guide_homologation_de_securite_en_9_etapes

More documents

Recommendations

Info

QUELS SONT LES RISQUES PESANT SUR LE SYSTÈME ?Durant la cinquième étape, vous allez identifier et ordonner lesrisques qui pèsent sur le système d’information à homologuer.1 . L’analyse de risqueUn risque est la combinaison d’un événement redouté (susceptible d’avoir unimpact négatif sur la mission de l’entité) et d’un scénario de menaces. On mesurele niveau du risque en fonction de sa gravité (hauteur des impacts) et de savraisemblance (possibilité qu’il se réalise).Il s’agit d’identifier les risques pesant sur la sécurité des systèmes d’information,de les hiérarchiser et de déterminer des objectifs généraux qui permettrontde diminuer certains d’entre eux et, à terme, de les amener à un niveauacceptable.La durée et le coût de la réalisation d’une analyse de risques sont fonctionde la complexité du système d’information et de la sensibilité des données(données propres ou données de tiers, telles que celles des usagers ou des partenaires).L’analyse des risques pesant sur le système peut être simplifiée dans lecadre d’une démarche Pianissimo. Dans le cas d’une démarche Mezzo-Pianoou Mezzo-Forte, on privilégiera l’utilisation d’une méthode éprouvée d’analysede risque.Démarche PianissimoLe tableau d’autodiagnostic de l’annexe 1 vous a permis d’identifier, lors de ladeuxième étape, que les enjeux de sécurité du système d’information étaientlimités et que les besoins de sécurité étaient faibles.Pour une analyse de risque simplifiée, vous pouvez alors procéder de la manièresuivante :1. Partez de la liste des menaces courantes présente dans l’annexe 4. Cesmenaces sont d’ordre volontaire ou accidentel (inondation, panne de climatisationentraînant une panne des équipements informatiques, erreurde saisie), de nature physique (intrusion sur le système) ou logique (intru-30
QUELS SONT LES RISQUES PESANT SUR LE SYSTÈME ?sion réseau, défiguration de site, etc.).2. Écartez celles qui ne sont pas pertinentes dans le contexte du systèmed’information étudié ;3. Pour chaque menace conservée, déterminez un ou plusieurs biens essentielsqui pourraient être affectés. Les biens essentiels sont les informationstraitées au sein du système, ainsi que leurs processus de traitement. Ilsconstituent la valeur ajoutée du système d’information pour l’organisme.4. Pour chaque lien identifié entre une menace et un bien essentiel, décrivezl’impact négatif sur la disponibilité, l’intégrité ou la confidentialité de cebien essentiel. Vous obtenez un scénario de risque.5. Hiérarchisez les scénarios de risque obtenus, en identifiant les plus probableset ceux dont l’impact est le plus pénalisant.6. Si un scénario de risque plausible aboutit à un impact très fort, cela signifieque le besoin de sécurité évalué lors de la deuxième étape a été sous-évalué.Envisagez alors une démarche plus complète, de type Mezzo-Pianoou Mezzo Forte.Démarche Mezzo-Piano ou Mezzo-forteDans le cadre de la mise en œuvre d’une démarche Mezzo-Piano ou Mezzo-Forte, la mise en œuvre d’une méthode d’analyse de risque éprouvée est trèsfortement recommandée. La méthode EBIOS 2010 est une méthode d’analysede risque développée par l’ANSSI.La méthode EBIOS 2010 présente les risques et les objectifs de sécuritéidentifiés dans une Fiche d’Expression Rationnelle des Objectifs de Sécurité(FEROS).Dans le cadre d’une démarche Mezzo-Piano, l’analyse est effectuée parl’autorité d’homologation, avec ou sans l’assistance d’un consultant ayant uneexpérience confirmée de la méthode. Elle nécessite la participation des acteursclés du système à homologuer, qui sont interrogés sur leurs besoins, leurcontexte d’emploi du système et les événements qu’ils redoutent. C’est la directionde l’entreprise ou l’autorité administrative, par exemple, qui fournissent lesinformations sur les besoins de disponibilité ou de confidentialité du système,ce qui permet d’identifier les objectifs de sécurité du système.31
Page 1: L’HOMOLOGATION DE SÉCURITÉen ne
Page 4 and 5: Qu’est-ce qu’une homologation d
Page 6 and 7: Étape n° 6 : La réalité corresp
Page 9 and 10: Objectifs de l’homologation de s
Page 11 and 12: 1étape n°Quel système d’inform
Page 13 and 14: QUEL SYSTÈME D’INFORMATION DOIS-
Page 15 and 16: 2étape n°Quel type de démarche d
Page 17 and 18: QUEL TYPE DE DÉMARCHE DOIS-JE METT
Page 19 and 20: 3étape n°Qui contribue à la dém
Page 21 and 22: QUI CONTRIBUE À LA DÉMARCHE ?la n
Page 23: QUI CONTRIBUE À LA DÉMARCHE ?pour
Page 26 and 27: COMMENT S’ORGANISE-T-ON POUR RECU
Page 28 and 29: COMMENT S’ORGANISE-T-ON POUR RECU
Page 31: 5étape n°Quels sont les risquespe
Page 35 and 36: 6étape n°La réalité correspond-
Page 37: LA RÉALITÉ CORRESPOND-ELLE À L
Page 40 and 41: QUELLES SONT LES MESURES DE SÉCURI
Page 43 and 44: 8étape n°Comment réaliser la dé
Page 45 and 46: COMMENT RÉALISER LA DÉCISION D’
Page 47 and 48: 9étape n°Qu’est-il prévu pour
Page 49 and 50: QU’EST-IL PRÉVU POUR CONTINUER D
Page 51 and 52: XXXXXAvant l’étudeUne réflexion
Page 53 and 54: ANNEXES
Page 55 and 56: ANNEXE 1Note1 2 3 4Non, lesconséqu
Page 57 and 58: ANNEXE 1Note1 2 3 4Individu isoléd
Page 59 and 60: ANNEXE 2Note1 2 3 4Le système estj
Page 61 and 62: ANNEXE 2Annexe 2Estimation rapide d
Page 63 and 64: ANNEXE 3Annexe 3Liste des documents
Page 65 and 66: ANNEXE 3••Il permet de formalis
Page 67 and 68: ANNEXE 3Cette documentation doit ê
Page 69 and 70: ANNEXE 311 . Les exigences de sécu
Page 71 and 72: ANNEXE 3Les audits doivent être r
Page 73 and 74: ANNEXE 4Annexe 4Liste de menaces, i
Page 75 and 76: ANNEXE 4compte utilisateur, effacem
Page 77: ANNEXE 4••l’agent expert dans

guide_homologation_de_securite_en_9_etapes

Create successful ePaper yourself

Delete template?

Save as template?