Terjemahan ISO / IEC 27005 bahasa IndonesiaDeskripsi lengkap
Descripción completa
Chapitre 3 Méthode de management des risques Norme ISO 27005
M2-SSICE Hichem BEN ISHAK
Norme ISO 27005
Norme 27005 Information technology Security techniques Information security risk management —
ISO
27005 - Définition
ISO
27005 - Méthode
Norme ISO 27005
Norme 27005 Information technology Security techniques Information security risk management —
ISO
27005 - Définition
ISO
27005 - Méthode
Norme ISO 27005
L'ISO (Organisation internationale de normalisation) a publié, le 4 juin 2008, la première norme de gestion des risques de la Sécurité des Systèmes d'Information : l'ISO/CEI 27005:2008. Cette norme est un standard international qui décrit le Système de Management des risques liés à la Sécurité de l'information Elle a été révisée le 19 mai 2011.
Norme ISO 27005
Le risque de sécurité de l’ information La potentialité qu'une menace donnée exploite les vulnérabilités d'un actif ou d'un groupe d'actifs et cause ainsi des désagréments à l’ organisme
Norme ISO 27005
Les trois composantes du risque 1. 2. 3.
Les actifs Les vulnérabilités Les menaces
Norme ISO 27005 - Actifs
Actifs primordiaux Processus et Activité Information Actifs en supports Matériel Logiciel, OS Réseau Personnel Communication Energies
Norme ISO 27005 - Vulnérabilités
Propriété intrinsèque de l actif ’
Les actifs possèdent des vulnérabilités Elle est exploitée (ou pas !)
Norme ISO 27005 - Menaces
Action ou événement ayant une conséquence négative
Origine Motivation (humaine) Ciblent le CIA
Norme ISO 27005 - Risque de sécurité
?
Cible
Actif Possède
Menace exploite
Vulnérabilité
Conséquences négatives
C I
A
Norme ISO 27005 - Risque de sécurité
Jeu de Go
Norme 27005
Norme ISO 27005 Méthode
Norme ISO 27005
Exigences imposées
Processus continu Approche systématique Alignement sur la gestion du risque en général Permettre résultats comparables et reproductibles
Processus de gestion du risque
Etablissement du contexte APPRECIATION DU RISQUE ANALYSE DU RISQUE
Identification du risque Estimation du risque Evaluation du risque Non
Décision : Appréciation satisfaisante Oui
Traitement du risque Non
Décision : Traitement satisfaisant Oui
Acceptation du risque
Processus de gestion du risque
ACT Maintien et amélioration du processus de gestion des risques
CHECK Surveillance continue Réexamen des risques
PLAN Etablissement du contexte Appréciation des risques Plan de traitement du risque Acceptation du risque
DO Implémentation du plan de traitement du risque
Processus de gestion du risque
Etablissement du contexte APPRECIATION DU RISQUE ANALYSE DU RISQUE
Identification du risque Estimation du risque Evaluation du risque Non
Décision : Appréciation satisfaisante Oui
Traitement du risque Non
Décision : Traitement satisfaisant Oui
Acceptation du risque
Etablissement du contexte
• Définir
le périmètre
• Définir • • • •
les critères de base Critères d impact Critères d évaluation des risques Critères d acceptation des risques Critères de valorisation des actifs
• Echelle
’
’
’
d estimation ’
Processus de gestion du risque
Etablissement du contexte APPRECIATION DU RISQUE ANALYSE DU RISQUE
Identification du risque Estimation du risque Evaluation du risque Non
Décision : Appréciation satisfaisante Oui
Traitement du risque Non
Décision : Traitement satisfaisant Oui
Acceptation du risque
Identification du risque Appréciation du risque Ensemble du processus d analyse du risque et d’ évaluation du risque • Identification du risque • Estimation du risque • Evaluation du risque ’
Analyse du risque Utilisation systématique d informations pour identifier les sources et pour estimer le risque • Estimation du risque • Evaluation du risque ’
primordiaux • Actifs en support Valoriser les actifs suivant l’ échelle de valorisation Livrable : liste des actifs avec leur propriétaire et leur valeur
Identification du risque
Un exemple pour illustrer
Un Organisme de formation ayant pour activité Créer les supports de cours Donner les formations 2 salariés : le formateur et un assistant Formation sur la norme ISO 27005
Identification du risque - actif
Liste des actifs Description
Nature
Propriétaire
Actifs Primordiaux AP - 1
Processus de formation
Processus
Formateur
AP - 2
Processus de création du contenu
Processus
Formateur
AP - 3
Cours - Contenu
Information
Assistant
Assistant
Actifs en Support AS - 1
Salle de Formation
Site
AS - 2
Vidéo Projecteur
Matériel
Assistant
AS - 3
Ordinateur
Matériel
Assistant
AS - 4
Formateur
Personnel
Formateur
AS - 5
Norme 2005
Matériel
Formateur
AS - 6
Norme 2001 & 2002
Matériel
Formateur
AS - 7
Microsoft PowerPoint
Logiciel
Assistant
AS - 8
Cours - Format numérique
Logiciel
Assistant
Identification du risque - actif
Echelle de valorisation des actifs Valeur
Signification
Coût achat
Faible 1
Faible
2
Moyen
3
Elevé
4
Très élevé
moyen
délai remplacement
élevé
X
jour
semaine
> semaine
X X -
X -
aucune
faible
forte
X
X -
Compétence
X X
-
-
-
X
Identification du risque - actif Liste des actifs valorisés Description
Nature
Propriétaire Valeur
Actifs Primordiaux Primordiaux AP - 1
Processus de formation
Processus
Formateur
4
AP - 2
Processus de création du contenu
Processus
Formateur
3
AP - 3
Cours - Contenu
Information
Assistant
4
Site
Assistant
3
Actifs en Support AS - 1
Salle de Formation
AS - 2 Vidéo Projecteur
Matériel
Assistant
2
AS - 3
Ordinateur
Matériel
Assistant
2
AS - 4
Formateur
Personnel
Formateur
4
AS - 5
Norme 2005
Matériel
Formateur
1
AS - 6
Norme 2001 & 2002 2002
Matériel
Formateur
1
AS - 7
Microsoft PowerPoint
Logiciel
Assistant
1
AS - 8
Cours - Format Format numérique
Logiciel
Assistant
3
AS - 9
Assistant
Personnel Personnel
Assistant
3
Identification du risque - actif Liste des actifs retenus Description
Nature
Propriétaire Valeur
Retenu
Actifs Primordiaux AP - 1
Processus de formation
Processus
Formateur
4
AP - 2
Processus de création du contenu
Processus
Formateur
3
AP - 3
Cours - Contenu
Information
Assistant
4
Site
Assistant
3
OUI OUI
Actifs en Support AS - 1
Salle de Formation
AS - 2 Vidéo Projecteur
Matériel
Assistant
2
AS - 3
Ordinateur
Matériel
Assistant
2
OUI
AS - 4
Formateur
Personnel
Formateur
4
OUI
AS - 5
Norme 2005
Matériel
Formateur
1
AS - 6
Norme 2001 & 2002 2002
Matériel
Formateur
1
AS - 7
Microsoft PowerPoint
Logiciel
Assistant
1
AS - 8
Cours - Format numérique
Logiciel
Assistant
3
AS - 9
Assistant
Personnel Personnel
Assistant
3
OUI
Identification du risque - menace
Toutes les menaces • Accidentelles • Délibérées Par type, source, cible Méthode • Interview • Expérience • Annexe C de la norme 43 menaces
Livrable : liste des menaces
Identification du risque - menace Liste des actifs Description
Nature
Propriétaire Valeur
Retenu
Menace
Actifs Primordiaux AP - 1
Processus de formation
Processus
Formateur
4
AP - 2
Processus de création du contenu
Processus
Formateur
3
AP - 3
Cours - Contenu
Information
Assistant
4
Site
Assistant
3
OUI OUI
Actifs en Support AS - 1
Salle de Formation
AS - 2 Vidéo Projecteur
Matériel
Assistant
2
AS - 3
Matériel
Assistant
2
Ordinateur
OUI
Vol Panne
AS - 4
Formateur
Personnel
Formateur
4
OUI
Maladie Démission
AS - 5
Norme 2005
Matériel
Formateur
1
AS - 6
Norme 2001 & 2002
Matériel
Formateur
1
AS - 7
Microsoft PowerPoint
Logiciel
Assistant
1
AS - 8
Cours - Format numérique
Logiciel
Assistant
3
AS - 9
Assistant
Personnel
Assistant
3
Destruction
Identification du risque - vulnérabilité
Méthode Catalogue ISO 27005 Annexe D Audit Contrôle Interne Interview Expérience Autre méthode : EBIOS, … Livrable : liste des vulnérabilités
Identification du risque - vulnérabilité Liste des actifs Description
Nature
Propriétaire
Valeur
Retenu
OUI
Menace
Vulnérabilité
Actifs Primordiaux AP - 1
Processus de formation
Processus
Formateur
4
AP - 2
Processus de création du contenu
Processus
Formateur
3
AP - 3
Cours - Contenu
Information
Assistant
4
Site
Assistant
3
Matériel
Assistant
2
Matériel
Assistant
2
OUI
Actifs en Support AS - 1 AS - 2 AS - 3
Salle de Formation Vidéo Projecteur
Ordinateur
OUI
Vol Panne
AS - 4
Formateur
Personnel
Formateur
4
OUI
Maladie Démission
AS - 5
Norme 2005
Matériel
Formateur
1
AS - 6
Norme 2001 & 2002
Matériel
Formateur
1
AS - 7
Microsoft PowerPoint
Logiciel
Assistant
1
AS - 8
Cours - Format numérique
Logiciel
Assistant
3
AS - 9
Assistant
Personnel
Assistant
3
Destruction
Portabilité Alimentation élec.
Manque de prévenance
Ambition
Support numérique
Identification du risque - scénario Identification des conséquences
Identifier les impacts sur CIA Confidentialité, Intégrité, Disponibilité ( Availability) Identifier les conséquences causées par des menaces exploitant les vulnérabilités des actifs. Impact mesuré suivant les critères d’ impact
Identification du risque Identification des conséquences Pour une bonne communication et compréhension Scénario d’ incident Tableau de synthèse : scénario d’ incident Actifs impactés Conséquence de l occurrence ’
Livrable : liste des scenarios d’ incidents avec leur conséquence
Identification du risque N Scénario d'incident
1
2
3
4
5
6
Vol de l'ordinateur du à sa portabilité
Destruction de l'ordinateur du à sa portabilité
L'ordinateur ne s'allume - décharge totale des batteries
Connexion frauduleuse altération du support de cours
Connexion frauduleuse vol du support par la concurrence
Formateur contracte la grippe
Actif impacté
C
I
A
Som me
M a x
Conséquence
AP - 1
Processus de formation
3
1
2
6
Perte financière modérée
AP -2
Processus de création du contenu
1
1
2
4
Perte d'image très importante
AP -3
Cours - Contenu
3
3
2
8
AS - 3
Ordinateur
3
3
2
8
AS - 8
Cours - Format numérique
3
3
2
8
AP - 1
Processus de formation
1
2
2
5
AP -2
Processus de création du contenu
1
2
2
5
AP -3
Cours - Contenu
1
2
2
5
AS - 3
Ordinateur
1
3
2
6
AS - 8
Cours - Format numérique
1
3
2
6
AP -1
Processus de formation
1
1
3
5
AP -2
Processus de création du contenu
1
1
2
4
AS - 3
Ordinateur
1
1
2
4
Perte de productivité nulle
AP - 1
Processus de formation
2
3
2
7
Perte financière nulle
AP - 3
Cours - Contenu
1
3
2
6
AS - 8
Cours - Format numérique
1
3
2
6
Perte de productivité modérée
AP -1
Processus de formation
3
1
2
6
Perte financière modérée
AP -3
Cours - Contenu
3
1
2
6
AS - 8
Cours - Format numérique
3
1
1
5
AP - 1
Processus de formation
1
1
3
5
AS - 4
Formateur
1
1
3
5
8
Perte de productivité modérée
Perte financière modérée Perte d'image nulle 6
Perte de productivité modérée
Perte financière nulle 5
6
6
Perte d'image nulle
Perte d'image très importante
Perte d'image très importante Perte de productivité modérée
5
Perte financière modérée Perte d'image nulle Perte de productivité modérée
7
Le formateur est approché par la concurrence et démissionne
AP - 1
Processus de formation
3
1
3
7
AS - 4
Formateur
1
1
3
5
Perte financière importante 7
Perte d'image très importante Perte de productivité modérée
Identification du risque - mesures existantes Identification les mesures de sécurité existantes Revue du plan de traitement du risque déjà en œuvre • Vérification de l efficacité des mesures • Audit, contrôle interne, indicateurs • Interview du SI • Vérification sur le terrain • Le SOA, source d informations •Statement of applicatibility •Déclaration d applicatibilité •
’
’
’
Identification du risque - mesures existantes N Scénario d'incident
1
2
3
4
5
6
Vol de l'ordinateur du à sa portabilité
Destruction de l'ordinateur du à sa portabilité
L'ordinateur ne s'allume - décharge totale des batteries
Connexion frauduleuse altération du support de cours
Connexion frauduleuse vol du support par la concurrence
Formateur contracte la grippe
Actif impacté
C
I
A
Som me
M a x
Conséquence Perte financière modérée
AP - 1
Processus de formation
3
1
2
6
AP -2
Processus de création du contenu
1
1
2
4
AP -3
Cours - Contenu
3
3
2
8
AS - 3
Ordinateur
3
3
2
8
AS - 8
Cours - Format numérique
3
3
2
8
AP - 1
Processus de formation
1
2
2
5
AP -2
Processus de création du contenu
1
2
2
5
AP -3
Cours - Contenu
1
2
2
5
AS - 3
Ordinateur
1
3
2
6
AS - 8
Cours - Format numérique
1
3
2
6
AP -1
Processus de formation
1
1
3
5
AP -2
Processus de création du contenu
1
1
2
4
AS - 3
Ordinateur
1
1
2
4
Perte de productivité nulle
AP -1
Processus de formation
2
3
2
7
Perte financière nulle
AP -3
Cours - Contenu
1
3
2
6
AS -8
Cours - Format numérique
1
3
2
6
Perte de productivité modérée
AP -1
Processus de formation
3
1
2
6
Perte financière modérée
AP -3
Cours - Contenu
3
1
2
6
AS - 8
Cours - Format numérique
3
1
1
5
AP - 1
Processus de formation
1
1
3
5
AS - 4
Formateur
1
1
3
5
Perte d'image très importante 8
Perte de productivité modérée
Perte financière modérée Perte d'image nulle 6
Perte de productivité modérée
Perte financière nulle 5
6
6
Perte d'image nulle
Perte d'image très importante
Perte d'image très importante Perte de productivité modérée
5
Perte financière modérée Perte d'image nulle Perte de productivité modérée
7
Le formateur est approché par la concurrence et démissionne
AP - 1
Processus de formation
3
1
3
7
AS - 4
Formateur
1
1
3
5
Mes. Séc.
Perte financière importante 7
Perte d'image très importante Perte de productivité modérée
identifiant mot de passe
identifiant mot de passe
Processus de gestion du risque
Etablissement du contexte APPRECIATION DU RISQUE ANALYSE DU RISQUE
Identification du risque Estimation du risque Evaluation du risque Non
Décision : Appréciation satisfaisante Oui
Traitement du risque Non
Décision : Traitement satisfaisant Oui
Acceptation du risque
Estimation du risque
Méthode d estimation des risques ’
• •
Qualitative Quantitative
Estimation du risque Qualitative Echelle de valeur : appréciation Faible, moyen, élevé Cout difficilement mesurable perte de part de marché, de confiance des clients, d’ image de marque Facile à comprendre mais subjectif Quantitative Echelle de valeur numérique. Coûts mesurables : coût d achat, de maintenance, perte de CA ’
Livrable : liste des scenarios d’ incidents avec leur conséquence
Estimation du risque - conséquences Valeur
N.
1
2
3
4
5
6
7
Scénario d'incident
Vol de l'ordinateur du à sa portabilité
Destruction de l'ordinateur du à sa portabilité
L'ordinateur ne s'allume - décharge totale des batteries
Connexion frauduleuse altération du support de cours
Connexion frauduleuse vol du support par la concurrence
Formateur contracte la grippe
Le formateur est approché par la concurrence et démissionne
Actif impacté
C
I
A
Somme
AP - 1
Processus de formation
3
1
2
6
Perte financière modérée
2
AP -2
Processus de création du contenu
1
1
2
4
Perte d'image très importante
3
AP -3
Cours - Contenu
3
3
2
8
Perte de productivité modérée
2
AS - 3
Ordinateur
3
3
2
8
AS - 8
Cours - Format numérique
3
3
2
8
AP - 1
Processus de formation
1
2
2
5
Perte financière modérée
2
AP -2
Processus de création du contenu
1
2
2
5
Perte d'image nulle
1
Perte de productivité modérée
2
Perte financière nulle
1
Perte d'image nulle
1 1
AP -3
Cours - Contenu
1
2
2
5
AS - 3
Ordinateur
1
3
2
6
AS - 8
Cours - Format numérique
1
3
2
6
AP - 1
Processus de formation
1
1
3
5
AP - 2
Processus de création du contenu
1
1
2
4
Max
8
6
5
Conséquence
AS - 3
Ordinateur
1
1
2
4
Perte de productivité nulle
AP -1
Processus de formation
2
3
2
7
Perte financière nulle
AP -3
Cours - Contenu
1
3
2
6
AS -8
Cours - Format numérique
1
3
2
6
Perte de productivité modérée
AP -1
Processus de formation
3
1
2
6
Perte financière modérée
AP -3
Cours - Contenu
3
1
2
6
AS -8
Cours - Format numérique
3
1
1
5
AP - 1
Processus de formation
1
1
3
5
AS - 4
Formateur
1
1
3
5
AP - 1
Processus de formation
3
1
3
7
AS - 4
Formateur
1
1
3
5
6
6
5
7
Perte d'image très importante
Perte d'image très importante
Mesure sécurité
Conséquenc e
1 identifiant / mot de passe
3 2 2
identifiant / mot de passe
3
Perte de productivité modérée
2
Perte financière modérée
2
Perte d'image nulle
1
Perte de productivité modérée
2
Perte financière importante
3
Perte d'image très importante
3
Perte de productivité modérée
2
Estimation du risque - vraisemblance
Estimation de la vraisemblance des scénarios Echelle quantitative de 1 à N 1 peu probable Méthode Entretien avec les métiers Expérience Bon sens
Estimation du risque - vraisemblance Valeur
N.
1
2
3
4
5
6
7
Scénario d'incident
Vol de l'ordinateur du à sa portabilité
Destruction de l'ordinateur du à sa portabilité
L'ordinateur ne s'allume - décharge totale des batteries
Connexion frauduleuse altération du support de cours
Connexion frauduleuse vol du support par la concurrence
Formateur contracte la grippe
Le formateur est approché par la concurrence et démissionne
Actif impacté
C
I
A
Somme
Max
Conséquence
Mes. Séc.
Perte financière modérée
Conséquenc e
AP - 1
Processus de formation
3
1
2
6
AP - 2
Processus de création du contenu
1
1
2
4
Perte d'image très importante
3
AP - 3
Cours - Contenu
3
3
2
8
8
Perte de productivité modérée
2
AS - 3
Ordinateur
3
3
2
8
AS - 8
Cours - Format numérique
3
3
2
8
AP - 1
Processus de formation
1
2
2
5
Perte financière modérée
2
AP - 2
Processus de création du contenu
1
2
2
5
Perte d'image nulle
1
AP - 3
Cours - Contenu
1
2
2
5
6
2
AS - 3
Ordinateur
1
3
2
6
AS - 8
Cours - Format numérique
1
3
2
6
AP - 1
Processus de formation
1
1
3
5
AP - 2
Processus de création du contenu
1
1
2
4
AS - 3
Ordinateur
1
1
2
4
AP - 1
Processus de formation
2
3
2
7
AP - 3
Cours - Contenu
1
3
2
6
AS - 8
Cours - Format numérique
1
3
2
6
Perte de productivité modérée
AP - 1
Processus de formation
3
1
2
6
Perte financière modérée
AP - 3
Cours - Contenu
3
1
2
6
5
6
2
Perte de productivité modérée
Perte financière nulle
1
Perte d'image nulle
1
Perte de productivité nulle
1
Perte financière nulle 6
Perte d'image très importante
Perte d'image très importante
identifiant mot de passe
identifiant mot de passe
2
3
3
2 2 3
Cours - Format numérique
3
1
1
5
Perte de productivité modérée
AP - 1
Processus de formation
1
1
3
5
Perte financière modérée
2
AS - 4
Formateur
1
1
3
5
Perte d'image nulle
1
Perte de productivité modérée
2
AP - 1
Processus de formation
3
1
3
7
Perte financière importante
3
AS - 4
Formateur
1
1
3
5
Perte d'image très importante
3
Perte de productivité modérée
2
7
2
1 3
AS - 8
5
Vrais.
1
2
1
1
Estimation du risque - Valeur de risque
Valeur de risque du scénario = Impact sur CIA * vraisemblance
Estimation du risque - niveau de risque N Scénario d'incident
1
2
3
4
5
6
7
Vol de l'ordinateur du à sa portabilité
Destruction de l'ordinateur du à sa portabilité
L'ordinateur ne s'allume - décharge totale des batteries
Connexion frauduleuse altération du support de cours
Connexion frauduleuse vol du support par la concurrence
Formateur contracte la grippe
Le formateur est approché par la concurrence et démissionne
Actif impacté
C
I
A
Som me
M a x
Valeur
Conséquence
Mes. Séc.
Conséquenc e
AP - 1
Processus de formation
3
1
2
6
Perte financière modérée
2
AP - 2
Processus de création du contenu
1
1
2
4
Perte d'image très importante
3
AP - 3
Cours - Contenu
3
3
2
8
Perte de productivité modérée
2
AS - 3
Ordinateur
3
3
2
8
AS - 8
Cours - Format numérique
3
3
2
8
AP - 1
Processus de formation
1
2
2
5
Perte financière modérée
2
AP - 2
Processus de création du contenu
1
2
2
5
Perte d'image nulle
1
AP - 3
Cours - Contenu
1
2
2
5
Perte de productivité modérée
2
AS - 3
Ordinateur
1
3
2
6
AS - 8
Cours - Format numérique
1
3
2
6
AP - 1
Processus de formation
1
1
3
5
Perte financière nulle
1
AP - 2
Processus de création du contenu
1
1
2
4
Perte d'image nulle
1
AS - 3
Ordinateur
1
1
2
4
Perte de productivité nulle
1
AP - 1
Processus de formation
2
3
2
7
Perte financière nulle
AP - 3
Cours - Contenu
1
3
2
6
AS - 8
Cours - Format numérique
1
3
2
6
Perte de productivité modérée
AP - 1
Processus de formation
3
1
2
6
Perte financière modérée
AP - 3
Cours - Contenu
3
1
2
6
AS - 8
Cours - Format numérique
3
1
1
5
AP - 1
Processus de formation
1
1
3
5
AS - 4
Formateur
1
1
3
5
AP - 1
Processus de formation
3
1
3
7
AS - 4
Formateur
1
1
3
5
8
6
5
6
6
Perte d'image très importante
Perte d'image très importante Perte de productivité modérée
5
7
identifiant mot de passe
identifiant mot de passe
Niv
Vra is.
Ris q.
2
16
2
12
3
15
3
18
1
6
1
5
1
7
1 3 2 2 3 2
Perte financière modérée
2
Perte d'image nulle
1
Perte de productivité modérée
2
Perte financière importante
3
Perte d'image très importante
3
Perte de productivité modérée
2
Processus de gestion du risque
Etablissement du contexte APPRECIATION DU RISQUE ANALYSE DU RISQUE
Identification du risque Estimation du risque Evaluation du risque Non
Décision : Appréciation satisfaisante Oui
Traitement du risque Non
Décision : Traitement satisfaisant Oui
Acceptation du risque
Evaluation du risque
Evaluation du risque Processus de comparaison du risque estimé avec des critères de risque donnés pour en déterminer l’ importance Je compare la valeur de risque des scénarios avec les critères établis lors de l’ établissement du contexte = j accepte Une plage 1..n Une plage …. = à traiter non urgent = à traiter en priorité Une plage > X ’
Evaluation du risque N Scénario d'incident
1
2
3
4
5
6
7
Vol de l'ordinateur du à sa portabilité
Destruction de l'ordinateur du à sa portabilité
L'ordinateur ne s'allume - décharge totale des batteries
Connexion frauduleuse altération du support de cours
Connexion frauduleuse vol du support par la concurrence
Formateur contracte la grippe
Le formateur est approché par la concurrence et démissionne
Actif impacté
C
I
A
Som me
M a x
Valeur
Conséquence
Mes. Séc.
Conséquenc e
AP - 1
Processus de formation
3
1
2
6
Perte financière modérée
2
AP -2
Processus de création du contenu
1
1
2
4
Perte d'image très importante
3
AP -3
Cours - Contenu
3
3
2
8
Perte de productivité modérée
2
AS - 3
Ordinateur
3
3
2
8
8
AS - 8
Cours - Format numérique
3
3
2
8
AP - 1
Processus de formation
1
2
2
5
Perte financière modérée
2
AP -2
Processus de création du contenu
1
2
2
5
Perte d'image nulle
1
Perte de productivité modérée
2
Perte financière nulle
1
Perte d'image nulle
1 1
AP -3
Cours - Contenu
1
2
2
5
AS - 3
Ordinateur
1
3
2
6
AS - 8
Cours - Format numérique
1
3
2
6
AP - 1
Processus de formation
1
1
3
5
AP - 2
Processus de création du contenu
1
1
2
4
6
5
AS - 3
Ordinateur
1
1
2
4
Perte de productivité nulle
AP - 1
Processus de formation
2
3
2
7
Perte financière nulle
AP - 3
Cours - Contenu
1
3
2
6
AS - 8
Cours - Format numérique
1
3
2
6
AP - 1
Processus de formation
3
1
2
6
AP - 3
Cours - Contenu
3
1
2
6
AS - 8
Cours - Format numérique
3
1
1
5
AP - 1
Processus de formation
1
1
3
5
AS - 4
Formateur
1
1
3
5
AP - 1
Processus de formation
3
1
3
7
AS - 4
Formateur
1
1
3
5
6
Perte d'image très importante Perte de productivité modérée Perte financière modérée
6
Perte d'image très importante Perte de productivité modérée
5
7
Niv
Vra is.
Ris q.
2
16
2
12
3
15
3
18
1
6
1
5
1
7
1
identifiant mot de passe
3
identifiant mot de passe
3
2 2
2
Perte financière modérée
2
Perte d'image nulle
1
Perte de productivité modérée
2
Perte financière importante
3
Perte d'image très importante
3
Perte de productivité modérée
2
Processus de gestion du risque
Etablissement du contexte APPRECIATION DU RISQUE ANALYSE DU RISQUE
Identification du risque Estimation du risque Evaluation du risque Non
Décision : Appréciation satisfaisante Oui
Traitement du risque Non
Décision : Traitement satisfaisant Oui
Acceptation du risque
Traitement du risque
Traitement du risque processus de sélection et de mise en œuvre des mesures visant à diminuer le risque
Traitement du risque
Options de traitement du risque
Réduction du risque
Refus du risque
Maintien du risque
Transfert du risque
Traitement du risque
Réduction • Réduire • Mesures • Niveau
le niveau de risque de sécurité
acceptable
Traitement du risque
Contraintes multiples Temps Financières Techniques Culturelles Ethiques Environnementales Légales
Traitement du risque Maintien - Risk retention Décision de ne prendre aucune action face au risque Condition Le niveau de risque respecte les critères d’ acceptation.
Traitement du risque
Refus - Risk avoidance L activité ou la situation qui engendre le risque est tout simplement éliminée ’
Traitement du risque
Transfert - Risk Transfer
Transfert du risque à un tiers qui pourra gérer le risque de manière plus efficiente.
Traitement du risque
Options de traitement risque
Réduction du risque
Refus du risque
Maintien du risque
Risques résiduels
Traitement satisfaisant
Transfert du risque
Processus de gestion du risque
Etablissement du contexte APPRECIATION DU RISQUE ANALYSE DU RISQUE
Identification du risque Estimation du risque Evaluation du risque Non
Décision : Appréciation satisfaisante Oui
Traitement du risque Non
Décision : Traitement satisfaisant Oui
Acceptation du risque
Acceptation du risque
Acceptation par le management du risque résiduel Enregistrement formel
Livrable Liste des risques acceptés avec justification pour les risques ne respectant pas les critères d’ acceptation
Processus de gestion du risque
Etablissement du contexte APPRECIATION DU RISQUE ANALYSE DU RISQUE
Identification du risque Estimation du risque Evaluation du risque Non
Etablissement du contexte APPRECIATION DU RISQUE ANALYSE DU RISQUE
Identification du risque Estimation du risque Evaluation du risque Non
Décision : Appréciation satisfaisante Oui
Traitement du risque Non
Décision : Traitement satisfaisant Oui
Acceptation du risque
Surveillance et réexamen
Des facteurs de risques (nouveaux!) Actifs Nouveaux actifs Obsolescence, disparition d actifs ’
vulnérabilité menace vraisemblance impact
Surveillance et réexamen
Surveillance du processus de gestion du risque Critères d’ évaluation Critères d acceptation ’
Critères d impact ’
Concurrence Contexte légal
Contexte environnemental
Surveillance et réexamen
Revue de risque Capitaliser, leçons apprises Détecter les changements et évolutions Observer, consigner Mesurer l avancement de la mise en œuvre des plans (PDCA) ’
Processus de gestion du risque
Etablissement du contexte APPRECIATION DU RISQUE ANALYSE DU RISQUE
Identification du risque Estimation du risque Evaluation du risque Non
Décision : Appréciation satisfaisante Oui
Traitement du risque Non
Décision : Traitement satisfaisant Oui
Acceptation du risque
La norme ISO 27005
1.
Périmètre 2. Références normatives 3. Définitions 4. Structure de la norme 5. Obligation 6. Processus 7. Contexte 8. Evaluation 9. Traitement 10. Acceptation 11. Communication 12. Surveillance et revue
Processus de gestion du risque
11
Etablissement du contexte
7
APPRECIATION DU RISQUE ANALYSE DU RISQUE
Identification du risque
8.2.1
Estimation du risque
8.2.2
Evaluation du risque
8.3
Non
Décision : Appréciation satisfaisante Oui
Traitement du risque
9
Non
Décision : Traitement satisfaisant Oui
Acceptation du risque
10
12
Annexes
Exemples de : Echelle
de valorisation des actifs Critère d’impact Echelle de mesure des conséquences Critères d’évaluation des risques Critères d’acceptation des risques