Vous êtes sur la page 1sur 72

Chapitre 3

Mthode de management des risques


Norme ISO 27005

M2-SSICE
Hichem BEN ISHAK

Norme ISO 27005

Norme 27005
Information technology Security techniques
Information security risk management

ISO 27005 - Dfinition

ISO 27005 - Mthode

Norme ISO 27005

L'ISO (Organisation internationale de normalisation) a


publi, le 4 juin 2008, la premire norme de gestion des
risques de la Scurit des Systmes d'Information :
l'ISO/CEI 27005:2008. Cette norme est un standard
international qui dcrit le Systme de Management des
risques lis la Scurit de l'information
Elle a t rvise le 19 mai 2011.

Norme ISO 27005

Le risque de scurit de linformation


La potentialit qu'une menace donne exploite
les vulnrabilits d'un actif ou d'un groupe
d'actifs et cause ainsi des dsagrments
lorganisme

Norme ISO 27005

Les trois composantes du risque


1.
2.
3.

Les actifs
Les vulnrabilits
Les menaces

Norme ISO 27005 - Actifs

Actifs primordiaux
Processus et Activit
Information
Actifs en supports
Matriel
Logiciel, OS
Rseau
Personnel
Communication
Energies

Norme ISO 27005 - Vulnrabilits

Proprit intrinsque de lactif


Les actifs possdent des vulnrabilits
Elle est exploite (ou pas !)

Norme ISO 27005 - Menaces

Action ou vnement ayant une consquence


ngative

Origine
Motivation (humaine)
Ciblent le CIA

Norme ISO 27005 - Risque de scurit

Cible

Actif
Possde

Menace
exploite

Vulnrabilit

Consquences
ngatives

C
I

Norme ISO 27005 - Risque de scurit

Jeu de Go
10

Norme 27005

Norme ISO 27005


Mthode

11

Norme ISO 27005

Exigences imposes

Processus continu
Approche systmatique

Alignement sur la gestion du risque en gnral


Permettre rsultats comparables et reproductibles

12

Processus de gestion du risque

Etablissement du contexte
APPRECIATION DU RISQUE
ANALYSE DU RISQUE

Identification du risque
Estimation du risque
Evaluation du risque
Non

Dcision : Apprciation satisfaisante


Oui

Traitement du risque
Non

Dcision : Traitement satisfaisant


Oui

Acceptation du risque
13

Processus de gestion du risque

ACT
Maintien et amlioration
du processus de gestion
des risques

CHECK
Surveillance continue
Rexamen des risques

PLAN
Etablissement du contexte
Apprciation des risques
Plan de traitement du risque
Acceptation du risque

DO
Implmentation du plan
de traitement du risque

14

Processus de gestion du risque

Etablissement du contexte
APPRECIATION DU RISQUE
ANALYSE DU RISQUE

Identification du risque
Estimation du risque
Evaluation du risque
Non

Dcision : Apprciation satisfaisante


Oui

Traitement du risque
Non

Dcision : Traitement satisfaisant


Oui

Acceptation du risque
15

Etablissement du contexte

Dfinir le primtre

Dfinir les critres de base


Critres dimpact
Critres dvaluation des risques
Critres dacceptation des risques
Critres de valorisation des actifs

Echelle destimation

16

Processus de gestion du risque

Etablissement du contexte
APPRECIATION DU RISQUE
ANALYSE DU RISQUE

Identification du risque
Estimation du risque
Evaluation du risque
Non

Dcision : Apprciation satisfaisante


Oui

Traitement du risque
Non

Dcision : Traitement satisfaisant


Oui

Acceptation du risque
17

Identification du risque
Apprciation du risque
Ensemble du processus danalyse du risque et dvaluation
du risque
Identification du risque
Estimation du risque
Evaluation du risque

Analyse du risque
Utilisation systmatique dinformations pour identifier les
sources et pour estimer le risque
Estimation du risque
Evaluation du risque
18

Identification du risque

Phase de collecte dinformations


Mthodes

Identifier
Actifs
Menaces
Vulnrabilits
Mesures de scurit existantes
Consquences

19

Identification du risque

Actifs et leur propritaire

Actifs primordiaux
Actifs en support

Valoriser les actifs suivant lchelle de valorisation


Livrable : liste des actifs avec leur propritaire et leur
valeur

20

Identification du risque

Un exemple pour illustrer

Un Organisme de formation ayant pour activit


Crer les supports de cours
Donner les formations

2 salaris : le formateur et un assistant


Formation sur la norme ISO 27005

21

Identification du risque - actif

Liste des actifs


Description

Nature

Propritaire

Actifs Primordiaux
AP - 1

Processus de formation

Processus

Formateur

AP - 2

Processus de cration du contenu

Processus

Formateur

AP - 3

Cours - Contenu

Information

Assistant

Actifs en Support
AS - 1

Salle de Formation

Site

Assistant

AS - 2

Vido Projecteur

Matriel

Assistant

AS - 3

Ordinateur

Matriel

Assistant

AS - 4

Formateur

Personnel

Formateur

AS - 5

Norme 2005

Matriel

Formateur

AS - 6

Norme 2001 & 2002

Matriel

Formateur

AS - 7

Microsoft PowerPoint

Logiciel

Assistant

AS - 8

Cours - Format numrique

Logiciel

Assistant

22

Identification du risque - actif

Echelle de valorisation des actifs


Valeur

Signification

Cot achat

Faible

Faible

Moyen

Elev

Trs lev

moyen

dlai remplacement

lev

jour

semaine

> semaine

X
X
-

X
-

aucune

faible

forte

X
-

Comptence

X
X

23

Identification du risque - actif


Liste des actifs valoriss
Description

Nature

Propritaire

Valeur

Actifs Primordiaux

AP - 1

Processus de formation

Processus

Formateur

AP - 2

Processus de cration du contenu

Processus

Formateur

AP - 3

Cours - Contenu

Information

Assistant

Actifs en Support
AS - 1

Salle de Formation

Site

Assistant

AS - 2

Vido Projecteur

Matriel

Assistant

AS - 3

Ordinateur

Matriel

Assistant

AS - 4

Formateur

Personnel

Formateur

AS - 5

Norme 2005

Matriel

Formateur

AS - 6

Norme 2001 & 2002

Matriel

Formateur

AS - 7

Microsoft PowerPoint

Logiciel

Assistant

AS - 8

Cours - Format numrique

Logiciel

Assistant

AS - 9

Assistant

Personnel

Assistant

24

Identification du risque - actif


Liste des actifs retenus
Description

Nature

Propritaire

Valeur

Retenu

OUI

Actifs Primordiaux

AP - 1

Processus de formation

Processus

Formateur

AP - 2

Processus de cration du contenu

Processus

Formateur

AP - 3

Cours - Contenu

Information

Assistant

OUI

Actifs en Support
AS - 1

Salle de Formation

Site

Assistant

AS - 2

Vido Projecteur

Matriel

Assistant

AS - 3

Ordinateur

Matriel

Assistant

OUI

AS - 4

Formateur

Personnel

Formateur

OUI

AS - 5

Norme 2005

Matriel

Formateur

AS - 6

Norme 2001 & 2002

Matriel

Formateur

AS - 7

Microsoft PowerPoint

Logiciel

Assistant

AS - 8

Cours - Format numrique

Logiciel

Assistant

AS - 9

Assistant

Personnel

Assistant

OUI

25

Identification du risque - menace


Toutes les menaces
Accidentelles
Dlibres
Par type, source, cible
Mthode
Interview
Exprience
Annexe C de la norme 43 menaces

Livrable : liste des menaces

26

Identification du risque - menace


Liste des actifs
Description

Nature

Propritaire

Valeur

Retenu
OUI

Menace

Actifs Primordiaux
AP - 1

Processus de formation

Processus

Formateur

AP - 2

Processus de cration du contenu

Processus

Formateur

AP - 3

Cours - Contenu

Information

Assistant

OUI

Actifs en Support
AS - 1

Salle de Formation

Site

Assistant

AS - 2

Vido Projecteur

Matriel

Assistant

AS - 3

Ordinateur

Matriel

Assistant

OUI

Vol
Panne

AS - 4

Formateur

Personnel

Formateur

OUI

Maladie
Dmission

AS - 5

Norme 2005

Matriel

Formateur

AS - 6

Norme 2001 & 2002

Matriel

Formateur

AS - 7

Microsoft PowerPoint

Logiciel

Assistant

AS - 8

Cours - Format numrique

Logiciel

Assistant

AS - 9

Assistant

Personnel

Assistant

Destruction

27

Identification du risque - vulnrabilit

Mthode
Catalogue ISO 27005 Annexe D
Audit
Contrle Interne
Interview
Exprience
Autre mthode : EBIOS,
Livrable : liste des vulnrabilits

28

Identification du risque - vulnrabilit


Liste des actifs
Description

Nature

Propritaire

Valeur

Retenu

OUI

Menace

Vulnrabilit

Actifs Primordiaux
AP - 1

Processus de formation

Processus

Formateur

AP - 2

Processus de cration du contenu

Processus

Formateur

AP - 3

Cours - Contenu

Information

Assistant

OUI

Actifs en Support
AS - 1

Salle de Formation

Site

Assistant

AS - 2

Vido Projecteur

Matriel

Assistant

AS - 3

Ordinateur

Matriel

Assistant

AS - 4

Formateur

Personnel

Formateur

AS - 5

Norme 2005

Matriel

Formateur

AS - 6

Norme 2001 & 2002

Matriel

Formateur

AS - 7

Microsoft PowerPoint

Logiciel

Assistant

AS - 8

Cours - Format numrique

Logiciel

Assistant

AS - 9

Assistant

Personnel

Assistant

OUI

OUI

Vol

Portabilit

Panne

Alimentation lec.

Maladie

Manque de prvenance

Dmission

Ambition

Destruction

Support numrique

29

Identification du risque - scnario


Identification des consquences

Identifier les impacts sur CIA


Confidentialit, Intgrit, Disponibilit (Availability)
Identifier les consquences causes par des menaces
exploitant les vulnrabilits des actifs.
Impact mesur suivant les critres dimpact

30

Identification du risque
Identification des consquences
Pour une bonne communication et comprhension
Scnario dincident
Tableau de synthse : scnario dincident
Actifs impacts
Consquence de loccurrence

Livrable : liste des scenarios dincidents avec leur


consquence

31

Identification du risque
N

Actif impact

AP - 1

Processus de formation

Perte financire modre

AP -2

Processus de cration du contenu

Perte d'image trs importante

AP -3

Cours - Contenu

AS - 3

Ordinateur

AS - 8

Cours - Format numrique

AP - 1

Processus de formation

Perte financire modre

AP -2

Processus de cration du contenu

Perte d'image nulle

AP -3

Cours - Contenu

AS - 3

Ordinateur

AS - 8

Cours - Format numrique

AP -1

Processus de formation

AP -2

Processus de cration du contenu

AS - 3

Ordinateur

Perte de productivit nulle

AP - 1

Processus de formation

Perte financire nulle

AP - 3

Cours - Contenu

AS - 8

Cours - Format numrique

Perte de productivit modre

AP -1

Processus de formation

Perte financire modre

AP -3

Cours - Contenu

AS - 8

Cours - Format numrique

AP - 1

Processus de formation

AS - 4

Formateur

Scnario d'incident

Vol de l'ordinateur
du sa portabilit

Destruction de l'ordinateur
du sa portabilit

L'ordinateur ne s'allume
- dcharge totale des batteries

Connexion frauduleuse
altration
du support de cours

Connexion frauduleuse vol


du support par la concurrence

Formateur contracte la grippe

M
a
x

Som
me

Consquence

Perte de productivit modre

Perte de productivit modre

Perte financire nulle

Perte d'image nulle

Perte d'image trs importante

Perte d'image trs importante


Perte de productivit modre

Perte financire modre

Perte d'image nulle


Perte de productivit modre

Le formateur est approch


par la concurrence et
dmissionne

AP - 1

Processus de formation

AS - 4

Formateur

Perte financire importante

Perte d'image trs importante


Perte de productivit modre

32

Identification du risque - mesures existantes


Identification les mesures de scurit existantes

Revue du plan de traitement du risque dj en uvre


Vrification de lefficacit des mesures
Audit, contrle interne, indicateurs
Interview du SI
Vrification sur le terrain
Le SOA, source dinformations
Statement of applicatibility
Dclaration dapplicatibilit

33

Identification du risque - mesures existantes


N

Scnario d'incident

Vol de l'ordinateur
du sa portabilit

Destruction de l'ordinateur
du sa portabilit

L'ordinateur ne s'allume
- dcharge totale des batteries

Connexion frauduleuse
altration
du support de cours

Connexion frauduleuse vol


du support par la concurrence

Formateur contracte la grippe

Actif impact

Som
me

M
a
x

Consquence

AP - 1

Processus de formation

Perte financire modre

AP -2

Processus de cration du contenu

Perte d'image trs importante

AP -3

Cours - Contenu

AS - 3

Ordinateur

AS - 8

Cours - Format numrique

AP - 1

Processus de formation

Perte financire modre

AP -2

Processus de cration du contenu

Perte d'image nulle

AP -3

Cours - Contenu

AS - 3

Ordinateur

AS - 8

Cours - Format numrique

AP -1

Processus de formation

AP -2

Processus de cration du contenu

AS - 3

Ordinateur

Perte de productivit nulle

AP -1

Processus de formation

Perte financire nulle

AP -3

Cours - Contenu

AS -8

Cours - Format numrique

Perte de productivit modre

AP -1

Processus de formation

Perte financire modre

AP -3

Cours - Contenu

AS - 8

Cours - Format numrique

AP - 1

Processus de formation

AS - 4

Formateur

Mes. Sc.

Perte de productivit modre

Perte de productivit modre

Perte financire nulle

Perte d'image nulle

Perte d'image trs importante

Perte d'image trs importante

identifiant
mot de passe

identifiant
mot de passe

Perte de productivit modre

Perte financire modre

Perte d'image nulle


Perte de productivit modre

Le formateur est approch


par la concurrence et
dmissionne

AP - 1

Processus de formation

AS - 4

Formateur

Perte financire importante

Perte d'image trs importante


Perte de productivit modre

34

Processus de gestion du risque

Etablissement du contexte
APPRECIATION DU RISQUE
ANALYSE DU RISQUE

Identification du risque
Estimation du risque
Evaluation du risque
Non

Dcision : Apprciation satisfaisante


Oui

Traitement du risque
Non

Dcision : Traitement satisfaisant


Oui

Acceptation du risque
35

Estimation du risque

Mthode destimation des risques

Qualitative
Quantitative

36

Estimation du risque
Qualitative
Echelle de valeur : apprciation
Faible, moyen, lev
Cout difficilement mesurable
perte de part de march, de confiance des
clients, dimage de marque
Facile comprendre mais subjectif
Quantitative
Echelle de valeur numrique.
Cots mesurables : cot dachat, de maintenance,
perte de CA
Livrable : liste des scenarios dincidents avec leur
consquence
37

Estimation du risque - consquences


Valeur

N.

Scnario d'incident

Vol de l'ordinateur
du sa portabilit

Destruction de l'ordinateur
du sa portabilit

L'ordinateur ne s'allume
- dcharge totale des
batteries

Connexion frauduleuse
altration
du support de cours

Connexion frauduleuse vol


du support par la
concurrence

Formateur contracte la grippe

Le formateur est approch


par la concurrence et
dmissionne

Actif impact

Somme

Max

Consquence

Mesure scurit

Consquenc
e

AP - 1

Processus de formation

Perte financire modre

AP -2

Processus de cration du contenu

Perte d'image trs importante

AP -3

Cours - Contenu

Perte de productivit modre

AS - 3

Ordinateur

AS - 8

Cours - Format numrique

AP - 1

Processus de formation

Perte financire modre

AP -2

Processus de cration du contenu

Perte d'image nulle

AP -3

Cours - Contenu

Perte de productivit modre

AS - 3

Ordinateur

AS - 8

Cours - Format numrique

AP - 1

Processus de formation

Perte financire nulle

AP - 2

Processus de cration du contenu

Perte d'image nulle

AS - 3

Ordinateur

Perte de productivit nulle

AP -1

Processus de formation

Perte financire nulle

AP -3

Cours - Contenu

AS -8

Cours - Format numrique

Perte de productivit modre

AP -1

Processus de formation

Perte financire modre

AP -3

Cours - Contenu

AS -8

Cours - Format numrique

AP - 1

Processus de formation

AS - 4

Formateur

AP - 1

Processus de formation

AS - 4

Formateur

Perte d'image trs importante

Perte d'image trs importante

identifiant / mot
de passe

3
2
2

identifiant / mot
de passe

Perte de productivit modre

Perte financire modre

Perte d'image nulle

Perte de productivit modre

Perte financire importante

Perte d'image trs importante

Perte de productivit modre

38

Estimation du risque - vraisemblance

Estimation de la vraisemblance des scnarios


Echelle quantitative de 1 N
1 peu probable
Mthode
Entretien avec les mtiers
Exprience
Bon sens

39

Estimation du risque - vraisemblance


Valeur

N.

Scnario d'incident

Vol de l'ordinateur
du sa portabilit

Destruction de l'ordinateur
du sa portabilit

L'ordinateur ne s'allume
- dcharge totale des
batteries

Connexion frauduleuse
altration
du support de cours

Connexion frauduleuse vol


du support par la
concurrence

Formateur contracte la grippe

Le formateur est approch


par la concurrence et
dmissionne

Actif impact

Somme

Max

Consquence

Mes. Sc.

Perte financire modre

Consquenc
e

AP - 1

Processus de formation

AP - 2

Processus de cration du contenu

Perte d'image trs importante

AP - 3

Cours - Contenu

Perte de productivit modre

AS - 3

Ordinateur

AS - 8

Cours - Format numrique

AP - 1

Processus de formation

Perte financire modre

AP - 2

Processus de cration du contenu

Perte d'image nulle

AP - 3

Cours - Contenu

Perte de productivit modre

AS - 3

Ordinateur

AS - 8

Cours - Format numrique

AP - 1

Processus de formation

Perte financire nulle

AP - 2

Processus de cration du contenu

Perte d'image nulle

AS - 3

Ordinateur

Perte de productivit nulle

AP - 1

Processus de formation

Perte financire nulle

AP - 3

Cours - Contenu

AS - 8

Cours - Format numrique

Perte de productivit modre

AP - 1

Processus de formation

Perte financire modre

AP - 3

Cours - Contenu

AS - 8

Cours - Format numrique

AP - 1

Processus de formation

AS - 4

Formateur

AP - 1

Processus de formation

AS - 4

Formateur

Perte d'image trs importante

Perte d'image trs importante


Perte de productivit modre

Vrais.

identifiant
mot de
passe

identifiant
mot de
passe

1
3

2
2
3

Perte financire modre

Perte d'image nulle

Perte de productivit modre

Perte financire importante

Perte d'image trs importante

Perte de productivit modre

40

Estimation du risque - Valeur de risque

Valeur de risque du scnario


=
Impact sur CIA * vraisemblance

41

Estimation du risque - niveau de risque


N

Scnario d'incident

Vol de l'ordinateur
du sa portabilit

Destruction de l'ordinateur
du sa portabilit

L'ordinateur ne s'allume
- dcharge totale des
batteries

Connexion frauduleuse
altration
du support de cours

Connexion frauduleuse vol


du support par la concurrence

Formateur contracte la grippe

Le formateur est approch


par la concurrence et
dmissionne

Actif impact

Som
me

M
a
x

Valeur

Consquence

Mes. Sc.

Consquenc
e

AP - 1

Processus de formation

Perte financire modre

AP - 2

Processus de cration du contenu

Perte d'image trs importante

AP - 3

Cours - Contenu

Perte de productivit modre

AS - 3

Ordinateur

AS - 8

Cours - Format numrique

AP - 1

Processus de formation

Perte financire modre

AP - 2

Processus de cration du contenu

Perte d'image nulle

AP - 3

Cours - Contenu

Perte de productivit modre

AS - 3

Ordinateur

AS - 8

Cours - Format numrique

AP - 1

Processus de formation

Perte financire nulle

AP - 2

Processus de cration du contenu

Perte d'image nulle

AS - 3

Ordinateur

Perte de productivit nulle

AP - 1

Processus de formation

Perte financire nulle

AP - 3

Cours - Contenu

AS - 8

Cours - Format numrique

Perte de productivit modre

AP - 1

Processus de formation

Perte financire modre

AP - 3

Cours - Contenu

AS - 8

Cours - Format numrique

AP - 1

Processus de formation

AS - 4

Formateur

AP - 1

Processus de formation

AS - 4

Formateur

Perte d'image trs importante

Perte d'image trs importante


Perte de productivit modre

identifiant
mot de
passe

identifiant
mot de
passe

Niv

Vra
is.

Ris
q.

16

12

15

18

1
3
2
2
3
2

Perte financire modre

Perte d'image nulle

Perte de productivit modre

Perte financire importante

Perte d'image trs importante

Perte de productivit modre

42

Processus de gestion du risque

Etablissement du contexte
APPRECIATION DU RISQUE
ANALYSE DU RISQUE

Identification du risque
Estimation du risque
Evaluation du risque
Non

Dcision : Apprciation satisfaisante


Oui

Traitement du risque
Non

Dcision : Traitement satisfaisant


Oui

Acceptation du risque
43

Evaluation du risque

Evaluation du risque
Processus de comparaison du risque estim avec des
critres de risque donns pour en dterminer limportance

Je compare la valeur de risque des scnarios avec les


critres tablis lors de ltablissement du contexte
Une plage 1..n
= jaccepte
Une plage .
= traiter non urgent
= traiter en priorit
Une plage > X

44

Evaluation du risque
N

Scnario d'incident

Vol de l'ordinateur
du sa portabilit

Destruction de l'ordinateur
du sa portabilit

L'ordinateur ne s'allume
- dcharge totale des
batteries

Connexion frauduleuse
altration
du support de cours

Connexion frauduleuse vol


du support par la
concurrence

Formateur contracte la grippe

Le formateur est approch


par la concurrence et
dmissionne

Actif impact

Som
me

M
a
x

Valeur

Consquence

Mes. Sc.

Consquenc
e

AP - 1

Processus de formation

Perte financire modre

AP -2

Processus de cration du contenu

Perte d'image trs importante

AP -3

Cours - Contenu

Perte de productivit modre

AS - 3

Ordinateur

AS - 8

Cours - Format numrique

AP - 1

Processus de formation

Perte financire modre

AP -2

Processus de cration du contenu

Perte d'image nulle

AP -3

Cours - Contenu

Perte de productivit modre

AS - 3

Ordinateur

AS - 8

Cours - Format numrique

AP - 1

Processus de formation

Perte financire nulle

AP - 2

Processus de cration du contenu

Perte d'image nulle

AS - 3

Ordinateur

Perte de productivit nulle

AP - 1

Processus de formation

Perte financire nulle

AP - 3

Cours - Contenu

AS - 8

Cours - Format numrique

Perte de productivit modre

AP - 1

Processus de formation

Perte financire modre

AP - 3

Cours - Contenu

AS - 8

Cours - Format numrique

AP - 1

Processus de formation

AS - 4

Formateur

AP - 1

Processus de formation

AS - 4

Formateur

Perte d'image trs importante

Perte d'image trs importante


Perte de productivit modre

identifiant
mot de
passe

identifiant
mot de
passe

Niv

Vra
is.

Ris
q.

16

12

15

18

1
3
2
2
3
2

Perte financire modre

Perte d'image nulle

Perte de productivit modre

Perte financire importante

Perte d'image trs importante

Perte de productivit modre

45

Processus de gestion du risque

Etablissement du contexte
APPRECIATION DU RISQUE
ANALYSE DU RISQUE

Identification du risque
Estimation du risque
Evaluation du risque
Non

Dcision : Apprciation satisfaisante


Oui

Traitement du risque
Non

Dcision : Traitement satisfaisant


Oui

Acceptation du risque
46

Traitement du risque

Traitement du risque
processus de slection et de mise en uvre
des mesures visant diminuer le risque

47

Traitement du risque

Options de traitement du risque

Rduction
du risque

Refus
du risque

Maintien
du risque

Transfert
du risque

48

Traitement du risque

Rduction

Rduire le niveau de risque

Mesures de scurit

Niveau acceptable

49

Traitement du risque

Contraintes multiples
Temps
Financires
Techniques
Culturelles
Ethiques
Environnementales
Lgales

50

Traitement du risque
Maintien - Risk retention
Dcision de ne prendre aucune action face au risque

Condition
Le niveau de risque respecte les critres
dacceptation.

51

Traitement du risque

Refus - Risk avoidance


Lactivit ou la situation qui engendre le risque est
tout simplement limine

52

Traitement du risque

Transfert - Risk Transfer

Transfert du risque un tiers qui pourra grer le


risque de manire plus efficiente.

53

Traitement du risque

Options de traitement risque

Rduction
du risque

Refus
du risque

Maintien
du risque

Transfert
du risque

Risques rsiduels

Traitement
satisfaisant
54

Processus de gestion du risque

Etablissement du contexte
APPRECIATION DU RISQUE
ANALYSE DU RISQUE

Identification du risque
Estimation du risque
Evaluation du risque
Non

Dcision : Apprciation satisfaisante


Oui

Traitement du risque
Non

Dcision : Traitement satisfaisant


Oui

Acceptation du risque
55

Acceptation du risque

Acceptation par le management du risque rsiduel


Enregistrement formel

Livrable
Liste des risques accepts avec justification pour les
risques ne respectant pas les critres dacceptation

56

Processus de gestion du risque

Etablissement du contexte
APPRECIATION DU RISQUE
ANALYSE DU RISQUE

Identification du risque
Estimation du risque
Evaluation du risque
Non

Dcision : Apprciation satisfaisante


Oui

Traitement du risque
Non

Dcision : Traitement satisfaisant


Oui

Acceptation du risque
57

Communication du risque

Echange - bidirectionnelle
Dcisionnaires

Stakeholders - parties prenantes (# shareholders)

Objectifs
Comprhension
Information
Sensibilisation
Implication

58

Processus de gestion du risque

Etablissement du contexte
APPRECIATION DU RISQUE
ANALYSE DU RISQUE

Identification du risque
Estimation du risque
Evaluation du risque
Non

Dcision : Apprciation satisfaisante


Oui

Traitement du risque
Non

Dcision : Traitement satisfaisant


Oui

Acceptation du risque
59

Surveillance et rexamen

Des facteurs de risques (nouveaux!)


Actifs
Nouveaux actifs
Obsolescence, disparition dactifs
vulnrabilit
menace
vraisemblance
impact

60

Surveillance et rexamen

Surveillance du processus de gestion du risque


Critres dvaluation
Critres dacceptation

Critres dimpact
Concurrence
Contexte lgal

Contexte environnemental

61

Surveillance et rexamen

Revue de risque
Capitaliser, leons apprises
Dtecter les changements et volutions

Observer, consigner
Mesurer lavancement de la mise en uvre
des plans (PDCA)

62

Processus de gestion du risque

Etablissement du contexte
APPRECIATION DU RISQUE
ANALYSE DU RISQUE

Identification du risque
Estimation du risque
Evaluation du risque
Non

Dcision : Apprciation satisfaisante


Oui

Traitement du risque
Non

Dcision : Traitement satisfaisant


Oui

Acceptation du risque
63

La norme ISO 27005

1.
2.
3.

4.
5.
6.
7.

8.
9.
10.
11.
12.

Primtre
Rfrences normatives
Dfinitions
Structure de la norme
Obligation
Processus
Contexte
Evaluation
Traitement
Acceptation
Communication
Surveillance et revue

64

Processus de gestion du risque

11

Etablissement du contexte

12

APPRECIATION DU RISQUE
ANALYSE DU RISQUE

Identification du risque

8.2.1

Estimation du risque

8.2.2

Evaluation du risque

8.3

Non

Dcision : Apprciation satisfaisante


Oui

Traitement du risque

Non

Dcision : Traitement satisfaisant


Oui

Acceptation du risque

10
65

Annexes

Exemples de :
Echelle de valorisation des actifs
Critre dimpact
Echelle de mesure des consquences
Critres dvaluation des risques
Critres dacceptation des risques

66

67

68

69

70

71

Merci de votre attention

72