Risicare Premium en pratique…

…selon Méhari 2010 Et ISO 27005

Novembre 2010

Pour l’ASIQ

www.pr4gm4.com

Copyright © 2010 - PR4GM411

Un peu d’histoire…

ISO 2700xISO 27005 Gestion des risques

Bien comprendre la théorie pour bien la mettre en pratique

2008

1996

1998

Version 2001, V3, 2007, 2010…

Copyright © 2010 - PR4GM42

Version 2007, Premium…

Méhari vs ISO 27002Domaines5 Politique de sécurité6 Organisation de la sécurité de l'information7 Gestion des biens8 Sécurité liée aux ressources humaines9 Sécurité physique et environnementale10 Gestion de l'exploitation et des

télécommunications11 Contrôle d'accès12 Acquisition, développement et maintenance

des systèmes d'information13 Gestion des incidents liés à la sécurité de

l'information14 Gestion du plan de continuité de l'activité15 Conformité

Domaines

1 Organisation de la sécurité

2 Sécurité des sites

3 Sécurité des locaux

4 Réseau étendus intersites (WAN)

5 Réseau Local (LAN)

6 Exploitation des réseaux

7 Sécurité des systèmes et de leur architecture

8 Production informatique

9 Sécurité Applicative

10 Sécurité des projets et développements applicatifs

11 Protection des postes de travail utilisateurs

12 Exploitation des télécommunications

13 Processus de gestion

14 Gestion de la sécurité de l’information

133 mesures2134 questions Copyright © 2010 - PR4GM43

Gestion du risque en sécurité de l’information selon ISO

27 0007Audit d’un

SMSI

27 0006 Exigences d’audit et

certification

27 0005Gestion des

risques 27 0004Indicateur et tableaux de

bord

27 0003Implémentatio

n SMSI

27 0001Exigences d’un SMSI

27 0002 Guide des bonnes pratiques

27 0000Définition et vocabulaire

27 000x

Analyse de risques

Copyright © 2010 - PR4GM44

Exemple de risque appréhendé

Indisponibilité

de l'information

Indisponibilité de l’information

http://www.zataz.com/news/13412/virus-informatique-%C3%A0-l-hopital.html

Copyright © 2010 - PR4GM45

Exemple de risque appréhendé

Perte

d'informations

Perte de renseignements personnels

http://www.ledevoir.com/economie/127930/fraude-et-pertes-de-renseignements-personnels-chez-talvest-et-tjx-cos

Copyright © 2010 - PR4GM46

Exemple de risque appréhendé

Modification

volontaire

de l'information

Un employé de la banque HSBC détourne 900.000 euros

http://lci.tf1.fr/france/faits-divers/2009-03/un-employe-de-la-banque-hsbc-detourne-900-000-euros-4865024.html

Copyright © 2010 - PR4GM47

Enjeux corporatifs

• Les risques d’affaires appréhendés peuvent être :

–Accès à l’information (V, I)

–Modification d’information (V, I)

–Perte d’information

–Vol d’information

– Indisponibilité de l’information

Copyright © 2010 - PR4GM48

Évolution de Méhari depuis Marion et Melisa (96)

Copyright © 2010 - PR4GM49

Évolution de Méhari 2010 selon ISO

Copyright © 2010 - PR4GM410

Gestion des risques corporatifs

Gestion de la sécurité de l’information liée aux TI

Gestion du risque en sécurité de l’information

ISO 27005 Gestion du risque en sécurité de l’information

Analyse de risques en sécurité de

l’information

27

00

2

27

00

5

Risicare = OutilMéhari = Méthode

Copyright © 2010 - PR4GM411

Très TI

Processus de gestion

du risque selon

ISO 27005

Copyright © 2010 - PR4GM412

Démarche Méhari 2010

Copyright © 2010 - PR4GM413

Démarche Risicare Premium

Copyright © 2010 - PR4GM414

Établissement du contexte

Organisation

Vice-présidence (ligne d’affaires)

Direction

Secteur

Projet Système

Information et services corpos

Copyright © 2010 - PR4GM415

Classification des actifs

Copyright © 2010 - PR4GM416

Section Enjeux dans Risicare

Copyright © 2010 - PR4GM417

Phase d’audit dans Risicare

Copyright © 2010 - PR4GM418

Niveau de maturité selon Risicare

ISO 27002 Méhari

environ 670……………..sur 2134 questions.

Copyright © 2010 - PR4GM419

Évaluation du risque selon Risicare

Copyright © 2010 - PR4GM420

de la norme ISO2700x

UniformiseEncadreOrienteGuide

Confirme des intuitions de gestion des risquesselon les besoins d’affaires d’une organisation.

Copyright © 2010 - PR4GM421

de Méhari & Risicare

+ 2000 mesures et mécanismes de sécurité tant technologiques qu’organisationnels

+ 800 scénarios de risques(45 familles de scénarios)

Copyright © 2010 - PR4GM422

Traitement des risques selon Risicare

Copyright © 2010 - PR4GM423

Présentation du risque initial

Avant traitement :

Copyright © 2010 - PR4GM424

Gestion par projet dans Risicare

Copyright © 2010 - PR4GM425

Présentation du risque résiduel

Après traitement :

Copyright © 2010 - PR4GM426

Déclaration d’applicabilité (ISO)

Copyright © 2010 - PR4GM427

Déclaration d’applicabilité

Déclaration

Mesures réductrices

Copyright © 2010 - PR4GM428

Avantages de Risicare

Hérite du meilleur de Méhari (scénarios de risques)

Hérite des meilleures pratiques

Automatise les calculs

Facilite le retour en arrière

Facilite la présentation à des gestionnaires

Permet de faire un suivi année après année

Possibilité de personnalisation et d’ajout de thèmes avec RisiBase

Copyright © 2010 - PR4GM429

RecommandationsDans la mise en place• Comprendre le langage ISO/Méhari/Risicare• Désigner une cellule de gestion du risque TI• Comprendre les domaines d’affaires de son organisation• Définir le contexte (dans la philosophie SMSI)• Préparer les intrants (identification des processus)• Se doter de courroies d’engrenage ‘maison’• Rentrer dans un modèle d’amélioration continue

Dans l’utilisation• Accepter la ‘jeunesse’ de la science• Ne pas se laisser démotiver par l’ampleur des questionnaires• Adapter son discours face à son interlocuteur (pas assez technique,

pas assez gestion…)

Copyright © 2010 - PR4GM430

Christophe Jolivet

cjolivet@pr4gm4.com

418-261-6320

Copyright © 2010 - PR4GM431

Reproduction de ce document

Ce document est diffusé selon les termes de la licence BY-NC-ND du Creative Commons. Vous êtes libres de reproduire, distribuer et communiquer cette création au public selon les conditions suivantes :

• Paternité. Vous devez citer le nom de l’auteur original de la manière indiquée par l’auteur de l’œuvre ou le titulaire des droits qui vous confère cette autorisation (mais pas d’une manière qui suggérerait qu’ils vous soutiennent ou approuvent votre utilisation de l’œuvre).• Pas d’utilisation commerciale. Vous n’avez pas le droit d’utiliser cette création à des fins commerciales.• Pas de modification. Vous n’avez pas le droit de modifier, de transformer ou d’adapter cette création.

Pour toute demande, veuillez communiquer avec Christophe Jolivet à cjolivet@pr4gm4.com ou au 418-261-6320. Merci.

Copyright © 2010 - PR4GM432