Académique Documents
Professionnel Documents
Culture Documents
La structure de la norme
4. Structure de
1. Domaine 2. Références 3. Termes et
Introduction la présente 5. Contexte
d’application normatives définitions
norme
6. Processus de 7.
8. Appréciation 9. Traitement 10. Acceptation 11.
gestion des Etablissement
des risques des risques des risques Communication
risques du contexte
12.
Surveillance,
revue et
amélioration
3
Structure de la norme
1) Etablissement du contexte
2) Appréciation du risque
3) Evaluation du risque
3) Traitement du risque
5
Méthodologies
de RIsque)
6
Alignement SMSI
Établissement du contexte
Appréciation des risques
Planifier
Élaboration du plan de traitement des risques
Acceptation des risques
7
7. Etablissement du contexte
8
7. Etablissement du contexte
• Les actifs
9
7. Etablissement du contexte
10
7. Etablissement du contexte
Exercice
1. Identifier et rédiger un domaine d’application grâce à ses inputs :
• La maison mère de l’entreprise « expert comptable » est certifiée ISO 27001 et exige que toutes les filiales le soit.
• Les employés du service de gestion des paies a la fâcheuse habitude de cliquer et d’ouvrir tous les mails et pj qu’ils reçoivent.
• L’an dernier un ransomware a touché les serveurs liés à la gestion des paies, rendant indisponible les données des clients
• Serveur gestion des paies, serveur de messagerie sont accessible depuis l’externe.
12
7. Etablissement du contexte
13
7. Etablissement du contexte
14
7. Etablissement du contexte
Prévalence des
1 2 3 4
menaces
1 1 1 1 1
2 1 1 2 2
3 1 2 3 3
4 1 2 3 4
15
7. Etablissement du contexte
16
7. Etablissement du contexte
17
7. Etablissement du contexte
18
7. Etablissement du contexte
R:
A:
C:
I:
19
8. Appréciation des risques
20
Les concepts de l’appréciation des risques
Processus dont la perte ou la Analyse des composants Se présente sous forme d’un tableau
dégradation rend impossible la entrant dans le domaine avec la liste des actifs
réalisation de la mission de d’application de l’étude (Les primordiaux et
l'organisation (Disponibilité) éléments constituant le
SMSI) • Le type (informations, processus
Processus contenant des processus et activités métier)
secrets ou les processus impliquant Description du contexte, des
une technique brevetée enjeux et des objectifs • La désignation (nom courant)
(Confidentialité)
Description du périmètre • Une description
Processus qui, s'ils sont modifiés, fonctionnel
• Le propriétaire de chaque actif
peuvent considérablement affecter
Description du périmètre primordial (personne ou entité
l'accomplissement de la mission de
technique métier)
l'organisation (Intégrité)
Exercice
• Identifier les actifs primordiaux (BE) et les actifs supports (BS) pertinents
• Réaliser la matrice BE x BS
Les concepts de l’appréciation des risques
Menace Vulnérabilité
Cause potentielle d’un incident Faiblesse du système qui le rend
indésirable, qui peut nuire à un sensible à une menace et porte atteinte
système ou à un organisme à son fonctionnement normal
8. Appréciation des risques
Plusieurs types
29
8. Appréciation des risques
Elles sont susceptibles d’être exploitées par des menaces dans le but de compromettre un actif
support
La combinaison de ces éléments permet de construire les scénarios de risque, de manière itérative
• Risque R1: Erreur d’utilisation rendue possible par l’absence de documentation sur l’application X et exposant
des données clients sur Internet
30
8. Appréciation des risques
Exercice
Sur la base des actifs supports que vous avez formalisé, identifié les potentielles vulnérabilités
associées.
31
8. Appréciation des risques
32
Processus d’identification des risques
D €
Conséquences
Impact
I C Act Ima
Actif
Cible
Menace Possède
Exploite
Vulnérabilité
INCIDENT
8. Appréciation des risques
▪ Conséquences financières
▪ Conséquences juridiques
Niveau d’impact
# Scénarios Conséquences
F J I Global
Atteinte à l’image de
Erreur d’utilisation rendue possible par l’absence de
marque
Risque R1 documentation sur l’application X et exposant des 3 3 3 9
Mise en demeure de la CNIL
données clients sur Internet
Perte financière
34
8. Appréciation des risques
▪ Compétences nécessaires
▪ Diffusion de la menace
▪ Motivation de la menace
Vraisemblance
# Scénarios Conséquences
CE PM Global
35
Les concepts de l’appréciation des risques
Risque
Conséquences
8. Appréciation des risques
37
8. Appréciation des risques
Comparaison avec les critères d’acceptation des risques afin d’identifier les risques non acceptables
38
9. Traitement des risques
39
10. Acceptation des risques
40
2 Le processus de
certification
Processus de certification
42
Processus de certification
étalé sur 3 ans…
Préparation et Audit de
certification surveillance n+2
• Audit blanc
• Audit de
certification
• Remise de
certification
43
Processus de certification
étalé sur 3 ans…
Méthodologie d’audit
❑ Critères d’audit
✔ Chapitres 4 à 10 de la norme ISO 27001
✔ Processus de la DdA (application, amélioration)
❑ Identification des constats & écarts (Non-conformités)
❑ Formalisation de la fiche d’écart
✔ Collecte d’éléments à valeur probante
✔ Evaluation de l’écart: Remarque, Écart mineur, Écart majeur
44
Processus de certification
étalé sur 3 ans…
❑ Audit étape 1
✔ Revue de la documentation du SMSI (enregistrements du SMSI)
✔ Suspension du processus en cas de problème sur la
documentation
✔ Collecte des documents complémentaires éventuels pour préparer
l’étape 2
✔ Rapport écrit avec les remarques
45
Processus de certification
étalé sur 3 ans…
❑ Audit étape 2
✔ Réalisation des entretiens et des contrôles
✔ Idéalement couvre le périmètre global du SMSI
✔ Échantillonnage des contrôles sur l’ensemble des processus
✔ Rapport écrit avec les remarques, écarts et propositions de
correction
✔ Certification refusée en cas d’écart majeur
46
Processus de certification
étalé sur 3 ans…
Audit de surveillance
47
Processus de certification
étalé sur 3 ans…
48