Académique Documents
Professionnel Documents
Culture Documents
Clause 6
ISO/IEC 27001 Clause 6
1. Actions liées aux risques et aux opportunités
OGSBC 2020
3
6.1.1 Généralités
Exigence 8: Lorsqu’elle conçoit son SMSI, l’organisation doit tenir compte des enjeux
(4.1) et des exigences (4.2,) et déterminer les risques et opportunités pour:
a) Être sûr que le SMSI peut atteindre les objectifs fixés
b) Limiter les effets indésirables
c) Appliquer la démarche d’amélioration continue.
Elle doit planifier
d) Les actions pour traiter les risques et opportunités
e) La manière
⚫ De les mettre en œuvre au sein du SMSI
⚫ D’évaluer leur efficacité.
OGSBC 2020
4
6.1.1 Généralités
Dans le domaine d’application du SMSI ISO/IEC
27003:2017
⚫ Préparer ce qui est nécessaire pour le succès
⚫ Risques SSI traités à un niveau acceptable (contrôles)
⚫ Traiter les risques liés à un résultat non désiré (GRSI)
⚫ Assurer l’amélioration continue (Management)
⚫ S’aligner avec les autres M.S. en place
OGSBC 2020
5
6.1.1 Généralités
⚫ Planifier: = gestion de projet
⚫ Plan de mise en œuvre
⚫ ‘Distiller’ les ressources aux temps et lieux opportuns
⚫ Evaluer l’efficacité
⚫ Corriger la trajectoire au besoin.
OGSBC 2020
6
6.1.2 Appréciation des risques SSI
Exigence 9: L’organisation doit définir et appliquer un processus
d’appréciation des risques SSI qui
a) Gère des critères de risque SSI
b) Assure des résultats cohérents, valides et comparables (à chaque
déploiement)
c) Identifie les risques et leurs propriétaires
d) Analyse les risques (conséquences, vraisemblance d’occurrence et niveau
de risque)
e) Evalue les risques (comparaison aux critères de risque)
OGSBC 2020
7
6.1.2 Appréciation des risques SSI
a) Critères de risque (selon clauses 4.1 et 4.2 et résultats attendus du SMSI)
⚫ Acceptation (niv. Max. acc., coût/bénef., conséquences finales, approuvés
par le Top Management)
⚫ Vraisemblance et conséquences
⚫ Niveau de risque
b) Méthode
⚫ Suffisamment détaillée pour des résultats complets, comparables et
reproductibles
⚫ Permettant de détecter ses lacunes lors du déploiement
⚫ Objectives (objectiver la perception des acteurs)
OGSBC 2020
8
6.1.2 Appréciation des risques SSI
c) Identification des risques
⚫ Risque : évènement qui empêche, dégrade ou retarde l’atteinte des objectifs
⚫ Liste suffisamment exhaustive
⚫ Approches habituelles ISO/IEC
27003:2017
⚫ Scénarios: sources génériques (réelles ou anticipées)
⚫ Bien/Menace/Vulnérabilité: comment une menace exploite une vulnérabilité pour créer d es
conséquences.
⚫ Autres possibles si répondent à 6.1.3 b)
OGSBC 2020
9
6.1.2 Appréciation des risques SSI
e) Evaluation des risques
⚫ Priorisation (urgence et ordre de mise en œuvre)
⚫ Selon le contexte (4.1), les exigences (4.2) et les contraintes
⚫ Disponibilité de solutions
⚫ Coût de la solution ISO/IEC
⚫ Disponibilité des ressources 27003:2017
⚫ Calendriers
⚫ => Liste ordonnée de risques
OGSBC 2020
10
6.1.3 Traitement des risques SSI
Exigence 10: L’organisation doit définir et appliquer un processus de
traitement des risques SSI qui:
a) Choisit les options appropriées
b) Détermine les mesures de mise en œuvre des options
c) Compare ces mesures avec l’annexe A
d) Produit une Déclaration d’Applicabilité
e) Elabore un plan de traitement
f) Obtient l’approbation des propriétaires des risques
OGSBC 2020
11
6.1.3 Traitement des risques SSI
a) Options de traitement
⚫ Évitement (cesser l’activité conduisant au risque)
⚫ Augmenter (poursuivre sans traiter pour profiter d’une opportunité d’atteindre
un objectif) peu de sens en SSI
⚫ Modifier (réduire la vraisemblance ou les conséquences)
⚫ Partager (assurance, financement, sous-traitance)
⚫Accepter/Retenir (sans rien faire, selon les critères en 6.1.2 a)
Une option par risque (ou plus)
ISO/IEC
27003:2017
OGSBC 2020
12
6.1.3 Traitement des risques SSI
b) Détermination des mesures (contrôles)
⚫ Dépend de l’analyse (vraisemblance & conséquences)
⚫ Plusieurs mesures au besoin pour ramener le risque à un niveau acceptable
⚫ Préventives, détectives ou réactives/correctives
⚫ Mesures ‘directes’
⚫ Nécessaires et suffisantes
⚫ Suffisamment ‘larges et profondes’ ISO/IEC
27003:2017
⚫ Efficaces et efficiente (coût justifié)
⚫ Vérifier que la (les) mesure(s) affecte bien le ri sque comme esco mpté
(Répéter l’analyse)
OGSBC 2020
13
6.1.3 Traitement des risques SSI
c) Comparaison avec l’Annexe A
⚫ Bonnes pratiques génériques et reconnues
⚫ Pour ne rien oublier d’essentiel
⚫ … mais ne pas prendre ce qui ne modifie pas les risque
⚫ … peut être complémentée par d’autres listes
OGSBC 2020
14
6.1.3 Traitement des risques SSI
e) Formuler le plan de traitement des risques
⚫ Par risque
⚫ La (les) option(s)
⚫ Les mesures qui le traitent
⚫ Le statut de mise en œuvre ISO/IEC
27003:2017
⚫ (le gestionnaire du risque)
⚫ (le niveau de risque résiduel attendu)
⚫ Responsabilités et deadlines (6.2)
f) Obtenir l’approbation du propriétaire du risque
⚫ Critères d’acceptation du risque résiduel escompté
⚫ et ‘concessions’ justifiées
OGSBC 2020
15
6.2 Objectifs et plans SSI
Exigence 11: L’organisation doit établir, aux fonctions et niveaux
concernés, des objectifs de sécurité de l’information qui sont:
a) Cohérents avec la Politique SMSI
b) Mesurables
c) Conformes aux exigences SSI et aux résultats de la GRSI
d) Communiqués aux parties concernées
e) Mis à jour
OGSBC 2020
16
6.2 Objectifs et plans SSI
Exigence 11: Concernant la réalisation des objectifs, il faut
déterminer:
f) Ce qui sera fait
g) Les ressources nécessaires
h) Les responsabilités
i) Les échéances
j) Le mode d’évaluation des résultats
OGSBC 2020
17
6.2 Objectifs et plans SSI
⚫ Les Objectifs
⚫ Indicateurs et métrique (opérations et évaluation)
⚫ Limites acceptables et cibles ISO/IEC
27003:2017
⚫ Les Plans
⚫ Mettre en œuvre et améliorer le SM SI (6.1.1 et 8.1)
⚫ Traiter les risques SSI (6.1.3 et 8.1)
⚫ … ceux que l’on considère comme nécessaires pour l’opération et la gestion du
SMSI (formation et sensibilisation du personnel, communication, évaluation
des performances, audits, revue par la direction)
OGSBC 2020
18