Vous êtes sur la page 1sur 75

Master Professionnel Cyber Sécurité Opérationnelle

SUP’COM & Iset'Com & ANSI

Mise en place d’un Système


de Management SI
Etape1: Planification
Saber ISSA
Principes directeurs pour la mise en œuvre d’un SMSI
Recommandations

Eviter l’intégration de nouvelles technologies


 Concevoir le système initial avec les technologies déjà en place;
 L’optimisation du SMSI avec des technologies plus efficaces sera en
mode d’amélioration continue par la suite.
Intégrer le SMSI dans les processus existants
 Réutiliser les processus existants déjà formalisés et les mettre en
relation avec le SMSI;
 En particulier harmoniser et intégrer le SMSI avec les autres systèmes
de management en place dans l’organisme (exemple ISO 9001).
Appliquer les principes de l’amélioration continue
 Viser des objectifs modestes au départ et miser sur une amélioration
progressive sur le moyen et le long terme.

2
Principes directeurs pour la mise en œuvre d’un SMSI
Recommandations

Impliquer les parties prenantes de l’organisme


 Définir les rôles et les responsabilités de toutes les parties prenantes
au SMSI assez tôt;
 S’assurer de leur implication et leur motivation.

Obtenir le soutien de la haute direction


 S’assurer que la direction comprend et soutient le projet et qu’elle lui
accorde l’importance et les ressources requises en temps opportun.
Identifier et nommer un responsable du projet SMSI
 Garant de la bonne marche des opérations de mise en œuvre de leur
calendrier et de leur support (budget, approbations, etc.).

3
P: Planifier
1 Compréhension de l’organisme

2 Analyse du système existant

3 Leadership et approbation du projet

4 Domaine d’application

5 Politiques de sécurité

6 Structure organisationnelle

7 Management du risque
P: Planifier
1 Compréhension de l’organisme

2 Analyse du système existant

3 Leadership et approbation du projet

4 Domaine d’application

5 Politiques de sécurité

6 Structure organisationnelle

7 Management du risque
P: Compréhension de l’organisme
Objectifs de cette étape
 Comprendre l’organisme et son contexte;
 Recueillir l’information nécessaire pour planifier la mise en œuvre du
SMSI;
 S’assurer que les objectifs du SMSI sont alignés avec les objectifs
Métier de l’organisme.

6
P: Compréhension de l’organisme
Exigences de la norme ISO 27001
Clause 4.1 Compréhension de l’organisme et de son contexte
 Déterminer les enjeux externes et internes pertinents.
Clause 4.2 Compréhension des besoins et des attentes des parties
intéressées
 Déterminer les parties intéressées concernées par le SMSI;
 Déterminer leurs exigences concernant la sécurité de l’information.

7
P: Compréhension de l’organisme

 Liste des parties intéressées


+ leurs exigences
 Liste des obligations applicables
juridiques, régl et contractuelles
Compréhension de
l’organisme et clarification
des objectifs
 Objectifs et priorités relatifs au SMSI
Lois  Domaine d’application préliminaire

Contrats Accords

8
P: Compréhension de l’organisme
1) Comprendre la mission, les valeurs, les objectifs et les stratégies
de l’organisme:
Apprécier la mission, les valeurs, les objectifs et les stratégies de
l’organisme.
 Veiller à la cohérence et à l’alignement stratégique entre les
objectifs établis pour le SMSI et la mission de l’organisme.

9
P: Compréhension de l’organisme
2) Analyse de l’environnement externe:
 Identification et analyse des menaces externes connues;
 Identification des exigences de sécurité liées au secteur
d’activité de l’organisme;
 Analyse marketing pour vérifier si la mise en œuvre d’un SMSI
va générer un avantage concurrentiel pour l’organisme ou si
cela peut devenir une condition du marché.

10
P: Compréhension de l’organisme
3) Analyse de l’environnement interne:
Comprendre la structure organisationnelle:
L’organigramme est un excellent outil à utiliser pour comprendre
l’environnement interne:
 La structure de l’organisme;
 Les liens de subordination et de délégation d’autorité;
 Les dépendances.
 Les liaisons de la circulation des informations.

11
P: Compréhension de l’organisme
3) Analyse de l’environnement interne:
L’évaluation du contexte interne peut inclure (sans s’y limiter):
 L’organisation, les rôles et les responsabilités;
 Les politiques, les objectifs et les stratégies en place pour les
atteindre;
 Les capacités en termes de ressources et de connaissances
(exemple: capital, personnels, processus, systèmes et
technologies);
 Les systèmes d’information, les flux d’information et les
processus de prise de décision (formels et informels);
 Les relations avec les parties prenantes internes ainsi que leurs
perceptions et leurs valeurs;
 La culture de l’organisation;
 Les normes, directives et modèles adoptés par l’organisme;
 La forme et l’étendue des relations contractuelles.
(inspiré des normes ISO 27005 et ISO 31000) 12
P: Compréhension de l’organisme
4) Identification des principaux processus et activités:

13
P: Compréhension de l’organisme
5) Identification de l’infrastructure:

14
P: Compréhension de l’organisme
6) Identification et analyse des parties intéressées:

15
P: Compréhension de l’organisme
6) Identification et analyse des parties intéressées:

16
P: Compréhension de l’organisme
7) Identification et analyse des exigences Métier
Principalement 4 sources d’exigences:

17
P: Compréhension de l’organisme
8) Déterminer les objectifs:
 Exigence de la norme ISO 27001: Clause 6.2 Objectifs de sécurité
de l’information et plans pour les atteindre
 Au départ, il convient d’établir les objectifs du SMSI en consultant les
parties intéressées;
 Devront être validés par la plus haute direction;
 Doivent être documentés;
 Peuvent être affinés en cours de projet particulièrement après la
gestion du risque.

18
P: Compréhension de l’organisme
8) Déterminer les objectifs:
Exemples d’éléments à prendre en considération:
− Les événements de risque historiques dans l’organisme et leurs coûts
de financement;
− Les augmentations des coûts et les pertes de revenu à la suite
d’incidents précédents;
− Les responsabilités;
− Le succès et l’échec d’autres projets et programmes de sécurité de
l’information.

19
P: Compréhension de l’organisme
8) Déterminer les objectifs: exemple de formulation:
 S ’assurer de la conformité aux exigences légales, réglementaires et
contractuelles de l’organisme;
 Inspirer confiance aux parties intéressées de l’organisme;
 Protéger les actifs critiques de l’organisme;
 Améliorer la réponse aux incidents de sécurité de l’information;
 Réduire les coûts liés aux incidents de sécurité de l’information;
 Assurer la continuité de la sécurité de l’information;
 S’assurer du respect des exigences de sécurité de l’information pour
un projet, la livraison d’un service ou d’un produit, etc.

20
P: Compréhension de l’organisme
9) Définition préliminaire du domaine d’application:
ISO 27003, clause 5.3.1
La définition préliminaire du domaine d’application devrait contenir:
a. Un résumé des responsabilités pour la gestion de sécurité de
l’information;
b. Une description de la façon dont les différents éléments inclus
dans le domaine d’application interagissent avec d’autres
systèmes de management;
c. La liste des objectifs Métier en management SI;
d. La liste des processus Métier critiques, des systèmes, des actifs
informationnels, des structures de l’organisme et des sites
géographiques auxquels le SMSI sera applicable;
e. Les relations entre les systèmes de management existants.

21
P: Planifier
1 Compréhension de l’organisme

2 Analyse du système existant

3 Leadership et approbation du projet

4 Domaine d’application

5 Politiques de sécurité

6 Structure organisationnelle

7 Management du risque
P: Analyse du système de management existant
Objectifs de cette étape
 Identifier les processus, les procédures et les mesures mises en œuvre
dans l’organisme;
 Identifier le niveau actuel de conformité aux exigences de la norme et
analyser l’écart;
 Evaluer l’efficacité et le niveau de maturité des processus en place
dans l’organisme.

23
P: Compréhension de l’organisme
Exigences de la norme ISO 27001

Notes
 La norme ISO 27001 ne formule aucune exigence ou demande portant
sur la réalisation d’une analyse des écarts;
 C’est pour éviter des coûts non nécessaires: duplication des processus
ou la mise en œuvre de mesures non nécessaires.

24
P: Analyse du système de management existant
1) Collecte d’information concernant les pratiques actuelles de la
SI par l’organisme: méthodes:
Revue de la Lecture et analyse de la documentation pertinente:
documentation politiques, procédures, rapports d’audit, contrats, etc.

Entretiens avec les principaux responsables à


Entretiens différents niveaux hiérarchiques au sein de
l’organisme.

Sondages par Envoi de questionnaire à un échantillon de personnes


questionnaire qui sont représentatives des parties prenantes.

Observation sur site par exemple les contrôles de


Observations sécurité physiques.

Utiliser des outils techniques (détection des


Outils de
vulnérabilités techniques, identification des actifs
diagnostique présents sur un réseau, etc.)
25
P: Analyse du système de management existant
2) Analyse des écarts («Gap analysis ») :
Technique permettant de déterminer les mesures à prendre pour passer
d’un état actuel à un état futur souhaité
a) Détermination de l’état actuel: il s’agit d’identifier les processus et les
contrôles de sécurité en place dans l’organisme avec leurs
caractéristiques.
b) Identification des cibles: déterminer le niveau de maturité requis pour
chaque contrôle de sécurité en se comparant avec d’autres organismes ou
d’autres divisions de l’organisme.
c) Analyse des écarts: identifier le fossé qui peut exister entre les contrôles
de sécurité en place et les exigences de la norme ISO 27001ainsi que les
processus actuels qui ont besoin d’amélioration.
 Fournir une base pour déterminer les investissements nécessaires en temps,
argent, ressources humaines et ressources matérielles pour réaliser le projet de
mise en œuvre du SMSI.
26
P: Analyse du système de management existant
Le service d’Auto-Evaluation de l’ANSI pour aider le RSSI à l’étude "GAP ANALYSIS"

27
P: Analyse du système de management existant
2) Analyse des écarts («Gap analysis ») :
Grille d’évaluation des niveaux de maturité
 La norme ISO 21827 (Ingénierie de sécurité système -- Modèle de
maturité de capacité (SSE-CMM)) définit 5 niveaux de maturité;
 Modèle largement repris pour réaliser une analyse des écarts avec les
normes ISO 27001 et ISO 27002.

28
P: Analyse du système de management existant
2) Analyse des écarts («Gap analysis ») :
Grille d’évaluation des niveaux de maturité

Processus optimisé via intégration de l’automatisation 5


et de l’utilisation des outils Optimisé

Processus surveillé et mesuré


4
Géré quantitativement

Processus documenté et communiqué


3
Défini

Processus présent mais non 2


normalisé Reproductible

Processus mis en œuvre au cas 1


par cas et sans méthode Initialisé

Processus non encore identifié 0


29
P: Analyse du système de management existant
2) Analyse des écarts («Gap analysis ») :
Etablir les cibles

1 2 3 4 5
Initialisé Reproductible Défini Géré Optimisé
quantitativement

Situation actuelle Situation Cible

30
P: Analyse du système de management existant
3) Rapport d’analyse des écarts :
Contenu:
 Une description sommaire de la situation existante observée;
 La cible visée par le projet;
 La description des écarts entre la situation telle que présentée et la
cible à atteindre;
 Diverses recommandations sur les moyens d’y parvenir.

31
P: Analyse du système de management existant
3) Rapport d’analyse des écarts : Exemple:

courante
Mesure de Description de la Analyse de

Maturité

Maturité
Exigence Responsable
sécurité situation actuelle l’écart

cible
Une PSI existe et a été
Un ensemble de
signée par la direction mais
politiques de
le document n’a jamais fait La PSI n’est pas
sécurité de
l’objet d’une publication diffusée et
l’information
A.5.1.1 auprès de l’ensemble des communiquée
doit être défini,
Politiques de salariés. Seuls les de façon efficace
approuvé par la 2 4 RSSI
sécurité de participants à la mise en aux salariés et
direction, diffusé
l’information œuvre du SMSI ont été des tiers
et communiqué
sollicités pour l’approuver. concernés par
aux salariés et
En outre, le document n’est celle-ci.
aux tiers
pas facile à trouver sur
concernés.
l’intranet de l’entreprise

32
P: Planifier
1 Compréhension de l’organisme

2 Analyse du système existant

3 Leadership et approbation du projet

4 Domaine d’application

5 Politiques de sécurité

6 Structure organisationnelle

7 Management du risque
P: Leadership et approbation du projet
Objectifs de cette étape
 Obtenir l’approbation formelle de la charte de projet par la direction.
 Obtenir l’autorisation de la direction pour la mise en place du
SMSI;
 Obtenir l’engagement de la direction pour la mise en place du
SMSI;
 Garantir la disponibilité des ressources nécessaires pour la mise
en place et la gestion du SMSI;
 Légitimer le SMSI auprès des différentes parties prenantes dans
l’organisme dans la mesure où une charte formelle l’autorise à exister
ou à continuer.
 Donner l’autorité et la crédibilité au responsable du projet pour le
bon déroulement de la mission.

34
P: Leadership et approbation du projet
Exigence de la norme ISO 27001
Clause 5.1 Leadership et engagement
 La direction doit faire preuve de leadership et affirmer son engagement
en faveur du SMSI

35
P: Leadership et approbation du projet
Business case
Est un outil d’aide à la planification et à la prise de décision.

 Une structuration initiale du


projet;
 Utilisé pour promouvoir le
projet;
 Un outil d’aide à la décision
pour la direction.

Principale utilisation: Convaincre la Direction de l’utilité du projet


pour l’organisme et autoriser le projet.

36
Bénéfices
prévus

Solution Facteurs
choisie de succès
critiques

But et
Echéanciers
objectifs

37
P: Leadership et approbation du projet
Contenu du business case: exemple:
1) Buts ou objectifs du projet et alignement avec la stratégie de
l’organisme et ses objectifs métier
2) Bénéfices prévus: directs, indirects, ROI
3) Périmètre préliminaire
4) Différentes options qui ont été considérées: évaluer les
différentes possibilités
5) La solution choisie
6) Indicateurs de succès
7) Echéanciers et étapes
8) Rôles et responsabilités
9) Ressources nécessaires
10) Aspects financiers
11) Risques du projet

38
P: Leadership et approbation du projet
Plan de projet de SMSI: un document cohérent utilisé pour guider la
réalisation et la direction du projet
Contenu du plan de projet :exemple:
1) Charte du projet (la justification métier à l’origine du projet, périmètre,
objectifs, mission, chef et équipe de projet)
2) Formulation du contenu du projet avec les livrables et les objectifs du
projet
3) Structure de découpage du projet : organigramme des tâches ou
décomposition arborescente de l’ensemble des tâches du projet
4) Evaluation des coûts: grille de répartition du budget
5) Date projetée du début
6) Assignation des responsabilités
7) Planning du projet: étapes avec les dates prévisionnelles
8) Gestion de la communication
9) Risques clés avec les contraintes, les suppositions et les réponses
proposées 39
P: Leadership et approbation du projet
Approbation par la Direction du projet de SMSI
 Approuver le business case
 Approuver le plan de projet du
SMSI

Approbation par
la Direction
40
P: Planifier
1 Compréhension de l’organisme

2 Analyse du système existant

3 Leadership et approbation du projet

4 Domaine d’application

5 Politiques de sécurité

6 Structure organisationnelle

7 Management du risque
P: Domaine d’application
Objectifs de cette étape
 Définir le domaine d’application du SMSI de l’organisme;
 Définir les limites du domaine d’application en termes
organisationnels, technologiques et physiques.

Exigences de la norme ISO 27001


Clause 4.3 Détermination du domaine d’application du SMSI

42
P: Domaine d’application
Importance du domaine d’application pour la réussite du projet:
Une définition claire et précise du domaine d’application, centrée sur les
activités clés de l’organisme, est un facteur important de succès lors de
la mise en œuvre du SMSI. Il sera ainsi plus facile:
 D’obtenir l’appui de la direction;
 De mobiliser les parties prenantes au projet;
 De justifier une valeur ajoutée aux parties intéressées.

43
P: Domaine d’application
Limites du SMSI: 3 dimensions à prendre en considération

Systèmes Organisationnelle
d’information

Physique

Domaine d’application
44
P: Domaine d’application
Définir les limites organisationnelles du domaine d’application

Processus Métier

Un service

Un département

L’organisme entier

45
P: Domaine d’application
Définir les limites des systèmes d’information

Réseaux

Applicatio Base de
ns Données

Processus
Métier

Equipeme
nts Processus
Télécom

Systèmes
d’exploitat
ion
46
P: Domaine d’application
Définir les limites physiques du domaine d’application
 Prendre en considération l’ensemble des lieux physiques internes et
externes inclus dans le SMSI.
 Les sites comprennent tous les emplacements contenant le domaine
d’application ou une partie du domaine d’application.
 Dans le cas des sites physiques externalisés, il convient de prendre en
considération les accords de service applicables et les interfaces avec
le SMSI

47
P: Planifier
1 Compréhension de l’organisme

2 Analyse du système existant

3 Leadership et approbation du projet

4 Domaine d’application

5 Politiques de sécurité

6 Structure organisationnelle

7 Management du risque
P: Politique
Objectifs de cette étape
 Apporter à la sécurité de l’information une orientation et un soutien
de la part de la direction conformément aux exigences métier et aux
lois et règlements en vigueur.

Définition (ISO 27000)


Intentions et orientations globales d’un organisme telles qu’exprimées
formellement par la direction

49
P: Politique
Exigences de la norme ISO 27001
Clause 5.2 Politique

Est adaptée à la mission de l’organisation

Inclut des objectifs de SI ou fournit un cadre


La direction doit pour l’établissement de ces objectifs
établir une PSI qui Inclut l’engagement de satisfaire aux
exigences applicables en matière de SI
Inclut l’engagement d’œuvrer pour
l’amélioration continue du SMSI
Disponible sous forme d’information
documentée
La PSI doit être Communiquée au sein de l’organisation
Mise à la disposition des parties
intéressées, le cas échéant 50
P: Politique
Types de politiques

Politique Générale de haut niveau


Politique de
Délimite de façon générale: le cadre sécurité de
au sein duquel la SI sera assurée ainsi l’information
que les objectifs généraux

Politiques spécifiques
Politique de Politique de Politique de
Règles et pratiques de SI relatives à
contrôle gestion des continuité
des domaines particuliers
d’accès incidents des activités

51
P: Politique
Création de modèle: Structure d’une politique (Annexe A, ISO 27003)
1 Sommaire (résumé de la politique)

2 Introduction (sujet et contexte de la politique)

3 Domaine d’application (périmètre de la politique)


4 Objectifs (buts de la politique)
5 Principes (règles visant les actions et décisions pour atteindre les obj)
6 Responsabilités(qui est resp des actions pour répondre aux exig de la P)
7 Principaux éléments attendus (si les objectifs sont atteints)
8 Politiques connexes (liste des autres Pol pertinentes à la réal des obj )
D’autres rubriques peuvent être ajoutées au modèle à savoir:
9 Définitions (liste des thèmes utilisés)

10 Sanctions (liste des sanctions possibles si un utilisateur


52 enfreint la Pol)
P: Politique
Approbation par la direction
Il convient que la PSI:
 Démontre l’engagement de la direction
 Soit approuvée par la direction
La politique doit être signée par un responsable (exemple PDG)
mais le processus d’approbation peut revenir à un comité:
 Comité de direction
 Conseil d’administration
 Comité de gouvernance de la sécurité

53
P: Politique
Publication et diffusion de la PSI
Principaux modes de communication de la PSI

54
P: Politique
Gérer la PSI selon un processus d’amélioration continue

Contrôler
S’assurer de la
conformité à la Politique

Réviser
La Politique Evaluer
périodiquement ou en Mesurer le niveau de
cas d’un changement conformité à la Politique
majeur

55
P: Planifier
1 Compréhension de l’organisme

2 Analyse du système existant

3 Leadership et approbation du projet

4 Domaine d’application

5 Politiques de sécurité

6 Structure organisationnelle

7 Management des risques


P: Structure organisationnelle
Objectifs de cette étape
 Définir les rôles et les responsabilités des parties prenantes
principales dans la SI;
 S’assurer de la gestion efficace de la SI dans l’organisme.

57
P: Structure organisationnelle
Exigences de la norme ISO 27001

Clause 5.3 Rôles, responsabilités et autorités au sein de l’organisation

La direction doit s’assurer de


l’attribution et de la
communication des rôles et des
responsabilités concernés par la
sécurité de l’information

La direction doit désigner qui est


La direction doit désigner qui est
responsable de rendre compte à
responsable de la conformité du
la direction des performances du
SMSI aux exigences ISO 27001
SMSI

58
P: Structure organisationnelle
Exemple: rôles et responsabilités des parties prenantes

59
P: Structure organisationnelle
Exemple: rôles et responsabilités des comités

Comité de
direction

Comité de sécurité
de l’information

Comités opérationnels

60
P: Structure organisationnelle
Comité de Direction
 Niveau de la stratégie
 Détermine la stratégie de développement du SMSI
 Organe central pour le contrôle, la validation, la prise de décision et
l’arbitrage dans la gestion du SMSI
 Composé de représentants du conseil d’administration de
l’organisme
 Le seul comité expressément cité dans une exigence d’ISO 27001

61
P: Structure organisationnelle
Comité de sécurité de l’information
 Niveau tactique
 Composé des représentants de diverses divisions de l’organisme
 Assurer la coordination et la coopération sur la sécurité de
l’information dans l’organisme
 S’assurer que les actions prioritaires arrêtées par la Direction sont
mises en œuvre

Comités opérationnels
 Niveau opérationnel
 Assurer la mise en œuvre des contrôles de sécurité
 Gérer la documentation du SMSI
 Traitement des NCs

62
P: Structure organisationnelle
Cas des établissements publiques en Tunisie

 Circulaire n°24 du 05 novembre


2020 relative au renforcement des
mesures de sécurité dans les
établissements publiques.
 stipule entre autre:
 la création d’un comité de
pilotage « comité de
sécurité »,
 La création d’une cellule
opérationnelle de sécurité,
 la nomination d'un RSSI
rattaché à la haute direction.

63
P: Planifier
1 Compréhension de l’organisme

2 Analyse du système existant

3 Leadership et approbation du projet

4 Domaine d’application

5 Politiques de sécurité

6 Structure organisationnelle

7 Management des risques


P: Management des risques
Objectifs de cette étape
 Sélectionner et définir une approche et une méthodologie
d’appréciation des risques alignées sur le contexte de management de
l’organisme et adaptées à ses besoins,
 Sélectionner et définir une approche de traitement et d’acceptation
des risques alignée sur l’appétence de l’organisme aux risques telle
que définit par la haute direction.

65
P: Management des risques
Exigences de la norme ISO 27001
Clause 6.1.2 Appréciation des risques de sécurité de l’information

Définir et appliquer un Processus d’appréciation des risques:

Etablir les critères de risque

Identifier les risques

Estimer les risques

Evaluer les risques

Le processus d’appréciation des risques doit être documenté


66
P: Management des risques
Clause 6.1.3 Traitement des risques de sécurité de l’information
a) Choisir les options de traitement des risques appropriées en tenant
compte des résultats de l’appréciation des risques

• Choisir des mesures de sécurité pour


Réduire le risque réduire le niveau du risque

Maintenir le • Prendre la décision de conserver le risque


risque
• Abandonner ou modifier une ou plusieurs
Eviter le risque activités en relation avec le risque

Partager le • Prendre la décision de partager certains


risques avec des parties externes
risque (assurance, sous-traitance)

67
P: Management des risques
Clause 6.1.3 Traitement des risques de sécurité de l’information
b) Déterminer toute les mesures nécessaires à la mise en œuvre des
options de traitement des risques SI choisies
c) Comparer les mesures déterminées ci-dessus avec celles de l’annexe A
et vérifier qu’aucune mesure nécessaire n’a été omise
d) Produire une déclaration d’applicabilité
e) Elaborer un plan de traitement des risques SI
f) Obtenir des propriétaires des risques l’approbation du plan de
traitement des risques et l’acceptation des risques résiduels

Le processus de traitement des risques doit être documenté

68
P: Management des risques
Outputs du processus de management des risques
Déclaration d’applicabilité
 Déclaration d’applicabilité(DDA) ou Statement of applicability (SOA).
 Déclaration documentée décrivant les objectifs de sécurité ainsi que
les mesures de sécurité pertinentes et applicables au SMSI d’un
organisme (ISO 27000).
 Le SOA contient:
 Les mesures nécessaires;
 La justification des contrôles sélectionnés;
 La justification des contrôles exclus de l’annexe A.
 Les raisons d’exclusions les plus souvent invoquées sont:
 Contrevient à une exigence légale, réglementaire ou
contractuelle;
 Aucune activité liée à cette mesure (exemple développement
externalisé A.14.2.7)
69
P: Management des risques
Exemple de matrice d’estimation et d’évaluation du risque

70
P: Management des risques
Exemple de critères d’acceptation du risque:

71
P: Management des risques
Exemple de déclaration d’applicabilité

72
P: Management des risques
Outputs du processus de management des risques
Plan de traitement des risques
 Identification et planification des actions à engager pour le traitement des
risques
 Classement des actions par ordre de priorité
 Spécification des ressources nécessaires qui doivent être allouées
 Identification des responsabilités à assumer
Exemple

73
P: Management des risques
Approbation du plan de traitement des risques et des risques résiduels

ISO 27001, clause 6.1.3.f

Risque résiduel
Risque subsistant
après le traitement
du risque
+
Risque traité
Risque supprimé par
les mesures de sécurité
=
Risque inhérent
Ensemble des risques
Obtenir des propriétaires des risques: Sans prise en compte
 L’approbation du plan de traitement des risques des mesures de sécurité
 L’acceptation des risques résiduels 74
P: Autorisation de la direction de mise en œuvre du SMSI
Approbation du plan de traitement des risques et des risques résiduels

Lors d’une revue de direction et avec la


présentation des documents:
 Rapport d’appréciation et de traitement Approbation
des risques; de la
 Plan de traitement des risques incluant Direction
l’identification des risques résiduels
 Déclaration d’applicabilité
1) Approbation de la déclaration
d’applicabilité Mise en
2) Approbation du plan de traitement œuvre du
des risques SMSI
3) Autorisation de mettre en œuvre le
SMSI

75

Vous aimerez peut-être aussi