ISO/IEC 27001:2013

Clause 6
 ISO/IEC 27001 Clause 6
1. Actions liées aux risques et aux opportunités

2. Objectifs de sécurité de l’information et plans pour l’atteindre

OGSBC 2020 02-11-20

2
 6.1 Risques et Opportunités
⚫ 6.1.1 Généralités: Risques et Opportunités du SMSI
⚫ Clauses 4 et 5
⚫ Résultats, valeur commerciale, rentabilité
⚫ Alignement avec les autres M.S. au sein de l’organisation

⚫ 6.1.2 Appréciation des risques de sécurité de l’information

⚫ 6.1.3 Traitement des risques de sécurité de l’information
Processus GRSI complets et détaillés, cœur du SMSI

On peut utiliser différentes techniques pour 6.1.1 et 6.1.2/6.1.3.

OGSBC 2020
3
 6.1.1 Généralités
Exigence 8: Lorsqu’elle conçoit son SMSI, l’organisation doit tenir compte des enjeux
(4.1) et des exigences (4.2,) et déterminer les risques et opportunités pour:
a) Être sûr que le SMSI peut atteindre les objectifs fixés
b) Limiter les effets indésirables
c) Appliquer la démarche d’amélioration continue.
Elle doit planifier
d) Les actions pour traiter les risques et opportunités
e) La manière
⚫ De les mettre en œuvre au sein du SMSI
⚫ D’évaluer leur efficacité.

OGSBC 2020
4
 6.1.1 Généralités
Dans le domaine d’application du SMSI ISO/IEC
27003:2017
⚫ Préparer ce qui est nécessaire pour le succès
⚫ Risques SSI traités à un niveau acceptable (contrôles)
⚫ Traiter les risques liés à un résultat non désiré (GRSI)
⚫ Assurer l’amélioration continue (Management)
⚫ S’aligner avec les autres M.S. en place

⚫ Les ‘opportunités’ concernent le SMSI (au bénéfice des objectifs d’affaire)

⚫ Agissent sur le contexte (4.1) et les besoins/attentes (4.2): focalisation, stratégie
marketing, partenariats
⚫ Son efficacité et son efficience: clarification d’interfaces, documentation, utilisation de
nouvelles technologies…

OGSBC 2020
5
 6.1.1 Généralités
⚫ Planifier: = gestion de projet
⚫ Plan de mise en œuvre
⚫ ‘Distiller’ les ressources aux temps et lieux opportuns
⚫ Evaluer l’efficacité
⚫ Corriger la trajectoire au besoin.

Les actions ‘Risques et Opportunités’ peuvent être différentes selon

⚫ Le niveau stratégique, tactique et opérationnel
⚫ Le site, le domaine d’application du SMSI

OGSBC 2020
6
 6.1.2 Appréciation des risques SSI
Exigence 9: L’organisation doit définir et appliquer un processus
d’appréciation des risques SSI qui
a) Gère des critères de risque SSI
b) Assure des résultats cohérents, valides et comparables (à chaque
déploiement)
c) Identifie les risques et leurs propriétaires
d) Analyse les risques (conséquences, vraisemblance d’occurrence et niveau
de risque)
e) Evalue les risques (comparaison aux critères de risque)

OGSBC 2020
7
 6.1.2 Appréciation des risques SSI
a) Critères de risque (selon clauses 4.1 et 4.2 et résultats attendus du SMSI)
⚫ Acceptation (niv. Max. acc., coût/bénef., conséquences finales, approuvés
par le Top Management)
⚫ Vraisemblance et conséquences
⚫ Niveau de risque
b) Méthode
⚫ Suffisamment détaillée pour des résultats complets, comparables et
reproductibles
⚫ Permettant de détecter ses lacunes lors du déploiement
⚫ Objectives (objectiver la perception des acteurs)

OGSBC 2020
8
 6.1.2 Appréciation des risques SSI
c) Identification des risques
⚫ Risque : évènement qui empêche, dégrade ou retarde l’atteinte des objectifs
⚫ Liste suffisamment exhaustive
⚫ Approches habituelles ISO/IEC
27003:2017
⚫ Scénarios: sources génériques (réelles ou anticipées)
⚫ Bien/Menace/Vulnérabilité: comment une menace exploite une vulnérabilité pour créer d es
conséquences.
⚫ Autres possibles si répondent à 6.1.3 b)

d) Analyse des risques

⚫ Conséquences directes et indirectes, opérationnelles et sur les affaires… et vraisemblance
d’occurrence des conséquences
⚫ Techniques qualitatives, quantitatives, semi-quantitatives
⚫ En tenant compte de l’effet des mesures existantes (perception)
⚫ Niveau de risque = importance

OGSBC 2020
9
 6.1.2 Appréciation des risques SSI
e) Evaluation des risques
⚫ Priorisation (urgence et ordre de mise en œuvre)
⚫ Selon le contexte (4.1), les exigences (4.2) et les contraintes
⚫ Disponibilité de solutions
⚫ Coût de la solution ISO/IEC
⚫ Disponibilité des ressources 27003:2017

⚫ Calendriers
⚫ => Liste ordonnée de risques

OGSBC 2020
10
 6.1.3 Traitement des risques SSI
Exigence 10: L’organisation doit définir et appliquer un processus de
traitement des risques SSI qui:
a) Choisit les options appropriées
b) Détermine les mesures de mise en œuvre des options
c) Compare ces mesures avec l’annexe A
d) Produit une Déclaration d’Applicabilité
e) Elabore un plan de traitement
f) Obtient l’approbation des propriétaires des risques

OGSBC 2020
11
 6.1.3 Traitement des risques SSI
a) Options de traitement
⚫ Évitement (cesser l’activité conduisant au risque)
⚫ Augmenter (poursuivre sans traiter pour profiter d’une opportunité d’atteindre
un objectif) peu de sens en SSI
⚫ Modifier (réduire la vraisemblance ou les conséquences)
⚫ Partager (assurance, financement, sous-traitance)
⚫Accepter/Retenir (sans rien faire, selon les critères en 6.1.2 a)
Une option par risque (ou plus)
ISO/IEC
27003:2017

OGSBC 2020
12
 6.1.3 Traitement des risques SSI
b) Détermination des mesures (contrôles)
⚫ Dépend de l’analyse (vraisemblance & conséquences)
⚫ Plusieurs mesures au besoin pour ramener le risque à un niveau acceptable
⚫ Préventives, détectives ou réactives/correctives
⚫ Mesures ‘directes’
⚫ Nécessaires et suffisantes
⚫ Suffisamment ‘larges et profondes’ ISO/IEC
27003:2017
⚫ Efficaces et efficiente (coût justifié)
⚫ Vérifier que la (les) mesure(s) affecte bien le ri sque comme esco mpté
(Répéter l’analyse)

OGSBC 2020
13
 6.1.3 Traitement des risques SSI
c) Comparaison avec l’Annexe A
⚫ Bonnes pratiques génériques et reconnues
⚫ Pour ne rien oublier d’essentiel
⚫ … mais ne pas prendre ce qui ne modifie pas les risque
⚫ … peut être complémentée par d’autres listes

d) Déclaration d’Applicabilité (DdA/SoA) [Tableau]

⚫ Liste de toutes les mesures retenues (6.1.3 a) et b))
⚫ Justification de leur sélection (quels risques sont traités et comment)
⚫ Justification de leur exclusion (Annexe A)
⚫ N on nécessaire, pas applicable ou supplanté par une mes ure ‘directe’
⚫ Etat de mise en œuvre ISO/IEC
27003:2017

OGSBC 2020
14
 6.1.3 Traitement des risques SSI
e) Formuler le plan de traitement des risques
⚫ Par risque
⚫ La (les) option(s)
⚫ Les mesures qui le traitent
⚫ Le statut de mise en œuvre ISO/IEC
27003:2017
⚫ (le gestionnaire du risque)
⚫ (le niveau de risque résiduel attendu)
⚫ Responsabilités et deadlines (6.2)
f) Obtenir l’approbation du propriétaire du risque
⚫ Critères d’acceptation du risque résiduel escompté
⚫ et ‘concessions’ justifiées

OGSBC 2020
15
 6.2 Objectifs et plans SSI
Exigence 11: L’organisation doit établir, aux fonctions et niveaux
concernés, des objectifs de sécurité de l’information qui sont:
a) Cohérents avec la Politique SMSI
b) Mesurables
c) Conformes aux exigences SSI et aux résultats de la GRSI
d) Communiqués aux parties concernées
e) Mis à jour

OGSBC 2020
16
 6.2 Objectifs et plans SSI
Exigence 11: Concernant la réalisation des objectifs, il faut
déterminer:
f) Ce qui sera fait
g) Les ressources nécessaires
h) Les responsabilités
i) Les échéances
j) Le mode d’évaluation des résultats

OGSBC 2020
17
 6.2 Objectifs et plans SSI
⚫ Les Objectifs
⚫ Indicateurs et métrique (opérations et évaluation)
⚫ Limites acceptables et cibles ISO/IEC
27003:2017
⚫ Les Plans
⚫ Mettre en œuvre et améliorer le SM SI (6.1.1 et 8.1)
⚫ Traiter les risques SSI (6.1.3 et 8.1)
⚫ … ceux que l’on considère comme nécessaires pour l’opération et la gestion du
SMSI (formation et sensibilisation du personnel, communication, évaluation
des performances, audits, revue par la direction)

OGSBC 2020
18