Vous êtes sur la page 1sur 69

Avant-projet de norme soumis enqute probatoire jusquau : 15 octobre 2009

Pr NF ISO/CEI 27005 Indice de classement : Z 74-225

T1 Technologies de l'information T2 Techniques de scurit T3 Gestion du risque en scurit de l'information

E : Information technology Security techniques Information security risk management D: Avant-projet de norme franaise homologue Remplace :

Correspondance

Analyse

Modifications

ISO/CEI 2008 Tous droits rservs

ISO/CEI /JTC1/SC 27 Date: 2008-06-15 ISO/CEI 27005:2008(F) ISO/CEI /JTC1/SC 27/GT Secrtariat: DIN

Technologies de l'information Techniques de scurit Gestion du risque en scurit de l'information


Information technology Security techniques Information security risk management

Notice de droit d'auteur


Ce document de l'ISO est un projet de Norme internationale qui est protg par les droits d'auteur de l'ISO. Sauf autoris par les lois en matire de droits d'auteur du pays utilisateur, aucune partie de ce projet ISO ne peut tre reproduite, enregistre dans un systme d'extraction ou transmise sous quelque forme que ce soit et par aucun procd, lectronique ou mcanique, y compris la photocopie, les enregistrements ou autres, sans autorisation crite pralable. Les demandes d'autorisation de reproduction doivent tre envoyes l'ISO l'adresse ci-aprs ou au comit membre de l'ISO dans le pays du demandeur. ISO copyright office Case postale 56 CH-1211 Geneva 20 Tel. + 41 22 749 01 11 Fax + 41 22 749 09 47 E-mail copyright@iso.org Web www.iso.org Toute reproduction est soumise au paiement de droits ou un contrat de licence. Les contrevenants pourront tre poursuivis.

Type du document: Norme internationale Sous-type du document: Stade du document: (60) Publication Langue du document: F M:\dp\AA_Production\ISO\27005\07_TRAD_Publication\Doc traduit\ISO-CEI_27005_(F).doc STD Version 2.2

ISO/CEI 27005:2008(F)

Sommaire

Page

Avant-propos .....................................................................................................................................................iv Introduction.........................................................................................................................................................v 1 2 3 4 5 6 7 7.1 7.2 7.3 7.4 8 8.1 8.2 8.2.1 8.2.2 8.3 9 9.1 9.2 9.3 9.4 9.5 10 11 12 12.1 12.2 Domaine d'application ..........................................................................................................................1 Rfrences normatives .........................................................................................................................1 Termes et dfinitions ............................................................................................................................1 Structure de la prsente Norme internationale ..................................................................................3 Contexte .................................................................................................................................................4 Prsentation gnrale du processus de gestion du risque en scurit de linformation..............5 Etablissement du contexte ...................................................................................................................7 Considrations gnrales.....................................................................................................................7 Critres de base.....................................................................................................................................7 Domaine dapplication et limites .........................................................................................................9 Organisation de la gestion du risque en scurit de linformation................................................10 Apprciation du risque en scurit de linformation .......................................................................11 Description gnrale de lapprciation du risque en scurit de linformation............................11 Analyse du risque................................................................................................................................12 Identification du risque .......................................................................................................................12 Estimation du risque ...........................................................................................................................16 Evaluation du risque ...........................................................................................................................19 Traitement du risque en scurit de linformation...........................................................................20 Description gnrale du traitement du risque..................................................................................20 Rduction du risque............................................................................................................................22 Maintien du risque...............................................................................................................................24 vitement du risque ............................................................................................................................24 Transfert du risque..............................................................................................................................24 Acceptation du risque en scurit de linformation ........................................................................24 Communication du risque en scurit de linformation..................................................................25 Surveillance et rexamen du risque en scurit de linformation.................................................26 Surveillance et rexamen des facteurs de risque............................................................................26 Surveillance, rexamen et amlioration de la gestion du risque ...................................................27

Annex A (informative) Dfinition du domaine dapplication et des limites du processus de gestion du risque en scurit de linformation ..............................................................................................29 A.1 tude de l'organisme ..........................................................................................................................29 A.2 Liste des contraintes affectant lorganisme .....................................................................................30 A.3 Liste des rfrences lgislatives et rglementaires applicables lorganisme ...........................32 A.4 Liste des contraintes affectant le domaine dapplication ...............................................................32 Annex B (informative) Identification et valuation des actifs et apprciation des impacts ......................35 B.1 Exemples didentification des actifs .................................................................................................35 B.1.1 Identification des actifs primordiaux.................................................................................................35 B.1.2 Liste et description des actifs en support ........................................................................................36 B.2 valuation des actifs...........................................................................................................................41 B.3 Apprciation des impacts...................................................................................................................45

ii

ISO/CEI 2008 Tous droits rservs

ISO/CEI 27005:2008(F)

Annex C (informative) Exemples de menaces type ........................................................................................46 Annex D (informative) Vulnrabilits et mthodes dapprciation des vulnrabilits................................48 D.1 Exemples de vulnrabilits.................................................................................................................48 A.5 Mthodes dapprciation des vulnrabilits techniques.................................................................51 Annex E (informative) Approches dapprciation du risque en scurit de linformation ........................53 E.1 Apprciation du risque de haut niveau en scurit de l'information .............................................53 E.2 Apprciation dtaille du risque en scurit de linformation........................................................54 E.2.1 Exemple 1 Matrice avec valeurs prdfinies ....................................................................................55 E.2.2 Exemple 2 Classement des menaces par mesures de risque .....................................................57 E.2.3 Exemple 3 Apprciation dune valeur relative la vraisemblance et aux consquences possibles des risques .........................................................................................................................58 Annex F (informative) Contraintes lies la rduction du risque.................................................................60 Bibliographie .....................................................................................................................................................62

ISO/CEI 2008 Tous droits rservs

iii

ISO/CEI 27005:2008(F)

Avant-propos
L'ISO (Organisation internationale de normalisation) est une fdration mondiale d'organismes nationaux de normalisation (comits membres de l'ISO). L'laboration des Normes internationales est en gnral confie aux comits techniques de l'ISO. Chaque comit membre intress par une tude a le droit de faire partie du comit technique cr cet effet. Les organisations internationales, gouvernementales et non gouvernementales, en liaison avec l'ISO participent galement aux travaux. L'ISO collabore troitement avec la Commission lectrotechnique internationale (CEI) en ce qui concerne la normalisation lectrotechnique. Les Normes internationales sont rdiges conformment aux rgles donnes dans les Directives ISO/CEI, Partie 2. La tche principale des comits techniques est d'laborer les Normes internationales. Les projets de Normes internationales adopts par les comits techniques sont soumis aux comits membres pour vote. Leur publication comme Normes internationales requiert l'approbation de 75 % au moins des comits membres votants. L'attention est appele sur le fait que certains des lments du prsent document peuvent faire l'objet de droits de proprit intellectuelle ou de droits analogues. L'ISO ne saurait tre tenue pour responsable de ne pas avoir identifi de tels droits de proprit et averti de leur existence. L'ISO/CEI 27005 a t labore par le comit technique ISO/TC JTC1, Technologies de l'information, sous-comit SC 27, Techniques de scurit des TI. Cette premire dition de lISO/CEI 27005 annule et remplace lISO/CEI TR 13335-4:2000, dont elle constitue une rvision technique. lISO/CEI TR 13335-3:1998, et

iv

ISO/CEI 2008 Tous droits rservs

ISO/CEI 27005:2008(F)

Introduction
La prsente Norme internationale contient des lignes directrices relatives la gestion de risque en scurit de linformation dans une organisation qui viennent, notamment, en appui des exigences d'un SMSI tel quil est dfini dans lISO/CEI 27001. Cependant, la prsente Norme internationale ne fournit aucune mthodologie spcifique la gestion de risque en scurit de linformation. Il est du ressort de chaque organisation de dfinir son approche de la gestion de risque, en fonction, par exemple, du primtre du SMSI, de lexistant dans le domaine de la gestion de risques, ou encore du secteur industriel. Plusieurs mthodologies existantes peuvent tre utilises en cohrence avec le cadre dcrit dans la prsente Norme internationale pour appliquer les exigences du SMSI. La prsente Norme internationale sadresse aux responsables et aux personnels concerns par la gestion de risque en scurit de linformation au sein dune organisation et, le cas chant, aux tiers prenant part ces activits.

ISO/CEI 2008 Tous droits rservs

NORME INTERNATIONALE

ISO/CEI 27005:2008(F)

Technologies de l'information Techniques de scurit Gestion du risque en scurit de l'information

Domaine d'application

La prsente Norme internationale contient des lignes directrices relatives la gestion de risque en scurit de linformation. La prsente Norme internationale vient en appui des concepts gnraux noncs dans lISO/CEI 27001. Elle est conue pour aider la mise en place de la scurit de linformation base sur une approche de gestion de risque. Il est important de connatre les concepts, les modles, les processus et les terminologies dcrites dans lISO/CEI 27001 afin de bien comprendre cette Norme internationale. La prsente Norme internationale est applicable tous types dorganisations (par exemple, les entreprises commerciales, les agences gouvernementales, les organisations but non lucratif) qui ont lintention de grer des risques susceptibles de compromettre la scurit de leurs informations.

Rfrences normatives

Les documents de rfrence suivants sont indispensables l'application du prsent document. Pour les rfrences dates, seule l'dition cite s'applique. Pour les rfrences non dates, la dernire dition du document de rfrence (y compris les ventuels amendements) s'applique. ISO/CEI 27001:2005, Technologies de l'information Techniques de scurit Systmes de gestion de scurit de l'information Exigences. ISO/CEI 27002:2005, Technologies de l'information Techniques de scurit Code de pratique pour la gestion de scurit d'information (ISO/CEI 17799:2005 et rectificatif 1 de 2007).

Termes et dfinitions

Pour les besoins du prsent document, les termes et dfinitions donns dans lISO/CEI 27001, lISO/CEI 27002 et les suivants sappliquent. 3.1 impact changement radical au niveau des objectifs mtiers atteints 3.2 risque de scurit de linformation possibilit quune menace donne exploite les vulnrabilits dun actif ou dun groupe dactifs et nuise donc lorganisation
NOTE Le risque est mesur en termes de combinaison entre la vraisemblance dun vnement et ses consquences.

ISO/CEI 2008 Tous droits rservs

ISO/CEI 27005:2008(F)

3.3 vitement du risque dcision de se retirer dune situation risque, ou de ne pas sy engager [ISO/CEI Guide 73:2002] 3.4 communication du risque change ou partage de linformation concernant un risque entre le dcideur et les autres parties prenantes [ISO/CEI Guide 73:2002] 3.5 estimation du risque processus utilis pour affecter des valeurs la probabilit et aux consquences dun risque [ISO/CEI Guide 73:2002]
NOTE 1 Dans le cadre de la prsente Norme internationale, le terme activit est utilis en lieu et place du terme processus pour lestimation du risque. NOTE 2 Dans le cadre de la prsente Norme internationale, le terme vraisemblance est utilis en lieu et place du terme probabilit pour lestimation du risque.

3.6 identification du risque processus utilis pour trouver, lister et caractriser les lments risque [ISO/CEI Guide 73:2002]
NOTE Dans le cadre de la prsente Norme internationale, le terme activit est utilis en lieu et place du terme processus pour lidentification du risque.

3.7 rduction du risque mesures prises pour diminuer la probabilit, les consquences ngatives, ou les deux la fois, associes un risque [ISO/CEI Guide 73:2002]
NOTE Dans le cadre de la prsente Norme internationale, le terme vraisemblance est utilis en lieu et place du terme probabilit pour la rduction du risque.

3.8 maintien du risque acceptation du poids de la perte ou du bnfice de gain dcoulant d'un risque particulier [ISO/CEI Guide 73:2002]
NOTE Dans le cadre des risques en scurit de linformation, seules les consquences ngatives (pertes) sont prises en compte pour le maintien du risque.

ISO/CEI 2008 Tous droits rservs

ISO/CEI 27005:2008(F)

3.9 transfert du risque partage avec un tiers du poids de la perte ou du bnfice de gain dcoulant dun risque [ISO/CEI Guide 73:2002]
NOTE Dans le cadre des risques en scurit de linformation, uniquement les consquences ngatives (pertes) sont prises en compte pour le transfert de risque.

Structure de la prsente Norme internationale

La prsente norme contient la description du processus de gestion du risque en scurit de linformation et de ses activits. Les informations gnrales sont fournies dans lArticle 5. Un aperu gnral du processus de gestion du risque en scurit de linformation est donn dans lArticle 6. Toutes les activits lies la gestion du risque en scurit de linformation, telles que prsentes dans lArticle 6, sont ensuite dcrites dans les articles suivants : tablissement du contexte dans lArticle 7 ; apprciation du risque dans lArticle 8 ; traitement du risque dans lArticle 9 ; acceptation du risque dans lArticle 10 ; communication du risque dans lArticle 11 ; surveillance et rexamen du risque dans lArticle 12.

Des informations supplmentaires relatives aux activits de gestion du risque en scurit de linformation sont prsentes dans les annexes. Ltablissement du contexte est abord dans lAnnexe A (Dfinition du domaine dapplication et des limites du processus de gestion du risque en scurit de linformation). Lidentification, la valorisation des actifs et lapprciation des impacts sont traites dans lAnnexe B (exemples dactifs), dans lAnnexe C (exemples de menaces type) et dans lAnnexe D (exemples de vulnrabilits type). Des exemples dapproches relatives lapprciation des risques en scurit de linformation sont prsents dans lAnnexe E. Les contraintes lies la rduction des risques sont traites dans lAnnexe F. Toutes les activits lies la gestion de risque, telles que prsentes dans les Articles 7 12, sont structures de la manire suivante : Elment(s) dentre : Identifie toute information requise pour raliser lactivit. Action : Dcrit lactivit. Prconisations de mise en uvre : Propose des prconisations pour raliser laction. Il se peut que certaines prconisations ne soient pas adaptes tous les cas, et que dautres solutions pour raliser laction s'avrent prfrables. Elment(s) de sortie : Identifie toute information obtenue aprs la ralisation de lactivit.

ISO/CEI 2008 Tous droits rservs

ISO/CEI 27005:2008(F)

Contexte

Une approche systmatique de la gestion du risque en scurit de linformation est ncessaire pour : identifier les besoins organisationnels concernant les exigences en matire de scurit de linformation ; et pour crer un systme de management de la scurit de linformation (SMSI) efficace.

Il convient que cette approche soit adapte lenvironnement de lorganisme et soit notamment aligne sur la dmarche gnrale de gestion du risque de lentreprise. Les efforts effectus en matire de scurit devraient adresser les risques de manire efficace et opportune quand et lorsque cela est ncessaire. Il convient que la gestion du risque en scurit de linformation fasse partie intgrante de lensemble des activits de management de la scurit de linformation et quelle sapplique, la fois, la mise en uvre et au fonctionnement dun SMSI. Il convient que la gestion du risque en scurit de linformation soit un processus continu. Il convient que ce processus tablisse le contexte, apprcie les risques et les traite laide dun plan de traitement du risque permettant de mettre en uvre les recommandations et dcisions. La gestion du risque analyse les vnements susceptibles de se produire et leurs possibles consquences avant de dcider ce qui pourrait tre fait, dans quels dlais et quel moment, pour rduire les risques un niveau acceptable. Il convient que la gestion des risques en scurit de linformation contribue : lidentification des risques, lapprciation des risques en termes de consquences sur les activits mtier et de vraisemblance, la communication et la comprhension de la vraisemblance et des consquences de ces risques, ltablissement dun ordre de priorit pour le traitement du risque, la priorisation des actions afin de rduire les occurrences des risques, limplication des parties prenantes lors de la prise de dcisions relatives la gestion du risque et linformation sur ltat de la gestion du risque, lefficacit de la supervision du traitement du risque, la surveillance et le rexamen rguliers des risques et du processus de gestion de risque, la capture de linformation afin damliorer lapproche de gestion du risque, la formation des dirigeants et du personnel sur les risques et les actions entreprendre pour attnuer.

Le processus de gestion du risque en scurit de linformation peut sappliquer lorganisme dans son ensemble, toute partie distincte de lorganisme ( titre dexemples : un dpartement, un lieu physique, un service), tout systme dinformation existant ou prvu ou des types particuliers de mesures de scurit (par exemple, la planification de la continuation dactivit).

ISO/CEI 2008 Tous droits rservs

ISO/CEI 27005:2008(F)

6 Prsentation gnrale du processus de gestion du risque en scurit de linformation


Le processus de gestion du risque en scurit de linformation comprend ltablissement du contexte (Article 7), lapprciation du risque (Article 8), le traitement du risque (Article 9), lacceptation du risque (Article 10), la communication du risque (Article 11) ainsi que la surveillance et le rexamen du risque (Article 12).

Figure 1 Processus de gestion du risque en scurit de linformation

ISO/CEI 2008 Tous droits rservs

ISO/CEI 27005:2008(F)

Comme lillustre la Figure 1, le processus de gestion du risque en scurit de linformation peut tre itratif pour les activits dapprciation et/ou de traitement du risque. Une approche itrative de conduite de lapprciation du risque permet de lapprofondir et de la prciser chaque itration. Cette approche itrative assure un bon quilibre entre la minimisation du temps et des efforts investis dans lidentification des mesures de scurit et lassurance que les risques levs sont correctement apprcis. Le contexte est tabli en premier lieu. Une apprciation du risque est ensuite ralise. Si cette apprciation donne suffisamment d'informations pour dterminer correctement les actions ncessaires pour ramener les risques un niveau acceptable, la tche est alors termine et suivie par le traitement du risque. Si les informations ne sont pas suffisantes, une autre itration de lapprciation du risque sera ralise avec un contexte rvis (par exemple les critres d'valuation du risque, les critres dacceptation du risque ou les critres d'impact) et, ventuellement, sur des parties limites de lensemble du domaine dapplication (voir Figure 1, point de dcision du risque n 1). Lefficacit du traitement du risque dpend des rsultats de lapprciation du risque. Il est possible que le traitement du risque ne donne pas immdiatement un niveau acceptable de risque rsiduel. Dans ce cas, une nouvelle itration de lapprciation du risque utilisant, si ncessaire, de nouveaux paramtres de contexte ( titre dexemples : lapprciation du risque, lacceptation du risque ou les critres dimpact) peut tre requise et suivie dun autre traitement du risque (voir la Figure 1, Point de dcision du risque n 2). Lactivit dacceptation du risque doit garantir que les risques rsiduels sont explicitement accepts par les dirigeants de l'organisme. Elle est particulirement importante dans une situation o la mise en uvre de mesures de scurit est omise ou reporte, par exemple en raison des cots. Au cours du processus de gestion du risque en scurit de l'information, il est important que les risques et leur traitement soient communiqus aux dirigeants et au personnel concern. Avant mme le traitement des risques, les informations relatives aux risques identifis peuvent tre trs utiles pour grer les incidents et contribuer rduire les dommages potentiels. La sensibilisation des dirigeants et du personnel aux risques, la nature des mesures de scurit mises en place pour attnuer les risques et les problmes rencontrs par lorganisme sont utiles pour grer les incidents et les vnements imprvus de la manire la plus efficace. Il convient de documenter les rsultats dtaills de toute activit du processus de gestion du risque en scurit de linformation, ainsi que ceux obtenus partir des deux points de dcision de risque. LISO/CEI 27001 spcifie que les mesures de scurit mises en uvre dans le domaine d'application, les limites et le contexte du SMSI doivent tre fondes sur le risque. Lapplication dun processus de gestion du risque en scurit de linformation peut rpondre cette exigence. De nombreuses approches de ce processus peuvent tre mises en uvre avec succs au sein dun organisme. Il convient que ce dernier utilise lapproche la plus adapte ses besoins pour chacun des usages spcifiques du processus. Dans un SMSI, ltablissement du contexte, l'apprciation du risque, l'laboration d'un plan de traitement du risque et l'acceptation du risque font partie intgrante de la phase Planifier . Lors de la phase Dployer du SMSI, les actions et mesures de scurit requises pour ramener le risque un niveau acceptable sont mises en uvre, conformment au plan de traitement du risque. Lors de la phase Contrler du SMSI, les dirigeants dterminent les besoins en matire de rvision de l'apprciation et du traitement du risque la lumire des incidents et des changements de situations. Lors de la phase Agir , toutes les actions ncessaires, y compris une itration supplmentaire du processus de gestion du risque en scurit de l'information, sont ralises. Le tableau suivant rsume les activits de gestion du risque en scurit de linformation associes aux quatre phases du processus SMSI.

ISO/CEI 2008 Tous droits rservs

ISO/CEI 27005:2008(F)

Tableau 1 Alignement du SMSI et du processus de gestion du risque en scurit de linformation


Processus SMSI Processus de gestion du risque en scurit de l'information Etablissement du contexte Planifier Apprciation du risque Elaboration du plan de traitement du risque Acceptation du risque Dployer Contrler Agir Mise en uvre du plan de traitement du risque Surveillance et rexamen continus des risques Maintien et amlioration du processus de gestion du risque en scurit de linformation

7
7.1

Etablissement du contexte
Considrations gnrales

Elments dentre : Toutes les informations relatives lorganisme permettant ltablissement du contexte de la gestion du risque en scurit de linformation. Action : Il convient dtablir le contexte de la gestion du risque en scurit de linformation, ce qui implique de dterminer les critres de base ncessaires la gestion du risque en scurit de linformation (7.2), de dfinir le domaine dapplication et les limites (7.3), et dtablir une organisation adapte au fonctionnement de la gestion du risque en scurit de linformation (7.4). Prconisations de mise en uvre : Il est essentiel de dterminer l'objectif de la gestion du risque en scurit de l'information puisqu'il influence l'ensemble du processus et, en particulier, l'tablissement du contexte. Lobjectif peut tre : une rponse aux exigences d'un SMSI, la conformit avec la loi et la preuve de la mise en uvre du devoir de prcaution, la prparation dun plan de continuit de lactivit, la prparation dun plan de rponse aux incidents, la description des exigences en matire de scurit de linformation pour un produit, un service ou un mcanisme.

Les prconisations de mise en uvre des lments dtablissement du contexte ncessaires pour rpondre aux exigences dun SMSI sont traites ci-dessous aux Articles 7.2, 7.3 et 7.4.
NOTE LISO/CEI 270001 nutilise pas le terme contexte . Cependant, larticle 7 aborde les exigences dfinir le domaine dapplication et les limites du SMSI [4.2.1 a)], dfinir une politique du SMSI [4.2.1 b)] et dfinir lapproche dapprciation du risque [4.2.1 c)], spcifies dans lISO/CEI 27001.

Elments de sortie : La spcification des critres de base, le domaine d'application et les limites, et lorganisation ddie au fonctionnement processus de gestion du risque en scurit de linformation.

7.2

Critres de base

Selon le domaine dapplication et les objectifs de la gestion du risque, diffrentes approches peuvent sappliquer. Lapproche peut galement tre diffrente pour chaque itration.

ISO/CEI 2008 Tous droits rservs

ISO/CEI 27005:2008(F)

Il convient de choisir ou dlaborer une approche de gestion du risque adapte qui comprenne des critres de base tels que les critres dvaluation du risque, les critres dimpact et les critres dacceptation du risque. En outre, il convient que lorganisme value si les ressources ncessaires sont disponibles pour : effectuer une apprciation du risque et tablir un plan de traitement du risque, dfinir et mettre en uvre des politiques et des procdures, y compris la mise en uvre des mesures de scurit choisies, surveiller les mesures de scurit, surveiller le processus de gestion du risque en scurit de linformation.

NOTE Voir galement l'ISO/CEI 27001 (article 5.2.1) relatif la mise disposition de ressources pour la mise en uvre et le fonctionnement dun SMSI.

Critres dvaluation du risque Il convient dlaborer des critres d'valuation du risque afin d'valuer le risque de l'organisme en scurit de l'information en prenant en compte les lments suivants : la valeur stratgique des processus informationnels mtier, la criticit des actifs informationnels concerns, les exigences lgales et rglementaires ainsi que les obligations contractuelles, limportance oprationnelle et mtier de la disponibilit, de la confidentialit et de lintgrit, les attentes et les perceptions des parties prenantes ainsi que les consquences ngatives sur la valorisation financire et la rputation de lorganisme.

En outre, les critres dvaluation du risque peuvent tre utiliss pour spcifier les priorits du traitement du risque. Critres dimpact Il convient que les critres dimpact soient labors et spcifis en fonction du niveau de dommages ou de cots pour lorganisme pouvant tre causs par un vnement li la scurit de linformation, en tenant compte des points suivants : le niveau de classification de lactif informationnel impact, latteinte la scurit de linformation (par exemple, une perte de confidentialit, dintgrit et de disponibilit), les erreurs oprationnelles (quipes internes ou tierces parties), la perte dactivit mtier et de valeur financire, la perturbation des plans dactions et des dlais, les atteintes la rputation, le non respect des exigences lgales, rglementaires ou contractuelles.

NOTE Voir aussi lISO/CEI 27001 [Article 4.2.1 d) 4] concernant lidentification des critres dimpact relatifs aux pertes de confidentialit, dintgrit et de disponibilit.

ISO/CEI 2008 Tous droits rservs

ISO/CEI 27005:2008(F)

Critres dacceptation du risque Il convient que les critres dacceptation du risque soient labors et spcifis. Ces critres dpendent souvent des politiques de lorganisme, des intentions, des objectifs et des intrts des parties prenantes. Il convient que lorganisme dfinisse ses propres chelles pour les seuils d'acceptation des risques. Il y a lieu de prendre en compte les lments suivants au moment de llaboration : les critres dacceptation du risque peuvent inclure des seuils multiples correspondant un niveau de risque cible souhait, tout en rservant aux cadres dcisionnaires la possibilit d'accepter des risques situs au-dessus de ce niveau dans certains cas, les critres dacceptation du risque peuvent tre exprims comme un rapport entre le profit estim (ou tout autre bnfice mtier) et le risque estim, diffrents critres dacceptation du risque peuvent sappliquer diffrents types de risques, par exemple des risques susceptibles daboutir une non-conformit, des rglementations ou des lois peuvent ne pas tre accepts, tandis que l'acceptation de risques levs peut tre autorise si cela est spcifi comme une exigence contractuelle, les critres dacceptation du risque peuvent comprendre des exigences relatives de futurs traitements additionnels. Ainsi, il est possible daccepter un risque sil y a un engagement et une validation que des mesures destines le ramener un niveau acceptable, dans un dlai dfini, vont tre mises en uvre.

Les critres dacceptation du risque peuvent varier selon la dure dexistence prvue du risque ; il est, par exemple, possible que le risque soit associ une activit temporaire ou de courte dure. Il convient de dterminer les critres dacceptation du risque en tenant compte des points suivants : critres commerciaux, aspects lgaux et rglementaires, aspects oprationnels, aspects technologiques, aspects financiers, facteurs sociaux et humanitaires.

NOTE Les critres dacceptation du risque correspondent aux critres dacceptation des risques et identifier le niveau de risque acceptable spcifis dans lISO/CEI 27001 article 4.2.1 c) 2).

De plus amples informations sont donnes dans lAnnexe A.

7.3

Domaine dapplication et limites

Il convient que lorganisme dfinisse le domaine dapplication et les limites de la gestion du risque en scurit de linformation. Il est ncessaire de dfinir le domaine dapplication du processus de gestion du risque en scurit de linformation afin de garantir que tous les actifs concerns sont pris en compte dans lapprciation du risque. En outre, il est ncessaire d'identifier les limites [voir aussi l'Article 4.2.1 a)] de lISO/CEI 27001] afin de traiter les risques susceptibles de survenir au travers de ces interfaces. Il convient de rassembler les informations relatives lorganisme afin de dterminer lenvironnement dans lequel il intervient ainsi que son adquation avec le processus de gestion de risque en scurit de linformation.

ISO/CEI 2008 Tous droits rservs

ISO/CEI 27005:2008(F)

Lors de la dfinition du domaine d'application et des limites, lorganisme devrait considrer les informations suivantes : les objectifs stratgiques commerciaux, les stratgies et les politiques de lorganisme, les processus mtier, les fonctions et la structure de lorganisme, les exigences lgales, rglementaires et contractuelles applicables lorganisme, la politique de scurit de linformation de lorganisme, l'approche globale de lorganisme vis--vis de la gestion du risque, les actifs informationnels, les localisations de lorganisme et leurs caractristiques gographiques, les contraintes affectant lorganisme, les attentes des parties prenantes, l'environnement socioculturel, les interfaces (cest--dire les changes d'information avec l'environnement).

De plus, il convient que lorganisme justifie toute exclusion du domaine d'application. Des exemples de domaine dapplication de gestion du risque peuvent tre une application ou une infrastructure en technologie de l'information, un processus mtier ou une partie dfinie d'un organisme.
NOTE Le domaine dapplication et les limites de la gestion du risque en scurit de linformation sont lis au domaine dapplication et aux limites du SMSI exigs dans lISO/CEI 27001 4.2.1 a).

De plus amples informations sont donnes dans lAnnexe C.

7.4

Organisation de la gestion du risque en scurit de linformation

Il convient de dterminer et de maintenir lorganisation et les responsabilits relatives au processus de gestion du risque en scurit de linformation. Les principaux rles et responsabilits de cette organisation sont les suivants : laboration du processus de gestion du risque en scurit de l'information adapt l'organisme, identification et analyse des parties prenantes, dfinition des rles et des responsabilits de toutes les parties, la fois internes et externes lorganisme, tablissement des relations entre lorganisme et les parties prenantes, des interfaces avec les fonctions de gestion de risque de haut niveau de lorganisme (par exemple, gestion du risque oprationnel) ainsi que des interfaces avec dautres projets ou activits, si cela est pertinent, dtermination des processus descalade, spcification des enregistrements conserver.

10

ISO/CEI 2008 Tous droits rservs

ISO/CEI 27005:2008(F)

Il convient que cette organisation soit approuve par les dirigeants concerns au sein de lorganisme.
NOTE LISO/CEI 27001 exige la dtermination et la mise disposition des ressources ncessaires pour tablir, mettre en uvre, exploiter, surveiller, rexaminer, tenir jour et amliorer un SMSI [5.2.1 a)]. Lorganisation du fonctionnement du processus de gestion du risque peut tre considre comme lune des ressources requises par l'ISO/CEI 27001.

8
8.1

Apprciation du risque en scurit de linformation


Description gnrale de lapprciation du risque en scurit de linformation
Lactivit dapprciation du risque est appele processus dans lISO/CEI 27001.

NOTE

lments dentre : Critres de base, domaine d'application et limites, et organisation pour ltablissement du processus de gestion du risque en scurit de linformation. Action : Les risques sont identifis, quantifis ou qualitativement dcrits, et prioriss partir des critres dvaluation du risque et des objectifs significatifs pour lorganisme. Prconisations de mise en uvre : Un risque est la combinaison des consquences qui dcouleraient de l'occurrence d'un vnement indsirable et de la probabilit d'occurrence de lvnement. Lapprciation du risque quantifie, ou dcrit qualitativement le risque, et permet aux dirigeants de classer les risques par ordre de priorit selon leur gravit perue ou en cohrence avec dautres critres tablis. Lapprciation du risque comprend les activits suivantes : lanalyse du risque (paragraphe 8.2), qui comprend : l'identification du risque (paragraphe 8.2.1), l'estimation du risque (paragraphe 8.2.2) ;

lvaluation du risque (paragraphe 8.3).

Lapprciation du risque dtermine la valeur des actifs informationnels, identifie les menaces et les vulnrabilits applicables existantes (ou susceptibles d'exister), identifie les mesures de scurit existantes et leurs effets sur le risque identifi, dtermine les consquences potentielles puis classe les risques ainsi obtenus par ordre de priorit en cohrence avec les critres d'valuation du risque dfinis lors de l'tablissement du contexte. Lapprciation du risque est souvent ralise en deux itrations (ou plus). Une apprciation de haut niveau est d'abord effectue afin d'identifier les risques potentiels majeurs qui justifient une apprciation supplmentaire. Litration suivante peut impliquer une tude dtaille des risques potentiels majeurs mis en lumire par litration initiale. Lorsque cette dmarche ne fournit pas suffisamment d'informations pour apprcier le risque, d'autres analyses dtailles peuvent tre ralises, probablement sur des sous-ensembles du domaine dapplication et, ventuellement, laide dune mthode diffrente. Il incombe lorganisme de choisir sa propre approche dapprciation du risque en se basant sur les objectifs et le but de l'apprciation du risque. Une discussion des approches dapprciation du risque en scurit de linformation se trouve en Annexe E. lment de sortie : Liste des risques apprcis classs par ordre de priorit en cohrence avec les critres d'valuation du risque.

ISO/CEI 2008 Tous droits rservs

11

ISO/CEI 27005:2008(F)

8.2
8.2.1

Analyse du risque
Identification du risque Introduction lidentification du risque

8.2.1.1

Lobjectif de lidentification du risque est de dterminer les vnements susceptibles de se produire causant une perte potentielle, et de donner un aperu de comment, o, et quand cette perte pourrait survenir. Il convient que les tapes dcrites dans les sous-paragraphes de lArticle 8.2.1 qui suivent permettent de produire les donnes dentre de lactivit destimation du risque.
NOTE Les activits dcrites dans les autres paragraphes peuvent tre effectues dans un ordre diffrent selon la mthodologie applique.

8.2.1.2

Identification des actifs

lments dentre : Domaine dapplication et limites de lapprciation du risque effectuer, liste des composants avec les propritaires, emplacement, fonction etc. Action : Il convient didentifier les actifs relevant du domaine dapplication tabli (conformment lISO/CEI 27001, paragraphe 4.2.1 d)1)). Prconisations de mise en uvre : Un actif dsigne tout lment ayant de la valeur pour lorganisme et ncessitant, par consquent, une protection. Concernant lidentification des actifs, il convient de garder lesprit quun systme dinformation ne comprend pas uniquement du matriel et des logiciels. Il convient de raliser lidentification des actifs un niveau de dtail adapt qui fournisse suffisamment dinformations pour lapprciation du risque. Le niveau de dtail utilis pour lidentification des actifs influence la quantit totale dinformations runies pendant lapprciation du risque. Le niveau peut tre affin lors ditrations ultrieures de lapprciation du risque. Il convient didentifier le propritaire de chaque actif afin dassurer la responsabilit. Le propritaire de lactif peut ne pas jouir de droits de proprit sur lactif mais est responsable de sa production, de son dveloppement, de sa maintenance, de son utilisation et de sa protection selon le cas. Le propritaire de lactif est souvent la personne la plus mme de dterminer la valeur quil reprsente pour l'organisme (voir en 8.2.2.2 concernant la valorisation des actifs). Les limites du rexamen sont le primtre des actifs de lorganisme dfini comme devant tre gr par le processus de gestion du risque en scurit de linformation. De plus amples informations quant lidentification et la valorisation des actifs lis la scurit de linformation sont disponibles dans lAnnexe B. lments de sortie : Liste des actifs dont les risques sont grer et liste des processus mtier relatifs aux actifs et leur pertinence. 8.2.1.3 Identification des menaces

lments dentre : Informations relatives aux menaces obtenues grce au rexamen des incidents, aux propritaires des actifs, aux utilisateurs et d'autres sources, y compris des catalogues de menaces externes. Action : Il convient didentifier les menaces et leurs sources (conformment lISO/CEI 27001, paragraphe 4.2.1 d)2)).

12

ISO/CEI 2008 Tous droits rservs

ISO/CEI 27005:2008(F)

Prconisations de mise en uvre : Une menace est susceptible dendommager les actifs tels que des informations, des processus et des systmes et, par consquent, des organismes. Les menaces peuvent tre dorigine naturelle ou humaine et peuvent tre accidentelles ou dlibres. Il convient didentifier les sources de menace la fois accidentelles et dlibres. Une menace peut survenir de lintrieur ou de lextrieur de lorganisme. Il convient didentifier les menaces de manire gnrique et par type ( titre dexemples : des actions non autorises, des dommages physiques, des dfaillances techniques) puis, lorsque cela est pertinent, des menaces individuelles particulires peuvent tre identifies au sein dune classe gnrique. Cela signifie quaucune menace nest nglige, mme une menace imprvue, mais que le volume de travail requis reste limit. Certaines menaces peuvent affecter plus dun actif. Dans ce cas, elles peuvent avoir diffrentes consquences selon lactif affect. Les lments dentre de lidentification des menaces et de lestimation de la vraisemblance (voir en 8.2.2.3) peuvent tre obtenus auprs des propritaires ou des utilisateurs d'actifs, auprs de l'quipe des ressources humaines, des spcialistes en infogrance et en scurit de linformation, des experts en scurit physique, du service juridique et dautres organismes (y compris des organismes juridiques), des services mtorologiques, des compagnies dassurance et des autorits nationales gouvernementales. Lors du traitement des menaces, les aspects relatifs lenvironnement et la culture doivent tre pris en compte. Lors de la ralisation dune apprciation, il convient de tenir compte de lexprience obtenue en interne partir dincidents et dapprciations de menaces antrieures. Il peut s'avrer utile de consulter d'autres catalogues de menaces (pouvant tre spcifiques un organisme ou un secteur dactivit) afin de complter le cas chant la liste de menaces gnriques. Les statistiques et catalogues relatifs aux menaces sont disponibles auprs d'organismes industriels, dadministrations gouvernementales, dorganismes juridiques, de compagnies dassurance, etc. Lors de l'utilisation de catalogues relatifs aux menaces ou de rsultats d'apprciations de menaces antrieures, il convient de garder lesprit que les menaces sont sans cesse en volution, notamment lorsque l'environnement de l'activit mtier ou les systmes dinformation changent. De plus amples informations relatives aux types de menace sont disponibles dans l'Annexe C. lment de sortie : Liste de menaces avec identification du type et de la source de la menace. 8.2.1.4 Identification des mesures de scurit existantes

lments dentre : Documentation relative aux mesures de scurit, plans de mise en uvre du traitement du risque. Action : Il convient didentifier les mesures de scurit existantes et prvues. Prconisations de mise en uvre : Il convient de procder une identification des mesures de scurit existantes pour viter des travaux ou des cots inutiles dus, par exemple, une redondance des mesures de scurit. En outre, tout en identifiant les mesures de scurit existantes, il convient d'effectuer un contrle afin de garantir que les mesures de scurit fonctionnent correctement - une rfrence aux rapports daudit du SMSI dj existants peut limiter le temps ddi cette tche. Si une mesure de scurit ne fonctionne pas comme prvu, des vulnrabilits peuvent tre engendres. Il convient de tenir compte du cas o le fonctionnement dune mesure de scurit (ou une stratgie) choisie choue et, par consquent, o des mesures de scurit complmentaires sont requises pour rpondre au risque identifi de manire efficace. Dans un SMSI, conformment lISO/CEI 27001, ce point est pris en charge par lvaluation de lefficacit des mesures. Un bon moyen destimer leffet dune mesure de scurit consiste examiner la manire dont elle rduit la vraisemblance d'une menace et la facilit exploiter la vulnrabilit, ou limpact de lincident. Les revues de direction et les rapports daudit fournissent galement des informations relatives lefficacit des mesures de scurit existantes.

ISO/CEI 2008 Tous droits rservs

13

ISO/CEI 27005:2008(F)

Il convient de considrer les mesures de scurit prvues pour dploiement, conformment aux plans de mise en uvre du traitement du risque, de la mme manire que les mesures de scurit dj mises en uvre. Une mesure de scurit existante ou prvue peut tre identifie comme tant inefficace, insuffisante ou injustifie. Si elle s'avre injustifie ou insuffisante, il convient de contrler la mesure de scurit afin de dterminer s'il convient de la retirer, de la remplacer par une autre mesure de scurit plus adapte, ou s'il convient de la laisser en place, par exemple pour des raisons de cots. Les activits suivantes peuvent savrer utiles pour lidentification des mesures de scurit existantes ou prvues : le rexamen des documents contenant des informations relatives aux mesures de scurit (par exemple, les plans de mise en uvre du traitement du risque). Si les processus de gestion de scurit de linformation sont bien documents, il convient que toutes les mesures de scurit existantes ou prvues, ainsi que le statut de leur mise en uvre, soient mis disposition, la vrification avec les personnes responsables de la scurit de linformation (par exemple un responsable de la scurit de linformation et un responsable de la scurit du systme dinformation, un responsable de la scurit physique ou un responsable des oprations) et avec les utilisateurs afin de vrifier quelles mesures de scurit sont rellement mises en uvre pour le processus dinformation ou le systme dinformation considrs, la revue sur site des mesures de scurit physiques, en comparant les mesures mises en uvre la liste des mesures dployer et en vrifiant les mesures mises en uvre pour savoir si elles fonctionnent correctement et efficacement, l'examen des rsultats des audits internes.

lments de sortie : Liste de toutes les mesures de scurit existantes et prvues, ltat relatif leur mise en uvre et leur utilisation. 8.2.1.5 Identification des vulnrabilits

lments dentre : Liste des menaces connues, listes des actifs et des mesures de contrle existantes. Action : Il convient didentifier les vulnrabilits susceptibles dtre exploites par des menaces pour nuire aux actifs ou lorganisme (conformment lISO/CEI 27001, paragraphe 4.2.1 d)3)). Prconisations de mise en uvre : Les vulnrabilits peuvent tre identifies dans : lorganisme, les processus et procdures, les activits rcurrentes de gestion, le personnel, lenvironnement physique, la configuration du systme dinformation, les matriels, logiciels ou infrastructures de communication, la dpendance aux parties externes.

14

ISO/CEI 2008 Tous droits rservs

ISO/CEI 27005:2008(F)

La prsence dune vulnrabilit nentrane pas de dommage en elle-mme, puisque la prsence d'une menace est ncessaire pour l'exploiter. Une vulnrabilit laquelle ne correspond aucune menace peut ne pas exiger la mise en uvre dune mesure de scurit, mais il convient quelle soit identifie et surveille en cas de changements. Il convient de noter qu'une mesure de scurit mal mise en uvre, ou prsentant un dysfonctionnement, ou encore utilise de manire incorrecte peut constituer une vulnrabilit. Une mesure de scurit peut savrer efficace, ou non, selon l'environnement dans lequel elle est mise en uvre. Inversement, une menace laquelle ne correspond aucune vulnrabilit peut ne pas entraner de risque. Les vulnrabilits peuvent tre lies des proprits de l'actif susceptibles d'tre utilises dune manire, ou des fins diffrentes de celles prvues lorsque lactif a t achet ou labor. Les vulnrabilits dues diffrentes sources ncessitent dtre prises en compte, par exemples celles qui sont intrinsques ou extrinsques lactif. Des exemples de vulnrabilits et de mthodes dapprciation des vulnrabilits sont disponibles dans lAnnexe D. lments de sortie : Liste des vulnrabilits lies aux actifs, aux menaces et aux mesures de scurit ; liste des vulnrabilits qui ne sont pas lies une menace identifie pour rexamen. 8.2.1.6 Identification des consquences

lments dentre : Liste des actifs, liste des processus mtier et liste des menaces et vulnrabilits, le cas chant, lies aux actifs et leur pertinence. Action : Il convient didentifier les consquences que des pertes de confidentialit, dintgrit et de disponibilit peuvent avoir sur les actifs (voir lISO/CEI 27001 4.2.1 d) 4)). Prconisations de mise en uvre : Une consquence peut tre une perte d'efficacit, des conditions de fonctionnement dfavorables, une perte d'activit mtier, de rputation, un dommage, etc. Cette activit identifie les dommages, ou les consquences pour l'organisme, susceptibles d'tre dus un scnario d'incident. Un scnario dincident est la description dune menace exploitant une certaine vulnrabilit, ou un ensemble de vulnrabilits, lors dun incident de scurit de linformation (voir lISO/CEI 27002, article 13). Les consquences des scnarii dincident doivent tre dtermines en tenant compte des critres dimpact dfinis lors de lactivit dtablissement du contexte. Un ou plusieurs actifs, ou une partie d'un actif peuvent tre affects. Les actifs peuvent donc se voir attribuer des valeurs, la fois, selon leur cot financier et selon les consquences sur lactivit mtier sils sont endommags ou compromis. Les consquences peuvent tre temporaires ou permanentes, comme dans le cas de la destruction d'un actif.
NOTE LISO/CEI 27001 dcrit loccurrence de scnarii dincident comme des dfaillances de la scurit .

Il convient que les organismes identifient les consquences oprationnelles des scnarii d'incident en termes de (sans s'y limiter) : temps dinvestigation et de rparation, temps (de travail) perdu, perte dopportunits, sant et sret, cot financier des comptences spcifiques ncessaires pour rparer les dommages, image et valorisation financire de lentreprise.

ISO/CEI 2008 Tous droits rservs

15

ISO/CEI 27005:2008(F)

Des dtails relatifs lapprciation des vulnrabilits techniques se trouvent en B.3 Apprciation des impacts. lment de sortie : Liste des scnarii dincident et de leurs consquences lies aux actifs et aux processus mtier. 8.2.2 8.2.2.1 Estimation du risque Mthodologies destimation du risque

Lanalyse de risque peut tre effectue diffrents niveaux de dtail selon la criticit des actifs, la porte des vulnrabilits connues et des incidents antrieurs expriments au sein de l'organisme. Selon les circonstances, une mthodologie destimation peut tre qualitative, quantitative ou une combinaison des deux.,En pratique, lestimation qualitative est souvent utilise en premier lieu pour obtenir une indication gnrale du niveau de risque et pour mettre en exergue les principaux risques. Il peut ensuite tre ncessaire dentreprendre une analyse plus spcifique ou quantitative des risques majeurs, tant donn qu'il est souvent moins complexe et moins onreux d'effectuer une analyse qualitative quune analyse quantitative. Il convient que le type d'analyse mene soit cohrent avec les critres d'valuation du risque dfinis lors de l'tablissement du contexte. De plus amples informations relatives aux mthodologies destimation sont dcrites ci-dessous : (a) Estimation qualitative : Lestimation qualitative utilise une chelle d'attributs qualificatifs pour dcrire lampleur des consquences potentielles (par exemple : faible, moyenne et leve) ainsi que la probabilit de leur occurrence. Un des avantages de lestimation qualitative est sa facilit de comprhension par l'ensemble du personnel concern ; en revanche un inconvnient est quelle dpend du choix subjectif de l'chelle. Ces chelles peuvent tre adaptes, ou ajustes, afin de convenir aux circonstances, et diffrentes descriptions peuvent tre utilises pour diffrents risques. Lestimation qualitative peut tre utilise : comme une activit dexamen initial destin identifier les risques qui exigent une analyse plus dtaille, lorsque ce type danalyse est adapt la prise de dcisions, lorsque les donnes numriques ou les ressources ne sont pas adaptes une estimation quantitative.

Il convient que lanalyse qualitative utilise des informations et des donnes factuelles, si elles sont disponibles. (b) Estimation quantitative : L'estimation quantitative utilise une chelle comportant des valeurs numriques (plutt que les chelles descriptives utilises lors de lestimation qualitative), la fois pour les consquences et pour la vraisemblance, laide de donnes obtenues partir de sources diverses. La qualit de lanalyse dpend de la prcision et de lexhaustivit des valeurs numriques et de la validit des modles utiliss. Dans la plupart des cas, lestimation quantitative utilise des donnes relatives des incidents expriments, l'avantage tant qu'elles peuvent tre directement lies aux objectifs et aux proccupations de l'organisme en matire de scurit de l'information. Linconvnient est le manque de ces donnes sur les nouveaux risques ou les faiblesses de la scurit de l'information. Un inconvnient de lapproche quantitative est que, lorsque les donnes factuelles et auditables ne sont pas disponibles, une illusion dutilit et de prcision de l'apprciation du risque est cre.

16

ISO/CEI 2008 Tous droits rservs

ISO/CEI 27005:2008(F)

La manire dexprimer les consquences et la vraisemblance, et de les combiner pour fournir un niveau de risque varie en fonction du type de risque et de l'objectif pour lequel les rsultats d'apprciation du risque vont tre utiliss. Il convient que lincertitude et la variabilit des consquences et de la vraisemblance soient prises en compte dans lanalyse et communiques de manire efficace. 8.2.2.2 Apprciation des consquences

lment dentre : Liste de scnarii dincident pertinents identifis, incluant lidentification des menaces, vulnrabilits, actifs altrs, consquences pour les actifs et les processus mtier. Action : Il convient dapprcier limpact sur l'activit de l'organisme pouvant rsulter d'incidents de scurit de linformation potentiels ou avrs, en tenant compte des consquences dune atteinte la scurit de linformation telle quune perte de confidentialit, dintgrit ou de disponibilit des actifs (conformment lISO/CEI 27001, paragraphe 4.2.1 e) 1)). Prconisations de mise en uvre : Une fois tous les actifs concerns identifis, il convient de prendre en compte les valeurs attribues ces actifs lors de lapprciation des consquences. La valeur dun impact sur lactivit mtier peut tre exprime de manire qualitative et quantitative, cependant une mthode dattribution dune valeur financire peut, en gnral, fournir davantage dinformations pour la prise de dcision et permettre, ainsi, un processus de dcision plus efficace. La valorisation dun actif commence par la classification des actifs en fonction de leur criticit en termes dimportance des actifs pour laccomplissement des objectifs mtiers de lorganisme. La valorisation est alors effectue laide de deux mesures : la valeur de remplacement de lactif : le cot de retour une situation normale et de remplacement des informations (dans la mesure du possible), les consquences sur lactivit mtier dune perte ou dune compromission de lactif, tels que les potentielles consquences ngatives sur lactivit et/ou les consquences lgales ou rglementaires dues la diffusion, la modification, la non disponibilit et/ou la destruction d'informations et d'autres actifs informationnels.

Cette valuation peut tre dtermine par une analyse dimpact sur lactivit mtier. La valeur, dtermine par la consquence sur l'activit, est souvent nettement suprieure au simple cot de remplacement, en fonction de limportance que joue lactif dans laccomplissement des objectifs mtiers de l'organisme. La valorisation des actifs est un facteur cl de lapprciation des impacts dun scnario dincident car lincident peut affecter plus dun actif (par exemple, des actifs dpendants) ou uniquement une partie dun actif. Diffrentes menaces et vulnrabilits auront des impacts diffrents sur les actifs, comme une perte de confidentialit, dintgrit ou de disponibilit. Lapprciation des consquences est donc lie la valorisation des actifs, base sur l'analyse des impacts sur l'activit mtier. Les consquences, ou limpact sur lactivit mtier, peuvent tre dtermins en modlisant les rsultats dun vnement ou d'un ensemble d'vnements, ou par extrapolation d'tudes exprimentales ou de donnes passes. Les consquences peuvent tre exprimes en termes de critres dimpact financier, technique ou humain, ou dautres critres pertinents dans le contexte de l'organisme. Dans certains cas, plus dune valeur numrique est ncessaire pour spcifier les consquences diffrents moments, sites, groupes ou situations. Il convient de mesurer les consquences en termes de dlais et de cots l'aide de la mme approche que celle utilise pour la vraisemblance des menaces et la vulnrabilit. Il convient de conserver la cohrence de l'approche quantitative ou qualitative.

ISO/CEI 2008 Tous droits rservs

17

ISO/CEI 27005:2008(F)

De plus amples informations concernant la valorisation des actifs et lapprciation des impacts sont disponibles dans lAnnexe B. lment de sortie : Liste des consquences d'un scnario d'incident apprcies et exprimes en cohrence avec les actifs et les critres d'impact. 8.2.2.3 Apprciation de la vraisemblance dun incident

lments dentre : Liste des scnarii dincident pertinents identifis, incluant lidentification des menaces, actifs affects, vulnrabilits exploites et consquences pour les actifs et les processus mtier. De plus, la liste de toutes les mesures de scurit existantes et prvues, leur efficacit et ltat relatif leur mise en uvre et leur utilisation. Action : Il convient dapprcier la vraisemblance des scnarii dincident (conformment lISO/CEI 27001, paragraphe 4.2.1 e)2)). Prconisations de mise en uvre : Une fois les scnarii dincident identifis, il est ncessaire dapprcier la vraisemblance de chaque scnario et survenance dimpact, l'aide de techniques d'estimation qualitatives et quantitatives. Il convient de tenir compte de la frquence de survenance des menaces et de la facilit dexploitation des vulnrabilits, en prenant en considration : l'exprience et les statistiques applicables la vraisemblance des menaces, pour les menaces de source dlibre : la motivation et les capacits, qui volueront au cours du temps, les ressources disponibles pour les attaquants potentiels, ainsi que la perception de lattrait et de vulnrabilit des actifs pour un attaquant potentiel, pour les menaces de source accidentelle : les facteurs gographiques, par exemple la proximit dusines chimiques ou dexploitations ptrolires, la possibilit de conditions mtorologiques extrmes et les facteurs susceptibles d'influencer les erreurs humaines et les dysfonctionnements des quipements, les vulnrabilits, la fois individuellement et agrges, les mesures de scurit existantes et leur efficacit pour rduire les vulnrabilits.

Par exemple, un systme dinformation peut prsenter une vulnrabilit par rapport aux menaces dusurpation didentit et dutilisation illicite des ressources. La vulnrabilit par rapport lusurpation didentit peut tre leve en raison de l'absence d'authentification de l'utilisateur. Par ailleurs, la vraisemblance de lutilisation illicite des ressources peut tre faible, malgr labsence dauthentification de lutilisateur, car les usages dtourns sont limits. Selon le degr de prcision requis, il est possible de regrouper les actifs ou il peut s'avrer ncessaire de les diviser en plusieurs lments et dassocier les scnarii ces lments. Par exemple, en fonction des emplacements gographiques, la nature des menaces ou lefficacit des mesures de scurit existantes peuvent varier pour un mme type d'actifs. lment de sortie : Vraisemblance des scnarii dincident (quantitative ou qualitative). 8.2.2.4 Estimation du niveau de risque

lment dentre : Liste des scnarii dincident accompagns de leurs consquences lies aux actifs et aux processus mtier, ainsi que leur vraisemblance (quantitative ou qualitative). Action : Il convient destimer le niveau de risque de tous les scnarii dincident pertinents (conformment lISO/CEI 27001, paragraphe 4.2.1 e)4)).

18

ISO/CEI 2008 Tous droits rservs

ISO/CEI 27005:2008(F)

Prconisations de mise en uvre : Lestimation du risque attribue des valeurs la vraisemblance et aux consquences d'un risque. Ces valeurs peuvent tre quantitatives ou qualitatives. Lestimation du risque est base sur lapprciation des consquences et de la vraisemblance. De plus, elle peut prendre en compte les bnfices en termes de cot, les proccupations des parties prenantes et d'autres variables en vue de lvaluation du risque. Le risque estim est une combinaison de la vraisemblance dun scnario dincident et de ses consquences. Des exemples de mthodes ou dapproche destimation du risque en scurit de l'information sont disponibles dans l'Annexe E. lment de sortie : Liste des risques avec un niveau de risque valoris.

8.3

Evaluation du risque

lments dentre : Liste des risques avec un niveau de risque valoris et critres dvaluation du risque. Action : Il convient de comparer le niveau des risques aux critres d'valuation du risque et aux critres d'acceptation du risque (conformment l'ISO/CEI 27001, paragraphe 4.2.1 e) 4)). Prconisations de mise en uvre : La nature des dcisions relatives lvaluation du risque et les critres dvaluation du risque qui seront utiliss pour prendre ces dcisions ont t dfinis lors de l'tablissement du contexte. A cette tape, ces dcisions et le contexte doivent tre revus en dtail au regard des risques identifis. Afin dvaluer les risques, il convient que les organismes comparent les risques estims ( l'aide de mthodes ou d'approches choisies comme abord dans l'Annexe E) aux critres d'valuation du risque dfinis lors de l'tablissement du contexte. Il convient que les critres dvaluation du risque utiliss pour prendre des dcisions soient cohrents avec le contexte interne et externe de gestion du risque en scurit de linformation, et quils tiennent compte des objectifs de lorganisme, du point de vue des parties prenantes etc. Les dcisions prises lors de lactivit dvaluation du risque sont essentiellement bases sur le niveau acceptable de risque. Toutefois, il convient de considrer galement les consquences, la vraisemblance et le degr de confiance dans lidentification et lanalyse du risque. Lagrgation de plusieurs risques faibles ou moyens peut engendrer des risques globaux nettement suprieurs quil convient de traiter en consquence. Il convient que ces considrations comprennent : les proprits relatives la scurit de linformation : si un critre n'est pas pertinent dans le contexte de l'organisme (par exemple, une perte de confidentialit), tous les risques ayant un impact sur ce critre peuvent alors ne pas tre pertinents, l'importance du processus mtier ou de lactivit reposant sur un actif ou un ensemble dactifs particuliers : si le processus est dtermin comme tant de faible importance, il convient daccorder moins dattention aux risques associs ce processus quaux risques ayant un impact sur des activits ou des processus plus importants.

Lvaluation du risque utilise la comprhension du risque obtenue par lanalyse du risque pour prendre des dcisions relatives aux actions futures. Il convient que ces dcisions indiquent : s'il convient dentreprendre une activit, les priorits de traitement de risque en tenant compte des niveaux de risque estims.

Lors de ltape dvaluation du risque, les exigences lgales et rglementaires sont des facteurs quil convient de prendre en compte en plus des risques estims.

ISO/CEI 2008 Tous droits rservs

19

ISO/CEI 27005:2008(F)

lment de sortie : Liste des risques classs par ordre de priorit selon les critres dvaluation du risque en relation avec les scnarii dincident qui conduisent ces risques.

9
9.1

Traitement du risque en scurit de linformation


Description gnrale du traitement du risque

lment dentre : Liste des risques classs par ordre de priorit en cohrence avec les critres dvaluation du risque et en relation avec les scnarii dincident qui conduisent ces risques. Action : Il convient de choisir des mesures de scurit pour rduire, maintenir, viter ou transfrer les risques, et de dfinir un plan de traitement du risque. Prconisations de mise en uvre : Quatre options de traitement du risque sont possibles : la rduction du risque (voir en 9.2), le maintien du risque (voir en 9.3), lvitement du risque (voir en 9.4) et le transfert de risque (voir en 9.5).
NOTE LISO/CEI 27001 4.2.1. f) 2) utilise le terme acceptation de risque au lieu de maintien du risque.

La Figure 2 illustre lactivit de traitement du risque au sein du processus de gestion du risque en scurit de l'information tel que prsent la Figure 1.

20

ISO/CEI 2008 Tous droits rservs

ISO/CEI 27005:2008(F)

Figure 2 Activit de traitement du risque Il convient de choisir les options de traitement du risque sur la base des rsultats de lapprciation du risque, du cot prvu de mise en en uvre ainsi que des bnfices attendus de ces options. Lorsquil est possible d'obtenir d'importantes rductions en ralisant relativement peu de dpenses, il convient de mettre en uvre ces options. Dautres options damliorations peuvent tre peu rentables ; il est donc ncessaire de bien les analyser afin de savoir si elles se justifient. En gnral, il convient de rendre les consquences ngatives des risques aussi faibles que possible et indpendantes de tout critre absolu. Il convient que les dirigeants tiennent compte des risques rares mais aux impacts importants. Dans ces cas, les mesures de scurit qui sont difficilement justifiables sur le plan

ISO/CEI 2008 Tous droits rservs

21

ISO/CEI 27005:2008(F)

conomique peuvent ncessiter d'tre mises en uvre (par exemple, des mesures de scurit lies la continuit de l'activit identifies pour couvrir des risques spcifiques levs). Les quatre options relatives au traitement du risque ne sexcluent pas mutuellement. Lorganisme peut parfois retirer des bnfices substantiels dune combinaison doptions tels que la rduction de la vraisemblance des risques et de leurs consquences et le transfert ou la conservation de tout risque rsiduel. Certains traitements du risque peuvent rpondre plus dun risque de manire efficace (par exemple, la formation et la sensibilisation en matire de scurit de linformation). Il convient de dfinir un plan de traitement du risque, qui identifie clairement les priorits et les dlais, selon lequel il convient de mettre en uvre chaque traitement de risque. Les priorits peuvent tre tablies laide de diverses techniques, notamment le classement des risques et lanalyse du rapport cots/bnfices. Il est de la responsabilit des dirigeants de lorganisme dquilibrer les cots de mise en uvre des mesures de scurit et l'attribution de budgets. Lidentification des mesures de scurit existantes peut dterminer que ces mesures sont suprieures aux besoins rels, en termes de comparaison des cots incluant la maintenance. Si le retrait de mesures de scurit redondantes ou inutiles est envisag (surtout si ces mesures entranent des cots de maintenance levs), il convient de tenir compte des facteurs relatifs la scurit de linformation et aux cots. Etant donn que les mesures de scurit peuvent sinfluencer mutuellement, la suppression des mesures de scurit redondantes peut rduire le niveau de scurit global actuel. En outre, il est parfois moins onreux de laisser en place les mesures de scurit redondantes ou inutiles plutt que de les retirer. Il convient de considrer les options lies au traitement du risque en tenant compte : de la faon dont les parties concernes peroivent le risque, des manires les plus adaptes de communiquer avec ces parties.

Ltablissement du contexte (voir en 7.2 Critres dvaluation du risque) fournit des informations relatives aux exigences lgales et rglementaires auxquelles lorganisme doit se conformer. Le risque encouru par les organismes est la non-conformit ; il convient donc de mettre en uvre des options de traitement destines limiter cette ventualit. Lors du traitement du risque, il convient de prendre en compte lensemble des contraintes organisationnelles, techniques, structurelles, etc. identifies au cours de l'activit d'tablissement du contexte. Une fois le plan de traitement du risque dfini, il est ncessaire de dterminer les risques rsiduels. Cela implique la mise jour ou la ritration de lapprciation du risque, en tenant compte des effets pressentis du traitement de risque propos. Dans le cas o le risque rsiduel ne remplirait toujours pas les critres d'acceptation du risque de l'organisme, une autre itration du traitement de risque peut savrer ncessaire avant de procder lacceptation du risque. De plus amples informations sont disponibles dans lISO/CEI 27002, paragraphe 0.3. lments de sortie : Plan de traitement du risque et risques rsiduels soumis la dcision dacceptation des dirigeants de lorganisme.

9.2

Rduction du risque

Action : Il convient de rduire le niveau de risque par la slection des mesures de scurit afin que le risque rsiduel puisse tre rapprci et jug acceptable.

22

ISO/CEI 2008 Tous droits rservs

ISO/CEI 27005:2008(F)

Prconisations de mise en uvre : Il convient de choisir des mesures de scurit adaptes et justifies afin de rpondre aux exigences identifies par l'apprciation et le traitement du risque. Il convient que ce choix tienne compte des critres dacceptation du risque ainsi que des exigences lgales, rglementaires et contractuelles. Il convient quil tienne galement compte du cot et du dlai de mise en uvre des mesures de scurit ou des aspects techniques, environnementaux et culturels. Il est souvent possible de diminuer le cot total de maintenance dun systme grce des mesures de scurit de linformation correctement choisies. En gnral, les mesures de scurit peuvent fournir un ou plusieurs types de protection : la correction, llimination, la prvention, lattnuation des impacts, la dissuasion, la dtection, la rcupration, la surveillance et la sensibilisation. Lors de la slection des mesures de scurit, il est important dvaluer le cot dacquisition, de mise en uvre, dadministration, dexploitation, de surveillance et de maintenance des mesures de scurit par rapport la valeur des actifs protgs. En outre, il convient de considrer le retour sur investissement en termes de rduction du risque et de nouvelles opportunits offertes par certaines mesures de scurit. De plus, il convient de prendre en compte les comptences spcifiques susceptibles dtre ncessaires pour dfinir et mettre en uvre de nouvelles mesures de scurit, ou pour modifier les mesures existantes. LISO/CEI 27002 fournit des informations dtailles sur les mesures de scurit. Il existe de nombreuses contraintes susceptibles daffecter le choix des mesures de scurit. Les contraintes techniques telles que les exigences de performance, les questions relatives aux possibilits de gestion (exigences de soutien oprationnel) et les problmes de compatibilit peuvent empcher lutilisation de certaines mesures de scurit, ou pourraient provoquer des erreurs humaines annulant la mesure de scurit, en crant une fausse impression de scurit, ou mme en augmentant le risque au-del de la non mise en uvre de la mesure (par exemple, en exigeant des mots de passe complexes sans relle formation, poussant ainsi les utilisateurs crire leur mot de passe sur papier). De plus, une mesure de scurit pourrait altrer les performances. Il convient que les dirigeants essaient d'identifier une solution permettant de rpondre aux exigences de performances tout en garantissant un niveau de scurit de l'information suffisant. Le rsultat de cette tape consiste en une liste des mesures de scurit possibles prsentant leur cot, leur(s) avantage(s) et la priorit de leur mise en uvre. Il convient de tenir compte de diverses contraintes lors du choix des mesures de scurit et de leur mise en uvre. En gnral, on considre les contraintes suivantes : contraintes de temps, contraintes financires, contraintes techniques, contraintes oprationnelles, contraintes culturelles, contraintes thiques, contraintes environnementales, contraintes lgales, facilit dutilisation, contraintes lies au personnel, contraintes lies lintgration de mesures de scurit nouvelles et existantes.

ISO/CEI 2008 Tous droits rservs

23

ISO/CEI 27005:2008(F)

De plus amples informations concernant les contraintes lies la rduction des risques sont disponibles dans lAnnexe F.

9.3

Maintien du risque

Action : Il convient de prendre la dcision de maintenir le risque sans autre action en fonction de lvaluation du risque.
NOTE LISO/CEI 27001 4.2.1 f 2) l'acceptation des risques en connaissance de cause et avec objectivit, dans la mesure o ils sont acceptables au regard des politiques de lorganisme et des critres dacceptation des risques dcrit la mme activit.

Prconisations de mise en uvre : Si le niveau de risque rpond aux critres dacceptation du risque, il nest pas ncessaire de mettre en uvre dautres mesures de scurit, le risque peut alors tre conserv.

9.4

vitement du risque

Action : Il convient dviter lactivit ou la situation qui donne lieu un risque particulier. Prconisations de mise en uvre : Lorsque les risques identifis sont jugs trop levs ou lorsque les cots de mise en uvre dautres options de traitement du risque dpassent les bnfices attendus, il est possible de prendre la dcision d'viter compltement le risque, en abandonnant une ou plusieurs activits prvues ou existantes, ou en modifiant les conditions dans lesquelles l'activit est effectue. Par exemple, pour les risques dcoulant dincidents naturels, il peut tre plus rentable de dplacer physiquement les moyens de traitement de linformation un endroit o le risque nexiste pas ou est matris.

9.5

Transfert du risque

Action : Il convient de transfrer le risque une autre partie capable de grer de manire plus efficace le risque spcifique en fonction de lvaluation du risque. Prconisations de mise en uvre : Le transfert du risque implique la dcision de partager certains risques avec des parties externes. Il peut crer de nouveaux risques ou modifier les risques identifis existants. Par consquent, un autre traitement de risque peut savrer ncessaire. Le transfert peut tre effectu l'aide d'une assurance qui prendra en charge les consquences ou en soustraitant un partenaire dont le rle consistera surveiller le systme dinformation et entreprendre des actions immdiates destines arrter une attaque avant qu'un niveau de dommages dfini ne soit atteint. Il convient de noter quil peut tre possible de transfrer la responsabilit de gestion du risque mais il est en gnral impossible de transfrer la responsabilit lgale dun impact. Les clients attribuent en gnral la responsabilit dun effet indsirable lorganisme.

10 Acceptation du risque en scurit de linformation


lments dentre : Plan de traitement du risque et apprciation du risque rsiduel soumis la dcision dacceptation des dirigeants de lorganisme.

24

ISO/CEI 2008 Tous droits rservs

ISO/CEI 27005:2008(F)

Action : Il convient de prendre la dcision daccepter les risques et les responsabilits de cette dcision et de lenregistrer formellement (conformment lISO/CEI 27001 paragraphe 4.2.1 h)). Prconisations de mise en uvre : Il convient que les plans de traitement du risque dcrivent la manire dont les risques vont tre traits afin de remplir les critres d'acceptation du risque (voir paragraphe 7.2 relatif aux critres d'acceptation du risque). Il est important que les dirigeants en charge rexaminent et approuvent les plans de traitement du risque proposs et les risques rsiduels associs, puis enregistrent les conditions associes lapprobation. Les critres dacceptation du risque peuvent tre plus complexes et ne pas consister simplement savoir si un risque rsiduel se situe au-dessus ou en-dessous d'un seuil unique. Dans certains cas, il est possible que le niveau de risque rsiduel ne remplisse pas les critres dacceptation du risque car les critres appliqus ne tiennent pas compte des circonstances prdominantes. Par exemple, il peut tre avanc quil est ncessaire daccepter les risques car les bnfices lis ces risques sont trs avantageux, ou parce que le cot de la rduction du risque est trop lev. De telles circonstances indiquent que les critres dacceptation du risque sont inadapts et quil convient, si possible, de les rviser. Toutefois, il nest pas toujours possible de les rviser rapidement. Dans ce cas, il est possible que les dcideurs aient accepter des risques qui ne remplissent pas les critres normaux dacceptation. Si cela savre ncessaire, il convient que le dcideur commente explicitement les risques et inclut une justification de la dcision doutrepasser les critres normaux dacceptation. lment de sortie : Liste des risques accepts et justification pour les risques ne remplissant pas les critres normaux dacceptation du risque de lorganisme.

11 Communication du risque en scurit de linformation


lments dentre : Lensemble des informations, relatives au risque, obtenues grce aux activits de gestion du risque (voir la Figure 1). Action : Il convient dchanger et/ou de partager les informations relatives au risque entre le dcideur et les autres parties prenantes. Prconisations de mise en uvre : La communication du risque consiste en une activit visant atteindre un accord sur la manire de grer les risques par un change et/ou un partage des informations relatives au risque entre les dcideurs et les autres parties prenantes. Ces informations comprennent, sans toutefois sy limiter, lexistence, la nature, le type, la vraisemblance, la gravit, le traitement et lacceptabilit des risques. Une communication efficace entre les parties prenantes est essentielle puisqu'elle peut avoir une forte influence sur les dcisions prendre. Cette communication garantit que les personnes responsables de la mise en uvre de la gestion du risque et que les personnes ayant un intrt direct comprennent les fondements sur lesquels les dcisions sont prises et les raisons pour lesquelles des actions spcifiques sont ncessaires. La communication est bidirectionnelle. Les perceptions du risque peuvent varier en raison de diffrences d'hypothses, de concepts et de besoins, de questions et proccupations des parties prenantes puisqu'elles sont lies au risque ou aux questions abordes. Les parties prenantes sont susceptibles d'mettre des jugements concernant l'acceptabilit du risque bass sur leur perception du risque. Il est particulirement important de veiller que les perceptions du risque par les parties prenantes, ainsi que leurs perceptions des bnfices, puissent tre identifies et documentes, et que les raisons sous-jacentes soient clairement comprises et traites.

ISO/CEI 2008 Tous droits rservs

25

ISO/CEI 27005:2008(F)

Il convient de procder la communication du risque pour parvenir : garantir les rsultats de la gestion de risque de lorganisme, runir les informations relatives au risque, partager les rsultats obtenus grce lapprciation du risque et prsenter le plan de traitement du risque, viter ou rduire la fois loccurrence et les consquences des violations de scurit de linformation dues un manque de comprhension mutuelle entre les dcideurs et les parties prenantes, aider au processus de prise de dcision, obtenir de nouvelles connaissances en scurit de linformation, assurer une coordination avec dautres parties et prvoir des rponses destines rduire les consquences des incidents pouvant survenir, responsabiliser les dcideurs et les parties prenantes quant aux risques, amliorer la sensibilisation la scurit de linformation.

Il convient quun organisme labore des plans de communication du risque en fonctionnement normal ainsi que dans les situations durgence. Par consquent, il convient de procder de manire continue lactivit de communication du risque. La coordination entre les principaux dcideurs et les principales parties prenantes peut tre mise en uvre en constituant un comit, de manire ce quun dbat sur les risques, sur leur niveau de priorit et le caractre adapt de leur traitement puisse avoir lieu. Il est important de cooprer avec les bons services de communication ou de relations publiques au sein de lorganisme afin de coordonner toutes les tches associes la communication du risque. Cette communication est essentielle, notamment en cas dactions de communication de crise, pour rpondre des incidents spcifiques. lment de sortie : Comprhension permanente du processus et des rsultats de la gestion du risque en scurit de linformation de lorganisme.

12 Surveillance et rexamen du risque en scurit de linformation


12.1 Surveillance et rexamen des facteurs de risque
lment dentre : Lensemble des informations, relatives au risque, obtenues grce aux activits de gestion du risque (voir la Figure 1). Action : Il convient de surveiller et de rexaminer les risques et leurs facteurs ( savoir valeur des actifs, impacts, menaces, vulnrabilits et vraisemblance) pour identifier au plus tt toutes les modifications dans le contexte de l'organisme et pour maintenir une cartographie complte des risques. Prconisations de mise en uvre : Les risques ne sont pas statiques. Les menaces, les vulnrabilits, la vraisemblance ou les consquences peuvent changer brutalement sans aucune indication pralable. Par consquent, une surveillance constante est ncessaire pour dtecter ces changements. Cette surveillance peut tre assure par des services externes qui fournissent des informations relatives de nouvelles menaces ou vulnrabilits.

26

ISO/CEI 2008 Tous droits rservs

ISO/CEI 27005:2008(F)

Il convient que les organismes sassurent que les lments suivants sont constamment surveills : les nouveaux actifs ayant t inclus dans le domaine dapplication de la gestion du risque, les modifications ncessaires des valeurs des actifs, en raison par exemple des modifications des exigences mtier, les nouvelles menaces susceptibles d'tre actives la fois l'intrieur et lextrieur de l'organisme et qui n'ont pas t apprcies, la possibilit que des vulnrabilits nouvelles ou accrues puissent permettre aux menaces de les exploiter, les vulnrabilits identifies pour dterminer celles qui deviennent exposes des menaces nouvelles ou qui rapparaissent, laugmentation de limpact ou des consquences des menaces, des vulnrabilits et des risques apprcis en agrgation entranant un niveau de risque inacceptable, les incidents lis la scurit de l'information.

De nouvelles menaces, vulnrabilits ou modifications de la vraisemblance ou des consquences peuvent accrotre les risques apprcis auparavant comme des risques peu levs. Il convient que le rexamen des risques peu levs et accepts prenne en compte chaque risque individuellement, puis de manire globale, afin dapprcier le cumul potentiel des impacts. Si les risques ne relvent pas de la catgorie de risques peu levs ou acceptables, il convient de les traiter l'aide d'une ou de plusieurs options prsentes lArticle 9. Les facteurs affectant la vraisemblance et les consquences des menaces peuvent changer, de mme que les facteurs affectant la pertinence et le cot des diverses options de traitement. Il convient que les modifications majeures de lorganisme entranent un rexamen plus spcifique. Par consquent, il convient de rpter rgulirement les activits de surveillance du risque et de rexaminer priodiquement les options choisies de traitement du risque. Le rsultat des activits de surveillance du risque peut servir de donne d'entre d'autres activits de rexamen du risque. Il convient que lorganisme rexamine rgulirement lensemble des risques, notamment lors de modifications importantes (conformment lISO/CEI 27001, paragraphe 4.2.3)). lments de sortie : Alignement continu de la gestion du risque avec les objectifs mtiers de lorganisme ainsi quavec les critres dacceptation du risque.

12.2 Surveillance, rexamen et amlioration de la gestion du risque


lments dentre : Lensemble des informations, relatives au risque, obtenues grce aux activits de gestion du risque (voir la Figure 1). Action : Il convient de constamment surveiller, rexaminer et amliorer le processus de gestion du risque en scurit de l'information si ncessaire et de manire approprie. Prconisations de mise en uvre : Une surveillance et un rexamen permanents sont ncessaires pour garantir que le contexte, les rsultats de lapprciation et du traitement du risque, ainsi que les plans de gestion, restent adapts aux circonstances.

ISO/CEI 2008 Tous droits rservs

27

ISO/CEI 27005:2008(F)

Il convient que l'organisme s'assure que le processus de gestion du risque en scurit de l'information et les activits associes restent adapts aux circonstances actuelles et qu'ils soient respects. Il convient de notifier aux dirigeants concerns toute amlioration accepte apporte au processus ou aux actions ncessaires pour amliorer la conformit au processus afin qu'ils aient la garantie qu'aucun risque nest nglig ou sous-estim, que les actions ncessaires soient mises en uvre et les dcisions ncessaires sont prises pour garantir la comprhension raliste du risque et la capacit y rpondre. En outre, il convient que lorganisme vrifie rgulirement que les critres utiliss pour mesurer le risque et ses lments constitutifs sont encore valables et cohrents avec les objectifs mtiers, les stratgies et les politiques, et que les modifications apportes au contexte mtier sont correctement prises en compte au cours du processus de gestion du risque en scurit de l'information. Il convient que cette activit de surveillance et de rexamen rponde aux points suivants (sans toutefois sy limiter) : le contexte lgal et environnemental, le contexte concurrentiel, l'approche lie lapprciation du risque, la valeur et les catgories dactifs, les critres dimpact, les critres dvaluation du risque, les critres dacceptation du risque, le cot total de maintenance, les ressources ncessaires.

Il convient que lorganisme sassure que les ressources relatives lapprciation et au traitement du risque soient constamment disponibles pour rexaminer le risque, traiter des menaces ou des vulnrabilits nouvelles, ou modifies et conseiller les dirigeants en consquence. La surveillance de la gestion du risque peut entraner la modification ou lenrichissement de lapproche, de la mthodologie ou des outils utiliss en fonction : des changements identifis, de l'itration de lapprciation du risque, de l'objectif du processus de gestion du risque en scurit de linformation (par exemple, la continuit de lactivit, la rsilience aux incidents, la conformit), du domaine dapplication du processus de gestion du risque en scurit de linformation (par exemple, lorganisme, lentit oprationnelle, le processus dinformations, sa mise en uvre technique, son application, sa connexion Internet).

lment de sortie : Pertinence permanente du processus de gestion du risque en scurit de linformation avec les objectifs mtiers de lorganisme ou mise jour du processus.

28

ISO/CEI 2008 Tous droits rservs

ISO/CEI 27005:2008(F)

Annex A (informative) Dfinition du domaine dapplication et des limites du processus de gestion du risque en scurit de linformation

A.1 tude de l'organisme


valuer lorganisme Ltude de lorganisme rappelle les lments caractristiques qui dfinissent lidentit dun organisme. Cette tude concerne lobjectif, lactivit, les missions, les valeurs et les stratgies de cet organisme. Il convient didentifier ces lments ainsi que les lments contribuant leur dveloppement (par exemple, la sous-traitance). La difficult de cette activit consiste comprendre parfaitement la manire dont l'organisme est structur. Lidentification de sa structure relle permettra de comprendre le rle et limportance de chaque division dans le processus de ralisation des objectifs de lorganisme. Par exemple, le fait que le responsable de la scurit de linformation sadresse aux hauts dirigeants, plutt quaux gestionnaires des technologies de linformation, peut indiquer limplication des hauts dirigeants dans le domaine de la scurit de linformation. Principal objectif de lorganisme L'objectif principal d'un organisme peut tre dfini comme la raison pour laquelle il existe (son domaine dactivit, son segment de march, etc.). Son activit Lactivit de lorganisme, dfinie par les techniques et le savoir-faire de ses employs, lui permet de remplir ses missions. Elle est spcifique au domaine dactivit de lorganisme et dfinit souvent sa culture. Sa mission Lorganisme atteint son objectif en accomplissant sa mission. Afin didentifier ses missions, il convient didentifier les services fournis et/ou les produits fabriqus par rapport aux utilisateurs finaux. Ses valeurs Les valeurs sont les principes majeurs ou le code de conduite bien dfini appliqu la pratique dune activit. Elles peuvent concerner le personnel, les relations avec des agents extrieurs (clients, etc.), la qualit des produits ou des services fournis. Prenons lexemple dun organisme dont lobjectif est le service public, dont l'activit est le transport et dont les missions comprennent le transport denfants de leur domicile l'cole, et inversement. Ses valeurs peuvent tre la ponctualit du service et la scurit pendant le transport. Structure de lorganisme Il existe diffrents types de structure : structure divisionnaire : chaque division est place sous lautorit dun chef de division responsable des dcisions stratgiques, administratives et oprationnelles concernant son service, structure fonctionnelle : l'autorit fonctionnelle est exerce sur les procdures, la nature du travail et, parfois, les dcisions ou la planification (par exemple, la production, les technologies de linformation, les ressources humaines, le marketing, etc.).

ISO/CEI 2008 Tous droits rservs

29

ISO/CEI 27005:2008(F)

Remarques : Une division situe au sein dun organisme possdant une structure divisionnaire peut tre organise comme une structure fonctionnelle, et inversement ; Un organisme peut tre considr comme ayant une structure matricielle s'il possde des lments emprunts aux deux types de structure ; Dans toute structure organisationnelle, il est possible de distinguer les niveaux suivants : le niveau de processus dcisionnel (dfinition des orientations stratgiques), le niveau de leadership (coordination et management), le niveau oprationnel (activits de production et de soutien).

Organigramme La structure de lorganisme est reprsente sous forme de schma dans un organigramme. Il convient que cette reprsentation souligne les axes hirarchiques et de dlgation de lautorit, mais il convient qu'elle comprenne galement dautres relations qui, mme si elles ne sont pas fondes sur une autorit formelle, sont cependant des flux d'informations. Stratgie de lorganisme Cette stratgie requiert une expression formelle des principes directeurs de lorganisme. La stratgie de lorganisme dtermine lorientation et le dveloppement ncessaires afin de tirer profit des problmatiques en jeu et des changements majeurs quelle prvoit.

A.2 Liste des contraintes affectant lorganisme


Il convient de tenir compte de toutes les contraintes affectant lorganisme et dterminant lorientation de sa scurit de linformation. Leur source peut se trouver au sein de lorganisme, auquel cas, lorganisme les contrle, ou en dehors de lorganisme et, par consquent, ces contraintes ne sont en gnral pas ngociables. Les contraintes lies aux ressources (budget, personnel) et aux urgences font partie des contraintes les plus importantes. Lorganisme dfinit ses objectifs (relatifs son activit, son comportement, etc.) en s'engageant sur une certaine voie, probablement pour une longue priode. Il dfinit ce quil souhaite devenir et les moyens mettre en uvre. En spcifiant cette voie, lorganisme tient compte des dveloppements techniques et du savoir-faire, des souhaits exprims par les utilisateurs, les clients, etc. Cet objectif peut tre exprim sous la forme de stratgies de fonctionnement ou de dveloppement avec pour objectif, par exemple, de rduire les cots dexploitation, damliorer la qualit du service, etc. Ces stratgies comprennent probablement des informations ainsi que le systme d'informations (SI) prenant part leur application. Par consquent, les caractristiques relatives lidentit, la mission et aux stratgies de lorganisme constituent des lments fondamentaux de lanalyse du problme, puisque la violation dun aspect li la scurit de linformation peut contraindre la reformulation de ces objectifs stratgiques. En outre, il est essentiel que les propositions lies aux exigences de scurit de linformation restent cohrentes avec les rgles, les usages et les moyens en vigueur au sein de l'organisme. La liste des contraintes inclut les lments suivants, sans toutefois s'y limiter :

30

ISO/CEI 2008 Tous droits rservs

ISO/CEI 27005:2008(F)

Contraintes de nature politique Ces contraintes peuvent concerner des administrations, des institutions publiques ou, de manire plus gnrale, toute organisation devant appliquer des dcisions gouvernementales. Il sagit habituellement de dcisions relatives lorientation stratgique ou oprationnelle prises par une division dadministrations publiques ou un organisme dcideur et qu'il convient d'appliquer. Par exemple, linformatisation des factures ou de documents administratifs engendre des problmes lis la scurit de linformation. Contraintes de nature stratgique Les contraintes peuvent provenir de changements prvus ou potentiels apports aux structures ou l'orientation de l'organisme. Elles sont exprimes dans les programmes stratgiques ou oprationnels de lorganisme. Par exemple, une coopration internationale destine partager des informations sensibles peut exiger des accords relatifs la scurisation de lchange. Contraintes territoriales La structure et/ou lobjectif de lorganisme peuvent crer des contraintes spcifiques comme la distribution des sites sur lensemble du territoire national ou l'tranger. Par exemple, des services postaux, des ambassades, des banques, des filiales dun grand groupe industriel, etc. Contraintes lies au climat conomique et politique Le fonctionnement dun organisme peut tre profondment modifi par des vnements spcifiques comme des grves ou des crises nationales ou internationales. Il convient, par exemple, que certains services soient en mesure de continuer fonctionner mme pendant une crise grave. Contraintes structurelles La nature de la structure dun organisme (divisionnaire, fonctionnelle ou autre) peut conduire une politique de scurit de l'information spcifique et une organisation de la scurit adapte cette structure. Par exemple, il convient quune structure internationale soit en mesure dtablir un lien entre les exigences de scurit spcifiques chaque pays. Contraintes fonctionnelles Les contraintes fonctionnelles rsultent directement des missions gnrales ou spcifiques de lorganisme. Par exemple, il convient quun organisme qui travaille 24 heures sur 24 sassure que ses ressources sont toujours disponibles. Contraintes lies au personnel La nature de ces contraintes varie de manire considrable. Ces contraintes sont lies : au niveau de responsabilit, au recrutement, la qualification, la formation, la sensibilisation la scurit, la motivation, la disponibilit, etc. Par exemple, il convient que lensemble du personnel dun organisme de dfense soit autoris traiter des informations hautement confidentielles.

ISO/CEI 2008 Tous droits rservs

31

ISO/CEI 27005:2008(F)

Contraintes lies au calendrier de lorganisme Ces contraintes peuvent rsulter de la restructuration ou de la mise en place de nouvelles politiques nationales ou internationales imposant certains dlais. Par exemple, la cration dun service de scurit. Contraintes lies aux mthodes Il sera ncessaire dimposer des mthodes adaptes au savoir-faire de lorganisme pour des aspects comme la planification d'un projet, ses spcifications, son dveloppement, etc. Une contrainte type de ce genre concerne, par exemple, le besoin dintroduire dans la politique de scurit les obligations lgales de lorganisme. Contraintes de nature culturelle Dans certains organismes, les habitudes de travail ou lactivit principale ont cr une culture spcifique au sein de l'organisme, qui peut s'avrer incompatible avec les contrles de scurit. Cette culture constitue le cadre de rfrence gnral du personnel lequel peut tre dtermin par de nombreux aspects, y compris lducation, linstruction, lexprience professionnelle, lexprience en-dehors du travail, les opinions, la philosophie, les croyances, le statut social, etc. Contraintes budgtaires Les mesures de scurit recommandes peuvent parfois avoir un cot trs lev. Mme sil n'est pas toujours appropri de faire reposer des investissements lis la scurit sur la rentabilit, une justification conomique est gnralement exige par le service financier de l'organisme. Par exemple, dans le secteur priv et dans certains organismes publics, il convient que le cot total des mesures de scurit ne soit pas suprieur au cot des consquences ventuelles des risques. Il convient, par consquent, que la direction value et prenne des risques calculs si elle souhaite viter des cots excessifs lis la scurit.

A.3 Liste des rfrences lgislatives et rglementaires applicables lorganisme


Il convient didentifier les exigences rglementaires applicables lorganisme. Ces exigences peuvent tre des lois, des dcrets, des rglements spcifiques au domaine de l'organisme ou des rglements internes ou externes. Elles concernent galement les contrats et accords et dune manire plus gnrale, toute obligation de nature lgale ou rglementaire.

A.4 Liste des contraintes affectant le domaine dapplication


En identifiant les contraintes, il est possible de dresser la liste de celles ayant un impact sur le domaine dapplication et de dterminer lesquelles sont toutefois propices laction. Elles s'ajoutent aux contraintes de l'organisme dfinies ci-dessus, voire mme les amendent. Les paragraphes suivants prsentent une liste non exhaustive des types de contraintes possibles. Contraintes lies aux processus prexistants Les projets dapplication ne sont pas ncessairement labors simultanment. Certains projets dpendent de processus prexistants. Mme si un processus peut tre divis en sous-processus, il ne subit pas ncessairement linfluence de lensemble des sous-processus dun autre processus.

32

ISO/CEI 2008 Tous droits rservs

ISO/CEI 27005:2008(F)

Contraintes techniques Les contraintes techniques relatives linfrastructure proviennent en gnral de matriels, de logiciels installs et de locaux, ou de sites hbergeant les processus : les dossiers (exigences concernant lorganisme, la gestion des supports, la gestion des rgles daccs, etc.), l'architecture gnrale (exigences relatives la topologie (centralise, rpartie, client-serveur), larchitecture physique, etc.), les logiciels dapplication (exigences relatives la conception de logiciels spcifiques, aux standards du march, etc.), les progiciels (exigences relatives aux standards, au niveau dvaluation, la qualit, la conformit aux normes, la scurit, etc.), le matriel (exigences relatives aux standards, la qualit, la conformit aux normes, etc.), les rseaux de communication (exigences relatives la couverture, aux standards, la capacit, la fiabilit, etc.), l'infrastructure des btiments (exigences relatives au gnie civil, la construction, aux hautes et basses tensions, etc.).

Contraintes financires La mise en uvre de mesures de scurit est souvent limite par le budget que lorganisme peut y consacrer. Toutefois, il convient que la contrainte financire soit toujours considre en dernier lieu, puisque lattribution du budget la scurit peut tre ngocie sur la base de ltude de la scurit. Contraintes environnementales Les contraintes environnementales proviennent de lenvironnement gographique ou conomique dans lequel les processus sont mis en uvre : pays, climat, risques naturels, situation gographique, climat conomique, etc. Contraintes de temps Il convient de tenir compte du temps ncessaire la mise en uvre des mesures de scurit en cohrence avec la capacit de mettre jour le systme d'information ; si le temps de mise en uvre est trs long, les risques pour lesquels la mesure de scurit a t conue peuvent avoir chang. Le temps est un facteur dterminant dans le choix des solutions et des priorits. Contraintes lies aux mthodes Il convient dutiliser des mthodes adaptes au savoir-faire de lorganisme pour la planification du projet, ses spcifications, son dveloppement, etc.

ISO/CEI 2008 Tous droits rservs

33

ISO/CEI 27005:2008(F)

Contraintes organisationnelles Diverses contraintes peuvent apparatre la suite des exigences organisationnelles : le fonctionnement (exigences relatives aux dlais dexcution, la fourniture de services, la surveillance, aux plans durgence, la dgradation du fonctionnement, etc.), la maintenance (exigences relatives au diagnostic des incidents, aux actions prventives, la correction rapide, etc.), la gestion des ressources humaines (exigences relatives la formation des oprateurs et des utilisateurs, aux qualifications pour des postes dadministrateur systme ou dadministrateur de donnes, etc.), la gestion administrative (exigences relatives aux responsabilits, etc.), la gestion du dveloppement (exigences relatives aux outils de dveloppement, au gnie logiciel assist par ordinateur, aux plans d'acceptation, l'organisation mettre en place, etc.), la gestion des relations extrieures (exigences relatives lorganisation de relations avec des tiers, aux contrats, etc.).

34

ISO/CEI 2008 Tous droits rservs

ISO/CEI 27005:2008(F)

Annex B (informative) Identification et valuation des actifs et apprciation des impacts

B.1 Exemples didentification des actifs


Afin de procder lvaluation des actifs, il est ncessaire pour un organisme didentifier ses actifs ( un niveau de dtail appropri). Il est possible de distinguer deux types dactifs : les actifs primordiaux : processus et activits mtier informations

les actifs en support (sur lesquels reposent les actifs primordiaux du domaine d'application) de tous les types : matriel logiciels rseau personnel site structure de lorganisme

B.1.1 Identification des actifs primordiaux


Pour dcrire le domaine dapplication de manire plus prcise, cette activit consiste identifier les actifs primordiaux (processus et activits mtier, informations). Cette identification est effectue par un groupe de travail mixte reprsentatif du processus (dirigeants, spcialistes et utilisateurs de systmes d'information). Les actifs primordiaux sont, en gnral, les processus centraux et informations de lactivit dans le domaine dapplication. Il est galement possible de considrer dautres actifs primordiaux comme les processus de lorganisme, qui seront plus adapts pour laborer une politique de scurit de linformation ou un plan de continuit de lactivit. Selon lobjectif, certaines tudes nexigeront pas danalyse exhaustive de lensemble des lments constitutifs du domaine dapplication. Dans ce cas, les limites de l'tude peuvent tre rduites aux lments cls du domaine d'application.

ISO/CEI 2008 Tous droits rservs

35

ISO/CEI 27005:2008(F)

Il existe deux types d'actifs primordiaux : 1 Les processus (ou sous processus) et activits mtier, par exemple : les processus dont la perte ou la dgradation rend impossible la ralisation de la mission de l'organisme, les processus contenant des processus secrets ou les processus impliquant une technique brevete, les processus qui, sils sont modifis, peuvent considrablement affecter laccomplissement de la mission de lorganisme, les processus qui sont ncessaires l'organisme pour tre conforme aux exigences contractuelles, lgales ou rglementaires.

2 Les informations : Dune faon plus gnrale, les informations primordiales comprennent essentiellement : les informations vitales pour lexercice de la mission ou de lactivit de lorganisme, les informations personnelles, telles que dfinies de manire spcifique par la lgislation nationale relative la vie prive, les informations stratgiques requises pour atteindre les objectifs dfinis par les orientations stratgiques, les informations forte valeur financire dont la collecte, le stockage, le traitement et la transmission ncessitent un long dlai et/ou impliquent un cot dacquisition lev.

Les processus et informations, qui ne sont pas jugs sensibles, aprs cette activit nauront aucune classification dans le reste de ltude. Cela signifie que mme si ces processus et informations sont compromis, l'organisme parviendra malgr tout accomplir la mission. Toutefois, ils exigeront souvent la mise en uvre de mesures de scurit afin de protger les processus et informations jugs sensibles.

B.1.2 Liste et description des actifs en support


Le domaine dapplication se compose d'actifs qu'il convient d'identifier et de dcrire. Ces actifs prsentent des vulnrabilits exploitables par des menaces visant affaiblir les actifs primordiaux du domaine dapplication (processus et informations). Ils sont de divers types : Matriel Le type relatif au matriel se compose de tous les lments physiques prenant en charge des processus. Equipement de traitement des donnes (actif) Equipement automatique de traitement de linformation comprenant les lments ncessaires pour fonctionner de manire indpendante. Equipement transportable Equipement informatique portable. Exemples : ordinateur portable, PDA (Personal Digital Assistant).

36

ISO/CEI 2008 Tous droits rservs

ISO/CEI 27005:2008(F)

Equipement fixe Equipement informatique utilis dans les locaux de lorganisme. Exemples : serveur, microordinateur utilis comme poste de travail. Priphriques de traitement Equipement reli un ordinateur via un port de communication (lien en srie, lien parallle, etc.) pour saisir, transporter ou transmettre des donnes. Exemples : imprimante, lecteur de disque amovible. Support de donnes (passif) Il s'agit de supports destins stocker des donnes ou des fonctions. Support lectronique Support dinformation pouvant tre reli un ordinateur ou un rseau informatique afin de stocker des donnes. Malgr leur taille compacte, ces supports peuvent contenir de nombreuses donnes. Ils peuvent tre utiliss avec un quipement informatique standard. Exemples : disquette, CD ROM, cartouche de secours, disque dur amovible, cl USB, cassette. Autres supports Supports statiques et non lectriques contenant des donnes. Exemples : papier, diapositive, transparent, documentation, fax. Logiciels Les logiciels comprennent tous les programmes contribuant au fonctionnement dun ensemble de traitement de donnes. Systme dexploitation Ce systme inclut tous les programmes dun ordinateur qui constituent la base oprationnelle partir de laquelle tous les autres programmes (services ou applications) sont grs. Il comporte un noyau et des fonctions, ou des services de base. Selon larchitecture, un systme dexploitation peut tre monolithique ou constitu d'un micronoyau et dun ensemble de services fonctionnels. Les principaux lments du systme dexploitation sont tous des services de gestion du matriel (unit centrale, mmoire, disque et interfaces rseau), les services de gestion des tches ou des processus ainsi que les services de gestion des droits utilisateurs. Logiciels de service, de maintenance ou dadministration Logiciel caractris par le fait quil complte les services du systme d'exploitation et qu'il ne situe pas directement au service des utilisateurs ou des applications (mme sil est souvent essentiel, voire indispensable au fonctionnement densemble du systme dinformation). Progiciel ou logiciel standard Les logiciels standards ou progiciels sont des produits complets commercialiss comme tels (plutt que comme exemplaire unique ou comme dveloppements spcifiques) avec un support, une version et une maintenance. Ils fournissent des services destins aux utilisateurs et aux applications, mais ne sont pas personnaliss ou spcifiques comme le sont les applications de gestion.

ISO/CEI 2008 Tous droits rservs

37

ISO/CEI 27005:2008(F)

Exemples : logiciel de gestion de base de donnes, logiciel de messagerie lectronique, groupware, logiciel dannuaire, logiciel serveur, etc. Applications mtier Application mtier standard Il sagit dun logiciel commercial conu pour donner aux utilisateurs un accs direct aux services et aux fonctions quils exigent de leur systme dinformation dans le cadre de leur profession. Il existe une trs large gamme de domaines, illimite en thorie. Exemples : logiciel de comptabilit, logiciel de commande de machines outils, logiciel dassistance clientle, logiciel de gestion des comptences personnelles, logiciel administratif, etc. Application mtier spcifique Il sagit dun logiciel dont divers aspects (principalement le soutien, la maintenance, la mise jour, etc.) ont t spcialement conus pour donner aux utilisateurs un accs direct aux services et fonctions quils exigent de leur systme dinformation. Il existe une trs large gamme de domaines, illimite en thorie. Exemples : Gestion des factures de clients doprateurs tlphoniques, application de surveillance en temps rel pour le lancement de fuse. Rseau Le type de rseau comprend tous les dispositifs de tlcommunication utiliss pour interconnecter plusieurs ordinateurs ou lments distants dun systme dinformation. Supports Les supports ou matriels de communication et de tlcommunication sidentifient principalement aux caractristiques physiques et techniques de lquipement (point point, diffusion) et aux protocoles de communication (lien ou rseau niveaux 2 et 3 de modle de couche OSI 7). Exemples : Rseau tlphonique commut public (RTCP), Ethernet, GigabitEthernet, ADSL (Ligne dabonn numrique asymtrique), spcifications de protocole sans fil (par exemple WiFi 802.11), Bluetooth, FireWire. Relais actif ou passif Ce sous-type comprend tous les dispositifs qui ne sont pas des terminaisons logiques de communication (vision SI), mais des dispositifs intermdiaires ou de relais. Les relais se caractrisent par les protocoles de communication par rseau pris en charge. Hormis le relais de base, ils comprennent souvent des fonctions et des services de routage et/ou de filtrage, en utilisant des slecteurs de radiocommunication et des routeurs avec filtres. Ils peuvent souvent tre grs distance et sont, en gnral, capables de gnrer des journaux. Exemples : pont, routeur, concentrateur, slecteur, central automatique.

38

ISO/CEI 2008 Tous droits rservs

ISO/CEI 27005:2008(F)

Interface de communication Les interfaces de communication des units centrales sont relies ces units centrales mais se caractrisent par les supports et les protocoles pris en charge, par tout filtrage install, des fonctions et capacits de gnration de journal ou davertissement et par la possibilit et lexigence dadministration distance. Exemples : GPRS (service gnral de paquets radio), adaptateur Ethernet. Personnel Le personnel comprend tous les groupes de personnes impliqus dans le systme dinformation. Dcideur Les dcideurs sont les propritaires des actifs primordiaux (informations et fonctions) ainsi que les dirigeants de lorganisme ou du projet spcifique. Exemples : direction gnrale, chef de projet. Utilisateurs Les utilisateurs reprsentent les membres du personnel qui manipulent des lments sensibles dans le cadre de leur activit et ont une responsabilit spciale cet gard. Ils peuvent avoir des droits daccs spciaux au systme dinformation afin d'effectuer leurs tches quotidiennes. Exemples : gestion des ressources humaines, gestion financire, gestionnaire de risques. Personnel dexploitation / de maintenance Il sagit du personnel en charge de lexploitation et de la maintenance du systme dinformation. Ils disposent de droits daccs spciaux au systme dinformation afin d'effectuer leurs tches quotidiennes. Exemples : administrateur systme, administrateur de donnes, back-up, centre dassistance, oprateur de tldistribution, responsables de la scurit. Dveloppeurs Les dveloppeurs sont chargs de dvelopper les applications dun organisme. Ils ont accs une partie du systme dinformation grce des droits de haut niveau mais neffectuent aucune action sur les donnes de production. Exemples : dveloppeurs dapplications de gestion. Site Le site comprend tous les emplacements contenant le domaine dapplication ou une partie du domaine dapplication ainsi que les moyens physiques requis pour que ce domaine fonctionne. Emplacement Environnement extrieur Il concerne tous les emplacements au sein desquels les moyens de scurit de lorganisme ne peuvent sappliquer.

ISO/CEI 2008 Tous droits rservs

39

ISO/CEI 27005:2008(F)

Exemples : rsidence du personnel, locaux dun autre organisme, environnement situ lextrieur du site (zone urbaine, zone dangereuse). Locaux Cet endroit est dlimit par le primtre de lorganisme directement en contact avec lextrieur. Il peut sagir dune limite physique de protection obtenue en crant des barrires physiques ou des dispositifs de surveillance autour des btiments. Exemples : tablissement, btiments. Zone Une zone est forme par une limite physique de protection crant des cloisons dans les locaux dun organisme. Elle est obtenue en crant des barrires physiques autour des infrastructures de traitement de linformation de lorganisme. Exemples : bureaux, zone daccs rserv, zone scurise. Services essentiels Tous les services ncessaires au fonctionnement du matriel dun organisme. Communication Services et matriel de tlcommunications fournis par un oprateur. Exemples : ligne tlphonique, PABX (installation supplmentaires), rseaux tlphoniques internes. Utilitaires Services et moyens (sources et cblage) ncessaires pour alimenter le matriel et les priphriques de technologie de linformation. Exemples : alimentation lectrique basse tension, onduleur, centre distributeur dun circuit lectrique. Alimentation en eau Traitement des dchets Services et moyens (matriel, contrle) destins rafrachir et purifier lair. Exemples : conduites deau frache, appareil de climatisation. automatique dabonns avec postes

40

ISO/CEI 2008 Tous droits rservs

ISO/CEI 27005:2008(F)

Organisme Lorganisme dcrit le cadre organisationnel, compos de lensemble des structures de personnel ddies une tche ainsi que les procdures destines contrler ces structures. Autorits Il sagit dorganismes desquels lorganisme tudi tire son autorit. Ils peuvent tre lgalement affilis ou externes. Les autorits imposent sur lorganisme tudi des contraintes en termes de rglementation, de dcisions et dactions. Exemples : entit responsable, sige social dun organisme. Structure de l'organisme Elle comprend les diffrentes branches de lorganisme, y compris ses activits transverses, sous le contrle de sa gestion. Exemples : gestion des ressources humaines, gestion des technologies de linformation, gestion des achats, gestion des entits oprationnelles, service de scurit des btiments, service incendie, gestion des audits. Organisation de projet ou de systme Elle concerne lorganisation dfinie pour un projet ou un service spcifique. Exemples : nouveau projet de dveloppement dune application, projet de migration dun systme dinformation. Sous-traitants / Fournisseurs / Fabricants Il sagit dorganismes qui fournissent lorganisme un service ou des ressources et qui y sont lis par un contrat. Exemples : entreprise de gestion des locaux, entreprise de sous-traitance, cabinets de consultants.

B.2 valuation des actifs


Ltape suivant lidentification des actifs consiste dterminer lchelle utiliser, ainsi que les critres destins attribuer chaque actif un emplacement spcifique sur cette chelle, sur la base dune valuation. En raison de la diversit des actifs dtects dans la plupart des organismes, il est probable que certains actifs ayant une valeur montaire connue soient valus dans lunit montaire locale, tandis que dautres ayant une valeur plus qualitative se voient attribuer une plage de valeurs, allant par exemple de trs faible trs leve . La dcision dutiliser une chelle quantitative, plutt quune chelle qualitative, relve vritablement dune question de prfrence organisationnelle, mais il convient quelle soit cohrente avec les actifs valus. Les deux types dvaluation peuvent tre utiliss pour le mme actif. Les termes type utiliss pour lvaluation qualitative des actifs comprend des termes comme : ngligeable, trs faible, faible, moyenne, leve, trs leve et critique. Le choix et la gamme de termes adapts un organisme dpendent fortement de ses besoins en termes de scurit, de sa taille en termes dorganisation et dautres facteurs spcifiques lorganisme.

ISO/CEI 2008 Tous droits rservs

41

ISO/CEI 27005:2008(F)

Critres Il convient de dfinir laide de termes sans quivoque les critres utiliss comme base pour attribuer une valeur chaque actif. Il sagit souvent dun des aspects les plus difficiles de lvaluation des actifs, car il peut savrer ncessaire de dterminer les valeurs de certains actifs de manire subjective et galement parce que de nombreuses personnes diffrentes sont susceptibles deffectuer cette dtermination. Les critres pouvant tre utiliss pour dterminer la valeur dun actif comprennent son cot dorigine, son cot de remplacement ou de re-cration ; sa valeur peut galement tre abstraite, par exemple la valeur de la rputation dun organisme. Une autre mthode dvaluation des actifs repose sur les frais gnrs par une perte de confidentialit, dintgrit et de disponibilit suite un incident. Il convient galement de tenir compte, le cas chant, de la non-rpudiation, de limputabilit, de lauthenticit et de la fiabilit. Cette valuation fournit les principaux axes de valeur des actifs, en plus du cot de remplacement, en fonction des estimations des consquences mtier dfavorables rsultant dincidents lis la scurit, conjugus avec un ensemble prsum de circonstances. Il faut souligner que cette approche tient compte des consquences qui sont ncessaires prendre en considration lors de lapprciation du risque. De nombreux actifs peuvent se voir attribuer plusieurs valeurs au cours de cette valuation. Par exemple : un plan dactivits peut tre valu sur la base du travail effectu pour laborer ce plan, sur la base du travail effectu pour saisir les donnes mais, aussi, sur la base de sa valeur par rapport un concurrent. Chacune des valeurs attribues varie trs vraisemblablement de manire considrable. La valeur attribue peut tre la valeur maximale de toutes les valeurs possibles, la somme de certaines valeurs ou lensemble des valeurs possibles. Dans lanalyse finale, il convient de dterminer avec soin quelles valeurs sont attribues un actif, puisque la valeur finale attribue intervient dans la dtermination des ressources utilises pour la protection de lactif. Rduction une base commune Finalement, toutes les valuations dactifs doivent tre rduites une base commune. Cette rduction seffectue laide des critres noncs ci-dessous. Les critres susceptibles dtre utiliss pour valuer les consquences possibles rsultant dune perte de confidentialit, dintgrit, de disponibilit, de nonrpudiation, dimputabilit, dauthenticit ou de fiabilit des actifs sont : la violation de la lgislation et/ou dune rglementation, une dficience des performances de lactivit, une perte de rputation/un effet ngatif sur la rputation, une violation associe aux informations personnelles, une atteinte la scurit personnelle, des effets dfavorables pour lapplication des lois, un manquement lobligation de confidentialit, une atteinte lordre public, une perte financire, une interruption des activits, une atteinte la scurit environnementale.

42

ISO/CEI 2008 Tous droits rservs

ISO/CEI 27005:2008(F)

Une autre approche destine valuer les consquences peut tre : une interruption de service : une incapacit fournir le service,

la perte de confiance dun client : la perte de crdibilit dans le systme dinformation interne, une atteinte la rputation,

une interruption de fonctionnement interne : une dfaillance de lorganisme lui-mme, le cot interne supplmentaire,

une interruption de fonctionnement dun tiers : une interruption dune transaction entre un tiers et lorganisme, divers types de prjudice,

une violation de lois / rglementations : une incapacit remplir ses obligations lgales,

une rupture de contrat : une incapacit remplir ses obligations contractuelles,

un danger compromettant la scurit du personnel / des utilisateurs : un danger pour le personnel et / ou les utilisateurs,

une atteinte la vie prive des utilisateurs, des pertes financires, des cots financiers durgence ou de rparation : en termes de personnel, en termes dquipement, en termes dtudes, de rapports dexperts,

des pertes de biens / de fonds / dactifs, des pertes de clients ou de fournisseurs, des procdures et peines judiciaires, une perte davantage concurrentiel ; une perte davance technologique / technique,

ISO/CEI 2008 Tous droits rservs

43

ISO/CEI 27005:2008(F)

une perte defficacit / de confiance, une perte de rputation technique, un affaiblissement de la capacit de ngociation, une crise industrielle (grves), une crise gouvernementale, une mise au chmage technique, des prjudices matriels.

Ces critres sont des exemples de problmatiques considrer lors de lvaluation des actifs. Pour raliser ces valuations, un organisme doit choisir des critres adapts son type dactivit et ses exigences en matire de scurit. Cela peut signifier que certains des critres prsents ci-dessus ne sont pas applicables, et que dautres peuvent tre ajouts cette liste. chelle Une fois tablis les critres considrer, il convient que lorganisme convienne dune chelle utiliser. La premire tape consiste dterminer le nombre de niveaux utiliser. Il nexiste aucune rgle relative au nombre de niveaux le plus adapt. Un plus grand nombre de niveaux fournit un niveau de granularit plus important mais, parfois, une diffrentiation plus prcise rend plus difficiles les attributions dans lorganisme. Il est normalement possible dutiliser tous les nombres de niveaux compris entre 3 (par exemple, faible, moyen et lev) et 10 tant que ce nombre est cohrent avec lapproche utilise par lorganisme pour lensemble du processus dapprciation du risque. Un organisme peut dfinir ses propres valeurs dactifs, comme faible , moyenne ou leve . Il convient dvaluer ces limites conformment aux critres choisis (par exemple, dans le cas dune ventuelle perte financire, il convient de les prsenter sous forme de valeurs montaires mais, dans le cas de considrations telles quune atteinte la scurit personnelle, une valuation montaire peut savrer complexe et non adapte tous les organismes). Enfin, il incombe entirement lorganisme de dcider ce qui est considr comme une consquence faible ou leve . Une consquence dsastreuse pour un petit organisme peut paratre faible, voire mme ngligeable pour un trs grand organisme. Dpendances Plus les processus mtier pris en charge par un actif sont pertinents et nombreux, plus la valeur de cet actif est importante. Il convient didentifier galement les dpendances des actifs par rapport aux processus mtier et aux autres actifs, puisque cela peut avoir une influence sur les valeurs des actifs. Par exemple, il convient de protger la confidentialit des donnes pendant tout leur cycle de vie, et ce toutes les tapes, y compris le stockage et le traitement, cest--dire quil convient de relier directement les besoins relatifs la scurit des programmes de stockage et de traitement des donnes la valeur reprsentant la confidentialit des donnes stockes et traites. De plus, si un processus mtier repose sur lintgrit de certaines donnes produites par un programme, il convient que les donnes dentre de ce programme soient suffisamment fiables. En outre, lintgrit des informations dpendra du matriel et des logiciels utiliss pour leur stockage et leur traitement. Ainsi, le matriel dpendra de lalimentation lectrique et ventuellement de la climatisation. Les informations relatives aux dpendances faciliteront donc lidentification des menaces mais, surtout, des vulnrabilits. Elles contribueront galement garantir que la valeur relle des actifs ( travers les relations de dpendance) soit donne aux actifs, indiquant ainsi le niveau de protection adapt. Les valeurs des actifs, dont dautres actifs dpendent, peuvent tre modifies de la manire suivante : si les valeurs des actifs dpendants (par exemple, des donnes) sont infrieures ou gales la valeur de lactif considr (par exemple un logiciel), sa valeur reste la mme,

44

ISO/CEI 2008 Tous droits rservs

ISO/CEI 27005:2008(F)

si les valeurs des actifs dpendants (par exemple des donnes) sont suprieures, alors il convient daugmenter la valeur de lactif considr (par exemple, un logiciel) conformment : au degr de dpendance, aux valeurs des autres actifs.

Un organisme peut possder des actifs qui sont disponibles plus dune fois, comme des copies de programmes logiciels ou le mme type dordinateur utilis dans la plupart des bureaux. Il est important den tenir compte en procdant lvaluation des actifs. Dune part, ces actifs sont facilement ignors, par consquent, il convient de les identifier tous ; dautre part, ils peuvent tre utiliss pour rduire les problmes de disponibilit. Sortie Llment final de sortie de cette tape est une liste dactifs et de leurs valeurs par rapport la divulgation (prservation de la confidentialit), la modification (prservation de lintgrit, de lauthenticit, de la nonrpudiation et de limputabilit), la non-disponibilit, la destruction (prservation de la disponibilit et de la fiabilit) et du cot de remplacement.

B.3 Apprciation des impacts


Un incident li la scurit de linformation peut affecter plus dun actif ou seulement une partie dun actif. Cet impact est li au niveau de succs de lincident. Par consquent, il existe une diffrence importante entre la valeur de lactif et limpact rsultant de lincident. On considre quun impact a soit un effet immdiat (oprationnel), soit un effet futur (li lactivit) qui inclut des consquences financires et commerciales. Un impact immdiat (oprationnel) est direct ou indirect. Direct : a) la valeur financire de remplacement dun actif (ou dune partie dun actif) perdu, b) le cot dacquisition, de configuration et dinstallation du nouvel actif ou de sauvegarde, c) le cot des oprations interrompues en raison de lincident jusqu ce que le service fourni par le ou les actifs soit restaur, d) les rsultats dimpact dune violation de la scurit de linformation. Indirect : a) b) c) d) e) le cot de lopportunit (les ressources financires ncessaires pour remplacer ou rparer un actif qui aurait t utilis ailleurs), le cot des oprations interrompues, le mauvais usage potentiel des informations obtenues en raison dune atteinte la scurit, la violation des obligations statutaires ou rglementaires, la violation des codes thiques de conduite.

Ainsi, la premire apprciation (sans aucune mesure de quelque sorte) estimera un impact trs prs de la(les) (combinaison de) valeur(s) de lactif concern. En cas ditration supplmentaire concernant cet(ces) actif(s), limpact sera diffrent (en gnral nettement moins important) en raison de la prsence et de lefficacit des mesures de scurit mises en uvre.

ISO/CEI 2008 Tous droits rservs

45

ISO/CEI 27005:2008(F)

Annex C (informative) Exemples de menaces type


Le tableau suivant donne des exemples de menaces type. Cette liste peut tre utilise lors du processus dapprciation des menaces. Les menaces peuvent tre dlibres, accidentelles ou environnementales (naturelles), et peuvent rsulter, titre dexemples, de dommages ou de la perte de services essentiels. La liste suivante indique pour chaque type de menace si D (dlibre), A (accidentelle) ou E (environnementale) sapplique. D est utilis pour les actions dlibres destines aux actifs informationnels, A est utilis pour toutes les actions humaines qui peuvent endommager les actifs informationnels de manire accidentelle et E est utilis pour tous les incidents qui ne reposent pas sur des actions humaines. Les groupes de menaces ne sont pas classs par ordre de priorit.
Type Menaces Incendie Dgt des eaux Pollution Accident majeur Destruction de matriel ou de support Poussire, corrosion, conglation Phnomne climatique Phnomne sismique Phnomne volcanique Phnomne mtorologique Inondation Panne du systme de climatisation ou dalimentation en eau Perte de la source dalimentation en lectricit Panne du matriel de tlcommunications Rayonnements lectromagntiques Rayonnements thermiques Impulsions lectromagntiques Interception de signaux dinterfrence compromettants Espionnage distance Ecoute Vol de supports ou de documents Vol de matriel Rcupration de supports recycls ou mis au rebut Divulgation Donnes provenant de sources douteuses Pigeage de matriel Pigeage de logiciel Golocalisation Panne de matriel Dysfonctionnement du matriel Saturation du systme dinformation Dysfonctionnement du logiciel Violation de la maintenabilit du systme dinformation Utilisation non autorise du matriel Reproduction frauduleuse de logiciel Utilisation de logiciels copis ou de contrefaon Corruption de donnes Traitement illgal de donnes Erreur dutilisation Abus des droits Usurpation de droits Dni dactions Violation de la disponibilit du personnel Origine A, D, E A, D, E A, D, E A, D, E A, D, E A, D, E E E E E E A, D A, D, E A, D A, D, E A, D, E A, D, E D D D D D D A, D A, D D A, D D A A A, D A A, D D D A, D D D A A, D D D A, D, E

Dommage physique

Catastrophes naturelles

Perte de essentiels

services

Perturbation due des rayonnements

Compromission dinformations

Dfaillances techniques

Actions autorises

non

Compromission fonctions

des

46

ISO/CEI 2008 Tous droits rservs

ISO/CEI 27005:2008(F)

Il convient de prter une attention particulire aux sources de menace humaines. Ces sources sont prsentes en dtail de manire spcifique dans le tableau suivant :
Origine de la menace Pirate informatique Dfi Amour-propre Rbellion Statut Argent Escroc informatique Destruction dinformations Divulgation illgale dinformations Gain financier Modification non autorise de donnes Motivation Consquences possibles Piratage informatique Ingnierie sociale Intrusion, introductions par effraction dans un systme Accs non autoris dans un systme Dlit informatique (par exemple harclement par Internet) Acte frauduleux (par exemple rmission, usurpation didentit, interception) Corruption dinformations Usurpation Intrusion dans un systme Terroriste Chantage Destruction Exploitation Vengeance Avantage politique Couverture mdiatique Espionnage industriel (Renseignement, entreprises, gouvernements trangers, intrts dautres gouvernements) Avantage concurrentiel Espionnage conomique Bombe/Terrorisme Guerre de linformation Attaque du systme (par exemple dni de service distribu) Pntration dans un systme Pigeage dun systme Avantage en matire de dfense Avantage politique Exploitation conomique Vol dinformations Intrusion dans la vie prive Ingnierie sociale Pntration dans un systme Accs non autoris un systme (accs des informations classes, propritaires et/ou lies la technologie) Initis (employs peu qualifis, mcontents, malveillants, ngligents, malhonntes ou ex-employs) Curiosit Amour-propre Renseignement Gain financier Vengeance Erreurs et omissions involontaires (par exemple erreur de saisie des donnes, erreur de programmation) Agression dun employ Chantage Exploration dinformations propritaires Malveillance informatique Fraude et vol Corruption dinformations Saisie de donnes falsifies, corrompues Interception Code malveillant (par exemple virus, bombe logique, cheval de Troie) Vente d'informations personnelles Bugs du systme Intrusion dans un systme Sabotage dun systme Accs non autoris dans un systme

ISO/CEI 2008 Tous droits rservs

47

ISO/CEI 27005:2008(F)

Annex D (informative) Vulnrabilits et mthodes dapprciation des vulnrabilits


D.1 Exemples de vulnrabilits
Le tableau suivant fournit des exemples de vulnrabilits dans divers domaines de scurit, y compris des exemples de menaces susceptibles dexploiter ces vulnrabilits. Les listes peuvent contribuer, lors de lapprciation des menaces et des vulnrabilits, dterminer des scnarii dincident pertinents. Il faut souligner que, dans certains cas, dautres menaces peuvent galement exploiter ces vulnrabilits.
Types Exemples de vulnrabilits Maintenance insuffisante/mauvaise installation des supports de stockage Absence de programmes de remplacement priodique Sensibilit lhumidit, la poussire, aux salissures Sensibilit aux lectromagntiques Matriel rayonnements Exemples de menaces Violation de la maintenabilit du systme dinformation Destruction de matriel ou de support Poussire, corrosion, conglation Rayonnements lectromagntiques Erreur dutilisation Perte de lectricit la source dalimentation en

Absence de contrle efficace de modification de configuration Sensibilit aux variations de tension Sensibilit aux variations de temprature Stockage non protg Manque de prudence lors de la mise au rebut Reproduction non contrle Tests de logiciel absents ou insuffisants Failles bien connues dans le logiciel Pas de fermeture de session en quittant le poste de travail Mise au rebut et rutilisation de supports de stockage sans vritable effacement Absence de traces daudit

Phnomne mtorologique Vol de supports ou de documents Vol de supports ou de documents Vol de supports ou de documents Abus de droits Abus de droits Abus de droits Abus de droits Abus de droits Abus de droits Corruption de donnes Corruption de donnes Erreur dutilisation Erreur dutilisation Erreur dutilisation Erreur dutilisation ( suivre)

Logiciel

Attribution errone des droits daccs Logiciel distribu grande chelle Application de programmes de gestion de mauvaises donnes en termes de temps Interface utilisateur complique Absence de documentation Rglage incorrect de paramtres Dates incorrectes

48

ISO/CEI 2008 Tous droits rservs

ISO/CEI 27005:2008(F)

(suite)
Types Exemples de vulnrabilits Absence de mcanismes didentification et dauthentification tels que lauthentification des utilisateurs Tableaux de mots de passe non protgs Mauvaise gestion des mots de passe Activation de services non ncessaires Logiciel neuf ou en phase de rodage Logiciel (fin) Spcifications des dveloppeurs confuses ou incompltes Absence de contrle efficace des modifications Chargement et utilisation non contrls du logiciel Absence de copies de sauvegarde Absence de protection physique du btiment, des portes et des fentres Impossibilit de produire les comptes-rendus de gestion Absence de preuves denvoi ou de rception dun message Voies de communication non protges Trafic sensible non protg Mauvais cblage Point de dfaillance unique Rseau Absence didentification et dauthentification de lexpditeur et du destinataire Architecture rseau non scurise Transfert de mots de passe en clair Gestion rseau routage) inadapte (rsilience du Exemples de menaces Usurpation de droits Usurpation de droits Usurpation de droits Traitement illgal de donnes Dysfonctionnement du logiciel Dysfonctionnement du logiciel Dysfonctionnement du logiciel Pigeage de logiciel Pigeage de logiciel Vol de supports ou de documents Utilisation non autorise du matriel Dni dactions Ecoute Ecoute Panne du matriel de tlcommunications Panne du matriel de tlcommunications Usurpation de droits Espionnage distance Espionnage distance Saturation du systme dinformation Utilisation non autorise du matriel Violation de la disponibilit du personnel Destruction de matriel ou de support Erreur dutilisation Erreur dutilisation Erreur dutilisation Traitement illgal de donnes Vol de supports ou de documents

Connexions au rseau public non protges Absence de personnel Procdures de recrutement inadaptes Formation insuffisante la scurit Utilisation incorrecte du logiciel et du matriel Personnel Absence de sensibilisation la scurit Absence de mcanismes de surveillance Travail non surveill dune quipe extrieure ou de lquipe dentretien Absence de politiques relatives la bonne utilisation de supports de tlcommunications et de la messagerie

Utilisation non autorise du matriel ( suivre)

ISO/CEI 2008 Tous droits rservs

49

ISO/CEI 27005:2008(F)

(suite)
Types Exemples de vulnrabilits Utilisation inadapte ou ngligente du contrle daccs physique aux btiments et aux salles Emplacement situ dans une zone sujette aux inondations Rseau lectrique instable Absence de protection physique du btiment, des portes et des fentres Absence de procdure formelle relative lenregistrement et au retrait des utilisateurs Absence de processus formel relatif rexamen des droits daccs (supervision) au Exemples de menaces Destruction de matriel ou de support Inondation Perte de lectricit la source dalimentation en

Site

Vol de matriel Abus de droits Abus de droits

Absence de dispositions suffisantes (relatives la scurit) dans les contrats avec des clients et/ou des tiers Absence de procdure de surveillance des moyens de traitement de linformation Absence daudits rguliers (supervision) Absence de procdures dapprciation du risque didentification et

Abus de droits

Abus de droits Abus de droits Abus de droits

Absence de rapports derreur enregistrs dans les journaux administrateurs et les journaux oprations Rponse inadapte du service de maintenance Organisme Accord de service absent ou insuffisant Absence de modifications procdure de contrle des

Abus de droits Violation de la maintenabilit du systme dinformation Violation de la maintenabilit du systme dinformation Violation de la maintenabilit du systme dinformation Corruption de donnes Corruption de donnes Donnes provenant de sources douteuses Dni dactions Panne de matriel Erreur dutilisation Erreur dutilisation ( suivre)

Absence de procdure formelle du contrle de la documentation SMSI Absence de procdure formelle de supervision des enregistrements SMSI Absence de processus formel dautorisation des informations disposition du public Absence de bonne attribution des responsabilits en scurit de linformation Absence de plans de continuit Absence de politique relative lutilisation des emails Absence de procdures dintroduction dun logiciel dans des systmes dexploitation

50

ISO/CEI 2008 Tous droits rservs

ISO/CEI 27005:2008(F)

(fin)
Types Exemples de vulnrabilits Absence denregistrements dans les journaux administrateurs et journaux oprations Absence de procdures relatives au traitement de linformation classe Absence de responsabilits en scurit de linformation dans les descriptions de poste Dispositions absentes ou insuffisantes (relatives la scurit de l'information) dans les contrats avec les employs Absence de processus disciplinaire dfini en cas dincident en scurit de linformation Absence de politique formelle relative lutilisation des ordinateurs portables Exemples de menaces Erreur dutilisation Erreur dutilisation Erreur dutilisation

Traitement illgal de donnes

Vol de matriel Vol de matriel Vol de matriel Vol de supports ou de documents Vol de supports ou de documents Vol de supports ou de documents Utilisation non autorise du matriel Utilisation non autorise du matriel Utilisation de contrefaon logiciels copis ou de

Organisme (fin)

Absence de contrle des actifs situs hors des locaux Politique absente ou insuffisante relative au bureau propre et lcran vide Absence dautorisation relative aux moyens de traitement de linformation Absence de mcanismes de surveillance tablis pour des violations de scurit Absence de revues de direction rgulires Absence de procdures de signalement des failles de scurit Absence de procdures de la conformit des dispositions aux droits de proprit intellectuelle

A.5 Mthodes dapprciation des vulnrabilits techniques


Il est possible dutiliser des mthodes proactives comme des tests du systme dinformation afin didentifier les vulnrabilits par rapport la criticit du systme de technologie de linformation, des communications (TIC) et des ressources disponibles (par exemple fonds attribus, technologie disponible, personnes dtenant le savoir-faire ncessaire pour mener les essais). Les mthodes de tests comprennent : outil automatis d'analyse de vulnrabilits, test et valuation de scurit, tests dintrusion, revue de code.

ISO/CEI 2008 Tous droits rservs

51

ISO/CEI 27005:2008(F)

Loutil automatis danalyse de vulnrabilits est utilis pour analyser un groupe dhtes, ou un rseau, afin de dtecter les services vulnrables connus (par exemple, un systme permettant un protocole de transfert de fichier (FTP), un relais sendmail. Toutefois, il convient de noter que certaines vulnrabilits potentielles identifies par loutil automatis d'analyse peuvent ne pas reprsenter les vulnrabilits relles dans le contexte de lenvironnement du systme. Par exemple, certains outils danalyse considrent des vulnrabilits potentielles sans tenir compte de lenvironnement et des exigences du site. Certaines vulnrabilits dtectes par le logiciel danalyse automatis peuvent ne pas tre vulnrables pour un site spcifique mais peuvent tre configures de cette manire parce que leur environnement l'exige. Par consquent, cette mthode de tests peut gnrer de faux positifs. Il est galement possible dutiliser une autre technique, celle des tests et de lvaluation de scurit (STE), en identifiant les vulnrabilits dun systme TIC lors du processus dapprciation du risque. Cette mthode comprend llaboration et lexcution dun protocole de test ( titre dexemples, script de test, procdures de test et rsultats dessai attendus). Lobjectif des tests de scurit du systme est de mettre essai l'efficacit des mesures de scurit d'un systme TIC telles qu'elles ont t mises en uvre dans un environnement oprationnel. Le but est de garantir que les mesures appliques rpondent aux spcifications de scurit valides en termes de matriel et de logiciel, de mettre en uvre la politique de scurit de l'organisme ou dassurer la conformit aux normes de lindustrie. Les tests dintrusion peuvent tre utiliss pour complter le rexamen des mesures de scurit et garantir que les diffrents aspects du systme TIC sont scuriss. Lorsquils sont utiliss au cours du processus dapprciation du risque, les tests dintrusion peuvent tre utiliss pour valuer la capacit dun systme TIC rsister aux tentatives volontaires de contourner la scurit du systme. Leur objectif est de mettre le systme TIC essai du point de vue de la source de menace et d'identifier les dfaillances potentielles des schmas de protection du systme TIC. La revue de code est la manire la plus minutieuse (mais galement la plus onreuse) dapprcier les vulnrabilits. Les rsultats de ce type de tests de scurit contribuent identifier les vulnrabilits dun systme. Il est important de noter que les outils et techniques d'intrusion peuvent donner des rsultats errons, moins que la vulnrabilit soit exploite avec succs. Pour exploiter des vulnrabilits spcifiques, il est ncessaire de connatre les correctifs logiciels dploys sur le systme/lapplication tests. Si ces donnes sont connues au moment des tests, il peut s'avrer impossible d'exploiter avec succs une vulnrabilit spcifique (par exemple, en obtenant un accs distance non autoris une console) ; toutefois, il est toujours possible d'craser ou de redmarrer un processus ou un systme test. Dans ce cas, il convient de considrer galement comme vulnrable lobjet test. Les mthodes peuvent inclure les activits suivantes : entretiens avec des utilisateurs et autres personnes, questionnaires, inspection physique, analyse de document.

52

ISO/CEI 2008 Tous droits rservs

ISO/CEI 27005:2008(F)

Annex E (informative) Approches dapprciation du risque en scurit de linformation

E.1 Apprciation du risque de haut niveau en scurit de l'information


Lapprciation de haut niveau permet de dfinir les priorits et la chronologie des actions. Pour diffrentes raisons, par exemple de budget, il peut s'avrer impossible de mettre en uvre toutes les mesures de scurit en mme temps ; seuls les risques les plus critiques peuvent alors tre abords par le processus de traitement de risque. Il peut galement tre prcoce de commencer une gestion dtaille de risque si la mise en uvre nest envisage qu'aprs une ou deux annes. Afin datteindre cet objectif, lapprciation de haut niveau peut commencer par une valuation de haut niveau des consquences plutt que par une analyse systmatique des menaces, des vulnrabilits, des actifs et des consquences. Une autre raison de commencer par lapprciation de haut niveau est de la synchroniser avec dautres plans relatifs la gestion des modifications (ou la continuit de l'activit). Par exemple, il n'est pas conseill de scuriser entirement un systme ou une application s'il est prvu de les sous-traiter dans un futur proche, mme sil peut tre encore utile de procder lapprciation du risque pour dfinir le contrat de soustraitance. Les caractristiques de litration de lapprciation de haut niveau du risque peuvent comprendre les points suivants : Lapprciation de haut niveau du risque peut considrer un aspect plus gnral de lorganisme et de ses systmes dinformation, en considrant les aspects technologiques comme indpendants des questions lies lactivit. De cette manire, lanalyse du contexte est davantage axe autour de lenvironnement dexploitation et de lentreprise plutt qu'autour des lments technologiques. Lapprciation de haut niveau du risque peut traiter une liste plus limite de menaces et de vulnrabilits regroupes dans des domaines dfinis ou peut, afin de faciliter le processus, se concentrer sur le risque ou sur des scnarii d'attaque plutt que sur leurs lments. Les risques prsents dans lapprciation de haut niveau du risque sont souvent des domaines de risque plus gnraux plutt que des risques spcifiques identifis. Dans la mesure o les scnarii ou les menaces sont regroups en domaines, le traitement du risque propose des listes de mesures dans ce domaine. Les activits lies au traitement du risque tentent d'abord de proposer et de choisir des mesures de scurit communes qui sont valables dans l'ensemble du systme. Cependant, lapprciation de haut niveau du risque, parce quelle traite rarement des dtails technologiques, est plus approprie pour fournir des mesures de scurit organisationnelles et non techniques, des aspects lis la gestion de mesures de scurit techniques ou des moyens de protection techniques comme des sauvegardes et des anti-virus.

Les avantages de lapprciation de haut niveau du risque sont : lintgration dune approche initiale simple est susceptible d'obtenir l'approbation du programme d'apprciation du risque, il convient quil soit possible d'laborer une image stratgique du programme organisationnel de scurit de linformation, cest--dire qui servira d'aide la planification, les ressources et le budget peuvent sappliquer lorsquils sont trs avantageux ; les systmes susceptibles de requrir le plus haut niveau de protection sont traits en premier.

ISO/CEI 2008 Tous droits rservs

53

ISO/CEI 27005:2008(F)

Puisque les analyses initiales du risque sont de haut niveau et, ventuellement, dune prcision infrieure, le seul inconvnient possible est que certains processus mtier ou systmes ne soient pas identifis comme ncessitant une seconde apprciation de risque plus dtaille. Cet inconvnient peut tre vit s'il existe des informations adaptes relatives tous les aspects de l'organisme, de ses informations et de ses systmes, y compris les informations obtenues partir de lvaluation des incidents en scurit de linformation. Lapprciation de haut niveau du risque considre les valeurs pour lorganisme des actifs informationnels ainsi que les risques du point de vue de lorganisme. Au niveau du premier point de dcision (voir figure 1), plusieurs facteurs aident dterminer si lapprciation de haut niveau est adapte au traitement de risque ; ces facteurs peuvent inclure les lments suivants : les objectifs mtiers atteindre en utilisant divers actifs informationnels, le degr selon lequel lactivit de lorganisme dpend de chaque actif informationnel, cest--dire si les fonctions que lorganisme juge essentielles sa survie, ou si son activit, dpendent de chaque actif ou de la confidentialit, lintgrit, la disponibilit, la non rpudiation, l'imputabilit, l'authenticit et la fiabilit des informations stockes et traites sur cet actif, le niveau d'investissement dans chaque actif informationnel, en termes de dveloppement, de conservation ou de remplacement de lactif, les actifs informationnels, pour lesquels lorganisme attribue directement une valeur.

Lorsque ces facteurs sont valus, la dcision devient plus facile. Si les objectifs dun actif sont extrmement importants pour la conduite des activits d'un organisme, ou si les actifs prsentent un risque lev, il convient de procder une seconde itration de lapprciation, dtaille, du risque relative l'actif informationnel spcifique (ou une partie de cet actif). La rgle gnrale appliquer est : si labsence de scurit de linformation peut entraner des consquences dfavorables importantes pour un organisme, ses processus mtier ou ses actifs, une seconde itration de lapprciation du risque est alors ncessaire, un niveau plus approfondi, pour identifier les risques potentiels.

E.2 Apprciation dtaille du risque en scurit de linformation


Le processus dapprciation dtaille du risque en scurit de linformation implique lidentification et lvaluation approfondie des actifs, lapprciation des menaces par rapport ces actifs et lapprciation des vulnrabilits. Les rsultats obtenus grce ces activits sont alors utiliss pour apprcier les risques, puis pour identifier le traitement du risque. Cette tape dtaille exige en gnral du temps, des efforts et une expertise considrables et peut, par consquent, tre la plus adapte aux systmes d'information prsentant un risque lev. Ltape finale de lapprciation dtaille du risque en scurit de linformation consiste valuer les risques globaux, ce qui constitue le sujet central de la prsente annexe. Les consquences peuvent tre apprcies de diffrentes manires, y compris laide de mesures quantitatives (par exemple, montaires) et qualitatives (qui peuvent reposer sur lutilisation dadjectifs tels que modr ou grave), ou laide dune combinaison des deux. Afin dapprcier la vraisemblance dune menace, il convient de dterminer la dure au-del de laquelle lactif a de la valeur ou exige une protection. La vraisemblance dune menace spcifique est affecte par les points suivants : lattrait de lactif ou limpact possible applicable lorsqu'une menace humaine dlibre est considre, la facilit de conversion dune personne lexploitation dune vulnrabilit de lactif par une rcompense, applicable si une menace humaine dlibre est considre,

54

ISO/CEI 2008 Tous droits rservs

ISO/CEI 27005:2008(F)

les capacits techniques de lagent de menace, applicable des menaces humaines dlibres, la sensibilit de la vulnrabilit lexploitation, applicable la fois aux vulnrabilits techniques et non techniques.

De nombreuses mthodes utilisent des tableaux et combinent des mesures subjectives et empiriques. Il est important que lorganisme utilise une mthode avec laquelle il est laise, en laquelle il a confiance et qui gnre des rsultats rptables. Quelques exemples de techniques bases sur des tableaux sont donns cidessous.

E.2.1 Exemple 1 Matrice avec valeurs prdfinies


Dans les mthodes dapprciation du risque de ce type, les actifs physiques rels ou proposs sont valus en termes de cot de remplacement ou de reconstruction (cest--dire des mesures quantitatives). Ces cots sont ensuite convertis sur une chelle qualitative identique celle utilise pour les informations (voir cidessous). Les actifs logiciels rels ou proposs sont valus de la mme manire que les actifs physiques, avec des cots dachat ou de reconstruction identifis, puis convertis une chelle qualitative identique celle utilise pour les informations. En outre, si aucun logiciel dapplication nest considr comme possdant ses propres exigences intrinsques relatives la confidentialit et l'intgrit (par exemple, si le code source est lui-mme commercialement sensible), il est valu avec la mme mthode que les informations. Les valeurs relatives aux informations sont obtenues en organisant des entretiens avec la direction de lorganisme choisi (les propritaires de donnes ) qui peuvent parler des donnes en toute connaissance de cause, afin de dterminer la valeur et la sensibilit des donnes en cours d'utilisation ou devant tre stockes, traites ou consultes. Ces entretiens facilitent lapprciation de la valeur et de la sensibilit des informations en termes de scnarii les plus dfavorables susceptibles de survenir, rsultant de consquences dfavorables lies l'activit et dues une divulgation ou une modification non autorises, une indisponibilit pendant diverses dures et une destruction. Lvaluation est effectue laide des lignes directrices relatives lvaluation des informations, qui abordent des questions telles que : la sret personnelle, les informations personnelles, les obligations lgales et rglementaires, l'application des lois, les intrts commerciaux et conomiques, les pertes financires/linterruption d'activits, l'ordre public, la politique mtier et le fonctionnement, la perte de rputation, les contrats ou les accords avec un client.

Ces lignes directrices facilitent lidentification des valeurs sur une chelle numrique, par exemple lchelle de 0 4 prsente dans lexemple de matrice ci-dessous, permettant ainsi de reconnatre, si possible, des valeurs quantitatives et des valeurs qualitatives, lorsque les valeurs quantitatives sont impossibles, par exemple, pour une atteinte la vie humaine.

ISO/CEI 2008 Tous droits rservs

55

ISO/CEI 27005:2008(F)

L'activit principale suivante consiste constituer des paires de questionnaires pour chaque type de menace, pour chaque groupe dactifs auquel est associ un type de menace, afin de pouvoir apprcier les niveaux de menaces (la vraisemblance) et les niveaux de vulnrabilit (facilit dexploitation par les menaces afin de crer des consquences dfavorables). La rponse chaque question est note. Ces notes sont rassembles dans une base de connaissances, puis compares des niveaux dfinis. Ce systme permet didentifier des niveaux de menace sur une chelle allant du plus faible au plus lev puis, de la mme manire, des niveaux de vulnrabilit, comme le montre l'exemple de matrice ci-dessous, en tablissant le cas chant des diffrences entre les types de consquences. Il convient de runir les informations ncessaires pour remplir les questionnaires partir des entretiens avec le personnel technique concern, des inspections physiques des sites et des revues de documentation. Les valeurs des actifs, ainsi que les niveaux de menace et de vulnrabilit associs chaque type de consquence, sont apparis dans une matrice semblable celle prsente ci-dessous, afin d'identifier pour chaque combinaison la mesure de risque correspondante sur une chelle de 0 8. Les valeurs sont places dans la matrice de manire structure. Un exemple est donn ci-aprs : Tableau E.1a)
Vraisemblance Menace Facilit dexploitation 0 1 Valeur lactif de 2 3 4 F 0 1 2 3 4 Faible M 1 2 3 4 5 E 2 3 4 5 6 F 1 2 3 4 5 Moyenne M 2 3 4 5 6 E 3 4 5 6 7 F 2 3 4 5 6 leve M 3 4 5 6 7 E 4 5 6 7 8

Pour chaque actif, on considre les vulnrabilits pertinentes et leurs menaces correspondantes. Si une vulnrabilit na pas de menace correspondante ou si une menace na pas de vulnrabilit correspondante, il nexiste actuellement aucun risque (mais il convient de prter une attention particulire au cas o la situation change). La range approprie de la matrice est dsormais identifie grce la valeur de l'actif et la colonne approprie grce la vraisemblance de la menace et la facilit d'exploitation. Par exemple, si la valeur de lactif est gale 3, la menace est leve et la vulnrabilit est faible , la mesure du risque est gale 5. A supposer que la valeur dun actif soit gale 2, par exemple pour une modification, le niveau de menace est faible , la facilit dexploitation est leve et la mesure de risque est alors gale 4. La taille de la matrice, en termes du nombre de catgories de vraisemblance de menace et de catgories dexploitation, et du nombre de catgories dvaluation des actifs, peut tre ajuste selon les besoins de lorganisme. Des colonnes et ranges supplmentaires exigent des mesures de risque supplmentaires. La valeur de cette approche consiste classer les risques traiter. Une matrice identique celle du tableau E.1 b) provient de la considration de la vraisemblance d'un scnario d'incident, mise en correspondance avec l'impact estim sur l'activit. La vraisemblance dun scnario dincident est donne par une menace qui exploite une vulnrabilit avec une certaine probabilit. Le tableau met cette vraisemblance en correspondance avec limpact sur l'activit, associ au scnario d'incident. Le risque obtenu est mesur sur une chelle de 0 8 qui peut tre value par rapport aux critres dacceptation du risque. Cette chelle de risques peut galement tre mise en correspondance avec une simple valuation du risque global, par exemple : risque faible : 0-2 risque moyen : 3-5 risque lev : 6-8

56

ISO/CEI 2008 Tous droits rservs

ISO/CEI 27005:2008(F)

Tableau E.1b)
Vraisemblance dun scnario dincident Trs faible Faible Impact sur Moyen lactivit lev Trs lev Trs faible (Trs peu probable) 0 1 2 3 4 Faible (Peu probable) 1 2 3 4 5 Moyenne (Possible) 2 3 4 5 6 leve (Probable) 3 4 5 6 7 Trs leve (Frquente) 4 5 6 7 8

E.2.2 Exemple 2 Classement des menaces par mesures de risque


Une matrice, ou un tableau identique au tableau E.2, peut tre utilise pour relier les facteurs des consquences (valeur des actifs) et la vraisemblance des menaces (en tenant compte des aspects des vulnrabilits). La premire tape consiste valuer les consquences (valeur de lactif) de chaque actif menac sur une chelle prdfinie, allant par exemple de 1 5 (colonne b dans le tableau). La seconde tape consiste valuer la vraisemblance de chaque menace sur une chelle prdfinie, allant par exemple de 1 5 (colonne c dans le tableau). La troisime tape consiste calculer la mesure du risque en multipliant (b x c). Les menaces peuvent finalement tre classes selon l'ordre de leur mesure de risque associe. Noter que dans cet exemple, 1 est considr comme la consquence et la vraisemblance la plus faible. Tableau E.2
Descripteur de menace (a) Menace A Menace B Menace C Menace D Menace E Menace F Valeur de la consquence (actif) (b) 5 2 3 1 4 2 Vraisemblance de la menace (c) 2 4 5 3 1 4 Mesure du risque (d) 10 8 15 3 4 8 Classement des menaces (e) 2 3 1 5 4 3

Comme prsent ci-dessus, il sagit dune procdure permettant de comparer et de classer diffrentes menaces prsentant diffrentes consquences et vraisemblance par ordre de priorit. Dans certains cas, il sera ncessaire dassocier des valeurs montaires aux chelles empiriques utilises ici.

ISO/CEI 2008 Tous droits rservs

57

ISO/CEI 27005:2008(F)

E.2.3 Exemple 3 Apprciation dune valeur relative la vraisemblance et aux consquences possibles des risques
Dans cet exemple, laccent est mis sur les consquences des incidents en scurit de linformation (cest-dire les scnarii dincident), et sur la dtermination des systmes quil convient de considrer comme prioritaires. Cette apprciation seffectue en apprciant deux valeurs pour chaque actif et risque, ce qui permet de dterminer la note correspondant chaque actif. Lors de lajout de lensemble des notes des actifs du systme, la mesure de risque de ce systme est dtermine. Une valeur est dabord attribue chaque actif. Cette valeur correspond aux consquences dfavorables ventuelles susceptibles dapparatre si lactif est menac. Pour chaque menace applicable lactif, cette valeur est attribue lactif. Une valeur de vraisemblance est ensuite apprcie. Elle est apprcie en combinant la vraisemblance de la menace et la facilit dexploitation de la vulnrabilit, voir le Tableau E.3 exprimant la vraisemblance dun scnario dincident. Tableau E.3
Vraisemblance de la menace Niveaux de vulnrabilit Valeur de la vraisemblance dun scnario dincident F 0 Faible M 1 E 2 F 1 Moyenne M 2 E 3 F 2 leve M 3 E 4

Une note dactif/de menace est ensuite attribue en reprant dans le tableau E.4 lintersection entre la valeur de lactif et la valeur de la vraisemblance. Les notes dactif/de menace sont ajoutes pour donner un score total dactifs. Ce chiffre peut tre utilis pour tablir une diffrence entre les actifs faisant partie dun systme. Tableau 4
Valeur de lactif Valeur de la vraisemblance 0 1 2 3 4 0 1 2 3 4 1 2 3 4 5 2 3 4 5 6 3 4 5 6 7 4 5 6 7 8 0 1 2 3 4

Ltape finale consiste ajouter toutes les notes des actifs du systme, donnant ainsi une note systme. Cette note peut tre utilise pour tablir une diffrence entre les systmes et pour dterminer quelle protection systme il convient de considrer comme prioritaire. Dans les exemples suivants, toutes les valeurs sont choisies au hasard. En supposant que le systme S possde trois actifs A1, A2 et A3. En supposant galement quil existe deux menaces T1 et T2 applicables au systme S. La valeur de A1 est 3, la valeur de A2 est 2 et la valeur de lactif de A3 est 4.

58

ISO/CEI 2008 Tous droits rservs

ISO/CEI 27005:2008(F)

Si la vraisemblance de la menace est faible pour A1 et T1 et si la facilit dexploitation de la vulnrabilit est moyenne, alors la valeur de la vraisemblance est 1 (voir le Tableau E.3). La note actif/menace A1/T1 peut tre obtenue partir du Tableau E.4 puisque lintersection de la valeur de lactif 3 et de la valeur de la vraisemblance 1 est 4. De la mme manire, pour A1/T2, la vraisemblance de la menace est moyenne et la facilit dexploitation de la vulnrabilit est leve, ce qui donne une note A1/T2 de 6. La note totale de lactif peut alors tre calcule, cest--dire 10. La note totale de lactif est calcule pour chaque actif et pour chaque menace applicable. La note totale du systme est calcule en ajoutant A1T + A2T + A3T, ce qui donne ST. Il est dsormais possible de comparer diffrents systmes afin dtablir des priorits ainsi que diffrents actifs dans un systme. Lexemple ci-dessus se prsente en termes de systmes dinformation ; cependant, une approche identique peut tre applique des processus mtier.

ISO/CEI 2008 Tous droits rservs

59

ISO/CEI 27005:2008(F)

Annex F (informative) Contraintes lies la rduction du risque


Il convient de contenir compte des contraintes suivantes tout en considrant les contraintes lies la rduction du risque : Contraintes de temps : De nombreux types de contraintes de temps peuvent exister. Par exemple, il convient de mettre en uvre des mesures dans un dlai acceptable pour les dirigeants de lorganisme. Un autre type de contrainte de temps concerne, peut tre, la possibilit de mettre en uvre une mesure au cours du cycle de vie de linformation ou dun systme. Un troisime type de contrainte de temps consiste en la dure que les dirigeants de lorganisme considrent comme un dlai acceptable d'exposition un risque spcifique. Contraintes financires : Il convient que les mesures de scurit ne soient pas plus onreuses mettre en uvre, ou maintenir, que la valeur des risques qu'elles doivent protger, sauf si la conformit est obligatoire (par exemple, la conformit la lgislation). Il convient de sefforcer de ne pas dpasser les budgets allous et d'en tirer un avantage financier grce l'utilisation des mesures. Cependant, il peut, dans certains cas, savrer impossible datteindre la scurit et le seuil d'acceptation des risques souhaits, en raison de contraintes budgtaires. Par consquent, la rsolution de cette situation relve alors de la dcision des dirigeants de lorganisme. Il convient de prter une attention toute particulire une rduction du nombre, ou de la qualit des mesures de scurit mettre en uvre par le budget, puisque cela peut entraner le maintien implicite d'un risque plus important que prvu. Il convient dutiliser uniquement avec prcaution le budget dfini comme un facteur de limitation des mesures de scurit. Contraintes techniques : Il est possible dviter facilement des problmes techniques, comme la compatibilit des programmes ou du matriel, sils sont pris en considration lors du choix des mesures de scurit. En outre, la mise en uvre rtrospective de mesures de scurit, concernant un processus ou un systme, est souvent freine en raison de contraintes techniques. Ces difficults peuvent dplacer lquilibre des types de mesures de scurit vers des aspects physiques et des procdures de scurit. Il peut savrer ncessaire de rviser le programme de scurit de linformation afin datteindre les objectifs lis la scurit. Cela peut arriver lorsque les mesures de scurit ne rpondent pas aux rsultats attendus en matire de rduction des risques sans affaiblir la productivit. Contraintes oprationnelles Les contraintes oprationnelles, telle que la ncessit de fonctionner 24 heures sur 24 et 7 jours sur 7 pour des sauvegardes, peuvent entraner la mise en uvre complexe et onreuse de mesures de scurit, sauf si ces mesures sont labores ds la conception. Contraintes culturelles : Les contraintes culturelles, lies au choix des mesures de scurit, peuvent tre spcifiques un pays, un secteur, un organisme ou mme au service dun organisme. Toutes les mesures de scurit ne peuvent sappliquer tous les pays. Par exemple, il peut tre possible de mettre en uvre des fouilles de sacs dans certaines parties dEurope, mais pas dans certaines parties du Moyen-Orient. Ces aspects culturels ne peuvent tre ignors car de nombreuses mesures de scurit reposent sur le soutien actif du personnel. Si le personnel ne comprend pas la ncessit dune mesure de scurit, ou ne la considre pas comme acceptable au niveau culturel, la mesure perdra de son efficacit au fil du temps.

60

ISO/CEI 2008 Tous droits rservs

ISO/CEI 27005:2008(F)

Contraintes thiques : Les contraintes thiques peuvent avoir des implications majeures sur les mesures de scurit puisque lthique volue selon des normes sociales. Ces contraintes peuvent empcher, dans certains pays, la mise en uvre de mesures de scurit telle que lanalyse des courriers lectroniques. La confidentialit des informations peut galement varier selon lthique de la rgion ou du gouvernement. Ces questions peuvent tre dun plus grand intrt dans certains secteurs industriels que dans dautres, par exemple le gouvernement et la sant. Contraintes environnementales : Des facteurs lis lenvironnement peuvent avoir une influence sur le choix des mesures de scurit, titre dexemples la disponibilit de lespace, des conditions climatiques extrmes, la gographie naturelle et urbaine environnante. Par exemple, un contrle parasismique peut tre requis dans certains pays mais inutile dans dautres. Contraintes lgales : Des facteurs lgaux, comme la protection des donnes personnelles ou les dispositions du code pnal relatives au traitement de linformation peuvent affecter le choix des mesures de scurit. La conformit lgislative et rglementaire peut ncessiter certains types de mesure, notamment la protection des donnes et un audit financier ; elle peut galement empcher lutilisation de certaines mesures de scurit, par exemple, le chiffrement. Dautres lois et rglements comme la lgislation relative aux relations professionnelles, au service incendie, la sant et la scurit ou des rglements du secteur conomique peuvent galement affecter le choix des mesures de scurit. Facilit dutilisation : Une mauvaise interface homme-machine entranera des erreurs humaines et pourra rendre la mesure de scurit inutile. Il convient de choisir les mesures de scurit afin den optimiser la facilit dutilisation tout en atteignant un niveau acceptable de risque rsiduel sur lactivit. Les difficults dutilisation de certaines mesures de scurit auront un impact sur leur efficacit, puisque les utilisateurs peuvent tenter de les contourner ou de les ignorer autant que possible. Des contrles daccs complexes au sein dun organisme pourraient encourager les utilisateurs trouver dautres mthodes daccs non autorises. Contraintes lies au personnel : Il convient de tenir compte de la disponibilit et du cot salarial des comptences spcialises ncessaires pour mettre des mesures de scurit en uvre, ainsi que de la capacit de faire dplacer le personnel entre des sites prsentant des conditions dexploitation dfavorables. Lexpertise peut ne pas tre facilement accessible pour la mise en uvre des mesures de scurit prvues, ou peut tre onreuse pour lorganisme. Dautres aspects, comme la tendance de certains membres du personnel discriminer dautres membres qui ne sont pas soumis une enqute relative la scurit, peuvent avoir des implications majeures sur les politiques et les pratiques lies la scurit. La ncessit de trouver et de recruter les bonnes personnes pour un poste peut conduire procder au recrutement avant la fin de lenqute sur la scurit. Lexigence relative lenqute sur la scurit effectuer avant le recrutement est la pratique normale et la plus scurise. Contraintes lies lintgration de mesures de scurit nouvelles et existantes : Lintgration de nouvelles mesures de scurit dans linfrastructure existante, et les interdpendances entre ces mesures, sont souvent ngliges. De nouvelles mesures de scurit peuvent ne pas tre facilement mises en uvre sil existe une incohrence ou une incompatibilit avec les mesures existantes. Par exemple, un plan prvoyant lutilisation de jetons biomtriques pour le contrle daccs physique peut crer un conflit avec un systme existant bas sur un clavier didentification personnelle destin au contrle daccs. Il convient que le cot destin transformer les mesures de scurit existantes en mesures prvues comprenne des lments ajouter aux cots globaux de traitement du risque. Il peut savrer impossible de mettre en uvre une mesure de scurit choisie en raison dune interfrence avec les mesures en place.

ISO/CEI 2008 Tous droits rservs

61

ISO/CEI 27005:2008(F)

Bibliographie

[1] [2] [3] [4] [5]

ISO/CEI Guide 73:2002, Management du risque Vocabulaire Principes directeurs pour l'utilisation dans les normes. ISO/CEI 16085:2006, Ingnierie des systmes et du logiciel Processus du cycle de vie Gestion des risques. AS/NZS 4360:2004, Management du risque. NIST Special Publication 800-12, An Introduction to Computer Security: The NIST Handbook NIST Special Publication 800-30, Risk Management Guide for Information Technology Systems, Recommendations of the National Institute of Standards and Technology

62

ISO/CEI 2008 Tous droits rservs