Vous êtes sur la page 1sur 58

MASTER PROFESSIONNEL 2 EN SYSTEMES

D’INFORMATION

OPTION: SECURITE DES SYSTEMES


D’INFORMATION (MPSI 2 - SSI)

SYLLABUS DE COURS

MODULE : GESTION DES RISQUES ET PLAN DE CONTINUITE

DES ACTIVITES (PCA)

VOLUME HORAIRE : 24 HEURES


Vacataire Formateur: ElHadji Mouhamadou Lamine DRAME
Email: emldrame@gmail.com

ESMT_MP2SSI_JANVIER_2021 1
PLAN
OBJECTIFS & PROGRAMME

Chapitre 2: Plan
de Continuité des
Activités
Chapitre 1:
Gestion des
Risques
Chapitre 0:
Syllabus

ESMT_MP2SSI_JANVIER_2021 2
PLAN
OBJECTIFS & PROGRAMME
I. CONCEPTS ET PRINCIPES FONDAMENTAUX

II. REFERENTIELS

III. GESTION DES RISQUES PAR ISO 27005

IV. APPLICATION: CARTOGRAPHIE DES RISQUES

ESMT_M2SSI_JANVIER_2021 3
PLAN
OBJECTIFS & PROGRAMME
I. CONCEPTS ET PRINCIPES FONDAMENTAUX

II. REFERENTIELS

III. GESTION DES RISQUES PAR ISO 27005

IV. APPLICATION: CARTOGRAPHIE DES RISQUES

ESMT_M2SSI_JANVIER_2021 4
OBJECTIFS & PROGRAMME
SECURITE DES SYSTEMES D’INFORMATION: VOCABULAIRE

➢ L’information constitue un bien important pour l’organisme


appelé ACTIF (asset en anglais).

➢ La sécurité de l’information vise à protéger l’information contre


une large gamme de menaces, de manière à garantir la
continuité des transactions, à réduire le plus possible le risque
et à optimiser le retour sur investissement ainsi que les
opportunités en termes d’activité pour l’organisme.

ESMT_MP2SSI_JANVIER_2021 5
OBJECTIFS & PROGRAMME
SECURITE DES SYSTEMES D’INFORMATION: VOCABULAIRE

La SSI repose sur les critères fondamentaux suivants:


➢ Disponibilité (D) : Propriété d’être accessible et utilisable à la demande par
une entité autorisée (ISO27000 2.7).
❑ Capacité à être disponible, opérationnel, en ligne.
❑ Protection contre le refus ou la dégradation de service.
➢ Intégrité (I) : Propriété de protection de l’exactitude (caractère de ce qui
est exact) et de la complétude (propriété de ce qui est complet) des actifs
(ISO27000 2.25) .
❑ Capacité à demeurer intègre, fidèle, exact, complet.
❑ Protection contre la perte ou l’altération de l’information.
➢ Confidentialité (C) : Propriété selon laquelle l’information n’est pas rendue
disponible ou divulguée à des personnes, des entités ou des processus non
autorisés (ISO27000 2.9) .
❑ Capacité à demeurer privé, confidentiel, secret.
❑ Protection contre la divulgation non autorisée de l’information.

ESMT_MP2SSI_JANVIER_2021 6
OBJECTIFS & PROGRAMME
SECURITE DES SYSTEMES D’INFORMATION: VOCABULAIRE

➢ Auditabilité (non-répudiation, preuve)


❑ Non-répudiation : Capacité à prouver l’occurrence d’un événement ou
d’une action donnée et les entités qui en sont à l’origine, de manière à
résoudre les litiges entre l’occurrence ou la non-occurrence de l’événement
ou l’action et l’implication des entités dans l’événement (ISO27000 2.27) .
❑ Traçabilité: Capacité à garder la trace des événements et des actions .
❑ Imputabilité (Accountability): Responsabilité d’une entité par rapport à ses
actions et décisions (ISO27000 2.2) .
❑ Opposabilité: Possibilité d’opposer une action à son auteur devant un juge.
❑ Irréfutabilité / Irréfragabilité: Après être passé devant un juge.
➢ Fiabilité (reliability): Propriété d’un comportement et des résultats prévus et
cohérents (ISO27000 2.33).
➢ Authenticité (authenticity): Propriété selon laquelle une entité est ce qu’elle
revendique être (ISO27000 2.6).
❑ Authentification + Intégrité

ESMT_MP2SSI_JANVIER_2021 7
OBJECTIFS
CONCEPTS & PROGRAMME
ET PRINCIPES FONDAMENTAUX

Gérer les risques de sécurité SI c’est:


▪ Anticiper le futur concernant les évènements pouvant porter atteinte à:
La Disponibilité - L’Intégrité - La Confidentialité - La Preuve
▪ Sur des Actifs informationnels
▪ Entrainant des conséquences négatives sur l’organisme
Menace : Cause potentielle d’un incident qui peut engendrer des dommages
à un système ou une organisation (ISO/CEI 27000:2009(F) 2.45)
Exemples: Infection virale - Incendie - Espionnage - Saturation du SI -
Corruption de données - Abus de droit (habilitation).
Vulnérabilité : Faiblesse d’un actif (ou d’une mesure de sécurité) qui peut
être exploitée par une menace (ISO/CEI 27000:2009(F) 2.46)
Exemples: Présence d’un site en zone inondable - Absence de mises à jour de
sécurité - Stockage en clair d’un fichier - Portabilité, Mobilité - Politique de mot
de passe faible - Absence de procédure - Absence de sensibilisation du
personnel.

ESMT_MP2SSI_JANVIER_2021 8
OBJECTIFS
CONCEPTS & PROGRAMME
ET PRINCIPES FONDAMENTAUX

➢ Risque: effet de l’incertitude sur l’atteinte des objectifs (ISO 31000


2.1).
Note 1: Un effet est un écart, positif et/ou négatif, par rapport
à une attente.
➢ Risque: combinaison de la probabilité d'un événement et de ses
conséquences (ISO/CEI 27000:2009(F) 2.34)
➢Risque lié à la sécurité de l'information: possibilité qu'une
menace donnée exploite une vulnérabilité d'un actif ou d'un groupe
d'actifs et nuise donc à l'organisation. (ISO/CEI 27000:2009(F)
2.24)
➢ Mesure de sécurité: moyens de management du risque (2.34), y
compris les politiques (2.28), les procédures (2.30), les lignes
directrices (2.16), les pratiques ou l'organisation, qui peuvent être
de nature administrative, technique, de management ou juridique
(ISO/CEI 27000:2009(F) 2.10)
ESMT_MP2SSI_JANVIER_2021 9
CONCEPTS ET PRINCIPES FONDAMENTAUX

SCENARII DES RISQUES


D
Finance
IMPACTS
A I CONSEQUENCES
REG/J
C Tps
IM/REP
ACTIF
CIBLE
MENACE
POSSEDE
EXPLOITE

VULNERABILITE
NIVEAU DE
VRAISEMBLANCE RISQUE

ESMT_MP2SSI_JANVIER_2021
PLAN
OBJECTIFS & PROGRAMME
I. CONCEPTS ET PRINCIPES FONDAMENTAUX

II. REFERENTIELS

III. GESTION DES RISQUES PAR ISO 27005

IV. APPLICATION: CARTOGRAPHIE DES RISQUES

ESMT_M2SSI_JANVIER_2021 11
OBJECTIFS & PROGRAMME
REFERENTIELS: LIENS ENTRE ISO 27001, ISO 27005 ET ISO 31000

ESMT_MP2SSI_JANVIER_2021 12
OBJECTIFS & PROGRAMME
REFERENTIELS: CADRE GENERIQUE DE REFENCE ISO 31000

ESMT_MP2SSI_JANVIER_2021 13
OBJECTIFS & PROGRAMME
REFERENTIELS: CADRE GENERIQUE DE REFENCE ISO 31000

ESMT_MP2SSI_JANVIER_2021 14
OBJECTIFS & PROGRAMME
REFERENTIELS: CADRE GENERIQUE DE REFENCE ISO 31000

CONTEXTE
Pour établir le contexte, tout organisme doit énoncer clairement ses objectifs, définir les
paramètres internes et externes à prendre en compte dans le management du risque et
déterminer le domaine d'application et les critères de risque pour la suite du processus.
APPRECIATION DES RISQUES:
(2.16) appréciation du risque: ensemble du processus d'identification des risques (2.17),
d'analyse du risque (2.23) et d'évaluation du risque (2.26)
APPRECIATION DES RISQUES: IDENTIFICATION
Tout organisme identifie les sources de risque, les domaines d'impact, les événements (y compris
les changements de circonstances), ainsi que leurs causes et conséquences potentielles.
Cette étape a pour objectif de dresser une liste exhaustive des risques basée sur les événements
susceptibles de provoquer, de stimuler, d'empêcher, de gêner, d'accélérer ou de retarder l'atteinte des
objectifs.
(2.17) identification des risques: processus de recherche, de reconnaissance et de description des
risques (2.1).
NOTE 1: L'identification des risques comprend l'identification des sources de risque (2.18), des
événements (2.19), de leurs causes et de leurs conséquences (2.20) potentielles.
NOTE 2: L'identification des risques peut faire appel à des données historiques, des analyses théoriques,
des avis d'experts et autres personnes compétentes et tenir compte des besoins des parties prenantes
(2.15).
ESMT_MP2SSI_JANVIER_2021 15
OBJECTIFS & PROGRAMME
REFERENTIELS: CADRE GENERIQUE DE REFENCE ISO 31000

APPRECIATION DES RISQUES: ANALYSE


L'analyse du risque fournit des données pour évaluer les risques et prendre la décision de les traiter ou
non, et permet de choisir les stratégies et méthodes de traitement les plus appropriées.
(2.23) analyse du risque: processus mis en œuvre pour comprendre la nature d'un risque (2.1) et
pour déterminer le niveau de risque (2.25)
NOTE 1 L'analyse du risque fournit la base de l'évaluation du risque (2.26) et les décisions relatives au
traitement du risque (2.27).
NOTE 2: L'analyse du risque inclut l'estimation du risque.
APPRECIATION DES RISQUES: EVALUATION
Sur la base des résultats de l'analyse du risque, le but de l'évaluation du risque est d'aider les décideurs à
déterminer les risques nécessitant un traitement et la priorité dans la mise en œuvre des traitements.
L'évaluation du risque consiste à comparer le niveau de risque déterminé au cours du processus d’analyse
aux critères de risque établis lors de l'établissement du contexte. Sur la base de cette comparaison, il est
possible d'étudier la nécessité d'un traitement.
(2.26) évaluation du risque: processus de comparaison des résultats de l'analyse du risque (2.23)
avec les critères de risque (2.24) afin de déterminer si le risque (2.1) et/ou son importance sont
acceptables ou tolérables.
NOTE: L'évaluation du risque aide à la prise de décision relative au traitement du risque (2.27).

ESMT_MP2SSI_JANVIER_2021 16
OBJECTIFS & PROGRAMME
REFERENTIELS: CADRE GENERIQUE DE REFENCE ISO 31000

TRAITEMENT
Le traitement du risque implique le choix et la mise en œuvre d'une ou de plusieurs options de modification des
risques. Une fois mis en œuvre, les traitements engendrent ou modifient les moyens de maîtrise du risque.
Le traitement du risque implique un processus itératif:
I. évaluer un traitement du risque;
II. décider si les niveaux de risque résiduels sont tolérables;
III.s'ils ne sont pas tolérables, générer un nouveau traitement du risque; et
IV.apprécier l'efficacité de ce traitement.
Les options de traitement du risque ne s'excluent pas nécessairement les unes les autres, ni ne sont appropriées
à toutes les circonstances. Ces options peuvent inclure:
1. un refus du risque marqué par la décision de ne pas commencer ou poursuivre l'activité porteuse du risque,
2. la prise ou l'augmentation d'un risque afin de poursuivre une opportunité,
3. l'élimination de la source de risque,
4. une modification de la vraisemblance,
5. une modification des conséquences,
6. un partage du risque avec une autre ou d'autres parties (y compris les contrats et le financement du
7. risque), et
8. un maintien du risque fondé sur un choix argumenté.
ESMT_MP2SSI_JANVIER_2021 17
OBJECTIFS & PROGRAMME
REFERENTIELS: CADRE GENERIQUE DE REFENCE ISO 31000

COMMUNICATION ET CONCERTATION
La communication et la concertation avec les parties prenantes internes et externes doivent avoir
lieu à toutes les étapes du processus de management du risque. Des plans de communication et de
concertation doivent être élaborées et traiter des questions relatives au risque lui-même, à ses
causes, à ses conséquences (si elles sont connues), et aux mesures prises pour le traiter.
L’opinion et le jugement des parties prenantes, se fondant sur leur propre perception du risque,
peuvent avoir un impact significatif sur les décisions prises. Ces perceptions du risque peuvent
varier selon les différentes valeurs, les besoins, les hypothèses, les concepts et les préoccupations
des parties prenantes.
SURVEILLANCE ET REVUE
La surveillance et la revue doivent être planifiées dans le processus de management du risque et
s'accompagner d'un contrôle ou d'une surveillance régulière. Ce contrôle ou cette surveillance
peuvent être périodiques ou ponctuels.
Aussi, les responsabilités de surveillance et de revue doivent clairement être définies.
La surveillance et la revue s'appliquent à tous les aspects du processus de management du risque
(de la conception à l’utilisation), en tirant les leçons des événements (y compris des incidents), des
changements, des tendances, des succès et des échecs, et en identifiant également les risques
émergents.

ESMT_MP2SSI_JANVIER_2021 18
OBJECTIFS & PROGRAMME
REFERENTIELS: ISO 27001

19
ESMT_M2SSI_Avril_2020
OBJECTIFS & PROGRAMME
REFERENTIELS: ISO 27001

20
ESMT_M2SSI_Avril_2020
OBJECTIFS & PROGRAMME
REFERENTIELS: ISO 27001

21
ESMT_M2SSI_Avril_2020
OBJECTIFS & PROGRAMME
REFERENTIELS: ISO 27005

ESMT_MP2SSI_JANVIER_2021 22
OBJECTIFS & PROGRAMME
REFERENTIELS: ISO 27005

ESMT_MP2SSI_JANVIER_2021 23
OBJECTIFS & PROGRAMME
REFERENTIELS: AUTRES METHODES

CRITERES MEHARI EBIOS OCTAVE CRAMM

Domaine et Analyse de risque Expression des besoins Analyse de risques Analyse de risques
Portée fonctionnels de sécurité opérationnels et des
pratiques de sécurité
ORIGINE Pays francophones France Amérique du Nord Royaume-Uni

Description Analyse des enjeux, Expression des besoins Le profilage des Analyse de l’existant,
classification des actifs, de sécurité, étude des actifs, l’appréciation évaluation des menaces et
l’appréciation du risque, menaces, détermination des risques et le des vulnérabilités, et choix
le traitement du risque et des exigences de développement d’une des remédiations
le pilotage de la sécurité sécurité fonctionnelles stratégie et d’un plan
de sécurité.
Maturité En pleine maturité En pleine maturité Bonne Très forte

Utilisation Bases de connaissances Expression des Initialisation d’une Démarche très fine de
principale Analyse de risque exigences fonctionnelles démarche globale de sécurité au sein d’une
fonction des enjeux de sécurité sécurité grande entreprise
métier
Accessibilité Réservée aux « initiés » Réservée aux « initiés » Très bonne Réservée aux « initiés »
Perspective Compatibilité avec ISO Compatibilité avec ISO Pas d’évolution mais Limitée
27002 15408 Concepts actuels

ESMT_MP2SSI_JANVIER_2021 24
PLAN
OBJECTIFS & PROGRAMME
I. CONCEPTS ET PRINCIPES FONDAMENTAUX

II. REFERENTIELS

III. GESTION DES RISQUES PAR ISO 27005

IV. APPLICATION: CARTOGRAPHIE DES RISQUES

ESMT_M2SSI_JANVIER_2021 25
OBJECTIFS & PROGRAMME
ISO 27005: APPLICATION POUR LA SECURITE DE L’INFORMATION

Les normes ISO 31000 et 27005 ne fournissent pas de méthode (méthodologie) spécifique
pour le management et l’appréciation des risques. Il en existe plus de 200.
Par conséquent, il est loisible à chaque organisation de choisir celle qui corresponde le mieux
à son contexte et à son environnement.
Même, une méthode propriétaire ou interne est acceptée. Toutefois, il est essentiel de
retenir les critères de choix ci-dessous :
➢Compatibilité avec les normes ISO 27001 et 27002;
➢L’approche (un mélange de qualitatif et de quantitatif);
➢Maitrise du vocabulaire employé et du langage d’utilisation ;
➢Disponibilité d’outils logiciels facilitant l’utilisation;
➢Disponibilité de documentation, support, formation qualifiés ;
➢Pragmatisme et facilité d’emploi ;
➢Coût d’acquisition et d’utilisation abordable ;
➢L’existence d’une structure pour le support et l’évolution de la méthode ;
➢Disponibilité de moyens de comparaison tels que des études de cas ou des métriques.

ESMT_MP2SSI_JANVIER_2021 26
OBJECTIFS & PROGRAMME
ISO 27005: APPLICATION POUR LA SECURITE DE L’INFORMATION

ESMT_MP2SSI_JANVIER_2021 27
ISO 27005: APPLICATION POUR LA SECURITE DE L’INFORMATION

28

ESMT_MP2SSI_JANVIER_2021
OBJECTIFS & PROGRAMME
ISO 27005: APPLICATION POUR LA SECURITE DE L’INFORMATION

IDENTIFICATION DU RISQUE
IDENTIFICATION DES ACTIFS

➢ Actifs primaires : Ce sont les Processus et activités métier, et les Informations) qui sont les plus importants à prendre en
considération dans l’analyse de risque. L’annexe B.1 de la norme ISO 27005 donne des exemples d’identification des
actifs.

Il existe deux types d'actifs primordiaux :

Les processus (ou sous processus) et activités métier, comme par exemple :

• les processus critiques et essentiels pour la réalisation de la mission de l’organisme;

• les processus nécessaires à la conformité aux exigences contractuelles, légales ou réglementaires.

D’une façon plus générale, les informations primordiales comprennent essentiellement :

• les informations vitales et stratégiques pour l’entreprise;

les informations personnelles, notamment celles régies par la législation (les données à caractère personnel, la vie
privée).

➢ Actifs support: Matériels, Logiciels, Réseau, Personnel, Sites , Structure de l’organisme.

ESMT_MP2SSI_JANVIER_2021 29
OBJECTIFS & PROGRAMME
ISO 27005: APPLICATION POUR LA SECURITE DE L’INFORMATION

IDENTIFICATION DU RISQUE

IDENTIFICATION DES MENACES (Voir Annexes C et D pour des exemples)


Une menace possède un potentiel de nuisance vis à vis des actifs.
Les menaces peuvent regroupées ou classées en familles, comme:

ESMT_MP2SSI_JANVIER_2021 30
OBJECTIFS
GESTION & PROGRAMME
DES RISQUES SSI: FONDAMENTAUX

IDENTIFICATION DU RISQUE: IDENTIFICATION DES MENACES

ESMT_MP2SSI_JANVIER_2021 31
OBJECTIFS & PROGRAMME
ISO 27005: APPLICATION POUR LA SECURITE DE L’INFORMATION

IDENTIFICATION DU RISQUE

IDENTIFICATION DES CONTROLES DE SECURITE


Cette phase doit considérer les mesures de contrôle existantes ou prévues (mise en œuvre projetée). Les
contrôles de sécurité de la norme ISO 27002 (ou Annexe A de la norme ISO 27001) peuvent servir de
référence.
Si une mesure de contrôle de sécurité n’est pas efficace ou ne fonctionne pas comme prévu, elle peut
elle-même constituer une vulnérabilité.

Une mesure de sécurité peut être technique, légale, administrative ou managériale.

Une mesure de sécurité peut être préventive, détective ou corrective.

ESMT_MP2SSI_JANVIER_2021 32
OBJECTIFS & PROGRAMME
ISO 27005: APPLICATION POUR LA SECURITE DE L’INFORMATION

IDENTIFICATION DU RISQUE
IDENTIFICATION DES VULNERABILITES (Voir Annexes C et D)
Les vulnérabilités peuvent:
• Être intrinsèques à l’actif;
• Être extrinsèques à l’actif;
• Naitre de la défaillance de la mesure de sécurité censée protéger l’actif.

ESMT_MP2SSI_JANVIER_2021 33
EXEMPLES VULNERABILITES/MENACES (ISO 27005)

Types Exemples de vulnérabilités Exemples de menaces


Maintenance insuffisante/mauvaise installation des supports de stockage Violation de la maintenabilité du système d’information
Absence de programmes de remplacement périodique Destruction de matériel ou de support
Sensibilité à l’humidité, à la poussière, aux salissures
Poussière, corrosion, congélation
Sensibilité aux rayonnements électromagnétiques
Rayonnements électromagnétiques
Matériel
Absence de contrôle efficace de modification de configuration Erreur d’utilisation
Sensibilité aux variations de tension Perte de la source d’alimentation en électricité
Sensibilité aux variations de température Phénomène météorologique
Stockage non protégé Vol de supports ou de documents
Manque de prudence lors de la mise au rebut Vol de supports ou de documents
Reproduction non contrôlée Vol de supports ou de documents
Tests de logiciel absents ou insuffisants Abus de droits
Failles bien connues dans le logiciel Abus de droits
Pas de fermeture de session en quittant le poste de travail Abus de droits
Mise au rebut et réutilisation de supports de stockage sans véritable effacement Abus de droits
Absence de traces d’audit Abus de droits
Attribution erronée des droits d’accès Abus de droits
Logiciel distribué à grande échelle Corruption de données
Application de programmes de gestion à de mauvaises données en termes de temps Corruption de données
Interface utilisateur compliquée Erreur d’utilisation
Absence de documentation Erreur d’utilisation
Réglage incorrect de paramètres Erreur d’utilisation
Dates incorrectes Erreur d’utilisation
Logiciel
Absence de mécanismes d’identification et d’authentification tels que l’authentification
Usurpation de droits
des utilisateurs
Tableaux de mots de passe non protégés Usurpation de droits
Mauvaise gestion des mots de passe Usurpation de droits
Activation de services non nécessaires Traitement illégal de données
Logiciel neuf ou en phase de rodage Dysfonctionnement du logiciel
Spécifications des développeurs confuses ou incomplètes Dysfonctionnement du logiciel
Absence de contrôle efficace des modifications Dysfonctionnement du logiciel
Chargement et utilisation non contrôlés du logiciel Piégeage de logiciel
Absence de copies de sauvegarde Piégeage de logiciel
Absence de protection physique du bâtiment, des portes et des fenêtres Vol de supports ou de documents
Impossibilité de produire les comptes-rendus de gestion Utilisation non autorisée du matériel

ESMT_MP2SSI_JANVIER_2021
EXEMPLES VULNERABILITES/MENACES (ISO 27005)

Types Exemples de vulnérabilités Exemples de menaces

Absence de preuves d’envoi ou de réception d’un message Déni d’actions


Voies de communication non protégées Ecoute
Trafic sensible non protégé Ecoute
Mauvais câblage Panne du matériel de télécommunications

Point de défaillance unique Panne du matériel de télécommunications


Réseau
Absence d’identification et d’authentification de l’expéditeur et du destinataire Usurpation de droits

Architecture réseau non sécurisée Espionnage à distance


Transfert de mots de passe en clair Espionnage à distance
Gestion réseau inadaptée (résilience du routage) Saturation du système d’information
Connexions au réseau public non protégées Utilisation non autorisée du matériel
Absence de personnel Violation de la disponibilité du personnel

Procédures de recrutement inadaptées Destruction de matériel ou de support


Formation insuffisante à la sécurité Erreur d’utilisation
Utilisation incorrecte du logiciel et du matériel Erreur d’utilisation
Personnel
Absence de sensibilisation à la sécurité Erreur d’utilisation
Absence de mécanismes de surveillance Traitement illégal de données
Travail non surveillé d’une équipe extérieure ou de l’équipe d’entretien Vol de supports ou de documents
Absence de politiques relatives à la bonne utilisation de supports de télécommunications et
Utilisation non autorisée du matériel
de la messagerie

ESMT_MP2SSI_JANVIER_2021
OBJECTIFS & PROGRAMME
ISO 27005: APPLICATION POUR LA SECURITE DE L’INFORMATION

IDENTIFICATION DES IMPACTS (CONSEQUENCES)


Identifier les impacts des scénarios d’incident en terme de temps perdu,
opportunités perdues, de réputation, d’image, financier, opérationnel, etc.
Les impacts pleuvent être également définis en fonction des critères de sécurité
DICT (Disponibilité, Intégrité, Confidentialité et Traçabilité).

ESMT_MP2SSI_JANVIER_2021 36
OBJECTIFS & PROGRAMME
EXEMPLE D’IDENTIFICATION DES MENACES, VULNERABILITES ET IMPACTS

Désignation Menaces
Vulnérabilités envisageables Impacts
des Actifs envisageables

perte de données et de
utilisation du matériel hors
vol du portable confidentialité - Infection
des bureaux
virale - Intrusion
Ordinateur
portable

visualisation de données
Perte de
utilisation incontrôlée de confidentielles - vol, perte ou
contrôle du
l'accès à Internet modification de données -
portable
accès non autorisé

Ordinateur

ESMT_MP2SSI_JANVIER_2021 37
ISO 27005: APPLICATION POUR LA SECURITE DE L’INFORMATION

ANALYSE DU RISQUE
L’analyse du risque considère les causes et les sources de risque, leurs impacts
positifs et négatifs et la probabilité que ces impacts puissent survenir. Les
facteurs qui affectent les impacts et leur probabilité doivent également être pris
en charge.
Le risque est fonction des impacts, de la probabilité et des autres attributs du
risque, ainsi que les mesures existantes (efficacité et efficience)
La combinaison des valeurs de la probabilité et des impacts dans la détermination
du niveau de risque est souvent fonction du contexte et de l’environnement.

38

ESMT_MP2SSI_JANVIER_2021
ISO 27005: APPLICATION POUR LA SECURITE DE L’INFORMATION

ANALYSE DU RISQUE: Exemple d’estimation de la probabilité (cotation)

ESMT_MP2SSI_JANVIER_2021
ISO 27005: APPLICATION POUR LA SECURITE DE L’INFORMATION

ANALYSE DU RISQUE

ESMT_MP2SSI_JANVIER_2021
ISO 27005: APPLICATION POUR LA SECURITE DE L’INFORMATION

ANALYSE DU RISQUE

ESMT_MP2SSI_JANVIER_2021
ISO 27005: APPLICATION POUR LA SECURITE DE L’INFORMATION

ANALYSE DU RISQUE: Exemple d’estimation de l’impact (cotation)

Valeur Confidentialité ( C ) Intégrité ( I ) Disponibilité ( D) Preuve (P)

1 Publique Faible Faible (> 1 semaine) Faible


2 Restreinte Moyenne Moyenne (< 1semaine) Moyenne
3 Confidentielle Forte Haute (< 1 journée) Forte

Critères qualitatifs :
Echelles d'Impact Echelles d'Impact Critères quantitatifs
Inférieur à 50 millions de Evènement dont l'impact peut-être absorbé par l'activité
Limité 1
FCFA normale.
- Impact sur la performance de l'année en cours
Entre 50 et 100 millions - Amende / Avertissement par le régulateur
Modéré 2
de FCFA - Risques liés aux relations sociales susceptibles ayant
un impact sur une activité
- Impact possible sur la performance à long terme
- Amende / Avertissement du régulateur - Couverture
Entre 100 et 500 Millions
Fort 3 négative par les médias
de FCFA
- Risques liés aux relations sociales susceptibles de
générer des effets graves
- Impact significatif sur la stratégie et/ou les résultats
(business développement perturbé sur plusieurs années)
Plus de 500 Millions de
Très fort 4 - Amende significative du régulateur
FCFA
- Couverture négative par les médias ayant pour effet un
impact durable sur l'image de l'entreprise.

ESMT_MP2SSI_JANVIER_2021
ISO 27005: APPLICATION POUR LA SECURITE DE L’INFORMATION

EVALUATION DU RISQUE: EXEMPLES

ESMT_MP2SSI_JANVIER_2021
ISO 27005: APPLICATION POUR LA SECURITE DE L’INFORMATION

EXERCICE: EXEMPLE D’ESTIMATION DU RISQUE

ACTIF MENACE VULNERABILITE IMPACT PROBABILITE RISQUE


D I C

➢ Identification de quatre (4) actifs, puis des menaces pour chaque actif et ensuite les
vulnérabilités.
➢ Evaluation des impacts en fonction des critères de sécurité (Confidentialité, Intégrité
et Disponibilité) sur une échelle de 1 à 5.
➢ Evaluation de la probabilité de l’occurrence sur une échelle également de 1 à 5.
➢ Détermination du niveau de risque en multipliant la moyenne arithmétique ou
pondérée des impacts par la probabilité (résultat sur une échelle de 1 à 10).
➢ Détermination des risques acceptables si l’on suppose que le niveau d’acceptabilité
était de 6.
➢ Traitement du risque en réduisant l’impact et/ou la probabilité.
➢ Recalcul du le risque, une fois les mesures de contrôle mises44 en œuvre.

ESMT_MP2SSI_JANVIER_2021
ISO 27005: APPLICATION POUR LA SECURITE DE L’INFORMATION

EXERCICE: EXEMPLE D’ESTIMATION DU RISQUE

45

ESMT_MP2SSI_JANVIER_2021
ISO 27005: APPLICATION POUR LA SECURITE DE L’INFORMATION

EXERCICE: EXEMPLE D’ESTIMATION DU RISQUE

46

ESMT_MP2SSI_JANVIER_2021
ISO 27005: APPLICATION POUR LA SECURITE DE L’INFORMATION

EXERCICE: EXEMPLE D’ESTIMATION DU RISQUE

47

ESMT_MP2SSI_JANVIER_2021
ISO 27005: APPLICATION POUR LA SECURITE DE L’INFORMATION

EXERCICE: EXEMPLE D’ESTIMATION DU RISQUE

48

ESMT_MP2SSI_JANVIER_2021
ISO 27005: APPLICATION POUR LA SECURITE DE L’INFORMATION

TRAITEMENT DU RISQUE
Le traitement du risque implique de choisir une ou plusieurs options de mesures de sécurité
(réduire, maintenir, éviter ou transférer les risques) pour modifier les risques, et de définir un
plan de traitement du risque.
Ces options sont choisis sur la base du résultat de l’appréciation du risque, du coût prévu de
leur mise en œuvre et de leurs avantages attendus.
Ces 4 options ne s’excluent pas mutuellement. Exemple: combinaison d’options telles que la
réduction de la vraisemblance des risques et de leurs conséquences et le transfert ou la
conservation de tout risque résiduel.

49

ESMT_MP2SSI_JANVIER_2021
ISO 27005: APPLICATION POUR LA SECURITE DE L’INFORMATION

TRAITEMENT DU RISQUE

50

ESMT_MP2SSI_JANVIER_2021
ISO 27005: APPLICATION POUR LA SECURITE DE L’INFORMATION

TRAITEMENT DU RISQUE: PLAN DE TRAITEMENT


Le plan de traitement du risque consiste à l’identification, à la planification et
l’implémentation d’activités classées en ordre de priorité, ainsi que l’allocation de
ressources nécessaires. Le focus doit être fait sur le plus grand risque même si d’autres
aspects sont importants pour l’organisation.

EXEMPLE:

51

ESMT_MP2SSI_JANVIER_2021
ISO 27005: APPLICATION POUR LA SECURITE DE L’INFORMATION

TRAITEMENT DU RISQUE: EVALUATION DU RISQUE RESIDUEL

Risque résiduel = Risque inhérent – Risque Traité


La valeur de réduction du risque suivant le traitement du risque devra être évaluée,
calculée et documentée afin de s’assurer du respect des critères d’acceptation. C’est
pourquoi, il doit être envisagé la mise en place d’un processus de surveillance et de
pilotage des risques résiduels.
Si malgré la mise en place de contrôles, le risque demeure inacceptable, une décision
supplémentaire doit être prise sur la manière de traiter le risque. A ce titre, un ou
plusieurs choix complémentaires de traitement du risque sont à envisager, comme le
partage du risque (assurance ou externalisation) ou d’accepter le risque en
connaissance de cause et en toute objectivité. 52

ESMT_MP2SSI_JANVIER_2021
ISO 27005: APPLICATION POUR LA SECURITE DE L’INFORMATION

ACCEPTATION DU RISQUE
Il est primordial que la Direction Générale et les propriétaires des risques révisent et
approuvent les plans de traitement du risque et les risques résiduels qui en découlent, ainsi
que la formalisation de tout le processus.
Il est également possible de réviser les critères d’acceptation au regard des retombées de
l’activité ou du coût élevé de maitrise du risque. Sinon les décideurs devront accepter les
risques et surtout les documenter, les justifier et les migrer dans les risques acceptables.

53

ESMT_MP2SSI_JANVIER_2021
ISO 27005: APPLICATION POUR LA SECURITE DE L’INFORMATION

ACCEPTATION DU RISQUE

54

ESMT_MP2SSI_JANVIER_2021
PLAN
OBJECTIFS & PROGRAMME
I. CONCEPTS ET PRINCIPES FONDAMENTAUX

II. REFERENTIELS

III. GESTION DES RISQUES PAR ISO 27005

IV. APPLICATION: CARTOGRAPHIE DES RISQUES

ESMT_M2SSI_JANVIER_2021 55
EXERCICE
APPLICATION: CARTOGRAPHIE DES RISQUES

MACRO EXEMPLE DE CARTOGRAPHIE DES RISQUES

ESMT_MP2SSI_JANVIER_2021 56
PLAN
BIBLIOGRAPHIE
» Cobit - pour une meilleur gouvernance des systèmes d'information, 2009, de
DOMINIQUE MOISAND et FABRICE GARNIER DE LABAREYRE
» ITIL Pour un service informatique optimal de CHRISTIAN DUMONT
» ISO_CEI 20000 de LEO VAN SELM
» Normes ISO 27002 et ISO 27001
» ISO 27001 LI & LA de PECB
» ISO 22301 LI & LA de PECB
» Les Publications de Claude CSALZMAN
» Le réseau au cœur de la stratégie DSI, de MARIE-MICHÈLE VASSILIOU
» Les Réseaux - 5eme Ed, de GUY PUJOLLE
» Sécurité informatique, Principes et Méthodes de LAURENT BLOCH et CHRISTOPHE
WOLFHUGEL
» WIFI PROFESSIONNEL, La norme 802.11, le déploiement, la sécurité de AURÉLIEN
GÉRON
» Manager la Sécurité du SI de MATTHIEU BENNASAR, ALAIN CHAMPENOIS,
PATRICK ARNOULD, THIERRY RIVAT
» Plan de continuité d’activité et système dinformation de MATTHIEU BENNASAR
» CISSP de SHON HARRIS
» CISA de PETER H, GREGORY
57

ESMT_MP2SSI_JANVIER_2021
MERCI POUR VOTRE
PARTICIPATION ET VOTRE
AIMABLE ATTENTION

ESMT_MP2SSI_JANVIER_2021 58

Vous aimerez peut-être aussi