Upload
julienne-porte
View
108
Download
3
Embed Size (px)
Citation preview
1AVRIL 2005Thierry RAMARD
Comment utiliser la norme ISO 17799dans un modèle
de gouvernance des risques ?
AVRIL 2005Conférence sécurité
2AVRIL 2005Thierry RAMARD
Sommaire
Modèle de gestion des risques
Norme ISO 17799 : Concepts généraux
Usage de la norme dans le cadre de la gestion des risques
Conclusion
3AVRIL 2005Thierry RAMARD
1. La stratégie de protection du SI doit intégrer l’approche métier & les enjeux de l’entreprise pour être efficace.
2. La gestion des risques doit devenir une culture d’entreprise.
3. Tous les acteurs de l’entreprise (management, utilisateurs, équipes informatiques, etc.) doivent être impliqués
4. L’approche technologique génère des investissements pas toujours justifiés et justifiables : attention au surinvestissement.
5. Une approche structurée de la sécurité incluant les aspects organisationnels et techniques est indispensable.
Les enjeux pour l’entreprise (5/5)STRATEGIE GENERALE A METTRE EN OEUVRE
4AVRIL 2005Thierry RAMARD
5AVRIL 2005Thierry RAMARD
Fournir une approche structurée et méthodologique,
Intégrant la dimension « métier » de l’entreprise,
Prenant en compte les aspects humains, structurels, organisationnels et techniques,
Prenant en compte la situation opérationnelle réelle de l’entreprise tout en
Limitant les coûts et optimisant les ROIs.
Modèle Général (1/2)Objectifs d’un modèle de gestion des risques
6AVRIL 2005Thierry RAMARD
Stratégie générale d’entreprise
Définition de la politique de
sécurité du SI
Définition de la politique de
sécurité du SI
Mesure et analyse des enjeux « métiers »
Mesure et analyse des enjeux « métiers »
Mesure et analyse des risques
résiduels
Mesure et analyse des risques
résiduels
Définition & mise en œuvre d’un plan d’actions sécurité
pluriannuel
Définition & mise en œuvre d’un plan d’actions sécurité
pluriannuel
Approche « Top-down »
Approche « Top-down »
Approche « Bottom-up »
Approche « Bottom-up »
Définition & mise en œuvre d’un tableau de bord
sécurité
Définition & mise en œuvre d’un tableau de bord
sécurité
Actions techniques
Actions techniques
Actions fonctionnelles
Actions fonctionnelles
Analyses financières
Analyses financières
1
2 3
4
5
© Copyright Ageris Consulting
Modèle Général (2/2)Démarche Générale
7AVRIL 2005Thierry RAMARD
1. Cartographier et classifier les flux d’informationsflux d’informations2. Mesurer le coûtle coût de son insécurité (calcul du coût des incidents)3. Evaluer les menaces et les risques potentielsrisques potentiels qui pèsent sur l’entreprise4. Définir les exigencesexigences de protection
5. Rédiger une politique généralepolitique générale de sécurité6. Définir les directives techniques et fonctionnellesdirectives techniques et fonctionnelles de protection du SI7. Rédiger une charte informatiquecharte informatique à destination des utilisateurs internes
8. Identifier ses vulnérabilitésvulnérabilités9. Cartographier ses risques réelsrisques réels
10. Définir les les actions de protectionactions de protection à déployer11. Planifier les actions dans un un plan pluriannuelplan pluriannuel12. Calculer les retours sur investissementretours sur investissement (ROI) et les gains escomptés13. Calculer les budgets pluriannuelsbudgets pluriannuels
14. Désigner les Responsabilités en matière de sécuritéResponsabilités en matière de sécurité du SI 15. Définir des tableaux de bordtableaux de bord sécurité
MOSAIC = 15 actionsListe des actions à mener
1
2
3
4
5
8AVRIL 2005Thierry RAMARD
9AVRIL 2005Thierry RAMARD
Quelques autres normes
Les sources d'information :
ISO TR 13335 : GMITS - nouvelle partie 2 (en préparation)ISO 15408 : Critères CommunsISO 17799 : Code of Practice ISO 15947 : Intrusion Detection FrameworkISO TR 13569 : B&F Services - Information Security Guidelines
Projets ISO :18028 : Network Security18044 : Security Incident Management (SIM)18043 : Intrusion Detection Systems (IDS)15443 : Framework for Security Assurance (FRITSA)17944 : B&F Services - Framework for Security in Financial Systems
10AVRIL 2005Thierry RAMARD
Historique
1992
« Code de bonnes pratiques »
Groupe de travail industriels
1995 1999
2000
2001 2005
British Standard InstitutBS7799 : 1995
Révision BS7799 part 1 & 2
1998
BS7799 : 1998 part 2
ISO 17799 : 2000 (BS7799:1999 part 1)
Fast Track AoûtParution Décembre
ISO 17799 : 2005 Parution 2ème Semestre
Démarrage révision ISO 17799 : 2000
2002
BS7799 : 2002 part 2
200x
Normalisation de la partie 2 de la
BS 7799 : Certification ISO
17799
Historique de la norme ISO 17799
11AVRIL 2005Thierry RAMARD
Structure et contenu (1/2)127 Mesures (contrôles) de sécurité
10 domainesVERSION 2000 133 Mesures(contrôles) de sécurité
11 domainesVERSION 2005
SECURITY POLICY
SECURITY ORGANISATION
ASSET CLASSIFICATION & CONTROL
PERSONNAL SECURITY
PHYSICAL & ENVIRONMENTAL SECURITY
COMMUNICATIONS & OPERATIONS MANAGEMENT
ACCESS CONTROL
SYSTEM DEVELOPMENT & MAINTENANCE
BUSINESS CONTINUITY
COMPLIANCE
SECURITY POLICY
ORGANISING INFORMATION SECURITY
ASSET MANAGEMENT
HUMAN RESOURCES SECURITY
PHYSICAL & ENVIRONMENTAL SECURITY
COMMUNICATIONS & OPERATIONS MANAGEMENT
ACCESS CONTROL
INFORMATION SYSTEM ACQUISITION, DEVELOPMENT & MAINTENANCE
BUSINESS CONTINUITY MANAGEMENT
COMPLIANCE
INFORMATION SECURITY INCIDENT MANAGEMENT
Evolution de la norme
12AVRIL 2005Thierry RAMARD
Structure et contenu (2/2)
9 mesures supprimées 17 mesures ajoutées125 mesures réviséesISO 17799 : 2000 ISO 17799 : 2005
Contrôles/mesures+
Quelques définitions et
guides de mise en oeuvre
CONTRÔLES / MESURES
GUIDES DETAILLES DE MISE EN OEUVRE
INFORMATIONS COMPLEMENTAIRES
Principaux apports
13AVRIL 2005Thierry RAMARD
14AVRIL 2005Thierry RAMARD
Usage de la norme (1/4)
1. SUPPORT POUR LA DEFINITION D’UNE POLITIQUE DE SECURITE
GUIDE DE BONNES PRATIQUES A ADAPTER AU CONTEXTE DE L’ENTREPRISE
(REFERENTIEL DE SECURITE)
A COMPLETER PAR DES DIRECTIVES (MESURES) NON TRAITEES
Exemple de framework
Cas 1
15AVRIL 2005Thierry RAMARD
Usage de la norme (2/4)
2. EVALUATION DES MESURES DEPLOYEES
AUDIT DU SYSTEME D’INFORMATION A COMPLETER PAR UNE ANALYSE DES RISQUES
Exemple de résultats
CARTOGRAPHIE DES RISQUES
0,0
0,2
0,4
0,6
0,8
1,0
12
3
4
5
6
7
8
9
10
11
121314
15
16
17
18
19
20
21
22
23
24
25
Risques réels
Vision ENJEUX
Cas 2
16AVRIL 2005Thierry RAMARD
Usage de la norme (3/4)
3. SUPPORT POUR LA DEFINITION D’UN PLAN D’ACTIONS
STRUCTURATION DU PLAN D’ACTIONS A COMPLETER PAR DES MESURES DETAILLEES
Exemple de résultats
Cas 3
17AVRIL 2005Thierry RAMARD
Usage de la norme (4/4)
4. SUPPORT POUR LA CREATION DE TABLEAUX DE BORD
PERMET UN SUIVI DE LA POLITIQUE DE SECURITE
SENSIBILISE LA DIRECTION GENERALE
Exemple de résultats
Cas 4
18AVRIL 2005Thierry RAMARD
19AVRIL 2005Thierry RAMARD
Conclusion (1/2)La norme ISO 17799 est un bon outil pour la gouvernance des risques
Stratégie générale d’entreprise
Définition de la politique de sécurité
du SI
Définition de la politique de sécurité
du SI
Mesure et analyse des enjeux « métiers »
Mesure et analyse des enjeux « métiers »
Mesure et analyse des risques résiduels
Mesure et analyse des risques résiduels
Définition & mise en œuvre d’un plan d’actions sécurité
pluriannuel
Définition & mise en œuvre d’un plan d’actions sécurité
pluriannuel
Approche « Top-down »
Approche « Top-down »
Approche « Bottom-up »
Approche « Bottom-up »
Définition & mise en œuvre d’un tableau
de bord sécurité
Définition & mise en œuvre d’un tableau
de bord sécurité
Actions techniques
Actions techniques
Actions fonctionnelles
Actions fonctionnelles
Analyses financière
s
Analyses financière
s
1
2 3
4
5
© Copyright Ageris Consulting
Synthèse de l’utilisation de la norme ISO 17799
20AVRIL 2005Thierry RAMARD
Son usage tend à se généraliser au niveau international et en France
Conclusion (2/2)
Une certification ISO est possible depuis peu ISO 27001
Comparaison possible (benchmark), langage commun utile dans les groupes internationaux
Anticipation et mise en conformité possible dès aujourd’hui
Evolutions futures
21AVRIL 2005Thierry RAMARD
Politique de sécurité : Framework
© Copyright Ageris Consulting
Politique de sécurité de l’information
Organisation de la sécurité
Directives de sécurité au niveau :
Des employés et des Sous traitants
De l’infrastructure
technique
Des applications
et des données
Des informationsécrites
De la gestion et du suivi des
risques
De la continuité
des activités
Réseaux et Télecoms
fixe et sans fil
Systèmes centrauxet
départementaux
Données et
Informations écrites
Postes de travail fixeou nomade
Applicationset
des projets
Plan de secours
et plan de reprise
Chiffrement etcertification
Contrôle d’accès logique et physique
Gestion des alertes et des logs
Lutte anti-virale& anti spam
Sécu
rité
des
empl
oyés
Prot
ectio
n ph
ysiq
ue&
env
ironn
emen
t de
trav
ail Guide de protection des :
Choix des Solutions techniques :
Lutte anti-intrusion logique et physique
Objectifs et besoinsde sécurité
Classification des Informations et des flux
Du respect des apects juridiques
Aud
its e
t con
trôl
es
Tabl
eaux
de
bord
et s
uivi
Intelligence économique : Approche défensive
Fonctionnement de l’entreprise :Lutte contre les dysfonctionnements
Risques juridiques : Respect des lois et réglements
22AVRIL 2005Thierry RAMARD
23AVRIL 2005Thierry RAMARD
24AVRIL 2005Thierry RAMARD
25AVRIL 2005Thierry RAMARD
2 catégories :
1. Actions TECHNIQUES :
• Anti-virus,• Firewall• IDS/IPS• Chiffrement• PKI / SSO / Contrôle d’accès• Logiciels de surveillance, de traitement des fichiers logs• Solutions techniques de redondance, de sauvegardes, …..• Etc.
2. Actions FONCTIONNELLES :
• Procédures d’exploitation,• Formations / Sensibilisations,• Pilotage & suivi,• Plan de secours et plan de continuité d’activité,• Etc.
Définir les actions à déployer
26AVRIL 2005Thierry RAMARD
27AVRIL 2005Thierry RAMARD
Tableau de bord SSI
Situation globale
0,00
0,25
0,50
0,75
1,00Politique de sécurité
Organisation de la sécurité
Classification des biens et des ressources
Sécurité au niveau du personnel
Sécurité physique
Gestion de la production informatique
Contrôle d'accès
Développement & maintenance applicative
Continuité de services (BCP)
Respect des aspects réglementaires
Cible
2007
2006
2005
2004
28AVRIL 2005Thierry RAMARD
29AVRIL 2005Thierry RAMARD
« Ensemble des lois, règlements et pratiques qui régissent la façon de gérer, protéger et diffuser les biens, en particuliers les informations sensibles, au sein de l'organisation » (ITSEC, Commission européenne, juin 1991 §2.10).
Objectifs :
- Informer et sensibiliser les individus sur les risques encourus par un système d’information (provenance du risque, risque maximum toléré…).
- Fournir les moyens techniques et organisationnels pour se prémunir des risques identifiés et garantir un niveau de sécurité durable vis-à-vis des clients de l’entreprise, du système bancaire et de l’entreprise elle-même.
- Élaborer un cadre général permettant aux opérationnels et décisionnels de construire et mettre en œuvre l’ensemble des procédures nécessaires à l’application homogène de la politique de sécurité, afin de garantir la protection du système d’information.
Objectif de la politique de sécurité
30AVRIL 2005Thierry RAMARD
Politique générale de sécurité
Un document décrivant la politique générale de l’entreprise (2/3 pages maximum),
démontrant la motivation de la Direction Générale,
précisant les concepts et les directives générales,
et impliquant l’ensemble du personnel de l’entreprise.
Contenu général de la politique de sécurité
31AVRIL 2005Thierry RAMARD
Politique de sécurité : Framework
© Copyright Ageris Consulting
Politique de sécurité de l’information
Organisation de la sécurité
Directives de sécurité au niveau :
Des employés et des Sous traitants
De l’infrastructure
technique
Des applications
et des données
Des informationsécrites
De la gestion et du suivi des
risques
De la continuité
des activités
Réseaux et Télecoms
fixe et sans fil
Systèmes centrauxet
départementaux
Données et
Informations écrites
Postes de travail fixeou nomade
Applicationset
des projets
Plan de secours
et plan de reprise
Chiffrement etcertification
Contrôle d’accès logique et physique
Gestion des alertes et des logs
Lutte anti-virale& anti spam
Sécu
rité
des
empl
oyés
Prot
ectio
n ph
ysiq
ue&
env
ironn
emen
t de
trav
ail Guide de protection des :
Choix des Solutions techniques :
Lutte anti-intrusion logique et physique
Objectifs et besoinsde sécurité
Classification des Informations et des flux
Du respect des apects juridiques
Aud
its e
t con
trôl
es
Tabl
eaux
de
bord
et s
uivi
Intelligence économique : Approche défensive
Fonctionnement de l’entreprise :Lutte contre les dysfonctionnements
Risques juridiques : Respect des lois et réglements
Contenu détaillé de la politique de sécurité
32AVRIL 2005Thierry RAMARD
33AVRIL 2005Thierry RAMARD
Les acteurs de la SSI
• La sécurité doit être structurée : une organisation particulière doit être mise en place afin de gérer les différents composants de la sécurité, les acteurs et leurs évolutions.
• Les responsabilités doivent être partagées entre les différents niveaux hiérarchiques :
- Niveau décisionnel : il conçoit, met en place, et assure le respect de la politique de sécurité.
- Niveau de pilotage : il s’agit des autorités qualifiées responsables de la sécurité du système d'information dont elles ont la charge (consignes, directives, contrôle interne, sensibilisation).
- Niveau opérationnel : il s’agit des agents de la sécurité en charge de la gestion, du contrôle et du suivi de la sécurité.
RSICP : Responsable sécurité informatique du Centre de profit
CISI : Correspondant informatique du site
34AVRIL 2005Thierry RAMARD
Responsable de la Sécurité des Systèmes d’Information (RSSI)
Définition:
« Le RSSI est le garant de la sécurité des systèmes d’information de l’entreprise. Ses domaines d’action sont multiples mais ils répondent à un seul objectif : assurer l’intégrité, la cohérence et la confidentialité des données de tous les systèmes d’information de l’entreprise. »
Positionnement hiérarchique (ideal) :
- rattaché directement à la Direction générale- dispose d’un budget spécifique
Pourquoi?
- SSI = partie intégrante de la stratégie de l’entreprise- La SSI doit venir de la volonté du sommet de l’entreprise- La SSI exige une vision globale de l’entreprise
Fonctions
- Bonne connaissance de l’ensemble des métiers, ancienneté - Bonnes compétences techniques (système et réseau) - Sens avéré de la stratégie et de la communication
Missions
- Analyse des risques.- Contrôle, audit.- Architecture, conception.- Veille technologique.- Sensibilisation, formation.
35AVRIL 2005Thierry RAMARD
- Sous la responsabilité de la DG
- Un budget propre
- Fonctions:
• examiner et approuver la politique de sécurité de l’information
• gérer la sécurité de l’information
• contrôler les changements significatifs des SI et des dispositifs de Sécurité
• examiner et contrôler les incidents de sécurité
• approuver les principales initiatives qui permettent de renforcer la sécurité de l’information
• nommer le RSSI
Comité de Sécurité des Systèmes d’Information (CSSI)
36AVRIL 2005Thierry RAMARD
Continuité de servicesBCP (PCA) / DRP (PRA)
AVRIL 2005Conférence sécurité
37AVRIL 2005Thierry RAMARD
Sommaire
Le contexte général & les enjeux
Méthode et démarche
Sommaire
38AVRIL 2005Thierry RAMARD
Des risques à impacts majeurs
Inondation Incendie
Tremblement de terre Attentat
Un environnement risqué
Chute d’avion
Explosion industriel
Gard (FR) Somme (FR)Asie
IranAlgérieJapon
Toulouse (FR)Ath (BE)
Crédit Lyonnais (FR)Bibliothèque nationale (FR)Franière industrie (BE)
New YorkMadridConcorde
New YorkMadridLondresIrlande
Tempête / Ouragan …….
Un environnement risqué
39AVRIL 2005Thierry RAMARD
Un environnement risqué
Des servitudes de plus en plus défaillantes
Rupture d’alimentation électrique
Rupture de télécommunications
Rupture de climatisation
SuisseEtat-UnisAngleterre
France TélécomBouygues
Un environnement risqué
40AVRIL 2005Thierry RAMARD
Un environnement risqué
Les risques humains sont importants
Conflit social interne
Conflit social externe
Erreur humaine
Malveillance
Grèves dans les transports (SNCF, RATP)Grèves 1995Grèves des routiers
Pirate informatiqueEspionnageVol - Sabotage
Erreur utilisateurErreur de programmation
Un environnement risqué
41AVRIL 2005Thierry RAMARD
Un environnement risqué
Les systèmes d’information sont vulnérables
Panne matériel
Vulnérabilités technologiques
Les informations sont mal protégées
Les utilisateurs ne sont pas suffisamment formés
Un environnement risqué
42AVRIL 2005Thierry RAMARD
Un environnement risqué
Les procédures ne sont pas toujours adaptées
Pas de procédures formalisées
Les rôles et les responsabilités ne sont pas définies
La gestion de crise est souvent négligée
Un environnement risqué
43AVRIL 2005Thierry RAMARD
Les enjeux sont importants
Les marges d’exploitation peuvent être impactées
Le chiffre d’affaires peut diminuer
La productivité peut être affectée
Impossibilité de fournir un service ou un produit
Perte de productivité
Insatisfaction & perte de clients
Frais et charges supplémentaires non prévues
Indisponibilité de ses moyens de production
Les enjeux sont importants
44AVRIL 2005Thierry RAMARD
Sommaire
Le contexte général & les enjeux
Méthode et démarche
Sommaire
45AVRIL 2005Thierry RAMARD
Méthode et démarche
La continuité des activités et les plans de secours
Modèle et guide du BCI
Business Continuity Management
&
Disaster Recovery Plan
Méthode et démarche
46AVRIL 2005Thierry RAMARD
Les phases d’un projet
P1 : Analyser les exigences et les enjeux
Identifier les processus et les fonctions critiquesIdentifier les ressources et les flux internes et externes critiquesIdentifier les obligations légales et contractuelles critiques
Classifier les informations, les ressources et les flux
Définir les scénarios de sinistre à prendre en compteMesurer les impacts des scénarios sur l’entreprise (par processus)Définir les temps de reprise par processus ou activités (MTO, RTO)
Analyser les impacts métiers (BIA)
Identifier les menaces pesant sur les processus et les fonctions critiquesAnalyser les probabilités de survenance des risquesCartographier les risques potentiels et résiduels (en intégrant les BIA)
Analyser les risques potentiels et résiduels
Faire valider les exigences et les enjeux par la direction générale
Les phases d’un projet
47AVRIL 2005Thierry RAMARD
Les phases d’un projet
P2 : Définir la stratégie de gestion de la continuité
Formaliser les choix parmi :• Ne pas traiter le risque (risques acceptables pour la DG)• Changer ou améliorer les procédures actuelles• Couvrir le risque par une assurance• Mettre en œuvre des solutions pour réduire le risque
Définir les orientations stratégiques (externalisation, internes, etc.)
Définir la stratégie générale de continuité
Définir la stratégie au niveau des processus métiers
Valider les MTO et RTO pour chaque processus métiersIdentifier les solutions stratégiques appropriéesChiffrer les solutions en terme d’efficacité, d’objectifs et de coûts
Faire valider la stratégie de continuité par la direction générale
Définir les ressources nécessaires à la reprise d’activité
Définir les ressources humaines et techniques nécessairesDéfinir le plan d’actions de déploiement du projet
Les phases d’un projet
48AVRIL 2005Thierry RAMARD
Les phases d’un projet
P3 : Définir un plan stratégique de gestion de crise
Définir l’équipe de gestion de crise (ressources, responsabilité, etc.)Définir la stratégie de gestion de crise (objectifs, localisation, contenu, etc.)
Définir le plan de gestion de crise (CMP)
Définir les plans de continuité d’activité
Définir la liste des actions à mener en cas de criseDéfinir le déroulement des plans d’actions (ressources, timing, etc.)
Définir les plans opérationnels de reprise d’activité
Définir les l’organisation et les ressources dans les BU ou services Définir les procédures de traitements des incidents
Les phases d’un projet
49AVRIL 2005Thierry RAMARD
Les phases d’un projet
P4 : Former et sensibiliser à la continuité d’activité
Evaluer le degré de sensibilisation des utilisateurs
Former et sensibiliser les utilisateurs
Définir le contenu précis des programmes de formationsFormer les utilisateurs
Auditer les utilisateurs et évaluer leur degré de sensibilisationDéfinir les plans de formation adaptés
Evaluer les changements de comportement
Définir le programme d’évaluation continuEvaluer régulièrement les utilisateurs et mesurer les évolutions
Les phases d’un projet
50AVRIL 2005Thierry RAMARD
Les phases d’un projet
P5 : Tester et maintenir le plan de continuité
Tester le plan de continuité d’activité
Maintenir le plan de continuité
Définir les procédures d’évolutions du BCPDéfinir les responsabilités dans le processus de maintenance
Définir les objectifs et le champ des tests (évaluer les risques)Mettre en œuvre le plan de testsAnalyser les résultats des tests
Auditer le plan de continuité
Définir les procédures, le champ et les méthodes d’auditDéfinir les procédures de prise en compte des résultats d’audit
Les phases d’un projet
51AVRIL 2005Thierry RAMARD
52AVRIL 2005Thierry RAMARD
Objectif de ce cours
Fournir un panorama des techniques, solutions et méthodes permettant de mettre en évidence les
risques relatifs à la sécurité du SI
Ne seront pas abordés :
• Les méthodes d’analyse des risques dans les projets informatiques
• Les outils ou méthodes d’audit du SI (ex.: COBIT) • Le contenu détaillé des méthodes
53AVRIL 2005Thierry RAMARD
Sujets abordés
Introduction Les objectifs recherchés Les enjeux majeurs des entreprises – pourquoi faire une analyse des risques ?
Audit vs Analyse de risques La gouvernance des risques
Les approches ….. … par la mesure de l’historique … par la mesure des risques « intrinsèques » … par la mesure des risques « résiduels »
L’état du marché Les méthodes « gouvernementales / d’états » (ou soutenues par) Les méthodes « issues du secteur associatif » Les méthodes « universitaires / R&D» Les méthodes « privées » (développées par des fournisseurs privées)
Les méthodes « Internes » (développées par les entreprises en interne)
54AVRIL 2005Thierry RAMARD
Objectifs recherchés
« Cartographier » l’ensemble des risques pesant sur l’entreprise afin de prendre les décisions stratégiques adaptées …..
…. En fonction du niveau de gravité des risques encourus ….
…. Décisions de traitement ou non des risques
L’analyse des risques est un « outil » de management et de pilotage
55AVRIL 2005Thierry RAMARD
Un audit identifie les failles et les vulnérabilités : - Plus la faille est importante, plus la probabilité de survenance d’un incident est élevée
Une analyse des risques intègre l’analyse de la conséquence
(l’impact) de l’exploitation de la faille : - Plus la faille est importante et plus l’impact de son exploitation est important, plus la gravité du risque est élevée
Audit vs Analyse de risques
Mesure de la gravité
56AVRIL 2005Thierry RAMARD
2 méthodes de calcul / d’estimationdu niveau de risque
Quantitative – Cette méthode vise à exprimer le risque en termes financiers et de fréquence
Qualitative – Cette méthode vise à exprimer le risque en terme d’impact potentiel et de probabilité de survenance.
57AVRIL 2005Thierry RAMARD
Les approches (1/3)
Catégorie 1 : Approche par la mesure de l’historique
L’idée : Travailler sur l’historique des incidents
L’objectif : Calculer le coût des incidents sur les 12 derniers mois
2 variables : - L’impact financier d’un sinistre (mesure quantitative)- La fréquence annuelle (mesure quantitative)
Intérêts Sensibilise fortement une direction généralePragmatique et concretExigée par certaines directives (Bâle II) et par certains métiers
58AVRIL 2005Thierry RAMARD
Les approches (2/3)
Catégorie 2 : Approche par la mesure des risques « intrinsèques »
L’idée : Analyser les probabilités de survenance et les impacts métiers (menaces et impacts intrinsèques)
L’objectif : Dresser une cartographie des risques perçus (vision DG)
2 variables : - L’impact « métiers » (mesure qualitative ou mesure quantitative)
- La probabilité potentielle estimée ou la fréquence (C1)
Intérêts Fournie la vision des risques perçus par le managementRapide à réaliser
59AVRIL 2005Thierry RAMARD
Les approches (3/3)
Catégorie 3 : Approche par la mesure des risques « résiduels »
L’idée : Analyser les impacts métiers et auditer les vulnérabilités
L’objectif : Dresser une cartographie des risques résiduels
2 variables : - L’impact métier (mesure quantitative ou mesure qualitative)- La probabilité potentielle mesurée (mesure qualitative)
Intérêts Mesure le niveau de risques résiduelExhaustif (en fonction de la nature de l’audit)Permet une comparaison avec la vision DG (C2)
60AVRIL 2005Thierry RAMARD
L’état du marché (1/5)
Famille 1 : Méthodes « gouvernementales / d’état » ou soutenues par …
France : EBIOS (DCSSI)
Angleterre : CRAMM (Siemens)
[Allemagne : BSI ] : Plus un outil d’audit
- Développé depuis 1995- Logiciel EBIOS disponible gratuitement- « Compatible » ISO 17799- Langue Française- Cible : Administration & grands comptes
Méthode de catégorie 2Mesure qualitative
- Développé depuis 1986- Logiciel CRAMM V5 - à partir de 6 600$- « Full - Compatible » BS 7799 / ISO 17799- Langue Anglaise- Cible : Administration & grands comptes & PME-PMI
Méthode de catégorie 3Mesure qualitative
Australie : Guide (élaboré par l’«Office of Information and communications Technology)
61AVRIL 2005Thierry RAMARD
L’état du marché (2/5)
Famille 1 : Méthodes « issues du monde associatif »
France : MARION (CLUSIF)
France : MEHARI (CLUSIF)
- Fin des développements depuis 1998
Méthode de catégorie 2
- Développé depuis 1995- 500€ pour les bases de connaissance (Clusif)- Logiciel RISICARE (Société BUC SA) – 9 200 € - « Compatible » BS 7799 / ISO 17799- Langue Française (en cours de traduction en Anglais)- Cible : Administration & grands comptes & PME-PMI
Méthode de catégorie 2 & 3Mesure qualitative
Angleterre : SPRINT (ISF) - Développé depuis 1995- Logiciel SPRINT (gratuit pour les membres)- « Compatible » BS 7799 / ISO 17799- Langue Anglaise- Cible : Administration & grands comptes
Méthode de catégorie 3Mesure qualitative
62AVRIL 2005Thierry RAMARD
L’état du marché (3/5)
Famille 1 : Méthodes « universitaires et R&D »
Etats Unis : OCTAVE (Carnegie Mellon)
Luxembourg : Programme de recherche
- Développé depuis 1999- Logiciel OCTAVE – à partir de 1000 €- Pas de référence l’ISO 17799- Langue Anglaise- Cible : Administration & grands comptes & PME/PMI Méthode de catégorie 2 & 3
Mesure qualitative
- Depuis Mai 2005- Travaux de recherche sur la convergence MEHARI (FR) et BSI (DE)
Méthode de catégorie 2 et/ou 3
63AVRIL 2005Thierry RAMARD
L’état du marché (4/5)Famille 1 : Méthodes « issues du secteur privé »
France : SCORE (Ageris Consulting) - Développé depuis fin 2004- Logiciels SCORE & ROSI+ / Modèle MOSAIC – à partir de 2 400 €- « Full - Compatible » BS 7799 / ISO 17799- Langue Française (& Anglaise – en cours)- Cible : Administration & grands comptes & PME-PMI
Méthode de catégorie 1,2 & 3Mesure qualitative et mesure quantitative
Angleterre : COBRA (C & A Systems Security Limited)
Belgique : ISAMM (Evosec) - Développé depuis 2002 – méthode « de consultants »- « Compatible » BS 7799 / ISO 17799- Langue Anglaise- Cible : Administration & grands comptes & PME-PMI
- Développé depuis 2001- Logiciel Cobra – à partir de 895 $- « Full - Compatible » BS 7799 / ISO 17799- Langue Anglaise- Cible : Administration & grands comptes & PME-PMI
Méthode de catégorie 3Mesure quantitative
Méthode de catégorie 3Mesure qualitative
Canada : CALLIO (CALLIO Technologies)
Méthode de catégorie 3Mesure qualitative
- Développé depuis 2001- Logiciel CALLIO Secura. À partir de 6 995 €- « Full - Compatible » BS 7799 / ISO 17799- Langue Française & Anglaise- Cible : Administration & grands comptes & PME-PMI
Allemagne : RA2 (aexis)
France : RISICARE (BUC sa)
- Développé depuis 2000- Logiciel : 1 500 €- « Full - Compatible » BS 7799 / ISO 17799- Langue Anglaise & Japonaise- Cible : Administration & grands comptes & PME-PMI
Méthode de catégorie 2 & 3Mesure qualitative
64AVRIL 2005Thierry RAMARD
L’état du marché (5/5)
Famille 5 : Méthodes « développées en interne »
Adaptation de méthodes des années 80-90 (Marion ou Mélisa (CF6))
Développement par des équipes DSI / RSSI
Méthode de catégorie 2Mesure qualitative
Méthode de catégorie 2 ou 3
Développement par des équipes de « Risk Management » Méthode de catégorie 1 & 3
- Notamment dans le secteur financier (exigences Bâle II)- mais également dans d’autres secteurs (ex. : Logistique)
65AVRIL 2005Thierry RAMARD
Les critères de choix
L’approche (M : quantitative/qualitative ; C : historique/intrinsèque/résiduel)
l’origine de la méthode (Famille – pays)
Le langage d’utilisation (FR, EN, FR & EN, autre)
Le support d’un logiciel ou d’utilitaires
Le support et l’assistance locale
L’adaptabilité et la personnalisation au contexte
Facilité d’utilisation et le pragmatisme
La compatibilité avec la norme ISO 17799
Le coût
66AVRIL 2005Thierry RAMARD
67AVRIL 2005Thierry RAMARD
Conclusion
Le nombre de méthodes / d’outils disponibles (> 12) et leurs caractéristiques permet à l’entreprise de choisir celle la mieux adaptée à ces besoins.
L’analyse des risques répond à un besoin de gouvernance des risques