Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

A N N E L U P F E R Préface de Hervé Schauer Gestion des risques ensécurité de

A N N E L U P F E R Préface de Hervé Schauer Gestion des risques ensécurité de l’information Mise en œuvre de la norme ISO 27005 © Groupe Eyrolles, 2008, 2010, ISBN : 978-2-212-12593-1 V Préface La norme ISO 27001 permet d’organiser sereinement la sécurité de son système d’information sous forme d’un système de management de la sécurité de l’infor- mation (SMSI). Cette norme ISO 27001 impose une approche par la gestion des risques, et l’obligation de réaliser une appréciation des risques est une caracté- ristique fondamentale, en opposition avec les approches conformité. L’ISO 27001 précise en un peu plus d’une page ce que doit obligatoirement com- porter une gestion des risques en sécurité de l’information. C’était un peu léger et la norme ISO 27005 est venue combler ce manque en détail, tout en allant plus loin, car l’ISO 27005 s’applique non seulement aux SMSI mais à tout type de situation, de manière autonome, tel un système embarqué, par exemple. De nombreuses méthodologies avaient été développées tant en France qu’ailleurs, et désormais l’ISO 27005 propose une méthode structurée et norma- lisée, une approche qui se déﬁnit elle-même dans la norme comme systémati- que, c’est-à-dire une approche répétable, que l’on peut apprendre par une procédure pas à pas. L’ISO 27005 est simple à comprendre – il n’y a aucune notion très complexe, elle utilise un vocabulaire conforme au langage courant et cohérent de bout en bout –, elle est pragmatique et accessible à tout type d’organisme, adaptée à la réalité complexe des sociétés actuelles, et permet de produire un travail exploitable et utile rapidement sans aucune étape irréalisa- ble, même si la précédente n’est pas terminée. La gestion des risques en sécurité de l’information est une approche courante en France, mais pas partout dans le monde. Aux États-Unis, par exemple, il est plus courant de voir une gestion des risques opérationnels d’un côté et une ges- tion des risques purement informatiques de la DSI de l’autre (exemple : RiskIT), et moins une approche globale sécurité de l’information gérée par le RSSI (res- ponsable de la sécurité des systèmes d’information). La méthode ISO 27005 devrait permettre une meilleure compréhension à travers le monde. L’ISO 27005 a fait des choix structurants, comme l’approche par scénario d’incidents, qui la rendent facilement accessibles à ceux qui utilisaient des méthodes françaises comme Mehari ou Ebios, alors que la norme américaine NIST SP 800-30 n’avait pas cette caractéristique. L’ISO 27005 apporte une nouveauté fondamentale par rapport aux méthodes qui l’ont précédées : la gestion des risques dans la durée, dans le temps. Il ne s’agit plus de gérer les risques en y travaillant dur quelques semaines, puis en recom- Gestion des risques en sécurité de l’information VI mençant son travail quelques années plus tard, mais de gérer les risques en sécurité de l’information au quotidien. Ce changement majeur est imposé par l’approche continue de l’ISO 27001, mais il représente le principal changement par rapport aux méthodes antérieures. L’ISO 27005 est également la première méthode qui impose à la direction géné- rale d’être parfaitement informée, et lui impose de prendre ses responsabilités en toute connaissance de cause, ce qui clariﬁe les responsabilités et facilite les arbitrages budgétaires. L’ISO 27005 est une norme dont l’élaboration a imposé de nombreux brouillons successifs pour obtenir un consensus international. Anne Lupfer m’a suivi et m’a accompagné dans mes lectures et commentaires de ces brouillons au sein de la normalisation. Anne Lupfer est entrée chez HSC avec une expérience de gestion des risques dans l’assurance. Elle a créé la formation à la gestion des risques en sécurité chez HSC et a été l’une des premières à mettre en œuvre concrètement la méthode ISO 27005 en clientèle. C’est à la fois son expérience sur le terrain et ses échanges avec les stagiaires que nous avons eu le plaisir de préparer à la certiﬁcation « ISO 27005 Risk Manager » que vous retrouverez dans cet ouvrage. Et comme toutes les normes, l’ISO 27005 est peu didactique, payante de surcroît, et vendue plus chère que ce livre qui offre en plus une partie entière d’exemples concrets. Hervé Schauer VII Table des matières Avant-propos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 À qui s’adresse cet ouvrage ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 Structure de l’ouvrage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 À propos de l’auteur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 Remerciements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 Partie I – La norme ISO 27005 Chapitre 1 – Une norme bien particulière . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 La gestion des risques en sécurité de l’information : un processus perpétuel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 Une amélioration continue dans la maîtrise des risques . . . . . . . . . . . . . 8 De la flexibilité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 Un processus qui se répète . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 Chapitre 2 – Présentation générale . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 Chapitre 3 – Définitions préalables . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 Le point de départ de la gestion des risques : l’actif . . . . . . . . . . . . . . . . 19 Les actifs impalpables : les actifs primordiaux . . . . . . . . . . . . . . . . . . . . . . . . 19 Les actifs physiques : les actifs en support . . . . . . . . . . . . . . . . . . . . . . . . . . . 20 Le responsable de l’actif : son propriétaire . . . . . . . . . . . . . . . . . . . . . . . 21 La motivation de la gestion des risques : menace et vulnérabilité . . . . 21 L’actif, la cible de la menace . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 La faiblesse de l’actif : la vulnérabilité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . uploads/Management/ important-iso.pdf