Version PDF - Herve Schauer Consultants

Transcription

Version PDF - Herve Schauer Consultants
HERVÉ SCHAUER CONSULTANTS
Cabinet de Consultants en Sécurité Informatique depuis 1989
Spécialisé sur Unix, Windows, TCP/IP et Internet
Normes en Sécurité
Focus sur ISO27001 & ISO27005
OzSSI Est
Nancy, 13 octobre 2011
Hervé Schauer
[email protected]
Sommaire
Normes ISO
Gestion des identités et vie privée
Techniques de sécurité
Normes de la série ISO 27000 : Système de Management de la
Sécurité de l'Information & Mesures de Sécurité
Continuité d'Activité
Introduction à l'ISO 27001
Méthode de gestion des risques ISO27005
2 / 111
Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite
Normes ISO
ISO : Agence des nations-unies
Organisation internationale de normalisation
International Organisation for Standardization
163 pays représentés par leur agence de normalisation
En France : AFNOR Normalisation
JTC1 : informatique
Cas particulier : comité joint entre l'ISO et l'IEC
JTC1/SC27 : sécurité
En France : AFNOR CN27
Plus de 100 normes en cours de validité
TC223 : sécurité sociétale
3 / 111
Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite
Normes ISO
Norme = consensus entre les acteurs
De la société en général
Du marché
Des pays
Norme = processus d'élaboration formel et rigoureux
Commentaires traités et justifiés
Ecriture étalée sur plusieurs années
Autres organismes de normalisation
HL7
IEEE
UIT/ITU
4 / 111
Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite
Normes ISO
JTC1/SC27
5 groupes de travail (Working Groups)
Evaluation
onon
WG 3
Evaluation de la sécurité
WG 4
Mesures de sécurité /
Services de sécurité
Lignes
directrices
Techniques
WG 2
Cryptographie /
mécanismes de sécurité
Produits
5 / 111
WG 1
Système de Management
de la Sécurité de
l'Information (SMSI)
Systèmes
WG5
Gestion d'identités /
Vie privée / Biométrie
Processus
Environnement
Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite
Gestion d'identités et vie privée
JTC1/SC27/WG5
Gestion d'identités et technologies relatives à la vie privée
Protection des données personelles
Biométrie et identification biométrique
Soumis à des prérogatives nationales
Convergence et consensus difficiles
Parfois sensible
6 / 111
Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite
Gestion d'identités et vie privée
JTC1/SC27/WG5
Vie privée
Experts de la CNIL participent et contribuent
ISO/IEC 29100 « Information technology – Security techniques – A
privacy framework »
Norme fondatrice
ISO/IEC 29101 « Information technology – Security techniques – A
privacy reference architecture »
7 / 111
Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite
Gestion d'identités et vie privée
JTC1/SC27/WG5
Gestion d'identités
ISO/IEC 29115 « Information technology – Security techniques – Entity
Authentication Assurance, texte commun au projet ITU-T – X.eaa »
ISO/IEC 24760 « Information technology – Security techniques – A
framework for identity management »
ISO/IEC 29146 « Information technology – Security techniques – A
framework for Access Management »
ISO/IEC 29191 « Information technology – Security techniques –
Requirements on relatively anonymous unlinkable authentication »
ISO/IEC 29190 « Information technology – Security techniques –
Privacy capability assessment framework »
8 / 111
Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite
Gestion d'identités et vie privée
JTC1/SC27/WG5
Biométrie
ISO/IEC 29149 « Information technology – Security techniques –
Biometric template protection »
Remplace la norme ISO24745
ISOIEC 24761« Technologies de l'information – Techniques de sécurité
– Contexte d'authentification biométrique »
9 / 111
Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite
Techniques de sécurité
JTC1/SC27/WG2
Cryptographie et mécanismes de sécurité
Besoins
Terminologie
Interopérabilité
Algotithmes
10 / 111
Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite
Techniques de sécurité
JTC1/SC27/WG2
Beaucoup de normes
Chiffrement
Symétrique, assymétrique
A flot, par bloc
Signature numérique
Authentification
Fonction de hachage
Non-répudiation
Gestion de clés
Horodatage
Génération de nombres aléatoires
11 / 111
Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite
Evaluation de la sécurité
JTC1/SC27/WG3
Critères d'évaluation de la sécurité (« Critères Communs »)
ISO/IEC 15408-1:2009 : « Technologies de l'information – Techniques
de sécurité – Critères d'évaluation pour la sécurité des Technologies de
l'Information – Partie 1: Introduction et modèle général »
Norme fondatrice
Définition des termes spécifiques utilisés dans la série ISO 15408
Vocabulaire non-conforme à ISO 27000
Organisation générale des normes de la série ISO 15408
Fonctionnalités ayant pour objectif de fournir un langage structuré pour
exprimer ce que doit faire un produit de sécurité
Exigences relatives à la documentation associée au produit évalué
12 / 111
Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite
Evaluation de la sécurité
JTC1/SC27/WG3
Critères d'évaluation de la sécurité (« Critères Communs »)
ISO/IEC 15408
En cours révision : contributions bienvenues
Autres normes
Méthodologies d'évaluation
Exigences pour les modules cryptographiques
Assurance de la sécurité
Profils de protection
Modèle de maturité
Projet de norme ISO/IEC 29147 : Divulgation des vulnérabilités
13 / 111
Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite
HERVÉ SCHAUER CONSULTANTS
Cabinet de Consultants en Sécurité Informatique depuis 1989
Spécialisé sur Unix, Windows, TCP/IP et Internet
Normes ISO27000
SC27 WG1 & WG4
Hervé Schauer
Sommaire
Panorama des normes ISO 27000
Normes de mesures de sécurité
Normes sectorielles
Normes utiles à la mise en œuvre du SMSI
Normes utiles à l'intégration du SMSI
Normes en sécurité réseau
15 / 111
Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite
Panorama des normes ISO 27001
Exigences
usage obligatoire
dans la certification
2007-2011
2005-2013
ISO 27001
SMSI
ISO 27006
Certification de SMSI
2009
2011
ISO 27000
Guides
usage facultatif
Vocabulaire
ISO 27008
Audit des mesures
2011
2005-2013
ISO 27007
ISO 27002
Audit de SMSI
Mesures de sécurité
2010
ISO 27003
Implémentation
16 / 111
2009
ISO 27004
Indicateurs SMSI
2008-2011
ISO 27005
Gestion de risque
Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite
Panorama des normes ISO 27001
ISO 27000 : Principes et vocabulaire
Disponible gratuitement
http://standards.iso.org/ittf/PubliclyAvailableStandards/
ISO 27001 : Exigences d'un SMSI
Norme permettant la certification
En cours de révision à l'ISO depuis 2008
ISO 27002 : Code de bonnes pratiques pour un SMSI
Originellement appelée ISO 17799
Liste des principales mesures de sécurité issues de l'expérience de la
communauté
En cours de révision à l'ISO depuis 2008
17 / 111
Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite
Panorama des normes ISO 27001
ISO 27003 : Guide d'implémentation d'un SMSI
Adapté à un organisme qui ne dispose encore d'aucune mise en place
de SSI
Peu utile à un organisme ayant déjà une mise en oeuvre de mesures
de sécurité
ISO 27004 : Mesurage du Management de la Sécurité de
l'Information
Measurement  mesurage
Terme exact
Security control  mesure de sécurité donc pour évite les confusions
Guide de mise en place du mesurage du SMSI
Instancie le PDCA
Inclus des exemples d'indicateurs
18 / 111
Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite
Panorama des normes ISO 27001
ISO 27005 : Gestion des risques en Sécurité de l'Informations
Précise et explicite le contenu de l'ISO 27001
Appréciation du risque
Analyse de risque
Evaluation du risque
Traitement du risque
Synthèse des normes et méthodologies existantes
19 / 111
Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite
Panorama des normes ISO 27001
ISO 27006 : Exigences pour l'accréditation des organismes de
certification des SMSI
Remplace la norme EA 7/03
S'appuie sur la norme ISO 17021 : exigences pour l'accréditation des
organismes de certification de systèmes de management en général
Apporte des précisions pour les audits de certification ISO 27001
Classement des mesures de sécurité : organisationelles / techniques
Vérifications à faire ou pas pour les mesures de sécurité techniques
20 / 111
Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite
Panorama des normes ISO 27001
ISO 27007:2011 : Guide d'audit de SMSI
Etait à l'origine dans l'ISO 27006, séparé pour ne pas être obligatoire
Application de l'ISO 19011:2011 aux audits de SMSI
Internes et externes
En cohérence avec ISO 17021-2:2009
Se base sur les risques pour l'organisme, les incidents, les indicateurs
Annexe qui précise les preuves d'audit à rechercher
Projet de norme ISO27008 : Guide d'audit des mesures de
sécurité
Importante annexe technique sur chaque mesure de sécurité
21 / 111
Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite
Normes de mesures de sécurité
Normes qui précisent ou détaillent des mesures de sécurité de
l'ISO 27002
Série des normes ISO 27033 : sécurité des réseaux
Intègre notamment l'aspect gestion des risques
Série des normes ISO 27034 : intégration de la sécurité dans le cycle
de vie du logiciel
Projet de série de normes ISO 27036 : sécurité dans l'infogérance
Projet de norme ISO 27037 : Guidelines for the identification, collection
and/or acquisition, and preservation of digital evidence
Projet de norme ISO 27038 : Specification for digital redaction
Projet de norme ISO 27040 : Sécurité du stockage
22 / 111
Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite
Normes de mesures de sécurité
Normes qui précisent des mesures de sécurité ISO 27002
ISO27035:2011 : Incident Security Management / Gestion des
incidents de sécurité (ISO 27001 3.5, 3.6 & ISO 27002 13.1.1)
Remplacement de l'ISO18044
Application de l'ISO27001 (4.2.2.h, 4.2.3.a.2 & 4.3.3) et l'ISO27002 (13)
Définition complète et pratique du processus de gestion des
incidents de sécurité
Politique de gestion des incidents de sécurité de
l'information
Équipe de réponse aux incidents de sécurité de
l'information
ISIRT : Information Security Incident Response Team
Détection et collecte des incidents
Appréciation des incidents
Réponse aux incidents
Retour d'expérience suite aux incidents passés
23 / 111
Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite
Normes sectorielles
ISO 27011:2008 / recommandation ITU X.1051
Opérateurs de télécommunications
A été fait à l'UIT, a été repris par l'ISO tel quel
Guide d'application des mesures de sécurité de l'ISO 27002 dans le
cadre d'un opérateur de télécommunication
Ajout de mesures de sécurité spécifiques pour les télécommunications
Projet ISO 27010 : communications inter-secteurs
Projet ISO 27012 : Organizational economics
Projet ISO 27015 : secteur finance & assurance
24 / 111
Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite
Normes sectorielles
ISO 27799:2006 : santé
Fait dans la normalisation de la santé
Adaptation de l'ISO27001 et ISO27002 en un seul document pour le
secteur de la santé
Cherche à remplacer ISO 27001 et créé une certification ISO 27799
Caractère d'application des mesures de sécurité obligatoires dans
certains cas
Pas d'appréciation des risques obligatoire
Chapitre 7 donne l'application des mesures de sécurité dans le cas
particulier de la santé
Norme homologuée depuis le 13 septembre 2008
Sera sans doute renuméroté en ISO 2701X dans une prochaine version
En espérant que cela se repose sur l'ISO 27001 au lieu de réinventer
la roue
Ne fait pas l'unanimité, au contraire
25 / 111
Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite
Autres normes
Norme utile à la mise en œuvre de l'ISO 27001
ISO 15489 : Gestion des enregistrements (ISO 27002 15.1.3)
Norme générale, pas spécifique à la SSI
Traite notamment de :
Ce qui doit être enregistré, sous quelle forme
Evaluation des risques
Exigences légales et normes applicables
Conditions et durée de conservation et gestion de la pérennité
Gestion de l'intégrité, de la qualité et de l'efficacité
Utilité pour la SSI
Preuves et mise en œuvre des mesures de sécurité pour l'ISO 27001, SOX,
etc
Journaux système, réseaux, applicatifs
Enregistrements financiers
Archivages légaux
26 / 111
Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite
Intégration du SMSI
Normes utiles à l'intégration du SMSI dans l'organisme
Projet de norme ISO 27013 : Implémentation intégrée d'ISO 27001 et
ISO20000-1 (ITIL)
Projet de norme ISO 27014 : Information Security Governance
Cohérence avec ISO 38500
27 / 111
Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite
Autres normes
Normes en sécurité réseau
Parfois obsolètes, souvent inutilisées
Série de normes ISO 18028 : Sécurité des réseaux
ISO15947 : IT intrusion detection framework
Projets de normes ISO27032-1 à 3 : cybersecurity
ISO18043 : Selection, deployement and operations of intrusion
detection systems (IDS)
RFC de l'IETF plus accessibles et plus utilisés dans ces domaines
28 / 111
Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite
HERVÉ SCHAUER CONSULTANTS
Cabinet de Consultants en Sécurité Informatique depuis 1989
Spécialisé sur Unix, Windows, TCP/IP et Internet
Continuité d'activité
TC 223 & JTC1/SC27
Hervé Schauer
Continuité d'activité
ISO 22301:2011 : Preparedness and Continuity Management
Systems - Requirements
Business Continuity Management System, BCMS
Système de Management de la Continuité d'Activité, SMCA
Exigences pour des systèmes de management de la continuité
d'activité et du maintien en condition opérationnelle
Projet de norme ISO 22313 : Guideline for incident
preparedness and operational continuity management
Réintègre la norme britannique BS25599-1
Guide de mise en œuvre de l'ISO 22301
30 / 111
Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite
Continuité d'activité
ISO 27031:2011 : Guidelines for ICT (Information and
Communications Technologies) Readiness for Business
Continuity (IRBC)
Partie système d'information d'un SMCA (ISO 22301) en utilisation
conjointe avec un SMSI (ISO 27001)
ISO 24762:2008 : Guidelines for information and
communications technology disaster recovery services
Plan de recouvrement informatique
Réintègre la norme singapourienne SS507
Environnement, gestion des actifs, confidentialité, conditions
d'activation, contrat, environnement partagé
Service d'infrastructure liés au recouvrement de sinistre
Capacité de reprise de service : niveau de service, bascule
opérationnelle, accès, tests, plan de réponse d'urgence, formation, ...
Guide de sélection des sites de recouvrement
31 / 111
Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite
HERVÉ SCHAUER CONSULTANTS
Cabinet de Consultants en Sécurité Informatique depuis 1989
Spécialisé sur Unix, Windows, TCP/IP et Internet
Introduction à
l'ISO 27001
OzSSI Est
Nancy, 13 octobre 2011
Alexandre Fernandez-Toro
Hervé Schauer
Elisabeth Manca
ISO 27001
Consensus sur la meilleure manière d'organiser la SSI
Expérience
Tout types d'organismes visés (IS 27001 1.1)
Sociétés commerciales
Agences gouvernementales
Associations, ONG
Indications de la norme génériques (1.2)
Applicables à tout type d’organisation indépendamment
Type
Taille
Nature de l'activité
33 / 111
Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite
ISO 27001
Objectif général de la norme (1.1)
Spécifier les exigences pour
Mettre en place
Exploiter
Améliorer
Un SMSI documenté
Spécifier les exigences pour la mise en place de mesures de
sécurité
Adaptées aux besoins de l’organisation
Adéquates
Proportionnées
34 / 111
Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite
ISO 27001
Ceci doit fournir (1.1)
Une protection des actifs d’information (information assets)
Patrimoine informationel
Biens sensibles
La confiance aux parties prenantes (interested parties)
Sous entendu
Clients
Actionnaires
Partenaires
Assureurs
etc.
35 / 111
Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite
ISO 27001
Ceci doit maintenir et améliorer
Précision présente dans la BS 7799-2:2002 mais a disparu dans
l'ISO 27001:2005
Compétitivité
Trésorerie (cash flow)
Profitabilité
Respect de la réglementation
Image de marque
36 / 111
Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite
ISO 27001
Attentes et
exigences
en terme
de sécurité
Modèle PDCA : Plan-Do-CheckAct
Sécurité
effective
fournie
Planification
Partenaires
Partenaires
Plan
Fournisseurs
Clients
Pouvoirs
publics
Services
37 / 111
Action
Fournisseurs
Correction
Do
Act
Vérification
Check
Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite
Clients
Pouvoirs
publics
Services
ISO 27001
Phase PLAN (4.2.1)
Périmètre du SMSI
Politique de sécurité et/ou politique du SMSI
Plan de gestion des risques
Méthodologie d'appréciation des risques
Identification et évaluation des risques
Traitement des risques
Réduction des risques à un niveau acceptable
Conservation (acceptation) des risques
Refus ou évitement des risques
Transfert
Objectifs de sécurité et mesures de sécurité
 Déclaration d'applicabilité : DdA (Statement of applicability ou SoA)
38 / 111
Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite
ISO 27001
Phase DO (4.2.2)
Plan de Traitement du Risque (PTR)
Allocation et gestion de ressources
Personnes, temps, argent, etc.
Formation du personnel concerné
Gestion du risque
Pour les risques à réduire :
Implémenter les mesures de sécurité identifiées dans la phase
précédente
Assignation des responsabilités
Identifier des risques résiduels
Pour les risques transférés : assurance, sous-traitance, etc.
Pour les risques acceptés et refusés : rien à faire
Mettre en place le SMSI et l'exploiter
39 / 111
Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite
ISO 27001
Phase CHECK (4.2.3)
Vérification de routine
Gérer les incidents de sécurité
Apprendre des autres
Audit du SMSI
Audits réguliers
Sur la base de
Documents
Traces ou enregistrements
Tests techniques
Conduit à
Constatation que les mesures de sécurité ne réduisent pas de façon
effective les risques pour lesquels elles ont été mises en place
Identification de nouveaux risques non traités
Tout autre type d'inadaptation de ce qui est mis en place
40 / 111
Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite
Surveillance du SMSI
4.2.3.b)
Résultats
d’audits
Incidents
Réexamen
périodique
Corriger
SMSI
Prévenir
Indicateurs
Améliorer
Retours des
parties prenantes
41 / 111
Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite
ISO 27001
Phase ACT (4.2.4)
Prendre les mesures résultant des constatations faites lors de la phase
de vérification
Actions possibles
Passage à la phase de planification
Si de nouveaux risques ont été identifiés
Passage à la phase d'action
Si la phase de vérification en montre le besoin
Si constatation de non conformité
Actions correctives ou préventives
Actions entreprises immédiatement
Planification d'actions sur le moyen et long terme
42 / 111
Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite
Documentation
Exigences relatives à la documentation (4.3)
La documentation est obligatoire
Elle peut prendre plusieurs formes (4.3.1 NOTE 3)
Papier
Électronique
Il y a deux familles de documentation
Les documents
Les enregistrements (records)
43 / 111
Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite
Responsabilités de la direction
Implication de la direction (5.1)
La direction doit prouver son engagement dans le SMSI
Management des ressources (5.2)
Affecter des ressources (5.2.1)
En temps
En moyens financiers
En personnel
Pour établir, mettre en œuvre, exploiter, surveiller, réexaminer, tenir à jour
et améliorer le SMSI
Compétences (5.2.2)
Déterminer les compétences nécessaires au fonctionnement du SMSI
Former / Embaucher du personnel qualifié
Sensibilisation (5.2.2)
44 / 111
Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite
Audit interne
Menés à intervalles planifiés (6)
Objectif : déterminer que les objectifs de sécurité, mesures,
processus et procédures du SMSI sont (6.a,b,c,d)
Conformes aux exigences de la norme et à la réglementation
Conformes aux exigences de sécurité
Mis en œuvre et tenus à jour de manière efficace
Exécutés comme prévu
Programme d'audit
Tient compte de l'importance et de l'état des processus
Définir : Critères, champ, fréquence et méthode d'audit
45 / 111
Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite
Revue de direction du SMSI
Revue de direction du SMSI (7)
Responsabilité de la direction
Faite au moins une fois par an
Objectif
Voir dans quelle mesure il est possible d’améliorer le SMSI
46 / 111
Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite
Amélioration du SMSI
Amélioration continue (8.1)
Action corrective (8.2)
Eliminer les causes de non conformités constatées
Action préventive (8.3)
Eliminer les causes de non conformités potentielles
Gérer la non conformité  Gestion des incidents
Vérifier que ces améliorations sont efficaces
Communiquer ces actions aux parties prenantes concernées
47 / 111
Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite
Approche thématique
Plan → 4.2.1
Etablissement du SMSI
Do → 4.2.2
Mise en œuvre et fonctionnement du SMSI
Check
4.2.3 Surveillance et réexamen du SMSI
6
Audit interne
7
Revue de direction
Act
4.2.4 Mise à jour et amélioration du SMSI
8
48 / 111
Amélioration continue
Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite
Approche thématique
Liens entre 4.2 et les autres chapitres
4.2.1 c 2 →
4.2.2 e
→
5.2.2
4.2.2 g
→
5.2.2
4.2.3 e
→
6
4.2.3 f
→
7.1
4.2.4
49 / 111
5.1 f
→
8.2 et 8.3
Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite
Processus du SMSI
50 / 111
Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite
Processus du SMSI
Chaque processus
Caractérisé par :
Objectifs
Responsable (Accountable) et acteurs (RACI)
Entrées/sorties
Activités
Interagit avec les autres processus du SMSI
Documenté
Révisé régulièrement
Auditable et audité → prévoir les contrôles des activités
Complété par des annexes : procédures, politiques, modèles de
documents ... → les lister
Génère des enregistrements → les identifier
51 / 111
Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite
Direction
52 / 111
Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite
Gestion du Risque de l'information
53 / 111
Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite
Pilotage
54 / 111
Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite
Gestion des Mesures de Sécurité
55 / 111
Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite
Gestion de la documentation
56 / 111
Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite
Gestion des Compétences et de la
Sensibilisation
57 / 111
Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite
Gestion des incidents de sécurité
58 / 111
Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite
Gestion des indicateurs
59 / 111
Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite
Audit interne
60 / 111
Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite
Audit interne
61 / 111
Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite
ISO 27001 : Conclusion
e
2 édition
Formations
Revue et augmentée
Certifications : ISO 27001 Lead
Auditor & ISO 27001 Lead
Implementer par LSTI
Sessions à Luxembourg
Club d'utilisateurs & normalisation
Questions ?
[email protected] www.hsc.fr
62 / 111
Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite
HERVÉ SCHAUER CONSULTANTS
Cabinet de Consultants en Sécurité Informatique depuis 1989
Spécialisé sur Unix, Windows, TCP/IP et Internet
Méthode de management
des risques ISO 27005
OzSSI Est
Metz, 13 octobre 2011
Hervé Schauer
<[email protected]>
Sommaire
Introduction
Schéma de modélisation
Exemple
Etablissement du contexte : critères et échelles
Cartographie des actifs
Menaces, vulnérabilités, conséquences et impacts sur les actifs
Scénarios d'incident
Plan de traitement des risques
Défauts à atouts de l'ISO 27005
Conclusion
64 / 111
Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite
Introduction
Objectif : présenter la méthode ISO 27005
Schéma modélisant chaque activité et sous-activité de la
méthode proposée par la norme ISO 27005
Voir schéma disponible sur www.hsc.fr en format PDF vectoriel
Exemple simple qui déroule la méthode
N° sur le schéma correspondant aux n° des tableaux
Exemples de tableaux
A titre illustratif !
65 / 111
Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite
Schéma de modélisation
66 / 111
Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite
Exemple
Un journaliste utilise un ordinateur portable pour
rédiger ses articles. Il est employé par le
magazine SSID (Sécurité des Systèmes
d'Information de Demain) mais il lui arrive de
vendre ses articles à d'autres journaux.
Sur son ordinateur, sont stockés son courrier électronique, ses
contacts et tous ses articles publiés, non encore parus et en
cours de rédaction.
Pour rédiger des articles pertinents, ce journaliste se doit être
un véritable globe trotter. Dans l'urgence, il est amené à rédiger
ses articles dans les salles d'attente, voire de les envoyer en
utilisant les hotspots disponibles.
A l'heure actuelle, la seule protection utilisée est un simple
couple identifiant / mot de passe à l'allumage de l'ordinateur
67 / 111
Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite
Établissement des critères
68 / 111
Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite
Établissement des critères
Définir les critères de base (7.2)
Critères d'impact
Bas-niveau : vis-à-vis de l'actif
Impact de la perte ou de l'atteinte d'un critère de sécurité
Disponibilité, intégrité, confidentialité (7.2)
Haut-niveau : vis-à-vis de l'organisme, du processus métier, du projet
Echelle de mesure, ou critère d'estimation, des conséquences (financières,
délais, image) (7.2)(8222)(B.3)
Critères évaluation des risques
Critères d'acceptation des risques
69 / 111
Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite
Établissement des critères
Critères d'impact
Impact assez important pour que le risque doive être pris en compte ?
Dans l'analyse du risque
Critères d'évaluation des risques
Niveau de risque assez élevé pour le risque soit traité ?
Critères d'acceptation des risques
Niveau le risque résiduel acceptable par la direction ?
70 / 111
Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite
Établissement des critères
Autres échelles utiles lors de l'analyse de risque
Pas explicitement imposées lors de l'établissement du contexte
Echelle ou critères de valorisation des actifs (8.2.1.2)(B.2)(8.2.1.6)(8.2.2.2)
Echelles d'estimation
Echelle d'estimation des menaces (vraisemblance) (8.2.1.3)(C)(8.2.2.3)
Echelle d'estimation des vulnérabilités (difficulté d'exploitation) (8.2.1.5)(D)
(8.2.2.3)
Echelle d'appréciation de la vraisemblance des scénarios d'incidents
(8.2.2.3)(B.3)
71 / 111
Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite
Critères d'impact
Critères d'impact CID
Exemple :
Critères d'impact
Qualification du besoin en
Confidentialité
Intégrité
Informations pouvant être
Pas de validation nécessaire
publiques
Peut ne pas être intègre
Accès autorisé à l'ensemble Simple validation possible
du journal SSID
Peut être partiellement intègre
Accès autorisé à l'ensemble Validation croisée
de l'équipe
Doit être intègre
Accès autorisé à un membre Triple validation
unique de l'équipe
Doit être parfaitement intègre
Disponibilité
Niveau du besoin
Arrêt supérieur Faible ou
1
à 3 jours
inexistant
Arrêt entre 1
jour et 3 jours
Significatif
Arrêt inférieur à Fort
1jours
3
Aucun arrêt
tolérable
4
Majeur
Impact sur un actif ou besoin sur cet actif
72 / 111
2
Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite
Critères d'impact
Critères d'impact « business » ou conséquences
Exemple :
Echelle de mesure des conséquences
Financier
Perte financière
faible ou nulle
Juridique
Commercial
Perte juridique faible ou null Détérioration
de la relation
client
Perte financière
Perte de
Amende
jugée modérée
contrat,d'opé
ration ou de
(10% du CA < X <
transaction,
30% du CA)
Retrait temporaire de carte de perte
Perte de
de
Perte financière
client
jugée significative presse, interdiction
temporaire d'exercer l'activité
(>30% du CA)
Perte financière
Procès diffamation, atteinte à Perte d'un
jugée inacceptable la vie prive, plagia
groupe de
clients ou
(> 50% du CA)
d'un grand
Activité
Perte de
productivi
té
Arrêt de
travail
court
Arrêt de
travail
long
Reprise
du travail
impossibl
e
Image
Perte image
faible ou
null
Mention
négative
ponctuelle
dans un
média
Mention
Niveau d'impact
Faible ou
1
inexistant
Significatif
Fort
dans les
supports de
presse
Mentionà
Majeur
dans la
presse
spécialisée
2
3
4
Conséquence de l'occurence d'un scénario d'incident sur l'organisme,
le métier, le projet
73 / 111
Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite
Critères d'évaluation des risques
Utilisés par le RSSI ou le gestionnaire de risques SI
Exprimés en français
Seuil
Critères d'évaluation des risques
Vraisemblance Faible
Moyenne Elevée
Très élevée
d'un scénario
(Peu
d'incident
probable) (Possible) (Probable) (Fréquente)
Exemple :
Impact
MAX
(SOM(CID))
74 / 111
1
2
3
4
5
6
7
8
9
10
11
12
1
1
2
3
4
5
6
7
8
9
10
11
12
2
2
4
6
8
10
12
14
16
18
20
22
24
3
3
6
9
12
15
18
21
24
27
30
33
36
Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite
4
4
8
12
16
20
24
28
32
36
40
44
48
Critères d'acceptation des risques
Validés par la direction et utilisés par la direction
Exprimés en français
Seuil
Exemple :
75 / 111
Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite
Établissement du contexte
76 / 111
Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite
Établissement du contexte
77 / 111
Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite
Appréciation du risque
78 / 111
Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite
Identification des actifs
79 / 111
Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite
Cartographie des actifs
Actifs primordiaux (B.1) :
Processus et activités métier
Information
Actifs en support :
Cadre organisationnel, site, personnel, réseau, logiciel, matériel, etc
Exemple :
80 / 111
0.Liste des actifs primordiaux
Actifs Primordiaux
Processus de rédaction
Processus de vente
Articles en cours de rédaction
Articles non publiés et non vendus
Articles publiés
Contacts
Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite
Cartographie des actifs
1.Liste des processus métiers reliés aux actifs
Actif
Processus de rédaction
Ordinateur
Logiciel de traitement de texte
Journaliste
Articles en cours de rédaction
Propriétaire
Journaliste
Journaliste
Journaliste
Journaliste
Journaliste
Processus de vente
Ordinateur
Connexion internet
Logiciel de messagerie
Mails
Journaliste
Articles non publiés et non vendus
Contacts
Journaliste
Journaliste
Journaliste
Journaliste
Journaliste
Journaliste
Journaliste
Journaliste
81 / 111
Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite
Cartographie des actifs
2.Liste des actifs
Actifs Primordiaux
Actifs en support
82 / 111
Actif
1 Processus de rédaction
2 Processus de vente
3 Articles en cours de rédaction
4 Articles non publiés et non vendus
5 Articles publiés
6 Contacts
7 Ordinateur
8 logiciel de traitement de texte
9 logiciel de messagerie
10 connexion internet
11 mails
12 Fichier d'article
13 journaliste
Propriétaire
Journaliste
Journaliste
Journaliste
Journaliste
Acheteur
Journaliste
Journaliste
Journaliste
Journaliste
Journaliste
Journaliste
Journaliste
Journaliste
Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite
Valorisation des actifs
Exemple
Echelle de valorisation des actifs
Valeur
83 / 111
1
Faible
2
Moyen
3
Élevé
4
Très élevé
Signification
Actif facilement remplaçable
Coût d'achat faible
Coût de maintenance faible
Ne nécessite pas de compétences particulières
Actif remplaçable dans la journée
Coût d'achat moyen
Coût de maintenance moyen
Nécessite des connaissances de base
Actif remplaçable dans la semaine
Coût d'achat élevé
Coût de maintenance élevé
Nécessite des connaissances techniques particulières
Actif remplaçable dans le mois
Coût d'achat très élevé
Coût de maintenance très élevé
Nécessite des connaissances spécifiques.
Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite
Actifs valorises
3.Liste des actifs valorisés
Actifs Primordiaux
Actifs en support
84 / 111
Actif
1 Processus de rédaction
2 Processus de vente
3 Articles en cours de rédaction
4 Articles non publiés et non vendus
5 Articles publiés
6 Contacts
7 Ordinateur
8 logiciel de traitement de texte
9 logiciel de messagerie
10 connexion internet
11 mails
12 Fichier d'article
13 journaliste
Propriétaire
Journaliste
Journaliste
Journaliste
Journaliste
Acheteur
Journaliste
Journaliste
Journaliste
Journaliste
Journaliste
Journaliste
Journaliste
Journaliste
Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite
Valeur
4
3
4
4
2
2
4
2
2
1
2
4
4
Actifs sélectionnés
4.Liste des actifs sélectionnés
Actif
Actifs Primordiaux
1 Processus de rédaction
2 Processus de vente
3 Articles en cours de rédaction
4 Articles non publiés et non vendus
5 Articles publiés
6 Contacts
Actifs en support
7 Ordinateur
8 logiciel de traitement de texte
9 logiciel de messagerie
10 connexion internet
11 mails
12 Fichier d'article
13 journaliste
85 / 111
Propriétaire
Journaliste
Journaliste
Journaliste
Journaliste
Acheteur
Journaliste
Journaliste
Journaliste
Journaliste
Journaliste
Journaliste
Journaliste
Journaliste
Valeur
4
3
4
4
2
2
4
2
2
1
2
4
4
Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite
Sélectionné
oui
oui
oui
oui
non
non
oui
non
non
non
non
oui
oui
Identification des menaces
86 / 111
Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite
Menaces sur les actifs
5.Liste de menaces
Actifs Primordiaux
Actifs en support
87 / 111
Actif
1 Processus de rédaction
2 Processus de vente
3 Articles en cours de rédaction
4 Articles non publiés et non vendus
5 Articles publiés
6 Contacts
7 Ordinateur
Valeur
4
3
4
4
2
2
4
Sélectionné
oui
oui
oui
oui
non
non
oui
8 logiciel de traitement de texte
9 logiciel de messagerie
10 connexion internet
11 mails
12 Fichier d'article
2
2
1
2
4
non
non
non
non
oui
13 journaliste
4
oui
Menaces
Identification de
menaces ne
effectuée pas sur
les actifs
primordiaux.
Vol
Destruction
Panne électrique
Fraude
Destruction
Copie
Enlèvement
Maladie
Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite
Identification des vulnérabilités
88 / 111
Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite
Vulnérabilités des actifs
6. Liste de vulnérabilités
Actif
Actifs
Primordiaux
Actifs en
support
89 / 111
Valeur Sélectionné Menaces
1 Processus de rédaction
2 Processus de vente
3 Articles en cours de rédaction
4 Articles non publiés et non vendus
5 Articles publiés
6 Contacts
4
3
4
4
2
2
oui
oui
oui
oui
non
non
7 Ordinateur
4
oui
8 logiciel de traitement de texte
9 logiciel de messagerie
10 connexion internet
11 mails
12 Fichier d'article
2
2
1
2
4
non
non
non
non
oui
13 journaliste
4
oui
Vulnérabilité
Identification de menaces ne effectuée pas
sur les actifs primordiaux.
Vol
portabilité
Destruction
fragilité
Panne électrique dépend de l'électricité
Fraude
Destruction
Copie
Accès libre
manque de sensibilisation
Accès libre
Fichier en clair
Enlèvement
Maladie
non préparation
manque de sensibilisation
Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite
Identification des conséquences
Reformuler sous forme de scénario d'incident
Occurrence du scénario d'incident = incident de sécurité
90 / 111
Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite
Conséquences et impacts sur les actifs
7.Liste de conséquences relatives aux actifs affectés et aux processus métiers affectés et
impact vis-à-vis des critères CID
Scénario d'incident
Les actifs impactés
1 Processus de rédaction
3 Articles en cours de rédaction
1.Vol de l'ordinateur du fait de sa portabilité.
Max
C I
D
SOM(C,I,D) (SOM(CID))
4 2
2
8
4 4
3
11
4 Articles non publiés et non vendus
7 Ordinateur
12 Fichier d'article
4
4
4
4
4
4
3
3
3
11
11
11
2.Destruction de l'ordinateur du fait de sa
fragilité.
1 Processus de rédaction
3 Articles en cours de rédaction
4 Articles non publiés et non vendus
7 Ordinateur
12 Fichier d'article
1
1
1
1
1
2
4
4
2
4
2
2
2
2
2
5
7
7
5
7
3.Suite à une panne électrique l'ordinateur
ne s'allume plus.
1 Processus de rédaction
3 Articles en cours de rédaction
4 Articles non publiés et non vendus
7 Ordinateur
12 Fichier d'article
1
1
1
1
1
2
4
4
2
4
2
2
2
2
2
5
7
7
5
7
1 Processus de rédaction
4
1
1
6
2 Processus de vente
3 Articles en cours de rédaction
2
4
1
3
3
3
6
10
12 Fichier d'article
4
3
3
10
1 Processus de rédaction
3 Articles en cours de rédaction
12 Fichier d'article
1
1
1
3
4
4
3
4
4
7
9
9
1 Processus de rédaction
2 Processus de vente
3 Articles en cours de rédaction
12 Fichier d'article
4
2
4
4
1
1
1
1
1
1
1
1
6
4
6
6
2 Processus de vente
12 Fichier d'article
4
4
1
1
1
1
6
6
4.Après une connexion frauduleuse, le
fichier d'article en cours de rédaction est
modifié avec des informations fausses et
publiés sans contrôle.
5.Le manque de formation de l'utilisateur à
l'utilisation du système d'exploitation
entraîne une mauvaise manipulation
causant la perte de l'article.
6.Après une connexion frauduleuse, le
fichier d'article en cours de rédaction est
copié et publié par un autre journal
7.Lors d'une connexion dans un aéroport, le
fichier d'article en cours de transfert est
écoutée et retransmis sur un site gratuit
avant sa publication officielle
8.Dans une zone à risque, le journaliste est
pris en otage par des révolutionnaires.
9.Dans une gare, le journaliste mange des
moules pas fraiches, il attrape une
intoxication alimentaire et il va à l'hôpital.
91 / 111
1 Processus de rédaction
2 Processus de vente
13 journaliste
1
1
1
1
1
1
4
4
4
6
6
6
1 Processus de rédaction
13 journaliste
1
1
1
1
3
3
5
5
11
Conséquences
Perte financière jugée modérée
Perte juridique faible ou nulle
Perte de contrat, d'opération ou de transaction,
perte de client mineur
Perte de productivité
Perte image faible ou nulle
7
Perte financière faible ou nulle
Perte juridique faible ou nulle
Détérioration de la relation client
Perte de productivité
Perte image faible ou nulle
7
Perte financière faible ou nulle
Perte juridique faible ou nulle
Détérioration de la relation client
Perte de productivité
Perte image faible ou nulle
10
Perte financière jugée inacceptable
Retrait temporaire de carte de presse, interdiction
temporaire d'exercer l'activité
Perte de client
Arrêt de travail longe
Mention dans les supports de presse à diffusion
restreinte impact sur le réputation à court terme.
9
Perte financière jugée significative
Perte juridique faible ou nul
Perte de client
Arrêt de travail longe
Mention dans les supports de presse à diffusion
restreinte impact sur le réputation à court terme.
6
Perte financière jugée inacceptable
Amende
Perte de client
Arrêt de travail longe
Mention dans les supports de presse à diffusion
restreinte impact sur le réputation à court terme.
6
Perte financière jugée inacceptable
Amende
Perte de client
Arrêt de travail longe
Mention dans les supports de presse à diffusion
restreinte impact sur le réputation à court terme.
6
Perte financière jugée significative
Perte juridique faible ou nul
Détérioration de la relation client
Arrêt de travail longe
Mention négative ponctuelle dans un média
5
Perte financière jugée significative
Perte juridique faible ou nulle
Détérioration de la relation client
Perte de productivité
Mention négative ponctuelle dans un média
Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite
Identification des mesures existantes
Première itération : aucune mesure de sécurité existante
92 / 111
Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite
Mesures de sécurité existantes
8. Liste des mesures de sécurité existantes et prévues
Scénario d'incident
Les actifs impactés
1 Processus de rédaction
3 Articles en cours de rédaction
1.Vol de l'ordinateur du fait de sa portabilité.
Max
C I
D
SOM(C,I,D) (SOM(CID))
4 2 2
8
4 4 3
11
11
Mesures de sécurité
existantes
Conséquences
Perte financière jugée modérée
Perte juridique faible ou nulle
Perte de contrat, d'opération ou de
transaction, perte de client mineur
Perte de productivité
Perte image faible ou nulle
4 Articles non publiés et non vendus
7 Ordinateur
12 Fichier d'article
4
4
4
4
4
4
3
3
3
11
11
11
2.Destruction de l'ordinateur du fait de sa
fragilité.
1
3
4
7
12
Processus de rédaction
Articles en cours de rédaction
Articles non publiés et non vendus
Ordinateur
Fichier d'article
1
1
1
1
1
2
4
4
2
4
2
2
2
2
2
5
7
7
5
7
7
Perte financière faible ou nulle
Perte juridique faible ou nulle
Détérioration de la relation client
Perte de productivité
Perte image faible ou nulle
3.Suite à une panne électrique l'ordinateur
ne s'allume plus.
1
3
4
7
12
Processus de rédaction
Articles en cours de rédaction
Articles non publiés et non vendus
Ordinateur
Fichier d'article
1
1
1
1
1
2
4
4
2
4
2
2
2
2
2
5
7
7
5
7
7
Perte financière faible ou nulle
Perte juridique faible ou nulle
Détérioration de la relation client
Perte de productivité
Perte image faible ou nulle
1 Processus de rédaction
4
1
1
6
2 Processus de vente
3 Articles en cours de rédaction
2
4
1
3
3
3
6
10
12 Fichier d'article
4
3
3
10
1 Processus de rédaction
3 Articles en cours de rédaction
12 Fichier d'article
1
1
1
3
4
4
3
4
4
7
9
9
4.Après une connexion frauduleuse, le
fichier d'article en cours de rédaction est
modifié avec des informations fausses et
publiés sans contrôle.
5.Le manque de formation de l'utilisateur à
l'utilisation du système d'exploitation
entraîne une mauvaise manipulation
causant la perte de l'article.
6.Après une connexion frauduleuse, le
fichier d'article en cours de rédaction est
copié et publié par un autre journal
7.Lors d'une connexion dans un aéroport, le
fichier d'article en cours de transfert est
écoutée et retransmis sur un site gratuit
avant sa publication officielle
8.Dans une zone à risque, le journaliste est
pris en otage par des révolutionnaires.
9.Dans une gare, le journaliste mange des
moules pas fraiches, il attrape une
intoxication alimentaire et il va à l'hôpital.
93 / 111
1
2
3
12
Processus de rédaction
Processus de vente
Articles en cours de rédaction
Fichier d'article
2 Processus de vente
12 Fichier d'article
4
2
4
4
1
1
1
1
1
1
1
1
6
4
6
6
4
4
1
1
1
1
6
6
1 Processus de rédaction
2 Processus de vente
13 journaliste
1
1
1
1
1
1
4
4
4
6
6
6
1 Processus de rédaction
13 journaliste
1
1
1
1
3
3
5
5
10
Perte financière jugée inacceptable
Retrait temporaire de carte de
presse, interdiction temporaire
d'exercer l'activité
Protection par
Perte de client
l'identifiant/ mot de
Arrêt de travail longe
passe
Mention dans les supports de
presse à diffusion restreinte
impact sur le réputation à court
terme.
9
Perte financière jugée significative
Perte juridique faible ou nul
Perte de client
Arrêt de travail longe
Mention dans les supports de
presse à diffusion restreinte
impact sur le réputation à court
terme.
6
Perte financière jugée inacceptable
Amende
Perte de client
Protection par
Arrêt de travail longe
l'identifiant/ mot de
Mention dans les supports de
passe
presse à diffusion restreinte
impact sur le réputation à court
terme.
6
Perte financière jugée inacceptable
Amende
Perte de client
Arrêt de travail longe
Mention dans les supports de
presse à diffusion restreinte
impact sur le réputation à court
terme.
6
Perte financière jugée significative
Perte juridique faible ou nul
Détérioration de la relation client
Arrêt de travail longe
Mention négative ponctuelle dans
un média
5
Perte financière jugée significative
Perte juridique faible ou nulle
Détérioration de la relation client
Perte de productivité
Mention négative ponctuelle dans
un média
Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite
Estimation des risques : impacts
94 / 111
Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite
Scénarios d'incident appréciés
9. Liste des conséquences estimées des scénarios d'incident
Scénario d'incident
1
1.Vol de l'ordinateur du fait de sa
portabilité.
3
4
7
12
Max
Mesures de sécurité
Les actifs impactés
C I
D
SOM(C,I,D) (SOM(CID)) existantes
Conséquences
Processus de rédaction
4 2 2
8
Perte financière jugée modérée
Articles en cours de
rédaction
4 4 3
11
Perte juridique faible ou nulle
Articles non publiés et non
Perte de contrat, d'opération ou de
11
vendus
4 4 3
11
transaction, perte de client mineur
Ordinateur
4 4 3
11
Perte de productivité
Fichier d'article
4 4 3
11
Perte image faible ou nulle
Valeur de
conséquences
2
1
2
1
1
1
2
2
5
Perte financière faible ou nulle
1
2.Destruction de l'ordinateur du fait
de sa fragilité.
1 Processus de rédaction
Articles en cours de
3 rédaction
Articles non publiés et non
4 vendus
7 Ordinateur
12 Fichier d'article
1
4
2
7
Perte juridique faible ou nulle
1
1
1
1
4
2
4
2
2
2
7
5
7
Détérioration de la relation client
Perte de productivité
Perte image faible ou nulle
1
1
1
1
2
2
5
Perte financière faible ou nulle
1
3.Suite à une panne électrique
l'ordinateur ne s'allume plus.
1 Processus de rédaction
Articles en cours de
3 rédaction
Articles non publiés et non
4 vendus
7 Ordinateur
12 Fichier d'article
1
4
2
7
Perte juridique faible ou nulle
1
1
1
1
4
2
4
2
2
2
7
5
7
Détérioration de la relation client
Perte de productivité
Perte image faible ou nulle
1
1
1
1 Processus de rédaction
4
1
1
6
4
2 Processus de vente
Articles en cours de
3 rédaction
2
1
3
6
Perte financière jugée inacceptable
Retrait temporaire de carte de
presse, interdiction temporaire
d'exercer l'activité
4
3
3
10
3
3
12 Fichier d'article
4
3
3
10
Perte de client
Arrêt de travail longe
Mention dans les supports de
presse à diffusion restreinte impact
sur le réputation à court terme.
1 Processus de rédaction
Articles en cours de
3 rédaction
12 Fichier d'article
1
3
3
7
Perte financière jugée significative
4
1
1
4
4
4
4
9
9
Perte juridique faible ou nul
Perte de client
Arrêt de travail longe
Mention dans les supports de
presse à diffusion restreinte impact
sur le réputation à court terme.
1
3
3
1 Processus de rédaction
2 Processus de vente
Articles en cours de
3 rédaction
12 Fichier d'article
4
2
1
1
1
1
6
4
Perte financière jugée inacceptable
Amende
4
2
4
4
1
1
1
1
6
6
Perte de client
Arrêt de travail longe
Mention dans les supports de
presse à diffusion restreinte impact
sur le réputation à court terme.
3
3
2 Processus de vente
12 Fichier d'article
4
4
1
1
1
1
6
6
Perte financière jugée inacceptable
Amende
Perte de client
Arrêt de travail longe
Mention dans les supports de
presse à diffusion restreinte impact
sur le réputation à court terme.
4
2
3
3
6
Perte financière jugée significative
Perte juridique faible ou nulle
Détérioration de la relation client
Arrêt de travail longe
Mention négative ponctuelle dans
un média
3
1
1
3
5
Perte financière jugée significative
Perte juridique faible ou nulle
Détérioration de la relation client
Perte de productivité
Mention négative ponctuelle dans
un média
3
1
1
1
4.Après une connexion frauduleuse,
le fichier d'article en cours de
rédaction est modifié avec des
informations fausses et publiés
sans contrôle.
5.Le manque de formation de
l'utilisateur à l'utilisation du système
d'exploitation entraîne une
mauvaise manipulation causant la
perte de l'article.
6.Après une connexion frauduleuse,
le fichier d'article en cours de
rédaction est copié et publié par un
autre journal
7.Lors d'une connexion dans un
aéroport, le fichier d'article en cours
de transfert est écoutée et
retransmis sur un site gratuit avant
sa publication officielle
8.Dans une zone à risque, le
journaliste est pris en otage par des
révolutionnaires.
9.Dans
mange
attrape
et il va
une gare, le journaliste
des moules pas fraiches, il
une intoxication alimentaire
à l'hôpital.
95 / 111
7
7
10
9
6
6
1 Processus de rédaction
2 Processus de vente
13 journaliste
1
1
1
1
1
1
4
4
4
6
6
6
1 Processus de rédaction
13 journaliste
1
1
1
1
3
3
5
5
Protection par
l'identifiant/ mot de
passe
Protection par
l'identifiant/ mot de
passe
Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite
3
3
3
3
3
2
2
Estimation des risques : vraisemblance
96 / 111
Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite
Vraisemblance des scénarios d'incident
10. Vraisemblance des scénarios d'incident
Scénario d'incident
Les actifs impactés
1 Processus de rédaction
Articles en cours de
3 rédaction
Articles non publiés et non
4 vendus
7 Ordinateur
12 Fichier d'article
Max
C I
D SOM(C,I,D) (SOM(CID))
4 2 2
8
4
4
3
11
4
4
4
4
4
4
3
3
3
11
11
11
1
2
2
2.Destruction de l'ordinateur du fait
de sa fragilité.
1 Processus de rédaction
Articles en cours de
3 rédaction
Articles non publiés et non
4 vendus
7 Ordinateur
12 Fichier d'article
1
4
2
1
1
1
4
2
4
2
2
2
7
5
7
1
2
2
3.Suite à une panne électrique
l'ordinateur ne s'allume plus.
1 Processus de rédaction
Articles en cours de
3 rédaction
Articles non publiés et non
4 vendus
7 Ordinateur
12 Fichier d'article
1
4
2
1
1
1
4
2
4
2
2
2
7
5
7
1 Processus de rédaction
4
1
1
6
2 Processus de vente
Articles en cours de
3 rédaction
2
1
3
6
4
3
3
10
12 Fichier d'article
4
3
3
1 Processus de rédaction
Articles en cours de
3 rédaction
12 Fichier d'article
1
3
1
1
4
4
1.Vol de l'ordinateur du fait de sa
portabilité.
4.Après une connexion frauduleuse,
le fichier d'article en cours de
rédaction est modifié avec des
informations fausses et publiés
sans contrôle.
5.Le manque de formation de
l'utilisateur à l'utilisation du système
d'exploitation entraîne une mauvaise
manipulation causant la perte de
l'article.
6.Après une connexion frauduleuse,
le fichier d'article en cours de
rédaction est copié et publié par un
autre journal
7.Lors d'une connexion dans un
aéroport, le fichier d'article en cours
de transfert est écoutée et
retransmis sur un site gratuit avant
sa publication officielle
8.Dans une zone à risque, le
journaliste est pris en otage par des
révolutionnaires.
9.Dans
mange
attrape
et il va
une gare, le journaliste
des moules pas fraiches, il
une intoxication alimentaire
à l'hôpital.
97 / 111
1 Processus de rédaction
2 Processus de vente
Articles en cours de
3 rédaction
12 Fichier d'article
2 Processus de vente
12 Fichier d'article
Valeur de
conséquences
2
1
5
Perte financière faible ou nulle
1
7
Perte juridique faible ou nul
1
Détérioration de la relation client
Perte de productivité
Perte image faible ou nul
1
1
1
5
Perte financière faible ou nulle
1
7
Perte juridique faible ou nul
1
Détérioration de la relation client
Perte de productivité
Perte image faible ou nul
1
1
1
Perte financière jugée inacceptable
Retrait temporaire de carte de
presse, interdiction temporaire
d'exercer l'activité
4
3
3
10
Perte de client
Arrêt de travail longe
Mention dans les supports de
presse à diffusion restreinte impact
sur le réputation à court terme.
3
7
Perte financière jugée significative
4
4
4
9
9
Perte juridique faible ou nul
Perte de client
Arrêt de travail longe
Mention dans les supports de
presse à diffusion restreinte impact
sur le réputation à court terme.
1
3
3
Perte financière jugée inacceptable
Amende
4
2
Perte de client
Arrêt de travail longe
Mention dans les supports de
presse à diffusion restreinte impact
sur le réputation à court terme.
3
3
6
Perte financière jugée inacceptable
Amende
Perte de client
Arrêt de travail longe
Mention dans les supports de
presse à diffusion restreinte impact
sur le réputation à court terme.
4
2
3
3
6
Perte financière jugée significative
Perte juridique faible ou nul
Détérioration de la relation client
Arrêt de travail longe
Mention négative ponctuelle dans
un média
3
1
1
3
5
Perte financière jugée significative
Perte juridique faible ou nul
Arrêt de travail longe
Perte de productivité
Mention négative ponctuelle dans
un média
3
1
1
1
1
1
1
1
6
4
4
4
1
1
1
1
6
6
1
1
Conséquences
Perte financière jugée modérée
Perte juridique faible ou nul
Perte de contrat, d'opération ou de
transaction, perte de client mineur
Perte de productivité
Perte image faible ou nul
4
2
4
4
Mesures de
sécurité
existantes
1
1
11
7
7
10
9
6
6
6
1 Processus de rédaction
2 Processus de vente
13 journaliste
1
1
1
1
1
1
4
4
4
6
6
6
1 Processus de rédaction
13 journaliste
1
1
1
1
3
3
5
5
Protection
par
l'identifiant/
mot de
passe
Protection
par
l'identifiant/
mot de
passe
Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite
2
1
1
Vraisemblance
2
2
1
3
2
3
2
3
3
3
3
3
1
2
2
2
Estimation des niveaux de risque
98 / 111
Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite
Niveaux de risque estimés
11. Liste des risques avec le valeur de niveau de risque
Scénario d'incident
1.Vol de l'ordinateur du fait de sa
portabilité.
Max
Les actifs impactés
C I D SOM(C,I,D) (SOM(CID))
1 Processus de rédaction
4 2 2
8
Articles en cours de
3 rédaction
4 4 3
11
Articles non publiés et non
11
4 vendus
4 4 3
11
7 Ordinateur
4 4 3
11
12 Fichier d'article
4 4 3
11
Mesures de sécurité
existantes
Conséquences
Perte financière jugée modérée
Valeur de
conséquences
2
Perte juridique faible ou nul
Perte de contrat, d'opération ou de
transaction, perte de client mineur
Perte de productivité
Perte image faible ou nul
1
2
1
1
1 2
2
5
Perte financière faible ou nulle
1
2.Destruction de l'ordinateur du fait
de sa fragilité.
1 Processus de rédaction
Articles en cours de
3 rédaction
Articles non publiés et non
4 vendus
7 Ordinateur
12 Fichier d'article
1 4
2
7
Perte juridique faible ou nul
1
1 4
1 2
1 4
2
2
2
7
5
7
Détérioration de la relation client
Perte de productivité
Perte image faible ou nul
1
1
1
1 2
2
5
Perte financière faible ou nulle
1
3.Suite à une panne électrique
l'ordinateur ne s'allume plus.
1 Processus de rédaction
Articles en cours de
3 rédaction
Articles non publiés et non
4 vendus
7 Ordinateur
12 Fichier d'article
1 4
2
7
Perte juridique faible ou nul
1
1 4
1 2
1 4
2
2
2
7
5
7
Détérioration de la relation client
Perte de productivité
Perte image faible ou nul
1
1
1
1 Processus de rédaction
4 1
1
6
4
2 Processus de vente
Articles en cours de
3 rédaction
2 1
3
6
Perte financière jugée inacceptable
Retrait temporaire de carte de
presse, interdiction temporaire
d'exercer l'activité
3
3
4.Après une connexion frauduleuse,
le fichier d'article en cours de
rédaction est modifié avec des
informations fausses et publiés
sans contrôle.
5.Le manque de formation de
l'utilisateur à l'utilisation du système
d'exploitation entraîne une mauvaise
manipulation causant la perte de
l'article.
6.Après une connexion frauduleuse,
le fichier d'article en cours de
rédaction est copié et publié par un
autre journal
7.Lors d'une connexion dans un
aéroport, le fichier d'article en cours
de transfert est écoutée et
retransmis sur un site gratuit avant
sa publication officielle
8.Dans une zone à risque, le
journaliste est pris en otage par des
révolutionnaires.
9.Dans une gare, le journaliste
mange des moules pas fraiches, il
attrape une intoxication alimentaire
et il va à l'hôpital.
99 / 111
7
7
10
Protection par
l'identifiant/ mot de
passe
3
10
12 Fichier d'article
4 3
3
10
Perte de client
Arrêt de travail longe
Mention dans les supports de
presse à diffusion restreinte impact
sur le réputation à court terme.
1 Processus de rédaction
Articles en cours de
3 rédaction
12 Fichier d'article
1 3
3
7
Perte financière jugée significative
4
1 4
1 4
4
4
9
9
Perte juridique faible ou nul
Perte de client
Arrêt de travail longe
Mention dans les supports de
presse à diffusion restreinte impact
sur le réputation à court terme.
1
3
3
1 Processus de rédaction
2 Processus de vente
Articles en cours de
3 rédaction
12 Fichier d'article
4 1
2 1
1
1
6
4
Perte financière jugée inacceptable
Amende
4
2
4 1
4 1
1
1
6
6
Perte de client
Arrêt de travail longe
Mention dans les supports de
presse à diffusion restreinte impact
sur le réputation à court terme.
3
3
2 Processus de vente
12 Fichier d'article
4 1
4 1
1
1
6
6
6
Perte financière jugée inacceptable
Amende
Perte de client
Arrêt de travail longe
Mention dans les supports de
presse à diffusion restreinte impact
sur le réputation à court terme.
4
2
3
3
6
Perte financière jugée significative
Perte juridique faible ou nul
Détérioration de la relation client
Arrêt de travail longe
Mention négative ponctuelle dans
un média
3
1
1
3
5
Perte financière jugée significative
Perte juridique faible ou nul
Arrêt de travail longe
Perte de productivité
Mention négative ponctuelle dans
un média
3
1
1
1
1 Processus de rédaction
2 Processus de vente
13 journaliste
1 1
1 1
1 1
4
4
4
6
6
6
1 Processus de rédaction
13 journaliste
1 1
1 1
3
3
5
5
6
Protection par
l'identifiant/ mot de
passe
2
22
2
14
1
7
2
20
2
18
3
18
3
18
1
6
2
10
3
4 3
9
Niveau de risque
Vraisemblance =Max(SOM(CID))*Vrais
3
3
3
3
2
2
Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite
Évaluation des risques
100 / 111
Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite
Risques sélectionnés pour traitement
12. Liste des risques priorités en relation avec les scénarios d'incident
Scénario d'incident
1.Vol de l'ordinateur du fait de sa
portabilité.
Max
Les actifs impactés
C I D SOM(C,I,D) (SOM(CID))
1 Processus de rédaction
4 2 2
8
Articles en cours de
3 rédaction
4 4 3
11
Articles non publiés et non
11
4 vendus
4 4 3
11
7 Ordinateur
4 4 3
11
12 Fichier d'article
4 4 3
11
Mesures de sécurité
existantes
Conséquences
Perte financière jugée modérée
Valeur de
conséquences
2
Perte juridique faible ou nul
Perte de contrat, d'opération ou de
transaction, perte de client mineur
Perte de productivité
Perte image faible ou nul
1
2
1
1
1 2
2
5
Perte financière faible ou nulle
1
2.Destruction de l'ordinateur du fait
de sa fragilité.
1 Processus de rédaction
Articles en cours de
3 rédaction
Articles non publiés et non
4 vendus
7 Ordinateur
12 Fichier d'article
1 4
2
7
Perte juridique faible ou nul
1
1 4
1 2
1 4
2
2
2
7
5
7
Détérioration de la relation client
Perte de productivité
Perte image faible ou nul
1
1
1
1 2
2
5
Perte financière faible ou nulle
1
3.Suite à une panne électrique
l'ordinateur ne s'allume plus.
1 Processus de rédaction
Articles en cours de
3 rédaction
Articles non publiés et non
4 vendus
7 Ordinateur
12 Fichier d'article
1 4
2
7
Perte juridique faible ou nul
1
1 4
1 2
1 4
2
2
2
7
5
7
Détérioration de la relation client
Perte de productivité
Perte image faible ou nul
1
1
1
1 Processus de rédaction
4 1
1
6
4
2 Processus de vente
Articles en cours de
3 rédaction
2 1
3
6
Perte financière jugée inacceptable
Retrait temporaire de carte de
presse, interdiction temporaire
d'exercer l'activité
4 3
3
10
3
3
12 Fichier d'article
4 3
3
10
Perte de client
Arrêt de travail longe
Mention dans les supports de
presse à diffusion restreinte impact
sur le réputation à court terme.
1 Processus de rédaction
Articles en cours de
3 rédaction
12 Fichier d'article
1 3
3
7
Perte financière jugée significative
4
1 4
1 4
4
4
9
9
Perte juridique faible ou nul
Perte de client
Arrêt de travail longe
Mention dans les supports de
presse à diffusion restreinte impact
sur le réputation à court terme.
1
3
3
1 Processus de rédaction
2 Processus de vente
Articles en cours de
3 rédaction
12 Fichier d'article
4 1
2 1
1
1
6
4
Perte financière jugée inacceptable
Amende
4
2
4 1
4 1
1
1
6
6
Perte de client
Arrêt de travail longe
Mention dans les supports de
presse à diffusion restreinte impact
sur le réputation à court terme.
3
3
2 Processus de vente
12 Fichier d'article
4 1
4 1
1
1
6
6
Perte financière jugée inacceptable
Amende
Perte de client
Arrêt de travail longe
Mention dans les supports de
presse à diffusion restreinte impact
sur le réputation à court terme.
4
2
3
3
6
Perte financière jugée significative
Perte juridique faible ou nul
Détérioration de la relation client
Arrêt de travail longe
Mention négative ponctuelle dans
un média
3
1
1
3
5
Perte financière jugée significative
Perte juridique faible ou nul
Arrêt de travail longe
Perte de productivité
Mention négative ponctuelle dans
un média
3
1
1
1
4.Après une connexion frauduleuse,
le fichier d'article en cours de
rédaction est modifié avec des
informations fausses et publiés
sans contrôle.
5.Le manque de formation de
l'utilisateur à l'utilisation du système
d'exploitation entraîne une mauvaise
manipulation causant la perte de
l'article.
6.Après une connexion frauduleuse,
le fichier d'article en cours de
rédaction est copié et publié par un
autre journal
7.Lors d'une connexion dans un
aéroport, le fichier d'article en cours
de transfert est écoutée et
retransmis sur un site gratuit avant
sa publication officielle
8.Dans une zone à risque, le
journaliste est pris en otage par des
révolutionnaires.
9.Dans une gare, le journaliste
mange des moules pas fraiches, il
attrape une intoxication alimentaire
et il va à l'hôpital.
101 / 111
7
7
10
9
6
6
1 Processus de rédaction
2 Processus de vente
13 journaliste
1 1
1 1
1 1
4
4
4
6
6
6
1 Processus de rédaction
13 journaliste
1 1
1 1
3
3
5
5
Protection par
l'identifiant/ mot de
passe
Protection par
l'identifiant/ mot de
passe
Niveau de risque
Vraisemblance =Max(SOM(CID))*Vrai
2
22
2
14
1
7
2
20
2
18
3
18
3
18
1
6
2
10
3
3
3
3
3
2
2
Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite
Traitement des risques
102 / 111
Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite
Plan de traitement des risques
13.Plan de traitement des risques
Scénario
1.Vol de l'ordinateur du fait de sa portabilité,
ce qui engendre une perte financière,
perte de productivité, perte d'image.
Niveau
de risque
Traitement
22
Réduction
Mesure de sécurité (ISO27002)
Sauvegarde.
Sensibilisation.
Chiffrement.
Personnes
responsable
Coût
1
Journaliste
Moyen
Sauvegarde.
protection antivirale.
Sensibilisation.
mise à jour du logiciel.
HIPS.
14
Réduction
2
Journaliste
Moyen
7
Maintien
Réduction
Sensibilisation.
Chiffrement.
Réexamen des droits d'accès.
Déconnexion automatique. des
sessions inactives.
1
Journaliste
Moyen
Réduction
Sauvegarde
Formation
Sensibilisation
2
Journaliste
Faible
1
Journaliste
Moyen
2.Destruction de l'ordinateur du fait de sa fragilité,
3.Suite à une panne électrique l'ordinateur ne s'allume plus,
perte financière, perte de productivité.
4.Après une connexion frauduleuse, le fichier d'article en
cours de rédaction est modifié avec des informations
fausses et publiés sans contrôle.
5.Le manque de formation de l'utilisateur
à l'utilisation du système d'exploitation
entraîne une mauvaise manipulation
causant la perte de l'article.
20
18
Priorités
6.Après une connexion frauduleuse, le fichier d'article en
cours de rédaction est copié et publié par un autre journal
18
Réduction
Sensibilisation.
Chiffrement.
Réexamen des droits d'accès.
Déconnexion automatique des
sessions inactives.
7.Lors d'une connexion dans un aéroport, le fichier d'article
en cours de transfert est écoutée et retransmis sur un site
gratuit avant sa publication officielle.
18
Réduction
Sensibilisation.
Chiffrement.
1
Journaliste
Faible
8.Dans une zone à risque, le journaliste est pris en otage par
des révolutionnaires.
6
Maintien
9.Dans une gare, le journaliste mange des moules pas
fraiches, il attrape une intoxication alimentaire et il va à
l'hôpital..
10
Réduction
Sensibilisation.
3
Journaliste
Faible
103 / 111
Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite
Plan de traitement des risques
14.Plan de traitment du risque avec le niveau des risques résiduels
Scénario
1.Vol de l'ordinateur du fait de sa portabilité,
ce qui engendre une perte financière,
perte de productivité, perte d'image.
Niveau
des
Mesure de sécurité
risques Traitement (ISO27002)
Sauvegarde.
Sensibilisation.
22
Réduction Chiffrement.
3.Suite à une panne électrique l'ordinateur ne
s'allume plus,
perte financière, perte de productivité.
4.Après une connexion frauduleuse, le fichier
d'article en cours de rédaction est modifié avec
des informations fausses et publiés sans
contrôle.
5.Le manque de formation de l'utilisateur
à l'utilisation du système d'exploitation
entraîne une mauvaise manipulation
causant la perte de l'article.
7
20
18
Coût
SOM(CID)
ré estimée
Vraisemblan
ce ré
estimée
Risque
Résiduel
1
Journaliste
Moyen
4
1
4
Sauvegarde.
protection antivirale.
Sensibilisation.
mise à jour du logiciel.
HIPS.
2
Journaliste
Moyen
3
1
3
Réduction
Sensibilisation.
Chiffrement.
Réexamen des droits
d'accès.
Déconnexion automatique.
des sessions inactives.
1
Journaliste
Moyen
4
1
4
Réduction
Sauvegarde
Formation
Sensibilisation
2
Journaliste
Faible
3
1
3
1
Journaliste
Moyen
5
2
10
2.Destruction de l'ordinateur du fait de sa
fragilité,
14
Personnes
Priorités responsable
Réduction
Maintien
6.Après une connexion frauduleuse, le fichier
d'article en cours de rédaction est copié et
publié par un autre journal
18
Réduction
Sensibilisation.
Chiffrement.
Réexamen des droits
d'accès.
Déconnexion automatique
des sessions inactives.
7.Lors d'une connexion dans un aéroport, le
fichier d'article en cours de transfert est écoutée
et retransmis sur un site gratuit avant sa
publication officielle.
18
Réduction
Sensibilisation.
Chiffrement.
1
Journaliste
Faible
6
2
12
8.Dans une zone à risque, le journaliste est pris
en otage par des révolutionnaires.
6
9.Dans une gare, le journaliste mange des
moules pas fraiches, il attrape une intoxication
alimentaire et il va à l'hôpital..
10
Sensibilisation.
3
Journaliste
Faible
3
1
3
104 / 111
Maintien
Réduction
Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite
Acceptation du risque
Par la direction
105 / 111
Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite
Acceptation des risques
15. Liste de risques acceptés avec justification
Niveau
des
Mesure de sécurité
risques Traitement (ISO27002)
Sauvegarde.
Sensibilisation.
22 Réduction Chiffrement.
Scénario
1.Vol de l'ordinateur du fait de sa portabilité,
ce qui engendre une perte financière,
perte de productivité, perte d'image.
Personnes
Priorités responsable
Coût
Vraisemblan
SOM(CID) ce ré
ré estimée estimée
Niveau des
Risques Acceptation
Résiduels des risques Signature
1
Journaliste
Moyen
4
1
4
oui
2
Journaliste
Moyen
3
1
3
oui
14
Sauvegarde.
protection antivirale.
Sensibilisation.
mise à jour du logiciel.
Réduction HIPS.
7
Maintien
20
Sensibilisation.
Chiffrement.
Réexamen des droits
d'accès.
Déconnexion automatique.
Réduction des sessions inactives.
1
Journaliste
Moyen
4
1
4
oui
18
Sauvegarde
Formation
Réduction Sensibilisation
2
Journaliste
Faible
3
1
3
oui
6.Après une connexion frauduleuse, le fichier
d'article en cours de rédaction est copié et
publié par un autre journal
18
Sensibilisation.
Chiffrement.
Réexamen des droits
d'accès.
Déconnexion automatique
Réduction des sessions inactives.
1
Journaliste
Moyen
5
2
10
non
7.Lors d'une connexion dans un aéroport, le
fichier d'article en cours de transfert est écoutée
et retransmis sur un site gratuit avant sa
publication officielle.
18
Sensibilisation.
Réduction Chiffrement.
1
Journaliste
Faible
6
2
12
non
8.Dans une zone à risque, le journaliste est pris
en otage par des révolutionnaires.
6
Maintien
9.Dans une gare, le journaliste mange des
moules pas fraiches, il attrape une intoxication
alimentaire et il va à l'hôpital..
10
Réduction Sensibilisation.
3
Journaliste
Faible
3
1
3
oui
2.Destruction de l'ordinateur du fait de sa
fragilité,
3.Suite à une panne électrique l'ordinateur ne
s'allume plus,
perte financière, perte de productivité.
4.Après une connexion frauduleuse, le fichier
d'article en cours de rédaction est modifié avec
des informations fausses et publiés sans
contrôle.
5.Le manque de formation de l'utilisateur
à l'utilisation du système d'exploitation
entraîne une mauvaise manipulation
causant la perte de l'article.
106 / 111
Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite
Date
Défauts de la méthode ISO 27005
Payant
Norme
Difficile à faire évoluer
Norme
Base de connaissances des risques minimale
Partie de la méthode en annexe bien qu'indispensable au
fonctionnement
Pas de financement ni de provisionnement des risques
Accorde une liberté qui peut conduire à une appréciation trop
superficielle ou trop détaillée
107 / 111
Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite
Atouts de la méthode ISO 27005
Compréhensible
Aucune notion trop complexe
Vocabulaire conforme au langage courant
Vocabulaire cohérent de bout en bout
Pragmatique et accessible à tous
Aucune étape infaisable même si la précédente n'est pas terminée
Production d'un travail exploitable et utile rapidement
108 / 111
Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite
Atouts de la méthode ISO 27005
Management des risques dans la durée
Intègre la notion du temps, pas juste une appréciation des risques à un
instant "t"
Adaptée aux changements
Application de l'amélioration continue
Possible de commencer petit et de faire de mieux en mieux
progressivement
Impose à la direction générale d'être parfaitement informée
Lui impose de prendre ses responsabilités en toute connaissance de
cause
Facilite les arbitrages budgétaires
109 / 111
Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite
Atouts de la méthode ISO 27005
Consensus international sur le management des risques SI
Reprise du meilleur de ce qui avait été fait partout dans le monde
Compréhension mutuelle mondiale
Mutualisation des efforts
Comparaisons plus faciles
Adaptée à la mise en oeuvre d'un SMSI selon l'ISO 27001
Applicable à d'autres types de contexte : PCA, projets, systèmes
embarqués, infrastructures vitales, etc
Outillage
Attention, la majorité des outils se prétendant faire de la gestion des
risques n'en font pas
Archer (RSA), Cofly, GooAnn, Mega, Modulo, Neupart, RVR, etc
110 / 111
Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite
Conclusion
Formations
Certification ISO 27005 Risk
Manager par LSTI
Sessions à Luxembourg
Club d'utilisateurs & normalisation
Questions ?
[email protected] www.hsc.fr
111 / 111
Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite
Ressources
Pour télécharger le schéma de modélisation de l'ISO 27005 :
http://www.hsc.fr/ressources/presentations/netclu09­27005/HSC­Modelisation­ISO27005.pdf
Pour télécharger la norme ISO 27000 gratuitement :
http://standards.iso.org/ittf/PubliclyAvailableStandards/
Principales normes ISO en sécurité
Document à paraître courant 2011 par AFNOR Normalisation à la
demande de l'ANSSI
112 / 111
Copyright Hervé Schauer Consultants 2000-2011 - Reproduction Interdite