ISO 27001 et la gestion des risques - Herve Schauer Consultants

HERVÉ SCHAUER CONSULTANTSCabinet de Consultants en Sécurité Informatique depuis 1989Spécialisé sur Unix, Windows, TCP/IP et InternetISO 27001et la gestion des risquesConférence NetfocusLyon, 10 avril 2008Hervé Schauer

ProcessusISO 27001PlanActMatérialisé parDoCheckPolitique (4.3.1.a) et périmètre (4.3.1.b)Appréciation des risques (4.3.1.e)Plan de traitement des risques (4.3.1.f)Déclaration d'applicabilité (4.3.1.i)Procédures (4.3.1.g)3 / 40Copyright Hervé Schauer Consultants 2008 - Reproduction Interdite

RecommandationsNe pas faire une appréciation des risques une fois pour touteet ne plus y toucherNe pas chercher à faire une appréciation exhaustiveNe pas travailler 3 mois sur une appréciation des risquesNe pas réinventer la roueNe pas perdre de tempsNe pas tomber dans le travers de nombre d'entreprises1/35 / 40Copyright Hervé Schauer Consultants 2008 - Reproduction Interdite

RecommandationsFaire sa gestion du risque soi-même2/3Ou se faire accompagner pour la mise en place et devenirautonome aprèsFaire vivre sa gestion du risqueL'entreprise changeLes gens gens changentLes objectifs changentLes risques changentLes risques SI évoluent quotidiennement6 / 40Copyright Hervé Schauer Consultants 2008 - Reproduction Interdite

Recommandations3/3Créer un processus de gestion du risque qui vit :PlanAct Identifier l'existant et l'adapterDoCheck Construire une méthode simple que l'on fera évoluer dansle temps Communiquer avec la direction et les équipesrégulièrement7 / 40Copyright Hervé Schauer Consultants 2008 - Reproduction Interdite

ISO 27005Guide de mise en oeuvre de la partie appréciation des risqueset traitement des risques de l'ISO 27001ISO 27001 de 4.2.1 c) à 4.2.1 f) 4), plus 4.2.3.d) et 5.1.f)soit 1 page + quelques lignesISO 27001 4.2.1 c) 4.2.1 f) ISO 27005ISO 2700556 pages24 pages normatives, chap 1 à 1232 pages d'annexes A à F8 / 40Copyright Hervé Schauer Consultants 2008 - Reproduction Interdite

ISO 27005Norme consensus entre les acteurs du marchéNoyau commun accepté par tousPeut être complétéeGuide complétant ISO 27001Conforme à l'ISO 27001Méthodes d'appréciation des risques existantesSe qualifieront de "conforme à la norme ISO 27005"Continueront à évoluer et innoverContribueront à l'amélioration de la norme ISO 27005Compléteront la norme pour ceux qui en ont le besoin9 / 40Copyright Hervé Schauer Consultants 2008 - Reproduction Interdite

Vocabulaire (3)Analyse de risque / Appréciation du risqueRisque de sécurité de l'information (information security risk )(3.2)Actif (asset) (B)Menace (threat) (C)Vulnérabilité (vulnerability) (D)Impact / ConséquenceTableau d'appréciation des risquesComparatif10 / 40Copyright Hervé Schauer Consultants 2008 - Reproduction Interdite

ISO 27001Analyse de risque/Appréciation du risqueRisk Analysis (IS27001 3.11) Analyse du risqueRisk Estimation (3.4) Estimation du risqueRisk Evaluation (3.5) Evaluation du risqueRisk Assessment (IS27001 3.12) Appréciation du risqueLangage couramment employé dans le microcosme de la SSIAnalyse de risque Risk AssessmentUsage impossible à garder sans confusionsPas d'autre traduction possible que Risk Analysis Analyse du risqueConfusion avec Risk AssessmentDonc : Risk Assessment Appréciation du risqueComme dans tous les autres métiers qui gèrent des risques11 / 40Copyright Hervé Schauer Consultants 2008 - Reproduction Interdite

12 / 40Risque (de(sécurité de l'information)Risque de sécurité de l'information(Information security risk) (3.2) :Possibilité (potential) qu'une menaceva exploiter une vulnérabilité d'unactif et ainsi causer un préjudice àl'organisationMesuré par combinaison deProbabilité d'occurence ouvraisemblance ou potentialité del'évènementImpact (3.1) ou conséquence oupréjudiceImpact plutôt SIConséquence plutôt processusmétier, organismeConséquenceou PréjudiceMenaceexploiteCopyright Hervé Schauer Consultants 2008 - Reproduction InterditeVulnérabilitéImpactcibleActif1/3possède

Risque2/3Risque généralement caractérisé par :Source ou origineEmployé malveillant, employé non sensibilisé, ...MenaceDivulgation d'information confidentielle, coupure d'électricité, ...Probabilité d'occurence ou vraisemblance ou potentialitéDurée et lieu d'occurrence, probabilité d'occurrenceVulnérabilité ayant permis ce risqueErreur de conception, erreur humaine, ...Impact, conséquence ou préjudiceIndisponibilité du service, perte de marché ou d'image, ...Mesure de sécurité ou protection ou contre-mesure pour s'en protégerContrôle d'accès, politique de sécurité, sensibilisation du personnel, ...13 / 40Copyright Hervé Schauer Consultants 2008 - Reproduction Interdite

Risque3/3Exemple dans un tableau d'appréciation des risques :┌────────┬────────┬───────────┬─────────────┬────────┬────────────────┐│ Actif │ Menace │Probabilité│Vulnérabilité │ Impact │Niveau de risque││ │ │d'Occurence │ │ │ │├────────┼────────┼───────────┼─────────────┼────────┼────────────────┤│ │ │ │ │ │ │└────────┴────────┴───────────┴─────────────┴────────┴────────────────┘14 / 40Copyright Hervé Schauer Consultants 2008 - Reproduction Interdite

ActifBien, patrimoine informationnelIdentification, valorisation, dépendances (B) :Actifs primordiaux (principaux, primaires) (primary assets) :Processus et activités métierInformationActifs de soutien (en support, secondaires) (supporting assets) :Cadre organisationnelSitePersonnelRéseauLogicielMatériel15 / 40Copyright Hervé Schauer Consultants 2008 - Reproduction Interdite

Menace (C)Menaces (Threat) (CD27000:3.3.6)Source potentielle d'incidentpouvant entraîner des changementsindésirables sur :un actifMenacesun ensemble d'actifsl'organisationClassées par :1/4MenacecibleActifexploitepossèdeVulnérabilitéOrigineTypeSource, motivation, actionImpact16 / 40Copyright Hervé Schauer Consultants 2008 - Reproduction Interdite

Menace (C)2/4Origines des menaces (C)Accidentelle (accidental) : AAction humaine qui endommage accidentellement un actifDélibérée (deliberate) : DAction délibérée sur un actifEnvironnementale (environmental) : ETout incident sur un actif qui ne vient pas d'une action humaine17 / 40Copyright Hervé Schauer Consultants 2008 - Reproduction Interdite

Menace (C)3/4Types de menaces (C)Dommage physique (A, D, E)Feu, dégât des eaux, pollution, poussière, gelEvènement naturel (E)Séisme, éruption volcanique, inondation (d'origine naturelle)Perte de service essentielEau (A, D), air conditionné (A, D), électricité (A, D, E), télécommunicationPerturbations dues aux radiations (A, D, E)Compromission de l'informationInterceptions de toutes natures (D)Vol d'équipement, de supports, d'équipements (D)Divulgation d'information, données peu fiables (A, D)Détection de position (D)18 / 40Copyright Hervé Schauer Consultants 2008 - Reproduction Interdite

Menace (C)4/4Type de menaces (C)Pannes techniquesMauvais fonctionnement d'un équipement ou d'un logiciel (A)Saturation (A, D)Actions non-autoriséesCopies de logiciels non-autorisés (A), usage de contrefaçons (A, D),corruption de données (D)Compromission de fonctionErreur d'utilisation, abus ou contrefaçon de droits, répudiation19 / 40Copyright Hervé Schauer Consultants 2008 - Reproduction Interdite

20 / 40Vulnérabilité (D)Vulnérabilité : propriétéintrinsèque de l'actifMenaces peuvent exploiter lesvulnérabilités (D)Exemples vulnérabilité menaceZone inondable inondationSpécifications incomplète pour lesdéveloppeurs mauvaisfonctionnement du logicielManque des rôles et responsabilités ensécurité de l'information dans ladescription de poste erreurd'utilisationConséquenceou PréjudiceMenaceexploiteVulnérabilitéImpactCopyright Hervé Schauer Consultants 2008 - Reproduction InterditecibleActifpossède

Impact/ConséquenceImpact d'un risque exprimé(27001 4.2.1.d.4)par :Atteinte à un critère de risque, ouperte d'un critère de risqueExemples :Atteinte à l'intégritéPerte de disponibilitéMenaceexploitecibleActifpossèdeConséquence d'un risque (oupréjudice) exprimée par :Du françaisVulnérabilitéImpactExemple :Atteinte à l'image de marquePerte de chiffre d'affairesConséquence21 / 40Copyright Hervé Schauer Consultants 2008 - Reproduction Interdite

Tableau d'appréciation des risquesExemple dans un tableau d'appréciation des risques :Rapport (report) d'appréciation des risquesTableau (table) d'appréciation des risques(IS27001 4.3.1.e)(IS27005 E.2)┌─────────┬────────┬─────────┬─────────────┬────────┬────────────────┐│ Actif │ Menace │Prob.Occ.│Vulnérabilité │ Impact │Niveau de risque│├─────────┼────────┼─────────┼─────────────┼────────┼────────────────┤│ │ │ │ │ │ ││ │ │ ├─────────────┼────────┼────────────────┤│ │ │ │ │ │ ││ │ │ ├─────────────┼────────┼────────────────┤│ │ │ │ │ │ ││├────────┼─────────┼─────────────┼────────┼────────────────┤│ │ │ │ │ │ ││ │ │ ├─────────────┼────────┼────────────────┤│ │ │ │ │ │ │└─────────┴────────┴─────────┴─────────────┴────────┴────────────────┘22 / 40Copyright Hervé Schauer Consultants 2008 - Reproduction Interdite

ComparatifAttention aux vocabulaires antérieursInspiré en partie d'un travail initial de Nicolas Mayer du Centre de Pecherche Public Henri Tudor23 / 40Copyright Hervé Schauer Consultants 2008 - Reproduction Interdite

Processus de gestion du risqueDéfinition d'un processusContinu et qui s'améliore, donc PDCAProcessus de gestion de risque dela sécurité de l'information(information security risk managementprocess)Processus applicableA toute l'organisationA un sous ensemblePlanDoActCheckService, site géographique, etc.A tout système d'informationA une mesure de sécurité ou un traitement existant ou planifié24 / 40Exemple : continuité d'activitéCopyright Hervé Schauer Consultants 2008 - Reproduction Interdite

Processus de gestion du risque●Identifier les risquesPlan●Quantifier chaque risque par rapport● aux conséquences que sa matérialisationpourrait avoir sur le business● à sa vraisemblance (likelihood)●Identifier les actions appropriées pour réduireles risques identifiés à un niveau acceptable●Implémenter les actions Dopour réduire les risques●Eduquer la direction et lepersonnel sur les risques et lesactions prises pour les atténuer●Rectifier le traitement du risque àla lumière des évènements et deschangements de circonstances●Améliorer le processus degestion du risqueAct25 / 40Surveiller et réexaminerles résultats, l'efficacité etl'efficience du processusCheckCopyright Hervé Schauer Consultants 2008 - Reproduction Interdite

Processus de gestion du risque (6) p6Décomposé en deux activités {séquentielles et itérativesApproche itérativeAméliore la finesse de l'analyse àchaque itérationGarantie une appréciation desrisques élevésMinimise le temps et l'effortconsenti dans l'identification desmesures de sécuritéAppréciation des risquessatisfaisante ?Risques acceptables ?dans ISO 27001 l'activité appréciation du risques'appelle processus d'appréciation du risque (8.1)Appréciation du risque(risk assessment)Appréciationsatisfaisante ?ouinonTraitement du risque(risk treatment)Risques résiduelsà un niveauacceptable ?non26 / 40Copyright Hervé Schauer Consultants 2008 - Reproduction Interdite

Processus de gestion du risqueApproche itérative ou cycliquePermet d'avancer avec desInterlocuteurs absents ouincapables de savoir ou quirefusent de répondreLivrables incompletsIncapacité du management de seprononcer sur l'approbation desrisques résiduels sans connaîtred'abord les coûts associésFacilite la gestion dessusceptibilités et des aspectspolitiques entreInterviewésActifs et processus métierAppréciation du risque(risk assessment)Appréciationsatisfaisante ?ouinonTraitement du risque(risk treatment)Facilite les liens entre lesrisques et les impacts sur lesprocessus métier27 / 40Copyright Hervé Schauer Consultants 2008 - Reproduction Interdite

Processus de gestion du risqueAppréciation du risque (8)Analyse des risquesMise en évidence des composantes des risquesEstimation de leur importanceEvaluation des risquesAnalyse d'ensemble et prise de décision sur les risquesTraitement du risque (9)Sélection des objectifs et mesures de sécurité pour réduire le risqueRefus, transfert ou prise du risqueAcceptation du risque (10)Approbation par la direction des choix effectués lors du traitement durisqueCommunication du risque (11)28 / 40Copyright Hervé Schauer Consultants 2008 - Reproduction Interdite

Processus de gestion du risque (6) p8-9 n° 1Est-ce quel'appréciation desrisques donne assezd'éléments pourdéterminer les actionsnécessaires à laréduction des risques àun niveau acceptable ? n° 2Est-ce que le plan detraitement des risquesréduit le risque à unrisque résiduel qui seraacceptable par ladirection générale ?Communication du risqueEtablissement du contexteAppréciation du risqueAnalyse de risqueIdentification du risqueEstimation du risqueEvaluation du risqueAppréciationsatisfaisante ?Risqueacceptable ? ouiTraitement du risqueouinonAcceptation du risqueSurveillance et réexamen du risque29 / 40Copyright Hervé Schauer Consultants 2008 - Reproduction Interdite

Processus de gestion du risque (6) p7Etablissement du contexteAppréciation du risqueAnalyse de risqueIdentification du risquePlanDoImplémentation du plande traitement du risqueEstimation du risqueEvaluation du risqueElaboration du plande traitement du risqueActAméliorer le processusde gestion de risque30 / 40Surveillance et réexamen du risqueCheckCopyright Hervé Schauer Consultants 2008 - Reproduction Interdite

Appréciation du risqueCommunication du risqueEtablissement du contexteAppréciation du risqueAnalyse de risqueIdentification du risqueEstimation du risqueEvaluation du risqueAppréciationsatisfaisante ?Risqueacceptable ? ouiTraitement du risquenonouiAcceptation du risqueSurveillance et réexamen du risque31 / 40Copyright Hervé Schauer Consultants 2008 - Reproduction Interdite

Appréciation du risqueAppréciation du risque (8.1) :Déterminer la valeur des actifsIdentifier les menaces et lesvulnérabilitésIdentifier les mesures desécurité existantes et leurseffets sur le risque identifiéQuantifier les conséquencespotentiellesPrioritiser et ordonnancer lesrisques par rapport aux critèrespréalablement établisAppréciation du risqueAnalyse de risqueIdentification du risqueEstimation du risqueEvaluation du risqueAppréciationsatisfaisante ?Itérations de l'appréciation (8.1)Haut-niveauDe plus en plus en profondeur32 / 40Copyright Hervé Schauer Consultants 2008 - Reproduction Interdite

Traitement et acceptation du risqueCommunication du risqueEtablissement du contexteAppréciation du risqueAnalyse de risqueIdentification du risqueEstimation du risqueEvaluation du risqueAppréciationsatisfaisante ?Risqueacceptable ? ouiTraitement du risqueouinonAcceptation du risqueSurveillance et réexamen du risque33 / 40Copyright Hervé Schauer Consultants 2008 - Reproduction Interdite

Traitement durisque (9.1) :Refus ouévitementTraitement et acceptation du risqueAppréciation des risquesRésultatsListe des risques prioritisésChoix des options detraitement des risquesTransfertRéduction(IS27001 4.2.1.f)(9.4) (9.3)(9.5)(9.2)Prise(Retention)Acceptation durisque (10) :risques résiduelsrisquesacceptables ?nonoui34 / 40Plan de traitement des risques acceptéCopyright Hervé Schauer Consultants 2008 - Reproduction Interdite

Acceptation (10)Acceptation du risqueDu plan de traitement des risquesDe l'appréciation du risque résiduelPar la direction généraleSoit le plan de traitement du risque estréussiSoit la direction générale accepte lerisque en toute connaissance de causeManque de budgetContraintes de tempsBien que le risque soit au-delà des critèresd'acceptation des risquesEnregistrement formelTraitement du risqueRisqueacceptable ?ouiAcceptation du risque(IS27001 4.2.1.h)35 / 40Copyright Hervé Schauer Consultants 2008 - Reproduction Interdite

ISO27005ISO 27005 est une méthode en elle-mêmeAutres méthodes servent comme outil au cas par casMéthode de calcul dans l'estimation du risqueQuestionnaires pour conduire les entretiensetc36 / 40Copyright Hervé Schauer Consultants 2008 - Reproduction Interdite

Rappels des recommandationsIdentifier les objectifsMise en conformité ISO 27001, établissement de plan de reprise,démarche sécurité, ...Adhésion de la direction ?Identifier le périmètreIdentifier les éléments existantsRisques opérationnels ? Risques métiers ?Méthode ?Risk manager ?Mener des interviewsSavoir où on va37 / 40Copyright Hervé Schauer Consultants 2008 - Reproduction Interdite

RappelsAdapter l'existantConstruire la méthode et établir les critères progressivementChoisir des formules simplesNR = Max(C,I,D)*PNR = Max(C,I,D)*P*Difficulté d'exploitation...Conduire des entretiensIdentifier et évaluer les actifsIdentifier les menaces et vulnérabilitésIdentifier les mesures de sécurité existantesIdentifier les mesures de sécurité potentielles38 / 40Copyright Hervé Schauer Consultants 2008 - Reproduction Interdite

ConclusionConstruisez une gestion de risquesPragmatiqueVivanteet MaitriséeQuestions ?Herve.Schauer@hsc.fr www.hsc.frISO 27001 a son club !Paris, Toulouse, Rennes, Nantes, ...En projet : Lyon, Nice, ..Mutualisation ITIL/itSMFwww.club­27001.fr39 / 40Copyright Hervé Schauer Consultants 2008 - Reproduction Interdite

40 / 40Copyright Hervé Schauer Consultants 2008 - Reproduction Interdite