AVRIL 2005 Thierry RAMARD 1 Comment utiliser la norme ISO 17799 dans un modèle de gouvernance des risques ? AVRIL 2005 Conférence sécurité

1AVRIL 2005Thierry RAMARD

Comment utiliser la norme ISO 17799dans un modèle

de gouvernance des risques ?

AVRIL 2005Conférence sécurité


Sommaire

Modèle de gestion des risques

Norme ISO 17799 : Concepts généraux

Usage de la norme dans le cadre de la gestion des risques

Conclusion


1. La stratégie de protection du SI doit intégrer l’approche métier & les enjeux de l’entreprise pour être efficace.

2. La gestion des risques doit devenir une culture d’entreprise.

3. Tous les acteurs de l’entreprise (management, utilisateurs, équipes informatiques, etc.) doivent être impliqués

4. L’approche technologique génère des investissements pas toujours justifiés et justifiables : attention au surinvestissement.

5. Une approche structurée de la sécurité incluant les aspects organisationnels et techniques est indispensable.

Les enjeux pour l’entreprise (5/5)STRATEGIE GENERALE A METTRE EN OEUVRE



Fournir une approche structurée et méthodologique,

Intégrant la dimension « métier » de l’entreprise,

Prenant en compte les aspects humains, structurels, organisationnels et techniques,

Prenant en compte la situation opérationnelle réelle de l’entreprise tout en

Limitant les coûts et optimisant les ROIs.

Modèle Général (1/2)Objectifs d’un modèle de gestion des risques


Stratégie générale d’entreprise

Définition de la politique de

sécurité du SI

Définition de la politique de

sécurité du SI

Mesure et analyse des enjeux « métiers »


Mesure et analyse des risques

résiduels

Mesure et analyse des risques

résiduels

Définition & mise en œuvre d’un plan d’actions sécurité

pluriannuel


pluriannuel

Approche « Top-down »


Approche « Bottom-up »


Définition & mise en œuvre d’un tableau de bord

sécurité

Définition & mise en œuvre d’un tableau de bord

sécurité

Actions techniques

Actions techniques

Actions fonctionnelles


Analyses financières

Analyses financières

1

2 3

4

5

© Copyright Ageris Consulting

Modèle Général (2/2)Démarche Générale


1. Cartographier et classifier les flux d’informationsflux d’informations2. Mesurer le coûtle coût de son insécurité (calcul du coût des incidents)3. Evaluer les menaces et les risques potentielsrisques potentiels qui pèsent sur l’entreprise4. Définir les exigencesexigences de protection

5. Rédiger une politique généralepolitique générale de sécurité6. Définir les directives techniques et fonctionnellesdirectives techniques et fonctionnelles de protection du SI7. Rédiger une charte informatiquecharte informatique à destination des utilisateurs internes

8. Identifier ses vulnérabilitésvulnérabilités9. Cartographier ses risques réelsrisques réels

10. Définir les les actions de protectionactions de protection à déployer11. Planifier les actions dans un un plan pluriannuelplan pluriannuel12. Calculer les retours sur investissementretours sur investissement (ROI) et les gains escomptés13. Calculer les budgets pluriannuelsbudgets pluriannuels

14. Désigner les Responsabilités en matière de sécuritéResponsabilités en matière de sécurité du SI 15. Définir des tableaux de bordtableaux de bord sécurité

MOSAIC = 15 actionsListe des actions à mener

1

2

3

4

5



Quelques autres normes

Les sources d'information :

ISO TR 13335 : GMITS - nouvelle partie 2 (en préparation)ISO 15408 : Critères CommunsISO 17799 : Code of Practice ISO 15947 : Intrusion Detection FrameworkISO TR 13569 : B&F Services - Information Security Guidelines

Projets ISO :18028 : Network Security18044 : Security Incident Management (SIM)18043 : Intrusion Detection Systems (IDS)15443 : Framework for Security Assurance (FRITSA)17944 : B&F Services - Framework for Security in Financial Systems


Historique

1992

« Code de bonnes pratiques »

Groupe de travail industriels

1995 1999

2000

2001 2005

British Standard InstitutBS7799 : 1995

Révision BS7799 part 1 & 2

1998

BS7799 : 1998 part 2

ISO 17799 : 2000 (BS7799:1999 part 1)

Fast Track AoûtParution Décembre

ISO 17799 : 2005 Parution 2ème Semestre

Démarrage révision ISO 17799 : 2000

2002

BS7799 : 2002 part 2

200x

Normalisation de la partie 2 de la

BS 7799 : Certification ISO

17799

Historique de la norme ISO 17799


Structure et contenu (1/2)127 Mesures (contrôles) de sécurité

10 domainesVERSION 2000 133 Mesures(contrôles) de sécurité

11 domainesVERSION 2005

SECURITY POLICY

SECURITY ORGANISATION

ASSET CLASSIFICATION & CONTROL

PERSONNAL SECURITY

PHYSICAL & ENVIRONMENTAL SECURITY

COMMUNICATIONS & OPERATIONS MANAGEMENT

ACCESS CONTROL

SYSTEM DEVELOPMENT & MAINTENANCE

BUSINESS CONTINUITY

COMPLIANCE

SECURITY POLICY

ORGANISING INFORMATION SECURITY

ASSET MANAGEMENT

HUMAN RESOURCES SECURITY

PHYSICAL & ENVIRONMENTAL SECURITY

COMMUNICATIONS & OPERATIONS MANAGEMENT

ACCESS CONTROL

INFORMATION SYSTEM ACQUISITION, DEVELOPMENT & MAINTENANCE

BUSINESS CONTINUITY MANAGEMENT

COMPLIANCE

INFORMATION SECURITY INCIDENT MANAGEMENT

Evolution de la norme


Structure et contenu (2/2)

9 mesures supprimées 17 mesures ajoutées125 mesures réviséesISO 17799 : 2000 ISO 17799 : 2005

Contrôles/mesures+

Quelques définitions et

guides de mise en oeuvre

CONTRÔLES / MESURES

GUIDES DETAILLES DE MISE EN OEUVRE

INFORMATIONS COMPLEMENTAIRES

Principaux apports



Usage de la norme (1/4)

1. SUPPORT POUR LA DEFINITION D’UNE POLITIQUE DE SECURITE

GUIDE DE BONNES PRATIQUES A ADAPTER AU CONTEXTE DE L’ENTREPRISE

(REFERENTIEL DE SECURITE)

A COMPLETER PAR DES DIRECTIVES (MESURES) NON TRAITEES

Exemple de framework

Cas 1



2. EVALUATION DES MESURES DEPLOYEES

AUDIT DU SYSTEME D’INFORMATION A COMPLETER PAR UNE ANALYSE DES RISQUES

Exemple de résultats

CARTOGRAPHIE DES RISQUES

0,0

0,2

0,4

0,6

0,8

1,0

12

3

4

5

6

7

8

9

10

11

121314

15

16

17

18

19

20

21

22

23

24

25

Risques réels

Vision ENJEUX

Cas 2



3. SUPPORT POUR LA DEFINITION D’UN PLAN D’ACTIONS

STRUCTURATION DU PLAN D’ACTIONS A COMPLETER PAR DES MESURES DETAILLEES


Cas 3



4. SUPPORT POUR LA CREATION DE TABLEAUX DE BORD

PERMET UN SUIVI DE LA POLITIQUE DE SECURITE

SENSIBILISE LA DIRECTION GENERALE


Cas 4



Conclusion (1/2)La norme ISO 17799 est un bon outil pour la gouvernance des risques

Stratégie générale d’entreprise

Définition de la politique de sécurité

du SI

Définition de la politique de sécurité

du SI



Mesure et analyse des risques résiduels

Mesure et analyse des risques résiduels


pluriannuel


pluriannuel





Définition & mise en œuvre d’un tableau

de bord sécurité

Définition & mise en œuvre d’un tableau

de bord sécurité

Actions techniques

Actions techniques



Analyses financière

s

Analyses financière

s

1

2 3

4

5


Synthèse de l’utilisation de la norme ISO 17799


Son usage tend à se généraliser au niveau international et en France

Conclusion (2/2)

Une certification ISO est possible depuis peu ISO 27001

Comparaison possible (benchmark), langage commun utile dans les groupes internationaux

Anticipation et mise en conformité possible dès aujourd’hui

Evolutions futures


Politique de sécurité : Framework


Politique de sécurité de l’information

Organisation de la sécurité

Directives de sécurité au niveau :

Des employés et des Sous traitants

De l’infrastructure

technique

Des applications

et des données

Des informationsécrites

De la gestion et du suivi des

risques

De la continuité

des activités

Réseaux et Télecoms

fixe et sans fil

Systèmes centrauxet

départementaux

Données et

Informations écrites

Postes de travail fixeou nomade

Applicationset

des projets

Plan de secours

et plan de reprise

Chiffrement etcertification

Contrôle d’accès logique et physique

Gestion des alertes et des logs

Lutte anti-virale& anti spam

Sécu

rité

des

empl

oyés

Prot

ectio

n ph

ysiq

ue&

env

ironn

emen

t de

trav

ail Guide de protection des :

Choix des Solutions techniques :

Lutte anti-intrusion logique et physique

Objectifs et besoinsde sécurité

Classification des Informations et des flux

Du respect des apects juridiques

Aud

its e

t con

trôl

es

Tabl

eaux

de

bord

et s

uivi

Intelligence économique : Approche défensive

Fonctionnement de l’entreprise :Lutte contre les dysfonctionnements

Risques juridiques : Respect des lois et réglements





2 catégories :

1. Actions TECHNIQUES :

• Anti-virus,• Firewall• IDS/IPS• Chiffrement• PKI / SSO / Contrôle d’accès• Logiciels de surveillance, de traitement des fichiers logs• Solutions techniques de redondance, de sauvegardes, …..• Etc.

2. Actions FONCTIONNELLES :

• Procédures d’exploitation,• Formations / Sensibilisations,• Pilotage & suivi,• Plan de secours et plan de continuité d’activité,• Etc.

Définir les actions à déployer



Tableau de bord SSI

Situation globale

0,00

0,25

0,50

0,75

1,00Politique de sécurité


Classification des biens et des ressources

Sécurité au niveau du personnel

Sécurité physique

Gestion de la production informatique

Contrôle d'accès

Développement & maintenance applicative

Continuité de services (BCP)

Respect des aspects réglementaires

Cible

2007

2006

2005

2004



« Ensemble des lois, règlements et pratiques qui régissent la façon de gérer, protéger et diffuser les biens, en particuliers les informations sensibles, au sein de l'organisation » (ITSEC, Commission européenne, juin 1991 §2.10).

Objectifs :

- Informer et sensibiliser les individus sur les risques encourus par un système d’information (provenance du risque, risque maximum toléré…).

- Fournir les moyens techniques et organisationnels pour se prémunir des risques identifiés et garantir un niveau de sécurité durable vis-à-vis des clients de l’entreprise, du système bancaire et de l’entreprise elle-même.

- Élaborer un cadre général permettant aux opérationnels et décisionnels de construire et mettre en œuvre l’ensemble des procédures nécessaires à l’application homogène de la politique de sécurité, afin de garantir la protection du système d’information.

Objectif de la politique de sécurité


Politique générale de sécurité

Un document décrivant la politique générale de l’entreprise (2/3 pages maximum),

démontrant la motivation de la Direction Générale,

précisant les concepts et les directives générales,

et impliquant l’ensemble du personnel de l’entreprise.

Contenu général de la politique de sécurité


Politique de sécurité : Framework


Politique de sécurité de l’information


Directives de sécurité au niveau :

Des employés et des Sous traitants

De l’infrastructure

technique

Des applications

et des données

Des informationsécrites

De la gestion et du suivi des

risques

De la continuité

des activités

Réseaux et Télecoms

fixe et sans fil

Systèmes centrauxet

départementaux

Données et

Informations écrites

Postes de travail fixeou nomade

Applicationset

des projets

Plan de secours

et plan de reprise

Chiffrement etcertification

Contrôle d’accès logique et physique

Gestion des alertes et des logs

Lutte anti-virale& anti spam

Sécu

rité

des

empl

oyés

Prot

ectio

n ph

ysiq

ue&

env

ironn

emen

t de

trav

ail Guide de protection des :

Choix des Solutions techniques :

Lutte anti-intrusion logique et physique

Objectifs et besoinsde sécurité

Classification des Informations et des flux

Du respect des apects juridiques

Aud

its e

t con

trôl

es

Tabl

eaux

de

bord

et s

uivi

Intelligence économique : Approche défensive

Fonctionnement de l’entreprise :Lutte contre les dysfonctionnements

Risques juridiques : Respect des lois et réglements

Contenu détaillé de la politique de sécurité



Les acteurs de la SSI

• La sécurité doit être structurée : une organisation particulière doit être mise en place afin de gérer les différents composants de la sécurité, les acteurs et leurs évolutions.

• Les responsabilités doivent être partagées entre les différents niveaux hiérarchiques :

- Niveau décisionnel : il conçoit, met en place, et assure le respect de la politique de sécurité.

- Niveau de pilotage : il s’agit des autorités qualifiées responsables de la sécurité du système d'information dont elles ont la charge (consignes, directives, contrôle interne, sensibilisation).

- Niveau opérationnel : il s’agit des agents de la sécurité en charge de la gestion, du contrôle et du suivi de la sécurité.

RSICP : Responsable sécurité informatique du Centre de profit

CISI : Correspondant informatique du site


Responsable de la Sécurité des Systèmes d’Information (RSSI)

Définition:

« Le RSSI est le garant de la sécurité des systèmes d’information de l’entreprise. Ses domaines d’action sont multiples mais ils répondent à un seul objectif : assurer l’intégrité, la cohérence et la confidentialité des données de tous les systèmes d’information de l’entreprise. »

Positionnement hiérarchique (ideal) :

- rattaché directement à la Direction générale- dispose d’un budget spécifique

Pourquoi?

- SSI = partie intégrante de la stratégie de l’entreprise- La SSI doit venir de la volonté du sommet de l’entreprise- La SSI exige une vision globale de l’entreprise

Fonctions

- Bonne connaissance de l’ensemble des métiers, ancienneté - Bonnes compétences techniques (système et réseau) - Sens avéré de la stratégie et de la communication

Missions

- Analyse des risques.- Contrôle, audit.- Architecture, conception.- Veille technologique.- Sensibilisation, formation.


- Sous la responsabilité de la DG

- Un budget propre

- Fonctions:

• examiner et approuver la politique de sécurité de l’information

• gérer la sécurité de l’information

• contrôler les changements significatifs des SI et des dispositifs de Sécurité

• examiner et contrôler les incidents de sécurité

• approuver les principales initiatives qui permettent de renforcer la sécurité de l’information

• nommer le RSSI

Comité de Sécurité des Systèmes d’Information (CSSI)


Continuité de servicesBCP (PCA) / DRP (PRA)

AVRIL 2005Conférence sécurité


Sommaire

Le contexte général & les enjeux

Méthode et démarche

Sommaire


Des risques à impacts majeurs

Inondation Incendie

Tremblement de terre Attentat

Un environnement risqué

Chute d’avion

Explosion industriel

Gard (FR) Somme (FR)Asie

IranAlgérieJapon

Toulouse (FR)Ath (BE)

Crédit Lyonnais (FR)Bibliothèque nationale (FR)Franière industrie (BE)

New YorkMadridConcorde

New YorkMadridLondresIrlande

Tempête / Ouragan …….




Des servitudes de plus en plus défaillantes

Rupture d’alimentation électrique

Rupture de télécommunications

Rupture de climatisation

SuisseEtat-UnisAngleterre

France TélécomBouygues




Les risques humains sont importants

Conflit social interne

Conflit social externe

Erreur humaine

Malveillance

Grèves dans les transports (SNCF, RATP)Grèves 1995Grèves des routiers

Pirate informatiqueEspionnageVol - Sabotage

Erreur utilisateurErreur de programmation




Les systèmes d’information sont vulnérables

Panne matériel

Vulnérabilités technologiques

Les informations sont mal protégées

Les utilisateurs ne sont pas suffisamment formés




Les procédures ne sont pas toujours adaptées

Pas de procédures formalisées

Les rôles et les responsabilités ne sont pas définies

La gestion de crise est souvent négligée



Les enjeux sont importants

Les marges d’exploitation peuvent être impactées

Le chiffre d’affaires peut diminuer

La productivité peut être affectée

Impossibilité de fournir un service ou un produit

Perte de productivité

Insatisfaction & perte de clients

Frais et charges supplémentaires non prévues

Indisponibilité de ses moyens de production

Les enjeux sont importants


Sommaire

Le contexte général & les enjeux


Sommaire



La continuité des activités et les plans de secours

Modèle et guide du BCI

Business Continuity Management

&

Disaster Recovery Plan



Les phases d’un projet

P1 : Analyser les exigences et les enjeux

Identifier les processus et les fonctions critiquesIdentifier les ressources et les flux internes et externes critiquesIdentifier les obligations légales et contractuelles critiques

Classifier les informations, les ressources et les flux

Définir les scénarios de sinistre à prendre en compteMesurer les impacts des scénarios sur l’entreprise (par processus)Définir les temps de reprise par processus ou activités (MTO, RTO)

Analyser les impacts métiers (BIA)

Identifier les menaces pesant sur les processus et les fonctions critiquesAnalyser les probabilités de survenance des risquesCartographier les risques potentiels et résiduels (en intégrant les BIA)

Analyser les risques potentiels et résiduels

Faire valider les exigences et les enjeux par la direction générale




P2 : Définir la stratégie de gestion de la continuité

Formaliser les choix parmi :• Ne pas traiter le risque (risques acceptables pour la DG)• Changer ou améliorer les procédures actuelles• Couvrir le risque par une assurance• Mettre en œuvre des solutions pour réduire le risque

Définir les orientations stratégiques (externalisation, internes, etc.)

Définir la stratégie générale de continuité

Définir la stratégie au niveau des processus métiers

Valider les MTO et RTO pour chaque processus métiersIdentifier les solutions stratégiques appropriéesChiffrer les solutions en terme d’efficacité, d’objectifs et de coûts

Faire valider la stratégie de continuité par la direction générale

Définir les ressources nécessaires à la reprise d’activité

Définir les ressources humaines et techniques nécessairesDéfinir le plan d’actions de déploiement du projet




P3 : Définir un plan stratégique de gestion de crise

Définir l’équipe de gestion de crise (ressources, responsabilité, etc.)Définir la stratégie de gestion de crise (objectifs, localisation, contenu, etc.)

Définir le plan de gestion de crise (CMP)

Définir les plans de continuité d’activité

Définir la liste des actions à mener en cas de criseDéfinir le déroulement des plans d’actions (ressources, timing, etc.)

Définir les plans opérationnels de reprise d’activité

Définir les l’organisation et les ressources dans les BU ou services Définir les procédures de traitements des incidents




P4 : Former et sensibiliser à la continuité d’activité

Evaluer le degré de sensibilisation des utilisateurs

Former et sensibiliser les utilisateurs

Définir le contenu précis des programmes de formationsFormer les utilisateurs

Auditer les utilisateurs et évaluer leur degré de sensibilisationDéfinir les plans de formation adaptés

Evaluer les changements de comportement

Définir le programme d’évaluation continuEvaluer régulièrement les utilisateurs et mesurer les évolutions




P5 : Tester et maintenir le plan de continuité

Tester le plan de continuité d’activité

Maintenir le plan de continuité

Définir les procédures d’évolutions du BCPDéfinir les responsabilités dans le processus de maintenance

Définir les objectifs et le champ des tests (évaluer les risques)Mettre en œuvre le plan de testsAnalyser les résultats des tests

Auditer le plan de continuité

Définir les procédures, le champ et les méthodes d’auditDéfinir les procédures de prise en compte des résultats d’audit




Objectif de ce cours

Fournir un panorama des techniques, solutions et méthodes permettant de mettre en évidence les

risques relatifs à la sécurité du SI

Ne seront pas abordés :

• Les méthodes d’analyse des risques dans les projets informatiques

• Les outils ou méthodes d’audit du SI (ex.: COBIT) • Le contenu détaillé des méthodes


Sujets abordés

Introduction Les objectifs recherchés Les enjeux majeurs des entreprises – pourquoi faire une analyse des risques ?

Audit vs Analyse de risques La gouvernance des risques

Les approches ….. … par la mesure de l’historique … par la mesure des risques « intrinsèques » … par la mesure des risques « résiduels »

L’état du marché Les méthodes « gouvernementales / d’états » (ou soutenues par) Les méthodes « issues du secteur associatif » Les méthodes « universitaires / R&D» Les méthodes « privées » (développées par des fournisseurs privées)

Les méthodes « Internes » (développées par les entreprises en interne)


Objectifs recherchés

« Cartographier » l’ensemble des risques pesant sur l’entreprise afin de prendre les décisions stratégiques adaptées …..

…. En fonction du niveau de gravité des risques encourus ….

…. Décisions de traitement ou non des risques

L’analyse des risques est un « outil » de management et de pilotage


Un audit identifie les failles et les vulnérabilités : - Plus la faille est importante, plus la probabilité de survenance d’un incident est élevée

Une analyse des risques intègre l’analyse de la conséquence

(l’impact) de l’exploitation de la faille : - Plus la faille est importante et plus l’impact de son exploitation est important, plus la gravité du risque est élevée

Audit vs Analyse de risques

Mesure de la gravité


2 méthodes de calcul / d’estimationdu niveau de risque

Quantitative – Cette méthode vise à exprimer le risque en termes financiers et de fréquence

Qualitative – Cette méthode vise à exprimer le risque en terme d’impact potentiel et de probabilité de survenance.


Les approches (1/3)

Catégorie 1 : Approche par la mesure de l’historique

L’idée : Travailler sur l’historique des incidents

L’objectif : Calculer le coût des incidents sur les 12 derniers mois

2 variables : - L’impact financier d’un sinistre (mesure quantitative)- La fréquence annuelle (mesure quantitative)

Intérêts Sensibilise fortement une direction généralePragmatique et concretExigée par certaines directives (Bâle II) et par certains métiers


Les approches (2/3)

Catégorie 2 : Approche par la mesure des risques « intrinsèques »

L’idée : Analyser les probabilités de survenance et les impacts métiers (menaces et impacts intrinsèques)

L’objectif : Dresser une cartographie des risques perçus (vision DG)

2 variables : - L’impact « métiers » (mesure qualitative ou mesure quantitative)

- La probabilité potentielle estimée ou la fréquence (C1)

Intérêts Fournie la vision des risques perçus par le managementRapide à réaliser


Les approches (3/3)

Catégorie 3 : Approche par la mesure des risques « résiduels »

L’idée : Analyser les impacts métiers et auditer les vulnérabilités

L’objectif : Dresser une cartographie des risques résiduels

2 variables : - L’impact métier (mesure quantitative ou mesure qualitative)- La probabilité potentielle mesurée (mesure qualitative)

Intérêts Mesure le niveau de risques résiduelExhaustif (en fonction de la nature de l’audit)Permet une comparaison avec la vision DG (C2)


L’état du marché (1/5)

Famille 1 : Méthodes « gouvernementales / d’état » ou soutenues par …

France : EBIOS (DCSSI)

Angleterre : CRAMM (Siemens)

[Allemagne : BSI ] : Plus un outil d’audit

- Développé depuis 1995- Logiciel EBIOS disponible gratuitement- « Compatible » ISO 17799- Langue Française- Cible : Administration & grands comptes

Méthode de catégorie 2Mesure qualitative

- Développé depuis 1986- Logiciel CRAMM V5 - à partir de 6 600$- « Full - Compatible » BS 7799 / ISO 17799- Langue Anglaise- Cible : Administration & grands comptes & PME-PMI


Australie : Guide (élaboré par l’«Office of Information and communications Technology)



Famille 1 : Méthodes « issues du monde associatif »

France : MARION (CLUSIF)

France : MEHARI (CLUSIF)

- Fin des développements depuis 1998

Méthode de catégorie 2

- Développé depuis 1995- 500€ pour les bases de connaissance (Clusif)- Logiciel RISICARE (Société BUC SA) – 9 200 € - « Compatible » BS 7799 / ISO 17799- Langue Française (en cours de traduction en Anglais)- Cible : Administration & grands comptes & PME-PMI

Méthode de catégorie 2 & 3Mesure qualitative

Angleterre : SPRINT (ISF) - Développé depuis 1995- Logiciel SPRINT (gratuit pour les membres)- « Compatible » BS 7799 / ISO 17799- Langue Anglaise- Cible : Administration & grands comptes




Famille 1 : Méthodes « universitaires et R&D »

Etats Unis : OCTAVE (Carnegie Mellon)

Luxembourg : Programme de recherche

- Développé depuis 1999- Logiciel OCTAVE – à partir de 1000 €- Pas de référence l’ISO 17799- Langue Anglaise- Cible : Administration & grands comptes & PME/PMI Méthode de catégorie 2 & 3

Mesure qualitative

- Depuis Mai 2005- Travaux de recherche sur la convergence MEHARI (FR) et BSI (DE)

Méthode de catégorie 2 et/ou 3


L’état du marché (4/5)Famille 1 : Méthodes « issues du secteur privé »

France : SCORE (Ageris Consulting) - Développé depuis fin 2004- Logiciels SCORE & ROSI+ / Modèle MOSAIC – à partir de 2 400 €- « Full - Compatible » BS 7799 / ISO 17799- Langue Française (& Anglaise – en cours)- Cible : Administration & grands comptes & PME-PMI

Méthode de catégorie 1,2 & 3Mesure qualitative et mesure quantitative

Angleterre : COBRA (C & A Systems Security Limited)

Belgique : ISAMM (Evosec) - Développé depuis 2002 – méthode « de consultants »- « Compatible » BS 7799 / ISO 17799- Langue Anglaise- Cible : Administration & grands comptes & PME-PMI

- Développé depuis 2001- Logiciel Cobra – à partir de 895 $- « Full - Compatible » BS 7799 / ISO 17799- Langue Anglaise- Cible : Administration & grands comptes & PME-PMI

Méthode de catégorie 3Mesure quantitative


Canada : CALLIO (CALLIO Technologies)


- Développé depuis 2001- Logiciel CALLIO Secura. À partir de 6 995 €- « Full - Compatible » BS 7799 / ISO 17799- Langue Française & Anglaise- Cible : Administration & grands comptes & PME-PMI

Allemagne : RA2 (aexis)

France : RISICARE (BUC sa)

- Développé depuis 2000- Logiciel : 1 500 €- « Full - Compatible » BS 7799 / ISO 17799- Langue Anglaise & Japonaise- Cible : Administration & grands comptes & PME-PMI

Méthode de catégorie 2 & 3Mesure qualitative



Famille 5 : Méthodes « développées en interne »

Adaptation de méthodes des années 80-90 (Marion ou Mélisa (CF6))

Développement par des équipes DSI / RSSI


Méthode de catégorie 2 ou 3

Développement par des équipes de « Risk Management » Méthode de catégorie 1 & 3

- Notamment dans le secteur financier (exigences Bâle II)- mais également dans d’autres secteurs (ex. : Logistique)


Les critères de choix

L’approche (M : quantitative/qualitative ; C : historique/intrinsèque/résiduel)

l’origine de la méthode (Famille – pays)

Le langage d’utilisation (FR, EN, FR & EN, autre)

Le support d’un logiciel ou d’utilitaires

Le support et l’assistance locale

L’adaptabilité et la personnalisation au contexte

Facilité d’utilisation et le pragmatisme

La compatibilité avec la norme ISO 17799

Le coût



Conclusion

Le nombre de méthodes / d’outils disponibles (> 12) et leurs caractéristiques permet à l’entreprise de choisir celle la mieux adaptée à ces besoins.

L’analyse des risques répond à un besoin de gouvernance des risques

Documents

AVRIL 2005 Thierry RAMARD 1 Comment utiliser la norme ISO 17799 dans un modèle de gouvernance des risques ? AVRIL 2005 Conférence sécurité