Méthode de management des risques Norme ISO 27005

Chapitre 3 Méthode de management des risques Norme ISO 27005

M2-SSICE Hichem BEN ISHAK

Norme ISO 27005

Norme 27005 Information technology Security techniques Information security risk management —

ISO

27005 - Définition

ISO

27005 - Méthode

Norme ISO 27005

Norme 27005 Information technology Security techniques Information security risk management —

ISO

27005 - Définition

ISO

27005 - Méthode

Norme ISO 27005

L'ISO (Organisation internationale de normalisation) a publié, le 4 juin 2008, la première norme de gestion des risques de la Sécurité des Systèmes d'Information : l'ISO/CEI 27005:2008. Cette norme est un standard international qui décrit le Système de Management des risques liés à la Sécurité de l'information Elle a été révisée le 19 mai 2011.

Norme ISO 27005

Le risque de sécurité de l’ information La potentialité qu'une menace donnée exploite les vulnérabilités d'un actif ou d'un groupe d'actifs et cause ainsi des désagréments à l’ organisme

Norme ISO 27005

Les trois composantes du risque 1. 2. 3.

Les actifs Les vulnérabilités Les menaces

Norme ISO 27005 - Actifs

Actifs primordiaux Processus et Activité Information Actifs en supports Matériel Logiciel, OS Réseau Personnel Communication Energies

Norme ISO 27005 - Vulnérabilités

Propriété intrinsèque de l actif ’

Les actifs possèdent des vulnérabilités Elle est exploitée (ou pas !)

Norme ISO 27005 - Menaces

Action ou événement ayant une conséquence négative

Origine Motivation (humaine) Ciblent le CIA

Norme ISO 27005 - Risque de sécurité

?

Cible

Actif Possède

Menace exploite

Vulnérabilité

Conséquences négatives

C I

A

Norme ISO 27005 - Risque de sécurité

Jeu de Go

Norme 27005

Norme ISO 27005 Méthode

Norme ISO 27005

Exigences imposées

Processus continu Approche systématique Alignement sur la gestion du risque en général Permettre résultats comparables et reproductibles

Processus de gestion du risque

Etablissement du contexte APPRECIATION DU RISQUE ANALYSE DU RISQUE

Identification du risque Estimation du risque Evaluation du risque Non

Décision : Appréciation satisfaisante Oui

Traitement du risque Non

Décision : Traitement satisfaisant Oui

Acceptation du risque


ACT Maintien et amélioration du processus de gestion des risques

CHECK Surveillance continue Réexamen des risques

PLAN Etablissement du contexte Appréciation des risques Plan de traitement du risque Acceptation du risque

DO Implémentation du plan de traitement du risque








Etablissement du contexte

• Définir

le périmètre

• Définir • • • •

les critères de base Critères d impact Critères d évaluation des risques Critères d acceptation des risques Critères de valorisation des actifs

• Echelle

’

’

’

d estimation ’








Identification du risque Appréciation du risque Ensemble du processus d analyse du risque et d’ évaluation du risque • Identification du risque • Estimation du risque • Evaluation du risque ’

Analyse du risque Utilisation systématique d informations pour identifier les sources et pour estimer le risque • Estimation du risque • Evaluation du risque ’

Identification du risque

• Phase

de collecte d informations • Méthodes ’

Identifier • Actifs • Menaces • Vulnérabilités • Mesures de sécurité existantes • Conséquences


Actifs et leur propriétaire • Actifs

primordiaux • Actifs en support Valoriser les actifs suivant l’ échelle de valorisation Livrable : liste des actifs avec leur propriétaire et leur valeur


Un exemple pour illustrer

Un Organisme de formation ayant pour activité Créer les supports de cours Donner les formations 2 salariés : le formateur et un assistant Formation sur la norme ISO 27005

Identification du risque - actif

Liste des actifs Description

Nature

Propriétaire

Actifs Primordiaux AP - 1

Processus de formation

Processus

Formateur

AP - 2

Processus de création du contenu

Processus

Formateur

AP - 3

Cours - Contenu

Information

Assistant

Assistant

Actifs en Support AS - 1

Salle de Formation

Site

AS - 2

Vidéo Projecteur

Matériel

Assistant

AS - 3

Ordinateur

Matériel

Assistant

AS - 4

Formateur

Personnel

Formateur

AS - 5

Norme 2005

Matériel

Formateur

AS - 6

Norme 2001 & 2002

Matériel

Formateur

AS - 7

Microsoft PowerPoint

Logiciel

Assistant

AS - 8

Cours - Format numérique

Logiciel

Assistant

Identification du risque - actif

Echelle de valorisation des actifs Valeur

Signification

Coût achat

Faible 1

Faible

2

Moyen

3

Elevé

4

Très élevé

moyen

délai remplacement

élevé

X

jour

semaine

> semaine

X X -

X -

aucune

faible

forte

X

X -

Compétence

X X

-

-

-

X

Identification du risque - actif Liste des actifs valorisés Description

Nature

Propriétaire Valeur

Actifs Primordiaux Primordiaux AP - 1


Processus

Formateur

4

AP - 2


Processus

Formateur

3

AP - 3

Cours - Contenu

Information

Assistant

4

Site

Assistant

3


Salle de Formation

AS - 2 Vidéo Projecteur

Matériel

Assistant

2

AS - 3

Ordinateur

Matériel

Assistant

2

AS - 4

Formateur

Personnel

Formateur

4

AS - 5

Norme 2005

Matériel

Formateur

1

AS - 6

Norme 2001 & 2002 2002

Matériel

Formateur

1

AS - 7


Logiciel

Assistant

1

AS - 8

Cours - Format Format numérique

Logiciel

Assistant

3

AS - 9

Assistant

Personnel Personnel

Assistant

3

Identification du risque - actif Liste des actifs retenus Description

Nature


Retenu



Processus

Formateur

4

AP - 2


Processus

Formateur

3

AP - 3

Cours - Contenu

Information

Assistant

4

Site

Assistant

3

OUI OUI


Salle de Formation


Matériel

Assistant

2

AS - 3

Ordinateur

Matériel

Assistant

2

OUI

AS - 4

Formateur

Personnel

Formateur

4

OUI

AS - 5

Norme 2005

Matériel

Formateur

1

AS - 6

Norme 2001 & 2002 2002

Matériel

Formateur

1

AS - 7


Logiciel

Assistant

1

AS - 8


Logiciel

Assistant

3

AS - 9

Assistant

Personnel Personnel

Assistant

3

OUI

Identification du risque - menace

Toutes les menaces • Accidentelles • Délibérées Par type, source, cible Méthode • Interview • Expérience • Annexe C de la norme 43 menaces

Livrable : liste des menaces

Identification du risque - menace Liste des actifs Description

Nature


Retenu

Menace



Processus

Formateur

4

AP - 2


Processus

Formateur

3

AP - 3

Cours - Contenu

Information

Assistant

4

Site

Assistant

3

OUI OUI


Salle de Formation


Matériel

Assistant

2

AS - 3

Matériel

Assistant

2

Ordinateur

OUI

Vol Panne

AS - 4

Formateur

Personnel

Formateur

4

OUI

Maladie Démission

AS - 5

Norme 2005

Matériel

Formateur

1

AS - 6

Norme 2001 & 2002

Matériel

Formateur

1

AS - 7


Logiciel

Assistant

1

AS - 8


Logiciel

Assistant

3

AS - 9

Assistant

Personnel

Assistant

3

Destruction

Identification du risque - vulnérabilité

Méthode Catalogue ISO 27005 Annexe D Audit Contrôle Interne Interview Expérience Autre méthode : EBIOS, … Livrable : liste des vulnérabilités

Identification du risque - vulnérabilité Liste des actifs Description

Nature

Propriétaire

Valeur

Retenu

OUI

Menace

Vulnérabilité



Processus

Formateur

4

AP - 2


Processus

Formateur

3

AP - 3

Cours - Contenu

Information

Assistant

4

Site

Assistant

3

Matériel

Assistant

2

Matériel

Assistant

2

OUI

Actifs en Support AS - 1 AS - 2 AS - 3

Salle de Formation Vidéo Projecteur

Ordinateur

OUI

Vol Panne

AS - 4

Formateur

Personnel

Formateur

4

OUI

Maladie Démission

AS - 5

Norme 2005

Matériel

Formateur

1

AS - 6

Norme 2001 & 2002

Matériel

Formateur

1

AS - 7


Logiciel

Assistant

1

AS - 8


Logiciel

Assistant

3

AS - 9

Assistant

Personnel

Assistant

3

Destruction

Portabilité Alimentation élec.

Manque de prévenance

Ambition

Support numérique

Identification du risque - scénario Identification des conséquences

Identifier les impacts sur CIA Confidentialité, Intégrité, Disponibilité ( Availability) Identifier les conséquences causées par des menaces exploitant les vulnérabilités des actifs. Impact mesuré suivant les critères d’ impact

Identification du risque Identification des conséquences Pour une bonne communication et compréhension Scénario d’ incident Tableau de synthèse : scénario d’ incident Actifs impactés Conséquence de l occurrence ’

Livrable : liste des scenarios d’ incidents avec leur conséquence

Identification du risque N Scénario d'incident

1

2

3

4

5

6

Vol de l'ordinateur du à sa portabilité

Destruction de l'ordinateur du à sa portabilité

L'ordinateur ne s'allume - décharge totale des batteries

Connexion frauduleuse altération du support de cours

Connexion frauduleuse vol du support par la concurrence

Formateur contracte la grippe

Actif impacté

C

I

A

Som me

M a x

Conséquence

AP - 1


3

1

2

6

Perte financière modérée

AP -2


1

1

2

4

Perte d'image très importante

AP -3

Cours - Contenu

3

3

2

8

AS - 3

Ordinateur

3

3

2

8

AS - 8


3

3

2

8

AP - 1


1

2

2

5

AP -2


1

2

2

5

AP -3

Cours - Contenu

1

2

2

5

AS - 3

Ordinateur

1

3

2

6

AS - 8


1

3

2

6

AP -1


1

1

3

5

AP -2


1

1

2

4

AS - 3

Ordinateur

1

1

2

4

Perte de productivité nulle

AP - 1


2

3

2

7

Perte financière nulle

AP - 3

Cours - Contenu

1

3

2

6

AS - 8


1

3

2

6

Perte de productivité modérée

AP -1


3

1

2

6


AP -3

Cours - Contenu

3

1

2

6

AS - 8


3

1

1

5

AP - 1


1

1

3

5

AS - 4

Formateur

1

1

3

5

8


Perte financière modérée Perte d'image nulle 6


Perte financière nulle 5

6

6

Perte d'image nulle


Perte d'image très importante Perte de productivité modérée

5

Perte financière modérée Perte d'image nulle Perte de productivité modérée

7

Le formateur est approché par la concurrence et démissionne

AP - 1


3

1

3

7

AS - 4

Formateur

1

1

3

5

Perte financière importante 7


Identification du risque - mesures existantes Identification les mesures de sécurité existantes Revue du plan de traitement du risque déjà en œuvre • Vérification de l efficacité des mesures • Audit, contrôle interne, indicateurs • Interview du SI • Vérification sur le terrain • Le SOA, source d informations •Statement of applicatibility •Déclaration d applicatibilité •

’

’

’

Identification du risque - mesures existantes N Scénario d'incident

1

2

3

4

5

6







Actif impacté

C

I

A

Som me

M a x

Conséquence Perte financière modérée

AP - 1


3

1

2

6

AP -2


1

1

2

4

AP -3

Cours - Contenu

3

3

2

8

AS - 3

Ordinateur

3

3

2

8

AS - 8


3

3

2

8

AP - 1


1

2

2

5

AP -2


1

2

2

5

AP -3

Cours - Contenu

1

2

2

5

AS - 3

Ordinateur

1

3

2

6

AS - 8


1

3

2

6

AP -1


1

1

3

5

AP -2


1

1

2

4

AS - 3

Ordinateur

1

1

2

4


AP -1


2

3

2

7


AP -3

Cours - Contenu

1

3

2

6

AS -8


1

3

2

6


AP -1


3

1

2

6


AP -3

Cours - Contenu

3

1

2

6

AS - 8


3

1

1

5

AP - 1


1

1

3

5

AS - 4

Formateur

1

1

3

5

Perte d'image très importante 8


Perte financière modérée Perte d'image nulle 6



6

6

Perte d'image nulle



5

Perte financière modérée Perte d'image nulle Perte de productivité modérée

7


AP - 1


3

1

3

7

AS - 4

Formateur

1

1

3

5

Mes. Séc.

Perte financière importante 7


identifiant mot de passe









Estimation du risque

Méthode d estimation des risques ’

• •

Qualitative Quantitative

Estimation du risque Qualitative Echelle de valeur : appréciation Faible, moyen, élevé Cout difficilement mesurable perte de part de marché, de confiance des clients, d’ image de marque Facile à comprendre mais subjectif Quantitative Echelle de valeur numérique. Coûts mesurables : coût d achat, de maintenance, perte de CA ’

Livrable : liste des scenarios d’ incidents avec leur conséquence

Estimation du risque - conséquences Valeur

N.

1

2

3

4

5

6

7

Scénario d'incident








Actif impacté

C

I

A

Somme

AP - 1


3

1

2

6


2

AP -2


1

1

2

4


3

AP -3

Cours - Contenu

3

3

2

8


2

AS - 3

Ordinateur

3

3

2

8

AS - 8


3

3

2

8

AP - 1


1

2

2

5


2

AP -2


1

2

2

5

Perte d'image nulle

1


2


1

Perte d'image nulle

1 1

AP -3

Cours - Contenu

1

2

2

5

AS - 3

Ordinateur

1

3

2

6

AS - 8


1

3

2

6

AP - 1


1

1

3

5

AP - 2


1

1

2

4

Max

8

6

5

Conséquence

AS - 3

Ordinateur

1

1

2

4


AP -1


2

3

2

7


AP -3

Cours - Contenu

1

3

2

6

AS -8


1

3

2

6


AP -1


3

1

2

6


AP -3

Cours - Contenu

3

1

2

6

AS -8


3

1

1

5

AP - 1


1

1

3

5

AS - 4

Formateur

1

1

3

5

AP - 1


3

1

3

7

AS - 4

Formateur

1

1

3

5

6

6

5

7



Mesure sécurité

Conséquenc e

1 identifiant / mot de passe

3 2 2

identifiant / mot de passe

3


2


2

Perte d'image nulle

1


2

Perte financière importante

3


3


2

Estimation du risque - vraisemblance

Estimation de la vraisemblance des scénarios Echelle quantitative de 1 à N 1 peu probable Méthode Entretien avec les métiers Expérience Bon sens

Estimation du risque - vraisemblance Valeur

N.

1

2

3

4

5

6

7

Scénario d'incident








Actif impacté

C

I

A

Somme

Max

Conséquence

Mes. Séc.


Conséquenc e

AP - 1


3

1

2

6

AP - 2


1

1

2

4


3

AP - 3

Cours - Contenu

3

3

2

8

8


2

AS - 3

Ordinateur

3

3

2

8

AS - 8


3

3

2

8

AP - 1


1

2

2

5


2

AP - 2


1

2

2

5

Perte d'image nulle

1

AP - 3

Cours - Contenu

1

2

2

5

6

2

AS - 3

Ordinateur

1

3

2

6

AS - 8


1

3

2

6

AP - 1


1

1

3

5

AP - 2


1

1

2

4

AS - 3

Ordinateur

1

1

2

4

AP - 1


2

3

2

7

AP - 3

Cours - Contenu

1

3

2

6

AS - 8


1

3

2

6


AP - 1


3

1

2

6


AP - 3

Cours - Contenu

3

1

2

6

5

6

2



1

Perte d'image nulle

1


1






2

3

3

2 2 3


3

1

1

5


AP - 1


1

1

3

5


2

AS - 4

Formateur

1

1

3

5

Perte d'image nulle

1


2

AP - 1


3

1

3

7


3

AS - 4

Formateur

1

1

3

5


3


2

7

2

1 3

AS - 8

5

Vrais.

1

2

1

1

Estimation du risque - Valeur de risque

Valeur de risque du scénario = Impact sur CIA * vraisemblance

Estimation du risque - niveau de risque N Scénario d'incident

1

2

3

4

5

6

7








Actif impacté

C

I

A

Som me

M a x

Valeur

Conséquence

Mes. Séc.

Conséquenc e

AP - 1


3

1

2

6


2

AP - 2


1

1

2

4


3

AP - 3

Cours - Contenu

3

3

2

8


2

AS - 3

Ordinateur

3

3

2

8

AS - 8


3

3

2

8

AP - 1


1

2

2

5


2

AP - 2


1

2

2

5

Perte d'image nulle

1

AP - 3

Cours - Contenu

1

2

2

5


2

AS - 3

Ordinateur

1

3

2

6

AS - 8


1

3

2

6

AP - 1


1

1

3

5


1

AP - 2


1

1

2

4

Perte d'image nulle

1

AS - 3

Ordinateur

1

1

2

4


1

AP - 1


2

3

2

7


AP - 3

Cours - Contenu

1

3

2

6

AS - 8


1

3

2

6


AP - 1


3

1

2

6


AP - 3

Cours - Contenu

3

1

2

6

AS - 8


3

1

1

5

AP - 1


1

1

3

5

AS - 4

Formateur

1

1

3

5

AP - 1


3

1

3

7

AS - 4

Formateur

1

1

3

5

8

6

5

6

6



5

7



Niv

Vra is.

Ris q.

2

16

2

12

3

15

3

18

1

6

1

5

1

7

1 3 2 2 3 2


2

Perte d'image nulle

1


2


3


3


2








Evaluation du risque

Evaluation du risque Processus de comparaison du risque estimé avec des critères de risque donnés pour en déterminer l’ importance Je compare la valeur de risque des scénarios avec les critères établis lors de l’ établissement du contexte = j accepte Une plage 1..n Une plage …. = à traiter non urgent = à traiter en priorité Une plage > X ’

Evaluation du risque N Scénario d'incident

1

2

3

4

5

6

7








Actif impacté

C

I

A

Som me

M a x

Valeur

Conséquence

Mes. Séc.

Conséquenc e

AP - 1


3

1

2

6


2

AP -2


1

1

2

4


3

AP -3

Cours - Contenu

3

3

2

8


2

AS - 3

Ordinateur

3

3

2

8

8

AS - 8


3

3

2

8

AP - 1


1

2

2

5


2

AP -2


1

2

2

5

Perte d'image nulle

1


2


1

Perte d'image nulle

1 1

AP -3

Cours - Contenu

1

2

2

5

AS - 3

Ordinateur

1

3

2

6

AS - 8


1

3

2

6

AP - 1


1

1

3

5

AP - 2


1

1

2

4

6

5

AS - 3

Ordinateur

1

1

2

4


AP - 1


2

3

2

7


AP - 3

Cours - Contenu

1

3

2

6

AS - 8


1

3

2

6

AP - 1


3

1

2

6

AP - 3

Cours - Contenu

3

1

2

6

AS - 8


3

1

1

5

AP - 1


1

1

3

5

AS - 4

Formateur

1

1

3

5

AP - 1


3

1

3

7

AS - 4

Formateur

1

1

3

5

6

Perte d'image très importante Perte de productivité modérée Perte financière modérée

6


5

7

Niv

Vra is.

Ris q.

2

16

2

12

3

15

3

18

1

6

1

5

1

7

1


3


3

2 2

2


2

Perte d'image nulle

1


2


3


3


2








Traitement du risque

Traitement du risque processus de sélection et de mise en œuvre des mesures visant à diminuer le risque


Options de traitement du risque

Réduction du risque

Refus du risque

Maintien du risque

Transfert du risque


Réduction • Réduire • Mesures • Niveau

le niveau de risque de sécurité

acceptable


Contraintes multiples Temps Financières Techniques Culturelles Ethiques Environnementales Légales

Traitement du risque Maintien - Risk retention Décision de ne prendre aucune action face au risque Condition Le niveau de risque respecte les critères d’ acceptation.


Refus - Risk avoidance L activité ou la situation qui engendre le risque est tout simplement éliminée ’


Transfert - Risk Transfer

Transfert du risque à un tiers qui pourra gérer le risque de manière plus efficiente.


Options de traitement risque

Réduction du risque

Refus du risque

Maintien du risque

Risques résiduels

Traitement satisfaisant

Transfert du risque









Acceptation par le management du risque résiduel Enregistrement formel

Livrable Liste des risques acceptés avec justification pour les risques ne respectant pas les critères d’ acceptation








Communication du risque

Echange - bidirectionnelle Décisionnaires

Stakeholders - parties prenantes (# shareholders) Objectifs Compréhension Information Sensibilisation Implication








Surveillance et réexamen

Des facteurs de risques (nouveaux!) Actifs Nouveaux actifs Obsolescence, disparition d actifs ’

vulnérabilité menace vraisemblance impact


Surveillance du processus de gestion du risque Critères d’ évaluation Critères d acceptation ’

Critères d impact ’

Concurrence Contexte légal

Contexte environnemental


Revue de risque Capitaliser, leçons apprises Détecter les changements et évolutions Observer, consigner Mesurer l avancement de la mise en œuvre des plans (PDCA) ’








La norme ISO 27005

1.

Périmètre 2. Références normatives 3. Définitions 4. Structure de la norme 5. Obligation 6. Processus 7. Contexte 8. Evaluation 9. Traitement 10. Acceptation 11. Communication 12. Surveillance et revue


11

Etablissement du contexte

7

APPRECIATION DU RISQUE ANALYSE DU RISQUE


8.2.1

Estimation du risque

8.2.2

Evaluation du risque

8.3

Non



9

Non



10

12

Annexes

Exemples de : Echelle

de valorisation des actifs Critère d’impact Echelle de mesure des conséquences Critères d’évaluation des risques Critères d’acceptation des risques

Méthode de management des risques Norme ISO 27005

Recommend Documents