3. "Risque" selon ISO
ISO Guide 73, Management du risque – Vocabulaire
2002 "Combinaison de la probabilité d’un événement et de ses conséquences"
2009 "Effet de l'incertitude sur l'atteinte des objectifs"
– Un effet = un écart, positif ou négatif, par rapport à une attente
– Un risque est souvent exprimé en termes
• des conséquences d'un événement et
• de sa vraisemblance ["likelihood"]
3
Sources : ISO Guide 73:2002, Management du risque - Vocabulaire
ISO Guide 73:2009, Management du risque - Vocabulaire
4. Types de risques liés à l'informatique
Source : ISACA (2009), "The Risk IT Framework", Figure 2
ou ISACA (2014), "COBIT 5 for Risk", Figure 5
Opportunités
d'apporter
de la valeur
Risques des
projets
Risques
opérationnels
4
5. Menace
Vulnérabilité
Faiblesse dans une défense
Conséquences
Impacts sur les actifs
Défenses en
profondeur
Le modèle du « fromage suisse »
"Swiss cheese model"
Basé sur : Reason, J. (1997), "Managing The Risks of Organisational Accidents"
5
7. Normes de management des risques
Evolution
BS 7799-3
:2006
EBIOS 19972004
OCTAVE 19992007
et d'autres influences
ISO 31000
:2009
AS/NZS 4360
:1995
:2004
ISO Guide 73
:2002 :2009
Vocabulaire
ISO 27005
:2011
ISO 13335-1
:2004
ISO 13335-3
:1998
ISO 13335-4
:2000
ISO 27005
:2008
Gestion des risques
(entreprise)
Gestion des risques
(sécurité de
l'information)
7
8. Management des risques
Le processus selon ISO 31000:2009 (et ISO 27005:2011)
Source : ISO 31000:2009, Management du risque — Principes et lignes directrices
Processus similaire : ISO 27005:2011, Gestion des risques liés à la sécurité de l'information 8
9. Etablissement du contexte
" ... définition
du domaine d'application ainsi que
des critères de risque ..."
Source : ISO 31000:2009, Management du risque — Principes et lignes directrices
9
10. Identification du risque
"processus de recherche, de
reconnaissance et de description
des risques"
Source : ISO 31000:2009, Management du risque — Principes et lignes directrices
10
Cette étape
peut faire appel
à la créativité !
11. Identification du risque
Exemple (méthode CORAS) : Identification des scénarios de risque
11
Basé sur : Lund, M.S. et al (2011), "Model-Driven Risk Analysis, The CORAS Approach"
12. Identification du risque
Exemple (méthode CORAS) : Identification des vulnérabilités
12
Source : Lund, M.S. et al (2011), "Model-Driven Risk Analysis, The CORAS Approach"
13. Analyse du risque
• Vraisemblance
• Conséquence(s)
"comprendre la nature d'un risque et
... déterminer le niveau de risque"
Source : ISO 31000:2009, Management du risque — Principes et lignes directrices
13
15. Evaluation du risque
"comparaison des résultats de
l'analyse du risque avec les critères
de risque afin de déterminer si le
risque et/ou son importance sont
acceptables ou tolérables"
Source : ISO 31000:2009, Management du risque — Principes et lignes directrices
15
17. Traitement du risque
"processus destiné à modifier un risque"
Source : ISO 31000:2009, Management du risque — Principes et lignes directrices
17
18. Traitement du risque
Choix de la stratégie de traitement
Basé sur : ISO 27005:2011, Gestion des risques liés à la sécurité de l'information
18
19. Traitement du risque
Acceptation du risque résiduel après réduction
Risque
actuel
Risque
résiduel
Réduction du
risque due
au
traitement
proposé
Traitement
du risque
Niveau de risque "acceptable"
Basé sur : ISO/IEC 13335-1:2004, Concepts and models for ICT security management
19
20. Traitement du risque
Acceptation du traitement
Réduction du risque
= (Risque initial) – (Risque résiduel)
Coût du traitement proposé
20
>
Principe de proportionnalité
21. Plan de traitement des risques
Exemple
Action A
2016
A+1
2017
A+2
2018
Coûts
(mandats,
achats)
Effort
métier
Effort
administratif
DSI
Effort
technique
DSI
Délai
1. Analyser & évaluer les risques [en cours] 15kFr 3 jh 20 jh - 02.2016
2. Inventorier la règlementation applicable - 3 jh 1 jh - 04.2016
3. Elaborer la Politique générale de sécurité 15kFr 5 jh 10 jh - 09.2016
4. Elaborer une charte sur l'utilisation de l'IT - 5 jh 5 jh - 12.2016
5. Processus de tests périodiques de la sécurité 30kFr/an - 5 jh +
10 jh/an
10 jh/an 06.2016
6. Mettre sur pied un programme de sensibilisation
InfoSéc internalisé
15kFr 5 jh +
1 jh/an
5 jh +
10 jh/an
- 12.2016
7. Approfondir l'analyse BIA
(pré-requis pour la démarche DRP)
15kFr 10 jh 10 jh - 04.2017
etc. etc. etc.
21
22. Le processus est itératif !
Source : ISO 31000:2009, Management du risque — Principes et lignes directrices
22
24. Informatique Sécurité de l'info,
Sécurité informatique
Management du risque
Entreprise
ISO 31000
COSO ERM
•Risk IT + COBIT 4.1
•COBIT 5 for Risk
•ISO 27005
•OCTAVE family
•EBIOS, MEHARI
•CORAS
•ENISA
•CPI-RISC
Développement
STRIDE, DREAD, ...
Audit / Gouvernance •CobiT 4.1 + Val IT
•CobiT Quickstart
•COBIT 5
• Gouvernance: ISO 38500
• Audit: ISO 27007
• Audit: ISO 27008
• Gouvernance: ISO 27014
Bonnes pratiques •ITIL, ... •ISO 27002
Certification •ISO 20000, ... •ISO 27001
Quelques méthodes et normes
24
25. Références
Vocabulaire ISO
Les normes sont payantes, mais un extrait – contenant toutes les définitions
des termes – peut être consulté gratuitement ici :
• ISO Guide 73
Management du risque – Vocabulaire
– https://www.iso.org/obp/ui/#iso:std:iso:guide:73:ed-1:v1:fr
• ISO/CEI 27000
Systèmes de management de la sécurité de l'information – Vue
d'ensemble et vocabulaire
– https://www.iso.org/obp/ui/#iso:std:iso-iec:27000:ed-3:v1:fr
25
26. Références
Méthodes simples
• Méthode d'ENISA (European Union Agency for Network and Information Security)
– http://www.enisa.europa.eu/activities/risk-management/current-risk/risk-
management-inventory/files/deliverables [Documentation complète en français, anglais, etc.]
• CORAS - méthode et outil graphique
– http://coras.sourceforge.net/
– Lund, M.S., Solhaug, B., Stølen, K. (2011), "Model-Driven Risk Analysis, The CORAS
Approach", Springer, ISBN 978-3-642-12323-8
Chapter 3 - A Guided Tour of the CORAS Method :
http://www.springer.com/cda/content/document/cda_downloaddocument/978364
2123221-c3.pdf [Documentation complète, en anglais]
• OCTAVE Allegro - la méthode la plus simple de la famille "OCTAVE"
– http://www.cert.org/archive/pdf/07tr012.pdf [Méthode complète & work-sheets, en anglais]
• CPI-RISC - méthode rapide basée sur l'évaluation du niveau de maturité
– http://cpi-risc.org/en/Downloads.html [Documentation partielle, en anglais]
26