Version PDF - Herve Schauer Consultants
Transcription
Version PDF - Herve Schauer Consultants
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Normes en Sécurité Focus sur ISO27001 & ISO27005 OzSSI Est Nancy, 13 octobre 2011 Hervé Schauer [email protected] Sommaire Normes ISO Gestion des identités et vie privée Techniques de sécurité Normes de la série ISO 27000 : Système de Management de la Sécurité de l'Information & Mesures de Sécurité Continuité d'Activité Introduction à l'ISO 27001 Méthode de gestion des risques ISO27005 2 / 111 Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite Normes ISO ISO : Agence des nations-unies Organisation internationale de normalisation International Organisation for Standardization 163 pays représentés par leur agence de normalisation En France : AFNOR Normalisation JTC1 : informatique Cas particulier : comité joint entre l'ISO et l'IEC JTC1/SC27 : sécurité En France : AFNOR CN27 Plus de 100 normes en cours de validité TC223 : sécurité sociétale 3 / 111 Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite Normes ISO Norme = consensus entre les acteurs De la société en général Du marché Des pays Norme = processus d'élaboration formel et rigoureux Commentaires traités et justifiés Ecriture étalée sur plusieurs années Autres organismes de normalisation HL7 IEEE UIT/ITU 4 / 111 Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite Normes ISO JTC1/SC27 5 groupes de travail (Working Groups) Evaluation onon WG 3 Evaluation de la sécurité WG 4 Mesures de sécurité / Services de sécurité Lignes directrices Techniques WG 2 Cryptographie / mécanismes de sécurité Produits 5 / 111 WG 1 Système de Management de la Sécurité de l'Information (SMSI) Systèmes WG5 Gestion d'identités / Vie privée / Biométrie Processus Environnement Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite Gestion d'identités et vie privée JTC1/SC27/WG5 Gestion d'identités et technologies relatives à la vie privée Protection des données personelles Biométrie et identification biométrique Soumis à des prérogatives nationales Convergence et consensus difficiles Parfois sensible 6 / 111 Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite Gestion d'identités et vie privée JTC1/SC27/WG5 Vie privée Experts de la CNIL participent et contribuent ISO/IEC 29100 « Information technology – Security techniques – A privacy framework » Norme fondatrice ISO/IEC 29101 « Information technology – Security techniques – A privacy reference architecture » 7 / 111 Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite Gestion d'identités et vie privée JTC1/SC27/WG5 Gestion d'identités ISO/IEC 29115 « Information technology – Security techniques – Entity Authentication Assurance, texte commun au projet ITU-T – X.eaa » ISO/IEC 24760 « Information technology – Security techniques – A framework for identity management » ISO/IEC 29146 « Information technology – Security techniques – A framework for Access Management » ISO/IEC 29191 « Information technology – Security techniques – Requirements on relatively anonymous unlinkable authentication » ISO/IEC 29190 « Information technology – Security techniques – Privacy capability assessment framework » 8 / 111 Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite Gestion d'identités et vie privée JTC1/SC27/WG5 Biométrie ISO/IEC 29149 « Information technology – Security techniques – Biometric template protection » Remplace la norme ISO24745 ISOIEC 24761« Technologies de l'information – Techniques de sécurité – Contexte d'authentification biométrique » 9 / 111 Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite Techniques de sécurité JTC1/SC27/WG2 Cryptographie et mécanismes de sécurité Besoins Terminologie Interopérabilité Algotithmes 10 / 111 Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite Techniques de sécurité JTC1/SC27/WG2 Beaucoup de normes Chiffrement Symétrique, assymétrique A flot, par bloc Signature numérique Authentification Fonction de hachage Non-répudiation Gestion de clés Horodatage Génération de nombres aléatoires 11 / 111 Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite Evaluation de la sécurité JTC1/SC27/WG3 Critères d'évaluation de la sécurité (« Critères Communs ») ISO/IEC 15408-1:2009 : « Technologies de l'information – Techniques de sécurité – Critères d'évaluation pour la sécurité des Technologies de l'Information – Partie 1: Introduction et modèle général » Norme fondatrice Définition des termes spécifiques utilisés dans la série ISO 15408 Vocabulaire non-conforme à ISO 27000 Organisation générale des normes de la série ISO 15408 Fonctionnalités ayant pour objectif de fournir un langage structuré pour exprimer ce que doit faire un produit de sécurité Exigences relatives à la documentation associée au produit évalué 12 / 111 Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite Evaluation de la sécurité JTC1/SC27/WG3 Critères d'évaluation de la sécurité (« Critères Communs ») ISO/IEC 15408 En cours révision : contributions bienvenues Autres normes Méthodologies d'évaluation Exigences pour les modules cryptographiques Assurance de la sécurité Profils de protection Modèle de maturité Projet de norme ISO/IEC 29147 : Divulgation des vulnérabilités 13 / 111 Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Normes ISO27000 SC27 WG1 & WG4 Hervé Schauer Sommaire Panorama des normes ISO 27000 Normes de mesures de sécurité Normes sectorielles Normes utiles à la mise en œuvre du SMSI Normes utiles à l'intégration du SMSI Normes en sécurité réseau 15 / 111 Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite Panorama des normes ISO 27001 Exigences usage obligatoire dans la certification 2007-2011 2005-2013 ISO 27001 SMSI ISO 27006 Certification de SMSI 2009 2011 ISO 27000 Guides usage facultatif Vocabulaire ISO 27008 Audit des mesures 2011 2005-2013 ISO 27007 ISO 27002 Audit de SMSI Mesures de sécurité 2010 ISO 27003 Implémentation 16 / 111 2009 ISO 27004 Indicateurs SMSI 2008-2011 ISO 27005 Gestion de risque Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite Panorama des normes ISO 27001 ISO 27000 : Principes et vocabulaire Disponible gratuitement http://standards.iso.org/ittf/PubliclyAvailableStandards/ ISO 27001 : Exigences d'un SMSI Norme permettant la certification En cours de révision à l'ISO depuis 2008 ISO 27002 : Code de bonnes pratiques pour un SMSI Originellement appelée ISO 17799 Liste des principales mesures de sécurité issues de l'expérience de la communauté En cours de révision à l'ISO depuis 2008 17 / 111 Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite Panorama des normes ISO 27001 ISO 27003 : Guide d'implémentation d'un SMSI Adapté à un organisme qui ne dispose encore d'aucune mise en place de SSI Peu utile à un organisme ayant déjà une mise en oeuvre de mesures de sécurité ISO 27004 : Mesurage du Management de la Sécurité de l'Information Measurement mesurage Terme exact Security control mesure de sécurité donc pour évite les confusions Guide de mise en place du mesurage du SMSI Instancie le PDCA Inclus des exemples d'indicateurs 18 / 111 Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite Panorama des normes ISO 27001 ISO 27005 : Gestion des risques en Sécurité de l'Informations Précise et explicite le contenu de l'ISO 27001 Appréciation du risque Analyse de risque Evaluation du risque Traitement du risque Synthèse des normes et méthodologies existantes 19 / 111 Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite Panorama des normes ISO 27001 ISO 27006 : Exigences pour l'accréditation des organismes de certification des SMSI Remplace la norme EA 7/03 S'appuie sur la norme ISO 17021 : exigences pour l'accréditation des organismes de certification de systèmes de management en général Apporte des précisions pour les audits de certification ISO 27001 Classement des mesures de sécurité : organisationelles / techniques Vérifications à faire ou pas pour les mesures de sécurité techniques 20 / 111 Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite Panorama des normes ISO 27001 ISO 27007:2011 : Guide d'audit de SMSI Etait à l'origine dans l'ISO 27006, séparé pour ne pas être obligatoire Application de l'ISO 19011:2011 aux audits de SMSI Internes et externes En cohérence avec ISO 17021-2:2009 Se base sur les risques pour l'organisme, les incidents, les indicateurs Annexe qui précise les preuves d'audit à rechercher Projet de norme ISO27008 : Guide d'audit des mesures de sécurité Importante annexe technique sur chaque mesure de sécurité 21 / 111 Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite Normes de mesures de sécurité Normes qui précisent ou détaillent des mesures de sécurité de l'ISO 27002 Série des normes ISO 27033 : sécurité des réseaux Intègre notamment l'aspect gestion des risques Série des normes ISO 27034 : intégration de la sécurité dans le cycle de vie du logiciel Projet de série de normes ISO 27036 : sécurité dans l'infogérance Projet de norme ISO 27037 : Guidelines for the identification, collection and/or acquisition, and preservation of digital evidence Projet de norme ISO 27038 : Specification for digital redaction Projet de norme ISO 27040 : Sécurité du stockage 22 / 111 Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite Normes de mesures de sécurité Normes qui précisent des mesures de sécurité ISO 27002 ISO27035:2011 : Incident Security Management / Gestion des incidents de sécurité (ISO 27001 3.5, 3.6 & ISO 27002 13.1.1) Remplacement de l'ISO18044 Application de l'ISO27001 (4.2.2.h, 4.2.3.a.2 & 4.3.3) et l'ISO27002 (13) Définition complète et pratique du processus de gestion des incidents de sécurité Politique de gestion des incidents de sécurité de l'information Équipe de réponse aux incidents de sécurité de l'information ISIRT : Information Security Incident Response Team Détection et collecte des incidents Appréciation des incidents Réponse aux incidents Retour d'expérience suite aux incidents passés 23 / 111 Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite Normes sectorielles ISO 27011:2008 / recommandation ITU X.1051 Opérateurs de télécommunications A été fait à l'UIT, a été repris par l'ISO tel quel Guide d'application des mesures de sécurité de l'ISO 27002 dans le cadre d'un opérateur de télécommunication Ajout de mesures de sécurité spécifiques pour les télécommunications Projet ISO 27010 : communications inter-secteurs Projet ISO 27012 : Organizational economics Projet ISO 27015 : secteur finance & assurance 24 / 111 Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite Normes sectorielles ISO 27799:2006 : santé Fait dans la normalisation de la santé Adaptation de l'ISO27001 et ISO27002 en un seul document pour le secteur de la santé Cherche à remplacer ISO 27001 et créé une certification ISO 27799 Caractère d'application des mesures de sécurité obligatoires dans certains cas Pas d'appréciation des risques obligatoire Chapitre 7 donne l'application des mesures de sécurité dans le cas particulier de la santé Norme homologuée depuis le 13 septembre 2008 Sera sans doute renuméroté en ISO 2701X dans une prochaine version En espérant que cela se repose sur l'ISO 27001 au lieu de réinventer la roue Ne fait pas l'unanimité, au contraire 25 / 111 Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite Autres normes Norme utile à la mise en œuvre de l'ISO 27001 ISO 15489 : Gestion des enregistrements (ISO 27002 15.1.3) Norme générale, pas spécifique à la SSI Traite notamment de : Ce qui doit être enregistré, sous quelle forme Evaluation des risques Exigences légales et normes applicables Conditions et durée de conservation et gestion de la pérennité Gestion de l'intégrité, de la qualité et de l'efficacité Utilité pour la SSI Preuves et mise en œuvre des mesures de sécurité pour l'ISO 27001, SOX, etc Journaux système, réseaux, applicatifs Enregistrements financiers Archivages légaux 26 / 111 Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite Intégration du SMSI Normes utiles à l'intégration du SMSI dans l'organisme Projet de norme ISO 27013 : Implémentation intégrée d'ISO 27001 et ISO20000-1 (ITIL) Projet de norme ISO 27014 : Information Security Governance Cohérence avec ISO 38500 27 / 111 Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite Autres normes Normes en sécurité réseau Parfois obsolètes, souvent inutilisées Série de normes ISO 18028 : Sécurité des réseaux ISO15947 : IT intrusion detection framework Projets de normes ISO27032-1 à 3 : cybersecurity ISO18043 : Selection, deployement and operations of intrusion detection systems (IDS) RFC de l'IETF plus accessibles et plus utilisés dans ces domaines 28 / 111 Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Continuité d'activité TC 223 & JTC1/SC27 Hervé Schauer Continuité d'activité ISO 22301:2011 : Preparedness and Continuity Management Systems - Requirements Business Continuity Management System, BCMS Système de Management de la Continuité d'Activité, SMCA Exigences pour des systèmes de management de la continuité d'activité et du maintien en condition opérationnelle Projet de norme ISO 22313 : Guideline for incident preparedness and operational continuity management Réintègre la norme britannique BS25599-1 Guide de mise en œuvre de l'ISO 22301 30 / 111 Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite Continuité d'activité ISO 27031:2011 : Guidelines for ICT (Information and Communications Technologies) Readiness for Business Continuity (IRBC) Partie système d'information d'un SMCA (ISO 22301) en utilisation conjointe avec un SMSI (ISO 27001) ISO 24762:2008 : Guidelines for information and communications technology disaster recovery services Plan de recouvrement informatique Réintègre la norme singapourienne SS507 Environnement, gestion des actifs, confidentialité, conditions d'activation, contrat, environnement partagé Service d'infrastructure liés au recouvrement de sinistre Capacité de reprise de service : niveau de service, bascule opérationnelle, accès, tests, plan de réponse d'urgence, formation, ... Guide de sélection des sites de recouvrement 31 / 111 Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Introduction à l'ISO 27001 OzSSI Est Nancy, 13 octobre 2011 Alexandre Fernandez-Toro Hervé Schauer Elisabeth Manca ISO 27001 Consensus sur la meilleure manière d'organiser la SSI Expérience Tout types d'organismes visés (IS 27001 1.1) Sociétés commerciales Agences gouvernementales Associations, ONG Indications de la norme génériques (1.2) Applicables à tout type d’organisation indépendamment Type Taille Nature de l'activité 33 / 111 Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite ISO 27001 Objectif général de la norme (1.1) Spécifier les exigences pour Mettre en place Exploiter Améliorer Un SMSI documenté Spécifier les exigences pour la mise en place de mesures de sécurité Adaptées aux besoins de l’organisation Adéquates Proportionnées 34 / 111 Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite ISO 27001 Ceci doit fournir (1.1) Une protection des actifs d’information (information assets) Patrimoine informationel Biens sensibles La confiance aux parties prenantes (interested parties) Sous entendu Clients Actionnaires Partenaires Assureurs etc. 35 / 111 Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite ISO 27001 Ceci doit maintenir et améliorer Précision présente dans la BS 7799-2:2002 mais a disparu dans l'ISO 27001:2005 Compétitivité Trésorerie (cash flow) Profitabilité Respect de la réglementation Image de marque 36 / 111 Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite ISO 27001 Attentes et exigences en terme de sécurité Modèle PDCA : Plan-Do-CheckAct Sécurité effective fournie Planification Partenaires Partenaires Plan Fournisseurs Clients Pouvoirs publics Services 37 / 111 Action Fournisseurs Correction Do Act Vérification Check Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite Clients Pouvoirs publics Services ISO 27001 Phase PLAN (4.2.1) Périmètre du SMSI Politique de sécurité et/ou politique du SMSI Plan de gestion des risques Méthodologie d'appréciation des risques Identification et évaluation des risques Traitement des risques Réduction des risques à un niveau acceptable Conservation (acceptation) des risques Refus ou évitement des risques Transfert Objectifs de sécurité et mesures de sécurité Déclaration d'applicabilité : DdA (Statement of applicability ou SoA) 38 / 111 Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite ISO 27001 Phase DO (4.2.2) Plan de Traitement du Risque (PTR) Allocation et gestion de ressources Personnes, temps, argent, etc. Formation du personnel concerné Gestion du risque Pour les risques à réduire : Implémenter les mesures de sécurité identifiées dans la phase précédente Assignation des responsabilités Identifier des risques résiduels Pour les risques transférés : assurance, sous-traitance, etc. Pour les risques acceptés et refusés : rien à faire Mettre en place le SMSI et l'exploiter 39 / 111 Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite ISO 27001 Phase CHECK (4.2.3) Vérification de routine Gérer les incidents de sécurité Apprendre des autres Audit du SMSI Audits réguliers Sur la base de Documents Traces ou enregistrements Tests techniques Conduit à Constatation que les mesures de sécurité ne réduisent pas de façon effective les risques pour lesquels elles ont été mises en place Identification de nouveaux risques non traités Tout autre type d'inadaptation de ce qui est mis en place 40 / 111 Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite Surveillance du SMSI 4.2.3.b) Résultats d’audits Incidents Réexamen périodique Corriger SMSI Prévenir Indicateurs Améliorer Retours des parties prenantes 41 / 111 Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite ISO 27001 Phase ACT (4.2.4) Prendre les mesures résultant des constatations faites lors de la phase de vérification Actions possibles Passage à la phase de planification Si de nouveaux risques ont été identifiés Passage à la phase d'action Si la phase de vérification en montre le besoin Si constatation de non conformité Actions correctives ou préventives Actions entreprises immédiatement Planification d'actions sur le moyen et long terme 42 / 111 Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite Documentation Exigences relatives à la documentation (4.3) La documentation est obligatoire Elle peut prendre plusieurs formes (4.3.1 NOTE 3) Papier Électronique Il y a deux familles de documentation Les documents Les enregistrements (records) 43 / 111 Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite Responsabilités de la direction Implication de la direction (5.1) La direction doit prouver son engagement dans le SMSI Management des ressources (5.2) Affecter des ressources (5.2.1) En temps En moyens financiers En personnel Pour établir, mettre en œuvre, exploiter, surveiller, réexaminer, tenir à jour et améliorer le SMSI Compétences (5.2.2) Déterminer les compétences nécessaires au fonctionnement du SMSI Former / Embaucher du personnel qualifié Sensibilisation (5.2.2) 44 / 111 Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite Audit interne Menés à intervalles planifiés (6) Objectif : déterminer que les objectifs de sécurité, mesures, processus et procédures du SMSI sont (6.a,b,c,d) Conformes aux exigences de la norme et à la réglementation Conformes aux exigences de sécurité Mis en œuvre et tenus à jour de manière efficace Exécutés comme prévu Programme d'audit Tient compte de l'importance et de l'état des processus Définir : Critères, champ, fréquence et méthode d'audit 45 / 111 Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite Revue de direction du SMSI Revue de direction du SMSI (7) Responsabilité de la direction Faite au moins une fois par an Objectif Voir dans quelle mesure il est possible d’améliorer le SMSI 46 / 111 Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite Amélioration du SMSI Amélioration continue (8.1) Action corrective (8.2) Eliminer les causes de non conformités constatées Action préventive (8.3) Eliminer les causes de non conformités potentielles Gérer la non conformité Gestion des incidents Vérifier que ces améliorations sont efficaces Communiquer ces actions aux parties prenantes concernées 47 / 111 Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite Approche thématique Plan → 4.2.1 Etablissement du SMSI Do → 4.2.2 Mise en œuvre et fonctionnement du SMSI Check 4.2.3 Surveillance et réexamen du SMSI 6 Audit interne 7 Revue de direction Act 4.2.4 Mise à jour et amélioration du SMSI 8 48 / 111 Amélioration continue Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite Approche thématique Liens entre 4.2 et les autres chapitres 4.2.1 c 2 → 4.2.2 e → 5.2.2 4.2.2 g → 5.2.2 4.2.3 e → 6 4.2.3 f → 7.1 4.2.4 49 / 111 5.1 f → 8.2 et 8.3 Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite Processus du SMSI 50 / 111 Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite Processus du SMSI Chaque processus Caractérisé par : Objectifs Responsable (Accountable) et acteurs (RACI) Entrées/sorties Activités Interagit avec les autres processus du SMSI Documenté Révisé régulièrement Auditable et audité → prévoir les contrôles des activités Complété par des annexes : procédures, politiques, modèles de documents ... → les lister Génère des enregistrements → les identifier 51 / 111 Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite Direction 52 / 111 Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite Gestion du Risque de l'information 53 / 111 Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite Pilotage 54 / 111 Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite Gestion des Mesures de Sécurité 55 / 111 Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite Gestion de la documentation 56 / 111 Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite Gestion des Compétences et de la Sensibilisation 57 / 111 Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite Gestion des incidents de sécurité 58 / 111 Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite Gestion des indicateurs 59 / 111 Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite Audit interne 60 / 111 Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite Audit interne 61 / 111 Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite ISO 27001 : Conclusion e 2 édition Formations Revue et augmentée Certifications : ISO 27001 Lead Auditor & ISO 27001 Lead Implementer par LSTI Sessions à Luxembourg Club d'utilisateurs & normalisation Questions ? [email protected] www.hsc.fr 62 / 111 Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Méthode de management des risques ISO 27005 OzSSI Est Metz, 13 octobre 2011 Hervé Schauer <[email protected]> Sommaire Introduction Schéma de modélisation Exemple Etablissement du contexte : critères et échelles Cartographie des actifs Menaces, vulnérabilités, conséquences et impacts sur les actifs Scénarios d'incident Plan de traitement des risques Défauts à atouts de l'ISO 27005 Conclusion 64 / 111 Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite Introduction Objectif : présenter la méthode ISO 27005 Schéma modélisant chaque activité et sous-activité de la méthode proposée par la norme ISO 27005 Voir schéma disponible sur www.hsc.fr en format PDF vectoriel Exemple simple qui déroule la méthode N° sur le schéma correspondant aux n° des tableaux Exemples de tableaux A titre illustratif ! 65 / 111 Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite Schéma de modélisation 66 / 111 Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite Exemple Un journaliste utilise un ordinateur portable pour rédiger ses articles. Il est employé par le magazine SSID (Sécurité des Systèmes d'Information de Demain) mais il lui arrive de vendre ses articles à d'autres journaux. Sur son ordinateur, sont stockés son courrier électronique, ses contacts et tous ses articles publiés, non encore parus et en cours de rédaction. Pour rédiger des articles pertinents, ce journaliste se doit être un véritable globe trotter. Dans l'urgence, il est amené à rédiger ses articles dans les salles d'attente, voire de les envoyer en utilisant les hotspots disponibles. A l'heure actuelle, la seule protection utilisée est un simple couple identifiant / mot de passe à l'allumage de l'ordinateur 67 / 111 Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite Établissement des critères 68 / 111 Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite Établissement des critères Définir les critères de base (7.2) Critères d'impact Bas-niveau : vis-à-vis de l'actif Impact de la perte ou de l'atteinte d'un critère de sécurité Disponibilité, intégrité, confidentialité (7.2) Haut-niveau : vis-à-vis de l'organisme, du processus métier, du projet Echelle de mesure, ou critère d'estimation, des conséquences (financières, délais, image) (7.2)(8222)(B.3) Critères évaluation des risques Critères d'acceptation des risques 69 / 111 Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite Établissement des critères Critères d'impact Impact assez important pour que le risque doive être pris en compte ? Dans l'analyse du risque Critères d'évaluation des risques Niveau de risque assez élevé pour le risque soit traité ? Critères d'acceptation des risques Niveau le risque résiduel acceptable par la direction ? 70 / 111 Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite Établissement des critères Autres échelles utiles lors de l'analyse de risque Pas explicitement imposées lors de l'établissement du contexte Echelle ou critères de valorisation des actifs (8.2.1.2)(B.2)(8.2.1.6)(8.2.2.2) Echelles d'estimation Echelle d'estimation des menaces (vraisemblance) (8.2.1.3)(C)(8.2.2.3) Echelle d'estimation des vulnérabilités (difficulté d'exploitation) (8.2.1.5)(D) (8.2.2.3) Echelle d'appréciation de la vraisemblance des scénarios d'incidents (8.2.2.3)(B.3) 71 / 111 Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite Critères d'impact Critères d'impact CID Exemple : Critères d'impact Qualification du besoin en Confidentialité Intégrité Informations pouvant être Pas de validation nécessaire publiques Peut ne pas être intègre Accès autorisé à l'ensemble Simple validation possible du journal SSID Peut être partiellement intègre Accès autorisé à l'ensemble Validation croisée de l'équipe Doit être intègre Accès autorisé à un membre Triple validation unique de l'équipe Doit être parfaitement intègre Disponibilité Niveau du besoin Arrêt supérieur Faible ou 1 à 3 jours inexistant Arrêt entre 1 jour et 3 jours Significatif Arrêt inférieur à Fort 1jours 3 Aucun arrêt tolérable 4 Majeur Impact sur un actif ou besoin sur cet actif 72 / 111 2 Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite Critères d'impact Critères d'impact « business » ou conséquences Exemple : Echelle de mesure des conséquences Financier Perte financière faible ou nulle Juridique Commercial Perte juridique faible ou null Détérioration de la relation client Perte financière Perte de Amende jugée modérée contrat,d'opé ration ou de (10% du CA < X < transaction, 30% du CA) Retrait temporaire de carte de perte Perte de de Perte financière client jugée significative presse, interdiction temporaire d'exercer l'activité (>30% du CA) Perte financière Procès diffamation, atteinte à Perte d'un jugée inacceptable la vie prive, plagia groupe de clients ou (> 50% du CA) d'un grand Activité Perte de productivi té Arrêt de travail court Arrêt de travail long Reprise du travail impossibl e Image Perte image faible ou null Mention négative ponctuelle dans un média Mention Niveau d'impact Faible ou 1 inexistant Significatif Fort dans les supports de presse Mentionà Majeur dans la presse spécialisée 2 3 4 Conséquence de l'occurence d'un scénario d'incident sur l'organisme, le métier, le projet 73 / 111 Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite Critères d'évaluation des risques Utilisés par le RSSI ou le gestionnaire de risques SI Exprimés en français Seuil Critères d'évaluation des risques Vraisemblance Faible Moyenne Elevée Très élevée d'un scénario (Peu d'incident probable) (Possible) (Probable) (Fréquente) Exemple : Impact MAX (SOM(CID)) 74 / 111 1 2 3 4 5 6 7 8 9 10 11 12 1 1 2 3 4 5 6 7 8 9 10 11 12 2 2 4 6 8 10 12 14 16 18 20 22 24 3 3 6 9 12 15 18 21 24 27 30 33 36 Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite 4 4 8 12 16 20 24 28 32 36 40 44 48 Critères d'acceptation des risques Validés par la direction et utilisés par la direction Exprimés en français Seuil Exemple : 75 / 111 Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite Établissement du contexte 76 / 111 Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite Établissement du contexte 77 / 111 Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite Appréciation du risque 78 / 111 Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite Identification des actifs 79 / 111 Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite Cartographie des actifs Actifs primordiaux (B.1) : Processus et activités métier Information Actifs en support : Cadre organisationnel, site, personnel, réseau, logiciel, matériel, etc Exemple : 80 / 111 0.Liste des actifs primordiaux Actifs Primordiaux Processus de rédaction Processus de vente Articles en cours de rédaction Articles non publiés et non vendus Articles publiés Contacts Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite Cartographie des actifs 1.Liste des processus métiers reliés aux actifs Actif Processus de rédaction Ordinateur Logiciel de traitement de texte Journaliste Articles en cours de rédaction Propriétaire Journaliste Journaliste Journaliste Journaliste Journaliste Processus de vente Ordinateur Connexion internet Logiciel de messagerie Mails Journaliste Articles non publiés et non vendus Contacts Journaliste Journaliste Journaliste Journaliste Journaliste Journaliste Journaliste Journaliste 81 / 111 Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite Cartographie des actifs 2.Liste des actifs Actifs Primordiaux Actifs en support 82 / 111 Actif 1 Processus de rédaction 2 Processus de vente 3 Articles en cours de rédaction 4 Articles non publiés et non vendus 5 Articles publiés 6 Contacts 7 Ordinateur 8 logiciel de traitement de texte 9 logiciel de messagerie 10 connexion internet 11 mails 12 Fichier d'article 13 journaliste Propriétaire Journaliste Journaliste Journaliste Journaliste Acheteur Journaliste Journaliste Journaliste Journaliste Journaliste Journaliste Journaliste Journaliste Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite Valorisation des actifs Exemple Echelle de valorisation des actifs Valeur 83 / 111 1 Faible 2 Moyen 3 Élevé 4 Très élevé Signification Actif facilement remplaçable Coût d'achat faible Coût de maintenance faible Ne nécessite pas de compétences particulières Actif remplaçable dans la journée Coût d'achat moyen Coût de maintenance moyen Nécessite des connaissances de base Actif remplaçable dans la semaine Coût d'achat élevé Coût de maintenance élevé Nécessite des connaissances techniques particulières Actif remplaçable dans le mois Coût d'achat très élevé Coût de maintenance très élevé Nécessite des connaissances spécifiques. Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite Actifs valorises 3.Liste des actifs valorisés Actifs Primordiaux Actifs en support 84 / 111 Actif 1 Processus de rédaction 2 Processus de vente 3 Articles en cours de rédaction 4 Articles non publiés et non vendus 5 Articles publiés 6 Contacts 7 Ordinateur 8 logiciel de traitement de texte 9 logiciel de messagerie 10 connexion internet 11 mails 12 Fichier d'article 13 journaliste Propriétaire Journaliste Journaliste Journaliste Journaliste Acheteur Journaliste Journaliste Journaliste Journaliste Journaliste Journaliste Journaliste Journaliste Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite Valeur 4 3 4 4 2 2 4 2 2 1 2 4 4 Actifs sélectionnés 4.Liste des actifs sélectionnés Actif Actifs Primordiaux 1 Processus de rédaction 2 Processus de vente 3 Articles en cours de rédaction 4 Articles non publiés et non vendus 5 Articles publiés 6 Contacts Actifs en support 7 Ordinateur 8 logiciel de traitement de texte 9 logiciel de messagerie 10 connexion internet 11 mails 12 Fichier d'article 13 journaliste 85 / 111 Propriétaire Journaliste Journaliste Journaliste Journaliste Acheteur Journaliste Journaliste Journaliste Journaliste Journaliste Journaliste Journaliste Journaliste Valeur 4 3 4 4 2 2 4 2 2 1 2 4 4 Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite Sélectionné oui oui oui oui non non oui non non non non oui oui Identification des menaces 86 / 111 Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite Menaces sur les actifs 5.Liste de menaces Actifs Primordiaux Actifs en support 87 / 111 Actif 1 Processus de rédaction 2 Processus de vente 3 Articles en cours de rédaction 4 Articles non publiés et non vendus 5 Articles publiés 6 Contacts 7 Ordinateur Valeur 4 3 4 4 2 2 4 Sélectionné oui oui oui oui non non oui 8 logiciel de traitement de texte 9 logiciel de messagerie 10 connexion internet 11 mails 12 Fichier d'article 2 2 1 2 4 non non non non oui 13 journaliste 4 oui Menaces Identification de menaces ne effectuée pas sur les actifs primordiaux. Vol Destruction Panne électrique Fraude Destruction Copie Enlèvement Maladie Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite Identification des vulnérabilités 88 / 111 Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite Vulnérabilités des actifs 6. Liste de vulnérabilités Actif Actifs Primordiaux Actifs en support 89 / 111 Valeur Sélectionné Menaces 1 Processus de rédaction 2 Processus de vente 3 Articles en cours de rédaction 4 Articles non publiés et non vendus 5 Articles publiés 6 Contacts 4 3 4 4 2 2 oui oui oui oui non non 7 Ordinateur 4 oui 8 logiciel de traitement de texte 9 logiciel de messagerie 10 connexion internet 11 mails 12 Fichier d'article 2 2 1 2 4 non non non non oui 13 journaliste 4 oui Vulnérabilité Identification de menaces ne effectuée pas sur les actifs primordiaux. Vol portabilité Destruction fragilité Panne électrique dépend de l'électricité Fraude Destruction Copie Accès libre manque de sensibilisation Accès libre Fichier en clair Enlèvement Maladie non préparation manque de sensibilisation Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite Identification des conséquences Reformuler sous forme de scénario d'incident Occurrence du scénario d'incident = incident de sécurité 90 / 111 Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite Conséquences et impacts sur les actifs 7.Liste de conséquences relatives aux actifs affectés et aux processus métiers affectés et impact vis-à-vis des critères CID Scénario d'incident Les actifs impactés 1 Processus de rédaction 3 Articles en cours de rédaction 1.Vol de l'ordinateur du fait de sa portabilité. Max C I D SOM(C,I,D) (SOM(CID)) 4 2 2 8 4 4 3 11 4 Articles non publiés et non vendus 7 Ordinateur 12 Fichier d'article 4 4 4 4 4 4 3 3 3 11 11 11 2.Destruction de l'ordinateur du fait de sa fragilité. 1 Processus de rédaction 3 Articles en cours de rédaction 4 Articles non publiés et non vendus 7 Ordinateur 12 Fichier d'article 1 1 1 1 1 2 4 4 2 4 2 2 2 2 2 5 7 7 5 7 3.Suite à une panne électrique l'ordinateur ne s'allume plus. 1 Processus de rédaction 3 Articles en cours de rédaction 4 Articles non publiés et non vendus 7 Ordinateur 12 Fichier d'article 1 1 1 1 1 2 4 4 2 4 2 2 2 2 2 5 7 7 5 7 1 Processus de rédaction 4 1 1 6 2 Processus de vente 3 Articles en cours de rédaction 2 4 1 3 3 3 6 10 12 Fichier d'article 4 3 3 10 1 Processus de rédaction 3 Articles en cours de rédaction 12 Fichier d'article 1 1 1 3 4 4 3 4 4 7 9 9 1 Processus de rédaction 2 Processus de vente 3 Articles en cours de rédaction 12 Fichier d'article 4 2 4 4 1 1 1 1 1 1 1 1 6 4 6 6 2 Processus de vente 12 Fichier d'article 4 4 1 1 1 1 6 6 4.Après une connexion frauduleuse, le fichier d'article en cours de rédaction est modifié avec des informations fausses et publiés sans contrôle. 5.Le manque de formation de l'utilisateur à l'utilisation du système d'exploitation entraîne une mauvaise manipulation causant la perte de l'article. 6.Après une connexion frauduleuse, le fichier d'article en cours de rédaction est copié et publié par un autre journal 7.Lors d'une connexion dans un aéroport, le fichier d'article en cours de transfert est écoutée et retransmis sur un site gratuit avant sa publication officielle 8.Dans une zone à risque, le journaliste est pris en otage par des révolutionnaires. 9.Dans une gare, le journaliste mange des moules pas fraiches, il attrape une intoxication alimentaire et il va à l'hôpital. 91 / 111 1 Processus de rédaction 2 Processus de vente 13 journaliste 1 1 1 1 1 1 4 4 4 6 6 6 1 Processus de rédaction 13 journaliste 1 1 1 1 3 3 5 5 11 Conséquences Perte financière jugée modérée Perte juridique faible ou nulle Perte de contrat, d'opération ou de transaction, perte de client mineur Perte de productivité Perte image faible ou nulle 7 Perte financière faible ou nulle Perte juridique faible ou nulle Détérioration de la relation client Perte de productivité Perte image faible ou nulle 7 Perte financière faible ou nulle Perte juridique faible ou nulle Détérioration de la relation client Perte de productivité Perte image faible ou nulle 10 Perte financière jugée inacceptable Retrait temporaire de carte de presse, interdiction temporaire d'exercer l'activité Perte de client Arrêt de travail longe Mention dans les supports de presse à diffusion restreinte impact sur le réputation à court terme. 9 Perte financière jugée significative Perte juridique faible ou nul Perte de client Arrêt de travail longe Mention dans les supports de presse à diffusion restreinte impact sur le réputation à court terme. 6 Perte financière jugée inacceptable Amende Perte de client Arrêt de travail longe Mention dans les supports de presse à diffusion restreinte impact sur le réputation à court terme. 6 Perte financière jugée inacceptable Amende Perte de client Arrêt de travail longe Mention dans les supports de presse à diffusion restreinte impact sur le réputation à court terme. 6 Perte financière jugée significative Perte juridique faible ou nul Détérioration de la relation client Arrêt de travail longe Mention négative ponctuelle dans un média 5 Perte financière jugée significative Perte juridique faible ou nulle Détérioration de la relation client Perte de productivité Mention négative ponctuelle dans un média Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite Identification des mesures existantes Première itération : aucune mesure de sécurité existante 92 / 111 Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite Mesures de sécurité existantes 8. Liste des mesures de sécurité existantes et prévues Scénario d'incident Les actifs impactés 1 Processus de rédaction 3 Articles en cours de rédaction 1.Vol de l'ordinateur du fait de sa portabilité. Max C I D SOM(C,I,D) (SOM(CID)) 4 2 2 8 4 4 3 11 11 Mesures de sécurité existantes Conséquences Perte financière jugée modérée Perte juridique faible ou nulle Perte de contrat, d'opération ou de transaction, perte de client mineur Perte de productivité Perte image faible ou nulle 4 Articles non publiés et non vendus 7 Ordinateur 12 Fichier d'article 4 4 4 4 4 4 3 3 3 11 11 11 2.Destruction de l'ordinateur du fait de sa fragilité. 1 3 4 7 12 Processus de rédaction Articles en cours de rédaction Articles non publiés et non vendus Ordinateur Fichier d'article 1 1 1 1 1 2 4 4 2 4 2 2 2 2 2 5 7 7 5 7 7 Perte financière faible ou nulle Perte juridique faible ou nulle Détérioration de la relation client Perte de productivité Perte image faible ou nulle 3.Suite à une panne électrique l'ordinateur ne s'allume plus. 1 3 4 7 12 Processus de rédaction Articles en cours de rédaction Articles non publiés et non vendus Ordinateur Fichier d'article 1 1 1 1 1 2 4 4 2 4 2 2 2 2 2 5 7 7 5 7 7 Perte financière faible ou nulle Perte juridique faible ou nulle Détérioration de la relation client Perte de productivité Perte image faible ou nulle 1 Processus de rédaction 4 1 1 6 2 Processus de vente 3 Articles en cours de rédaction 2 4 1 3 3 3 6 10 12 Fichier d'article 4 3 3 10 1 Processus de rédaction 3 Articles en cours de rédaction 12 Fichier d'article 1 1 1 3 4 4 3 4 4 7 9 9 4.Après une connexion frauduleuse, le fichier d'article en cours de rédaction est modifié avec des informations fausses et publiés sans contrôle. 5.Le manque de formation de l'utilisateur à l'utilisation du système d'exploitation entraîne une mauvaise manipulation causant la perte de l'article. 6.Après une connexion frauduleuse, le fichier d'article en cours de rédaction est copié et publié par un autre journal 7.Lors d'une connexion dans un aéroport, le fichier d'article en cours de transfert est écoutée et retransmis sur un site gratuit avant sa publication officielle 8.Dans une zone à risque, le journaliste est pris en otage par des révolutionnaires. 9.Dans une gare, le journaliste mange des moules pas fraiches, il attrape une intoxication alimentaire et il va à l'hôpital. 93 / 111 1 2 3 12 Processus de rédaction Processus de vente Articles en cours de rédaction Fichier d'article 2 Processus de vente 12 Fichier d'article 4 2 4 4 1 1 1 1 1 1 1 1 6 4 6 6 4 4 1 1 1 1 6 6 1 Processus de rédaction 2 Processus de vente 13 journaliste 1 1 1 1 1 1 4 4 4 6 6 6 1 Processus de rédaction 13 journaliste 1 1 1 1 3 3 5 5 10 Perte financière jugée inacceptable Retrait temporaire de carte de presse, interdiction temporaire d'exercer l'activité Protection par Perte de client l'identifiant/ mot de Arrêt de travail longe passe Mention dans les supports de presse à diffusion restreinte impact sur le réputation à court terme. 9 Perte financière jugée significative Perte juridique faible ou nul Perte de client Arrêt de travail longe Mention dans les supports de presse à diffusion restreinte impact sur le réputation à court terme. 6 Perte financière jugée inacceptable Amende Perte de client Protection par Arrêt de travail longe l'identifiant/ mot de Mention dans les supports de passe presse à diffusion restreinte impact sur le réputation à court terme. 6 Perte financière jugée inacceptable Amende Perte de client Arrêt de travail longe Mention dans les supports de presse à diffusion restreinte impact sur le réputation à court terme. 6 Perte financière jugée significative Perte juridique faible ou nul Détérioration de la relation client Arrêt de travail longe Mention négative ponctuelle dans un média 5 Perte financière jugée significative Perte juridique faible ou nulle Détérioration de la relation client Perte de productivité Mention négative ponctuelle dans un média Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite Estimation des risques : impacts 94 / 111 Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite Scénarios d'incident appréciés 9. Liste des conséquences estimées des scénarios d'incident Scénario d'incident 1 1.Vol de l'ordinateur du fait de sa portabilité. 3 4 7 12 Max Mesures de sécurité Les actifs impactés C I D SOM(C,I,D) (SOM(CID)) existantes Conséquences Processus de rédaction 4 2 2 8 Perte financière jugée modérée Articles en cours de rédaction 4 4 3 11 Perte juridique faible ou nulle Articles non publiés et non Perte de contrat, d'opération ou de 11 vendus 4 4 3 11 transaction, perte de client mineur Ordinateur 4 4 3 11 Perte de productivité Fichier d'article 4 4 3 11 Perte image faible ou nulle Valeur de conséquences 2 1 2 1 1 1 2 2 5 Perte financière faible ou nulle 1 2.Destruction de l'ordinateur du fait de sa fragilité. 1 Processus de rédaction Articles en cours de 3 rédaction Articles non publiés et non 4 vendus 7 Ordinateur 12 Fichier d'article 1 4 2 7 Perte juridique faible ou nulle 1 1 1 1 4 2 4 2 2 2 7 5 7 Détérioration de la relation client Perte de productivité Perte image faible ou nulle 1 1 1 1 2 2 5 Perte financière faible ou nulle 1 3.Suite à une panne électrique l'ordinateur ne s'allume plus. 1 Processus de rédaction Articles en cours de 3 rédaction Articles non publiés et non 4 vendus 7 Ordinateur 12 Fichier d'article 1 4 2 7 Perte juridique faible ou nulle 1 1 1 1 4 2 4 2 2 2 7 5 7 Détérioration de la relation client Perte de productivité Perte image faible ou nulle 1 1 1 1 Processus de rédaction 4 1 1 6 4 2 Processus de vente Articles en cours de 3 rédaction 2 1 3 6 Perte financière jugée inacceptable Retrait temporaire de carte de presse, interdiction temporaire d'exercer l'activité 4 3 3 10 3 3 12 Fichier d'article 4 3 3 10 Perte de client Arrêt de travail longe Mention dans les supports de presse à diffusion restreinte impact sur le réputation à court terme. 1 Processus de rédaction Articles en cours de 3 rédaction 12 Fichier d'article 1 3 3 7 Perte financière jugée significative 4 1 1 4 4 4 4 9 9 Perte juridique faible ou nul Perte de client Arrêt de travail longe Mention dans les supports de presse à diffusion restreinte impact sur le réputation à court terme. 1 3 3 1 Processus de rédaction 2 Processus de vente Articles en cours de 3 rédaction 12 Fichier d'article 4 2 1 1 1 1 6 4 Perte financière jugée inacceptable Amende 4 2 4 4 1 1 1 1 6 6 Perte de client Arrêt de travail longe Mention dans les supports de presse à diffusion restreinte impact sur le réputation à court terme. 3 3 2 Processus de vente 12 Fichier d'article 4 4 1 1 1 1 6 6 Perte financière jugée inacceptable Amende Perte de client Arrêt de travail longe Mention dans les supports de presse à diffusion restreinte impact sur le réputation à court terme. 4 2 3 3 6 Perte financière jugée significative Perte juridique faible ou nulle Détérioration de la relation client Arrêt de travail longe Mention négative ponctuelle dans un média 3 1 1 3 5 Perte financière jugée significative Perte juridique faible ou nulle Détérioration de la relation client Perte de productivité Mention négative ponctuelle dans un média 3 1 1 1 4.Après une connexion frauduleuse, le fichier d'article en cours de rédaction est modifié avec des informations fausses et publiés sans contrôle. 5.Le manque de formation de l'utilisateur à l'utilisation du système d'exploitation entraîne une mauvaise manipulation causant la perte de l'article. 6.Après une connexion frauduleuse, le fichier d'article en cours de rédaction est copié et publié par un autre journal 7.Lors d'une connexion dans un aéroport, le fichier d'article en cours de transfert est écoutée et retransmis sur un site gratuit avant sa publication officielle 8.Dans une zone à risque, le journaliste est pris en otage par des révolutionnaires. 9.Dans mange attrape et il va une gare, le journaliste des moules pas fraiches, il une intoxication alimentaire à l'hôpital. 95 / 111 7 7 10 9 6 6 1 Processus de rédaction 2 Processus de vente 13 journaliste 1 1 1 1 1 1 4 4 4 6 6 6 1 Processus de rédaction 13 journaliste 1 1 1 1 3 3 5 5 Protection par l'identifiant/ mot de passe Protection par l'identifiant/ mot de passe Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite 3 3 3 3 3 2 2 Estimation des risques : vraisemblance 96 / 111 Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite Vraisemblance des scénarios d'incident 10. Vraisemblance des scénarios d'incident Scénario d'incident Les actifs impactés 1 Processus de rédaction Articles en cours de 3 rédaction Articles non publiés et non 4 vendus 7 Ordinateur 12 Fichier d'article Max C I D SOM(C,I,D) (SOM(CID)) 4 2 2 8 4 4 3 11 4 4 4 4 4 4 3 3 3 11 11 11 1 2 2 2.Destruction de l'ordinateur du fait de sa fragilité. 1 Processus de rédaction Articles en cours de 3 rédaction Articles non publiés et non 4 vendus 7 Ordinateur 12 Fichier d'article 1 4 2 1 1 1 4 2 4 2 2 2 7 5 7 1 2 2 3.Suite à une panne électrique l'ordinateur ne s'allume plus. 1 Processus de rédaction Articles en cours de 3 rédaction Articles non publiés et non 4 vendus 7 Ordinateur 12 Fichier d'article 1 4 2 1 1 1 4 2 4 2 2 2 7 5 7 1 Processus de rédaction 4 1 1 6 2 Processus de vente Articles en cours de 3 rédaction 2 1 3 6 4 3 3 10 12 Fichier d'article 4 3 3 1 Processus de rédaction Articles en cours de 3 rédaction 12 Fichier d'article 1 3 1 1 4 4 1.Vol de l'ordinateur du fait de sa portabilité. 4.Après une connexion frauduleuse, le fichier d'article en cours de rédaction est modifié avec des informations fausses et publiés sans contrôle. 5.Le manque de formation de l'utilisateur à l'utilisation du système d'exploitation entraîne une mauvaise manipulation causant la perte de l'article. 6.Après une connexion frauduleuse, le fichier d'article en cours de rédaction est copié et publié par un autre journal 7.Lors d'une connexion dans un aéroport, le fichier d'article en cours de transfert est écoutée et retransmis sur un site gratuit avant sa publication officielle 8.Dans une zone à risque, le journaliste est pris en otage par des révolutionnaires. 9.Dans mange attrape et il va une gare, le journaliste des moules pas fraiches, il une intoxication alimentaire à l'hôpital. 97 / 111 1 Processus de rédaction 2 Processus de vente Articles en cours de 3 rédaction 12 Fichier d'article 2 Processus de vente 12 Fichier d'article Valeur de conséquences 2 1 5 Perte financière faible ou nulle 1 7 Perte juridique faible ou nul 1 Détérioration de la relation client Perte de productivité Perte image faible ou nul 1 1 1 5 Perte financière faible ou nulle 1 7 Perte juridique faible ou nul 1 Détérioration de la relation client Perte de productivité Perte image faible ou nul 1 1 1 Perte financière jugée inacceptable Retrait temporaire de carte de presse, interdiction temporaire d'exercer l'activité 4 3 3 10 Perte de client Arrêt de travail longe Mention dans les supports de presse à diffusion restreinte impact sur le réputation à court terme. 3 7 Perte financière jugée significative 4 4 4 9 9 Perte juridique faible ou nul Perte de client Arrêt de travail longe Mention dans les supports de presse à diffusion restreinte impact sur le réputation à court terme. 1 3 3 Perte financière jugée inacceptable Amende 4 2 Perte de client Arrêt de travail longe Mention dans les supports de presse à diffusion restreinte impact sur le réputation à court terme. 3 3 6 Perte financière jugée inacceptable Amende Perte de client Arrêt de travail longe Mention dans les supports de presse à diffusion restreinte impact sur le réputation à court terme. 4 2 3 3 6 Perte financière jugée significative Perte juridique faible ou nul Détérioration de la relation client Arrêt de travail longe Mention négative ponctuelle dans un média 3 1 1 3 5 Perte financière jugée significative Perte juridique faible ou nul Arrêt de travail longe Perte de productivité Mention négative ponctuelle dans un média 3 1 1 1 1 1 1 1 6 4 4 4 1 1 1 1 6 6 1 1 Conséquences Perte financière jugée modérée Perte juridique faible ou nul Perte de contrat, d'opération ou de transaction, perte de client mineur Perte de productivité Perte image faible ou nul 4 2 4 4 Mesures de sécurité existantes 1 1 11 7 7 10 9 6 6 6 1 Processus de rédaction 2 Processus de vente 13 journaliste 1 1 1 1 1 1 4 4 4 6 6 6 1 Processus de rédaction 13 journaliste 1 1 1 1 3 3 5 5 Protection par l'identifiant/ mot de passe Protection par l'identifiant/ mot de passe Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite 2 1 1 Vraisemblance 2 2 1 3 2 3 2 3 3 3 3 3 1 2 2 2 Estimation des niveaux de risque 98 / 111 Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite Niveaux de risque estimés 11. Liste des risques avec le valeur de niveau de risque Scénario d'incident 1.Vol de l'ordinateur du fait de sa portabilité. Max Les actifs impactés C I D SOM(C,I,D) (SOM(CID)) 1 Processus de rédaction 4 2 2 8 Articles en cours de 3 rédaction 4 4 3 11 Articles non publiés et non 11 4 vendus 4 4 3 11 7 Ordinateur 4 4 3 11 12 Fichier d'article 4 4 3 11 Mesures de sécurité existantes Conséquences Perte financière jugée modérée Valeur de conséquences 2 Perte juridique faible ou nul Perte de contrat, d'opération ou de transaction, perte de client mineur Perte de productivité Perte image faible ou nul 1 2 1 1 1 2 2 5 Perte financière faible ou nulle 1 2.Destruction de l'ordinateur du fait de sa fragilité. 1 Processus de rédaction Articles en cours de 3 rédaction Articles non publiés et non 4 vendus 7 Ordinateur 12 Fichier d'article 1 4 2 7 Perte juridique faible ou nul 1 1 4 1 2 1 4 2 2 2 7 5 7 Détérioration de la relation client Perte de productivité Perte image faible ou nul 1 1 1 1 2 2 5 Perte financière faible ou nulle 1 3.Suite à une panne électrique l'ordinateur ne s'allume plus. 1 Processus de rédaction Articles en cours de 3 rédaction Articles non publiés et non 4 vendus 7 Ordinateur 12 Fichier d'article 1 4 2 7 Perte juridique faible ou nul 1 1 4 1 2 1 4 2 2 2 7 5 7 Détérioration de la relation client Perte de productivité Perte image faible ou nul 1 1 1 1 Processus de rédaction 4 1 1 6 4 2 Processus de vente Articles en cours de 3 rédaction 2 1 3 6 Perte financière jugée inacceptable Retrait temporaire de carte de presse, interdiction temporaire d'exercer l'activité 3 3 4.Après une connexion frauduleuse, le fichier d'article en cours de rédaction est modifié avec des informations fausses et publiés sans contrôle. 5.Le manque de formation de l'utilisateur à l'utilisation du système d'exploitation entraîne une mauvaise manipulation causant la perte de l'article. 6.Après une connexion frauduleuse, le fichier d'article en cours de rédaction est copié et publié par un autre journal 7.Lors d'une connexion dans un aéroport, le fichier d'article en cours de transfert est écoutée et retransmis sur un site gratuit avant sa publication officielle 8.Dans une zone à risque, le journaliste est pris en otage par des révolutionnaires. 9.Dans une gare, le journaliste mange des moules pas fraiches, il attrape une intoxication alimentaire et il va à l'hôpital. 99 / 111 7 7 10 Protection par l'identifiant/ mot de passe 3 10 12 Fichier d'article 4 3 3 10 Perte de client Arrêt de travail longe Mention dans les supports de presse à diffusion restreinte impact sur le réputation à court terme. 1 Processus de rédaction Articles en cours de 3 rédaction 12 Fichier d'article 1 3 3 7 Perte financière jugée significative 4 1 4 1 4 4 4 9 9 Perte juridique faible ou nul Perte de client Arrêt de travail longe Mention dans les supports de presse à diffusion restreinte impact sur le réputation à court terme. 1 3 3 1 Processus de rédaction 2 Processus de vente Articles en cours de 3 rédaction 12 Fichier d'article 4 1 2 1 1 1 6 4 Perte financière jugée inacceptable Amende 4 2 4 1 4 1 1 1 6 6 Perte de client Arrêt de travail longe Mention dans les supports de presse à diffusion restreinte impact sur le réputation à court terme. 3 3 2 Processus de vente 12 Fichier d'article 4 1 4 1 1 1 6 6 6 Perte financière jugée inacceptable Amende Perte de client Arrêt de travail longe Mention dans les supports de presse à diffusion restreinte impact sur le réputation à court terme. 4 2 3 3 6 Perte financière jugée significative Perte juridique faible ou nul Détérioration de la relation client Arrêt de travail longe Mention négative ponctuelle dans un média 3 1 1 3 5 Perte financière jugée significative Perte juridique faible ou nul Arrêt de travail longe Perte de productivité Mention négative ponctuelle dans un média 3 1 1 1 1 Processus de rédaction 2 Processus de vente 13 journaliste 1 1 1 1 1 1 4 4 4 6 6 6 1 Processus de rédaction 13 journaliste 1 1 1 1 3 3 5 5 6 Protection par l'identifiant/ mot de passe 2 22 2 14 1 7 2 20 2 18 3 18 3 18 1 6 2 10 3 4 3 9 Niveau de risque Vraisemblance =Max(SOM(CID))*Vrais 3 3 3 3 2 2 Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite Évaluation des risques 100 / 111 Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite Risques sélectionnés pour traitement 12. Liste des risques priorités en relation avec les scénarios d'incident Scénario d'incident 1.Vol de l'ordinateur du fait de sa portabilité. Max Les actifs impactés C I D SOM(C,I,D) (SOM(CID)) 1 Processus de rédaction 4 2 2 8 Articles en cours de 3 rédaction 4 4 3 11 Articles non publiés et non 11 4 vendus 4 4 3 11 7 Ordinateur 4 4 3 11 12 Fichier d'article 4 4 3 11 Mesures de sécurité existantes Conséquences Perte financière jugée modérée Valeur de conséquences 2 Perte juridique faible ou nul Perte de contrat, d'opération ou de transaction, perte de client mineur Perte de productivité Perte image faible ou nul 1 2 1 1 1 2 2 5 Perte financière faible ou nulle 1 2.Destruction de l'ordinateur du fait de sa fragilité. 1 Processus de rédaction Articles en cours de 3 rédaction Articles non publiés et non 4 vendus 7 Ordinateur 12 Fichier d'article 1 4 2 7 Perte juridique faible ou nul 1 1 4 1 2 1 4 2 2 2 7 5 7 Détérioration de la relation client Perte de productivité Perte image faible ou nul 1 1 1 1 2 2 5 Perte financière faible ou nulle 1 3.Suite à une panne électrique l'ordinateur ne s'allume plus. 1 Processus de rédaction Articles en cours de 3 rédaction Articles non publiés et non 4 vendus 7 Ordinateur 12 Fichier d'article 1 4 2 7 Perte juridique faible ou nul 1 1 4 1 2 1 4 2 2 2 7 5 7 Détérioration de la relation client Perte de productivité Perte image faible ou nul 1 1 1 1 Processus de rédaction 4 1 1 6 4 2 Processus de vente Articles en cours de 3 rédaction 2 1 3 6 Perte financière jugée inacceptable Retrait temporaire de carte de presse, interdiction temporaire d'exercer l'activité 4 3 3 10 3 3 12 Fichier d'article 4 3 3 10 Perte de client Arrêt de travail longe Mention dans les supports de presse à diffusion restreinte impact sur le réputation à court terme. 1 Processus de rédaction Articles en cours de 3 rédaction 12 Fichier d'article 1 3 3 7 Perte financière jugée significative 4 1 4 1 4 4 4 9 9 Perte juridique faible ou nul Perte de client Arrêt de travail longe Mention dans les supports de presse à diffusion restreinte impact sur le réputation à court terme. 1 3 3 1 Processus de rédaction 2 Processus de vente Articles en cours de 3 rédaction 12 Fichier d'article 4 1 2 1 1 1 6 4 Perte financière jugée inacceptable Amende 4 2 4 1 4 1 1 1 6 6 Perte de client Arrêt de travail longe Mention dans les supports de presse à diffusion restreinte impact sur le réputation à court terme. 3 3 2 Processus de vente 12 Fichier d'article 4 1 4 1 1 1 6 6 Perte financière jugée inacceptable Amende Perte de client Arrêt de travail longe Mention dans les supports de presse à diffusion restreinte impact sur le réputation à court terme. 4 2 3 3 6 Perte financière jugée significative Perte juridique faible ou nul Détérioration de la relation client Arrêt de travail longe Mention négative ponctuelle dans un média 3 1 1 3 5 Perte financière jugée significative Perte juridique faible ou nul Arrêt de travail longe Perte de productivité Mention négative ponctuelle dans un média 3 1 1 1 4.Après une connexion frauduleuse, le fichier d'article en cours de rédaction est modifié avec des informations fausses et publiés sans contrôle. 5.Le manque de formation de l'utilisateur à l'utilisation du système d'exploitation entraîne une mauvaise manipulation causant la perte de l'article. 6.Après une connexion frauduleuse, le fichier d'article en cours de rédaction est copié et publié par un autre journal 7.Lors d'une connexion dans un aéroport, le fichier d'article en cours de transfert est écoutée et retransmis sur un site gratuit avant sa publication officielle 8.Dans une zone à risque, le journaliste est pris en otage par des révolutionnaires. 9.Dans une gare, le journaliste mange des moules pas fraiches, il attrape une intoxication alimentaire et il va à l'hôpital. 101 / 111 7 7 10 9 6 6 1 Processus de rédaction 2 Processus de vente 13 journaliste 1 1 1 1 1 1 4 4 4 6 6 6 1 Processus de rédaction 13 journaliste 1 1 1 1 3 3 5 5 Protection par l'identifiant/ mot de passe Protection par l'identifiant/ mot de passe Niveau de risque Vraisemblance =Max(SOM(CID))*Vrai 2 22 2 14 1 7 2 20 2 18 3 18 3 18 1 6 2 10 3 3 3 3 3 2 2 Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite Traitement des risques 102 / 111 Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite Plan de traitement des risques 13.Plan de traitement des risques Scénario 1.Vol de l'ordinateur du fait de sa portabilité, ce qui engendre une perte financière, perte de productivité, perte d'image. Niveau de risque Traitement 22 Réduction Mesure de sécurité (ISO27002) Sauvegarde. Sensibilisation. Chiffrement. Personnes responsable Coût 1 Journaliste Moyen Sauvegarde. protection antivirale. Sensibilisation. mise à jour du logiciel. HIPS. 14 Réduction 2 Journaliste Moyen 7 Maintien Réduction Sensibilisation. Chiffrement. Réexamen des droits d'accès. Déconnexion automatique. des sessions inactives. 1 Journaliste Moyen Réduction Sauvegarde Formation Sensibilisation 2 Journaliste Faible 1 Journaliste Moyen 2.Destruction de l'ordinateur du fait de sa fragilité, 3.Suite à une panne électrique l'ordinateur ne s'allume plus, perte financière, perte de productivité. 4.Après une connexion frauduleuse, le fichier d'article en cours de rédaction est modifié avec des informations fausses et publiés sans contrôle. 5.Le manque de formation de l'utilisateur à l'utilisation du système d'exploitation entraîne une mauvaise manipulation causant la perte de l'article. 20 18 Priorités 6.Après une connexion frauduleuse, le fichier d'article en cours de rédaction est copié et publié par un autre journal 18 Réduction Sensibilisation. Chiffrement. Réexamen des droits d'accès. Déconnexion automatique des sessions inactives. 7.Lors d'une connexion dans un aéroport, le fichier d'article en cours de transfert est écoutée et retransmis sur un site gratuit avant sa publication officielle. 18 Réduction Sensibilisation. Chiffrement. 1 Journaliste Faible 8.Dans une zone à risque, le journaliste est pris en otage par des révolutionnaires. 6 Maintien 9.Dans une gare, le journaliste mange des moules pas fraiches, il attrape une intoxication alimentaire et il va à l'hôpital.. 10 Réduction Sensibilisation. 3 Journaliste Faible 103 / 111 Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite Plan de traitement des risques 14.Plan de traitment du risque avec le niveau des risques résiduels Scénario 1.Vol de l'ordinateur du fait de sa portabilité, ce qui engendre une perte financière, perte de productivité, perte d'image. Niveau des Mesure de sécurité risques Traitement (ISO27002) Sauvegarde. Sensibilisation. 22 Réduction Chiffrement. 3.Suite à une panne électrique l'ordinateur ne s'allume plus, perte financière, perte de productivité. 4.Après une connexion frauduleuse, le fichier d'article en cours de rédaction est modifié avec des informations fausses et publiés sans contrôle. 5.Le manque de formation de l'utilisateur à l'utilisation du système d'exploitation entraîne une mauvaise manipulation causant la perte de l'article. 7 20 18 Coût SOM(CID) ré estimée Vraisemblan ce ré estimée Risque Résiduel 1 Journaliste Moyen 4 1 4 Sauvegarde. protection antivirale. Sensibilisation. mise à jour du logiciel. HIPS. 2 Journaliste Moyen 3 1 3 Réduction Sensibilisation. Chiffrement. Réexamen des droits d'accès. Déconnexion automatique. des sessions inactives. 1 Journaliste Moyen 4 1 4 Réduction Sauvegarde Formation Sensibilisation 2 Journaliste Faible 3 1 3 1 Journaliste Moyen 5 2 10 2.Destruction de l'ordinateur du fait de sa fragilité, 14 Personnes Priorités responsable Réduction Maintien 6.Après une connexion frauduleuse, le fichier d'article en cours de rédaction est copié et publié par un autre journal 18 Réduction Sensibilisation. Chiffrement. Réexamen des droits d'accès. Déconnexion automatique des sessions inactives. 7.Lors d'une connexion dans un aéroport, le fichier d'article en cours de transfert est écoutée et retransmis sur un site gratuit avant sa publication officielle. 18 Réduction Sensibilisation. Chiffrement. 1 Journaliste Faible 6 2 12 8.Dans une zone à risque, le journaliste est pris en otage par des révolutionnaires. 6 9.Dans une gare, le journaliste mange des moules pas fraiches, il attrape une intoxication alimentaire et il va à l'hôpital.. 10 Sensibilisation. 3 Journaliste Faible 3 1 3 104 / 111 Maintien Réduction Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite Acceptation du risque Par la direction 105 / 111 Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite Acceptation des risques 15. Liste de risques acceptés avec justification Niveau des Mesure de sécurité risques Traitement (ISO27002) Sauvegarde. Sensibilisation. 22 Réduction Chiffrement. Scénario 1.Vol de l'ordinateur du fait de sa portabilité, ce qui engendre une perte financière, perte de productivité, perte d'image. Personnes Priorités responsable Coût Vraisemblan SOM(CID) ce ré ré estimée estimée Niveau des Risques Acceptation Résiduels des risques Signature 1 Journaliste Moyen 4 1 4 oui 2 Journaliste Moyen 3 1 3 oui 14 Sauvegarde. protection antivirale. Sensibilisation. mise à jour du logiciel. Réduction HIPS. 7 Maintien 20 Sensibilisation. Chiffrement. Réexamen des droits d'accès. Déconnexion automatique. Réduction des sessions inactives. 1 Journaliste Moyen 4 1 4 oui 18 Sauvegarde Formation Réduction Sensibilisation 2 Journaliste Faible 3 1 3 oui 6.Après une connexion frauduleuse, le fichier d'article en cours de rédaction est copié et publié par un autre journal 18 Sensibilisation. Chiffrement. Réexamen des droits d'accès. Déconnexion automatique Réduction des sessions inactives. 1 Journaliste Moyen 5 2 10 non 7.Lors d'une connexion dans un aéroport, le fichier d'article en cours de transfert est écoutée et retransmis sur un site gratuit avant sa publication officielle. 18 Sensibilisation. Réduction Chiffrement. 1 Journaliste Faible 6 2 12 non 8.Dans une zone à risque, le journaliste est pris en otage par des révolutionnaires. 6 Maintien 9.Dans une gare, le journaliste mange des moules pas fraiches, il attrape une intoxication alimentaire et il va à l'hôpital.. 10 Réduction Sensibilisation. 3 Journaliste Faible 3 1 3 oui 2.Destruction de l'ordinateur du fait de sa fragilité, 3.Suite à une panne électrique l'ordinateur ne s'allume plus, perte financière, perte de productivité. 4.Après une connexion frauduleuse, le fichier d'article en cours de rédaction est modifié avec des informations fausses et publiés sans contrôle. 5.Le manque de formation de l'utilisateur à l'utilisation du système d'exploitation entraîne une mauvaise manipulation causant la perte de l'article. 106 / 111 Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite Date Défauts de la méthode ISO 27005 Payant Norme Difficile à faire évoluer Norme Base de connaissances des risques minimale Partie de la méthode en annexe bien qu'indispensable au fonctionnement Pas de financement ni de provisionnement des risques Accorde une liberté qui peut conduire à une appréciation trop superficielle ou trop détaillée 107 / 111 Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite Atouts de la méthode ISO 27005 Compréhensible Aucune notion trop complexe Vocabulaire conforme au langage courant Vocabulaire cohérent de bout en bout Pragmatique et accessible à tous Aucune étape infaisable même si la précédente n'est pas terminée Production d'un travail exploitable et utile rapidement 108 / 111 Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite Atouts de la méthode ISO 27005 Management des risques dans la durée Intègre la notion du temps, pas juste une appréciation des risques à un instant "t" Adaptée aux changements Application de l'amélioration continue Possible de commencer petit et de faire de mieux en mieux progressivement Impose à la direction générale d'être parfaitement informée Lui impose de prendre ses responsabilités en toute connaissance de cause Facilite les arbitrages budgétaires 109 / 111 Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite Atouts de la méthode ISO 27005 Consensus international sur le management des risques SI Reprise du meilleur de ce qui avait été fait partout dans le monde Compréhension mutuelle mondiale Mutualisation des efforts Comparaisons plus faciles Adaptée à la mise en oeuvre d'un SMSI selon l'ISO 27001 Applicable à d'autres types de contexte : PCA, projets, systèmes embarqués, infrastructures vitales, etc Outillage Attention, la majorité des outils se prétendant faire de la gestion des risques n'en font pas Archer (RSA), Cofly, GooAnn, Mega, Modulo, Neupart, RVR, etc 110 / 111 Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite Conclusion Formations Certification ISO 27005 Risk Manager par LSTI Sessions à Luxembourg Club d'utilisateurs & normalisation Questions ? [email protected] www.hsc.fr 111 / 111 Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite Ressources Pour télécharger le schéma de modélisation de l'ISO 27005 : http://www.hsc.fr/ressources/presentations/netclu0927005/HSCModelisationISO27005.pdf Pour télécharger la norme ISO 27000 gratuitement : http://standards.iso.org/ittf/PubliclyAvailableStandards/ Principales normes ISO en sécurité Document à paraître courant 2011 par AFNOR Normalisation à la demande de l'ANSSI 112 / 111 Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite