ISO 27005 & 31000 - Normes de Gestion Des Risques (Slides 2012 CLUSIR)

Conférence Club SSI du CLUSIR RhA, le 19 janvier 2012
Clusir RhA groupe SSI – ENE 19 janvier 2012
Normes de gestion de risques:

ISO 27005 et ISO 31000
Lionel PRADES / LEXSI
CLUSIF / CLUSIR Rha

Mise en situation: le simple quotidien!
Page 1
CLUSIF / CLUSIR Rha
Enquête mondiale de la Lloyd’s: l’index des risques
L’enquête
• Tous les continents

• Tous les domaines
• Les risques statistiquement les plus redoutés
• L’évolution des 2 dernières années
Le top ten
• Des risques financiers et économiques

• L’entrée fracassante: la pénurie de ressources humaines
• L’autre risque business: la réputation des entreprises
La SSI
• Une belles remontée des cyber attaques en 12e place! 5e en

Amérique du Nord!
Page 2
CLUSIF / CLUSIR Rha
Enquête mondiale de la Lloyd’s: l’index des risques
Page 3
CLUSIF / CLUSIR Rha
Et dans vos organisations?
• Identification d’un Risk Manager?

• Pourquoi? Pourquoi pas?
• A quoi sert-il? Périmètre?
• Relations avec la SSI?
• Un processus de gestion des risques?
• Quels sont les domaines d’application du ou des processus
de gestion des risques?
• Maturité de mise en œuvre? Quel niveau de pilotage?
• Décision et responsabilités? Quel partage?
Page 4
CLUSIF / CLUSIR Rha
Le quotidien
La perception des entreprises par Lloyd’s
La préoccupation dans vos organisations
Le reflet de ces préoccupations dans les normes
Notion de risque et Historique
Présentation, Similitudes et Différences
En pratique:
Les écueils et pièges
Vos REX
Deux illustrations
AGENDA
Page 5
CLUSIF / CLUSIR Rha
Notion de risque
• La crise, les risques: C’est mal!

• Et si c’était bien:
– « Les crises sont des choses qui arrivent régulièrement. Le grand
avantage, c'est qu'en général on en sort renforcé ».
(Jacques Chirac)
• Etymologies de la crise
– Les Chinois et les Japonais utilisent deux idéogrammes pour
l'exprimer : l'un qui désigne « danger » et l'autre « opportunité »
Page 6
CLUSIF / CLUSIR Rha
Notion de risque
• Une nouvelle définition du risque:

– « Effet de l’incertitude sur l’atteinte des objectifs »
– Ecart positif ou négatif, incertitudes
– Eloignement de l’aspect uniquement négatif
• Une approche globalisante

– Le management des risques pour tous les types d’organisations!
Page 7
CLUSIF / CLUSIR Rha
Vue historique: Familles ISO27x et ISO31x
ISO 27000 Vocabulaire 2010
ISO 27001 Exigences du SMSI 2005
ISO 27002 Code de bonnes pratiques 2005
ISO 27003 Guide de mise en œuvre d’un SMSI 2010
ISO 27004 Métriques et mesure 2009
ISO 27005 Gestion des risques 2008
ISO 27006 Certification d’un SMSI 2007
ISO 27007 Audit de SMSI 2010
ISO 27008 Audit des contrôles de sécurité du SMSI 2011
ISO 31000 RM: Principes et lignes directrices 2009
ISO 31010 RM: Techniques d’évaluation 2009
Page 8
CLUSIF / CLUSIR Rha
ISO 31000: Une norme chapeau pour la gestion des risques
Cadre Processus de
Principes
organisationnel gestion
Page 9
CLUSIF / CLUSIR Rha
Les 11 principes dirigeant le management du risque
• Il crée de la valeur et la préserve.

• I lest intégré aux processus organisationnels.
• Il est intégré au processus de prise de décision.
• Il traite explicitement de l'incertitude.
• Il est systématique, structuré et utilisé en temps utile.
• Il s'appuie sur la meilleure information disponible.
• Il est adapté.
• Il intègre les facteurs humains et culturels.
• Il est transparent et participatif.
• Il est dynamique, itératif et réactif au changement.
• Il facilite l'amélioration continue de l'organisme.
Page 10
CLUSIF / CLUSIR Rha
ISO 31000: Le cadre organisationnel
Mandat et
engagement
Conception du
cadre
organisationnel
Amélioration
Mise en œuvre
continue du Processus
du RM
cadre
Surveillance et
revue du cadre
Page 11
CLUSIF / CLUSIR Rha
Schéma du processus de management des risques:
L’analogie évidente entre ISO 27005 et ISO 31000
Page 12
CLUSIF / CLUSIR Rha
Comparaisons succincte des normes
Critère ISO 27005 ISO 31000
Impératif Exigence de conformité Bonnes pratiques

de la démarche pour
certif 27001
Certification Individus seulement Individus (dans un futur

proche?) mais pas des
organisations
Page 13
CLUSIF / CLUSIR Rha
Comparaisons succincte des normes
Critère ISO 27005 ISO 31000
Mise en pratique Cadre adapté à la SSI Tous domaines

Usage
Complexité probable en Exigences plus faibles
analyse détaillée
Méthodes disponibles Proposition d’agrégation
Exemple français EBIOS d’outils
VOIR ISO 31010
Page 14
CLUSIF / CLUSIR Rha
Les apports de l’ISO 31010
• Equivalent méthodologique de l’ISO27005 sur son

périmètre (le processus de management) mais sans
exigence et ouvert à tous les domaines
• Fournit une base très riche et justifiée d’outils à utiliser en

appréciation de risques:
– En considérant leur apport suivant la phase de l’activité
– En considérant les conditions de leur mise en œuvre (ressources et
compétences, incertitude, complexité, quanti)
• Les points durs 27005 / 31000:

– Critères d’impact
– Critères d’évaluation
– Critères d’acceptation
Page 15
CLUSIF / CLUSIR Rha
Le quotidien
La perception des entreprises par Lloyd’s
La préoccupation dans vos organisations
Le reflet de ces préoccupations dans les normes
Notion de risque et Historique
Présentation, Similitudes et Différences
En pratique:
Les écueils et pièges
Vos REX
Deux illustrations
AGENDA
Page 16
CLUSIF / CLUSIR Rha
Ecueils et pièges communs: REX général
• Attention : serpent de mer en vue…

• On ne peut pas s’en sortir sans l’implication des
managers: recul, analyse des impacts
• La validation de la grille de critères d’analyse et
d’évaluation à un haut niveau, et tôt dans la mission, est
essentielle
• Une itération entre identification / estimation /
établissement du contexte n’est pas inutile
• Faire travailler chacun là où sa valeur ajoutée est la plus
grande (traitement du risque)
• Parler au niveau et dans la langue des décideurs
• Tout sauf one shot – Ne s’envisage que dans un
cadre d’amélioration
Page 17
CLUSIF / CLUSIR Rha
REX DISTRIBUTION
• Faits
– Initialisation d’une démarche de gestion des risques dans la DSI
pour intégration au RM Groupe
– Tous les risques sur les activités clients relatifs au périmètre de la
DSI, et sur les activités de la DSI
• Bien
– Mandat projet, Equipe projet motivée et compétente
– Analyse de haut niveau favorisant l’exploration
• Moins bien
– Faible disponibilité des Directions
– Difficulté de comparaison (prio) de risques hétérogènes à l’aide d’un
seul axe de critères  Développement multi-critères
Page 18
CLUSIF / CLUSIR Rha
REX INDUSTRIE
• Faits
– « IT related business risks » pour démarrer une démarche de
gestion des risques
• Bien
– Outillage « traditionnel » simple sans être simpliste
– 3 étages d’analyse pour 3 plans d’action:
• Process et activités métier
• Bonnes pratiques (ecarts ISO 27002)
• Infrastructures (mapping process to assets, definition de
criticité, et de mesures)
• Bonne participation des Directions (Entreprise opérationnelle,
secteur de pointe)
• Pas bien
– Maintenance de l’outillage
Page 19
CLUSIF / CLUSIR Rha
Références
• Risk index 2011, Lloyd’s
• Définitions de l’ISO 73:2009, schéma

ISO31000:2009
• Points de vue de Guy Mottet, membre du
groupe ISO en charge de l’ISO 31000
• Autres images libres de droits
Page 20
CLUSIF / CLUSIR Rha

ISO 27005 & 31000 - Normes de Gestion Des Risques (Slides 2012 CLUSIR)

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

ISO 27005 & 31000 - Normes de Gestion Des Risques (Slides 2012 CLUSIR)

Transféré par

Droits d'auteur :

Formats disponibles

Conférence Club SSI du CLUSIR RhA, le 19 janvier 2012

Clusir RhA groupe SSI – ENE 19 janvier 2012

Normes de gestion de risques:

Lionel PRADES / LEXSI

CLUSIF / CLUSIR Rha

Mise en situation: le simple quotidien!

Enquête mondiale de la Lloyd’s: l’index des risques

• Tous les continents

• Des risques financiers et économiques

• Une belles remontée des cyber attaques en 12e place! 5e en

Enquête mondiale de la Lloyd’s: l’index des risques

Et dans vos organisations?

• Identification d’un Risk Manager?

• La crise, les risques: C’est mal!

• Une nouvelle définition du risque:

• Une approche globalisante

Vue historique: Familles ISO27x et ISO31x

ISO 27000 Vocabulaire 2010

ISO 27001 Exigences du SMSI 2005

ISO 27002 Code de bonnes pratiques 2005

ISO 27003 Guide de mise en œuvre d’un SMSI 2010

ISO 27004 Métriques et mesure 2009

ISO 27005 Gestion des risques 2008

ISO 27006 Certification d’un SMSI 2007

ISO 27007 Audit de SMSI 2010

ISO 27008 Audit des contrôles de sécurité du SMSI 2011

ISO 31000 RM: Principes et lignes directrices 2009

ISO 31010 RM: Techniques d’évaluation 2009

ISO 31000: Une norme chapeau pour la gestion des risques

Les 11 principes dirigeant le management du risque

• Il crée de la valeur et la préserve.

ISO 31000: Le cadre organisationnel

Comparaisons succincte des normes

Critère ISO 27005 ISO 31000

Impératif Exigence de conformité Bonnes pratiques

Certification Individus seulement Individus (dans un futur

Comparaisons succincte des normes

Critère ISO 27005 ISO 31000

Mise en pratique Cadre adapté à la SSI Tous domaines

Les apports de l’ISO 31010

• Equivalent méthodologique de l’ISO27005 sur son

• Fournit une base très riche et justifiée d’outils à utiliser en

• Les points durs 27005 / 31000:

Ecueils et pièges communs: REX général

• Attention : serpent de mer en vue…

• Risk index 2011, Lloyd’s

• Définitions de l’ISO 73:2009, schéma

• Autres images libres de droits

Vous aimerez peut-être aussi