Normes ISO 27K5

1 ISO 27005
Introduction – ISO 27005
Norme d’exigences pour la gestion de risque liés à la sécurité de

l’information
✓ Comprendre les concepts, approches, méthodes et techniques
utilisés pour gérer les risques liés à la sécurité de l'information.
✓ Comprendre l'importance de la gestion des risques liés à la sécurité de
l'information
Une gestion adaptée des risques inhérents au SI conduit à un Système de

Management de la Sécurité de l’Information opérationnel et efficace.
Structure de la norme
La structure de la norme
4. Structure de
1. Domaine 2. Références 3. Termes et
Introduction la présente 5. Contexte
d’application normatives définitions
norme
6. Processus de 7.
8. Appréciation 9. Traitement 10. Acceptation 11.
gestion des Etablissement
des risques des risques des risques Communication
risques du contexte
12.
Surveillance,
revue et
amélioration
3
Structure de la norme
1. Description du processus de 2. Une partie informative

Gestion des risques complémentaire (exemples)
• Clause 7 : Etablissement du contexte • Annexe A : définir le périmètre

• Annexe B : identifier les actifs / valeur /
• Clause 8 : Appréciation des Risques
impacts
• Clause 9 : Traitement des Risques
• Annexe C : déterminer les menaces
• Clause 10 : Acceptation des Risques
• Annexe D : déterminer les vulnérabilités
• Clause 11 : Communication et • Annexe E : apprécier les risques
concertation / Risque
• Annexe F : contraintes / réduction des
• Clause 12 : Surveillance et revue du
Risque risques
• Annexe G : différence entre 27005:2008 et
2011
4
Processus de Gestion des risques
4 étapes d’un processus global constitué de 7 étapes
1) Etablissement du contexte
2) Appréciation du risque
1) Identification des risques
2) Analyses des risques
3) Evaluation du risque
3) Traitement du risque
4) Acceptation des risques
5
Méthodologies
• EBIOS : (Expression des Besoins et EBIOS

Identification des Objectifs de Sécurité) • Comment EBIOS permet-elle de gérer
• MEHARI: (MEthode Harmonisée d’Analyse les risques ?
de RIsque)
• OCTAVE: (Operationally Critical Threat,

and Vulnerability Evaluation)
• CRAMM: (CCTA Risk Analysis and

Management Method)
6
Alignement SMSI
Processus SMSI Processus de gestion des risques en sécurité de l'information
Établissement du contexte
Appréciation des risques
Planifier
Élaboration du plan de traitement des risques
Acceptation des risques
Déployer Mise en œuvre du plan de traitement des risques
Contrôler Surveillance et revue continues des risques
Maintien et amélioration du processus de gestion des risques en sécurité

Agir
de l'information
7
7. Etablissement du contexte
8
Domaine d’application et limites

Définit très clairement, en cohérence avec le
domaine d’application du SMSI
Il faut notamment considérer :
• Les actifs
• Les localisations de l'organisation et

leurs caractéristiques géographiques
• Les interfaces (c'est-à-dire les échanges

d'informations avec l'environnement)
• Les exigences légales, réglementaires et

contractuelles
9
Description technique Description fonctionnel
10
Exercice
1. Identifier et rédiger un domaine d’application grâce à ses inputs :
• La maison mère de l’entreprise « expert comptable » est certifiée ISO 27001 et exige que toutes les filiales le soit.
• La sensibilisation à la sécurité de l’information n’est pas partie intégrante au sein de l’entreprise
• Les employés du service de gestion des paies a la fâcheuse habitude de cliquer et d’ouvrir tous les mails et pj qu’ils reçoivent.
• L’an dernier un ransomware a touché les serveurs liés à la gestion des paies, rendant indisponible les données des clients
• Le service a subi un arrêt total de 72h
2. Dessiner un schéma d’archi technique et un schéma d’archi fonctionnel
• Serveur gestion des paies, serveur de messagerie sont accessible depuis l’externe.
11 • Un firewall filtre les flux sortant et entrant

Établir les critères et échelles des besoins de sécurité
12
Critères d’évaluation de la vraisemblance d’un scénario
Il s’agit de l’évaluation de la probabilité qu’un scénario se réalise

Pour cela on doit considérer
• La prévalence des menaces (diffusion des agents menaçants, motivations)
• La difficulté d’exploitation d’une vulnérabilité (connaissances spécifiques,
disponibilité d’outillage, accessibilité des outils)
13
Echelle d’évaluation la vraisemblance d’un scénario
14
Matrice d’évaluation de la vraisemblance d’un scénario
Facilité d’exploitation des vulnérabilités
Prévalence des
1 2 3 4
menaces
1 1 1 1 1
2 1 1 2 2
3 1 2 3 3
4 1 2 3 4
15
Critères d’évaluation des conséquences d’un scénario
Il s’agit de l’évaluation des conséquences d’un incident (= risque réalisé)

Les conséquences doivent être évaluées selon l’impact que pourrait avoir un
incident dans plusieurs domaines
Financier
Juridique
Commercial
Sur l'impact sur l'image ou la réputation
Sur l'activité
16
Echelle d’évaluation des conséquences d’un scénario
17
Matrice d’évaluation d’un scénario et critères d’acceptation du

risque
18
Rôles et responsabilités relatives au processus de gestion des

risques
R:
A:
C:
I:
19
8. Appréciation des risques
Identifier les actifs primordiaux (biens essentiels)

Identifier les actifs en support
Identifier les menaces pesant sur le système étudié
Identifier les vulnérabilités du système étudié
20
Les concepts de l’appréciation des risques
Actif primordial (ou bien essentiel) Actif support ( ou bien support)

Élément ayant une valeur pour Supporte des actifs primordiaux
l’organisation, peut être une information, un (applications, serveurs…) porte des
processus métier... vulnérabilités
Identification des actifs primordiaux (biens essentiels)
Processus dont la perte ou la Analyse des composants Se présente sous forme d’un tableau
dégradation rend impossible la entrant dans le domaine avec la liste des actifs
réalisation de la mission de d’application de l’étude (Les primordiaux et
l'organisation (Disponibilité) éléments constituant le
SMSI) • Le type (informations, processus
Processus contenant des processus et activités métier)
secrets ou les processus impliquant Description du contexte, des
une technique brevetée enjeux et des objectifs • La désignation (nom courant)
(Confidentialité)
Description du périmètre • Une description
Processus qui, s'ils sont modifiés, fonctionnel
• Le propriétaire de chaque actif
peuvent considérablement affecter
Description du périmètre primordial (personne ou entité
l'accomplissement de la mission de
technique métier)
l'organisation (Intégrité)
Processus qui sont nécessaires à Schéma fonctionnel présentant

l'organisation pour être conforme les limites du domaine
aux exigences contractuelles, d’application et les interfaces
légales ou réglementaires (Preuve) avec l’extérieur
Identification des actifs primordiaux (biens essentiels)

Identification des actifs en support
Actifs nécessaires pour le fonctionnement et la sécurité des actifs primordiaux

Se regroupent en plusieurs types
▪ Matériel: Serveur, laptop, clé USB, tablette, périphérique...
▪ Logiciel: Système d’exploitation, application, middleware, base de données...
▪ Réseau: Support physique, élément actif, routeur...
▪ Personnel: Administrateurs, Business Process Owner, utilisateurs...
▪ Site: Environnement extérieur, locaux, services utilitaires...
▪ Organisation: Autorités affiliées, structure de l’organisation, sous-traitants,
fournisseurs...
Identification des actifs en support

Identification des actifs en support: lien avec les actifs primordiaux

Exercice
• Identifier les actifs primordiaux (BE) et les actifs supports (BS) pertinents
• Réaliser la matrice BE x BS
Menace Vulnérabilité
Cause potentielle d’un incident Faiblesse du système qui le rend
indésirable, qui peut nuire à un sensible à une menace et porte atteinte
système ou à un organisme à son fonctionnement normal
Identification des menaces

S’effectue avec un catalogue de menaces (Annexe C de la norme ISO 27005:2011) ou des CERT
Plusieurs types
1. Menace délibérée ciblant un actif dans le but de nuire à l’organisation
2. Menace accidentelle d’origine humaine mais sans intention de nuire
3. Menace environnementale désignant toute menace ne relevant pas de l’intervention humaine
29
Identification des vulnérabilités

Les vulnérabilités identifiées ne portent que sur les actifs supports
Elles sont susceptibles d’être exploitées par des menaces dans le but de compromettre un actif
support
1. Matériel: Absence de programmes de remplacement périodique
2. Logiciel: Attribution erronée des droits d'accès
3. Réseau: Trafic sensible non protégé
La combinaison de ces éléments permet de construire les scénarios de risque, de manière itérative
• Risque R1: Erreur d’utilisation rendue possible par l’absence de documentation sur l’application X et exposant
des données clients sur Internet
30
Exercice
Sur la base des actifs supports que vous avez formalisé, identifié les potentielles vulnérabilités
associées.
31
Appréciation des conséquences et de l’impact des scénarios

Appréciation de la vraisemblance des scénarios
Estimation des niveaux de risque des scénarios
32
Processus d’identification des risques
D €
Conséquences
Impact
I C Act Ima
Actif
Cible
Menace Possède
Exploite
Vulnérabilité
INCIDENT
Identifier les conséquences sur les critères retenus (exemple):
▪ Conséquences financières
▪ Conséquences juridiques
▪ Conséquences sur l’image
Évaluer l’impact sur chaque critère
Niveau d’impact
# Scénarios Conséquences
F J I Global
Atteinte à l’image de
Erreur d’utilisation rendue possible par l’absence de
marque
Risque R1 documentation sur l’application X et exposant des 3 3 3 9
Mise en demeure de la CNIL
données clients sur Internet
Perte financière
34
Appréciation de la vraisemblance des scénarios :

Basée sur la complexité d’exploitation d’une vulnérabilité (CE)
▪ Compétences nécessaires
▪ Disponibilité d’outillage d’exploitation
Et sur la prévalence de la menace (PM)
▪ Diffusion de la menace
▪ Motivation de la menace
Vraisemblance
# Scénarios Conséquences
CE PM Global
Erreur d’utilisation rendue possible par l’absence de Atteinte à l’image de marque

Risque R1 documentation sur l’application X et exposant des données Mise en demeure de la CNIL 2 3 3
clients sur Internet Perte financière
35
Risque
Le risque lié à la sécurité de l’information est associé à

la possibilité que des menaces exploitent les
vulnérabilités d’un actif ou d’un groupe d’actifs x =
informationnels et nuisent donc à un organisme.
Conséquences
Estimation des niveaux de risque des scénarios
# Scénarios Conséquences Impact Vrais NR
Erreur d’utilisation rendue possible par Atteinte à l’image de marque

Risque R1 l’absence de documentation sur l’application X Mise en demeure de la CNIL 9 3 27
et exposant des données clients sur Internet Perte financière
37
Comparaison avec les critères d’acceptation des risques afin d’identifier les risques non acceptables
# Scénarios Conséquences NR Evaluation
Erreur d’utilisation rendue possible par Atteinte à l’image de marque

Risque non accepté
Risque R1 l’absence de documentation sur l’application X Mise en demeure de la CNIL 27
Risque à traiter
et exposant des données clients sur Internet Perte financière
38
9. Traitement des risques
Traitement des risques
Sélection des options de traitement: Acceptation, Réduction, Refus, Transfert

Sélection des mesures de réduction des risques avec l’annexe A de la norme ISO 27001
# Scénarios Conséquences NR Traitement

Réduction du risque
Erreur d’utilisation rendue possible par Atteinte à l’image de
Mesure A.12.1.1 Procédures d’exploitation
Risque l’absence de documentation sur marque
27 documentées
R1 l’application X et exposant des Mise en demeure de la CNIL
Mesure A.9.4.1 Restriction d’accès à
données clients sur Internet Perte financière
l’information
39
10. Acceptation des risques
Acceptation formelle des risques par leur propriétaire
# Scénarios Conséquences NRI NRR Évaluation après traitement

Erreur d’utilisation rendue
possible par l’absence de Atteinte à l’image de marque
Risque résiduel accepté par le
Risque R1 documentation sur l’application X Mise en demeure de la CNIL 27 15
propriétaire
et exposant des données clients Perte financière
sur Internet
40
2 Le processus de
certification
Processus de certification
42
étalé sur 3 ans…
Mise en place Audit de

du SMSI surveillance n+1 Renouvellement
Préparation et Audit de
certification surveillance n+2
• Audit blanc
• Audit de
certification
• Remise de
certification
43
Méthodologie d’audit
❑ Critères d’audit
✔ Chapitres 4 à 10 de la norme ISO 27001
✔ Processus de la DdA (application, amélioration)
❑ Identification des constats & écarts (Non-conformités)
❑ Formalisation de la fiche d’écart
✔ Collecte d’éléments à valeur probante
✔ Evaluation de l’écart: Remarque, Écart mineur, Écart majeur
44
Audit initial menés en deux étapes
❑ Audit étape 1
✔ Revue de la documentation du SMSI (enregistrements du SMSI)
✔ Suspension du processus en cas de problème sur la
documentation
✔ Collecte des documents complémentaires éventuels pour préparer
l’étape 2
✔ Rapport écrit avec les remarques
45
Audit initial menés en deux étapes
❑ Audit étape 2
✔ Réalisation des entretiens et des contrôles
✔ Idéalement couvre le périmètre global du SMSI
✔ Échantillonnage des contrôles sur l’ensemble des processus
✔ Rapport écrit avec les remarques, écarts et propositions de
correction
✔ Certification refusée en cas d’écart majeur
46
Audit de surveillance
❑ Au moins un par année civile

❑ Périmètre plus restreint que l’audit initial
✔ Evaluation des corrections des écarts précédents
✔ Échantillonnage des processus sur l’ensemble des audits
❑ Elévation de la gravité des écarts non corrigés
❑ Suspension de la certification en cas d’écart majeur
47
48

Normes ISO 27K5

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Normes ISO 27K5

Transféré par

Droits d'auteur :

Formats disponibles

1 ISO 27005

Introduction – ISO 27005

Norme d’exigences pour la gestion de risque liés à la sécurité de

Une gestion adaptée des risques inhérents au SI conduit à un Système de

1. Description du processus de 2. Une partie informative

• Clause 7 : Etablissement du contexte • Annexe A : définir le périmètre

4 étapes d’un processus global constitué de 7 étapes

1) Identification des risques

2) Analyses des risques

4) Acceptation des risques

• EBIOS : (Expression des Besoins et EBIOS

• MEHARI: (MEthode Harmonisée d’Analyse les risques ?

• OCTAVE: (Operationally Critical Threat,

• CRAMM: (CCTA Risk Analysis and

Processus SMSI Processus de gestion des risques en sécurité de l'information

Déployer Mise en œuvre du plan de traitement des risques

Contrôler Surveillance et revue continues des risques

Maintien et amélioration du processus de gestion des risques en sécurité

Domaine d’application et limites

Il faut notamment considérer :

• Les localisations de l'organisation et

• Les interfaces (c'est-à-dire les échanges

• Les exigences légales, réglementaires et

Description technique Description fonctionnel

• La sensibilisation à la sécurité de l’information n’est pas partie intégrante au sein de l’entreprise

• Le service a subi un arrêt total de 72h

2. Dessiner un schéma d’archi technique et un schéma d’archi fonctionnel

11 • Un firewall filtre les flux sortant et entrant

Établir les critères et échelles des besoins de sécurité

Critères d’évaluation de la vraisemblance d’un scénario

Il s’agit de l’évaluation de la probabilité qu’un scénario se réalise

Echelle d’évaluation la vraisemblance d’un scénario

Matrice d’évaluation de la vraisemblance d’un scénario

Facilité d’exploitation des vulnérabilités

Critères d’évaluation des conséquences d’un scénario

Il s’agit de l’évaluation des conséquences d’un incident (= risque réalisé)

Echelle d’évaluation des conséquences d’un scénario

Matrice d’évaluation d’un scénario et critères d’acceptation du

Rôles et responsabilités relatives au processus de gestion des

Identifier les actifs primordiaux (biens essentiels)

Actif primordial (ou bien essentiel) Actif support ( ou bien support)

Identification des actifs primordiaux (biens essentiels)

Processus qui sont nécessaires à Schéma fonctionnel présentant

Identification des actifs primordiaux (biens essentiels)

Identification des actifs en support

Actifs nécessaires pour le fonctionnement et la sécurité des actifs primordiaux

Identification des actifs en support

Identification des actifs en support: lien avec les actifs primordiaux

Identification des menaces

1. Menace délibérée ciblant un actif dans le but de nuire à l’organisation

2. Menace accidentelle d’origine humaine mais sans intention de nuire

3. Menace environnementale désignant toute menace ne relevant pas de l’intervention humaine

Identification des vulnérabilités

1. Matériel: Absence de programmes de remplacement périodique

2. Logiciel: Attribution erronée des droits d'accès

3. Réseau: Trafic sensible non protégé

Appréciation des conséquences et de l’impact des scénarios

Identifier les conséquences sur les critères retenus (exemple):

▪ Conséquences sur l’image

Évaluer l’impact sur chaque critère

Appréciation de la vraisemblance des scénarios :

▪ Disponibilité d’outillage d’exploitation

Et sur la prévalence de la menace (PM)

Erreur d’utilisation rendue possible par l’absence de Atteinte à l’image de marque