Upload
phungtruc
View
213
Download
0
Embed Size (px)
Citation preview
Risicare Premium en pratique…
…selon Méhari 2010 Et ISO 27005
Novembre 2010
Pour l’ASIQ
www.pr4gm4.com
Copyright © 2010 - PR4GM411
Un peu d’histoire…
ISO 2700xISO 27005 Gestion des risques
Bien comprendre la théorie pour bien la mettre en pratique
2008
1996
1998
Version 2001, V3, 2007, 2010…
Copyright © 2010 - PR4GM42
Version 2007, Premium…
Méhari vs ISO 27002Domaines5 Politique de sécurité6 Organisation de la sécurité de l'information7 Gestion des biens8 Sécurité liée aux ressources humaines9 Sécurité physique et environnementale10 Gestion de l'exploitation et des
télécommunications11 Contrôle d'accès12 Acquisition, développement et maintenance
des systèmes d'information13 Gestion des incidents liés à la sécurité de
l'information14 Gestion du plan de continuité de l'activité15 Conformité
Domaines
1 Organisation de la sécurité
2 Sécurité des sites
3 Sécurité des locaux
4 Réseau étendus intersites (WAN)
5 Réseau Local (LAN)
6 Exploitation des réseaux
7 Sécurité des systèmes et de leur architecture
8 Production informatique
9 Sécurité Applicative
10 Sécurité des projets et développements applicatifs
11 Protection des postes de travail utilisateurs
12 Exploitation des télécommunications
13 Processus de gestion
14 Gestion de la sécurité de l’information
133 mesures2134 questions Copyright © 2010 - PR4GM43
Gestion du risque en sécurité de l’information selon ISO
27 0007Audit d’un
SMSI
27 0006 Exigences d’audit et
certification
27 0005Gestion des
risques 27 0004Indicateur et tableaux de
bord
27 0003Implémentatio
n SMSI
27 0001Exigences d’un SMSI
27 0002 Guide des bonnes pratiques
27 0000Définition et vocabulaire
27 000x
Analyse de risques
Copyright © 2010 - PR4GM44
Exemple de risque appréhendé
Indisponibilité
de l'information
Indisponibilité de l’information
http://www.zataz.com/news/13412/virus-informatique-%C3%A0-l-hopital.html
Copyright © 2010 - PR4GM45
Exemple de risque appréhendé
Perte
d'informations
Perte de renseignements personnels
http://www.ledevoir.com/economie/127930/fraude-et-pertes-de-renseignements-personnels-chez-talvest-et-tjx-cos
Copyright © 2010 - PR4GM46
Exemple de risque appréhendé
Modification
volontaire
de l'information
Un employé de la banque HSBC détourne 900.000 euros
http://lci.tf1.fr/france/faits-divers/2009-03/un-employe-de-la-banque-hsbc-detourne-900-000-euros-4865024.html
Copyright © 2010 - PR4GM47
Enjeux corporatifs
• Les risques d’affaires appréhendés peuvent être :
–Accès à l’information (V, I)
–Modification d’information (V, I)
–Perte d’information
–Vol d’information
– Indisponibilité de l’information
Copyright © 2010 - PR4GM48
Gestion des risques corporatifs
Gestion de la sécurité de l’information liée aux TI
Gestion du risque en sécurité de l’information
ISO 27005 Gestion du risque en sécurité de l’information
Analyse de risques en sécurité de
l’information
27
00
2
27
00
5
Risicare = OutilMéhari = Méthode
Copyright © 2010 - PR4GM411
Très TI
Établissement du contexte
Organisation
Vice-présidence (ligne d’affaires)
Direction
Secteur
Projet Système
Information et services corpos
Copyright © 2010 - PR4GM415
Niveau de maturité selon Risicare
ISO 27002 Méhari
environ 670……………..sur 2134 questions.
Copyright © 2010 - PR4GM419
de la norme ISO2700x
UniformiseEncadreOrienteGuide
Confirme des intuitions de gestion des risquesselon les besoins d’affaires d’une organisation.
Copyright © 2010 - PR4GM421
de Méhari & Risicare
+ 2000 mesures et mécanismes de sécurité tant technologiques qu’organisationnels
+ 800 scénarios de risques(45 familles de scénarios)
Copyright © 2010 - PR4GM422
Avantages de Risicare
Hérite du meilleur de Méhari (scénarios de risques)
Hérite des meilleures pratiques
Automatise les calculs
Facilite le retour en arrière
Facilite la présentation à des gestionnaires
Permet de faire un suivi année après année
Possibilité de personnalisation et d’ajout de thèmes avec RisiBase
Copyright © 2010 - PR4GM429
RecommandationsDans la mise en place• Comprendre le langage ISO/Méhari/Risicare• Désigner une cellule de gestion du risque TI• Comprendre les domaines d’affaires de son organisation• Définir le contexte (dans la philosophie SMSI)• Préparer les intrants (identification des processus)• Se doter de courroies d’engrenage ‘maison’• Rentrer dans un modèle d’amélioration continue
Dans l’utilisation• Accepter la ‘jeunesse’ de la science• Ne pas se laisser démotiver par l’ampleur des questionnaires• Adapter son discours face à son interlocuteur (pas assez technique,
pas assez gestion…)
Copyright © 2010 - PR4GM430
Christophe Jolivet
418-261-6320
Copyright © 2010 - PR4GM431
Reproduction de ce document
Ce document est diffusé selon les termes de la licence BY-NC-ND du Creative Commons. Vous êtes libres de reproduire, distribuer et communiquer cette création au public selon les conditions suivantes :
• Paternité. Vous devez citer le nom de l’auteur original de la manière indiquée par l’auteur de l’œuvre ou le titulaire des droits qui vous confère cette autorisation (mais pas d’une manière qui suggérerait qu’ils vous soutiennent ou approuvent votre utilisation de l’œuvre).• Pas d’utilisation commerciale. Vous n’avez pas le droit d’utiliser cette création à des fins commerciales.• Pas de modification. Vous n’avez pas le droit de modifier, de transformer ou d’adapter cette création.
Pour toute demande, veuillez communiquer avec Christophe Jolivet à [email protected] ou au 418-261-6320. Merci.
Copyright © 2010 - PR4GM432