Clusif 20101019 Colloque Quebecois Si Mehari 27005

GérersesrisquesaveclaméthodeMEHARIconformeàISO27005

CommentgérersesrisquesavecMEHARI

CQSI2010 Octobre2010CLUSIFJean‐LouisRoule

ISO27005donnedeslignesdirectricespourdesméthodesd’analysederisque.

MEHARI,méthodologiedegesOondirecteetindividuelledesrisques,yapportedescompléments:

 Unmodèlederisqueprécis

 Unebasedeconnaissances: SituaOonsderisques

 Servicesdesécuritéetbased’audit ÉvaluaOondesscénariosderisque

 Capacitéàpouvoirgérerlesrisques

GérersesrisquesavecMEHARI2010conformeàlanormeISO27005:2008

ObjecOfsréaffirmésdeMEHARI2010:LesobjecOfsfondamentauxd’unegesOondesrisquessont:

  IdenOfiertouslesrisquesauxquelsl’entrepriseestexposée. QuanOfierleniveaudechaquerisque. Prendre,pourchaquerisqueconsidérécommeinadmissible,desmesurespourquelerisquesoitramenéàunniveauacceptable.

 RéviserlapoliOquedesécurité,sinécessaire. S’assurerquechaquerisqueestbienprisenchargeetafaitl’objetd’unedécisiondetraitement:

acceptaFon,réducFon,évitementoutransfert.

EvaluerlesrisquespourISO27005etMEHARI

Etapesprévuesparlanorme:

 §8.2.1.2lesacFfs §8.2.1.3lesmenaces

 §8.2.1.4lesmesuresdesécuritéexistantes §8.2.1.5lesvulnérabilités §8.2.1.6lesconséquences

…etlanormeprécise,enintroducOon,quecesacOvitéspeuventêtreeffectuéesdansunordredifférentselonlaméthodologieappliquée.

EtapesprévuesparlanormeISO27005etMEHARI:

Établir le contexte

Analyser les risques

Identifier les risques

Traiter les risques

Évaluer les risques CO

Juger les risques

Décider les plans d’action

Plans d’action basés sur l’audit

des vulnérabilités

Plans d’action basés sur l’analyse des

risques

Gestion des risques des

projets

Plans d’action basés sur l’analyse

des enjeux

Analyse des enjeux – Classification

Audit des services de sécurité

Détection des risques critiques

Analyse des situations de risque

UOliserMEHARI:comment?Les modules de MEHARI sont in(ter)dépendants, peuvent être utilisés de diverses manières et avec des objectifs variés

disponiblesurlesiteduCLUSIF(www.clusif.asso.fr):

 PrésentaOongénérale Guidedeladémarche

 PrincipesfondamentauxetspécificaOonsfoncOonnelles Guidedel’analysedesenjeuxetdelaclassificaOon GuidedudiagnosOcdel’étatdesservicesdesécurité Guidedel’analyseetdutraitementdesrisques ÉvoluOonsparrapportauxversionsprécédentes Manuelderéférencedesservicesdesécurité destraducFonsexistentenplusieurslangues

DocumentaOondeMEHARI2010

Gérerlesrisques:commentsinonavecuneméthode?

Anaimwithoutamethodisnonsense.EdwardDeming

Menaces

LesobjecFfsd’uneorganisaFon

setraduisentenenjeuxets’appuientsurdesacFfs

Echelledegravité

disponibleentéléchargementlibresurlesiteduCLUSIF(www.clusif.asso.fr):

 Manuelderéférencedelabase BaseauformatMicrosoiExcelou

 BaseauformatOpenOffice(Calc)(version3.1ou+)

OuOlpartenaire:RISICARE2010(BUCSA)

LasuitedelaprésentaOonmontrelesautomaOsmesmisenœuvreparMEHARI2010.IlestaiséderépéterladémonstraOon.

Basedeconnaissance

Feuillesdelabasedeconnaissance2010

T1 T3T2

Gravitéintrinsèque

Enjeuxd’affaires Menaces vulnérabilités

PotenOalitéImpact

Servicesdesécurité

ISO27002

Services

Gravitéactuelle

Gravitésplanifiées

Obj_PA

Analyseretévaluer

lesrisque

Traiterlesrisque

Risk%event

Risk%acOf

Plans_acOon

Commentnaviguerdanslefichierbasedeconnaissance?

Classif

Obj_Projets

SélecFondesscénarios

Transférer

Eviter

Accepter

Réduire

Thèmes

AnalysedesenjeuxetclassificaOondesacOfs

DysfoncFonnementsredoutés

AcFvitéfondamentaleréaliséeavecl’équipededirecFonVoir:Guidedel’analysedesenjeuxetdelaclassificaOon

EchelledevaleurdesdysfoncOonnements

Exempledetablesur4niveaux

ClassificaOondesacOfs

MEHARIpartdesbesoinsdechaqueacOvité

 T2:besoindeservices T1:besoind’informaFon(oudonnées)nécessaireàl’accomplissementdesservices

 T3:besoindeconformité(desprocessusetcomportements)àdesréférenOels(éthique,réglementaire,légal,etc.)

DéfiniOonscomplémentairesnécessaires:LesacFfsPourgaranOrquetouslesrisquesserontidenOfiés,MEHARI2010précisecommentcesbesoinsouacOfsprimairessematérialisent: Sousquellesformesousurquelssupports EndépendantdequellesconOngences

LarechercheexhausOvedesbesoinsetdeleursmatérialisaOonspermetd’idenOfierlesacOfs«primaires»et«secondaires»del’entrepriseoudel’organisme

DysfoncFonsdesprocessusméFers

FeuilleT1classificaFondesdonnées(exempleparOel)

DysfoncFonsdesprocessusméFersFeuilleT2classificaFondesservices(exempleparOel)

FeuilleClassif

FeuillePlans_acFon:gravitéintrinsèque

MenacesetexposiFonnaturelle

Menaces

Lesmenaces

ladescripOondelamenacedoitcomprendretoussesélémentscaractérisOques. L’événementdéclencheur L’acteurdéclenchantcetévénement

 Lescirconstancesdanslesquellessurvientcetévénement

L’idenFficaFondesrisquesdoits’appuyersurunerecherchedel’ensembledeceséléments.

FeuilleExpo:43événementsdéclencheursàvalider

Vulnérabilités(non‐qualité desservicesdesécurité)

LesvulnérabilitésDéfiniOondonnéeparl’ISO27000:«FailledansunacFfoudansunemesuredesécuritéquipeutêtreexploitéeparunemenace».

L’idenFficaFondesrisquesdoits’appuyersurlarecherchedesvulnérabilitésintrinsèques

Feuille08Exs

Feuilleservices:qualitédesmesuresdesécurité

Qualitédesservicesdesécurité

Analysederisque:scénarios

Menaces

800scénariosderisque

Etatintrinsèquedesrisques(pasdemesuresenplace)

EsFmerettraiterlesrisques

confinementpalliaFon

prévenFondissuasion

LemodèlederisqueMEHARIrépondàcebesoin.

L’esFmaFondesrisques

Etatactueldesrisques(qualitéde08D05:2,7/4)

Scénarios:gravitéetmesurescorrecFves

RéducFondesrisquesAssistancedirecte:feuillesPlansd’acFonetObj_PAPermetuneréflexionenfoncFondesobjecFfs,desmoyensetdu%descénariosàaméliorer

RéducFondesrisques

Assistanceauxprojets:feuilleObj_projets

Tableaudeborddesservicesàtraiteravecleséchéancesetlesbesoinscouverts.

IndicaFonsreportéesdanslafeuillescénariospourbâFrdesindicateursdeprogrès.

‐>AnFcipaFonetsuividesniveauxderisque

Basedeconnaissance=gainàl’uFlisaFon

LagesOondirecteetindividualiséedesrisquesdoits’appuyersurlemodèlederisqueetimposeenoutrequel’onsachefixerdesobjecOfsentermesde: Servicesdesécuritéàaméliorer

 Niveauxdequalitéciblespourcesservicesetquel’onsachemesurerl’ateintedesobjecOfs.

Ceciestdifficilementenvisageablesansunebasedeconnaissancecomprenantunebased’auditdesservicesdesécurité.

Clusif 20101019 Colloque Quebecois Si Mehari 27005

Documents

Transcript of Clusif 20101019 Colloque Quebecois Si Mehari 27005

PECB Certified ISO/IEC 27005 Risk Manager...la norme ISO/IEC 27005 et réussi l’examen, vous pourrez demander la certification « ISO/IEC 27005 Risk Manager ». Détenir une certification

Le Travailleur Forestier Quebecois. Transformations Technologiques, S Ocioeconomiques et Organisatio

Clusif panoramadelacybercrimalite2009

2008 Bloc Quebecois Platform Ch. 1

LA CERTIFICATION MILIEU NOVATEUR Lyne PELLETIER, Conseil Quebecois d'Agrément (CGA) Lyne.pelletier@cqaqualite.ca 001 514 754 4312 Label « milieu novateur.

La démarche PCA chez Cofiroute - Clusif

[CLUSIF] Les Virus Informatiques

PABX IP et Sécurité - Clusif

dictionnaire Quebecois M to Z

La monétique sur les Autoroutes PCI-DSS - Clusif

© Carole Derré premier congrès national Sécurité des ... · dernière enquête réalisée par le clUsiF* auprès des hôpitaux montre que la gouvernance des établissements cherche

DOSSIER TECHNIQUE TECHNIQUES DE … · Mail : clusif@clusif.asso.fr Web : ... 3.2.2 Caractère public d’une donnée biométrique. ... (Authentification)

ifiles.ctctcdn.com/b6cb8f35201/acd490b0-290f-49e6-a... · PianoArt Plant Grow Love Projet RAD Proset Autism QcABA Regroupement quebecois des maladies orphelines Rekinexion Remrov

Menaces Informatiques et pratiques de sécurité en Francecyber-serenite.fr/uploads/documents/clusif-rapport-2010.pdf · de charte SSI (67%, +17% vs 2008) que dans l’évolution

CLUSIF 2010 Communication Voix Enjeux de Securite

2008 Bloc Quebecois Platform Ch. 6

Formation ISO 27005 · 2018-11-09 · La formation « ISO/CEI 27005 Risk Manager » vous permettra de développer les compétences pour maîtriser les processus liés à tous les

Gestion des risques en sécurité de l’information - Fnacmultimedia.fnac.com/multimedia/editorial/pdf/... · 2010-11-22 · L’ISO 27005 apporte une nouveauté fondamentale par

Comment réussir le déploiement - Clusif

Menaces Informatiques et Pratiques de Sécurité en … · Menaces informatiques CLUSIF - 2008 3 et pratiques de sécurité en France Remerciements Le CLUSIF remercie les personnes