SlideShare uma empresa Scribd logo

Gestion des risques SSI : Approche globale ou individuelle ?

Transferir como PPTX, PDF
B
BPMSinfo

Présentation de deux méthodes de gestion des risques SSI : Ebios et Méhari.

Educação
1 de 10
Gestion des risques SSI : approche globale ou individuelle du risque ? Novembre 2013
Panorama des méthodes Le tableau suivant liste les principales méthodes utilisées dans le cadre de la gestion des risques SSI. Présentation BPMS 2
Gestion des risques : les concepts qui font consensus Un risque provient du fait que l’entité, entreprise ou organisation, possède des « valeurs », matérielles ou non, qui pourraient subir une dégradation ou un dommage, dégradation ayant des conséquences pour l’entité considérée. Actifs/ biens • Tout ce qui peut représenter une valeur ou un enjeu pour l’entité. • Essentiel : processus, information • Support : Bien sur lequel reposent des biens essentiels (logiciel, matériel, ressources humaines) Dégradation subie par un actif • Types de dommages subis par des informations (perte de disponibilité, d’intégrité ou de confidentialité). • On évaluera la gravité de la dégradation. Conséquences de la dégradation • Conséquence d’une dégradation au niveau de l’entité. • Ce terme recouvre la notion d’impact. Causes de la dégradation • Evénement certain ou non certains conduisant à la réalisation d’un risque. • On évaluera la probabilité de survenance de l ’événement. Présentation BPMS 3
Ebios : approche indirecte du risque La gestion globale et indirecte des risques proposée par Ebios vise à : Identifier des éléments pouvant conduire à des risques (menaces et vulnérabilité). Hiérarchiser ces éléments. En déduire une politique et des objectifs de sécurité. Mettre en place, comme outil de pilotage, un suivi permanent des objectifs de sécurité ou des éléments de la politique de sécurité. Analyse générale afin de définir des objectifs et des directives de sécurité propres à réduire globalement les risques. Présentation BPMS 4
Méhari : approche directe du risque La gestion individualisée et directe des risques proposée par Méhari vise à : Identifier l'ensemble des risques auxquels l’entreprise est exposée. Quantifier le niveau de chaque risque (gravité et probabilité) et le seuil d’acceptabilité. Prendre, pour chaque risque considéré comme inadmissible, des mesures pour que le niveau de ce risque soit ramené à un niveau acceptable. Mettre en place, comme outil de pilotage, un suivi permanent des risques et de leur niveau. S’assurer que chaque risque, pris individuellement, est bien pris en charge et a fait l’objet d’une décision soit d’acceptation soit de réduction, soit de transfert. Analyse de chaque situation de risque identifiée et prise de décisions spécifiques et adaptées à chacune d’elles Présentation BPMS 5
Ebios et Méhari : la notion de risque EBIOS : Actif, menace et vulnérabilité MEHARI : scénarios de risques • Le risque est la conjonction d’un actif, d’une menace susceptible de faire subir un dommage à cet actif et de vulnérabilités exploitées par la menace pour faire subir à l’actif ce dommage. • Ces définitions du risque conduisent à une notion de « risques types ». • Il s’agit donc d’une vision « statique » des risques, au sens où les éléments pris en compte ne font pas intervenir la variable « temps » et ne permettent pas de décrire des enchaînements d’événements, de causes ou de conséquences. • Le risque est la conjonction d’un actif, d’un type de dommage pouvant être subi par cet actif et de circonstances dans lesquelles ce dommage pourrait survenir. • Cette définition conduit, en pratique, à définir des « situations de risque» ou des « scénarios de risque» qui décrivent, à la fois, le dommage subi et les circonstances dans lesquelles se produit ce dommage. • Les circonstances recouvrent les notions de lieux, de temps. • Il s’agit donc d’une vision «dynamique» des risques, dans laquelle le temps peut intervenir. Présentation BPMS 6
Ebios et Méhari : bottom-up et top-down Méthode Méhari : Démarche centrée sur les enjeux des diverses activités de l’entité, et menée de préférence à un niveau élevé de management (approche top-down). Cette démarche débouche sur une recherche des circonstances dans lesquelles les dommages pourraient survenir et donc sur une définition de scénarios de risques. Quelles dégradations pourraient affecter ces actifs et dans quelles circonstances ces dégradations pourraient survenir? Méthode Ebios : Cette démarche débouche sur une recherche des menaces pouvant agir sur un actifs et des vulnérabilité de l’actif qui pourraient faciliter la réalisation de la menace. Cette démarche suppose une analyse techniques des actifs par les opérationnels. Le management est donc peu impliqué à ce stade de la démarche (approche bottom-up). Quelles menaces seraient susceptibles de causer un dommage à ces actifs, et quelles vulnérabilités pourraient être exploitées ? Présentation BPMS 7
Ebios et Méhari : estimation du risque EBIOS (gestion globale et indirecte) MEHARI (gestion individuelle et directe) • L’analyse des enjeux ou des conséquences du risque • L’estimation du niveau de la menace • L’estimation du niveau des vulnérabilités • L’analyse des enjeux ou des conséquences du risque • L’analyse de la probabilité de survenance du scénario de risque • L’effet des mesures de sécurité • L’estimation des risques aboutit à une hiérarchisation des risques. • L’estimation des risques aboutit à une évaluation de l’impact (I) et de la probabilité (P) de chaque risque. Présentation BPMS 8
Focus sur la notion de vulnérabilité Dans la méthode Ebios, la notion de vulnérabilité est introduite dès la phase d’identification des risques : Introduire les vulnérabilités dans la définition des risques revient à considérer que ce sont bien elles que l’on entend évaluer et gérer. Il s’agit bien alors d’une gestion indirecte des risques. Introduire dans la définition des risques la liste des vulnérabilités exploitées est source de difficultés pour une gestion directe des risques et oblige à introduire une analyse technique (la recherche de l’ensemble des vulnérabilités concernées par cette situation de risque). Dans la méthode Méhari, la notion de vulnérabilité est introduite dans la phase d’analyse des risques : Ne pas faire intervenir les vulnérabilités dans l’identification des risques revient à considérer qu’un risque naît de la simple conjonction d’un élément d’actif qui a une valeur et de circonstances dans lesquelles cette valeur pourrait être mise en cause et que c’est cette situation que l’on entend gérer. Présentation BPMS 9
Conclusion EBIOS • Gestion globale et indirecte • Objectif: définition d’une politique de sécurité • Définition du risque basée sur les menaces et vulnérabilité de l’actif • Implication faible du management • Vision statique des risques MEHARI • Gestion individuelle et directe • Objectif: définition d’une politique de gestion des risques • Définition du risque basée sur des scénarios de menace • Implication forte du management • Vision dynamique des risques Présentation BPMS 10

Recomendados

ANALYSE DE RISQUES
ANALYSE DE RISQUESANALYSE DE RISQUES
ANALYSE DE RISQUES
ndelannoy
 
Outils et techniques des gestion des risques
Outils et techniques des gestion des risquesOutils et techniques des gestion des risques
Outils et techniques des gestion des risques
GBO
 
Identifier les risques
Identifier les risquesIdentifier les risques
Identifier les risques
Carine Pascal
 
Gestion des risques
Gestion des risquesGestion des risques
Gestion des risques
eGov Innovation Center
 
Le cycle de vie de la gestion des risques
Le cycle de vie de la gestion des risquesLe cycle de vie de la gestion des risques
Le cycle de vie de la gestion des risques
PMI-Montréal
 
Netclu09 27005
Netclu09 27005Netclu09 27005
Netclu09 27005
michaeldean
 
Cours de Gestion des risques
Cours de Gestion des risquesCours de Gestion des risques
Cours de Gestion des risques
Rémi Bachelet
 
Management des risques 9 : Risques d’Entreprise et Cartographie
Management des risques 9 : Risques d’Entreprise et CartographieManagement des risques 9 : Risques d’Entreprise et Cartographie
Management des risques 9 : Risques d’Entreprise et Cartographie
ibtissam el hassani
 

Recomendados

ANALYSE DE RISQUES
ANALYSE DE RISQUESANALYSE DE RISQUES
ANALYSE DE RISQUES
ndelannoy
 
Outils et techniques des gestion des risques
Outils et techniques des gestion des risquesOutils et techniques des gestion des risques
Outils et techniques des gestion des risques
GBO
 
Identifier les risques
Identifier les risquesIdentifier les risques
Identifier les risques
Carine Pascal
 
Gestion des risques
Gestion des risquesGestion des risques
Gestion des risques
eGov Innovation Center
 
Le cycle de vie de la gestion des risques
Le cycle de vie de la gestion des risquesLe cycle de vie de la gestion des risques
Le cycle de vie de la gestion des risques
PMI-Montréal
 
Netclu09 27005
Netclu09 27005Netclu09 27005
Netclu09 27005
michaeldean
 
Cours de Gestion des risques
Cours de Gestion des risquesCours de Gestion des risques
Cours de Gestion des risques
Rémi Bachelet
 
Management des risques 9 : Risques d’Entreprise et Cartographie
Management des risques 9 : Risques d’Entreprise et CartographieManagement des risques 9 : Risques d’Entreprise et Cartographie
Management des risques 9 : Risques d’Entreprise et Cartographie
ibtissam el hassani
 
Mesure & Analyse: Mesurer les Risques
Mesure & Analyse: Mesurer les RisquesMesure & Analyse: Mesurer les Risques
Mesure & Analyse: Mesurer les Risques
Olivier Pinette
 
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
PMI-Montréal
 
Mehari
MehariMehari
Mehari
Afaf MATOUG
 
Gestion des risques
Gestion des risquesGestion des risques
Gestion des risques
Aymen Foudhaili
 
Management des risques
Management des risquesManagement des risques
Management des risques
younes elhaiba
 
Ebios
EbiosEbios
Ebios
kilojolid
 
Irm Risk Appetite
Irm Risk AppetiteIrm Risk Appetite
Irm Risk Appetite
Hassan Zaitoun
 
Maîtrise de risques en gestion de projet
Maîtrise de risques en gestion de projetMaîtrise de risques en gestion de projet
Maîtrise de risques en gestion de projet
Chef De Projet Détendu
 
cours de Gestion des risques - demarche
cours de Gestion des risques - demarchecours de Gestion des risques - demarche
cours de Gestion des risques - demarche
Rémi Bachelet
 
METHODE OCTAVE
METHODE OCTAVE METHODE OCTAVE
METHODE OCTAVE
dazaiazouze
 
2011-04-20 Marc Fréchette Gestion de risques
2011-04-20 Marc Fréchette Gestion de risques2011-04-20 Marc Fréchette Gestion de risques
2011-04-20 Marc Fréchette Gestion de risques
PMI Lévis-Québec
 
[Gestion des risques et conformite] gerer les risques operationnels
[Gestion des risques et conformite] gerer les risques operationnels[Gestion des risques et conformite] gerer les risques operationnels
[Gestion des risques et conformite] gerer les risques operationnels
onepoint x weave
 
management-risques-projet
management-risques-projet management-risques-projet
management-risques-projet
Es-sahli bilal
 
Management des risques 10 : Aspect Réglementaire et Normatif
Management des risques 10 : Aspect Réglementaire et Normatif Management des risques 10 : Aspect Réglementaire et Normatif
Management des risques 10 : Aspect Réglementaire et Normatif
ibtissam el hassani
 
L’organisation et la formalisation du management des risques selon l’ISO 31000
L’organisation et la formalisation du management des risques selon l’ISO 31000 L’organisation et la formalisation du management des risques selon l’ISO 31000
L’organisation et la formalisation du management des risques selon l’ISO 31000
PECB
 
Management des risques
Management des risquesManagement des risques
Management des risques
abdelghani Koura
 
Audit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'informationAudit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'information
Manuel Cédric EBODE MBALLA
 
Gestion des risques_demarche
Gestion des risques_demarcheGestion des risques_demarche
Gestion des risques_demarche
Rémi Bachelet
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'information
Franck Franchin
 
[Gestion des risques et conformite] mettre en place une demarche erm
[Gestion des risques et conformite] mettre en place une demarche erm[Gestion des risques et conformite] mettre en place une demarche erm
[Gestion des risques et conformite] mettre en place une demarche erm
onepoint x weave
 
ASIS Training #4 - Gestion des risques et innovation sociale
ASIS Training #4 - Gestion des risques et innovation socialeASIS Training #4 - Gestion des risques et innovation sociale
ASIS Training #4 - Gestion des risques et innovation sociale
armelleguillermet
 
LA GESTION DES RISQUES PROCESSUS ET THEORIES.pptx
LA GESTION DES RISQUES PROCESSUS ET THEORIES.pptxLA GESTION DES RISQUES PROCESSUS ET THEORIES.pptx
LA GESTION DES RISQUES PROCESSUS ET THEORIES.pptx
khiyersaad
 

Mais conteúdo relacionado

Mais procurados

MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
PMI-Montréal
 
[Gestion des risques et conformite] gerer les risques operationnels
[Gestion des risques et conformite] gerer les risques operationnels[Gestion des risques et conformite] gerer les risques operationnels
[Gestion des risques et conformite] gerer les risques operationnels
onepoint x weave
 
L’organisation et la formalisation du management des risques selon l’ISO 31000
L’organisation et la formalisation du management des risques selon l’ISO 31000 L’organisation et la formalisation du management des risques selon l’ISO 31000
L’organisation et la formalisation du management des risques selon l’ISO 31000
PECB
 
Gestion des risques_demarche
Gestion des risques_demarcheGestion des risques_demarche
Gestion des risques_demarche
Rémi Bachelet
 
[Gestion des risques et conformite] mettre en place une demarche erm
[Gestion des risques et conformite] mettre en place une demarche erm[Gestion des risques et conformite] mettre en place une demarche erm
[Gestion des risques et conformite] mettre en place une demarche erm
onepoint x weave
 

Mais procurados (20)

Mesure & Analyse: Mesurer les Risques
Mesure & Analyse: Mesurer les RisquesMesure & Analyse: Mesurer les Risques
Mesure & Analyse: Mesurer les Risques
 
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
 
Mehari
MehariMehari
Mehari
 
Gestion des risques
Gestion des risquesGestion des risques
Gestion des risques
 
Management des risques
Management des risquesManagement des risques
Management des risques
 
Ebios
EbiosEbios
Ebios
 
Irm Risk Appetite
Irm Risk AppetiteIrm Risk Appetite
Irm Risk Appetite
 
Maîtrise de risques en gestion de projet
Maîtrise de risques en gestion de projetMaîtrise de risques en gestion de projet
Maîtrise de risques en gestion de projet
 
cours de Gestion des risques - demarche
cours de Gestion des risques - demarchecours de Gestion des risques - demarche
cours de Gestion des risques - demarche
 
METHODE OCTAVE
METHODE OCTAVE METHODE OCTAVE
METHODE OCTAVE
 
2011-04-20 Marc Fréchette Gestion de risques
2011-04-20 Marc Fréchette Gestion de risques2011-04-20 Marc Fréchette Gestion de risques
2011-04-20 Marc Fréchette Gestion de risques
 
[Gestion des risques et conformite] gerer les risques operationnels
[Gestion des risques et conformite] gerer les risques operationnels[Gestion des risques et conformite] gerer les risques operationnels
[Gestion des risques et conformite] gerer les risques operationnels
 
management-risques-projet
management-risques-projet management-risques-projet
management-risques-projet
 
Management des risques 10 : Aspect Réglementaire et Normatif
Management des risques 10 : Aspect Réglementaire et Normatif Management des risques 10 : Aspect Réglementaire et Normatif
Management des risques 10 : Aspect Réglementaire et Normatif
 
L’organisation et la formalisation du management des risques selon l’ISO 31000
L’organisation et la formalisation du management des risques selon l’ISO 31000 L’organisation et la formalisation du management des risques selon l’ISO 31000
L’organisation et la formalisation du management des risques selon l’ISO 31000
 
Management des risques
Management des risquesManagement des risques
Management des risques
 
Audit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'informationAudit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'information
 
Gestion des risques_demarche
Gestion des risques_demarcheGestion des risques_demarche
Gestion des risques_demarche
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'information
 
[Gestion des risques et conformite] mettre en place une demarche erm
[Gestion des risques et conformite] mettre en place une demarche erm[Gestion des risques et conformite] mettre en place une demarche erm
[Gestion des risques et conformite] mettre en place une demarche erm
 

Semelhante a Gestion des risques SSI : Approche globale ou individuelle ?

LA GESTION DES RISQUES PROCESSUS ET THEORIES.pptx
LA GESTION DES RISQUES PROCESSUS ET THEORIES.pptxLA GESTION DES RISQUES PROCESSUS ET THEORIES.pptx
LA GESTION DES RISQUES PROCESSUS ET THEORIES.pptx
khiyersaad
 
Sécurité Internet
Sécurité InternetSécurité Internet
Sécurité Internet
proximit
 
Gestion des risques
Gestion des risquesGestion des risques
Gestion des risques
moussadiom
 
++Le risque r_siduel_qui l'assume
++Le risque r_siduel_qui l'assume++Le risque r_siduel_qui l'assume
++Le risque r_siduel_qui l'assume
Souad Hadjadj
 
Pr. Badre Eddine CHEGRI & Pr. NAJI SAIDA Seminaire Gestion des risques des Et...
Pr. Badre Eddine CHEGRI & Pr. NAJI SAIDA Seminaire Gestion des risques des Et...Pr. Badre Eddine CHEGRI & Pr. NAJI SAIDA Seminaire Gestion des risques des Et...
Pr. Badre Eddine CHEGRI & Pr. NAJI SAIDA Seminaire Gestion des risques des Et...
yossracherkaoui
 
Claude Emond – Axe 2 : Analyse et acceptabilité interdisciplinaire des risques
Claude Emond – Axe 2 : Analyse et acceptabilité interdisciplinaire des risquesClaude Emond – Axe 2 : Analyse et acceptabilité interdisciplinaire des risques
Claude Emond – Axe 2 : Analyse et acceptabilité interdisciplinaire des risques
Ne3LS_Network
 
2017-02-AtelierA4GouvernanceRisques-Amrae-C.pdf
2017-02-AtelierA4GouvernanceRisques-Amrae-C.pdf2017-02-AtelierA4GouvernanceRisques-Amrae-C.pdf
2017-02-AtelierA4GouvernanceRisques-Amrae-C.pdf
SARASIM6
 

Semelhante a Gestion des risques SSI : Approche globale ou individuelle ? (20)

ASIS Training #4 - Gestion des risques et innovation sociale
ASIS Training #4 - Gestion des risques et innovation socialeASIS Training #4 - Gestion des risques et innovation sociale
ASIS Training #4 - Gestion des risques et innovation sociale
 
LA GESTION DES RISQUES PROCESSUS ET THEORIES.pptx
LA GESTION DES RISQUES PROCESSUS ET THEORIES.pptxLA GESTION DES RISQUES PROCESSUS ET THEORIES.pptx
LA GESTION DES RISQUES PROCESSUS ET THEORIES.pptx
 
Approche et management des risques 31000.pptx
Approche et management des risques 31000.pptxApproche et management des risques 31000.pptx
Approche et management des risques 31000.pptx
 
Sécurité Internet
Sécurité InternetSécurité Internet
Sécurité Internet
 
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
 
Fiche 4 management des risques
Fiche 4 management des risquesFiche 4 management des risques
Fiche 4 management des risques
 
Gestion des risques
Gestion des risquesGestion des risques
Gestion des risques
 
Du sst-inrs-ed480
Du sst-inrs-ed480Du sst-inrs-ed480
Du sst-inrs-ed480
 
EBIOS
EBIOSEBIOS
EBIOS
 
Rendez vous Expert: La gestion du risque
Rendez vous Expert: La gestion du risqueRendez vous Expert: La gestion du risque
Rendez vous Expert: La gestion du risque
 
La gestion des risques
La gestion des risquesLa gestion des risques
La gestion des risques
 
++Le risque r_siduel_qui l'assume
++Le risque r_siduel_qui l'assume++Le risque r_siduel_qui l'assume
++Le risque r_siduel_qui l'assume
 
Mehari
MehariMehari
Mehari
 
Presentation ppt converti
Presentation ppt convertiPresentation ppt converti
Presentation ppt converti
 
Les risques associés aux transitions agile scrum breakfast
Les risques associés aux transitions agile scrum breakfastLes risques associés aux transitions agile scrum breakfast
Les risques associés aux transitions agile scrum breakfast
 
Pr. Badre Eddine CHEGRI & Pr. NAJI SAIDA Seminaire Gestion des risques des Et...
Pr. Badre Eddine CHEGRI & Pr. NAJI SAIDA Seminaire Gestion des risques des Et...Pr. Badre Eddine CHEGRI & Pr. NAJI SAIDA Seminaire Gestion des risques des Et...
Pr. Badre Eddine CHEGRI & Pr. NAJI SAIDA Seminaire Gestion des risques des Et...
 
Claude Emond – Axe 2 : Analyse et acceptabilité interdisciplinaire des risques
Claude Emond – Axe 2 : Analyse et acceptabilité interdisciplinaire des risquesClaude Emond – Axe 2 : Analyse et acceptabilité interdisciplinaire des risques
Claude Emond – Axe 2 : Analyse et acceptabilité interdisciplinaire des risques
 
PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...
PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...
PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...
 
Présentation document unique
Présentation document uniquePrésentation document unique
Présentation document unique
 
2017-02-AtelierA4GouvernanceRisques-Amrae-C.pdf
2017-02-AtelierA4GouvernanceRisques-Amrae-C.pdf2017-02-AtelierA4GouvernanceRisques-Amrae-C.pdf
2017-02-AtelierA4GouvernanceRisques-Amrae-C.pdf
 

Último

Cours Préparation à l’ISO 27001 version 2022.pdf
Cours Préparation à l’ISO 27001 version 2022.pdfCours Préparation à l’ISO 27001 version 2022.pdf
Cours Préparation à l’ISO 27001 version 2022.pdf
ssuserc72852
 
Copie de Engineering Software Marketing Plan by Slidesgo.pptx.pptx
Copie de Engineering Software Marketing Plan by Slidesgo.pptx.pptxCopie de Engineering Software Marketing Plan by Slidesgo.pptx.pptx
Copie de Engineering Software Marketing Plan by Slidesgo.pptx.pptx
ikospam0
 

Último (20)

Formation échiquéenne jwhyCHESS, parallèle avec la planification de projet
Formation échiquéenne jwhyCHESS, parallèle avec la planification de projetFormation échiquéenne jwhyCHESS, parallèle avec la planification de projet
Formation échiquéenne jwhyCHESS, parallèle avec la planification de projet
 
Cours Préparation à l’ISO 27001 version 2022.pdf
Cours Préparation à l’ISO 27001 version 2022.pdfCours Préparation à l’ISO 27001 version 2022.pdf
Cours Préparation à l’ISO 27001 version 2022.pdf
 
Apolonia, Apolonia.pptx Film documentaire
Apolonia, Apolonia.pptx Film documentaireApolonia, Apolonia.pptx Film documentaire
Apolonia, Apolonia.pptx Film documentaire
 
STRATEGIE_D’APPRENTISSAGE flee_DU_FLE.pdf
STRATEGIE_D’APPRENTISSAGE flee_DU_FLE.pdfSTRATEGIE_D’APPRENTISSAGE flee_DU_FLE.pdf
STRATEGIE_D’APPRENTISSAGE flee_DU_FLE.pdf
 
les_infections_a_streptocoques.pptkioljhk
les_infections_a_streptocoques.pptkioljhkles_infections_a_streptocoques.pptkioljhk
les_infections_a_streptocoques.pptkioljhk
 
658708519-Power-Point-Management-Interculturel.pdf
658708519-Power-Point-Management-Interculturel.pdf658708519-Power-Point-Management-Interculturel.pdf
658708519-Power-Point-Management-Interculturel.pdf
 
Conférence Sommet de la formation 2024 : Développer des compétences pour la m...
Conférence Sommet de la formation 2024 : Développer des compétences pour la m...Conférence Sommet de la formation 2024 : Développer des compétences pour la m...
Conférence Sommet de la formation 2024 : Développer des compétences pour la m...
 
Intégration des TICE dans l'enseignement de la Physique-Chimie.pptx
Intégration des TICE dans l'enseignement de la Physique-Chimie.pptxIntégration des TICE dans l'enseignement de la Physique-Chimie.pptx
Intégration des TICE dans l'enseignement de la Physique-Chimie.pptx
 
Copie de Engineering Software Marketing Plan by Slidesgo.pptx.pptx
Copie de Engineering Software Marketing Plan by Slidesgo.pptx.pptxCopie de Engineering Software Marketing Plan by Slidesgo.pptx.pptx
Copie de Engineering Software Marketing Plan by Slidesgo.pptx.pptx
 
Formation qhse - GIASE saqit_105135.pptx
Formation qhse - GIASE saqit_105135.pptxFormation qhse - GIASE saqit_105135.pptx
Formation qhse - GIASE saqit_105135.pptx
 
L application de la physique classique dans le golf.pptx
L application de la physique classique dans le golf.pptxL application de la physique classique dans le golf.pptx
L application de la physique classique dans le golf.pptx
 
La mondialisation avantages et inconvénients
La mondialisation avantages et inconvénientsLa mondialisation avantages et inconvénients
La mondialisation avantages et inconvénients
 
La nouvelle femme . pptx Film français
La nouvelle femme . pptx Film françaisLa nouvelle femme . pptx Film français
La nouvelle femme . pptx Film français
 
Echos libraries Burkina Faso newsletter 2024
Echos libraries Burkina Faso newsletter 2024Echos libraries Burkina Faso newsletter 2024
Echos libraries Burkina Faso newsletter 2024
 
GIÁO ÁN DẠY THÊM (KẾ HOẠCH BÀI DẠY BUỔI 2) - TIẾNG ANH 6, 7 GLOBAL SUCCESS (2...
GIÁO ÁN DẠY THÊM (KẾ HOẠCH BÀI DẠY BUỔI 2) - TIẾNG ANH 6, 7 GLOBAL SUCCESS (2...GIÁO ÁN DẠY THÊM (KẾ HOẠCH BÀI DẠY BUỔI 2) - TIẾNG ANH 6, 7 GLOBAL SUCCESS (2...
GIÁO ÁN DẠY THÊM (KẾ HOẠCH BÀI DẠY BUỔI 2) - TIẾNG ANH 6, 7 GLOBAL SUCCESS (2...
 
Cours Généralités sur les systèmes informatiques
Cours Généralités sur les systèmes informatiquesCours Généralités sur les systèmes informatiques
Cours Généralités sur les systèmes informatiques
 
Les roches magmatique géodynamique interne.pptx
Les roches magmatique géodynamique interne.pptxLes roches magmatique géodynamique interne.pptx
Les roches magmatique géodynamique interne.pptx
 
Cours ofppt du Trade-Marketing-Présentation.pdf
Cours ofppt du Trade-Marketing-Présentation.pdfCours ofppt du Trade-Marketing-Présentation.pdf
Cours ofppt du Trade-Marketing-Présentation.pdf
 
CompLit - Journal of European Literature, Arts and Society - n. 7 - Table of ...
CompLit - Journal of European Literature, Arts and Society - n. 7 - Table of ...CompLit - Journal of European Literature, Arts and Society - n. 7 - Table of ...
CompLit - Journal of European Literature, Arts and Society - n. 7 - Table of ...
 
L'expression du but : fiche et exercices niveau C1 FLE
L'expression du but : fiche et exercices niveau C1 FLEL'expression du but : fiche et exercices niveau C1 FLE
L'expression du but : fiche et exercices niveau C1 FLE
 

Gestion des risques SSI : Approche globale ou individuelle ?

  • 1. Gestion des risques SSI : approche globale ou individuelle du risque ? Novembre 2013
  • 2. Panorama des méthodes Le tableau suivant liste les principales méthodes utilisées dans le cadre de la gestion des risques SSI. Présentation BPMS 2
  • 3. Gestion des risques : les concepts qui font consensus Un risque provient du fait que l’entité, entreprise ou organisation, possède des « valeurs », matérielles ou non, qui pourraient subir une dégradation ou un dommage, dégradation ayant des conséquences pour l’entité considérée. Actifs/ biens • Tout ce qui peut représenter une valeur ou un enjeu pour l’entité. • Essentiel : processus, information • Support : Bien sur lequel reposent des biens essentiels (logiciel, matériel, ressources humaines) Dégradation subie par un actif • Types de dommages subis par des informations (perte de disponibilité, d’intégrité ou de confidentialité). • On évaluera la gravité de la dégradation. Conséquences de la dégradation • Conséquence d’une dégradation au niveau de l’entité. • Ce terme recouvre la notion d’impact. Causes de la dégradation • Evénement certain ou non certains conduisant à la réalisation d’un risque. • On évaluera la probabilité de survenance de l ’événement. Présentation BPMS 3
  • 4. Ebios : approche indirecte du risque La gestion globale et indirecte des risques proposée par Ebios vise à : Identifier des éléments pouvant conduire à des risques (menaces et vulnérabilité). Hiérarchiser ces éléments. En déduire une politique et des objectifs de sécurité. Mettre en place, comme outil de pilotage, un suivi permanent des objectifs de sécurité ou des éléments de la politique de sécurité. Analyse générale afin de définir des objectifs et des directives de sécurité propres à réduire globalement les risques. Présentation BPMS 4
  • 5. Méhari : approche directe du risque La gestion individualisée et directe des risques proposée par Méhari vise à : Identifier l'ensemble des risques auxquels l’entreprise est exposée. Quantifier le niveau de chaque risque (gravité et probabilité) et le seuil d’acceptabilité. Prendre, pour chaque risque considéré comme inadmissible, des mesures pour que le niveau de ce risque soit ramené à un niveau acceptable. Mettre en place, comme outil de pilotage, un suivi permanent des risques et de leur niveau. S’assurer que chaque risque, pris individuellement, est bien pris en charge et a fait l’objet d’une décision soit d’acceptation soit de réduction, soit de transfert. Analyse de chaque situation de risque identifiée et prise de décisions spécifiques et adaptées à chacune d’elles Présentation BPMS 5
  • 6. Ebios et Méhari : la notion de risque EBIOS : Actif, menace et vulnérabilité MEHARI : scénarios de risques • Le risque est la conjonction d’un actif, d’une menace susceptible de faire subir un dommage à cet actif et de vulnérabilités exploitées par la menace pour faire subir à l’actif ce dommage. • Ces définitions du risque conduisent à une notion de « risques types ». • Il s’agit donc d’une vision « statique » des risques, au sens où les éléments pris en compte ne font pas intervenir la variable « temps » et ne permettent pas de décrire des enchaînements d’événements, de causes ou de conséquences. • Le risque est la conjonction d’un actif, d’un type de dommage pouvant être subi par cet actif et de circonstances dans lesquelles ce dommage pourrait survenir. • Cette définition conduit, en pratique, à définir des « situations de risque» ou des « scénarios de risque» qui décrivent, à la fois, le dommage subi et les circonstances dans lesquelles se produit ce dommage. • Les circonstances recouvrent les notions de lieux, de temps. • Il s’agit donc d’une vision «dynamique» des risques, dans laquelle le temps peut intervenir. Présentation BPMS 6
  • 7. Ebios et Méhari : bottom-up et top-down Méthode Méhari : Démarche centrée sur les enjeux des diverses activités de l’entité, et menée de préférence à un niveau élevé de management (approche top-down). Cette démarche débouche sur une recherche des circonstances dans lesquelles les dommages pourraient survenir et donc sur une définition de scénarios de risques. Quelles dégradations pourraient affecter ces actifs et dans quelles circonstances ces dégradations pourraient survenir? Méthode Ebios : Cette démarche débouche sur une recherche des menaces pouvant agir sur un actifs et des vulnérabilité de l’actif qui pourraient faciliter la réalisation de la menace. Cette démarche suppose une analyse techniques des actifs par les opérationnels. Le management est donc peu impliqué à ce stade de la démarche (approche bottom-up). Quelles menaces seraient susceptibles de causer un dommage à ces actifs, et quelles vulnérabilités pourraient être exploitées ? Présentation BPMS 7
  • 8. Ebios et Méhari : estimation du risque EBIOS (gestion globale et indirecte) MEHARI (gestion individuelle et directe) • L’analyse des enjeux ou des conséquences du risque • L’estimation du niveau de la menace • L’estimation du niveau des vulnérabilités • L’analyse des enjeux ou des conséquences du risque • L’analyse de la probabilité de survenance du scénario de risque • L’effet des mesures de sécurité • L’estimation des risques aboutit à une hiérarchisation des risques. • L’estimation des risques aboutit à une évaluation de l’impact (I) et de la probabilité (P) de chaque risque. Présentation BPMS 8
  • 9. Focus sur la notion de vulnérabilité Dans la méthode Ebios, la notion de vulnérabilité est introduite dès la phase d’identification des risques : Introduire les vulnérabilités dans la définition des risques revient à considérer que ce sont bien elles que l’on entend évaluer et gérer. Il s’agit bien alors d’une gestion indirecte des risques. Introduire dans la définition des risques la liste des vulnérabilités exploitées est source de difficultés pour une gestion directe des risques et oblige à introduire une analyse technique (la recherche de l’ensemble des vulnérabilités concernées par cette situation de risque). Dans la méthode Méhari, la notion de vulnérabilité est introduite dans la phase d’analyse des risques : Ne pas faire intervenir les vulnérabilités dans l’identification des risques revient à considérer qu’un risque naît de la simple conjonction d’un élément d’actif qui a une valeur et de circonstances dans lesquelles cette valeur pourrait être mise en cause et que c’est cette situation que l’on entend gérer. Présentation BPMS 9
  • 10. Conclusion EBIOS • Gestion globale et indirecte • Objectif: définition d’une politique de sécurité • Définition du risque basée sur les menaces et vulnérabilité de l’actif • Implication faible du management • Vision statique des risques MEHARI • Gestion individuelle et directe • Objectif: définition d’une politique de gestion des risques • Définition du risque basée sur des scénarios de menace • Implication forte du management • Vision dynamique des risques Présentation BPMS 10