Académique Documents
Professionnel Documents
Culture Documents
Clubebios 2007-05-15 Schauer
Clubebios 2007-05-15 Schauer
ISO27005
Gestion de risque
Alexandre Fernandez
Hervé Schauer
HERVÉ SCHAUER CONSULTANTS
Cabinet de Consultants en Sécurité Informatique depuis 1989
Spécialisé sur Unix, Windows, TCP/IP et Internet
ISO27005
Gestion de risque
Club EBIOS
Paris, 15 mai 2007 après-midi
Alexandre Fernandez
Hervé Schauer
Préambule
HSC : pas un expert du domaine de la gestion de risque
Simple observateur jusqu'à ce que l'ISO 27001 apparaîsse
Outillage
Conclusion
Prochains rendez-vous
EBIOS
Expression des Besoins et
Identification des Objectifs de Sécurité
Et d'autres influences diverses
7 / 72 Copyright Hervé Schauer Consultants 2006-2007 - Reproduction Interdite
Vocabulaire « Analyse de risque »
Choix de traduction
Risk Analysis Analyse du risque
Risk Evaluation Evaluation du risque
Risk Estimation Estimation du risque
Risk Assessment Appréciation du risque
Langage courant
Analyse de risque Risk Assessment
Usage impossible à garder sans confusions
Pas d'autre traduction possible que Risk Analysis Analyse du risque
Confusion avec Risk Assessment
Surveiller et réexaminer
les résultats, l'efficacité et
l'efficience du processus Check
10 / 72 Copyright Hervé Schauer Consultants 2006-2007 - Reproduction Interdite
Processus de gestion du risque (6) p8
Décomposé en deux activités { dans ISO 27001 l'activité appréciation du risque
s'appelle processus d'appréciation du risque (8.1)
séquencielles et itératives
Approche itérative
Améliore la finesse de l'analyse à
chaque itération
Appréciation du risque
(risk assessment)
Garanti une appréciation des
risques élevés
Appréciation non
Minimise le temps et l'effort satisfaisante ?
consenti dans l'identification des oui
mesures de sécurité
Traitement du risque
Appréciation des risques (risk treatment)
satisfaisante ?
Passer au traitement du risque
Communication du risque
nécessaires à la Analyse de risque
réduction des risques à Identification du risque
un niveau acceptable ?
n° 2 Estimation du risque
Risque acceptable ?
Evaluation du risque
Communication à la
hiérarchie et aux équipes Appréciation
opérationnelles à chaque satisfaisante ? oui
étape
Traitement du risque
Risque identifié utile
Risque non
immédiatement à la
gestion des incidents acceptable ? oui
Traitement du risque
13 / 72 Copyright Hervé Schauer Consultants 2006-2007 - Reproduction Interdite
Processus de gestion du risque (6) p10
Etablissement du contexte
Plan
Appréciation du risque
Analyse de risque
Identification du risque
Estimation du risque
Evaluation du risque
Elaboration du plan
de traitement du risque
Do Act
Implémentation du plan Améliorer le processus
de traitement du risque de gestion de risque
Evaluation du risque
Appréciation
satisfaisante ? oui
Traitement du risque
Risque non
acceptable ? oui
Traitement du risque
15 / 72 Copyright Hervé Schauer Consultants 2006-2007 - Reproduction Interdite
Etablissement du contexte
Définir ses critères de base (7.2)
Toute information
Définir le champ et les limites du pertinente pour
processus de gestion du risque (7.3) la sécurité
Critères de base
Champ et limites
Organisation en place
16 / 72 Copyright Hervé Schauer Consultants 2006-2007 - Reproduction Interdite
Etablissement du contexte
Communication du risque
Etablissement du contexte Identification du risque
Estimation du risque
Evaluation du risque
(7.2)
Définir ses critères de base : Traitement du risque
Traitement du risque
Critères d'impact
Communication du risque
Etablissement du contexte Identification du risque
Estimation du risque
Evaluation du risque
Définir le champ et les limites (scope and Traitement du risque
boundaries) du processus de gestion du Traitement du risque
risque (7.3) :
Inclus dans le périmètre du SMSI
Environnement du processus de gestion du risque
Objet du processus de gestion du risque
Processus de gestion du risque applicable à tout type d'objet :
Application
Infrasructure IT
Processus métier
Organisation
Communication du risque
Etablissement du contexte Identification du risque
Estimation du risque
Evaluation du risque
(7.4)
Organiser et gouverner la gestion du risque : Traitement du risque
Traitement du risque
(Cf IS27001 5.1.f)
Approbation par la direction générale
Identification des parties impliquées (involved parties)
Dont les dépositaires d'enjeux (stakeholders)
Définition des rôles et responsabilités
Dans toutes les entités concernées par le processus de gestion du risque
Etablissement des liens nécessaires entre les parties impliquées
Particulierement avec les fonctions de gestion du risque de haut niveau
Gestion des risques opérationnels
Répartition des tâches et activités, y comprit la documentation
Gestion de ressources
Définition des chemins d'escalade de décision
Définition des enregistrements devant être conservés
27 / 72 Copyright Hervé Schauer Consultants 2006-2007 - Reproduction Interdite
Appréciation du risque
Etablissement du contexte
Evaluation du risque
Appréciation
satisfaisante ? oui
Traitement du risque
Risque non
acceptable ? oui
Traitement du risque
28 / 72 Copyright Hervé Schauer Consultants 2006-2007 - Reproduction Interdite
Appréciation du risque
Appréciation du risque (8.1) :
Appréciation du risque
Déterminer la valeur des actifs
Analyse de risque
Identifier les menaces et les
vulnérabilités Identification du risque
Identifier les mesures de Estimation du risque
sécurité existantes et leurs
effets sur le risque identifié Evaluation du risque
Quantifier les conséquences
Appréciation
potentielles
satisfaisante ?
Prioritiser et ordonnancer les
risques
Itérations de l'appréciation (8.1)
Haut-niveau
De plus en plus en profondeur
29 / 72 Copyright Hervé Schauer Consultants 2006-2007 - Reproduction Interdite
Appréciation du risque
Processus d'appréciation du
Organisation de la gestion
risque (8.1) :
de risques
Critères de base
8.2.1.5
Evaluation des mesures de
sécurité existantes
cible
Actif
exploite Estimation des risques
possède Evaluation des conséquences
Evaluation de la probabilité
Vulnérabilité d'occurrence des menaces
Analyse des vulnérabilités
Estimation des niveaux
Conséquence de risques
Communication du risque
Estimation des risques Identification du risque
Estimation du risque
Evaluation du risque
(8.2.2.1)
Méthodes d'estimation des risques : Traitement du risque
Traitement du risque
Qualitative
Magnitude des conséquences exprimée par exemple par faible, moyenne,
élevée
Utile en l'absence de données permettant une estimation quantitative
+ Facilité de compréhension
- Subjectivité
Quantitative
Echelle avec des valeurs numériques
A faire avec l'historique des incidents
+ Directement relié aux objectifs de sécurité
- Dépend de la validité du modèle
Evaluation du risque
Appréciation
satisfaisante ?
Communication du risque
Evalution du risque Identification du risque
Estimation du risque
Evaluation du risque
(8.3)
Evaluation du risque : Traitement du risque
Traitement du risque
Prise de décisions
Si une activité doit être engagée
Priorités pour le traitement du risque
Utilisation de la compréhension du risque obtenue grâce à l'analyse de
risque
Prise en compte en plus des risques estimés, des obligations
contractuelles, légales et règlementaires
Evaluation du risque
Appréciation
satisfaisante ? oui
Traitement du risque
Risque non
acceptable ? oui
Traitement du risque
52 / 72 Copyright Hervé Schauer Consultants 2006-2007 - Reproduction Interdite
Traitement et acceptation du risque
Traitement du Appréciation des risques
risque (9.1) :
Résultats
Liste des risques prioritisés
risques résiduels
Acceptation du risque non
risque (10) : acceptable ? oui
risques acceptés
53 / 72 Copyright Hervé Schauer Consultants 2006-2007 - Reproduction Interdite
Traitement du risque
Traitement du risque (9.1) :
Liste des risques
Intégration des coûts prioritisés
Mise en adéquation de coûts par
rapport aux bénéfices attendus
Forte réduction pour peu de
dépenses ?
Sélectionner et implémenter
Amélioration très coûteuse ?
les moyens de réduire le risque
Prise en compte des risques rares à un niveau acceptable
aux impacts importants
Qui échappent aux logiques
économiques
Plan de traitement
du risque
Evaluation du risque
Appréciation
satisfaisante ? oui
Traitement du risque
Risque non
acceptable ? oui
Traitement du risque
62 / 72 Copyright Hervé Schauer Consultants 2006-2007 - Reproduction Interdite
Etablissement du contexte
Communication du risque
Communication du risque Identification du risque
Estimation du risque
Evaluation du risque
Communication du risque de sécurité de Traitement du risque
l'information (information security risk Traitement du risque
communication) (11) :
Echange et partage d'information sur les risques entre :
Processus de gestion de risque
Décisionnaires (decision-makers) et les dépositaires des enjeux
(stakeholders)
Activité continue
Permet de :
Réduire les incompréhensions avec les décisionnaires
Obtenir de nouvelles connaissance en sécurité
Améliorer la sensibilisation
63 / 72 Copyright Hervé Schauer Consultants 2006-2007 - Reproduction Interdite
Surveillance et réexamen du risque
Etablissement du contexte
Evaluation du risque
Appréciation
satisfaisante ? oui
Traitement du risque
Risque résiduel non
acceptable ?
oui
Traitement du risque
64 / 72 Copyright Hervé Schauer Consultants 2006-2007 - Reproduction Interdite
Etablissement du contexte
Communication du risque
Identification du risque
du risque
Estimation du risque
Evaluation du risque
Surveillance et réexamen des éléments du Traitement du risque
risque (12.1) (suivi des risques) : Traitement du risque