Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

1 2 Agenda • Introduction • Module 1 : Gestion des risques de la sécurité des s

1 2 Agenda • Introduction • Module 1 : Gestion des risques de la sécurité des systèmes d’information • Module 2 : Continuité d’activité 2 Chapitre2 • Gestion des risques de la sécurité des systèmes d’information • Continuité d’activité KHEDHIRI kamel, Tunis Janvier 2018 2 3 3 Objectifs du module 1 « Gestion des risques » • Présenter le cadre normatif 1 2 • Présenter le processus de gestion des risques proposé par ISO 27005 4 Objectifs du module 2 « Continuité d’activité » 1 • Présenter le cadre normatif 2 • Présenter le processus pratique de mise en place d’un PCA 3 • Présenter les techniques d’audit d’un PCA 3 6 Agenda • Introduction • Module 1 : Gestion des risques de la sécurité des systèmes d’information  Cadre normatif  Définitions  Processus de gestion des risques proposé par ISO 27005 • Module 2 : Continuité d’activité 4 7 Présentation de l’ISO • L‘ISO est un réseau d'instituts nationaux de normalisation de l'ensemble des pays membres (plus de 160 pays) • Les résultats finaux des travaux de l'ISO sont publiés en tant que normes internationales • Plus de 19000 normes ont été publiées depuis 1947 8 Exemples de normes ISO 5 10 ISO 27005 (1/2) • Norme : Répond surtout au « Pourquoi » et au « Quoi » • Méthodologie : Répond surtout au « Comment faire » • Titre : Technologies de l'information - Techniques de sécurité - Gestion des risques liés à la sécurité de l'information • ISO 27005:2011, Introduction La présente Norme internationale contient des lignes directrices relatives à la gestion des risques en sécurité de l'information dans une organisation, qui viennent notamment en appui des exigences d'un SMSI (système de management de la sécurité de l'information) tel que défini dans l'ISO/CEI 27001. Cependant, la présente Norme internationale ne fournit aucune méthodologie spécifique à la gestion des risques en sécurité de l'information. Il est du ressort de chaque organisation de définir son approche de la gestion des risques, en fonction, par exemple, du périmètre du SMSI, de ce qui existe dans l'organisation dans le domaine de la gestion des risques, ou encore de son secteur industriel. Plusieurs méthodologies existantes peuvent être utilisées en cohérence avec le cadre décrit dans la présente Norme internationale pour appliquer les exigences du SMSI 9 Famille ISO 2700X ISO 27000 Vocabulaire ISO 27001 Exigences SMSI ISO 27006 Exigences organisme de certification ISO 27002 ISO 27003 ISO 27004 ISO 27005 ISO 27007-27008 Bonnes pratiques Guide de mise en œuvre Métriques Gestion des risques Guides d’audit ISO 27011 ISO 27799 ISO 270XX Télécommunications Santé Autres Guides d’industrie Guides généraux Exigences Vocabulaire 6 11 ISO 27005 (2/2) • ISO 27005 :  Cadre de référence normatif (Framework) et non une méthodologie  Elle répond au « Pourquoi » et au « Quoi » de la gestion du risque en sécurité de l'information • Chaque organisation doit choisir une méthodologie d'appréciation du risque adaptée à son contexte 12 ISO 31000 • ISO 31000:2009, Domaine d’application La présente Norme internationale fournit des principes et des lignes directrices générales sur le management du risque. La présente Norme internationale peut être appliquée par tout public, toute entreprise publique ou privée, toute collectivité, toute association, tout groupe ou individu. Par conséquent, la présente Norme internationale n'est pas spécifique à une industrie ou un secteur donné. NOTE Pour plus de facilité, les différents utilisateurs de la présente Norme internationale sont désignés par le terme général d'«organisme». La présente Norme internationale peut être appliquée tout au long de la vie d'un organisme et à une large gamme d'activités, dont les stratégies et les prises de décisions, les activités opérationnelles, les processus, les fonctions, les projets, les produits, les services et les actifs. La présente Norme internationale peut s'appliquer à tout type de risque, quelle que soit sa nature, que ses conséquences soient positives ou négatives. 7 13 Agenda • Introduction • Module 1 : Gestion des risques de la sécurité des systèmes d’information  Cadre normatif  Définitions  Processus de gestion des risques proposé par ISO 27005 • Module 2 : Continuité d’activité 14 Définitions (1/4) • ISO 27005:2011, clause 3.9 Risque : Effet de l’incertitude sur l’atteinte des objectifs NOTE 1 Un effet est un écart, positif et/ou négatif, par rapport à un attendu, positif et/ou négatif. NOTE 2 Les objectifs peuvent avoir différents aspects (par exemple buts financiers, de santé et de sécurité, ou environnementaux) et peuvent concerner différents niveaux (niveau stratégique, niveau d’un projet, d’un produit, d’un processus ou d’une organisation toute entière). NOTE 3 Un risque est souvent caractérisé en référence à des événements (3.3) et des conséquences (3.1) potentiels ou à une combinaison des deux. NOTE 4 Un risque en sécurité de l’information est souvent exprimé en termes de combinaison des conséquences d’un événement de sécurité de l’information et de sa vraisemblance (3.9). NOTE 5 L’incertitude est l’état, même partiel, de défaut d’information concernant la compréhension ou la connaissance d’un événement, de ses conséquences ou de sa vraisemblance. NOTE 6 Le risque en sécurité de l’information est associé à la possibilité que des menaces exploitent les vulnérabilités d’une ressource d’information ou d’un groupe de ressources d’information et portent de ce fait préjudice à l’organisation. 8 15 Définitions (2/4) NOTE 4 Un risque en sécurité de l’information est souvent exprimé en termes de combinaison des conséquences d’un événement de sécurité de l’information et de sa vraisemblance (3.9). Probabilité (occurrence) Conséquence (Impact) Risque 16 Définitions (3/4) NOTE 6 Le risque en sécurité de l’information est associé à la possibilité que des menaces exploitent les vulnérabilités d’une ressource d’information ou d’un groupe de ressources d’information et portent de ce fait préjudice à l’organisation. • Actif : Tout élément ayant de la valeur pour l'organisation et nécessitant, par conséquent, une protection (ISO 27005:2011, cause 8.2.2) • Menace : Cause potentielle d'un incident indésirable pouvant causer des dommages à un système ou une organisation (ISO 27000:2014, clause 2.83) • Vulnérabilité : Faille d'un actif ou d'une mesure de sécurité qui pourrait être exploitée par une menace (ISO 27000:2014, clause 2.89) • Le risque est la conjonction de:  Un actif  Une menace susceptible de faire subir un dommage à cet actif  Une vulnérabilité exploitées par la menace pour faire subir à l’actif ce dommage 9 17 Définitions (4/4) • Exemple  Actif: Un matériel  Menace: Vol / Voleurs  Vulnérabilité: Absence de barreaux aux fenêtres  Risque : Cambriolage par les fenêtres 18 Agenda • Introduction • Module 1 : Gestion des risques de la sécurité des systèmes d’information  Cadre normatif  Définitions  Processus de gestion des risques proposé par ISO 27005 • Module 2 : Continuité d’activité 10 20 19 Processus de management du risque proposé par ISO 27005 Suivi et revue du risque Communication relative aux risques 11 21 Démarche 1 • Sélection d’une approche d’appréciation du risque 2 • Sélection d’une Méthodologie d’appréciation du risque 3 • Détermination des critères d’appréciation du risque 4 • Détermination des niveaux de risque acceptable 22 1. Sélection d’une approche d’appréciation du risque Approche qualitative / Approche quantitative • ISO 27005:2011, clause 8.3.1  L'analyse qualitative des risques utilise une échelle d'attributs qualificatifs pour décrire l'ampleur des conséquences potentielles (par exemple: faible, moyenne et élevée) ainsi que la probabilité de leur occurrence. Un des avantages de l'analyse qualitative est sa facilité de compréhension par l'ensemble du personnel concerné; en revanche un inconvénient est qu'elle dépend du choix subjectif de l'échelle.  L'analyse quantitative des risques utilise une échelle comportant des valeurs numériques (plutôt que les échelles descriptives utilisées lors de l'analyse qualitative des risques), à la fois pour les conséquences et pour la vraisemblance, à l'aide de données obtenues à partir de sources diverses. La qualité de l'analyse dépend de la précision et de l'exhaustivité des valeurs numériques et de la validité des modèles utilisés. Dans la plupart des cas, l'analyse quantitative des risques utilise des données relatives à des incidents expérimentés, l'avantage étant qu'elles peuvent être directement liées aux objectifs et aux préoccupations de l'organisation en matière de sécurité de l'information. L'inconvénient est le manque de ces données sur les nouveaux risques ou les faiblesses de la sécurité de l'information. Un inconvénient de l'approche quantitative est que, lorsque les données factuelles et à même d'être auditées ne sont pas disponibles, une illusion d'utilité et de précision de l'appréciation des risques est créée. 12 23 1. Sélection d’une approche d’appréciation du risque Quantitatif ou Qualitatif ? Quantitatif Qualitatif Recours aux mathématiques Utilise des scénarios de risque Données objectives (chiffrées) Données subjectives S’exprime en unité monétaire S’exprime en échelle graduée Repose sur la capacité des experts à estimer les risques en termes financier Repose sur les perceptions du risque par les parties prenantes 24 2. Sélection d’une méthodologie d’appréciation du risque • La méthodologie d’appréciation du risque doit tenir compte de:  La valeur de l'actif  Les menaces qui pèsent sur l’actif  Les vulnérabilités qui exposent l'actif aux menaces  Les probabilités d'occurrence uploads/Management/chap2gestion-des-risques-de-la-securite-des-systemes-d-x27-information-continuite-dactivite 1 .pdf