pour chaque actif. Le risk manager va donner son avis sur Conformité alros qu’il a un périmetre d’audit technique Perimetre :
  7. Si je mets un risque modéré il est accepté, si majeur risque refusé. Christophe tu es anxiogene
  8. Audit rsque terroristre ignoré
  9. Valeur de l’actif est la valeur de l’impact … et l’impact est toujoues élevé =Il faut laisser les mesures se faire… Devient un audit de conformité Vulnérabilité critique otp clair alors qu’i s’agit d’un VLAN dédié
  10. Valeur de l’actif est la valeur de l’impact … et l’impact est toujoues élevé =Il faut laisser les mesures se faire… Devient un audit de conformité Vulnérabilité critique otp clair alors qu’i s’agit d’un VLAN dédié