Netclu09 27005

HERVÉ SCHAUER CONSULTANTS
Cabinet de Consultants en Sécurité Informatique depuis 1989
Spécialisé sur Unix, Windows, TCP/IP et Internet

Méthode de gestion des
risques ISO 27005
Netfocus, Bruxelles,12 mai 2009
CLUSIR Aquitaine, Bordeaux,12 juin 2009

Hervé Schauer
<Herve.Schauer@hsc.fr>

Sommaire
Introduction
Historique
Schéma de modélisation
Exemple relié au schéma
Etablissement du contexte : critères et échelles
Cartographie des actifs
Menaces, vulnérabilités, conséquences et impacts sur les actifs
Scénarios d'incident
Plan de traitement des risques
Conclusion
2 Copyright Hervé Schauer Consultants 2009 - Reproduction Interdite

Introduction
Objectif : Démontrer la méthode ISO 27005
Schéma modélisant chaque activité et sous-activité de la
méthode proposée par la norme ISO 27005
Voir schéma joint en format PDF
Exemple simple qui déroule la méthode
N° sur le schéma correspondant aux n° des tableaux
Exemples de tableaux
A titre illustratif et non contractuel !


Historique
Techniques for the management IT
Managing and planning security ; Selection of safeguards
Information security
IT security
ISO TR 13335-3 risk management
1998
ISO TR 13335-2 ISO TR 13335-4 ISO 27005
1992 1997 2000 2008
Guide to BS7799 Guidelines for
CCTA Risk Assessment Risk Assessment information ; security
and Management Method PD 3002 Risk Assessment
1998
CRAMM PD 3005 BS-7799-3
1985 1996 2002 2006
Risk management

AS/NZS 4360
1995 2004
Expression des Besoins et Identification
des Objectifs de Sécurité

EBIOS 2004
1997 2004

Influences diverses

Schéma de modélisation


Exemple
Un journaliste utilise un ordinateur portable pour
rédiger ses articles. Il est employé par le
magazine VSD (Vous et la Sécurité de Demain)
mais il lui arrive de vendre ses articles à d'autres
journaux.
Sur son ordinateur, sont stockés son courrier électronique, ses
contacts et tous ses articles publiés, non encore parus et en
cours de rédaction.
Pour rédiger des articles pertinents, ce journaliste se doit être
un véritable globe trotter. Dans l'urgence, il est amené à rédiger
ses articles dans les salles d'attente, voire de les envoyer en
utilisant les hotspots disponibles.
A l'heure actuelle, la seule protection utilisée est un simple
couple identifiant / mot de passe à l'allumage de l'ordinateur

Établissement du contexte
Définir les critères de base (7.2)
Critères d'impact
Bas-niveau : vis-à-vis de l'actif
Impact de la perte ou de l'atteinte d'un critère de sécurité
Disponibilité, intégrité, confidentialité (7.2)
Haut-niveau : vis-à-vis de l'organisme, du processus métier, du projet
Echelle de mesure, ou critère d'estimation, des conséquences (financières,
délais, image) (7.2)(8222)(B.3)
Critères évaluation des risques
Critères d'acceptation des risques


Établissement du contexte

Critères d'impact
A partir d'où l'impact est assez important pour que le risque soit pris en
compte ?
Dans l'analyse du risque

Critères d'évaluation des risques
A partir d'où je dois passer de l'analyse du risque à son traitement ?

A partir de quel niveau le risque sera acceptable par la direction ?

Pas d'échelles normalisées

Etablissement du contexte
Autres échelles utiles lors de l'analyse de risque
Pas explicitement imposées lors de l'établissement du contexte
Echelle ou critères de valorisation des actifs (8.2.1.2)(B.2)(8.2.1.6)(8.2.2.2)
Echelles d'estimation
Echelle d'estimation des menaces (vraisemblance) (8.2.1.3)(C)(8.2.2.3)
Echelle d'estimation des vulnérabilités (difficulté d'exploitation) (8.2.1.5)(D)
(8.2.2.3)

Echelle d'appréciation de la vraisemblance des scénarios d'incidents
(8.2.2.3)(B.3)


Etablissement du contexte
Récapitulatif par ordre d'utilisation dans la méthode
Echelle ou critères de valorisation des actifs (8.2.1.2)(B.2)(8.2.1.6)(8.2.2.2)
Echelle d'estimation des menaces (vraisemblance) (8.2.1.3)(C)(8.2.2.3)
Echelle d'estimation des vulnérabilités (difficulté d'exploitation) (8.2.1.5)(D)
(8.2.2.3)

Critères d'impact (7.2) : échelle de mesure, ou critère d'estimation
De l'impact de la perte ou de l'atteinte à la disponibilité, intégrité,
confidentialité sur un actif (7.2)
Des conséquences (financières, délais, image) des scénarios d'incidents
(7.2)(8222)(B.3)

Echelle d'appréciation de la vraisemblance des scénarios d'incidents
(8.2.2.3)(B.3)

Critères évaluation des risques (7.2)
Critères d'acceptation des risques (7.2)

Valorisation des actifs
Exemple

Echelle de valorisation des actifs
Valeur Signification
1 Faible Actif facilement remplaçable
Coût d'achat faible
Coût de maintenance faible
Ne nécessite pas de compétences particulières
2 Moyen Actif remplaçable dans la journée
Coût d'achat moyen
Coût de maintenance moyen
Nécessite des connaissances de base
3 Élevé Actif remplaçable dans la semaine
Coût d'achat élevé
Coût de maintenance élevé
Nécessite des connaissances techniques particulières
4 Très élevé Actif remplaçable dans le mois
Coût d'achat très élevé
Coût de maintenance très élevé
Nécessite des connaissances spécifiques.


Critères d'impact
Exemple

Critères d'impact
Qualification du besoin en
Confidentialité Intégrité Disponibilité Niveau du besoin
Informations pouvant être Pas de validation nécessaire Arrêt supérieur Faible ou 1
publiques Peut ne pas être intègre à 3 jours inexistant
Accès autorisé à l'ensemble Simple validation possible Arrêt entre 1 Significatif 2
du journal VSD Peut être partiellement intègre jour et 3 jours
Accès autorisé à l'ensemble Validation croisée Arrêt inférieur à Fort 3
de l'équipe Doit être intègre 1jours
Accès autorisé à un membre Triple validation Aucun arrêt Majeur 4
unique de l'équipe Doit être parfaitement intègre tolérable


Echelle de mesure des conséquences
Exemple :

Echelle de mesure des conséquences
Financier Juridique Commercial Activité Image Niveau d'impact
Perte financière Perte juridique faible ou null Détérioration Perte de Perte image Faible ou 1
faible ou nulle de la relation productivi faible ou inexistant
client té null
Perte financière Amende Perte de Arrêt de Mention Significatif 2
jugée modérée contrat,d'opé travail négative
(10% du CA < X < ration ou de court ponctuelle
30% du CA) transaction, dans un
Perte financière Retrait temporaire de carte de perte de
Perte de Arrêt de média
Mention Fort 3
jugée significative presse, interdiction client travail dans les
(>30% du CA) temporaire d'exercer l'activité long supports de
Perte financière Procès diffamation, atteinte à Perte d'un Reprise presse à
Mention Majeur 4
jugée inacceptable la vie prive, plagia groupe de du travail dans la
(> 50% du CA) clients ou impossibl presse
d'un grand e spécialisée


Exemple :
Utilisés par le RSSI ou le gestionnaire de risques SI
Seuil
Vraisemblance Faible
d'un scénario (Peu Moyenne Elevée Très élevée
d'incident probable) (Possible) (Probable) (Fréquente)
1 2 3 4
1 1 2 3 4
2 2 4 6 8
3 3 6 9 12
4 4 8 12 16
5 5 10 15 20
Impact 6 6 12 18 24
MAX
7 7 14 21 28
(SOM(CID))
8 8 16 24 32
9 9 18 27 36
10 10 20 30 40
11 11 22 33 44
12 12 24 36 48

Exemple :
Validés par la direction et utilisés par la direction
Seuil


Actifs primordiaux (principaux, de haut-niveau) (B.1) :
Processus et activités métier
Information
Actifs en support (de soutien, de bas-niveau, secondaires) :
Cadre organisationnel, site, personnel, réseau, logiciel, matériel, etc

0.Liste des actifs primordiaux
Actifs Primordiaux
Processus de rédaction
Processus de vente
Articles en cours de rédaction
Articles non publiés et non vendus
Articles publiés
Contacts



1.Liste des processus métiers reliés aux actifs
Actif Propriétaire
Processus de rédaction Journaliste
Ordinateur Journaliste
Logiciel de traitement de texte Journaliste
Journaliste Journaliste
Articles en cours de rédaction Journaliste

Processus de vente Journaliste
Ordinateur Journaliste
Connexion internet Journaliste
Logiciel de messagerie Journaliste
Mails Journaliste
Journaliste Journaliste
Articles non publiés et non vendus Journaliste
Contacts Journaliste



2.Liste des actifs
Actif Propriétaire
Actifs Primordiaux 1 Processus de rédaction Journaliste
2 Processus de vente Journaliste
3 Articles en cours de rédaction Journaliste
4 Articles non publiés et non vendus Journaliste
5 Articles publiés Acheteur
6 Contacts Journaliste
Actifs en support 7 Ordinateur Journaliste
8 logiciel de traitement de texte Journaliste
9 logiciel de messagerie Journaliste
10 connexion internet Journaliste
11 mails Journaliste
12 Fichier d'article Journaliste
13 journaliste Journaliste


Actifs valorises

3.Liste des actifs valorisés
Actif Propriétaire Valeur
Actifs Primordiaux 1 Processus de rédaction Journaliste 4
2 Processus de vente Journaliste 3
3 Articles en cours de rédaction Journaliste 4
4 Articles non publiés et non vendus Journaliste 4
5 Articles publiés Acheteur 2
6 Contacts Journaliste 2
Actifs en support 7 Ordinateur Journaliste 4
8 logiciel de traitement de texte Journaliste 2
9 logiciel de messagerie Journaliste 2
10 connexion internet Journaliste 1
11 mails Journaliste 2
12 Fichier d'article Journaliste 4
13 journaliste Journaliste 4


Actifs sélectionnés

4.Liste des actifs sélectionnés
Actif Propriétaire Valeur Sélectionné
Actifs Primordiaux 1 Processus de rédaction Journaliste 4 oui
2 Processus de vente Journaliste 3 oui
3 Articles en cours de rédaction Journaliste 4 oui
4 Articles non publiés et non vendus Journaliste 4 oui
5 Articles publiés Acheteur 2 non
6 Contacts Journaliste 2 non
Actifs en support 7 Ordinateur Journaliste 4 oui
8 logiciel de traitement de texte Journaliste 2 non
9 logiciel de messagerie Journaliste 2 non
10 connexion internet Journaliste 1 non
11 mails Journaliste 2 non
12 Fichier d'article Journaliste 4 oui
13 journaliste Journaliste 4 oui


Menaces sur les actifs

5.Liste de menaces
Actif Valeur Sélectionné Menaces
Actifs Primordiaux 1 Processus de rédaction 4 oui
2 Processus de vente 3 oui Identification de
3 Articles en cours de rédaction 4 oui menaces ne
effectuée pas sur
4 Articles non publiés et non vendus 4 oui
les actifs
5 Articles publiés 2 non
primordiaux.
6 Contacts 2 non
Actifs en support 7 Ordinateur 4 oui Vol
Destruction
Panne électrique

8 logiciel de traitement de texte 2 non
9 logiciel de messagerie 2 non
10 connexion internet 1 non
11 mails 2 non
12 Fichier d'article 4 oui Fraude
Destruction
Copie

13 journaliste 4 oui Enlèvement
Maladie


Vulnérabilités des actifs

6. Liste de vulnérabilités
Actif Valeur Sélectionné Menaces Vulnérabilité
Actifs
Primordiaux 1 Processus de rédaction 4 oui
2 Processus de vente 3 oui
3 Articles en cours de rédaction 4 oui Identification de menaces ne effectuée pas
sur les actifs primordiaux.
4 Articles non publiés et non vendus 4 oui
5 Articles publiés 2 non
6 Contacts 2 non
Actifs en
support 7 Ordinateur 4 oui Vol portabilité
Destruction fragilité
Panne électrique dépend de l'électricité

8 logiciel de traitement de texte 2 non
9 logiciel de messagerie 2 non
10 connexion internet 1 non
11 mails 2 non
12 Fichier d'article 4 oui Fraude Accès libre
Destruction manque de sensibilisation
Copie Accès libre
Fichier en clair

13 journaliste 4 oui Enlèvement non préparation
Maladie manque de sensibilisation


Conséquences et impacts sur les actifs
7.Liste de conséquences relatives aux actifs affectés et aux processus métiers affectés et
impact vis-à-vis des critères CID
Max
Scénario d'incident Les actifs impactés C I D SOM(C,I,D) (SOM(CID)) Conséquences
1 Processus de rédaction 4 2 2 8 Perte financière jugée modérée
3 Articles en cours de rédaction 4 4 3 11 Perte juridique faible ou nulle
Perte de contrat, d'opération ou de transaction,
1.Vol de l'ordinateur du fait de sa portabilité. 11
4 Articles non publiés et non vendus 4 4 3 11 perte de client mineur
7 Ordinateur 4 4 3 11 Perte de productivité
12 Fichier d'article 4 4 3 11 Perte image faible ou nulle

1 Processus de rédaction 1 2 2 5 Perte financière faible ou nulle
2.Destruction de l'ordinateur du fait de sa
4 Articles non publiés et non vendus 1 4 2 7 7 Détérioration de la relation client
fragilité.

3.Suite à une panne électrique l'ordinateur
ne s'allume plus.

1 Processus de rédaction 4 1 1 6 Perte financière jugée inacceptable
Retrait temporaire de carte de presse, interdiction
4.Après une connexion frauduleuse, le 2 Processus de vente 2 1 3 6 temporaire d'exercer l'activité
fichier d'article en cours de rédaction est
3 Articles en cours de rédaction 4 3 3 10 10 Perte de client
modifié avec des informations fausses et
publiés sans contrôle. Arrêt de travail longe
Mention dans les supports de presse à diffusion
12 Fichier d'article 4 3 3 10 restreinte impact sur le réputation à court terme.

1 Processus de rédaction 1 3 3 7 Perte financière jugée significative
5.Le manque de formation de l'utilisateur à 3 Articles en cours de rédaction 1 4 4 9 Perte juridique faible ou nul
l'utilisation du système d'exploitation 12 Fichier d'article 1 4 4 9 Perte de client
9
entraîne une mauvaise manipulation Arrêt de travail longe
causant la perte de l'article. Mention dans les supports de presse à diffusion
restreinte impact sur le réputation à court terme.

6.Après une connexion frauduleuse, le 2 Processus de vente 2 1 1 4 Amende
fichier d'article en cours de rédaction est 3 Articles en cours de rédaction 4 1 1 6 Perte de client
6
copié et publié par un autre journal 12 Fichier d'article 4 1 1 6 Arrêt de travail longe

2 Processus de vente 4 1 1 6 Perte financière jugée inacceptable
7.Lors d'une connexion dans un aéroport, le 12 Fichier d'article 4 1 1 6 Amende
fichier d'article en cours de transfert est
Perte de client
écoutée et retransmis sur un site gratuit 6
avant sa publication officielle Arrêt de travail longe

8.Dans une zone à risque, le journaliste est 2 Processus de vente 1 1 4 6 Perte juridique faible ou nul
pris en otage par des révolutionnaires. 13 journaliste 1 1 4 6 6 Détérioration de la relation client
Arrêt de travail longe
Mention négative ponctuelle dans un média

9.Dans une gare, le journaliste mange des 13 journaliste 1 1 3 5 Perte juridique faible ou nulle
moules pas fraiches, il attrape une
5 Détérioration de la relation client
intoxication alimentaire et il va à l'hôpital.
Perte de productivité
Mention négative ponctuelle dans un média

Mesures de sécurité existantes
8. Liste des mesures de sécurité existantes et prévues
Max Mesures de sécurité
Scénario d'incident Les actifs impactés C I D SOM(C,I,D) (SOM(CID)) Conséquences existantes
1 Processus de rédaction 4 2 2 8 Perte financière jugée modérée
Perte de contrat, d'opération ou de
1.Vol de l'ordinateur du fait de sa portabilité. 11
4 Articles non publiés et non vendus 4 4 3 11 transaction, perte de client mineur

2.Destruction de l'ordinateur du fait de sa
fragilité.

3.Suite à une panne électrique l'ordinateur
ne s'allume plus.

Retrait temporaire de carte de
presse, interdiction temporaire
4.Après une connexion frauduleuse, le 2 Processus de vente 2 1 3 6 d'exercer l'activité
Protection par
fichier d'article en cours de rédaction est 3 Articles en cours de rédaction 4 3 3 10 Perte de client
10 l'identifiant/ mot de
modifié avec des informations fausses et Arrêt de travail longe passe
publiés sans contrôle. Mention dans les supports de
presse à diffusion restreinte
impact sur le réputation à court
12 Fichier d'article 4 3 3 10 terme.

3 Articles en cours de rédaction 1 4 4 9 Perte juridique faible ou nul
5.Le manque de formation de l'utilisateur à 12 Fichier d'article 1 4 4 9 Perte de client
l'utilisation du système d'exploitation Arrêt de travail longe
9
entraîne une mauvaise manipulation Mention dans les supports de
causant la perte de l'article. presse à diffusion restreinte
terme.

2 Processus de vente 2 1 1 4 Amende
6.Après une connexion frauduleuse, le 3 Articles en cours de rédaction 4 1 1 6 Perte de client
Protection par
fichier d'article en cours de rédaction est 12 Fichier d'article 4 1 1 6 Arrêt de travail longe
6 l'identifiant/ mot de
copié et publié par un autre journal Mention dans les supports de passe
terme.

2 Processus de vente 4 1 1 6 Perte financière jugée inacceptable
12 Fichier d'article 4 1 1 6 Amende
7.Lors d'une connexion dans un aéroport, le
Perte de client
fichier d'article en cours de transfert est
écoutée et retransmis sur un site gratuit 6 Arrêt de travail longe
avant sa publication officielle Mention dans les supports de
terme.

2 Processus de vente 1 1 4 6 Perte juridique faible ou nul
8.Dans une zone à risque, le journaliste est
13 journaliste 1 1 4 6 Détérioration de la relation client
pris en otage par des révolutionnaires. 6
Arrêt de travail longe
Mention négative ponctuelle dans
un média

9.Dans une gare, le journaliste mange des 13 journaliste 1 1 3 5 Perte juridique faible ou nulle
moules pas fraiches, il attrape une Détérioration de la relation client
5
intoxication alimentaire et il va à l'hôpital. Perte de productivité
un média

Scénarios d'incident appréciés
9. Liste des conséquences estimées des scénarios d'incident
Max Mesures de sécurité Valeur de
Scénario d'incident Les actifs impactés C I D SOM(C,I,D) (SOM(CID)) existantes Conséquences conséquences
1 Processus de rédaction 4 2 2 8 Perte financière jugée modérée 2
Articles en cours de
3 rédaction 4 4 3 11 Perte juridique faible ou nulle 1
1.Vol de l'ordinateur du fait de sa
Articles non publiés et non 11 Perte de contrat, d'opération ou de
portabilité.
4 vendus 4 4 3 11 transaction, perte de client mineur 2
7 Ordinateur 4 4 3 11 Perte de productivité 1
12 Fichier d'article 4 4 3 11 Perte image faible ou nulle 1

1 Processus de rédaction 1 2 2 5 Perte financière faible ou nulle 1
2.Destruction de l'ordinateur du fait
Articles non publiés et non 7
de sa fragilité.
4 vendus 1 4 2 7 Détérioration de la relation client 1

3.Suite à une panne électrique Articles non publiés et non 7
l'ordinateur ne s'allume plus.

1 Processus de rédaction 4 1 1 6 Perte financière jugée inacceptable 4
4.Après une connexion frauduleuse, 2 Processus de vente 2 1 3 6 d'exercer l'activité 3
le fichier d'article en cours de Protection par
rédaction est modifié avec des 10 l'identifiant/ mot de
3 rédaction 4 3 3 10 Perte de client 3
informations fausses et publiés passe
sans contrôle. Arrêt de travail longe 3
Mention dans les supports de
presse à diffusion restreinte impact
12 Fichier d'article 4 3 3 10 sur le réputation à court terme. 3

1 Processus de rédaction 1 3 3 7 Perte financière jugée significative 4
5.Le manque de formation de 3 rédaction 1 4 4 9 Perte juridique faible ou nul 1
l'utilisateur à l'utilisation du système
12 Fichier d'article 1 4 4 9 Perte de client 3
d'exploitation entraîne une 9
mauvaise manipulation causant la Arrêt de travail longe 3
perte de l'article. Mention dans les supports de
sur le réputation à court terme. 3

2 Processus de vente 2 1 1 4 Amende 2
6.Après une connexion frauduleuse,
rédaction est copié et publié par un 6 l'identifiant/ mot de
autre journal 12 Fichier d'article 4 1 1 6 passe Arrêt de travail longe 3

2 Processus de vente 4 1 1 6 Perte financière jugée inacceptable 4
7.Lors d'une connexion dans un 12 Fichier d'article 4 1 1 6 Amende 2
aéroport, le fichier d'article en cours
Perte de client 3
de transfert est écoutée et
6 Arrêt de travail longe 3
retransmis sur un site gratuit avant
sa publication officielle Mention dans les supports de

8.Dans une zone à risque, le 2 Processus de vente 1 1 4 6 Perte juridique faible ou nulle 1
journaliste est pris en otage par des 13 journaliste 1 1 4 6 Détérioration de la relation client 1
6
révolutionnaires. Arrêt de travail longe 3
un média 2

9.Dans une gare, le journaliste 13 journaliste 1 1 3 5 Perte juridique faible ou nulle 1
mange des moules pas fraiches, il
Détérioration de la relation client 1
attrape une intoxication alimentaire 5
et il va à l'hôpital. Perte de productivité 1

un média 2

Vraisemblance des scénarios d'incident 10. Vraisemblance des scénarios d'incident
Mesures de
Max sécurité Valeur de
Scénario d'incident Les actifs impactés C I D SOM(C,I,D) (SOM(CID)) existantes Conséquences conséquences Vraisemblance
3 rédaction 4 4 3 11 Perte juridique faible ou nul 1
Articles non publiés et non 11 Perte de contrat, d'opération ou de 2
portabilité.
12 Fichier d'article 4 4 3 11 Perte image faible ou nul 1

2.Destruction de l'ordinateur du fait Articles non publiés et non 7 2
de sa fragilité.

3.Suite à une panne électrique
Articles non publiés et non 7 1
l'ordinateur ne s'allume plus. 4 vendus 1 4 2 7 Détérioration de la relation client 1

4.Après une connexion frauduleuse, 2 Processus de vente 2 1 3 6 Protection d'exercer l'activité 3
le fichier d'article en cours de Articles en cours de par
rédaction est modifié avec des 10 l'identifiant/ 2
informations fausses et publiés mot de
sans contrôle. passe Arrêt de travail longe 3

d'exploitation entraîne une mauvaise 9 2
manipulation causant la perte de Arrêt de travail longe 3
l'article. Mention dans les supports de

6.Après une connexion frauduleuse, Protection
le fichier d'article en cours de par
rédaction est copié et publié par un 6 l'identifiant/ 3
autre journal 12 Fichier d'article 4 1 1 6 mot de Arrêt de travail longe 3
passe Mention dans les supports de

Perte de client 3
6 Arrêt de travail longe 3 3

8.Dans une zone à risque, le 2 Processus de vente 1 1 4 6 Perte juridique faible ou nul 1
6 1
un média 2

9.Dans une gare, le journaliste 13 journaliste 1 1 3 5 Perte juridique faible ou nul 1
Arrêt de travail longe 1
attrape une intoxication alimentaire 5 2

un média 2

Calcul du niveau de risque
11. Liste des risques avec le valeur de niveau de risque
Max Mesures de sécurité Valeur de Niveau de risque
Scénario d'incident Les actifs impactés C I D SOM(C,I,D) (SOM(CID)) existantes Conséquences conséquences Vraisemblance =Max(SOM(CID))*Vrais
Articles non publiés et non 11 Perte de contrat, d'opération ou de 2 22
portabilité.

Articles non publiés et non 7 2 14
de sa fragilité.


rédaction est modifié avec des 10 l'identifiant/ mot de 2 20

d'exploitation entraîne une mauvaise 9 2 18

rédaction est copié et publié par un 6 l'identifiant/ mot de 3 18

Perte de client 3
6 Arrêt de travail longe 3 3 18

6 1 6
un média 2

attrape une intoxication alimentaire 5 2 10

27
un média
Copyright Hervé Schauer Consultants 2009 - Reproduction Interdite
2

Risques sélectionnés pour traitement
12. Liste des risques priorités en relation avec les scénarios d'incident
Max Mesures de sécurité Valeur de Niveau de risque
Scénario d'incident Les actifs impactés C I D SOM(C,I,D) (SOM(CID)) existantes Conséquences conséquences Vraisemblance =Max(SOM(CID))*Vrai
Articles non publiés et non 11 Perte de contrat, d'opération ou de 2 22
portabilité.

de sa fragilité.


rédaction est modifié avec des 10 l'identifiant/ mot de 2 20

d'exploitation entraîne une mauvaise 9 2 18

rédaction est copié et publié par un 6 l'identifiant/ mot de 3 18

Perte de client 3
6 Arrêt de travail longe 3 3 18

6 1 6
un média 2

attrape une intoxication alimentaire 5 2 10

28 Copyright Hervé Schauer Consultants 2009 - Reproduction Interdite un média 2

13.Plan de traitement des risques
Niveau Personnes
Scénario de risque Traitement Mesure de sécurité (ISO27002) Priorités responsable Coût
1.Vol de l'ordinateur du fait de sa portabilité, Sauvegarde.
ce qui engendre une perte financière, Sensibilisation.
perte de productivité, perte d'image. 22 Réduction Chiffrement. 1 Journaliste Moyen

Sauvegarde.
protection antivirale.
Sensibilisation.
2.Destruction de l'ordinateur du fait de sa fragilité, mise à jour du logiciel.
14 Réduction HIPS. 2 Journaliste Moyen

3.Suite à une panne électrique l'ordinateur ne s'allume plus,
perte financière, perte de productivité. 7 Maintien

Sensibilisation.
Chiffrement.
4.Après une connexion frauduleuse, le fichier d'article en Réexamen des droits d'accès.
cours de rédaction est modifié avec des informations Déconnexion automatique. des
fausses et publiés sans contrôle. 20 Réduction sessions inactives. 1 Journaliste Moyen

5.Le manque de formation de l'utilisateur
à l'utilisation du système d'exploitation Sauvegarde
entraîne une mauvaise manipulation Formation
causant la perte de l'article. 18 Réduction Sensibilisation 2 Journaliste Faible

Sensibilisation.
Chiffrement.
Réexamen des droits d'accès.
6.Après une connexion frauduleuse, le fichier d'article en Déconnexion automatique des
cours de rédaction est copié et publié par un autre journal 18 Réduction sessions inactives. 1 Journaliste Moyen

7.Lors d'une connexion dans un aéroport, le fichier d'article
en cours de transfert est écoutée et retransmis sur un site Sensibilisation.
gratuit avant sa publication officielle. 18 Réduction Chiffrement. 1 Journaliste Faible

8.Dans une zone à risque, le journaliste est pris en otage par
des révolutionnaires. 6 Maintien

9.Dans une gare, le journaliste mange des moules pas
fraiches, il attrape une intoxication alimentaire et il va à
l'hôpital.. 10 Réduction Sensibilisation. 3 Journaliste Faible

14.Plan de traitment du risque avec le niveau des risques résiduels
Niveau Vraisemblan
des Mesure de sécurité Personnes SOM(CID) ce ré Risque
Scénario risques Traitement (ISO27002) Priorités responsable Coût ré estimée estimée Résiduel
perte de productivité, perte d'image. 22 Réduction Chiffrement. 1 Journaliste Moyen 4 1 4

Sauvegarde.
2.Destruction de l'ordinateur du fait de sa Sensibilisation.
fragilité, mise à jour du logiciel.
14 Réduction HIPS. 2 Journaliste Moyen 3 1 3

3.Suite à une panne électrique l'ordinateur ne
s'allume plus,

Sensibilisation.
Chiffrement.
4.Après une connexion frauduleuse, le fichier Réexamen des droits
d'article en cours de rédaction est modifié avec d'accès.
des informations fausses et publiés sans Déconnexion automatique.
contrôle. 20 Réduction des sessions inactives. 1 Journaliste Moyen 4 1 4

causant la perte de l'article. 18 Réduction Sensibilisation 2 Journaliste Faible 3 1 3

Sensibilisation.
Chiffrement.
Réexamen des droits
6.Après une connexion frauduleuse, le fichier d'accès.
d'article en cours de rédaction est copié et Déconnexion automatique
publié par un autre journal 18 Réduction des sessions inactives. 1 Journaliste Moyen 5 2 10

fichier d'article en cours de transfert est écoutée
et retransmis sur un site gratuit avant sa Sensibilisation.
publication officielle. 18 Réduction Chiffrement. 1 Journaliste Faible 6 2 12

8.Dans une zone à risque, le journaliste est pris
en otage par des révolutionnaires. 6 Maintien

9.Dans une gare, le journaliste mange des
moules pas fraiches, il attrape une intoxication
alimentaire et il va à l'hôpital.. 10 Réduction Sensibilisation. 3 Journaliste Faible 3 1 3


Acceptation des risques
15. Liste de risques acceptés avec justification
Niveau Vraisemblan Niveau des
des Mesure de sécurité Personnes SOM(CID) ce ré Risques Acceptation
Scénario risques Traitement (ISO27002) Priorités responsable Coût ré estimée estimée Résiduels des risques Signature Date
perte de productivité, perte d'image. 22 Réduction Chiffrement. 1 Journaliste Moyen 4 1 4 oui

Sauvegarde.
2.Destruction de l'ordinateur du fait de sa Sensibilisation.
fragilité, mise à jour du logiciel.
14 Réduction HIPS. 2 Journaliste Moyen 3 1 3 oui

3.Suite à une panne électrique l'ordinateur ne
s'allume plus,

Sensibilisation.
Chiffrement.
4.Après une connexion frauduleuse, le fichier Réexamen des droits
d'article en cours de rédaction est modifié avec d'accès.
des informations fausses et publiés sans Déconnexion automatique.
contrôle. 20 Réduction des sessions inactives. 1 Journaliste Moyen 4 1 4 oui

causant la perte de l'article. 18 Réduction Sensibilisation 2 Journaliste Faible 3 1 3 oui

Sensibilisation.
Chiffrement.
Réexamen des droits
6.Après une connexion frauduleuse, le fichier d'accès.
d'article en cours de rédaction est copié et Déconnexion automatique
publié par un autre journal 18 Réduction des sessions inactives. 1 Journaliste Moyen 5 2 10 non

fichier d'article en cours de transfert est écoutée
et retransmis sur un site gratuit avant sa Sensibilisation.
publication officielle. 18 Réduction Chiffrement. 1 Journaliste Faible 6 2 12 non

8.Dans une zone à risque, le journaliste est pris
en otage par des révolutionnaires. 6 Maintien

9.Dans une gare, le journaliste mange des
moules pas fraiches, il attrape une intoxication
alimentaire et il va à l'hôpital.. 10 Réduction Sensibilisation. 3 Journaliste Faible 3 1 3 oui


Conclusion
Pas un processus linéaire
Pas une étape infaisable sans avoir fait la précédente
Possible de démarrer au milieu et d'y aller progressivement
Peut tendre vers une gestion des risques très fine

Rien d'obligatoire dans le formalisme
Seules les étapes imposées par l'ISO 27001 doivent être suivies
Le fait qu'elles ont été suivies doit être montrable

Permet de prendre en compte toute la hiérarchie


Conclusion

ISO 27005 est incontournable au niveau international

ISO 27005 est directement appliquée de l'ISO 27001

ISO 27005 est utilisable dans des contextes et des métiers variés

ISO27005 permet une gestion des risques simple, pragmatique,
adaptée aux réalités des affaires


Netclu09 27005

Contenu connexe

Tendances

En vedette

Similaire à Netclu09 27005

Netclu09 27005