Académique Documents
Professionnel Documents
Culture Documents
La sécurité de l’information
1. Cadre normatif et réglementaire
2. Principes fondamentaux
3. Systèmes de management de la sécurité de
l’information
4. Analyse préliminaire du projet
5. Planification du projet
La sécurité de
l’information
Techniques et mécanismes
JTC1/SC27 WG2
de sécurité
Critères d’évaluation de la
WG3
sécurité
Services et contrôles de
WG4
sécurité
Sécurité biométrique,
WG5
identité et vie privée
La sécurité de
l’information
1.3. Définitions
• Règlementation
• Politique
• Norme
• Méthodologie
• Lignes directrices
• Procédures
La sécurité de
l’information
1.3. Définitions
• Réglementation:
– loi officielle qui expose comment quelque chose
doit être effectué et établi; ce ui peut, ou ne peut
pas être fait
La sécurité de
l’information
1.3. Définitions
• Politique de sécurité:
– Précise les valeurs d’une organisation, les objectifs
et les lignes directrices en matière de sécurité de
l’information. Courte et concise, une politique
définit la philosophie de haut niveau de
l’organisation en matière de sécurité de
l’information. Elle précise les directives requises à
l’élaboration et à la mise en œuvre d’un
programme de sécurité de l’information, ainsi
qu’au partage des responsabilités
La sécurité de
l’information
1.3. Définitions
• Norme:
– Selon le guide ISO/CEI 2, « un document de
référence couvrant un large intérêt industriel et
basé sur un processus volontaire, approuvé par un
organisme reconnu, fourni pour des usages
communs et répétés, des règles, des lignes
directrices ou des caractéristiques, pour des
activités, ou leurs résultats, garantissant un niveau
d’ordre optimal dans un contexte donné »
La sécurité de
l’information
1.3. Définitions
• Méthodologie:
– Démarche rigoureuse et normalisée s’appuyant
sur des outils tels que des questionnaires ou des
logiciels spécialisés et permettant de faire
l’analyse de la sécurité de l’information. Une
méthodologie utilise donc des méthodes, càd des
moyens d’arriver efficacement au résultat
souhaité. Ce souhait étant habituellement formulé
dans une norme, on voit que souvent la méthode
sera l’outil utilisé pour satisfaire aux exigences
d’une norme
La sécurité de
l’information
1.3. Définitions
• Lignes directrices:
– Directive importante qui devrait être respectée,
bien qu’elle ne soit pas obligatoire. Ce sont des
déclarations générales permettant d’atteindre les
objectifs de la politique en fournissant
l’infrastructure dans laquelle seront implantées les
procédures
La sécurité de
l’information
1.3. Définitions
• Procédures:
– Instructions spécifiques qui expliquent clairement
les étapes à suivre afin de déterminer comment la
politique, les directives et les normes de soutien
seront réellement mises en œuvre dans un
environnement d’exploitation
La sécurité de
l’information
PDCA
PDCA
La sécurité de
l’information
2002:
BS7799:2 2002
1999:
Révision
BS 7799-1:1999
BS 7799-2:1999
La sécurité de
l’information
Clause 4.2.2
Clause 4.2.4
Implémentation et
Amélioration du SMSI
exploitation du SMSI
Clause 4.2.3
Contrôle et revue du
Clause 6:
SMSI Clause 7:
Audits internes du
Revue du SMSI
SMSI
La sécurité de
l’information
• Voir clauses 7 à 12
La sécurité de
l’information
• Exemples:
– ISO 27012: Directives pour le domaine financier
– ISO 27013: Directives pour le domaine manufacturier
– ISO 27015: Directives de certification
– ISO 27016: Audits et revues
– ISO 27031: Continuité des affaires pour les TI
– ISO 27032: Directives pour la cybersécurité
– ISO 27033: Révision des ISO 18028 (sécurité des réseaux)
– ISO 27034: Directives pour la sécurité des applications
La sécurité de
l’information
Activité
• Exercice 1:
– En vous basant sur l’histoire, l’organisation, et les
processus métier de votre organisation actuelle,
déterminez et expliquez les 5 plus grands
avantages de l’implémentation de la norme ISO
27001 pour votre organisation, et comment votre
organisation peut mesurer ces avantages grâce
aux mesures de la performance (indicateurs).
La sécurité de
l’information
C 4.2.3 et 6 à 7.3
A 4.2.4 et 8.1 à 8.3
La sécurité de
l’information
P 4.2.1
D 4.2.2 et 5.2
La sécurité de
l’information
La sécurité de l’information
1. Cadre normatif et réglementaire
2. Principes fondamentaux
3. Systèmes de management de la sécurité de
l’information
4. Analyse préliminaire du projet
5. Planification du projet
La sécurité de
l’information
2. Définitions
• Actif:
– Tout élément représentant de la valeur pour
l’organisme (clause 3.1) (en tant que support de l’information)
– Exemples d’actifs (cf ISO 13335):
• Informations/données, matériel, logiciel, matériel de
télécommunication, média (support à l’information),
documents, actifs financiers, matériel de production,
services, confiance dans les services (paiements),
environnement de travail, personnel, image de
l’organisation
– 3 Objectifs des contrôles de sécurité:
• clause du domaine A7 (A7.1.1, A7.1.2 & A7.1.3)
La sécurité de
l’information
2. Définitions
• Information:
– Résultat du traitement, de la manipulation, et de
l’organisation des données de manière à s’ajouter à la
connaissance du récepteur (contexte dans lequel les
données sont acquises)
• Données+information=> connaissance
• Exemple:fichier plat+logiciel de traitement=>tableau de bord
– Enregistrement ou « record »: information créée, recu
et maintenue en tant que preuve et source
d’information par organisation ou personne dans le
but de prouver une transaction ou de servir de
preuves dans un cadre légal (source: ISO 15489-1
clause 3.15)
La sécurité de
l’information
2. Définitions
• Catégories d’information :
– imprimée ou écrite sur papier, stockée électroniquement,
transmise par courrier ou par méthode électronique,
exposée sur des vidéos corporatives, mentionnée lors de
la conversation, etc.
– Méthode:
• Identifier les supports de transmission de l’information
• Objectifs:
– sécuriser le processus/information métier le plus critique (actif
primaire)
– sécuriser l’homme/logiciel qui traite (actif support)
– 2 Objectifs des contrôles de sécurité:
• clauses du domaine A7.2 (A7.2.1 & A7.2.2)
La sécurité de
l’information
2. Définitions
• Sécurité de l’Information:
– Définition 1: Vise à protéger l’information contre une
large gamme de menaces, de manière à garantir la
continuité des transactions, à réduire le plus possible
le risque et à optimiser le retour sur investissement
ainsi que les opportunités en termes d’activité pour
l’organisme (ISO/IEC 17799:2005)
• Voir clauses 0.3 & 0.4 ISO 27002 (exigences et risques)
La sécurité de
l’information
2. Définitions
• Sécurité de l’Information:
– Définition 2: Protection de la confidentialité, de
l’intégrité et de la disponibilité de l’information;
d’autres propriétés telles que l’authenticité,
l’imputabilité, la non répudiation et la fiabilité,
peuvent également être concernées (ISO/IEC
17799:2005)
• Voir clause 0.1 ISO 17799
– Mise en œuvre de mesures adaptées regroupant les règles,
processus, procédures, structures organisationnelles et
fonctions matérielles et logicielles
– Mesures doivent être spécifiées, mises en œuvre, suivies,
réexaminées, et améliorées aussi souvent que nécessaire, de
manière à atteindre les objectifs spécifiques en matière de
sécurité et d’activité d’un organisme
– Agir de manière concertée avec les autres processus de
l’organisme
• Voir clause 0.6 ISO 27002 (bases de la sécurité de
l’information)
La sécurité de
l’information
2. Définitions
• Vulnérabilité:
– Faiblesse d’un actif ou d’un groupe d’actifs
susceptibles d’être l’objet d’une menace (ISO/IEC
13335-1:2004)
– Elle permet d’attaquer la confidentialité, l’intégrité
et/ou la disponibilité de l’information
– Localisation: logiciel, matériel, procédure
• Exemples: Brèche dans OS, absence de contrôle d’accès
sur serveur, procédure de màj d’antivirus non efficace,
port ouvert sur pare-feu, accès modem non restreint
La sécurité de
l’information
2. Définitions
• Vulnérabilité:
– Classification:
• Ressources Humaines:
– formation insuffisante (sécurité), manque de connaissance,
manque de système de surveillance, manque de règlement
pour utilisation média, eMail, télécom, personnel non motivé
ou contrarié, non remplacement des droits d’accès après fin
d’une mission de travail…
• Environnement physique de l’entreprise:
– manque de protection physique pour le contrôle d’accès des
personnes dans l’enceinte de l’entreprise, Position de
l’entreprise dans une zone inondable, sismique, sensible aux
désastres naturels, zone de stockage non protégée, sensibilité
du matériel à l’humidité, aux variations de température, à la
poussière, etc.
La sécurité de
l’information
2. Définitions
• Vulnérabilité:
– Classification:
• Communication et Opérations de gestion:
– Interface utilisateur compliquée, contrôle des changements
inadéquats, gestion du réseau inadéquate, manque de procédures
de back-up, aucune séparation des fonctions&contrôle du copiage
• Contrôle d’accès:
– Séparation inadaptée du réseau informatique, manque de
mécanismes d’identification et d’authentification, aucune ou
mauvaise politique de contrôle d’accès, aucune révision des droits
d’accès utilisateurs, etc.
• Maintenance, développement et acquisition des SI:
– Manque de contrôle des données E/S, aucun contrôle du téléch. &
installation de logiciels, protection inadéquate des clefs
cryptographiques, manque de validation des données traitées, etc.
La sécurité de
l’information
2. Définitions
• Menace :
– Cause potentielle d’un incident indésirable
pouvant affecter une organisation (ISO/IEC 13335-
1:2004)
– Danger potentiel pour l’information ou pour le
système d’information. Elle peut se traduire par
un voleur/attaquant qui exploite une vulnérabilité
La sécurité de
l’information
2. Définitions
• Menace :
– Plusieurs formes:
• Intrus ayant accès au réseau par un port du pare-feu,
accès aux données non conforme à la politique de
sécurité, tornade anéantissant une infrastructure,
employé faisant une erreur involontaire pouvant porter
atteinte à la confidentialité et à l’intégrité de
l’information, Pirate informatique
• Incendie, attaque terroriste, séisme, inondation, foudre,
tempête, ouragan, désastres naturels, interruption
momentanée des activités, détérioration ou panne des
médias, vandalisme, vol, etc.
La sécurité de
l’information
2. Définitions
• Menace :
– Plusieurs formes:
• Mise en péril des actifs, espionnage industriel, perte de
l’information, faille de sécurité, accès au réseau d’une
personne non autorisée, dommages causés par des
tests de pénétration, dommages causés par les sous-
traitants, fournisseurs, collaborateurs, erreur humaine
• Disfonctionnement de la climatisation,
disfonctionnement des équipements de confort
(climatisation, chauffage, électricité, …), interruption
des activités, erreur d’utilisation, erreur de
maintenance, panne du matériel, indisponibilité du
matériel
La sécurité de
l’information
2. Définitions
• Menace :
– Plusieurs formes:
• Infraction de la législation, rupture des obligations
contractuelles, destruction des enregistrements,
destruction du plan de continuité de l’entreprise, manque
de communication des différents services de l’entreprise,
falsification des données, fraude, utilisation illégale de
logiciel, interférence, utilisation à mauvais escient des
ressources et actifs de l’entreprise, contrefacon
La sécurité de
l’information
2. Définitions
• Relation entre Vulnérabilité et Menace :
• identifier objet, puis vulnérabilités, puis menaces
Vulnérabilité Menace
Entrepôt non protégé et non surveillé Vol
Pas de revue des droits d’accès Accès non autorisé par des personnes qui ont
quitté l’organisation
2. Définitions
• Risque :
– Combinaison de la probabilité de survenance d’un
évènement et de ses conséquence (ISO/IEC Guide
73:2002) Probabilité
Risque
Conséquence
La sécurité de
l’information
2. Définitions
• Risque :
– Combinaison de la probabilité de survenance d’un
évènement et de ses conséquence
– Voir clauses 3.9 à 3.15 (ISO 27001:2005 – Guide 73)
• 3.9 risque résiduel: risque subsistant après le traitement du risque
• 3.10 acceptation du risque: décision d'accepter un risque
• 3.11 analyse du risque: utilisation systématique d'informations pour identifier les
sources et pour estimer le risque
• 3.12 appréciation du risque: ensemble du processus d'analyse du risque et d'évaluation du
risque
• 3.13 évaluation du risque: processus de comparaison du risque estimé avec des critères
de risque donnés pour en déterminer l’importance
• 3.14 management du risque: activités coordonnées visant à diriger et piloter un organisme
vis-à-vis du risque
• 3.15 traitement du risque: processus de sélection et de mise en œuvre des mesures visant
à diminuer le risque
La sécurité de
l’information
2. Définitions
• Risque :
– Combinaison de la probabilité de survenance d’un
évènement et de ses conséquence
– Voir clauses 3.9 à 3.15 (ISO 27001:2005 – Guide 73)
– Risque = produit de:
• Vulnérabilité
• Menace
• Impact
La sécurité de
l’information
2. Définitions
• Confidentialité:
– Propriété que l’information ne soit accessible qu’aux
[individus, entités ou processus autorisés] [actifs]
(ISO/IEC Guide 13335-1:2004)
– Exemple:
• Problème: les données personnelles des salariés ne doivent
être accessibles qu’au personnel du département des RH
autorisé (personnel qui en a besoin)
• Solution: contrôle d’accès / Contrôle: chiffrement
• Mesures à différents niveaux:
– Physique: serrures sur les portes, armoires d’archivage, coffre-fort
– Logique: contrôle d’accès à une information, groupe d’info, fichier
La sécurité de
l’information
2. Définitions
• Confidentialité:
– Méthodologie pour prévention du risque:
• Identification des menaces et vulnérabilités
• Évaluation des risques associés
• Sélection d’un système de contrôles
• Mise en place et application
– Remarque:
• L’actif tangible prend la valeur de l’information qu’il
contient
La sécurité de
l’information
2. Définitions
• Intégrité:
– Propriété de sauvegarder l’exactitude et la qualité
des actifs (ISO/IEC Guide 13335-1:2004)
– Exemple:
• les données comptables doivent se conformer à la
réalité (complet et exact). L’exactitude se traduit par
l’absence d’altération de l’information
La sécurité de
l’information
2. Définitions
• Intégrité:
– Moyen:
• Dispositifs de vérification automatique d’intégrité de
l’information (dans les lecteurs, médias, systèmes
télécom)
• Contrôles d’intégrité essentiels aux SE, logiciels et
applications
– Évitent la corruption intentionnelle ou involontaire des
programmes et données
– Inclus dans les procédures, réduisent les risques d’erreurs, vol
ou fraude
– Exemples: Contrôles pour la validation des données, Formation
des utilisateurs, Contrôles au niveau opérationnel
La sécurité de
l’information
2. Définitions
• Disponibilité:
– Propriété qu’une information soit accessible et
utilisable au moment voulu par une entité
autorisée (ISO/IEC Guide 13335-1:2004)
– Exemple: données relatives à la clientèle
accessibles au département marketing
– Exigences:
• Système de contrôle (ex. sauvegarde des données)
• Planification de la capacité
• Procédures
• Critères pour l’approbation des systèmes, procédures
La sécurité de
l’information
2. Définitions
• Disponibilité:
– Exemples de procédures:
• Procédures de gestion des incidents, la gestion des
supports informatiques amovibles,
• Procédures de traitement de l’information, le maintien
et le test d’équipements,
• Procédures de continuité d’affaires, procédures pour
contrôler l’utilisation des systèmes
La sécurité de
l’information
2. Définitions
• Activité 2: évaluation du risque
– Déterminez les menaces et vulnérabilités associées aux situations suivantes.
Indiquez ensuite les impacts potentiels, et si les risques affecteraient la
confidentialité, l’intégrité, et/ou la disponibilité de l’information. Complétez
la matrice de risque et préparez-vous à discuter vos réponses après
l’exercice:
1. L’ancien VP de la comptabilité est embauché par un concurrent
2. Un disque amovible contenant les sauvegardes du code source des applications
développées par une entreprise est introuvable à son bureau de Montréal
3. Le webmaster ayant développé le site web corporatif d’une entreprise s’occupe
des mises à jour et de la mise en production du site
4. Tous les équipements de télécommunication ont le même mot de passe. Le mot
de passe est connu seulement des programmeurs et des techniciens
5. Votre entreprise externalise le développement de ses produits
6. Votre entreprise a acheté une liste de 500.000 courriels de clients potentiels
d’une compagnie située aux Bahamas afin de commencer une campagne de
publicité sur Internet
La sécurité de
l’information
La sécurité de l’information
1. Cadre normatif et réglementaire
2. Principes fondamentaux
3. Systèmes de management de la
sécurité de l’information
4. Analyse préliminaire du projet
5. Planification du projet
La sécurité de
l’information
3. Systèmes de management de la
sécurité de l’information (SMSI)
• SMSI:
– Partie du système de gestion global, basée sur une
approche du risque lié à l’activité, visant à établir,
mettre en œuvre, exploiter, surveiller, réexaminer,
tenir à jour et améliorer la sécurité de
l’information (clause 3.7)
La sécurité de
l’information
3. Systèmes de management de la
sécurité de l’information (SMSI)
• SMSI:
– Exemple:
• Organisations utilisent des systèmes de gestion pour
développer leurs politiques et les mettre en pratiques via
des objectifs utilisant:
– Une structure organisationnelle
– Des processus systématiques et des ressources associées
– Une méthodologie d’évaluation
– Un processus de révision pour s’assurer que les problèmes sont
corrigés adéquatement et que les opportunités d’amélioration
sont reconnues et mises en œuvre lorsqu’elles sont justifiées
• Remarque: ce qui est contrôlé doit être mesuré, ce qui est
mesuré doit être géré
La sécurité de
l’information
3. Systèmes de management de la
sécurité de l’information (SMSI)
• L’approche par processus:
– ISO 27001 encourage l’adoption d’une approche
par processus pour l’établissement, la mise en
œuvre, le fonctionnement, le la surveillance et le
réexamen, la mise à jour et l’amélioration du SMSI
d’un organisme.
– Contraire à l’approche par unité organisationnelle
– Voir (v) clause 0.2 (ISO/IEC 27001:2005) :
• approche processus (a, b, c & d)
La sécurité de
l’information
3. Systèmes de management de la
sécurité de l’information (SMSI)
Planifier
Parties Parties
intéressées Etablir le SMSI intéressées
Exigences et
Réviser le SMSI
Sécurité de attentes en
l’information gérée sécurité de
Contrôler l’information
3. ISO27001 : Annexe C
ISO 27001:2005 ISO 9001:2000 ISO 14001:2004
4. SMSI 4. Système de management 4. Système de gestion
de la qualité environnement
5. Responsabilité des 5. Responsabilité des 5. Responsabilité des
gestionnaires gestionnaires gestionnaires
3. Planifier
Planifier
Contrôler
3. Planifier
Planifier
Contrôler
3. Planifier
Planifier
Contrôler
3. Planifier
Planifier
Contrôler
3. Planifier
Planifier
Contrôler
3. Planifier
Planifier
Contrôler
3. Déployer
Planifier
Contrôler
4. Formation
1. Gestion 5. Les 6. Les
2. Design 3. Mise en œuvre sensibilisation
documentaire incidents opérations
communication
La sécurité de
l’information
3. Déployer
Planifier
Contrôler
4. Formation
1. Gestion 5. Les 6. Les
2. Design 3. Mise en œuvre sensibilisation
documentaire incidents opérations
communication
1.1. Politique
1.2. Cycle de vie
1.3. Création des gabarits
1.4. Système de gestion
La sécurité de
l’information
3. Contrôler
Planifier
Contrôler
– Améliorer le SMSI
La sécurité de
l’information
3. Contrôler
Planifier
Contrôler
2. Indicateurs/Tableaux de bord
La sécurité de
l’information
3. Agir
Planifier
Contrôler
1. Amélioration continue
3. Agir
Planifier
Audit de
Agir PDCA Déployer certification
(3 mois plus tard)
Contrôler
3. Format,
Cycle de vie (validation, etc.),
Contenu (quoi, comment, qui, quand, etc.)
Enregistrement (fruit d’une procédure, via tableau d’émargement)
La sécurité de
l’information
3. Agir
Planifier
Contrôler
La sécurité de l’information
1. Cadre normatif et réglementaire
2. Principes fondamentaux
3. Systèmes de management de la sécurité de
l’information
4. Analyse préliminaire du projet
5. Planification du projet
La sécurité de
l’information
4. Analyse préliminaire
Planifier
Contrôler
1.1. État des lieux 1.2. Analyse des écarts 1.3. Business case
Niveau de maturité de l’entreprise Estimation du coût du projet avant le démarrage
La sécurité de
l’information
4. Analyse préliminaire
Récolter l’information nécessaire à la planification Vérifier les exigences
Objectifs ISO 27001
du projet de SMSI et à son alignement stratégique (terrain vierge, etc.)
Chief Information
Personnes CISO, CIO, haute direction, gestionnaires TI, Security Officer
4. Analyse préliminaire
Info. Nécessaire à la planification du projet de SMSI
Domaine d’application
Contrôle interne
(périmètre)
1. Répondre aux exigences générales de la sécurité de la norme ISO 27001:2005
2. Déterminer la situation actuelle de l’organisation en terme de sécurité: Évaluation de
l’environnement de l’entreprise
Finalité: Mise en évidence de l’écart existant entre le réel et le souhaité
La sécurité de
l’information
4. Comprendre l’organisation
MISSION
STRATEGIE
Plans Tableau de
Objectifs bord
Orientations
Alignement
Domaine
Stratégique d’application
du SMSI
Objectifs Stratégies
Contrôler
1.1. État des lieux 1.2. Analyse des écarts 1.3. Business case
Niveau de maturité de l’entreprise Estimation du coût du projet avant le démarrage
La sécurité de
l’information
• Contraintes:
– Documenter suffisamment pour assurer une analyse efficace
– Souvent basée sur le benchmarking
4. Échelle de maturité
• La maturité des mesures de contrôle sera classée
selon la légende suivante:
– 0 (Inexistant):les processus de management totalement inappliqués
– 1 (Initialisé): les processus mis en œuvre au cas par cas sans méthode
– 2 (Reproductible): les processus suivent un même modèle
– 3 (Défini): les processus sont documentés et communiqués
– 4 (Géré): les processus sont surveillés et mesurés (mise en place des
processus associés): niveau exigé par ISO 27001
– 5 (Optimisé):les meilleures pratiques sont suivies, suite à une
amélioration constante, et à la comparaison avec d’autres entreprises
(Modèle de Maturité). L’informatique permet d’automatiser les flux de
travaux (meilleure qualité, efficacité, et adaptation.
La sécurité de
l’information
4. Gabarit de reporting
M
Nom du Description du contrôle Description A Description Degré de RESPONSABLE
actuelle T des écarts complexité
contrôle U
R
I
T
É
4. Gabarit de reporting
• But:
– Bien définir le périmètre
– Court terme:
• Favoriser l’implémentation de mesures correctives ou préventives pour
les actifs avec un risque potentiel élevé
– Moyen et long terme:
• Permet de garder une trace des mesures envisagées et des analyses
des écarts effectuées
• Souligner l’amélioration continue mise en place dans l’organisation
La sécurité de
l’information
4. Business case
Planifier
Contrôler
1.1. État des lieux 1.2. Analyse des écarts 1.3. Business case
Niveau de maturité de l’entreprise Estimation du coût du projet avant le démarrage
La sécurité de
l’information
4. Business case
Déterminer la faisabilité du projet et
Objectifs
en justifier sa pertinence dans un contexte d’affaires
-Conflit d’intérêt
Mise en Déterminer les risques projets, les ressources -Résistance au
œuvre nécessaires, les contraintes, faire une pré-planification changement
-SI externalisé =>
engager
l’hébergeur de
serveurs
Livrables Business case
La sécurité de
l’information
• Une analyse des bénéfices, coûts, risques et résultats pour les affaires
• Une description de la solution préférentielle (timing)
• Un plan résumé pour la mise en œuvre
• Le budget
La sécurité de
l’information
La sécurité de l’information
1. Cadre normatif et réglementaire
2. Principes fondamentaux
3. Systèmes de management de la sécurité de
l’information
4. Analyse préliminaire du projet
5. Planification du projet
La sécurité de
l’information
Contrôler
Délais Qualité
c
Intégration du projet
Coûts Risques
• Guide du corpus des connaissances en management de projet, 3ème édition, Guide PMBOK, 2004, PMI
• Norme ISO 10006:2003, Système de management de la qualité, lignes directrices pour le management
de la qualité dans les projets
• Implication du management en cas de résistance au changement
La sécurité de
5. Le management de l’information
l’intégration de projet
Processus requis pour assurer le bon déroulement du projet
5. Le management de l’information
l’intégration de projet
Processus requis pour assurer le bon déroulement du projet
ISO 10006:2003
Elaborer l’énoncé Diriger et piloter
Elaborer la charte
préliminaire l’exécution
7.2.2
c
ISO 10006:2003
Surveiller et maîtriser Maîtrise intégrée des
Clôture
le travail modifications
7.2.5
La sécurité de
5. Le management de l’information
l’intégration de projet
Processus requis pour assurer le bon déroulement du projet
ISO 10006:2003
Elaborer l’énoncé Diriger et piloter
Elaborer la charte
préliminaire l’exécution
7.2.2
c
5. Le management de l’information
l’intégration de projet
• ISO 10006:2003:
– 7.2.2 Lancement du projet&élaboration du plan de management du projet
• Élaboration et mise à jour du plan de management du projet
• Comprend ou fait référence au plan de management du projet
• Niveau de délai dépend de facteurs tels que la taille ou la complexité du projet
• Identification parmi les projets déjà réalisés ceux qui se rapprochent le plus du projet à
lancer, pour exploiter au mieux l’expérience acquise grâce aux projets précédents
• Cas des projets relatifs aux réponses aux exigences d’un contrat: procéder à des revues
de contrat au cours de l’élaboration du plan de management du projet (s’assurer de la
satisfaction des exigences contractuelles ISO 9004:2000, 7.2)
• Cas des projets ne résultant pas d’un contrat: mener une revue initiale afin d’établir les
exigences et confirmer qu’elles sont appropriées et réalisables
La sécurité de
5. Le management de l’information
l’intégration de projet
Processus requis pour assurer le bon déroulement du projet
5. Le management de l’information
l’intégration de projet
• ISO 10006:2003:
– 7.2.3 Management des interactions
• Gestion des interactions (non planifiées) au sein du projet, afin de faciliter la coordination
planifiée entre processus, dont:
– Mise en place de procédures visant à à établir le management des interfaces
– Tenue de réunions de projet impliquant plusieurs fonctions
– Apport de solutions à des problèmes tels que des conflits de responsabilité ou des modifications
apportées à l’exposition à des risques
– Mesures de performances du projet utilisant des techniques telles que l’analyse de la valeur
acquise du réalisé (technique de suivi des performances globales du projet par rapport à un
référentiel budgétaire)
– Réalisation de la mesure de l’avancement afin d’évaluer la situation du projet et de planifier le
travail restant à faire
– => faire appel aux évaluations de l’avancement afin d’identifier les problèmes potentiels
d’interface
– => à noter que les risques sont généralement importants au niveau des interfaces
La sécurité de
5. Le management de l’information
l’intégration de projet
Processus requis pour assurer le bon déroulement du projet
ISO 10006:2003
Surveiller et maîtriser Maîtrise intégrée des
Clôture
le travail modifications
7.2.5
La sécurité de
5. Le management de l’information
l’intégration de projet
• ISO 10006:2003:
– 7.2.5 Clôture des processus et des projets
• Le projet est un ps en lui-même, et il convient d’accorder une attention à sa clôture:
– Définition du processus de clôture des processus et du projet dès la phase de lancement du
projet, et l’inclure dans le plan de management du projet (s’appuyer sur l’expérience issue de
processus et de projets déjà clos)
• À tout moment pendant la durée de vie du projet, il convient de :
– Clore les processus de projets achevés dans les conditions prévues: s’assurer après clôture que
tous les enregistrements sont effectués, diffusés au sein du projet et de l’organisme à l’origine du
projet, et conservés pendant une durée spécifiée
– Clore plus tôt ou plus tard également en raison d’évènements imprévus
• Quelle que soit la raison de clôture, entreprendre une revue complète de ses résultats :
– prendre en compte les enregistrements pertinents, y compris ceux qui proviennent de
l’évaluation de l’avancement et des éléments d’entrée des parties intéressées
– Attention particulière au retour d’information du client et des autres parties intéressées
concernées, et de le mesurer chaque fois que possible
– Remise d’enregistrements appropriés à partir de cette revue, faisant ressortir les expériences
susceptibles d’être utilisées dans d’autres projets et pour l’amélioration continue
• Remise formelle du produit du projet au client, qui exprime l’acceptation formelle.
– La clôture sera portée à la connaissance de toutes les parties intéressées
La sécurité de
5. Le management de l’information
l’intégration de projet
Processus requis pour assurer le bon déroulement du projet
ISO 10006:2003
Elaborer l’énoncé Diriger et piloter
Elaborer la charte
préliminaire l’exécution
7.2.1
c
ISO 10006:2003
Surveiller et maîtriser Maîtrise intégrée des
Clôture
le travail modifications
7.2.5
La sécurité de
5. Le management du l’information
contenu de projet
Processus requis pour assurer l’achèvement des livrables du projet
Définition Vérification
La sécurité de
5. Le management du l’information
contenu de projet
Processus requis pour assurer l’achèvement des livrables du projet
ISO 10006:2003
Définition Vérification
7.3.3
La sécurité de
5. Le management du l’information
contenu de projet
Processus requis pour assurer l’achèvement des livrables du projet
ISO 10006:2003
Planification SDP* Maîtrise
7.3.2
ISO 10006:2003:
7.3.2 Elaboration des concepts
•Traduire les besoins et attentes déclarés et généralement
implicites du client en matière de processus et de produit en
exigences écrites, y compris les aspects statutaires et
réglementaires, qui, lorsque le client l’exige, sont
manuellement convenues
•Identifier les autres parties intéressées et déterminer leurs
besoins Définition Vérification
•Traduire ceux-ci en exigences écrites
•Les faire accepter par le client (si c’est approprié)
La sécurité de
5. Le management du l’information
contenu de projet
ISO 10006:2003:
7.3.3 Elaboration et maitrise du contenu du projet:
•Identifier et documenter aussi précisément que possible les caractéristiques du
produit du projet dans des termes mesurables
•Utilisation comme base de conception et de développement
•Spécifier les conditions de mesure de ces caractéristiques ou la manière d’évaluer la
conformité aux exigences du client et de toute autre partie intéressée
•Traçabilité des caractéristiques des produits ou processus par rapport aux exigences
écrites du client et des autres parties intéressées
•Si approches et solutions alternatives prises en compte dans l’élaboration du contenu
du projet, il convient de documenter les justifications qui viennent à l’appui de ces
approches et solutions (y compris les résultats des analyses), et d’y inclure la
référence dans le contenu du projet
ISO 10006:2003
Définition Vérification
7.3.3
La sécurité de
5. Le management du l’information
contenu de projet
• ISO 10006:2003:
– 7.3.4 Définition des activités:
• Structuration systématique du projet en activités gérables (respect
SDP*
exigences client pour le produit et le processus)
• Participation du personnel affecté au projet dans la définition de ces
activités (profiter de l’expérience de l’organisme en charge, obtenir
accord et adhésion)
• Définir les activités de telle sorte que les résultats soient mesurables
• Vérifier que la liste des activités est exhaustive
• Inclure les pratiques de management de la qualité dans les activités,
ainsi que les évaluations d’ ’avancement,; et la préparation et
Vérification
l’entretien d’un plan de management
• Identifier et documenter les interactions entre les activités du projet
qui peuvent poser problème entre l’organisme en charge du projet et
les parties intéressées
La sécurité de
5. Le management du l’information
contenu de projet
Processus requis pour assurer l’achèvement des livrables du projet
ISO 10006:2003
Planification SDP* Maîtrise
7.3.5
ISO 10006:2003:
7.3.5 Maîtrise des activités
•Mener et maîtriser les activités réalisées au sein du projet conformément au
plan de management du projet
•Comprend la maîtrise des interactions entre les différentes activités afin de
réduire les conflits & malentendus au maximum (attention particulière aux
produits aux processus impliquant les NTI)
•Mener des revues et évaluer les activités pour identifier les défaillances
potentielles et les possibilités d’amélioration (planification des revues adaptée à
la complexité du projet)
•Utiliser les résultats des revues dans les évaluations de l’avancement pour
évaluer les éléments de sortie des ps et planifier le travail restant
•Consigner par écrit le plan pour le travail restant après révision
La sécurité de
5. Le management du l’information
contenu de projet
Processus requis pour assurer l’achèvement des livrables du projet
ISO 10006:2003
Définition Vérification
7.3.3
La sécurité de
délais du projet
Processus requis pour assurer l’achèvement du projet à temps
Élaboration de l’échéancier
PMI 2004,PMBOK,
Maîtrise de l’échéancier 3ème édition
La sécurité de
délais du projet
Processus requis pour assurer l’achèvement du projet à temps
ISO 10006:2003
Estimation de la durée de l’activité
7.4.3
délais du projet
Processus requis pour assurer l’achèvement du projet à temps
ISO 10006:2003:
7.4.2 Planification
Estimation de des liaisons
la durée entre activités
de l’activité
•Identifier les interdépendances parmi les activités d’un projet
•Passer en revue leur cohérence
•Justifier et documenter
Élaboration tout besoin de modification des
de l’échéancier
données issues du processus d’identification des activités
•Utiliser des diagrammes de réseaux de projet, standards ou
éprouvés,Maîtrise
pour tirer
deprofit d’expériences antérieures
l’échéancier
PMI 2004,PMBOK,
3ème édition
•Vérifier l’adéquation de ces réseaux au projet
La sécurité de
délais du projet
ISOProcessus
10006:2003:
requis pour assurer l’achèvement du projet à temps
7.4.3 Estimation des durées
•Faire estimer la durée de chaque activité par le personnel responsable
•Vérifier l’exactitude des estimations
Identification de durées (expériences antérieures,
des activités
possibilité d’application aux conditions du projet en cours)
•Documenter et tracabilité des éléments d’entrée, depuis leur origine
•Estimation des ressources associées
Séquencement doit accompagner celle des entrées
des activités
•Si l’estimation des durées est incertaine, alors évaluation des risques
nécessaire (marges pour les risques incorporée dans les estimations pour
les risques restants)
Estimation des ressources nécessaires aux activités
•Implication des clients et autres parties intéressées
ISO 10006:2003
Estimation de la durée de l’activité
7.4.3
Élaboration de l’échéancier
PMI 2004,PMBOK,
Maîtrise de l’échéancier 3ème édition
La sécurité de
délais du projet
ISOProcessus
10006:2003:
requis pour assurer l’achèvement du projet à temps
7.4.4 Elaboration du planning
•Identifier les Identification
éléments d’entrée utiles à l’élaboration du planning
des activités
•Vérifier s’il correspondent aux conditions spécifiques du projet
•Tenir compte des activités à longs délais d’exécution ou de longue durée,
surtout celles relatives au chemin critique
Séquencement des activités
•Mettre en œuvre les formats de plannings standardisés
•Vérifier la cohérence du rapport entre les estimations des durées et les
liaisons des activités
Estimationàdes
•Remédier ressources
toute incohérencenécessaires
avant deaux activités
finaliser et publier le planning, qui
identifieront les activités critiques ou quasi critiques
•Tenir informé le client et les parties intéressées lors de l’élaboration du
planning,Estimation
et analyserdeleslaéléments
durée ded’entrée
l’activitéextérieurs
•Fournir les planning pour information, et si nécessaire pour approbation
coûts du projet
Processus requis pour assurer l’achèvement du projet en respectant le budget alloué
Budgétisation Maîtrise
ISO 10006:2003
7.5.3 Budgétisation
La sécurité de
du projet
Processus requis pour assurer l’achèvement du projet selon les critères de qualité définis
ISO 10006:2003
ISO 10006:2003
4.2.3 Plan
4.2.1 Principes Planification Qualité du projet
de Management
de la Qualité
Contrôle
ISO 10006:2003
4.2.2 Système de Assurance
qualité
Management de qualité (revue)
la Qualité du
Projet
La sécurité de
humaines du projet
Processus requis pour assurer l’achèvement du projet selon les critères de qualité définis
ISO 10006:2003
ISO 10006:2003
6.2.2 Etablissement de la
6.2.3 Affectation du
structure organisationnelle
personnel
du projet
La sécurité de
communications du projet
Processus requis pour assurer de la génération, collection, dissémination, stockage et
disposition ultime des informations du projet dans le temps et de manière appropriée
ISO 10006:2003
7.6.2 Planification
Planification
Diffusion de
de la
des
l’information Communications communication
Etablissement Manager
du rapport les parties
d’avancement prenantes
PMI 2004,PMBOK,
3ème édition
La sécurité de
l’information
Probabilité Stratégie:
Risques potentiels
Impact Élimination
Libellé
Délai Transfert
Contexte
Gravité Réduction
Causes
Contrôle Acceptation
Conséquences
Maîtrise Plan de contingence
Temps
approvisionnements du projet
Procédure nécessaire pour le domaine d’application du projet
•Planifier les approvisionnements
ISO 10006:2003
•Planifier les contrats 7.8.2 Planification et
maîtrise des achats
•Clôture du contrat
PMI 2004,PMBOK,
3ème édition
La planification
du SMSI
La planification du SMSI
1. Gouvernance
2. Analyse du risque
3. Déclaration d’applicabilité
La planification
du SMSI
1. Gouvernance du SMSI
Planifier
Contrôler
1. Gouvernance du SMSI
Gérer efficacement la SI
en réponse aux besoins
de l’industrie, demandes
Objectifs Mettre en œuvre le cadre de gouvernance du SMSI du public, et au dév. des
exigences contractuelles,
réglementaires & légales
Implication de la haute
Mise en Comités de gouvernance, de pilotage et d’audit du SMSI, domaine direction passe par la
mise en place d’une
œuvre d’application et politique du SMSI, rôles&responsabilités de la direction gouvernance de la SI:
éviter de mettre en
place un SMSI coûteux
ne correspondant pas
aux besoins de
Politique de gouvernance du SMSI et autres documents
Livrables associés (chartes des comités, comptes rendus de réunions…)
l’organisation, au risque
d’être traité comme un
problème purement
technique
Définir l’équipe projet, rôle de chaque membre, Définir le périmètre, objet de l’audit,
y compris le top management qui signe… processus, interfaces, parties prenantes, etc.
La planification
du SMSI
1. Définition de la gouvernance
• Le dispositif comprenant les processus et les
structures mis en place par le conseil
d’administration afin d’informer, de diriger, de
gérer et de piloter les activités de
l’organisation en vue de réaliser ses objectifs
(RSSI+équipe => SMSI)
Référence: Institut des vérificateurs internes (IIA)
La planification
du SMSI
1. Définition : Gouvernance de la
sécurité de l’information
• La responsabilité de la sécurité de l’information est la
responsabilité de la haute direction. Elle fait partie
intégrante de la gouvernance d’entreprise. Elle
consiste dans le leadership et l’organisation des
structures et processus qui assurent que la sécurité
de l’information soutient et prolonge la stratégie et
les objectifs de l’organisation
(extrait de IT Governance Institute, définition IT governance, 2001)
– Conséquence:
• Établissement et mise en œuvre d’un processus de gestion intégrée et
d’amélioration continue de la sécurité de l’information
• Attribution claire à des personnes identifiées des rôles et responsabilités en
matière de sécurité de l’information à tous niveaux de l’organisation
• « everyone from the boardroom to the mailroom has a role in the governance of
information assets » Gartner, 2006
La planification
du SMSI
8. Allocation 3. Rôles et
des ressources responsabilités
7. Revue de 4. Acceptation
direction des risques
Annuelle:
- Non-conformité Niveau d’acceptation
récurrente, des risques
- ressources, etc.
6. Contrôle de 5. Politique
gestion SMSI
La planification
du SMSI
• COBIT: information
• Cobit fournit un cadreEfficacitéde contrôle basé sur les
Efficience
bonnes pratiques en Confidentialité
matière de gouvernance des
Intégrité
TI. Disponibilité Planifier et
Conforme organiser
• Cobit aide les dirigeants à évaluer les risques et à
Fiabilité
Surveiller et Ressources
contrôler
évaluer les investissements,
informatiques
afin de s’assurer
que la gouvernance des TI est cohérente avec la
Données
Applications
stratégie de l’entreprise (alignement stratégique)
Technologies
Installations
• Cobit couvre la majeure
Délivrer et partie des prérequis
Personnel
Acquérirdeet
ISO 27001. supporter implémenter
La planification
du SMSI
Clients
l’information à l’échelle de l’organisation
Comité de direction Comité de pilotage Comité opérationnel
Règlements
et Contrats
Acteurs de l’organisation
Lois,
Actionnaires
Environnement
Veille Informationnelle
Technologique
Processus
d’Affaire
Normes et
Standards
Fournisseurs
Ressources techniques Ressources humaines
Environnement
Légal
Lignes Directrices
Procédures et
Politiques,
Partenaires
d’afffaire
Actifs informationnels
Organisation
La planification
du SMSI
Contrôler
3.1. Rôles & Responsabilités 3.2. Domaine d’application & limites 3.3. Politique
La planification
du SMSI
Questions:
- Qui décide de la stratégie en matière de sécurité de l’information?
- Est-elle alignée avec les objectifs et la stratégie générale de l’organisation?
- Qui est responsable du suivi du projet de mise en œuvre du SMSI?
- Qui décide de l’apport d’un changement ou non?
- Qui évalue le projet?
- Qui est le responsable final des résultats du projet?
La planification
du SMSI
Comité de
Stratégique
Direction
Comité
d’audit
Niveau
(Transverse dans Tactique
les situations Comité de
normales) Pilotage
Comité Niveau
Opérationnel Opérationnel
La planification
du SMSI
1.1. Mise en œuvre : comité de
direction
Objectif Aligner le SMSI avec les objectifs et la stratégie e l’entreprise
principaux responsables
• Principaux intervenants:
– Membres du CA:
• Orientent la stratégie
– CEO (i.e. DG):
• Matérialise/Implémente la stratégie
– CIO (i.e. Responsable Informatique):
• Implante le volet informationnel de la stratégie
– CISO:
• Veille à la protection de l’information
• Autres intervenants:
– CFO, Responsable RH, Responsable audit interne,
Conseiller juridique, Responsable gestion du risque
La planification
du SMSI
Contrôler
3.1. Rôles & Responsabilités 3.2. Domaine d’application & limites 3.3. Politique
Personnes
CISO, CIO, haute direction
impliquées
1.2. Définition
• Le domaine d’application du SMSI décrit
l’étendue et les limites du SMSI; par exemple
les lieux, les unités organisationnelles, les
activités et les processus intégrés dans le
SMSI.
– En partant des processus critiques, il s’agit de répondre aux
questions suivantes:
• Quels sont les processus critiques de l’organisation que nous voulons protéger?
• Quelle information utilisent-ils?
• Quels actifs informationnels sont utilisés pour créer, gérer, stocker l’information?
• Quelles exigences légales, règlementaires ou contractuelles s’appliquent à cette
information (prise en compte des différentes juridictions)?
La planification
externe
• Pour définir le domaine d’application et les
frontières, il faut prendre en compte:
– Les parties prenantes internes et externes
– L’environnement interne et externe
possibles
• Remarques: Un processus clé
– But: Un département
• Définir domaine d’application
L’organisation dans
• Limites du SMSI (ce qui est interne au domaine d’application/externe)
son ensemble
– Hypothèses:
• Organisations inter-dépendantes, frontière difficile à établir L’organisation et ses
parties prenantes
• Existence de points de contact/interfaces (devront être traités comme risques
potentiels, et faire l’objet de traitement adapté accompagné de mesures de
contrôle)
– Cas des petites organisations:
• Moyen simple et économique: Intégrer l’ensemble des activités dans le
domaine d’application,
• Car :
– Difficile de séparer un ps des autres dans l’organisation
– Difficile de définir un domaine d’application ne couvrant qu’un ps ou excluant un ps
La planification
Organisation: Société X
But: Etablir un système de mgt de la sécurité de l’information certifié ISO 27001 afin de diminuer les risques d’incidents
Domaine d’application: le SMSI couvre l’ensemble des activités du siège social de la société X situé à Y.
d’application
• Mise en garde:
changements
1. Changement dans l’environnement
interne ou externe
Sources de changement du domaine d’application et ses limites à la
2. Demande
demande deprenantes:
des parties changement
- Internes: membres des comités, gestionnaires opérationnels, utilisateurs
- Externes: fournisseurs, clients, partenaires d’affaires
Toute demande de changement devra être motivée et
3. Etudeapprouvé,
acceptée
Une fois définitivement d’impact
par le comité de pilotage dude
la documentation SMSI lors d’une
la définition du
revue deetdirection.
domaine d’application des limites du SMSI doit être mise à jour. Cette
mise à jour entraînera la révision du SMSI et de sa documentation afin
En cas de changement important, une analyse de l’impact de
de s’assurer qu’il couvre efficacement
4.modification
Validation parle le
le nouveau
comité domaine d’application
stratégique
la sur SMSI devrait être conduite avant son
et que la documentation reflète les changements. Le changement doit
acceptation finale. (besoin éventuiel d’une nouvelle analyse de
être communiqué à l’ensemble des parties prenantes.
risque et mise en place de nombreuses mesures de contrôle
nonLeprévues
plan deau départ. S’assurer
changement de bénéficier
sera alors présenté audescomité
ressources
5. Définition
nécessaires à la
du nouveau domaine
stratégique quimise en œuvre
le validera des changements
et mettra à dispositionendu
d’application
établissant et
un planning
responsable
limites
du SMSIdeles
du
pré-projetSMSI
ressources nécessaires à sa mise en
La planification
du SMSI
Contrôler
3.1. Rôles & Responsabilités 3.2. Domaine d’application & limites 3.3. Politique
La planification
du SMSI
sécurité
• Objectif principal: Clause A.5.1. Politique de sécurité de
l'information
– Apporter à la sécurité de l’information une orientation et un soutien
de la part de la direction, conformément aux exigences métier et aux
lois et règlements en vigueur.
• Objectifs secondaires:
– Communiquer l’engagement de la haute direction (1 lettre)
– Identifier les intervenants concernés et leurs rôles et responsabilités
dans la gestion de la sécurité (RSI, audit, org. de sécurité)
– Sensibiliser les utilisateurs aux risques (tout le monde)
– Énoncer les paramètres qui encadrent les mesures de contrôle
• La politique SMSI peut être l’objet d’un document indépendant ou être
intégrée dans la politique de sécurité de l’information de l’organisation
La planification
du SMSI
6. Contrôle,
Fréquence: évaluation et 2. Elaboration
• 1 fois par an, révision
• Ou, en cas de
changement majeur
5. Sensibilisation et
3. Approbation
communication
1. Mission, vision de
l’organisation 2. Définition des rôles
et responsabilités
(entretien)
Préalables
• Contenu
Société X de la politique:
Type: POLITIQUE Date d’émission: ../../….
– Au minimum,
Émise par: Mme. Y
la politique SMSI doit:
Version: 1.1 (dernière révision le ../../….) Page: 1 sur 4
•
Responsable SMSI Inclure un cadre pour fixer les objectifs et indiquer une orientation
Approuvé par: Mr. Y
générale Division: TI groupe d’action
et des principes de sécuritéconcernant la sécurité de
1. Objet l’information
L’information et les processus, systèmes et réseaux qui en permettent le traitement constituent des biens
• Tenir compte des exigences liées à l’activité et des exigences légales ou
importants pour la Société X dans la réalisation de sa mission d’affaires.
réglementaires,
La politique de management ainsi
de la sécurité que des obligations
de l’information ded’assurer
a pour objectif sécuritéuncontractuelles
niveau adéquat de
sécurité, en•termesS’aligner
de confidentialité, disponibilitéde
sur le contexte et management
d’intégrité des actifs
duinformationnels de la Société
risque stratégique auquel X
contre toutes les menaces dont elle pourrait être objet.
est exposé l’organisme, dans lequel se dérouleront l’établissement et la
2. Public cible etmiseportéeà jour du SMSI
Public cible:•tous les
Établir lesdecritères
employés la sociétéd’évaluation
X. futurs du risque
–
3. Enoncé
La politique SMSI peut être très courte et contenir des énoncés
généraux
3.1. Rôles qui réfèrent à la norme ISO 27001 et à la documentation
et responsabilités
associée
3.1.1. au sein de l’organisation
Direction
La Direction est le responsable ultime dans l’établissement, la mise en œuvre, le fonctionnement,
– laD’autres
surveillancepolitiques etlaprocédures
et le réexamen, viendrontdupréciser
mise à jour et l’amélioration SMSI et estcomment
responsable de:
mettre en œuvre etd’une
1. L’établissement appliquer la politique
politique relative au SMSI SMSI
La planification
du SMSI
Conservation
Publication de Signature des
dans le dossier
la politique employés
employé
Signature:
Bonne pratique mais non
obligatoire Formulaire original de signature:
Conservé dans le dossier de chaque
En cas de non signature:
employé aux RH
Être en mesure de démontrer que
les membres de l’organisation ont
compris et appliquent la politique.
Par exemple, participation à une
session de formation.
La planification
du SMSI
Communication
(ISO 27002:5.1.1) • Lettre officielle
Plan de communication • Diffusion générale
nécessaire préalable à la
publication de la politique
Evaluation
Mesurer le degré de
conformité
Concordance
avec mission,
vision de
l’organisation Appuie les
Communication
processus de
& Sensibilisation
sécurité
Contrôle,
Implication de
évaluation et
la direction
révision
La planification
du SMSI
La planification du SMSI
1. Gouvernance
2. Analyse du risque
3. Déclaration d’applicabilité
La planification
du SMSI
2. Gestion du risque
Planifier
Contrôler
2. Gestion du risque
2. Pré requis
4.1 Exigences générales
L'organisme doit établir, mettre en œuvre, exploiter,
surveiller, réexaminer, tenir à jour et améliorer un
SMSI documenté dans le contexte des activités
commerciales d'ensemble de l'organisme et des
risques auxquels elles sont confrontées.
La planification
du SMSI
Risque=p1.C1+p2.C2+…+pn.Cn
La planification
du SMSI
2. Analyse du risque
• Exercice 5: Mythe et réalité – gestion des risques
Pour chacune des affirmations suivantes déterminez si, selon
vous, elles sont vraies ou fausses, et justifiez votre réponse:
1. Les organisations sont exposées à plus de risques aujourd’hui qu’il y a 25 ans.
2. Un risque ne peut pas exister sans menace
3. On peut prévoir la plupart des risques
4. Les risques, c’est avant tout une question de perception
5. Il est possible de complètement éliminer un risque
6. Un bon manager sait prendre des risques
7. Une analyse de risque est toujours subjective
8. Une analyse quantitative des risques fournit des résultats plus pertinents qu’une
analyse qualitative
9. La culture du risque admet le droit à l’erreur
10. Le risque peut être positif (opportunité) et négatif (menace) pour une
organisation
La planification
du SMSI
DANGER
LE
RISQUE
OPPORTUNITE INCERTITUDE
La planification
du SMSI
Comportements
Désastres naturels
déviants
Sources combinées
Faiblesses Technologies
humaines
Faiblesses
Analyse des risques
organisationnelles à travers des benchmarks
2. Une question de perception
Perception du risque
(subjectif, irrationnel, diffère Risque réel
d’employé à dirigeant, )
Bicyclette 5,4
Voiture 0,7
2-
1- Identifier 3- Gérer les
Analyser
les risques risques
et évaluer
Stratégie:
Risques Probabilité,
potentiels Impact, Elimination,
Libellés Délai, Transfert,
Contexte Gravité, Réduction,
Causes Contrôle,
Conséquences Acceptation,
Maîtrise
Plan de
contingence
temps
4- Maintenir
1- Évaluer et améliorer
les risques le contrôle
des risques
2-
3- Surveiller
Sélectionner,
et réviser la
mettre en
performance
œuvre&faire
et l’efficacité
fonctionner
•Clause 6 (D): du SMSI •Clause 7 (C):
les contrôles
•Traitement de •Activités de
risque et prise de gestion des risques
décisions de gestion en cours
2. Autres cadres de référence
• Contenu de l’ISO 27005:
1. Domaine d’application
2. Références normatives
3. Termes et définitions
4. Structure de la présente Norme internationale
5. Background
6. Processus de gestion des risques
7. Etablissement du contexte
8. Appréciation du risque
9. Traitement du risque
10. Acceptation du risque
11. Communication du risque
12. Surveillance et réexamen du risque
2. Autres cadres de référence
• Contenu de l’ISO 27005:
– Annexe A:
• Définition du périmètre du Processus de gestion des risques
– Annexe B:
• Identification et évaluation des actifs et appréciation des impacts
– Annexe C:
• Exemples de types de menaces
– Annexe D:
• Vulnérabilités et méthodes d’appréciation des vulnérabilités
2. Autres cadres de référence
• ISO 27005: 1- Domaine d’application
– Cette norme internationale fournit des lignes
directrices pour la gestion des risques de sécurité
de l'information.
– Une connaissance des concepts, des modèles, des
processus et de la terminologie de l'ISO / CEI
27001 et de l’ISO / IEC 27002 est importante pour
une compréhension complète de la norme
internationale ISO/IEC 27005:2008 .
2. Autres cadres de référence
• ISO 27005: 1- Domaine d’application
• Historique: ISO 13335-2
• Traitement du risque
– Sélection des objectifs et mesures de sécurité pour réduire le risque
– Refus, transfert ou conservation du risque
• Acceptation du risque
– Approbation par la direction des choix effectués lors du traitement
du risque
• Communication du risque
2. Autres cadres de référence
• ISO 27005: 6- Processus de gestion des risques:
Action:
Entrée: Sortie:
Définir
Toute information Critères de base
Décrire
pertinente pour (ISO27001 4.2.1.c) Champ et limites
Organiser
la sécurité Organisation en place
2. Autres cadres de référence
• ISO 27005: 7- Etablissement du contexte:
– 7.1: Considérations générales
• Déterminer la finalité des activités de gestion des risques de sécurité de
l’information qui affectent l’ensemble du processus.
• Le but peut être:
– La conformité juridique et la preuve
– La préparation d'un plan de continuité d'activité
– La préparation d'un plan de réponse aux incidents
– Le soutien d'un SMSI.
2. Autres cadres de référence
• ISO 27005: 7- Etablissement du contexte:
– 7.2: Critères de base
• Critères d’évaluation des risques
• Critères d'impact
• Critères d'acceptation des risques
– Valeur stratégique du processus métier
• – Niveau
Disponibilité des ressources – Criticitédudes
de classification actifs impliqués
patrimoine informationnel impacté
Annexe (B.3) :
– Impact de laCritères– Conséquences
violation des critères
d'acceptation financières
de
dessécurité
risques en(breaches
:association of avec
- Différence entre –la Critères
valeur d'unmétiersactif et l'impact ?
security criteria): :Confidentialité,
-deDécrit lesAspects
circonstances
– Réaliser intégrité,
l'appréciation dans disponibilité,
des risques etetétablir le
lesquelles
– Critères peuvent- Incident –
sécurité
changerl'organisation
d'une peut
appréciation légaux
affecter et
àlégales
l'autre,règlementaires
d'une itération à4.2)
éventuellement d'autres
plan– de
Obligations
critères comme
acceptera
traitement les la
des et règlementaires
preuve.
risques
Risques (BS7799-3
l'autre - Un actif – Exploitations
– Détérioration- Correspond (legalau
de –l'exploitation
Définir and
et regulatory
(impaired
critères
implémenter requirements)
operations)
de risque (Interne
(risk criteria)
les politiques et (ISOou
- Plusieurs actifs – Technologiques
tierce partie) Guide – Engagements
73) dans d'autres
procédures, incluant contractuels
documents
l’implémentation (contractual
des
- Une partie d'un – Financiers
actif
– Perte d’activité obligations)
etmesures
perte financière
- Conservation dedes risques
sécurité dépendra
sélectionnées des critères
- Impact mesure le– degré
Sociaux de etdommage
humanitairesd'un incident
– Perturbationd'acceptation – Perception
des–projets,
Surveillernon-respect
des du client
lesrisques
contrôles et conséquences
des dates limites
- Au départ l'estimationIl faut définir
d'un son niveau
impact sera très d'acceptation
proche de des
(disruption of plans–and négatives lepour
deadlines) la clientèle
l'estimation de laSurveiller
risquesdes
valeur (levelprocessus
of risk
actifs de gestion decision)
acceptance
impactés des risques
– Attentes
– Dégradation de laSeréputation
reporter des clients
à(damage
l’annexe ofde
A reputation)
l’ ISO/IEC FDC 27005
2. Autres cadres de référence
• ISO 27005: 7- Etablissement du contexte:
– 7.3: Champ et limites
• Composition:
– Définir le périmètre du processus de gestion du risque
– Décrire l'environnement du processus de gestion du risque
– Décrire l'objet du processus de gestion du risque
– Présentation de l'organisation
• Processus
– Objectifs demétiers,
stratégiques gestionlesdu –risque
stratégies etapplicable
politiques
La présentation à tout type d'objet :
du champ
– Politique –deApplication
sécurité – Les constituants
– Contraintes affectant l'organisation – Les objectifs
– Infrastructure
– Liste des obligations légales,IT – La description
règlementaires fonctionnelles'appliquant à toute l'organisation
et contractuelles
– Processus
– Aire d'application – Les mesures
métier des risques
de la gestion de sécurité
de sécurité existantes ou (système
de l’information planifiées ou limites
– Les frontières et barrières
géographiques)
– Organisation – Les interfaces (informations échangées avec l'environnement)
– Architecture du système d'information – L’organisation et les responsabilités
– Justification des exclusions du champ–du processus
La liste de gestion
des postulats des risques
(assumptions)
– Environnement socioculturel – La liste des contraintes spécifiques à l’objet
Se reporter à l’annexe A de l’ ISO/IEC FDC– La27005
liste des références règlementaires spécifiques
Se reporter à l’annexe A de l’ ISO/IEC FDC 27005
2. Autres cadres de référence
• ISO 27005: 7- Etablissement du contexte:
– 7.4: Organisation pour la gestion des risques
• Une organisation et gouvernance appropriée pour le processus de gestion
des risques de l’information doit être établie et approuvée par la
direction (Cf 5.1.f de l’ISO/IEC 27001:2005)
• Elle doit inclure:
– Une identification et analyses des parties impliquées
– Une définition des rôles et responsabilités de toutes les parties de
l’organisation participant au processus de gestion des risques de sécurité de
l’information
– L’établissement des liens nécessaires entre les parties impliquées de
l’organisation , en particulier ceux avec les fonctions de gestion du risque de
haut niveau (gestion des risques opérationnels).
2. Autres cadres de référence
• ISO 27005: 7- Etablissement du contexte:
– 7.4: Organisation pour la gestion des risques
• Une organisation et gouvernance appropriée pour le processus de gestion
des risques de l’information doit être établie et approuvée par la
direction (Cf 5.1.f de l’ISO/IEC 27001:2005)
• Elle doit inclure…
• Une structure détaillée pour l’exercice de ce processus comprend aussi:
– La définition et répartition des activités et tâches de ce processus, y comprit
la documentation
– La gestion de ressources
– La définition des chemins d'escalade de décision
– La définition des enregistrements devant être conservés
2. Autres cadres de référence
• ISO 27005: 8- Appréciation du risque:
– ISO/IEC FDC 27005
• 8: Appréciation du risque (Risk Assesment)
– 8.1: Processus d’appréciation du risque
– 8.2: Analyse du risque (Risk Analysis)
– 8.2.1: Identification du risque
– 8.2.2: Estimation du risque
– 8.3: Evaluation du risque
– ISO/IEC 27001:2005
• 4.2.1c: Approche d’appréciation du risque
• 4.2.1d: Identifier les risques
• 4.2.1e: Analyser et évaluer les risques
2. Autres cadres de référence
• ISO 27005: 8- Appréciation du risque:
– Annexe E.1 Appréciation du risque de haut niveau en sécurité de l'information
• L’appréciation de haut niveau permet de définir les priorités et la chronologie des actions. Pour différentes
raisons, par exemple de budget, il peut s'avérer impossible de mettre en œuvre toutes les mesures de
sécurité en même temps; seuls les risques les plus critiques peuvent alors être abordés par le processus
de traitement de risque. Il peut également être précoce de commencer une gestion détaillée de risque si
la mise en œuvre n’est envisagée qu'après une ou deux années. Afin d’atteindre cet objectif, l’appréciation
de haut niveau peut commencer par une évaluation de haut niveau des conséquences plutôt que par une
analyse systématique des menaces, des vulnérabilités, des actifs et des conséquences.
• Une autre raison de commencer par l’appréciation de haut niveau est de la synchroniser avec d’autres
plans relatifs à la gestion des modifications (ou la continuité de l'activité). Par exemple, il n'est pas
conseillé de sécuriser entièrement un système ou une application s'il est prévu de les sous-traiter dans un
futur proche, même s’il peut être encore utile de procéder à l’appréciation du risque pour définir le
contrat de sous-traitance.
– Annexe E.2 Appréciation détaillée du risque en sécurité de l’information
• Le processus d’appréciation détaillée du risque en sécurité de l’information implique l’identification et
l’évaluation approfondie des actifs, l’appréciation des menaces par rapport à ces actifs et l’appréciation
des vulnérabilités. Les résultats obtenus grâce à ces activités sont alors utilisés pour apprécier les risques,
puis pour identifier le traitement du risque.
• Cette étape détaillée exige en général du temps, des efforts et une expertise considérables et peut, par
conséquent, être la plus adaptée aux systèmes d'information présentant un risque élevé.
2. Autres cadres de référence
• ISO 27005: 8- Appréciation du risque:
– Appréciation du risque (8.1)
• Déterminer la valeur des actifs
• Identifier les menaces et les vulnérabilités
• Identifier les mesures de sécurité existantes
et leurs effets sur le risque identifié
• Quantifier les conséquences potentielles
• Prioriser et ordonnancer les risques
– Itérations de l'appréciation (8.1)
• Haut-niveau
• De plus en plus en profondeur
2. Autres cadres de référence
• ISO 27005: 8- Appréciation du risque:
– Processus d’appréciation du risque (8.1)
Action:
- Identification des risques
Entrée: - Description quantitative Sortie:
Critères d'acceptation ou qualitative des risques Liste des risques
du risque - Prioritisation des risques évalués (appréciés)
2. Autres cadres de référence
• ISO 27005: 8- Appréciation du risque:
– Analyse de risque (8.2):
Menace
cible
exploite Actif
possède
Vulnérabilité
Conséquence
2. Autres cadres de référence
• ISO 27005: 8- Appréciation du risque:
– Analyse de risque (8.2): Identification du risque (8.2.1)
8.2.1.2
8.2.1.3
8.2.1.4
8.2.1.5
8.2.1.6
2. Autres cadres de référence
• ISO 27005: 8- Appréciation du risque
– Analyse de risque (8.2): Identification du risque (8.2.1)
• Identification et évaluation des actifs (8.2.1.2) :
– Actifs non-identifiés à l'issue de cette activité ne seront
- Élément pas classés
de sortie:
=> même compromis. Une liste de scénarios
- Éléments d’entrée: - Action: Cela n'affecte pas l'objet du processus de
d'incidents avec leurs
Liste des actifs,gestion
liste desde risqueIdentifier
(B.1.1)les conséquences conséquences liées aux
processus métiers et que les pertes de
– Propriétaire
liste des menaces et des de l'actif => responsable
confidentialité, d'intégrité et
et redevable pour cet actif (8.2.1.1)
actifs et des processus
métiers.
vulnérabilités liés»aux
Production, développement, maintenance, usage, sécurité, ...
de disponibilité peuvent
actifs et leur pertinence avoirde
» Pas au sens droit pour le patrimoine.
propriété
Caractéristique Description
1- Critères Doit être écrit en des termes non ambiguës : coût monétaire, rang,
d’évaluation des actifs etc..
Exemples:
1- cout, cout de re-création ou remplacement, réputation de
l’organisme, etc.
2- cout dû à la perte de CID suite à un incident
3- selon le contexte, dépend de l’organisme
Exemples de critères:
• Rupture de contrat (incapacité à remplir des obligations contractuelles)
• Violation de législation et/ou règlementation
2. Autres cadres de référence
• Exemples
Personnelde
utilisateurs
encritères:
• Interruption
danger/ sécurité de l’utilisateur (danger pour les personnel et les
de service
rattachés
• Dépréciation des performances de l’entreprise
(incapacité à• fournir
à l’organisation), Atteinteleàservice)
la vie privée des utilisateurs
• Perte de notoriété, effet négatif sur la réputation
• •Pertes
Pertefinancières,
de la confiance des financiers
• Coûts clients : pour les cas d'urgence ou de réparation (1- en
• Violation associée aux informations personnelles
• ISO (1- 27005:
termesPerte 8- Appréciation
de la crédibilité
de personnel, 2-en dans
termes le système du
d'équipement,
• Mise en danger derisque
d’information interne,
3-en termes 2-Dommage
d'études,
la sureté personnelle
à la
de rapports
réputation)
d'experts)
– Analyse
• •Perte
Interruption dedu
de biens / risque
•(8.2):
fonctionnement
fonds
Effets Identification
/ avoirs,
négatifs sur le renforcement
interne
• Perte :
de clientèle, du
perterisque de (8.2.1)
la loi
de fournisseurs
• Violation de la confidentialité
• (1-Perturbation
Les•poursuites de l’organisation
Identification et•etViolation
judiciaires elle-même, 2- coût supplémentaire interne)
des sanctions
évaluation des public
actifs (8.2.1.2) :
de l’ordre
• •Perte
Interruption du fonctionnement
d'un avantage concurrentiel,d'un tiersde: I’avance technologique / technique
• Perte
– Annexe (B.2) •Evaluation
Perte financière
• (1- perturbation
Perte d'efficacitédans des:transactions
/ confiance, • Perte de des
de actifs
tiers avec l'organisation,
réputation technique Différents types
• Perturbation des activités métier
• de types dommages)
Affaiblissement des capacités de négociation
Caractéristique Description• Mise en danger de la sécurité environnementale
• •Crise
Violation des lois(grèves),
industrielle et des règlementations
• Crise Gouvemmentale,(incapacité à remplir ses •obligations
• Licenciement, Dommages
2- Réduction à une Homogénéiser et réduire l'ensemble des évaluations relatives à tous les
légales)
matériels
base commune actifs selon une base commune:
1) Peut être réalisé en s’aidant des critères liés à une perte de
confidentialité, intégrité, disponibilité, non-répudiation,
comptabilité, authenticité ou fiabilité
2) Autre approche: Se base sur d’autres critères
Dépend du métier de l’entreprise et de ses besoins de sécurité
Cette liste n’est pas exhaustive.
2. Autres cadres de référence
• ISO 27005: 8- Appréciation du risque
– Analyse de risque (8.2): Identification du risque (8.2.1)
• Identification et évaluation des actifs (8.2.1.2) :
– Annexe (B.2) : Evaluation des actifs
Caractéristique Description
3- Échelle Homogénéiser le nombre de niveaux (dépend de l’organisation):
Convenir d’une échelle commune à tous les niveaux.
Se prononcer sur le nombre de niveaux à utiliser.
- Pas de règles : +de niveaux => + grand niveau de granularité, -mais
parfois une différenciation trop fine rend l’assignation cohérente
dans toute l'organisation difficile.
- En pratique, entre 3 et 10 (« Petit, Moyen, Elevé, » ou « Négligeable,
petit, moyen, élevé, critique) », etc.
- En relation avec les critères sélectionnés
- Sous la responsabilité de l’organisation: Une conséquence qui
pourrait être désastreux pour un petite organisation pourrait être
faible, voire négligeable pour une très grande organisation.
2. Autres cadres de référence
• ISO 27005: 8- Appréciation du risque
– Analyse de risque (8.2): Identification du risque (8.2.1)
• Identification et évaluation des actifs (8.2.1.2) :
– Annexe (B.2) : Evaluation des actifs
Caractéristique Description
4- Dépendances Vis-à-vis des processus métier supportés par les actifs
- Assigner une valeur finale à chaque actif
- Modification de la valeur de l’actif: nécessaire si la valeur de l’actif
dont il dépend est supérieure. Majoration dépend du degré de
dépendance et des valeurs des autres actifs
- Indiquer à chaque évaluation le critère utilisé et l'auteur de
l'évaluation
2. Autres cadres de référence
• ISO 27005: 8- Appréciation du risque
– Analyse de risque (8.2): Identification du risque (8.2.1)
• Identification et évaluation des actifs (8.2.1.2) :
– Annexe (B.2) : Evaluation des actifs
Caractéristique Description
5- Sortie - Liste des actifs et de leur valeur:
- Divulgation (préservation confidentialité),
- Modification (préservation intégrité, authenticité, non
répudiation, comptabilité),
- Non disponibilité et destruction (disponibilité et fiabilité),
- cout de remplacement
2. Autres cadres de référence
• ISO 27005: 8- Appréciation du risque
– Analyse de risque (8.2): Identification du risque (8.2.1)
• Identification des menaces (8.2.1.3) :
– En priorité les menaces d'origine
Paraccidentelles
interviews et délibérées
• Propriétaires d'actifs, utilisateurs,
– De manière générique et par type
ressources humaines, services
» Compromission de l'information, pannes techniques, actions
opérationnels, non-autorisées
spécialistes en sécurité,
– Source sécurité physique, juridique...
» Qui et quoi cause la menace • Autorités gouvernementales,
– Cible météorologie, compagnies
(related potential exploring agents)
d'assurance...
» Quels éléments du système peuvent être affectés par la menace
• ISO 27001 4.2.1d)2
Entrée:
• Réexamen des incidents
Sortie:
Action: Liste de menaces avec
• Propriétaires d'actifs,
Identifier les leur type, source et les
utilisateurs (ISO27001 4.2.1.d.2)
• Gestion des incidents menaces et leurs personnes pouvant les
• Catalogues de menaces sources explorer
2. Autres cadres de référence
• ISO 27005: 8- Appréciation du risque
– Analyse de risque (8.2): Identification du risque (8.2.1)
• Identification des menaces (8.2.1.3) :
– Annexe (C) : Exemples de menaces typiques
» Le tableau suivant donne des exemples de menaces typiques.
» La liste peut être utilisée au cours du processus d'évaluation des
menaces.
» Les menaces peuvent être :
- délibérées (D) : toutes les actions délibérées visant les
actifs informationnels
- accidentelle (A) : toutes les actions humaines pouvant
endommager accidentellement actifs
informationnels
- ou environnementales (naturelles) (E) : incidents non
basés sur des actions humaines et pouvant
entraîner, par exemple, des dommages ou la
perte de services essentiels
2. Autres cadres de référence
• ISO 27005: 8- Appréciation du risque
– Analyse de risque (8.2): Identification du risque (8.2.1)
• Identification des menaces (8.2.1.3) :
– Annexe (C) : Attention particulières aux sources de menaces
humaines (voir tableau ci-dessous)
Action:
Entrée: Identifier les Sortie:
Liste des actifs
(ISO27001 4.2.1.d.4) conséquences qu'une Liste des conséquences
perte de CID pourrait relatives aux actifs
Liste des processus métier et aux processus métier
reliés aux actifs avoir sur les actifs
2. Autres cadres de référence
• ISO 27005: 8- Appréciation du risque
– Analyse de risque (8.2): Identification du risque (8.2.1)
• Identification desd'opportunité
a) Coût conséquences ouendes
(besoins effets induits (8.2.1.6) :
ressources
financières nécessaires pour remplacer ou réparer
– Annexe
a) La valeur financière(B.3)de:remplacement
Evaluation des deimpacts
la
un actif, qui auraient été utilisées ailleurs)
perte de l'actif
» Un(ou d’une partie)
incident
b) Le coûtdedessécurité peutinterrompues
opérations avoir un impact sur un actif ou une
b) ère
Le coût de l'acquisition, la configuration et
évaluation:partie
1 l'installation seulementabusive
c) l'utilisation d'un actif.
du nouvel actif ou de son back-up
potentielle de l'information
obtenue grâce àtrès
une faille dedesécurité
c)Elle coût de»suspension
Lepermettra d'estimer
L'impact un impact
est
des liée au
opérations proche
degré
en de succès de l'incident.
la raison
valeur de
de l'incident d) La
l’actif combinée.violation des obligations statutaires ou
» En conséquence,
Evaluations
jusqu'à ce suivantes:
que le service
réglementairesil y a une différence importante entre la valeur
fourni soit rétabli pouret
des actifs cette (ces) actif
l'impact (s), l'impact
résultant sera différent
de l'incident.
e) Violation des codes de déontologie
d) Résultats d’impact (normalement
de la violation de beaucoup plus faible) en raison de la
la sécurité
» L'impact est considéré comme ayant soit un effet immédiat
de l’information présence et de l'efficacité des contrôles mis en
(opérationnel)
œuvre. ou un effet futur (business) qui inclut les
conséquences financières et mercatiques.
» L’impact immédiat (opérationnel) peut être Direct ou Indirect
» Evaluation itérative:
- Première évaluation (sans contrôle d'aucune sorte)
- Pour toute itération suivante
2. Autres cadres de référence
• ISO 27005: 8- Appréciation du risque:
– Analyse de risque (8.2): Estimation du risque (8.2.2)
Menace
cible
exploite Actif
8.2.2.1
8.2.2.2
possède
8.2.2.3
Vulnérabilité 8.2.2.4
Conséquence
2. Autres cadres de référence
• ISO 27005: 8- Appréciation du risque:
– Analyse de risque (8.2): Estimation du risque (8.2.2)
• Méthodes d'estimation des risques (8.2.2.1) :
– Généralités:
» L’analyse de risque peut être effectuée à différents niveaux de détail
selon la criticité des actifs, la portée des vulnérabilités connues et des
incidents antérieurs expérimentés au sein de l'organisme.
» Selon les circonstances, une méthodologie d’estimation peut être
qualitative, quantitative ou une combinaison des deux.
» En pratique, l’estimation qualitative est souvent utilisée en premier lieu
pour obtenir une indication générale du niveau de risque et pour mettre
en exergue les principaux risques. Il peut ensuite être nécessaire
d’entreprendre une analyse plus spécifique ou quantitative des risques
majeurs, étant donné qu'il est souvent moins complexe et moins
onéreux d'effectuer une analyse qualitative qu’une analyse quantitative.
» Il convient que le type d'analyse menée soit cohérent avec les critères
d'évaluation du risque définis lors de l'établissement du contexte
2. Autres cadres de référence
• ISO 27005: 8- Appréciation du risque:
– Analyse de risque (8.2): Estimation du risque (8.2.2)
• Méthodes d'estimation des risques (8.2.2.1) :
– Qualitative
» Magnitude des conséquences exprimée par exemple par faible,
moyenne, élevée
» Utile en l'absence de données permettant une estimation quantitative
» + Facilité de compréhension
» - Subjectivité du choix
2. Autres cadres de référence
• ISO 27005: 8- Appréciation du risque:
– Analyse de risque (8.2): Estimation du risque (8.2.2)
• Méthodes d'estimation des risques (8.2.2.1) :
– Qualitative
– Quantitative
» Echelle avec des valeurs numériques (appliquée à la vraisemblance,
conséquence)
» Qualité de l’analyse dépend de adéquation des valeurs numériques et
de la validité du modèle
» A construire sur la base de l'historique des incidents
» + Directement relié aux objectifs de sécurité, concerne l’organisation
» - Manque de données relatives aux nouveaux risques, carence
information sur les risques de sécurité
» - combinaison vraisemblance & conséquences : fournit niveau de risque
variable
2. Autres cadres de référence
• ISO 27005: 8- Appréciation du risque:
– Analyse de risque (8.2): Estimation du risque (8.2.2)
• Evaluation (assessment) des conséquences (8.2.2.2) :
– Expression sous forme monétaire compréhensible par le plus grand
nombre Evaluer les impacts sur
l’activité en terme de
– Qualitativement
conséquence ou d’une
quantitativement
perte de
DICP,du
– Valorisation suivant
coûtl’identification
de l'impact
faite précédemment
» Remplacement de l'actif Critères d’impact
» Reconstitution
» Remplacement de l'information
– Critères techniques, humains,...
Action:
Entrée: Evaluer les impacts Sortie:
Liste des conséquences des incidents de Liste des conséquences
(ISO27001 4.2.1.e.1) sécurité possibles en
relatives aux actifs analysées (appréciées) par
et aux processus métiers fonction des rapport aux actifs
conséquences CID
2. Autres cadres de référence
• ISO 27005: 8- Appréciation du risque:
– Analyse de risque (8.2): Estimation du risque (8.2.2)
• Evaluation (assessment) des probabilités d'occurrence des
menaces (8.2.2.3) : (« vraisemblance des incidents »)
– En prenant en compte :
» Probabilité d'occurrence de la menace (threat likelihood):
Fréquence de la menace & niveau impact conséquences liées au processus
» Motivation, aptitude et ressources des attaquants potentiels et
leur perception de l'attractivité et de la vulnérabilité de l'actif
» Pour les menaces accidentelles les facteurs d'erreurs humaines
et de disfonctionnement, géographiques et météorologiques
– Probabilité d'occurrence faible, moyenne, élevée
Sortie:
Action:
Entrée: Vraisemblance des incidents
Liste de menaces avec leur Evaluer la probabilité (quantitatif, qualitatif),
type, source et les personnes (ISO27001 4.2.1.e.2) d'occurrence des Liste de menaces identifiées,
pouvant les explorer menaces d'actifs affectés,
et probabilité d'occurrence
2. Autres cadres de référence
• ISO 27005: 8- Appréciation du risque:
– Analyse de risque (8.2): Estimation du risque (8.2.2)
• Estimation des niveaux de risques (8.2.2.4) :
– Analyse (assessment) des Vulnérabilités :
» En envisageant toutes les menaces pouvant les exploiter dans
une situation donnée
» En prenant en compte :
- Facilité d'exploitation: Qualitative ou quantitative
- Mesures de sécurité existantes
» Niveau d’impact actifs (DICP) + niveau de probabilité du
scenario d’incident => évaluation du niveau de risque SSI
Entrée: Action:
Analyser les vulnérabilités Sortie:
Liste de vulnérabilités Liste des vulnérabilités et
reliées en envisageant toutes les
ISO 27001, 4.2.1 e4 l'analyse de leur
aux actifs, menaces et menaces
pouvant les exploiter facilité d'exploitation
mesures de sécurité
2. Autres cadres de référence
• ISO 27005: 8- Appréciation du risque:
– Analyse de risque (8.2): Estimation du risque (8.2.2)
• Estimation des niveaux de risques (8.2.2.4) :
Estimer les
niveaux de
risques
┌─────────┬────────┬─────────┬─────────────┬────────┬────────────────┐
│ Actif │ Menace │Prob.Occ.│Vulnérabilité│ Impact │Niveau de risque│
│ │ │ │ │ DICP │ │
├─────────┼────────┼─────────┼─────────────┼────────┼────────────────┤
│ │ │ │ │ │ │
│ │ │ ├─────────────┼────────┼────────────────┤
│ │ │ │ │ │ │
│ │ │ ├─────────────┼────────┼────────────────┤
│ │ │ │ │ │ │
│ ├────────┼─────────┼─────────────┼────────┼────────────────┤
│ │ │ │ │ │ │
│ │ │ ├─────────────┼────────┼────────────────┤
│ │ │ │ │ │ │
2. Autres cadres de référence
• ISO 27005: 8- Appréciation du risque:
– Analyse de risque (8.2): Estimation du risque (8.2.2)
• Estimation des niveaux de risques (8.2.2.4) : exemple 1
– Matrice des valeur prédéfinies Actifs/Menace/Vulnérabilité (Annexe E.2.1) :
Valeur » Dans les méthodes d’appréciation
Probabilité d’occurrence du risque
de la menace dedecemenace)
(Niveau type, les actifs
de l’actif physiques
Faible réels ou proposés sont Moyenévalués en termes de Élevé coût de
remplacementFacilité
ou ded’exploitation
reconstruction
(Niveau(càd des mesures quantitatives).
de vulnérabilité)
F
Ces coûts
M
sontE ensuite convertis
F M
sur uneE
échelle qualitative
F M
identique à
EE
celle utilisée pour les informations (voir ci-dessous)
0 0 1 2 1 2 3 2 3 4
- Valeur de l'actif
1 1 2 3 2 3 4 3 4 5
- Probabilité d'occurrence de la menace (était niveau de menace (BS7799-35C.5.3 ) )
2 2 3 4 3 4 5 4 5 6
- Facilité d'exploitation (était niveau de vulnérabilité BS7799-3 C.5.3 )
( )
3 3 4 5 4 5 6 5 6 7
» Exemple
4 4 5 6 5 6 7 6 7 8
2. Autres cadres de référence
• ISO 27005: 8- Appréciation du risque:
– Analyse de risque (8.2): Estimation du risque (8.2.2)
• Estimation des niveaux de risques (8.2.2.4) : exemple 1
– Matrice de Probabilité d'un scénario incident, mis en
correspondance avec l'impact estimé d'affaires (Annexe E.2.1) :
» Risque mineur:
Vraisemblance Très faible 0-2Faible (peu Moyenne Élevée Très élevée
d’un scénario (très peu probable) (possible) (probable) (fréquente)
» Risque
d’incident
moyen:
probable)
3-5
Très»faible
Risque élevé:
0 6-8 1 2 3 4
Impact sur l’activité
Faible 1 2 3 4 5
Moyen 2 3 4 5 6
Élevé 3 4 5 6 7
Très élevé 4 5 6 7 8
2. Autres cadres de référence
• ISO 27005: 8- Appréciation du risque:
– Analyse de risque (8.2): Estimation du risque (8.2.2)
• Estimation des niveaux de risques (8.2.2.4) : exemple 2
– Exemple d'ordonnancement des menaces par mesure de risque (E.2.2) :
1- Conséquence (était impact (BS7799-3 C.5.4)) en fonction de la valeur de l'actif de 1 à 5
2- Probabilité d'occurrence de la menace de 1 (faible) à 5 (élevée)
3- Mesure du risque (d) = (b) x (c) conséquence x probabilité d'occurrence
4- Ordonnancement des menaces (était incident (BS7799-3 C.5.4)) en fonction des
niveaux de risque/
Descripteur de Conséquence Probabilité d’occurrence Mesure de risque Ordonnancement
menace (b) de menace (d) des menaces
(a) (c) (e)
Menace A 5 2 10 2
Menace B 2 4 8 3
Menace C 3 5 15 1
Menace D 1 3 3 5
Menace E 4 1 4 4
Menace F 2 4 8 3
2. Autres cadres de référence
• ISO 27005: 8- Appréciation du risque:
– Analyse de risque (8.2): Estimation du risque (8.2.2)
• Estimation des niveaux de risques (8.2.2.4) : exemple 3
– Evaluation de valeur de probabilité et conséquences de risques possibles (E.2.3)
» Conséquences des incidents de sécurité de l'information (c.-à-
scénarios d'incidents) & détermination des systèmes devraient
être prioritaires.
» Méthodologie:
1-Evaluation de 2 valeurs pour chaque élément d'actif et de risque
2-En combinaison, détermination du score pour chaque actif.
3-Addition de tous les scores des actifs du système =>
4-Détermination de la mesure de risque de ce système
2. Autres cadres de référence
• ISO 27005: 8- Appréciation du risque:
– Analyse de risque (8.2): Estimation du risque (8.2.2)
• Estimation des niveaux de risques (8.2.2.4) : exemple 3
– Evaluation de valeur de probabilité et conséquences de risques possibles (E.2.3)
1- Échelle de valeur des actifs et de risque:
- Valeur d’actif liée aux conséquences négatives potentielles qui peuvent
survenir si l'actif est menacé. Pour chaque menace applicable à l'actif, cette
valeur est assignée à l'actif.
Niveau C I D Preuve / Impact
Actif Tracabilité
3 Top Secret (Directoire) Confidentiel Vital (1j) Légal Nombre de jours,
délai de panne, à
2 Secret (Restreint) (1 semaine) Significatif
traduire en valeur
1 (Inter Agence) Faible (1 mois) Faible entière, à prendre en
0 Non classé (Public) Systématique (1 an) Inexistant consensus, réunir les
dirigeants
» Échelle des valeurs: Gravité risque: 0 (très faible), 1 (Dommage activité), 2 (…), 3 (…)
» Calculer 1 valeur unique (moyenne, max, etc.)
2. Autres cadres de référence
• ISO 27005: 8- Appréciation du risque:
– Analyse de risque (8.2): Estimation du risque (8.2.2)
• Estimation des niveaux de risques (8.2.2.4) :
– Evaluation de valeur de probabilité et conséquences de risques possibles (E.2.3)
2- En combinaison, détermination du score pour chaque actif.
» Exemple:
Valeur de l’actif 0 1 2 3 4
Probabilité d’un scénario d’incident
0 0 1 2 3 4
1 1 2 3 4 5
2 2 3 4 5 6
3 3 4 5 6 7
4 4 5 6 7 8
2. Autres cadres de référence
• ISO 27005: 8- Appréciation du risque:
– Analyse de risque (8.2): Estimation du risque (8.2.2)
• Estimation des niveaux de risques (8.2.2.4) :
– Evaluation de valeur de probabilité et conséquences de risques possibles (E.2.3)
3- Addition de tous les scores des actifs du système
Exemple:
» 3 actifs A1, A2, et A3, ayant les valeurs respectives 3, 2 et 4 & 2 menaces T1 et T2
» Phases 1&2: - A1/T1 : - menace ‘Faible’, niveau vulnérabilité ‘Moyen’
- Score A1/T1: combinaison (3,1): 4
- A1/T2 : - menace ‘Moyen’, niveau vulnérabilité ‘Elevé’
- Score A1/T2: combinaison (3,3): 6
-Généraliser le calcul: A2/T1, A2/T2, A3/T1, A3/T2
» Phase 3: - A1T: -score total: 6+4=10
- Généraliser le calcul: A2T, A3T
- Calculer le score total du système: ST=A1T+A2T+A3T
4-Détermination de la mesure de risque de ce système
Comparaison des différents systèmes pour établir les priorités sur un système unifié
2. Autres cadres de référence
• ISO 27005: 8- Appréciation du risque:
– Analyse de risque (8.2): Estimation du risque (8.2.2)
• Estimation des niveaux de risques (8.2.2.4) :
– Estimation du Risque:
» Probabilité d'occurrence et conséquences possible des risques : (E.2.3)
Entrée: Action:
Sortie:
Validation du plan de Enregistrement
Liste des risques acceptés
traitement des risques formel
2. Autres cadres de référence
• ISO 27005: 11- Communication du risque
– Généralité:
• Ilinformations
Toutes les convient qu’unEchange
organisme élabore
et partage des planscontinue,
Activité
d'information de communication
Permet de : du risque
obtenues àen fonctionnement
partir des normal ainsi entre
sur les risques : - Réduire
que dans les incompréhensions
les situations d’urgence.avec les
activités de gestion du décisionnaires
- Processus de gestion de risque
risque • Par conséquent,Décisionnaires
il convient (decision-makers)
de procéder deetmanière
- Obtenir continue
de nouvelles à l’activité
connaissance en de
communication du- les risque
dépositaires des enjeuxsécurité
(stakeholders) - Améliorer la sensibilisation
Entrée:
Informations issues des Action:
Sortie:
activités de gestion du Surveillance et
Alignement continu
risque. réexamen
2. Autres cadres de référence
• ISO 27005: 12- Surveillance et réexamen du risque:
Mesures à prendre pour réduire les risques à un niveau
• 12.2: Surveillance et réexamen
acceptable doivent être choisies et du
misesprocessus
en œuvre: de gestion de
- Contexte légal et environnemental
risques - Concurrence
- Approche de l'appréciation du risque
Une liste des risques par
- Valeur et catégories des actifs
ordre de priorité en fonction
- Critères d'impact Le processus de gestion des risques en
de critères d'évaluation Critères d'évaluation des risques sécurité de l’information doit faire l'objet
- des
risques. - Critère d'acceptation des risquesd'un suivi continue, d’une révision et d’une
- TCO (Total Cost of Ownership) amélioration appropriées si nécessaire.
ISO/IEC 27005:2008 12.2
- Ressource potentiellement disponibles
Entrée: Sortie:
Action:
Liste des risques par Suivi continu, révision
Choix et mise en
ordre de priorité améliorations
œuvre des risques
approuvées
2. Autres cadres de référence
• ISO 27005: Annexe A (informationnel): Définition du
périmètre du Processus de gestion des risques
• A.1 Study of the organization
• A.2 List of the constraints affecting the organization
• A.3 List of the legislative and regulatory references applicable
to the organization
• A.4 List of the constraints affecting the scope
2. Autres cadres de référence
• ISO 27005: Annexe B (informationnel): Identification et
évaluation des actifs et appréciation des impacts
• B.1 Examples of asset identification
– B.1.1 The identification of primary assets
» 1 - Business processes (or sub-processes) and activities
» 2 – Information
– B.1.2 List and description of supporting assets Hardware, Software,
Network, Personnel, Site, Location, Organization
• B.2 Asset valuation
• B.3 Impact assessment
2. Autres cadres de référence
• ISO 27005: Annexe C (informative): Exemples de types de
menaces
2. Autres cadres de référence
• ISO 27005: Annexe D (informationnel): Vulnérabilités et
méthodes d’appréciation des vulnérabilités
• D.1 Examples of vulnerabilities
• D.2 Methods for assessment of technical vulnerabilities
2. Autres cadres de référence
• ISO 27005: Annexe E : Méthodes d’appréciation des risques
sécurité de l’information
• E.1 High-level information security risk assessment
• E.2 Detailed information security risk assessment
– E.2.1 Example 1 Matrix with predefined values
– E.2.2 Example 2 Ranking of Threats by Measures of Risk
– E.2.3 Example 3 Assessing a value for the likelihood and the possible
consequences of Risks
2. Autres cadres de référence
• ISO 27005:- - Annexe
Considérer
Spécificité Fles:contraintes
des Méthodes
éléments d’appréciation
suivants, enrelatives
culturelles termes de desdesrisques
à lacompétences
sélection
spécialisées chargées deorganisation
mettre en œuvre les contrôles:
sécurité de-contrôles
l’information
: pays,
Exemples: nécessité
- Disponibilité
(Constraints
secteur,
d'opérer oufor
même
24x7, effectuerrisk reduction)
département
des copies d'une
de sauvegarde
-organisation.
Peut entraîner (Tous la les
mise contrôles
en œuvre necomplexe
peuvent être appliquées
et coûteuse desdans tous
contrôles
• Time constraints,
- Salaire
- lesAspects
pays)
sauf souvent
si elles sontnégligés
intégrées dès le départ dans la conception.
-
-- - Les - Possibilité
Nécessité
aspects d’une
culturels de déplacer
cohérence
ne peuvent le personnel
ou de
être compatibilité
ignorés, entre car les
avec
de sitesles dans
nombreux des
contrôlescontrôles
• Financial ne
Peuvent
Facteurs
constraintsavoir
légaux
conditions
existants.
peuvent réussir
des
peuventrépercussions
influencer
d'exploitation
sans le soutien
importantes
la sélection
défavorables,
actif du personnel.
sur
des les contrôles,
contrôles. sachant
Exemple:
que l’éthique
protection des
Exemples est influencée
données de par
personnelles,
types de les
contrôles:normes
dispositionssociales. du Si codele personnel
Exemple: pourneledu
pénalanalyse
- - Interface homme-technologie pauvre =>des erreur humaine rendantpour le le
• Technical L'expertise
-constraints,
comprend Exemple:
courrier
traitement - pas : laun
impossible
de Les
plan
nécessité
contrôlesdans
l'information. visant
pour à le
certains
doivent
utiliser
contrôle
pays.
être mis
jetons
ou
en le biométriques
trouve
œuvre dansculturellement
un
- -contrôle
contrôle peut
inacceptable,
Les necontrôles
- inutile.
Exemples:
lepas être
d'accès
contrôle
ne doivent pas
compatibilité
prédisposée
physique
devient peut des être
à provoquer
mettre
inefficaces
plus
programmesenfil
au
coûteux
œuvre
des
du ou à mettre
du
les
conflits
temps. matériel
contrôles
avec
en
un code
- - Conformité
La protection légal des
et données
réglementaire. privée peut
Peut changer
imposer en fonction
certains types de del'éthique
• Operational
- -Contrôles œuvre
constraints
Les facteurs
envisagés
système
de la région
contrôle
délai
- sélectionnés
Peuvent
ou
(protection
ou acceptable
PIN-pad
à entretenir
facilement
doivent
environnementaux
existant
du gouvernement.
des àcontrôles.
données
pourque
être
offrir
basé
les
la
évités
peuvent gestionnaires
valeur
Exemple:
etsauf
des
:sur lesiinfluencer
contrôle
auditobligation secteurs
financier),
de
risques
pris en compte auxquels
lors dedes
la sélection
d'accès.
oude l'industrie,
empêcher
ils
la
-contrôles
- une
peut sont l'organisation.
destinées
sélection
facilité
(espace
être des
d'utilisation
trop protéger,
disponible,
coûteux optimale,
conditions
pour l'organisation. climatiques (par exemple
extrêmes, avec la
• Cultural- Coût d'un
constraints,
gouvernement
l'utilisation changement
deSavoir et œuvre
santé.
certaines de contrôle :
-
-géographie
- Autres un - Mise
législation).
niveau
aspects en
acceptable
environnante
: uncommandes,
si Efforts
contrôle
des
de nepeut
derisque pas
contrôles
rurale et
(cryptage).
être
dépasser
résiduel mis
a posteriori
urbaine). pour en œuvre
lesl'entreprise.
Exemple:budgets
à un dans
processusla ou un
alloués.
Tremblement de
- D'autres- devrait
lois etinclure
règlements des éléments
tels que àlaajouter
législation aux coûts
des globaux
relations de
de travail,
- -traitement durée
Toutefois, de vie
àilexistant
se peut de l'information
que la du
sécurité ou du système.
souhaitée et(contournés
le niveau
• - Contrôles
Ethical constraints
terre.
les pompiers, -
système
difficiles
Discrimination
la
Décision
des
santé
utiliser
des
et
des la
souvent
=>
membres
risques. impact
sécurité,
gestionnaires
entravée
et
sur leur
personnel
le desecteur
par desdiscriminer
efficacité
de contraintes
économique
l'organisation
à ou
d'acceptation
techniques. des risques nepas soitdepas atteint en en matière
raison dede
- ignorés
Un par
contrôle lespeut
l’encontre utilisateurs).
dene ceuxpas qui
être nemissont en œuvre protégés
en raison d'interférences
• règlements,
Environmental
- Contrôles - Cesetc,
constraints
d'accès
sécurité
pourraient
concernant
contraintesdifficultés
avec les contrôles actuels.
budgétaires.
complexes
influerse
l’acceptation
peuvent
=>
surdéplacer
inciter
la sélection
d'être
les exposés
les
utilisateurs
et leààun
contrôles contrôle.
risque
trouververs des
des
méthodes-Besoin particulier
Nécessite
aspects
d’accès pendant
la décision
procéduraux
alternatifs oudes une
et
non période
gestionnaires
physiques
autorisées. donnée
de desécurité.
la l'organisation.
• -
Legal constraints -de- La
d'embaucher
Illimitation
peut être de
les profils
budgetsouhaitable.
nécessaire peut
adéquats
réduire
de réviser le le
avant la fin des opération
nombre oudelasécurité
programme qualité de
sécurisation: pratique
• Ease of use des contrôles àdans
l'information mettre en œuvre
le but d'atteindre (rétention implicite
les objectifs dede risque
sécurité.
- plusCela élevé
peutque prévu). lorsque les contrôles ne fournissent pas
se produire
• Personnel constraints
- Celes budget
résultats établi ne devrait
escomptés enêtreterme utilisé que comme
de réduction desun facteur
risques sans
limitant avec la beaucoup d’attention.
• Constraints of integrating new and existing controls
diminuer productivité.
2. Autres cadres de référence
• ISO 27005: Conclusion
– Norme => consensus entre les acteurs du marché
– ISO 27005:
• Ne peut être plus complet que toutes les méthodes qui l'ont précédé
• Représente le noyau commun accepté par tous
• Peut être complété en allant rechercher ailleurs
– Méthodes d'analyse de risques existantes
• Peuvent continuer à évoluer et innover
• Peuvent contribuer à l'amélioration de la norme ISO 27005
• Peuvent compléter la norme
• A terme certaines méthodes pourront se dirent "conformes à la norme ISO
27005"
2. Autres cadres de référence
• ISO 27005: Conclusion
– ISO 27005 = Méthodologie complète
• Structure sa démarche
• Autonome
– Correspond strictement au respect de l'ISO 27001
• Nécessaire pour la mise en place d'un SMSI
• Nécessaire pour une certification
– Entrera dans la gestion de risque en général
• Normalisations ISO de tous les types de risques : financiers, industriels,
routiers, santé, ...
– Vocabulaire
• Compréhensible et plutôt proche du langage courant
2. Autres cadres de référence
• ISO 27005: Conclusion
– ISO 27005 est d'ores et déjà incontournable au niveau
international
• Du fait de l'ISO 27001
– ISO 27005 manque d'expériences pratiques
– ISO27005 permet une gestion des risques simple, pragmatique,
adapté aux réalités des affaires
• Pas un processus linéaire
– Pas une étape infaisable sans avoir fait la précédente
– Possible de démarrer au milieu et d'y aller progressivement
• Rien d'obligatoire dans le formalisme
– Seules les étapes imposées par l'ISO 27001 doivent être suivies
– Le fait qu'elles ont été suivies doit être montrable
2. Autres cadres de référence
• ISO Guide 63
– « gestion du risque – vocabulaire - lignes directrices pour l’utilisation
de la norme »
• ISO/IEC TR 13335
– « Guidelines for Management of IT Security (GMIT) »
• AS/NZS 4360:2004
– Norme australo-néo-zélandaise
• NIST 800-30
– Guide sur la gestion du risque lié au NIST
La planification
du SMSI
Contrôler
4.1. Définir la méthode 4.2. Identifier les 4.3. Analyser et 4.4. Traitement
d’analyse de risque risques évaluer les risques des risque
La planification
du SMSI
Mise en
Détermination d’une méthode d’analyse de risque
œuvre
MEHARI,
Livrables Une description de la méthodologie d’appréciation du risque EBIOS, etc.
La planification
du SMSI
dans l’organisation
• La culture du risque englobe l’attitude de l’organisation
(direction & personnel) par rapport au risque et son seuil de
tolérance à celui-ci dans ses activités et ses prises de décisions
quotidiennes
– Responsabilisation des employés aux risques
• dans l’exercice de leur activité quotidienne
• Dans la poursuite de leurs objectifs au travail
• Il convient de choisir une approche du risque en fonction de la
culture du risque de l’organisation
– Attitude par rapport au risque: réfractaires, neutres, approuvant, ou
encore prise de risque par occasion…
– Seuil de tolérance au risque: degré de risque maximal jugé acceptable
par l’entreprise
– Forte culture du risque: adoption de normes et standards en matière de
risque
La planification
du SMSI
Contrôler
4.1. Définir la méthode 4.2. Identifier les 4.3. Analyser et 4.4. Traitement
d’analyse de risque risques évaluer les risques des risque
La planification
du SMSI
Mise en
Détermination ateliers d’identifications des risques
œuvre
Niveau de vulnérabilité
F M E F M E F M E
0 0 1 2 1 2 3 2 3 4
1 1 2 3 2 3 4 3 4 5
2 2 3 4 3 4 5 4 5 6
3 3 4 5 4 5 6 5 6 7
4 4 5 6 5 6 7 6 7 8
La planification
du SMSI
Contrôler
4.1. Définir la méthode 4.2. Identifier les 4.3. Analyser et 4.4. Traitement
d’analyse de risque risques évaluer les risques des risque
La planification
du SMSI
Contrôler
4.1. Définir la méthode 4.2. Identifier les 4.3. Analyser et 4.4. Traitement
d’analyse de risque risques évaluer les risques des risque
La planification
du SMSI
Mise en
Ateliers d’analyse des risques
œuvre
Niveau de vulnérabilité
F M E F M E F M E
0 0 1 2 1 2 3 2 3 4
1 1 2 3 2 3 4 3 4 5
2 2 3 4 3 4 5 4 5 6
3 3 4 5 4 5 6 5 6 7
4 4 5 6 5 6 7 6 7 8
La planification
du SMSI
Niveau de vulnérabilité
F M E F M E F M E
0 0 1 2 1 2 3 2 3 4
1 1 2 3 2 3 4 3 4 5
2 2 3 4 3 4 5 4 5 6
3 3 4 5 4 5 6 5 6 7
4 4 5 6 5 6 7 6 7 8
La planification
du SMSI
Contrôler
4.1. Définir la méthode 4.2. Identifier les 4.3. Analyser et 4.4. Traitement
d’analyse de risque risques évaluer les risques des risques
La planification
du SMSI
Mise en
Identifier et définir les options de traitement des risques
œuvre
Accepter
Augmenter Transférer
Options de
traitement
Réduire Eliminer
Diversifier
La planification
du SMSI
• Augmenter le risque
– C’est la diminution des niveaux de contrôles
actuels ou une plus grande exposition à des
risques.
– Deux situations logiques:
• Augmenter son exposition au risque si l’organisation peut
profiter de plus d’opportunités
• Diminuer les contrôles si les coûts dépassent les bénéfices
La planification
du SMSI
• Diversifier le risque
– Afin de diminuer les impacts des risques, on
peut diviser les risques en diversifiant leurs
sources.
– Par exemple: Afin de diminuer l’impact de la
non disponibilité de l’accès Internet, on peut
diversifier les modes de connexion: câble,
sans fil, satellite, etc.
La planification
du SMSI
3 0 3 6 9 12 Risque inadmissible
2 0 2 4 6 8 Risque toléré
Risque inexistant ou
1 0 1 2 3 4 non significatif
0 1 2 3 4
Probabilité
5 = Seuil d’acceptation
La planification
du SMSI
Seuil
d’acceptation
du risque
La planification
du SMSI
Élevé Élevé
Absence de
traitement
Traitement
Risques couverts
efficacement
Procédures lourdes,
coûts élevés
Excès de procédures,
perte d’efficacité
opérationnelle
Faible Faible
La planification
du SMSI
La planification du SMSI
1. Gouvernance
2. Analyse du risque
3. Déclaration d’applicabilité
La planification
du SMSI
3. Déclaration d’applicabilité
Planifier
Contrôler
3. Mise en œuvre
Approbation de la
Documentation
direction
La planification
du SMSI
A.6.1.3 Attribution des responsabilités en matière de 5.1.c) La définition de rôles et de responsabilités pour la
sécurité de l’information sécurité de l’information
A.6.1.8 Réexamen indépendant de la sécurité de 4.2.3.f) et 7) Revue de direction du SMSI
l’information
A.7 Gestion des actifs
A.7.1.1 Inventaire des actifs 4.2.1.d) 1. Identifier les actifs
A.7.1.2 Propriété des actifs 4.2.1.d) 1. Identifier les propriétaires
A.7.1.3 Utilisation correcte des actifs 4.2.1.d) Identifier les risques
4.2.1.e) Analyser et évaluer les risques
La planification
du SMSI
A.15 Conformité
3. Outil/Gabarit
Déclaration d’applicabilité
Mesure de contrôle Applicable Description de la Propriétaire Document Commentaires
(Oui/Non) mesure de
contrôle
Exemple: A.5.1.1 Oui La direction Mr X, - Politique de sécurité
Document de politique de approuve la CISO de l’information
politique de - Compte rendu du
sécurité de l’information
sécurité de comité de pilotage de
l’information et la la sécurité de
publie sur l’information
l’Intranet de (22/11/20xx)
l’organisation
Exemple: A.8.1.2 Sélection Non Non applicable Mr Y, VP - Convention syndicale C’est interdit par la
RH article 3.2 convention syndicale
3. Déclaration d’applicabilité
• Exercice 8:
– Remplir la déclaration d’applicabilité fournie avec 3
mesures de contrôle applicables à votre
organisation
Mise en œuvre
de la SMSI
du SMSI
1. Monitoring des mesures de contrôle
2. Mesure de la performance des mesures de
contrôle
3. Audit interne du SMSI
4. Amélioration continue
5. Audit de certification