Télécharger en tant que PDF, PPTX
!["Risque" selon ISO
ISO Guide 73, Management du risque – Vocabulaire
2002 "Combinaison de la probabilité d’un événement et de ses conséquences"
2009 "Effet de l'incertitude sur l'atteinte des objectifs"
– Un effet = un écart, positif ou négatif, par rapport à une attente
– Un risque est souvent exprimé en termes
• des conséquences d'un événement et
• de sa vraisemblance ["likelihood"]
3
Sources : ISO Guide 73:2002, Management du risque - Vocabulaire
ISO Guide 73:2009, Management du risque - Vocabulaire](https://image.slidesharecdn.com/jeremykenaghan-150522120615-lva1-app6892/85/Gestion-des-risques-3-320.jpg)
![Plan de traitement des risques
Exemple
Action A
2016
A+1
2017
A+2
2018
Coûts
(mandats,
achats)
Effort
métier
Effort
administratif
DSI
Effort
technique
DSI
Délai
1. Analyser & évaluer les risques [en cours] 15kFr 3 jh 20 jh - 02.2016
2. Inventorier la règlementation applicable - 3 jh 1 jh - 04.2016
3. Elaborer la Politique générale de sécurité 15kFr 5 jh 10 jh - 09.2016
4. Elaborer une charte sur l'utilisation de l'IT - 5 jh 5 jh - 12.2016
5. Processus de tests périodiques de la sécurité 30kFr/an - 5 jh +
10 jh/an
10 jh/an 06.2016
6. Mettre sur pied un programme de sensibilisation
InfoSéc internalisé
15kFr 5 jh +
1 jh/an
5 jh +
10 jh/an
- 12.2016
7. Approfondir l'analyse BIA
(pré-requis pour la démarche DRP)
15kFr 10 jh 10 jh - 04.2017
etc. etc. etc.
21](https://image.slidesharecdn.com/jeremykenaghan-150522120615-lva1-app6892/85/Gestion-des-risques-21-320.jpg)
![Références
Méthodes simples
• Méthode d'ENISA (European Union Agency for Network and Information Security)
– http://www.enisa.europa.eu/activities/risk-management/current-risk/risk-
management-inventory/files/deliverables [Documentation complète en français, anglais, etc.]
• CORAS - méthode et outil graphique
– http://coras.sourceforge.net/
– Lund, M.S., Solhaug, B., Stølen, K. (2011), "Model-Driven Risk Analysis, The CORAS
Approach", Springer, ISBN 978-3-642-12323-8
Chapter 3 - A Guided Tour of the CORAS Method :
http://www.springer.com/cda/content/document/cda_downloaddocument/978364
2123221-c3.pdf [Documentation complète, en anglais]
• OCTAVE Allegro - la méthode la plus simple de la famille "OCTAVE"
– http://www.cert.org/archive/pdf/07tr012.pdf [Méthode complète & work-sheets, en anglais]
• CPI-RISC - méthode rapide basée sur l'évaluation du niveau de maturité
– http://cpi-risc.org/en/Downloads.html [Documentation partielle, en anglais]
26](https://image.slidesharecdn.com/jeremykenaghan-150522120615-lva1-app6892/85/Gestion-des-risques-26-320.jpg)
Téléchargé pareGov Innovation Center
Gestion des risques
Le document traite de la définition et de la gestion des risques selon les normes ISO, décrivant le processus de management des risques et les méthodes d'identification, d'analyse, d'évaluation et de traitement. Il souligne l'importance des risques dans le secteur informatique et présente différentes normes et méthodologies pertinentes telles que ISO 31000, COBIT et EBIOS. La gestion des risques est présentée comme un processus itératif, intégrant des stratégies de traitement des risques et des exemples de planification.
Contenu connexe
Gestion des risques
- 2.
- 3. "Risque" selon ISO ISOGuide 73, Management du risque – Vocabulaire 2002 "Combinaison de la probabilité d’un événement et de ses conséquences" 2009 "Effet de l'incertitude sur l'atteinte des objectifs" – Un effet = un écart, positif ou négatif, par rapport à une attente – Un risque est souvent exprimé en termes • des conséquences d'un événement et • de sa vraisemblance ["likelihood"] 3 Sources : ISO Guide 73:2002, Management du risque - Vocabulaire ISO Guide 73:2009, Management du risque - Vocabulaire
- 4. Types de risquesliés à l'informatique Source : ISACA (2009), "The Risk IT Framework", Figure 2 ou ISACA (2014), "COBIT 5 for Risk", Figure 5 Opportunités d'apporter de la valeur Risques des projets Risques opérationnels 4
- 5. Menace Vulnérabilité Faiblesse dans unedéfense Conséquences Impacts sur les actifs Défenses en profondeur Le modèle du « fromage suisse » "Swiss cheese model" Basé sur : Reason, J. (1997), "Managing The Risks of Organisational Accidents" 5
- 6. LE MANAGEMENT DESRISQUES 6
- 7. Normes de managementdes risques Evolution BS 7799-3 :2006 EBIOS 19972004 OCTAVE 19992007 et d'autres influences ISO 31000 :2009 AS/NZS 4360 :1995 :2004 ISO Guide 73 :2002 :2009 Vocabulaire ISO 27005 :2011 ISO 13335-1 :2004 ISO 13335-3 :1998 ISO 13335-4 :2000 ISO 27005 :2008 Gestion des risques (entreprise) Gestion des risques (sécurité de l'information) 7
- 8. Management des risques Leprocessus selon ISO 31000:2009 (et ISO 27005:2011) Source : ISO 31000:2009, Management du risque — Principes et lignes directrices Processus similaire : ISO 27005:2011, Gestion des risques liés à la sécurité de l'information 8
- 9. Etablissement du contexte "... définition du domaine d'application ainsi que des critères de risque ..." Source : ISO 31000:2009, Management du risque — Principes et lignes directrices 9
- 10. Identification du risque "processusde recherche, de reconnaissance et de description des risques" Source : ISO 31000:2009, Management du risque — Principes et lignes directrices 10 Cette étape peut faire appel à la créativité !
- 11. Identification du risque Exemple(méthode CORAS) : Identification des scénarios de risque 11 Basé sur : Lund, M.S. et al (2011), "Model-Driven Risk Analysis, The CORAS Approach"
- 12. Identification du risque Exemple(méthode CORAS) : Identification des vulnérabilités 12 Source : Lund, M.S. et al (2011), "Model-Driven Risk Analysis, The CORAS Approach"
- 13. Analyse du risque •Vraisemblance • Conséquence(s) "comprendre la nature d'un risque et ... déterminer le niveau de risque" Source : ISO 31000:2009, Management du risque — Principes et lignes directrices 13
- 14. Conséquence Critique Majeure Modérée Mineure Insignifiante Très probableProbablePossibleNégligeable Analyse desrisques Exemple : résumé de l'analyse sous forme d'une matrice des risques R1 R6 R2 R3R8 R7R4 R5 Vraisemblance 14 Peu probable
- 15. Evaluation du risque "comparaisondes résultats de l'analyse du risque avec les critères de risque afin de déterminer si le risque et/ou son importance sont acceptables ou tolérables" Source : ISO 31000:2009, Management du risque — Principes et lignes directrices 15
- 16. Conséquence Critique Majeure Modérée Mineure Insignifiante Très probableProbablePossiblePeu probableNégligeable Evaluationdes risques Exemple : résumé de l'évaluation sous forme d'une matrice des risques Vraisemblance R1 R6 R2 R3R8 R7R4 R5 = Priorité 1 = Priorité 2 = Acceptable 16
- 17. Traitement du risque "processusdestiné à modifier un risque" Source : ISO 31000:2009, Management du risque — Principes et lignes directrices 17
- 18. Traitement du risque Choixde la stratégie de traitement Basé sur : ISO 27005:2011, Gestion des risques liés à la sécurité de l'information 18
- 19. Traitement du risque Acceptationdu risque résiduel après réduction Risque actuel Risque résiduel Réduction du risque due au traitement proposé Traitement du risque Niveau de risque "acceptable" Basé sur : ISO/IEC 13335-1:2004, Concepts and models for ICT security management 19
- 20. Traitement du risque Acceptationdu traitement Réduction du risque = (Risque initial) – (Risque résiduel) Coût du traitement proposé 20 > Principe de proportionnalité
- 21. Plan de traitementdes risques Exemple Action A 2016 A+1 2017 A+2 2018 Coûts (mandats, achats) Effort métier Effort administratif DSI Effort technique DSI Délai 1. Analyser & évaluer les risques [en cours] 15kFr 3 jh 20 jh - 02.2016 2. Inventorier la règlementation applicable - 3 jh 1 jh - 04.2016 3. Elaborer la Politique générale de sécurité 15kFr 5 jh 10 jh - 09.2016 4. Elaborer une charte sur l'utilisation de l'IT - 5 jh 5 jh - 12.2016 5. Processus de tests périodiques de la sécurité 30kFr/an - 5 jh + 10 jh/an 10 jh/an 06.2016 6. Mettre sur pied un programme de sensibilisation InfoSéc internalisé 15kFr 5 jh + 1 jh/an 5 jh + 10 jh/an - 12.2016 7. Approfondir l'analyse BIA (pré-requis pour la démarche DRP) 15kFr 10 jh 10 jh - 04.2017 etc. etc. etc. 21
- 22. Le processus estitératif ! Source : ISO 31000:2009, Management du risque — Principes et lignes directrices 22
- 23.
- 24. Informatique Sécurité del'info, Sécurité informatique Management du risque Entreprise ISO 31000 COSO ERM •Risk IT + COBIT 4.1 •COBIT 5 for Risk •ISO 27005 •OCTAVE family •EBIOS, MEHARI •CORAS •ENISA •CPI-RISC Développement STRIDE, DREAD, ... Audit / Gouvernance •CobiT 4.1 + Val IT •CobiT Quickstart •COBIT 5 • Gouvernance: ISO 38500 • Audit: ISO 27007 • Audit: ISO 27008 • Gouvernance: ISO 27014 Bonnes pratiques •ITIL, ... •ISO 27002 Certification •ISO 20000, ... •ISO 27001 Quelques méthodes et normes 24
- 25. Références Vocabulaire ISO Les normessont payantes, mais un extrait – contenant toutes les définitions des termes – peut être consulté gratuitement ici : • ISO Guide 73 Management du risque – Vocabulaire – https://www.iso.org/obp/ui/#iso:std:iso:guide:73:ed-1:v1:fr • ISO/CEI 27000 Systèmes de management de la sécurité de l'information – Vue d'ensemble et vocabulaire – https://www.iso.org/obp/ui/#iso:std:iso-iec:27000:ed-3:v1:fr 25
- 26. Références Méthodes simples • Méthoded'ENISA (European Union Agency for Network and Information Security) – http://www.enisa.europa.eu/activities/risk-management/current-risk/risk- management-inventory/files/deliverables [Documentation complète en français, anglais, etc.] • CORAS - méthode et outil graphique – http://coras.sourceforge.net/ – Lund, M.S., Solhaug, B., Stølen, K. (2011), "Model-Driven Risk Analysis, The CORAS Approach", Springer, ISBN 978-3-642-12323-8 Chapter 3 - A Guided Tour of the CORAS Method : http://www.springer.com/cda/content/document/cda_downloaddocument/978364 2123221-c3.pdf [Documentation complète, en anglais] • OCTAVE Allegro - la méthode la plus simple de la famille "OCTAVE" – http://www.cert.org/archive/pdf/07tr012.pdf [Méthode complète & work-sheets, en anglais] • CPI-RISC - méthode rapide basée sur l'évaluation du niveau de maturité – http://cpi-risc.org/en/Downloads.html [Documentation partielle, en anglais] 26