PDF version - Herve Schauer Consultants
10.07.2015 Views
Share Embed Flag

PDF version - Herve Schauer Consultants

PDF version - Herve Schauer Consultants

PDF version - Herve Schauer Consultants

SHOW MORE
SHOW LESS
ePAPER READ
DOWNLOAD ePAPER
hsc.fr

Create successful ePaper yourself

Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.

START NOW

HERVÉ SCHAUER CONSULTANTSCabinet de <strong>Consultants</strong> en Sécurité Informatique depuis 1989Spécialisé sur Unix, Windows, TCP/IP et InternetNormes en SécuritéFocus sur ISO27001 & ISO27005OzSSI EstNancy, 13 octobre 2011Hervé <strong>Schauer</strong>Hervé <strong>Schauer</strong><strong>Herve</strong>.<strong>Schauer</strong>@hsc.fr

SommaireNormes ISOGestion des identités et vie privéeTechniques de sécuritéNormes de la série ISO 27000 : Système de Management de laSécurité de l'Information & Mesures de SécuritéContinuité d'ActivitéIntroduction à l'ISO 27001Méthode de gestion des risques ISO270052 / 111Copyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2000-2011 - Reproduction Interdite

Normes ISOJTC1/SC275 groupes de travail (Working Groups)EvaluationononLignesdirectricesWG 3Evaluation de la sécuritéWG 4Mesures de sécurité /Services de sécuritéWG 1Système de Managementde la Sécurité del'Information (SMSI)TechniquesWG 2Cryptographie /mécanismes de sécuritéWG5Gestion d'identités /Vie privée / Biométrie5 / 111Produits Systèmes Processus EnvironnementCopyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2000-2011 - Reproduction Interdite

Gestion d'identités et vie privéeJTC1/SC27/WG5Gestion d'identités et technologies relatives à la vie privéeProtection des données personellesBiométrie et identification biométriqueSoumis à des prérogatives nationalesConvergence et consensus difficilesParfois sensible6 / 111Copyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2000-2011 - Reproduction Interdite

Gestion d'identités et vie privéeJTC1/SC27/WG5Vie privéeExperts de la CNIL participent et contribuentISO/IEC 29100 « Information technology – Security techniques – Aprivacy framework »Norme fondatriceISO/IEC 29101 « Information technology – Security techniques – Aprivacy reference architecture »7 / 111Copyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2000-2011 - Reproduction Interdite

Gestion d'identités et vie privéeJTC1/SC27/WG5Gestion d'identitésISO/IEC 29115 « Information technology – Security techniques – EntityAuthentication Assurance, texte commun au projet ITU-T – X.eaa »ISO/IEC 24760 « Information technology – Security techniques – Aframework for identity management »ISO/IEC 29146 « Information technology – Security techniques – Aframework for Access Management »ISO/IEC 29191 « Information technology – Security techniques –Requirements on relatively anonymous unlinkable authentication »ISO/IEC 29190 « Information technology – Security techniques –Privacy capability assessment framework »8 / 111Copyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2000-2011 - Reproduction Interdite

Gestion d'identités et vie privéeJTC1/SC27/WG5BiométrieISO/IEC 29149 « Information technology – Security techniques –Biometric template protection »Remplace la norme ISO24745ISOIEC 24761« Technologies de l'information – Techniques de sécurité– Contexte d'authentification biométrique »9 / 111Copyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2000-2011 - Reproduction Interdite

Techniques de sécuritéJTC1/SC27/WG2Cryptographie et mécanismes de sécuritéBesoinsTerminologieInteropérabilitéAlgotithmes10 / 111Copyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2000-2011 - Reproduction Interdite

Techniques de sécuritéJTC1/SC27/WG2Beaucoup de normesChiffrementSymétrique, assymétriqueA flot, par blocSignature numériqueAuthentificationFonction de hachageNon-répudiationGestion de clésHorodatageGénération de nombres aléatoires11 / 111Copyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2000-2011 - Reproduction Interdite

Evaluation de la sécuritéJTC1/SC27/WG3Critères d'évaluation de la sécurité (« Critères Communs »)ISO/IEC 15408-1:2009 : « Technologies de l'information – Techniquesde sécurité – Critères d'évaluation pour la sécurité des Technologies del'Information – Partie 1: Introduction et modèle général »Norme fondatriceDéfinition des termes spécifiques utilisés dans la série ISO 15408Vocabulaire non-conforme à ISO 27000Organisation générale des normes de la série ISO 15408Fonctionnalités ayant pour objectif de fournir un langage structuré pourexprimer ce que doit faire un produit de sécuritéExigences relatives à la documentation associée au produit évalué12 / 111Copyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2000-2011 - Reproduction Interdite

Evaluation de la sécuritéJTC1/SC27/WG3Critères d'évaluation de la sécurité (« Critères Communs »)ISO/IEC 15408En cours révision : contributions bienvenuesAutres normesMéthodologies d'évaluationExigences pour les modules cryptographiquesAssurance de la sécuritéProfils de protectionModèle de maturitéProjet de norme ISO/IEC 29147 : Divulgation des vulnérabilités13 / 111Copyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2000-2011 - Reproduction Interdite

HERVÉ SCHAUER CONSULTANTSCabinet de <strong>Consultants</strong> en Sécurité Informatique depuis 1989Spécialisé sur Unix, Windows, TCP/IP et InternetNormes ISO27000SC27 WG1 & WG4Hervé <strong>Schauer</strong>

SommairePanorama des normes ISO 27000Normes de mesures de sécuritéNormes sectoriellesNormes utiles à la mise en œuvre du SMSINormes utiles à l'intégration du SMSINormes en sécurité réseau15 / 111Copyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2000-2011 - Reproduction Interdite

Panorama des normes ISO 27001Exigencesusage obligatoiredans la certification2005-2013 2007-2011ISO 27001SMSIISO 27006Certification de SMSI2009ISO 27000VocabulaireGuidesusage facultatif2011ISO 27008Audit des mesures2005-2013ISO 27002Mesures de sécurité2010ISO 27003Implémentation2009ISO 27004Indicateurs SMSIISO 27007Audit de SMSI2008-2011ISO 27005Gestion de risque201116 / 111Copyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2000-2011 - Reproduction Interdite

Panorama des normes ISO 27001ISO 27000 : Principes et vocabulaireDisponible gratuitementhttp://standards.iso.org/ittf/PubliclyAvailableStandards/ISO 27001 : Exigences d'un SMSINorme permettant la certificationEn cours de révision à l'ISO depuis 2008ISO 27002 : Code de bonnes pratiques pour un SMSIOriginellement appelée ISO 17799Liste des principales mesures de sécurité issues de l'expérience de lacommunautéEn cours de révision à l'ISO depuis 200817 / 111Copyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2000-2011 - Reproduction Interdite

Panorama des normes ISO 27001ISO 27003 : Guide d'implémentation d'un SMSIAdapté à un organisme qui ne dispose encore d'aucune mise en placede SSIPeu utile à un organisme ayant déjà une mise en oeuvre de mesuresde sécuritéISO 27004 : Mesurage du Management de la Sécurité del'InformationMeasurement mesurageTerme exactSecurity control mesure de sécurité donc pour évite les confusionsGuide de mise en place du mesurage du SMSIInstancie le PDCAInclus des exemples d'indicateurs18 / 111Copyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2000-2011 - Reproduction Interdite

Panorama des normes ISO 27001ISO 27005 : Gestion des risques en Sécurité de l'InformationsPrécise et explicite le contenu de l'ISO 27001Appréciation du risqueAnalyse de risqueEvaluation du risqueTraitement du risqueSynthèse des normes et méthodologies existantes19 / 111Copyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2000-2011 - Reproduction Interdite

Panorama des normes ISO 27001ISO 27006 : Exigences pour l'accréditation des organismes decertification des SMSIRemplace la norme EA 7/03S'appuie sur la norme ISO 17021 : exigences pour l'accréditation desorganismes de certification de systèmes de management en généralApporte des précisions pour les audits de certification ISO 27001Classement des mesures de sécurité : organisationelles / techniquesVérifications à faire ou pas pour les mesures de sécurité techniques20 / 111Copyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2000-2011 - Reproduction Interdite

Panorama des normes ISO 27001ISO 27007:2011 : Guide d'audit de SMSIEtait à l'origine dans l'ISO 27006, séparé pour ne pas être obligatoireApplication de l'ISO 19011:2011 aux audits de SMSIInternes et externesEn cohérence avec ISO 17021-2:2009Se base sur les risques pour l'organisme, les incidents, les indicateursAnnexe qui précise les preuves d'audit à rechercherProjet de norme ISO27008 : Guide d'audit des mesures desécuritéImportante annexe technique sur chaque mesure de sécurité21 / 111Copyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2000-2011 - Reproduction Interdite

Normes de mesures de sécuritéNormes qui précisent ou détaillent des mesures de sécurité del'ISO 27002Série des normes ISO 27033 : sécurité des réseauxIntègre notamment l'aspect gestion des risquesSérie des normes ISO 27034 : intégration de la sécurité dans le cyclede vie du logicielProjet de série de normes ISO 27036 : sécurité dans l'infogéranceProjet de norme ISO 27037 : Guidelines for the identification, collectionand/or acquisition, and preservation of digital evidenceProjet de norme ISO 27038 : Specification for digital redactionProjet de norme ISO 27040 : Sécurité du stockage22 / 111Copyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2000-2011 - Reproduction Interdite

Normes de mesures de sécuritéNormes qui précisent des mesures de sécurité ISO 27002ISO27035:2011 : Incident Security Management / Gestion des(ISO 27001 3.5, 3.6 & ISO 27002 13.1.1)incidents de sécurité23 / 111Remplacement de l'ISO18044Application de l'ISO27001 (4.2.2.h, 4.2.3.a.2 & 4.3.3) et l'ISO27002 (13)Définition complète et pratique du processus de gestion desincidents de sécuritéPolitique de gestion des incidents de sécurité del'informationÉquipe de réponse aux incidents de sécurité del'informationISIRT : Information Security Incident Response TeamDétection et collecte des incidentsAppréciation des incidentsRéponse aux incidentsRetour d'expérience suite aux incidents passésCopyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2000-2011 - Reproduction Interdite

Normes sectoriellesISO 27011:2008 / recommandation ITU X.1051Opérateurs de télécommunicationsA été fait à l'UIT, a été repris par l'ISO tel quelGuide d'application des mesures de sécurité de l'ISO 27002 dans lecadre d'un opérateur de télécommunicationAjout de mesures de sécurité spécifiques pour les télécommunicationsProjet ISO 27010 : communications inter-secteursProjet ISO 27012 : Organizational economicsProjet ISO 27015 : secteur finance & assurance24 / 111Copyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2000-2011 - Reproduction Interdite

Normes sectoriellesISO 27799:2006 : santéFait dans la normalisation de la santéAdaptation de l'ISO27001 et ISO27002 en un seul document pour lesecteur de la santéCherche à remplacer ISO 27001 et créé une certification ISO 27799Caractère d'application des mesures de sécurité obligatoires danscertains casPas d'appréciation des risques obligatoireChapitre 7 donne l'application des mesures de sécurité dans le casparticulier de la santéNorme homologuée depuis le 13 septembre 2008Sera sans doute renuméroté en ISO 2701X dans une prochaine <strong>version</strong>En espérant que cela se repose sur l'ISO 27001 au lieu de réinventerla roueNe fait pas l'unanimité, au contraire25 / 111Copyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2000-2011 - Reproduction Interdite

Autres normesNorme utile à la mise en œuvre de l'ISO 27001ISO 15489 : Gestion des enregistrements(ISO 27002 15.1.3)Norme générale, pas spécifique à la SSITraite notamment de :Ce qui doit être enregistré, sous quelle formeEvaluation des risquesExigences légales et normes applicablesConditions et durée de conservation et gestion de la pérennitéGestion de l'intégrité, de la qualité et de l'efficacitéUtilité pour la SSIPreuves et mise en œuvre des mesures de sécurité pour l'ISO 27001, SOX,etcJournaux système, réseaux, applicatifsEnregistrements financiersArchivages légaux26 / 111Copyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2000-2011 - Reproduction Interdite

Intégration du SMSINormes utiles à l'intégration du SMSI dans l'organismeProjet de norme ISO 27013 : Implémentation intégrée d'ISO 27001 etISO20000-1 (ITIL)Projet de norme ISO 27014 : Information Security GovernanceCohérence avec ISO 3850027 / 111Copyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2000-2011 - Reproduction Interdite

Autres normesNormes en sécurité réseauParfois obsolètes, souvent inutiliséesSérie de normes ISO 18028 : Sécurité des réseauxISO15947 : IT intrusion detection frameworkProjets de normes ISO27032-1 à 3 : cybersecurityISO18043 : Selection, deployement and operations of intrusiondetection systems (IDS)RFC de l'IETF plus accessibles et plus utilisés dans ces domaines28 / 111Copyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2000-2011 - Reproduction Interdite

HERVÉ SCHAUER CONSULTANTSCabinet de <strong>Consultants</strong> en Sécurité Informatique depuis 1989Spécialisé sur Unix, Windows, TCP/IP et InternetContinuité d'activitéTC 223 & JTC1/SC27Hervé <strong>Schauer</strong>

Continuité d'activitéISO 22301:2011 : Preparedness and Continuity ManagementSystems - RequirementsBusiness Continuity Management System, BCMSSystème de Management de la Continuité d'Activité, SMCAExigences pour des systèmes de management de la continuitéd'activité et du maintien en condition opérationnelleProjet de norme ISO 22313 : Guideline for incidentpreparedness and operational continuity managementRéintègre la norme britannique BS25599-1Guide de mise en œuvre de l'ISO 2230130 / 111Copyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2000-2011 - Reproduction Interdite

Continuité d'activité31 / 111ISO 27031:2011 : Guidelines for ICT (Information andCommunications Technologies) Readiness for BusinessContinuity (IRBC)Partie système d'information d'un SMCA (ISO 22301) en utilisationconjointe avec un SMSI (ISO 27001)ISO 24762:2008 : Guidelines for information andcommunications technology disaster recovery servicesPlan de recouvrement informatiqueRéintègre la norme singapourienne SS507Environnement, gestion des actifs, confidentialité, conditionsd'activation, contrat, environnement partagéService d'infrastructure liés au recouvrement de sinistreCapacité de reprise de service : niveau de service, basculeopérationnelle, accès, tests, plan de réponse d'urgence, formation, ...Guide de sélection des sites de recouvrementCopyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2000-2011 - Reproduction Interdite

HERVÉ SCHAUER CONSULTANTSCabinet de <strong>Consultants</strong> en Sécurité Informatique depuis 1989Spécialisé sur Unix, Windows, TCP/IP et InternetIntroduction àl'ISO 27001OzSSI EstNancy, 13 octobre 2011Alexandre Fernandez-ToroHervé <strong>Schauer</strong>Elisabeth Manca

ISO 27001Consensus sur la meilleure manière d'organiser la SSIExpérienceTout types d'organismes visés(IS 27001 1.1)Sociétés commercialesAgences gouvernementalesAssociations, ONGIndications de la norme génériques (1.2)Applicables à tout type d’organisation indépendammentTypeTailleNature de l'activité33 / 111Copyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2000-2011 - Reproduction Interdite

ISO 27001Objectif général de la norme (1.1)Spécifier les exigences pourMettre en placeExploiterAméliorerUn SMSI documentéSpécifier les exigences pour la mise en place de mesures desécuritéAdaptées aux besoins de l’organisationAdéquatesProportionnées34 / 111Copyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2000-2011 - Reproduction Interdite

ISO 27001Ceci doit fournir (1.1)Une protection des actifs d’information (information assets)Patrimoine informationelBiens sensiblesLa confiance aux parties prenantes (interested parties)Sous entenduClientsActionnairesPartenairesAssureursetc.35 / 111Copyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2000-2011 - Reproduction Interdite

ISO 27001Ceci doit maintenir et améliorerPrécision présente dans la BS 7799-2:2002 mais a disparu dansl'ISO 27001:2005CompétitivitéTrésorerie (cash flow)ProfitabilitéRespect de la réglementationImage de marque36 / 111Copyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2000-2011 - Reproduction Interdite

Attentes etexigencesen termede sécuritéPartenairesFournisseursISO 27001Modèle PDCA : Plan-Do-Check-ActPlanificationPlanSécuritéeffectivefourniePartenairesFournisseursClientsPouvoirspublicsActionDoCorrectionActClientsPouvoirspublicsServicesVérificationCheckServices37 / 111Copyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2000-2011 - Reproduction Interdite

ISO 27001Phase PLAN (4.2.1)Périmètre du SMSIPolitique de sécurité et/ou politique du SMSIPlan de gestion des risquesMéthodologie d'appréciation des risquesIdentification et évaluation des risquesTraitement des risquesRéduction des risques à un niveau acceptableConservation (acceptation) des risquesRefus ou évitement des risquesTransfertObjectifs de sécurité et mesures de sécurité Déclaration d'applicabilité : DdA (Statement of applicability ou SoA)38 / 111Copyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2000-2011 - Reproduction Interdite

Phase DO (4.2.2)ISO 2700139 / 111Plan de Traitement du Risque (PTR)Allocation et gestion de ressourcesPersonnes, temps, argent, etc.Formation du personnel concernéGestion du risquePour les risques à réduire :Implémenter les mesures de sécurité identifiées dans la phaseprécédenteAssignation des responsabilitésIdentifier des risques résiduelsPour les risques transférés : assurance, sous-traitance, etc.Pour les risques acceptés et refusés : rien à faireMettre en place le SMSI et l'exploiterCopyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2000-2011 - Reproduction Interdite

ISO 27001Phase CHECK (4.2.3)Vérification de routineGérer les incidents de sécuritéApprendre des autresAudit du SMSIAudits réguliersSur la base deConduit àDocumentsTraces ou enregistrementsTests techniquesConstatation que les mesures de sécurité ne réduisent pas de façoneffective les risques pour lesquels elles ont été mises en placeIdentification de nouveaux risques non traitésTout autre type d'inadaptation de ce qui est mis en place40 / 111Copyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2000-2011 - Reproduction Interdite

Surveillance du SMSI4.2.3.b)Résultatsd’auditsIncidentsRéexamenpériodiqueCorrigerIndicateursSMSIPrévenirRetours desparties prenantesAméliorer41 / 111Copyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2000-2011 - Reproduction Interdite

Phase ACT (4.2.4)ISO 27001Prendre les mesures résultant des constatations faites lors de la phasede vérificationActions possiblesPassage à la phase de planificationSi de nouveaux risques ont été identifiésPassage à la phase d'actionSi la phase de vérification en montre le besoinSi constatation de non conformitéActions correctives ou préventivesActions entreprises immédiatementPlanification d'actions sur le moyen et long terme42 / 111Copyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2000-2011 - Reproduction Interdite

DocumentationExigences relatives à la documentation (4.3)La documentation est obligatoireElle peut prendre plusieurs formes(4.3.1 NOTE 3)PapierÉlectroniqueIl y a deux familles de documentationLes documentsLes enregistrements (records)43 / 111Copyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2000-2011 - Reproduction Interdite

Responsabilités de la directionImplication de la direction (5.1)La direction doit prouver son engagement dans le SMSIManagement des ressources (5.2)Affecter des ressources (5.2.1)En tempsEn moyens financiersEn personnelPour établir, mettre en œuvre, exploiter, surveiller, réexaminer, tenir à jouret améliorer le SMSICompétences (5.2.2)Déterminer les compétences nécessaires au fonctionnement du SMSIFormer / Embaucher du personnel qualifiéSensibilisation (5.2.2)44 / 111Copyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2000-2011 - Reproduction Interdite

Audit interneMenés à intervalles planifiés (6)Objectif : déterminer que les objectifs de sécurité, mesures,processus et procédures du SMSI sont (6.a,b,c,d)Conformes aux exigences de la norme et à la réglementationConformes aux exigences de sécuritéMis en œuvre et tenus à jour de manière efficaceExécutés comme prévuProgramme d'auditTient compte de l'importance et de l'état des processusDéfinir : Critères, champ, fréquence et méthode d'audit45 / 111Copyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2000-2011 - Reproduction Interdite

Revue de direction du SMSIRevue de direction du SMSI (7)Responsabilité de la directionFaite au moins une fois par anObjectifVoir dans quelle mesure il est possible d’améliorer le SMSI46 / 111Copyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2000-2011 - Reproduction Interdite

Amélioration du SMSIAmélioration continue (8.1)Action corrective (8.2)Eliminer les causes de non conformités constatéesAction préventive (8.3)Eliminer les causes de non conformités potentiellesGérer la non conformité Gestion des incidentsVérifier que ces améliorations sont efficacesCommuniquer ces actions aux parties prenantes concernées47 / 111Copyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2000-2011 - Reproduction Interdite

Approche thématiquePlan → 4.2.1Etablissement du SMSIDo → 4.2.2 Mise en œuvre et fonctionnement du SMSICheck4.2.3 Surveillance et réexamen du SMSI6 Audit interne7 Revue de directionAct4.2.4 Mise à jour et amélioration du SMSI8 Amélioration continue48 / 111Copyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2000-2011 - Reproduction Interdite

Approche thématiqueLiens entre 4.2 et les autres chapitres4.2.1 c 2 → 5.1 f4.2.2 e → 5.2.24.2.2 g → 5.2.24.2.3 e → 64.2.3 f → 7.14.2.4 → 8.2 et 8.349 / 111Copyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2000-2011 - Reproduction Interdite

Processus du SMSI50 / 111Copyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2000-2011 - Reproduction Interdite

Processus du SMSIChaque processusCaractérisé par :ObjectifsResponsable (Accountable) et acteurs (RACI)Entrées/sortiesActivitésInteragit avec les autres processus du SMSIDocumentéRévisé régulièrementAuditable et audité → prévoir les contrôles des activitésComplété par des annexes : procédures, politiques, modèles dedocuments ... → les listerGénère des enregistrements → les identifier51 / 111Copyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2000-2011 - Reproduction Interdite

Direction52 / 111Copyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2000-2011 - Reproduction Interdite

Gestion du Risque de l'information53 / 111Copyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2000-2011 - Reproduction Interdite

Pilotage54 / 111Copyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2000-2011 - Reproduction Interdite

Gestion des Mesures de Sécurité55 / 111Copyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2000-2011 - Reproduction Interdite

Gestion de la documentation56 / 111Copyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2000-2011 - Reproduction Interdite

Gestion des Compétences et de laSensibilisation57 / 111Copyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2000-2011 - Reproduction Interdite

Gestion des incidents de sécurité58 / 111Copyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2000-2011 - Reproduction Interdite

Gestion des indicateurs59 / 111Copyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2000-2011 - Reproduction Interdite

Audit interne60 / 111Copyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2000-2011 - Reproduction Interdite

Audit interne61 / 111Copyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2000-2011 - Reproduction Interdite

FormationsISO 27001 : ConclusionCertifications : ISO 27001 LeadAuditor & ISO 27001 LeadImplementer par LSTISessions à LuxembourgClub d'utilisateurs & normalisation2 e éditionRevue et augmentéeQuestions ?<strong>Herve</strong>.<strong>Schauer</strong>@hsc.fr www.hsc.fr62 / 111Copyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2000-2011 - Reproduction Interdite

HERVÉ SCHAUER CONSULTANTSCabinet de <strong>Consultants</strong> en Sécurité Informatique depuis 1989Spécialisé sur Unix, Windows, TCP/IP et InternetMéthode de managementdes risques ISO 27005OzSSI EstMetz, 13 octobre 2011Hervé <strong>Schauer</strong>Hervé <strong>Schauer</strong>

SommaireIntroductionSchéma de modélisationExempleEtablissement du contexte : critères et échellesCartographie des actifsMenaces, vulnérabilités, conséquences et impacts sur les actifsScénarios d'incidentPlan de traitement des risquesDéfauts à atouts de l'ISO 27005Conclusion64 / 111Copyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2000-2011 - Reproduction Interdite

IntroductionObjectif : présenter la méthode ISO 27005Schéma modélisant chaque activité et sous-activité de laméthode proposée par la norme ISO 27005Voir schéma disponible sur www.hsc.fr en format <strong>PDF</strong> vectorielExemple simple qui déroule la méthodeN° sur le schéma correspondant aux n° des tableauxExemples de tableauxA titre illustratif !65 / 111Copyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2000-2011 - Reproduction Interdite

Schéma de modélisation66 / 111Copyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2000-2011 - Reproduction Interdite

ExempleUn journaliste utilise un ordinateur portable pourrédiger ses articles. Il est employé par lemagazine SSID (Sécurité des Systèmesd'Information de Demain) mais il lui arrive devendre ses articles à d'autres journaux.Sur son ordinateur, sont stockés son courrier électronique, sescontacts et tous ses articles publiés, non encore parus et encours de rédaction.Pour rédiger des articles pertinents, ce journaliste se doit êtreun véritable globe trotter. Dans l'urgence, il est amené à rédigerses articles dans les salles d'attente, voire de les envoyer enutilisant les hotspots disponibles.A l'heure actuelle, la seule protection utilisée est un simplecouple identifiant / mot de passe à l'allumage de l'ordinateur67 / 111Copyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2000-2011 - Reproduction Interdite

Établissement des critères68 / 111Copyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2000-2011 - Reproduction Interdite

Établissement des critèresDéfinir les critères de base (7.2)Critères d'impactBas-niveau : vis-à-vis de l'actifImpact de la perte ou de l'atteinte d'un critère de sécuritéDisponibilité, intégrité, confidentialité (7.2)Haut-niveau : vis-à-vis de l'organisme, du processus métier, du projetEchelle de mesure, ou critère d'estimation, des conséquences (financières,délais, image) (7.2)(8222)(B.3)Critères évaluation des risquesCritères d'acceptation des risques69 / 111Copyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2000-2011 - Reproduction Interdite

Critères d'impactÉtablissement des critèresImpact assez important pour que le risque doive être pris en compte ?Dans l'analyse du risqueCritères d'évaluation des risquesNiveau de risque assez élevé pour le risque soit traité ?Critères d'acceptation des risquesNiveau le risque résiduel acceptable par la direction ?70 / 111Copyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2000-2011 - Reproduction Interdite

Établissement des critèresAutres échelles utiles lors de l'analyse de risquePas explicitement imposées lors de l'établissement du contexteEchelle ou critères de valorisation des actifs (8.2.1.2)(B.2)(8.2.1.6)(8.2.2.2)Echelles d'estimationEchelle d'estimation des menaces (vraisemblance) (8.2.1.3)(C)(8.2.2.3)Echelle d'estimation des vulnérabilités (difficulté d'exploitation) (8.2.1.5)(D)(8.2.2.3)Echelle d'appréciation de la vraisemblance des scénarios d'incidents(8.2.2.3)(B.3)71 / 111Copyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2000-2011 - Reproduction Interdite

Critères d'impactCritères d'impact CIDExemple :Critères d'impactConfidentialitéQualification du besoin enIntégrité Disponibilité Niveau du besoinPas de validation nécessaire Arrêt supérieur Faible ou1Peut ne pas être intègreSimple validation possibleà 3 joursArrêt entre 1inexistantSignificatif 2Peut être partiellement intègre jour et 3 joursValidation croisée Arrêt inférieur à Fort 3Doit être intègre1joursTriple validation Aucun arrêt Majeur 4Doit être parfaitement intègre tolérableInformations pouvant êtrepubliquesAccès autorisé à l'ensembledu journal SSIDAccès autorisé à l'ensemblede l'équipeAccès autorisé à un membreunique de l'équipeImpact sur un actif ou besoin sur cet actif72 / 111Copyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2000-2011 - Reproduction Interdite

Critères d'impactCritères d'impact « business » ou conséquencesExemple :Echelle de mesure des conséquencesFinancier Juridique Commercial Activité Image Niveau d'impactPerte financière Perte juridique faible ou null Détérioration Perte de Perte image Faible ou1faible ou nullede la relation productivi faible ou inexistantclient té nullPerte financière Amende Perte de Arrêt de Mention Significatif 2jugée modérée(10% du CA < X 50% du CA)groupe declients oudu travail dans laimpossibl pressed'un grand e spécialiséeConséquence de l'occurence d'un scénario d'incident sur l'organisme,le métier, le projet73 / 111Copyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2000-2011 - Reproduction Interdite

Critères d'évaluation des risquesUtilisés par le RSSI ou le gestionnaire de risques SIExprimés en françaisSeuilExemple :ImpactMAX(SOM(CID))Critères d'évaluation des risquesVraisemblanced'un scénariod'incidentFaible(Peuprobable)Moyenne(Possible)Elevée(Probable)Très élevée(Fréquente)1 2 3 41 1 2 3 42 2 4 6 83 3 6 9 124 4 8 12 165 5 10 15 206 6 12 18 247 7 14 21 288 8 16 24 329 9 18 27 3610 10 20 30 4011 11 22 33 4412 12 24 36 4874 / 111Copyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2000-2011 - Reproduction Interdite

Critères d'acceptation des risquesValidés par la direction et utilisés par la directionExprimés en françaisSeuilExemple :75 / 111Copyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2000-2011 - Reproduction Interdite

Établissement du contexte76 / 111Copyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2000-2011 - Reproduction Interdite

Établissement du contexte77 / 111Copyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2000-2011 - Reproduction Interdite

Appréciation du risque78 / 111Copyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2000-2011 - Reproduction Interdite

Identification des actifs79 / 111Copyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2000-2011 - Reproduction Interdite

Cartographie des actifsActifs primordiaux (B.1) :Processus et activités métierInformationActifs en support :Cadre organisationnel, site, personnel, réseau, logiciel, matériel, etcExemple :0.Liste des actifs primordiauxActifs PrimordiauxProcessus de rédactionProcessus de venteArticles en cours de rédactionArticles non publiés et non vendusArticles publiésContacts80 / 111Copyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2000-2011 - Reproduction Interdite

Cartographie des actifs1.Liste des processus métiers reliés aux actifsActifProcessus de rédactionOrdinateurLogiciel de traitement de texteJournalisteArticles en cours de rédactionPropriétaireJournalisteJournalisteJournalisteJournalisteJournalisteProcessus de venteOrdinateurConnexion internetLogiciel de messagerieMailsJournalisteArticles non publiés et non vendusContactsJournalisteJournalisteJournalisteJournalisteJournalisteJournalisteJournalisteJournaliste81 / 111Copyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2000-2011 - Reproduction Interdite

Cartographie des actifs2.Liste des actifsActifPropriétaireActifs Primordiaux 1 Processus de rédaction Journaliste2 Processus de vente Journaliste3 Articles en cours de rédaction Journaliste4 Articles non publiés et non vendus Journaliste5 Articles publiés Acheteur6 Contacts JournalisteActifs en support 7 Ordinateur Journaliste8 logiciel de traitement de texte Journaliste9 logiciel de messagerie Journaliste10 connexion internet Journaliste11 mails Journaliste12 Fichier d'article Journaliste13 journaliste Journaliste82 / 111Copyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2000-2011 - Reproduction Interdite

Valorisation des actifsExempleEchelle de valorisation des actifsValeurSignification1 Faible Actif facilement remplaçableCoût d'achat faibleCoût de maintenance faibleNe nécessite pas de compétences particulières2 Moyen Actif remplaçable dans la journéeCoût d'achat moyenCoût de maintenance moyenNécessite des connaissances de base3 Élevé Actif remplaçable dans la semaineCoût d'achat élevéCoût de maintenance élevéNécessite des connaissances techniques particulières4 Très élevé Actif remplaçable dans le moisCoût d'achat très élevéCoût de maintenance très élevéNécessite des connaissances spécifiques.83 / 111Copyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2000-2011 - Reproduction Interdite

Actifs valorises3.Liste des actifs valorisésActif Propriétaire ValeurActifs Primordiaux 1 Processus de rédaction Journaliste 42 Processus de vente Journaliste 33 Articles en cours de rédaction Journaliste 44 Articles non publiés et non vendus Journaliste 45 Articles publiés Acheteur 26 Contacts Journaliste 2Actifs en support 7 Ordinateur Journaliste 48 logiciel de traitement de texte Journaliste 29 logiciel de messagerie Journaliste 210 connexion internet Journaliste 111 mails Journaliste 212 Fichier d'article Journaliste 413 journaliste Journaliste 484 / 111Copyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2000-2011 - Reproduction Interdite

Actifs sélectionnés4.Liste des actifs sélectionnésActif Propriétaire Valeur SélectionnéActifs Primordiaux 1 Processus de rédaction Journaliste 4 oui2 Processus de vente Journaliste 3 oui3 Articles en cours de rédaction Journaliste 4 oui4 Articles non publiés et non vendus Journaliste 4 oui5 Articles publiés Acheteur 2 non6 Contacts Journaliste 2 nonActifs en support 7 Ordinateur Journaliste 4 oui8 logiciel de traitement de texte Journaliste 2 non9 logiciel de messagerie Journaliste 2 non10 connexion internet Journaliste 1 non11 mails Journaliste 2 non12 Fichier d'article Journaliste 4 oui13 journaliste Journaliste 4 oui85 / 111Copyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2000-2011 - Reproduction Interdite

Identification des menaces86 / 111Copyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2000-2011 - Reproduction Interdite

Menaces sur les actifs5.Liste de menacesActif Valeur Sélectionné MenacesActifs Primordiaux 1 Processus de rédaction 4 oui2 Processus de vente 3 oui3 Articles en cours de rédaction 4 oui4 Articles non publiés et non vendus 4 oui5 Articles publiés 2 non6 Contacts 2 nonActifs en support 7 Ordinateur 4 oui VolIdentification demenaces neeffectuée pas surles actifsprimordiaux.DestructionPanne électrique8 logiciel de traitement de texte 2 non9 logiciel de messagerie 2 non10 connexion internet 1 non11 mails 2 non12 Fichier d'article 4 oui FraudeDestructionCopie13 journaliste 4 oui EnlèvementMaladie87 / 111Copyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2000-2011 - Reproduction Interdite

Identification des vulnérabilités88 / 111Copyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2000-2011 - Reproduction Interdite

Vulnérabilités des actifsActifsPrimordiauxActifs ensupport6. Liste de vulnérabilitésActif Valeur Sélectionné Menaces Vulnérabilité1 Processus de rédaction 4 oui2 Processus de vente 3 oui3 Articles en cours de rédaction 4 oui4 Articles non publiés et non vendus 4 oui5 Articles publiés 2 non6 Contacts 2 nonIdentification de menaces ne effectuée passur les actifs primordiaux.7 Ordinateur 4 oui Vol portabilitéDestruction fragilitéPanne électrique dépend de l'électricité8 logiciel de traitement de texte 2 non9 logiciel de messagerie 2 non10 connexion internet 1 non11 mails 2 non12 Fichier d'article 4 oui Fraude Accès libreDestructionCopiemanque de sensibilisationAccès libreFichier en clair13 journaliste 4 oui Enlèvement non préparationMaladie manque de sensibilisation89 / 111Copyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2000-2011 - Reproduction Interdite

Identification des conséquencesReformuler sous forme de scénario d'incidentOccurrence du scénario d'incident = incident de sécurité90 / 111Copyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2000-2011 - Reproduction Interdite

Conséquences et impacts sur les actifs7.Liste de conséquences relatives aux actifs affectés et aux processus métiers affectés etimpact vis-à-vis des critères CIDMaxScénario d'incident Les actifs impactés C I D SOM(C,I,D) (SOM(CID))Conséquences1 Processus de rédaction 4 2 2 8Perte financière jugée modérée3 Articles en cours de rédaction 4 4 3 11 Perte juridique faible ou nulle1.Vol de l'ordinateur du fait de sa portabilité.Perte de contrat, d'opération ou de transaction,114 Articles non publiés et non vendus 4 4 3 11perte de client mineur7 Ordinateur 4 4 3 11 Perte de productivité12 Fichier d'article 4 4 3 11 Perte image faible ou nulle2.Destruction de l'ordinateur du fait de safragilité.3.Suite à une panne électrique l'ordinateurne s'allume plus.4.Après une connexion frauduleuse, lefichier d'article en cours de rédaction estmodifié avec des informations fausses etpubliés sans contrôle.1 Processus de rédaction 1 2 2 5Perte financière faible ou nulle3 Articles en cours de rédaction 1 4 2 7 Perte juridique faible ou nulle4 Articles non publiés et non vendus 1 4 2 7 7 Détérioration de la relation client7 Ordinateur 1 2 2 5 Perte de productivité12 Fichier d'article 1 4 2 7 Perte image faible ou nulle1 Processus de rédaction 1 2 2 5Perte financière faible ou nulle3 Articles en cours de rédaction 1 4 2 7 Perte juridique faible ou nulle4 Articles non publiés et non vendus 1 4 2 7 7 Détérioration de la relation client7 Ordinateur 1 2 2 5 Perte de productivité12 Fichier d'article 1 4 2 7 Perte image faible ou nulle1 Processus de rédaction 4 1 1 6Perte financière jugée inacceptableRetrait temporaire de carte de presse, interdiction2 Processus de vente 2 1 3 6temporaire d'exercer l'activité3 Articles en cours de rédaction 4 3 3 10 10 Perte de clientArrêt de travail longeMention dans les supports de presse à diffusion12 Fichier d'article 4 3 3 10restreinte impact sur le réputation à court terme.5.Le manque de formation de l'utilisateur àl'utilisation du système d'exploitationentraîne une mauvaise manipulationcausant la perte de l'article.6.Après une connexion frauduleuse, lefichier d'article en cours de rédaction estcopié et publié par un autre journal7.Lors d'une connexion dans un aéroport, lefichier d'article en cours de transfert estécoutée et retransmis sur un site gratuitavant sa publication officielle8.Dans une zone à risque, le journaliste estpris en otage par des révolutionnaires.1 Processus de rédaction 1 3 3 7Perte financière jugée significative3 Articles en cours de rédaction 1 4 4 9 Perte juridique faible ou nul12 Fichier d'article 1 4 4 99Perte de clientArrêt de travail longeMention dans les supports de presse à diffusionrestreinte impact sur le réputation à court terme.1 Processus de rédaction 4 1 1 6Perte financière jugée inacceptable2 Processus de vente 2 1 1 4 Amende3 Articles en cours de rédaction 4 1 1 6 Perte de client612 Fichier d'article 4 1 1 6 Arrêt de travail longeMention dans les supports de presse à diffusionrestreinte impact sur le réputation à court terme.2 Processus de vente 4 1 1 6Perte financière jugée inacceptable12 Fichier d'article 4 1 1 6 Amende6Perte de clientArrêt de travail longeMention dans les supports de presse à diffusionrestreinte impact sur le réputation à court terme.1 Processus de rédaction 1 1 4 6Perte financière jugée significative2 Processus de vente 1 1 4 6 Perte juridique faible ou nul13 journaliste 1 1 4 6 6 Détérioration de la relation clientArrêt de travail longeMention négative ponctuelle dans un média9.Dans une gare, le journaliste mange desmoules pas fraiches, il attrape uneintoxication alimentaire et il va à l'hôpital.91 / 1111 Processus de rédaction 1 1 3 5Perte financière jugée significative13 journaliste 1 1 3 5 Perte juridique faible ou nulle5 Détérioration de la relation clientPerte de productivitéMention négative ponctuelle dans un médiaCopyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2000-2011 - Reproduction Interdite

Identification des mesures existantesPremière itération : aucune mesure de sécurité existante92 / 111Copyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2000-2011 - Reproduction Interdite

Mesures de sécurité existantes8. Liste des mesures de sécurité existantes et prévuesMaxMesures de sécuritéScénario d'incident Les actifs impactés C I D SOM(C,I,D) (SOM(CID)) Conséquences existantes1 Processus de rédaction 4 2 2 8Perte financière jugée modérée3 Articles en cours de rédaction 4 4 3 11 Perte juridique faible ou nulle1.Vol de l'ordinateur du fait de sa portabilité.4 Articles non publiés et non vendus 4 4 3 1111Perte de contrat, d'opération ou detransaction, perte de client mineur7 Ordinateur 4 4 3 11 Perte de productivité12 Fichier d'article 4 4 3 11 Perte image faible ou nulle2.Destruction de l'ordinateur du fait de safragilité.3.Suite à une panne électrique l'ordinateurne s'allume plus.4.Après une connexion frauduleuse, lefichier d'article en cours de rédaction estmodifié avec des informations fausses etpubliés sans contrôle.5.Le manque de formation de l'utilisateur àl'utilisation du système d'exploitationentraîne une mauvaise manipulationcausant la perte de l'article.6.Après une connexion frauduleuse, lefichier d'article en cours de rédaction estcopié et publié par un autre journal7.Lors d'une connexion dans un aéroport, lefichier d'article en cours de transfert estécoutée et retransmis sur un site gratuitavant sa publication officielle8.Dans une zone à risque, le journaliste estpris en otage par des révolutionnaires.1 Processus de rédaction 1 2 2 5Perte financière faible ou nulle3 Articles en cours de rédaction 1 4 2 7 Perte juridique faible ou nulle4 Articles non publiés et non vendus 1 4 2 7 7 Détérioration de la relation client7 Ordinateur 1 2 2 5 Perte de productivité12 Fichier d'article 1 4 2 7 Perte image faible ou nulle1 Processus de rédaction 1 2 2 5Perte financière faible ou nulle3 Articles en cours de rédaction 1 4 2 7 Perte juridique faible ou nulle4 Articles non publiés et non vendus 1 4 2 7 7 Détérioration de la relation client7 Ordinateur 1 2 2 5 Perte de productivité12 Fichier d'article 1 4 2 7 Perte image faible ou nulle1 Processus de rédaction 4 1 1 6Perte financière jugée inacceptableRetrait temporaire de carte depresse, interdiction temporaire2 Processus de vente 2 1 3 6d'exercer l'activitéProtection par3 Articles en cours de rédaction 4 3 3 10 Perte de client10l'identifiant/ mot deArrêt de travail longepasseMention dans les supports depresse à diffusion restreinteimpact sur le réputation à court12 Fichier d'article 4 3 3 10terme.1 Processus de rédaction 1 3 3 7Perte financière jugée significative3 Articles en cours de rédaction 1 4 4 9 Perte juridique faible ou nul12 Fichier d'article 1 4 4 9 Perte de client9Arrêt de travail longeMention dans les supports depresse à diffusion restreinteimpact sur le réputation à courtterme.1 Processus de rédaction 4 1 1 6Perte financière jugée inacceptable2 Processus de vente 2 1 1 4 Amende3 Articles en cours de rédaction 4 1 1 6 Perte de clientProtection par12 Fichier d'article 4 1 1 66Arrêt de travail longel'identifiant/ mot deMention dans les supports de passepresse à diffusion restreinteimpact sur le réputation à courtterme.2 Processus de vente 4 1 1 6Perte financière jugée inacceptable12 Fichier d'article 4 1 1 6 AmendePerte de client6Arrêt de travail longeMention dans les supports depresse à diffusion restreinteimpact sur le réputation à courtterme.1 Processus de rédaction 1 1 4 6Perte financière jugée significative2 Processus de vente 1 1 4 6 Perte juridique faible ou nul13 journaliste 1 1 4 6 Détérioration de la relation client6Arrêt de travail longeMention négative ponctuelle dansun média9.Dans une gare, le journaliste mange desmoules pas fraiches, il attrape uneintoxication alimentaire et il va à l'hôpital.93 / 1111 Processus de rédaction 1 1 3 5Perte financière jugée significative13 journaliste 1 1 3 5 Perte juridique faible ou nulle5Détérioration de la relation clientPerte de productivitéMention négative ponctuelle dansun médiaCopyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2000-2011 - Reproduction Interdite

Estimation des risques : impacts94 / 111Copyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2000-2011 - Reproduction Interdite

Scénarios d'incident appréciés9. Liste des conséquences estimées des scénarios d'incidentMax Mesures de sécuritéValeur deScénario d'incident Les actifs impactés C I D SOM(C,I,D) (SOM(CID)) existantesConséquences conséquences1 Processus de rédaction 4 2 2 8Perte financière jugée modérée 2Articles en cours de3 rédaction4 4 3 11 Perte juridique faible ou nulle 11.Vol de l'ordinateur du fait de saArticles non publiés et non11Perte de contrat, d'opération ou deportabilité.4 vendus4 4 3 11 transaction, perte de client mineur 27 Ordinateur 4 4 3 11 Perte de productivité 112 Fichier d'article 4 4 3 11 Perte image faible ou nulle 12.Destruction de l'ordinateur du faitde sa fragilité.3.Suite à une panne électriquel'ordinateur ne s'allume plus.4.Après une connexion frauduleuse,le fichier d'article en cours derédaction est modifié avec desinformations fausses et publiéssans contrôle.5.Le manque de formation del'utilisateur à l'utilisation du systèmed'exploitation entraîne unemauvaise manipulation causant laperte de l'article.6.Après une connexion frauduleuse,le fichier d'article en cours derédaction est copié et publié par unautre journal7.Lors d'une connexion dans unaéroport, le fichier d'article en coursde transfert est écoutée etretransmis sur un site gratuit avantsa publication officielle8.Dans une zone à risque, lejournaliste est pris en otage par desrévolutionnaires.9.Dans une gare, le journalistemange des moules pas fraiches, ilattrape une intoxication alimentaireet il va à l'hôpital.95 / 1111 Processus de rédaction 1 2 2 5Perte financière faible ou nulle 1Articles en cours de3 rédaction1 4 2 7 Perte juridique faible ou nulle 1Articles non publiés et non74 vendus1 4 2 7 Détérioration de la relation client 17 Ordinateur 1 2 2 5 Perte de productivité 112 Fichier d'article 1 4 2 7 Perte image faible ou nulle 11 Processus de rédaction 1 2 2 5Perte financière faible ou nulle 1Articles en cours de3 rédaction1 4 2 7 Perte juridique faible ou nulle 1Articles non publiés et non74 vendus1 4 2 7 Détérioration de la relation client 17 Ordinateur 1 2 2 5 Perte de productivité 112 Fichier d'article 1 4 2 7 Perte image faible ou nulle 11 Processus de rédaction 4 1 1 6Perte financière jugée inacceptable 4Retrait temporaire de carte depresse, interdiction temporaire2 Processus de vente 2 1 3 6 d'exercer l'activité3Protection parArticles en cours de10 l'identifiant/ mot de3 rédaction4 3 3 10 Perte de client 3passeArrêt de travail longe 3Mention dans les supports depresse à diffusion restreinte impact12 Fichier d'article 4 3 3 10sur le réputation à court terme.31 Processus de rédaction 1 3 3 7Perte financière jugée significative 4Articles en cours de3 rédaction1 4 4 9 Perte juridique faible ou nul 112 Fichier d'article 1 4 4 9 Perte de client 39Arrêt de travail longe 3Mention dans les supports depresse à diffusion restreinte impactsur le réputation à court terme.31 Processus de rédaction 4 1 1 6Perte financière jugée inacceptable 42 Processus de vente 2 1 1 4 Amende 2Articles en cours deProtection par3 rédaction4 1 1 6 Perte de client 36 l'identifiant/ mot de12 Fichier d'article 4 1 1 6passeArrêt de travail longe 3Mention dans les supports depresse à diffusion restreinte impactsur le réputation à court terme.32 Processus de vente 4 1 1 6Perte financière jugée inacceptable 412 Fichier d'article 4 1 1 6 Amende 2Perte de client 36Arrêt de travail longeMention dans les supports de3presse à diffusion restreinte impactsur le réputation à court terme.31 Processus de rédaction 1 1 4 6Perte financière jugée significative 32 Processus de vente 1 1 4 6 Perte juridique faible ou nulle 113 journaliste 1 1 4 6 Détérioration de la relation client 16Arrêt de travail longe 3Mention négative ponctuelle dansun média21 Processus de rédaction 1 1 3 5Perte financière jugée significative 313 journaliste 1 1 3 5 Perte juridique faible ou nulle 15Détérioration de la relation client 1Perte de productivité 1Mention négative ponctuelle dansun média2Copyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2000-2011 - Reproduction Interdite

Estimation des risques : vraisemblance96 / 111Copyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2000-2011 - Reproduction Interdite

Vraisemblance des scénarios d'incident10. Vraisemblance des scénarios d'incidentMesures deMax sécuritéValeur deScénario d'incident Les actifs impactés C I D SOM(C,I,D) (SOM(CID)) existantesConséquences conséquences Vraisemblance1 Processus de rédaction 4 2 2 8Perte financière jugée modérée 2Articles en cours de3 rédaction4 4 3 11 Perte juridique faible ou nul 11.Vol de l'ordinateur du fait de saArticles non publiés et non11Perte de contrat, d'opération ou deportabilité.4 vendus4 4 3 11 transaction, perte de client mineur 227 Ordinateur 4 4 3 11 Perte de productivité 112 Fichier d'article 4 4 3 11 Perte image faible ou nul 12.Destruction de l'ordinateur du faitde sa fragilité.3.Suite à une panne électriquel'ordinateur ne s'allume plus.4.Après une connexion frauduleuse,le fichier d'article en cours derédaction est modifié avec desinformations fausses et publiéssans contrôle.5.Le manque de formation del'utilisateur à l'utilisation du systèmed'exploitation entraîne une mauvaisemanipulation causant la perte del'article.6.Après une connexion frauduleuse,le fichier d'article en cours derédaction est copié et publié par unautre journal7.Lors d'une connexion dans unaéroport, le fichier d'article en coursde transfert est écoutée etretransmis sur un site gratuit avantsa publication officielle8.Dans une zone à risque, lejournaliste est pris en otage par desrévolutionnaires.9.Dans une gare, le journalistemange des moules pas fraiches, ilattrape une intoxication alimentaireet il va à l'hôpital.97 / 1111 Processus de rédaction 1 2 2 5Perte financière faible ou nulle 1Articles en cours de3 rédaction1 4 2 7 Perte juridique faible ou nul 1Articles non publiés et non74 vendus1 4 2 7 Détérioration de la relation client 17 Ordinateur 1 2 2 5 Perte de productivité 112 Fichier d'article 1 4 2 7 Perte image faible ou nul 11 Processus de rédaction 1 2 2 5Perte financière faible ou nulle 1Articles en cours de3 rédaction1 4 2 7 Perte juridique faible ou nul 1Articles non publiés et non74 vendus1 4 2 7 Détérioration de la relation client 17 Ordinateur 1 2 2 5 Perte de productivité 112 Fichier d'article 1 4 2 7 Perte image faible ou nul 11 Processus de rédaction 4 1 1 6Perte financière jugée inacceptable 4Retrait temporaire de carte depresse, interdiction temporaire2 Processus de vente 2 1 3 6Protectiond'exercer l'activité3Articles en cours depar103 rédactionl'identifiant/4 3 3 10 Perte de client 3mot depasseArrêt de travail longe 3Mention dans les supports depresse à diffusion restreinte impact12 Fichier d'article 4 3 3 10sur le réputation à court terme.31 Processus de rédaction 1 3 3 7Perte financière jugée significative 4Articles en cours de3 rédaction1 4 4 9 Perte juridique faible ou nul 112 Fichier d'article 1 4 4 9 Perte de client 39Arrêt de travail longe 3Mention dans les supports depresse à diffusion restreinte impactsur le réputation à court terme.31 Processus de rédaction 4 1 1 6Perte financière jugée inacceptable 42 Processus de vente 2 1 1 4 Amende 2ProtectionArticles en cours depar3 rédaction4 1 1 6 Perte de client 36 l'identifiant/12 Fichier d'article 4 1 1 6mot deArrêt de travail longe 3passe Mention dans les supports depresse à diffusion restreinte impactsur le réputation à court terme.32 Processus de vente 4 1 1 6Perte financière jugée inacceptable 412 Fichier d'article 4 1 1 6 Amende 2Perte de client 36Arrêt de travail longe 3Mention dans les supports depresse à diffusion restreinte impactsur le réputation à court terme.31 Processus de rédaction 1 1 4 6Perte financière jugée significative 32 Processus de vente 1 1 4 6 Perte juridique faible ou nul 113 journaliste 1 1 4 6 Détérioration de la relation client 16Arrêt de travail longe 3Mention négative ponctuelle dansun média21 Processus de rédaction 1 1 3 5Perte financière jugée significative 313 journaliste 1 1 3 5 Perte juridique faible ou nul 15Arrêt de travail longe 1Perte de productivité 1Mention négative ponctuelle dansun média2Copyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2000-2011 - Reproduction Interdite21223312

Estimation des niveaux de risque98 / 111Copyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2000-2011 - Reproduction Interdite

11. Liste des risques avec le valeur de niveau de risqueNiveaux de risque estimésMax Mesures de sécuritéValeur deNiveau de risqueScénario d'incident Les actifs impactés C I D SOM(C,I,D) (SOM(CID)) existantesConséquences conséquences Vraisemblance =Max(SOM(CID))*Vrais1 Processus de rédaction 4 2 2 8Perte financière jugée modérée 2Articles en cours de3 rédaction4 4 3 11 Perte juridique faible ou nul 11.Vol de l'ordinateur du fait de saArticles non publiés et non11Perte de contrat, d'opération ou deportabilité.4 vendus4 4 3 11 transaction, perte de client mineur 22 227 Ordinateur 4 4 3 11 Perte de productivité 112 Fichier d'article 4 4 3 11 Perte image faible ou nul 12.Destruction de l'ordinateur du faitde sa fragilité.3.Suite à une panne électriquel'ordinateur ne s'allume plus.4.Après une connexion frauduleuse,le fichier d'article en cours derédaction est modifié avec desinformations fausses et publiéssans contrôle.5.Le manque de formation del'utilisateur à l'utilisation du systèmed'exploitation entraîne une mauvaisemanipulation causant la perte del'article.6.Après une connexion frauduleuse,le fichier d'article en cours derédaction est copié et publié par unautre journal7.Lors d'une connexion dans unaéroport, le fichier d'article en coursde transfert est écoutée etretransmis sur un site gratuit avantsa publication officielle8.Dans une zone à risque, lejournaliste est pris en otage par desrévolutionnaires.9.Dans une gare, le journalistemange des moules pas fraiches, ilattrape une intoxication alimentaireet il va à l'hôpital.99 / 1111 Processus de rédaction 1 2 2 5Perte financière faible ou nulle 1Articles en cours de3 rédaction1 4 2 7 Perte juridique faible ou nul 1Articles non publiés et non74 vendus1 4 2 7 Détérioration de la relation client 17 Ordinateur 1 2 2 5 Perte de productivité 112 Fichier d'article 1 4 2 7 Perte image faible ou nul 11 Processus de rédaction 1 2 2 5Perte financière faible ou nulle 1Articles en cours de3 rédaction1 4 2 7 Perte juridique faible ou nul 1Articles non publiés et non74 vendus1 4 2 7 Détérioration de la relation client 17 Ordinateur 1 2 2 5 Perte de productivité 112 Fichier d'article 1 4 2 7 Perte image faible ou nul 11 Processus de rédaction 4 1 1 6Perte financière jugée inacceptable 4Retrait temporaire de carte depresse, interdiction temporaire2 Processus de vente 2 1 3 6 d'exercer l'activité3Protection parArticles en cours de103 rédactionl'identifiant/ mot de4 3 3 10 Perte de client 3passeArrêt de travail longe 3Mention dans les supports depresse à diffusion restreinte impact12 Fichier d'article 4 3 3 10sur le réputation à court terme.31 Processus de rédaction 1 3 3 7Perte financière jugée significative 4Articles en cours de3 rédaction1 4 4 9 Perte juridique faible ou nul 112 Fichier d'article 1 4 4 9 Perte de client 39Arrêt de travail longe 3Mention dans les supports depresse à diffusion restreinte impactsur le réputation à court terme.31 Processus de rédaction 4 1 1 6Perte financière jugée inacceptable 42 Processus de vente 2 1 1 4 Amende 2Articles en cours deProtection par3 rédaction4 1 1 6 Perte de client 36 l'identifiant/ mot de12 Fichier d'article 4 1 1 6passeArrêt de travail longe 3Mention dans les supports depresse à diffusion restreinte impactsur le réputation à court terme.32 Processus de vente 4 1 1 6Perte financière jugée inacceptable 412 Fichier d'article 4 1 1 6 Amende 2Perte de client 36Arrêt de travail longe 3Mention dans les supports depresse à diffusion restreinte impactsur le réputation à court terme.31 Processus de rédaction 1 1 4 6Perte financière jugée significative 32 Processus de vente 1 1 4 6 Perte juridique faible ou nul 113 journaliste 1 1 4 6 Détérioration de la relation client 16Arrêt de travail longe 3Mention négative ponctuelle dansun média21 Processus de rédaction 1 1 3 5Perte financière jugée significative 313 journaliste 1 1 3 5 Perte juridique faible ou nul 15Arrêt de travail longe 1Perte de productivité 1Mention négative ponctuelle dansun média2Copyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2000-2011 - Reproduction Interdite2 141 72 202 183 183 181 62 10

Évaluation des risques100 / 111Copyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2000-2011 - Reproduction Interdite

Risques sélectionnés pour traitement12. Liste des risques priorités en relation avec les scénarios d'incidentMax Mesures de sécuritéValeur deNiveau de risqueScénario d'incident Les actifs impactés C I D SOM(C,I,D) (SOM(CID)) existantesConséquences conséquences Vraisemblance =Max(SOM(CID))*Vrai1 Processus de rédaction 4 2 2 8Perte financière jugée modérée 2Articles en cours de3 rédaction4 4 3 11 Perte juridique faible ou nul 11.Vol de l'ordinateur du fait de saArticles non publiés et non11Perte de contrat, d'opération ou deportabilité.4 vendus4 4 3 11 transaction, perte de client mineur 22 227 Ordinateur 4 4 3 11 Perte de productivité 112 Fichier d'article 4 4 3 11 Perte image faible ou nul 12.Destruction de l'ordinateur du faitde sa fragilité.3.Suite à une panne électriquel'ordinateur ne s'allume plus.4.Après une connexion frauduleuse,le fichier d'article en cours derédaction est modifié avec desinformations fausses et publiéssans contrôle.5.Le manque de formation del'utilisateur à l'utilisation du systèmed'exploitation entraîne une mauvaisemanipulation causant la perte del'article.6.Après une connexion frauduleuse,le fichier d'article en cours derédaction est copié et publié par unautre journal7.Lors d'une connexion dans unaéroport, le fichier d'article en coursde transfert est écoutée etretransmis sur un site gratuit avantsa publication officielle8.Dans une zone à risque, lejournaliste est pris en otage par desrévolutionnaires.9.Dans une gare, le journalistemange des moules pas fraiches, ilattrape une intoxication alimentaireet il va à l'hôpital.101 / 1111 Processus de rédaction 1 2 2 5Perte financière faible ou nulle 1Articles en cours de3 rédaction1 4 2 7 Perte juridique faible ou nul 1Articles non publiés et non74 vendus1 4 2 7 Détérioration de la relation client 17 Ordinateur 1 2 2 5 Perte de productivité 112 Fichier d'article 1 4 2 7 Perte image faible ou nul 11 Processus de rédaction 1 2 2 5Perte financière faible ou nulle 1Articles en cours de3 rédaction1 4 2 7 Perte juridique faible ou nul 1Articles non publiés et non74 vendus1 4 2 7 Détérioration de la relation client 17 Ordinateur 1 2 2 5 Perte de productivité 112 Fichier d'article 1 4 2 7 Perte image faible ou nul 11 Processus de rédaction 4 1 1 6Perte financière jugée inacceptable 4Retrait temporaire de carte depresse, interdiction temporaire2 Processus de vente 2 1 3 6 d'exercer l'activité3Protection parArticles en cours de103 rédactionl'identifiant/ mot de4 3 3 10 Perte de client 3passeArrêt de travail longe 3Mention dans les supports depresse à diffusion restreinte impact12 Fichier d'article 4 3 3 10sur le réputation à court terme.31 Processus de rédaction 1 3 3 7Perte financière jugée significative 4Articles en cours de3 rédaction1 4 4 9 Perte juridique faible ou nul 112 Fichier d'article 1 4 4 9 Perte de client 39Arrêt de travail longe 3Mention dans les supports depresse à diffusion restreinte impactsur le réputation à court terme.31 Processus de rédaction 4 1 1 6Perte financière jugée inacceptable 42 Processus de vente 2 1 1 4 Amende 2Articles en cours deProtection par3 rédaction4 1 1 6 Perte de client 36 l'identifiant/ mot de12 Fichier d'article 4 1 1 6passeArrêt de travail longe 3Mention dans les supports depresse à diffusion restreinte impactsur le réputation à court terme.32 Processus de vente 4 1 1 6Perte financière jugée inacceptable 412 Fichier d'article 4 1 1 6 Amende 2Perte de client 36Arrêt de travail longe 3Mention dans les supports depresse à diffusion restreinte impactsur le réputation à court terme.31 Processus de rédaction 1 1 4 6Perte financière jugée significative 32 Processus de vente 1 1 4 6 Perte juridique faible ou nul 113 journaliste 1 1 4 6 Détérioration de la relation client 16Arrêt de travail longe 3Mention négative ponctuelle dansun média21 Processus de rédaction 1 1 3 5Perte financière jugée significative 313 journaliste 1 1 3 5 Perte juridique faible ou nul 15Arrêt de travail longe 1Perte de productivité 1Mention négative ponctuelle dansun média2Copyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2000-2011 - Reproduction Interdite2 141 72 202 183 183 181 62 10

Traitement des risques102 / 111Copyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2000-2011 - Reproduction Interdite

Plan de traitement des risques13.Plan de traitement des risquesNiveauPersonnesScénario de risque Traitement Mesure de sécurité (ISO27002) Priorités responsable Coût1.Vol de l'ordinateur du fait de sa portabilité,Sauvegarde.ce qui engendre une perte financière,Sensibilisation.perte de productivité, perte d'image.22 Réduction Chiffrement.1 Journaliste Moyen2.Destruction de l'ordinateur du fait de sa fragilité,3.Suite à une panne électrique l'ordinateur ne s'allume plus,perte financière, perte de productivité.4.Après une connexion frauduleuse, le fichier d'article encours de rédaction est modifié avec des informationsfausses et publiés sans contrôle.5.Le manque de formation de l'utilisateurà l'utilisation du système d'exploitationentraîne une mauvaise manipulationcausant la perte de l'article.6.Après une connexion frauduleuse, le fichier d'article encours de rédaction est copié et publié par un autre journal7.Lors d'une connexion dans un aéroport, le fichier d'articleen cours de transfert est écoutée et retransmis sur un sitegratuit avant sa publication officielle.8.Dans une zone à risque, le journaliste est pris en otage pardes révolutionnaires.Sauvegarde.protection antivirale.Sensibilisation.mise à jour du logiciel.14 Réduction HIPS.2 Journaliste Moyen7 MaintienSensibilisation.Chiffrement.Réexamen des droits d'accès.Déconnexion automatique. des20 Réduction sessions inactives.1 Journaliste MoyenSauvegardeFormation18 Réduction Sensibilisation2 Journaliste FaibleSensibilisation.Chiffrement.Réexamen des droits d'accès.Déconnexion automatique des18 Réduction sessions inactives.1 Journaliste MoyenSensibilisation.18 Réduction Chiffrement.1 Journaliste Faible6 Maintien9.Dans une gare, le journaliste mange des moules pasfraiches, il attrape une intoxication alimentaire et il va àl'hôpital..103 / 11110 Réduction Sensibilisation. 3 Journaliste FaibleCopyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2000-2011 - Reproduction Interdite

Plan de traitement des risques14.Plan de traitment du risque avec le niveau des risques résiduelsNiveauVraisemblandesMesure de sécuritéPersonnesSOM(CID) ce ré RisqueScénario risques Traitement (ISO27002)Priorités responsable Coût ré estimée estimée Résiduel1.Vol de l'ordinateur du fait de sa portabilité,Sauvegarde.ce qui engendre une perte financière,Sensibilisation.perte de productivité, perte d'image.22 Réduction Chiffrement.1 Journaliste Moyen 4 1 42.Destruction de l'ordinateur du fait de safragilité,3.Suite à une panne électrique l'ordinateur nes'allume plus,perte financière, perte de productivité.4.Après une connexion frauduleuse, le fichierd'article en cours de rédaction est modifié avecdes informations fausses et publiés sanscontrôle.5.Le manque de formation de l'utilisateurà l'utilisation du système d'exploitationentraîne une mauvaise manipulationcausant la perte de l'article.6.Après une connexion frauduleuse, le fichierd'article en cours de rédaction est copié etpublié par un autre journal7.Lors d'une connexion dans un aéroport, lefichier d'article en cours de transfert est écoutéeet retransmis sur un site gratuit avant sapublication officielle.8.Dans une zone à risque, le journaliste est prisen otage par des révolutionnaires.Sauvegarde.protection antivirale.Sensibilisation.mise à jour du logiciel.14 Réduction HIPS.2 Journaliste Moyen 3 1 37 MaintienSensibilisation.Chiffrement.Réexamen des droitsd'accès.Déconnexion automatique.20 Réduction des sessions inactives. 1 Journaliste Moyen 4 1 4SauvegardeFormation18 Réduction Sensibilisation2 Journaliste Faible 3 1 3Sensibilisation.Chiffrement.Réexamen des droitsd'accès.Déconnexion automatique18 Réduction des sessions inactives. 1 Journaliste Moyen 5 2 10Sensibilisation.18 Réduction Chiffrement.1 Journaliste Faible 6 2 126 Maintien9.Dans une gare, le journaliste mange desmoules pas fraiches, il attrape une intoxicationalimentaire et il va à l'hôpital..104 / 11110 Réduction Sensibilisation. 3 Journaliste Faible 3 1 3Copyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2000-2011 - Reproduction Interdite

Acceptation du risquePar la direction105 / 111Copyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2000-2011 - Reproduction Interdite

15. Liste de risques acceptés avec justificationAcceptation des risquesNiveauVraisemblan Niveau desdesMesure de sécuritéPersonnesSOM(CID) ce réRisques AcceptationScénario risques Traitement (ISO27002)Priorités responsable Coût ré estimée estimée Résiduels des risques Signature Date1.Vol de l'ordinateur du fait de sa portabilité,Sauvegarde.ce qui engendre une perte financière,Sensibilisation.perte de productivité, perte d'image.22 Réduction Chiffrement.1 Journaliste Moyen 4 1 4 oui2.Destruction de l'ordinateur du fait de safragilité,3.Suite à une panne électrique l'ordinateur nes'allume plus,perte financière, perte de productivité.4.Après une connexion frauduleuse, le fichierd'article en cours de rédaction est modifié avecdes informations fausses et publiés sanscontrôle.5.Le manque de formation de l'utilisateurà l'utilisation du système d'exploitationentraîne une mauvaise manipulationcausant la perte de l'article.6.Après une connexion frauduleuse, le fichierd'article en cours de rédaction est copié etpublié par un autre journal7.Lors d'une connexion dans un aéroport, lefichier d'article en cours de transfert est écoutéeet retransmis sur un site gratuit avant sapublication officielle.8.Dans une zone à risque, le journaliste est prisen otage par des révolutionnaires.Sauvegarde.protection antivirale.Sensibilisation.mise à jour du logiciel.14 Réduction HIPS.2 Journaliste Moyen 3 1 3 oui7 MaintienSensibilisation.Chiffrement.Réexamen des droitsd'accès.Déconnexion automatique.20 Réduction des sessions inactives. 1 Journaliste Moyen 4 1 4 ouiSauvegardeFormation18 Réduction Sensibilisation2 Journaliste Faible 3 1 3 ouiSensibilisation.Chiffrement.Réexamen des droitsd'accès.Déconnexion automatique18 Réduction des sessions inactives. 1 Journaliste Moyen 5 2 10 nonSensibilisation.18 Réduction Chiffrement.1 Journaliste Faible 6 2 12 non6 Maintien9.Dans une gare, le journaliste mange desmoules pas fraiches, il attrape une intoxicationalimentaire et il va à l'hôpital..106 / 11110 Réduction Sensibilisation. 3 Journaliste Faible 3 1 3 ouiCopyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2000-2011 - Reproduction Interdite

Défauts de la méthode ISO 27005PayantNormeDifficile à faire évoluerNormeBase de connaissances des risques minimalePartie de la méthode en annexe bien qu'indispensable aufonctionnementPas de financement ni de provisionnement des risquesAccorde une liberté qui peut conduire à une appréciation tropsuperficielle ou trop détaillée107 / 111Copyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2000-2011 - Reproduction Interdite

Atouts de la méthode ISO 27005CompréhensibleAucune notion trop complexeVocabulaire conforme au langage courantVocabulaire cohérent de bout en boutPragmatique et accessible à tousAucune étape infaisable même si la précédente n'est pas terminéeProduction d'un travail exploitable et utile rapidement108 / 111Copyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2000-2011 - Reproduction Interdite

Atouts de la méthode ISO 27005Management des risques dans la duréeIntègre la notion du temps, pas juste une appréciation des risques à uninstant "t"Adaptée aux changementsApplication de l'amélioration continuePossible de commencer petit et de faire de mieux en mieuxprogressivementImpose à la direction générale d'être parfaitement informéeLui impose de prendre ses responsabilités en toute connaissance decauseFacilite les arbitrages budgétaires109 / 111Copyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2000-2011 - Reproduction Interdite

Atouts de la méthode ISO 27005Consensus international sur le management des risques SIReprise du meilleur de ce qui avait été fait partout dans le mondeCompréhension mutuelle mondialeMutualisation des effortsComparaisons plus facilesAdaptée à la mise en oeuvre d'un SMSI selon l'ISO 27001Applicable à d'autres types de contexte : PCA, projets, systèmesembarqués, infrastructures vitales, etcOutillageAttention, la majorité des outils se prétendant faire de la gestion desrisques n'en font pasArcher (RSA), Cofly, GooAnn, Mega, Modulo, Neupart, RVR, etc110 / 111Copyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2000-2011 - Reproduction Interdite

ConclusionFormationsCertification ISO 27005 RiskManager par LSTISessions à LuxembourgClub d'utilisateurs & normalisationQuestions ?<strong>Herve</strong>.<strong>Schauer</strong>@hsc.fr www.hsc.fr111 / 111Copyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2000-2011 - Reproduction Interdite

RessourcesPour télécharger le schéma de modélisation de l'ISO 27005 :http://www.hsc.fr/ressources/presentations/netclu09­27005/HSC­Modelisation­ISO27005.pdfPour télécharger la norme ISO 27000 gratuitement :http://standards.iso.org/ittf/PubliclyAvailableStandards/Principales normes ISO en sécuritéDocument à paraître courant 2011 par AFNOR Normalisation à lademande de l'ANSSI112 / 111Copyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2000-2011 - Reproduction Interdite

logo

Produits

Ressources

Entreprises

Terms of service
Privacy policy
Cookie policy
Cookie settings
Imprint
Change language
Made with love in Switzerland
© 2024 Yumpu.com all rights reserved

Hooray! Your file is uploaded and ready to be published.

Saved successfully!

Ooh no, something went wrong!