HERVÉ SCHAUER CONSULTANTSHERVÉ SCHAUER CONSULTANTSCabinet de Consultants en Sécurité Informatique depuis 1989Cabinet de Consultants en Sécurité Informatique depuis 1989Spécialisé sur Unix, Windows, TCP/IP et InternetSpécialisé sur Unix, Windows, TCP/IP et Internet
Netfocus, Bruxelles,12 mai 2009Netfocus, Bruxelles,12 mai 2009CLUSIR Aquitaine, Bordeaux,12 juin 2009CLUSIR Aquitaine, Bordeaux,12 juin 2009
Méthode de gestion des Méthode de gestion des risques ISO 27005risques ISO 27005
Hervé SchauerHervé Schauer<[email protected]>
Copyright Hervé Schauer Consultants 2009 - Reproduction Interdite22
SommaireSommaire
Introduction
Historique
Schéma de modélisation
Exemple relié au schéma
Etablissement du contexte : critères et échelles
Cartographie des actifs
Menaces, vulnérabilités, conséquences et impacts sur les actifs
Scénarios d'incident
Plan de traitement des risques
Conclusion
Copyright Hervé Schauer Consultants 2009 - Reproduction Interdite33
IntroductionIntroduction
Objectif : Démontrer la méthode ISO 27005
Schéma modélisant chaque activité et sous-activité de la méthode proposée par la norme ISO 27005
Voir schéma joint en format PDF
Exemple simple qui déroule la méthode
N° sur le schéma correspondant aux n° des tableaux
Exemples de tableaux
A titre illustratif et non contractuel !
Copyright Hervé Schauer Consultants 2009 - Reproduction Interdite44
2004
HistoriqueHistorique
ISO TR 13335-2
ISO TR 13335-3
ISO TR 13335-4 ISO 27005
PD 3002
PD 3005 BS-7799-3
Techniques for the management IT security ; Selection of safeguards
Information securityrisk management
CCTA Risk Assessmentand Management Method
Managing and planning IT security
Guide to BS7799Risk Assessment
Guidelines for information ; security Risk Assessment
Risk management
Expression des Besoins et Identification des Objectifs de Sécurité
Influences diverses
AS/NZS 4360
CRAMM1985
1992
1996
1995
1997
EBIOS1997
1998
1998
2000
2002
2004
2006
2008
2004
Copyright Hervé Schauer Consultants 2009 - Reproduction Interdite55
Schéma de modélisationSchéma de modélisation
Copyright Hervé Schauer Consultants 2009 - Reproduction Interdite66
ExempleExemple
Un journaliste utilise un ordinateur portable pour rédiger ses articles. Il est employé par le magazine VSD (Vous et la Sécurité de Demain) mais il lui arrive de vendre ses articles à d'autres journaux.
Sur son ordinateur, sont stockés son courrier électronique, ses contacts et tous ses articles publiés, non encore parus et en cours de rédaction.
Pour rédiger des articles pertinents, ce journaliste se doit être un véritable globe trotter. Dans l'urgence, il est amené à rédiger ses articles dans les salles d'attente, voire de les envoyer en utilisant les hotspots disponibles.
A l'heure actuelle, la seule protection utilisée est un simple couple identifiant / mot de passe à l'allumage de l'ordinateur
Copyright Hervé Schauer Consultants 2009 - Reproduction Interdite77
Établissement du contexteÉtablissement du contexte
Définir les critères de base (7.2)
Critères d'impactBas-niveau : vis-à-vis de l'actif
Impact de la perte ou de l'atteinte d'un critère de sécurité
Disponibilité, intégrité, confidentialité (7.2)
Haut-niveau : vis-à-vis de l'organisme, du processus métier, du projet
Echelle de mesure, ou critère d'estimation, des conséquences (financières, délais, image) (7.2)(8222)(B.3)
Critères évaluation des risques
Critères d'acceptation des risques
Copyright Hervé Schauer Consultants 2009 - Reproduction Interdite88
Établissement du contexteÉtablissement du contexte
Critères d'impact
A partir d'où l'impact est assez important pour que le risque soit pris en compte ?
Dans l'analyse du risque
Critères d'évaluation des risques
A partir d'où je dois passer de l'analyse du risque à son traitement ?
Critères d'acceptation des risques
A partir de quel niveau le risque sera acceptable par la direction ?
Pas d'échelles normalisées
Copyright Hervé Schauer Consultants 2009 - Reproduction Interdite99
Etablissement du contexteEtablissement du contexte
Autres échelles utiles lors de l'analyse de risque
Pas explicitement imposées lors de l'établissement du contexte
Echelle ou critères de valorisation des actifs (8.2.1.2)(B.2)(8.2.1.6)(8.2.2.2)
Echelles d'estimation
Echelle d'estimation des menaces (vraisemblance) (8.2.1.3)(C)(8.2.2.3)
Echelle d'estimation des vulnérabilités (difficulté d'exploitation) (8.2.1.5)(D)
(8.2.2.3)
Echelle d'appréciation de la vraisemblance des scénarios d'incidents
(8.2.2.3)(B.3)
Copyright Hervé Schauer Consultants 2009 - Reproduction Interdite1010
Etablissement du contexteEtablissement du contexte
Récapitulatif par ordre d'utilisation dans la méthode
Echelle ou critères de valorisation des actifs (8.2.1.2)(B.2)(8.2.1.6)(8.2.2.2)
Echelle d'estimation des menaces (vraisemblance) (8.2.1.3)(C)(8.2.2.3)
Echelle d'estimation des vulnérabilités (difficulté d'exploitation) (8.2.1.5)(D)
(8.2.2.3)
Critères d'impact (7.2) : échelle de mesure, ou critère d'estimation
De l'impact de la perte ou de l'atteinte à la disponibilité, intégrité, confidentialité sur un actif (7.2)
Des conséquences (financières, délais, image) des scénarios d'incidents (7.2)(8222)(B.3)
Echelle d'appréciation de la vraisemblance des scénarios d'incidents
(8.2.2.3)(B.3)
Critères évaluation des risques (7.2)
Critères d'acceptation des risques (7.2)
Copyright Hervé Schauer Consultants 2009 - Reproduction Interdite1111
Valorisation des actifsValorisation des actifs
Exemple
Echelle de valorisation des actifsValeur Signification
1 Faible Actif facilement remplaçableCoût d'achat faibleCoût de maintenance faibleNe nécessite pas de compétences particulières
2 Moyen Actif remplaçable dans la journéeCoût d'achat moyenCoût de maintenance moyenNécessite des connaissances de base
3 Élevé Actif remplaçable dans la semaineCoût d'achat élevéCoût de maintenance élevéNécessite des connaissances techniques particulières
4 Très élevé Actif remplaçable dans le moisCoût d'achat très élevéCoût de maintenance très élevéNécessite des connaissances spécifiques.
Copyright Hervé Schauer Consultants 2009 - Reproduction Interdite1212
Critères d'impactCritères d'impact
Exemple
Critères d'impactQualification du besoin en
Niveau du besoinConfidentialité Intégrité Disponibilité
Pas de validation nécessaire 1Peut ne pas être intègre
Simple validation possible Significatif 2Peut être partiellement intègre
Validation croisée Fort 3Doit être intègre
Triple validation Majeur 4Doit être parfaitement intègre
Informations pouvant être publiques
Arrêt supérieur à 3 jours
Faible ou inexistant
Accès autorisé à l'ensemble du journal VSD
Arrêt entre 1 jour et 3 jours
Accès autorisé à l'ensemble de l'équipe
Arrêt inférieur à 1jours
Accès autorisé à un membre unique de l'équipe
Aucun arrêt tolérable
Copyright Hervé Schauer Consultants 2009 - Reproduction Interdite1313
Echelle de mesure des conséquencesFinancier Juridique Commercial Activité Image Niveau d'impact
Perte juridique faible ou null 1
Amende Significatif 2
Fort 3
(>30% du CA)Majeur 4
(> 50% du CA)
Perte financière faible ou nulle
Détérioration de la relation client
Perte de productivité
Perte image faible ou null
Faible ou inexistant
Perte financière jugée modérée
Perte de contrat,d'opération ou de transaction, perte de
Arrêt de travail court
Mention négative ponctuelle dans un média
(10% du CA < X < 30% du CA)Perte financière jugée significative
Retrait temporaire de carte de presse, interdiction temporaire d'exercer l'activité
Perte de client
Arrêt de travail long
Mention dans les supports de presse à Perte financière
jugée inacceptableProcès diffamation, atteinte à la vie prive, plagia
Perte d'un groupe de clients ou d'un grand
Reprise du travail impossible
Mention dans la presse spécialisée
Echelle de mesure des conséquencesEchelle de mesure des conséquences
Exemple :
Copyright Hervé Schauer Consultants 2009 - Reproduction Interdite1414
Critères d'évaluation des risquesCritères d'évaluation des risques
Exemple :
Utilisés par le RSSI ou le gestionnaire de risques SI
Seuil
Critères d'évaluation des risques
1 2 3 41 1 2 3 42 2 4 6 83 3 6 9 124 4 8 12 165 5 10 15 206 6 12 18 247 7 14 21 288 8 16 24 329 9 18 27 3610 10 20 30 4011 11 22 33 4412 12 24 36 48
Vraisemblance d'un scénariod'incident
Faible(Peu probable)
Moyenne(Possible)
Elevée(Probable)
Très élevée(Fréquente)
Impact MAX(SOM(CID))
Copyright Hervé Schauer Consultants 2009 - Reproduction Interdite1515
Critères d'acceptation des risquesCritères d'acceptation des risques
Exemple :
Validés par la direction et utilisés par la direction
Seuil
Copyright Hervé Schauer Consultants 2009 - Reproduction Interdite1616
Cartographie des actifsCartographie des actifs
0.Liste des actifs primordiauxActifs PrimordiauxProcessus de rédactionProcessus de venteArticles en cours de rédactionArticles non publiés et non vendusArticles publiésContacts
Actifs primordiaux (principaux, de haut-niveau) (B.1) :
Processus et activités métier
Information
Actifs en support (de soutien, de bas-niveau, secondaires) :
Cadre organisationnel, site, personnel, réseau, logiciel, matériel, etc
Copyright Hervé Schauer Consultants 2009 - Reproduction Interdite1717
Cartographie des actifsCartographie des actifs
1.Liste des processus métiers reliés aux actifsActif PropriétaireProcessus de rédaction JournalisteOrdinateur JournalisteLogiciel de traitement de texte JournalisteJournaliste JournalisteArticles en cours de rédaction Journaliste
Processus de vente JournalisteOrdinateur JournalisteConnexion internet JournalisteLogiciel de messagerie JournalisteMails JournalisteJournaliste JournalisteArticles non publiés et non vendus JournalisteContacts Journaliste
Copyright Hervé Schauer Consultants 2009 - Reproduction Interdite1818
Cartographie des actifsCartographie des actifs
2.Liste des actifsActif Propriétaire
Actifs Primordiaux 1 Processus de rédaction Journaliste2 Processus de vente Journaliste3 Articles en cours de rédaction Journaliste4 Articles non publiés et non vendus Journaliste5 Articles publiés Acheteur6 Contacts Journaliste
Actifs en support 7 Ordinateur Journaliste8 logiciel de traitement de texte Journaliste9 logiciel de messagerie Journaliste
10 connexion internet Journaliste11 mails Journaliste12 Fichier d'article Journaliste13 journaliste Journaliste
Copyright Hervé Schauer Consultants 2009 - Reproduction Interdite1919
Actifs valorisesActifs valorises
3.Liste des actifs valorisésActif Propriétaire Valeur
Actifs Primordiaux 1 Processus de rédaction Journaliste 42 Processus de vente Journaliste 33 Articles en cours de rédaction Journaliste 44 Articles non publiés et non vendus Journaliste 45 Articles publiés Acheteur 26 Contacts Journaliste 2
Actifs en support 7 Ordinateur Journaliste 48 logiciel de traitement de texte Journaliste 29 logiciel de messagerie Journaliste 2
10 connexion internet Journaliste 111 mails Journaliste 212 Fichier d'article Journaliste 413 journaliste Journaliste 4
Copyright Hervé Schauer Consultants 2009 - Reproduction Interdite2020
Actifs sélectionnésActifs sélectionnés
4.Liste des actifs sélectionnésActif Propriétaire Valeur Sélectionné
Actifs Primordiaux 1 Processus de rédaction Journaliste 4 oui2 Processus de vente Journaliste 3 oui3 Articles en cours de rédaction Journaliste 4 oui4 Articles non publiés et non vendus Journaliste 4 oui5 Articles publiés Acheteur 2 non6 Contacts Journaliste 2 non
Actifs en support 7 Ordinateur Journaliste 4 oui8 logiciel de traitement de texte Journaliste 2 non9 logiciel de messagerie Journaliste 2 non
10 connexion internet Journaliste 1 non11 mails Journaliste 2 non12 Fichier d'article Journaliste 4 oui13 journaliste Journaliste 4 oui
Copyright Hervé Schauer Consultants 2009 - Reproduction Interdite2121
Menaces sur les actifsMenaces sur les actifs
5.Liste de menacesActif Valeur Sélectionné Menaces
Actifs Primordiaux 1 Processus de rédaction 4 oui2 Processus de vente 3 oui3 Articles en cours de rédaction 4 oui4 Articles non publiés et non vendus 4 oui5 Articles publiés 2 non6 Contacts 2 non
Actifs en support 7 Ordinateur 4 oui VolDestructionPanne électrique
8 logiciel de traitement de texte 2 non9 logiciel de messagerie 2 non
10 connexion internet 1 non11 mails 2 non12 Fichier d'article 4 oui Fraude
DestructionCopie
13 journaliste 4 oui EnlèvementMaladie
Identification de menaces ne effectuée pas sur les actifs primordiaux.
Copyright Hervé Schauer Consultants 2009 - Reproduction Interdite2222
Vulnérabilités des actifsVulnérabilités des actifs
6. Liste de vulnérabilitésActif Valeur Sélectionné Menaces Vulnérabilité
1 Processus de rédaction 4 oui2 Processus de vente 3 oui3 Articles en cours de rédaction 4 oui4 Articles non publiés et non vendus 4 oui5 Articles publiés 2 non6 Contacts 2 non
7 Ordinateur 4 oui Vol portabilitéDestruction fragilitéPanne électrique dépend de l'électricité
8 logiciel de traitement de texte 2 non9 logiciel de messagerie 2 non
10 connexion internet 1 non11 mails 2 non12 Fichier d'article 4 oui Fraude Accès libre
Destruction manque de sensibilisationCopie Accès libre
Fichier en clair
13 journaliste 4 oui Enlèvement non préparationMaladie manque de sensibilisation
Actifs Primordiaux
Identification de menaces ne effectuée pas sur les actifs primordiaux.
Actifs en support
Copyright Hervé Schauer Consultants 2009 - Reproduction Interdite2323
Conséquences et impacts sur les actifsConséquences et impacts sur les actifs
Scénario d'incident Les actifs impactés C I D SOM(C,I,D) Conséquences
1.Vol de l'ordinateur du fait de sa portabilité.
1 Processus de rédaction 4 2 2 8
11
Perte financière jugée modérée3 Articles en cours de rédaction 4 4 3 11 Perte juridique faible ou nulle
4 Articles non publiés et non vendus 4 4 3 117 Ordinateur 4 4 3 11 Perte de productivité
12 Fichier d'article 4 4 3 11 Perte image faible ou nulle
1 Processus de rédaction 1 2 2 5
7
Perte financière faible ou nulle3 Articles en cours de rédaction 1 4 2 7 Perte juridique faible ou nulle4 Articles non publiés et non vendus 1 4 2 7 Détérioration de la relation client7 Ordinateur 1 2 2 5 Perte de productivité
12 Fichier d'article 1 4 2 7 Perte image faible ou nulle
1 Processus de rédaction 1 2 2 5
7
Perte financière faible ou nulle3 Articles en cours de rédaction 1 4 2 7 Perte juridique faible ou nulle4 Articles non publiés et non vendus 1 4 2 7 Détérioration de la relation client7 Ordinateur 1 2 2 5 Perte de productivité
12 Fichier d'article 1 4 2 7 Perte image faible ou nulle
1 Processus de rédaction 4 1 1 6
10
Perte financière jugée inacceptable
2 Processus de vente 2 1 3 63 Articles en cours de rédaction 4 3 3 10 Perte de client
12 Fichier d'article 4 3 3 10
Arrêt de travail longe
1 Processus de rédaction 1 3 3 7
9
Perte financière jugée significative3 Articles en cours de rédaction 1 4 4 9 Perte juridique faible ou nul
12 Fichier d'article 1 4 4 9 Perte de clientArrêt de travail longe
1 Processus de rédaction 4 1 1 6
6
Perte financière jugée inacceptable2 Processus de vente 2 1 1 4 Amende3 Articles en cours de rédaction 4 1 1 6 Perte de client
12 Fichier d'article 4 1 1 6 Arrêt de travail longe
2 Processus de vente 4 1 1 6
6
Perte financière jugée inacceptable12 Fichier d'article 4 1 1 6 Amende
Perte de clientArrêt de travail longe
1 Processus de rédaction 1 1 4 6
6
Perte financière jugée significative2 Processus de vente 1 1 4 6 Perte juridique faible ou nul
13 journaliste 1 1 4 6 Détérioration de la relation clientArrêt de travail longeMention négative ponctuelle dans un média
1 Processus de rédaction 1 1 3 5
5
Perte financière jugée significative13 journaliste 1 1 3 5 Perte juridique faible ou nulle
Détérioration de la relation clientPerte de productivitéMention négative ponctuelle dans un média
7.Liste de conséquences relatives aux actifs affectés et aux processus métiers affectés et impact vis-à-vis des critères CID
Max (SOM(CID))
Perte de contrat, d'opération ou de transaction, perte de client mineur
2.Destruction de l'ordinateur du fait de sa fragilité.
3.Suite à une panne électrique l'ordinateur ne s'allume plus.
4.Après une connexion frauduleuse, le fichier d'article en cours de rédaction est modifié avec des informations fausses et publiés sans contrôle.
Retrait temporaire de carte de presse, interdiction temporaire d'exercer l'activité
Mention dans les supports de presse à diffusion restreinte impact sur le réputation à court terme.
5.Le manque de formation de l'utilisateur à l'utilisation du système d'exploitation entraîne une mauvaise manipulation causant la perte de l'article. Mention dans les supports de presse à diffusion
restreinte impact sur le réputation à court terme.
6.Après une connexion frauduleuse, le fichier d'article en cours de rédaction est copié et publié par un autre journal
Mention dans les supports de presse à diffusion restreinte impact sur le réputation à court terme.
7.Lors d'une connexion dans un aéroport, le fichier d'article en cours de transfert est écoutée et retransmis sur un site gratuit avant sa publication officielle
Mention dans les supports de presse à diffusion restreinte impact sur le réputation à court terme.
8.Dans une zone à risque, le journaliste est pris en otage par des révolutionnaires.
9.Dans une gare, le journaliste mange des moules pas fraiches, il attrape une intoxication alimentaire et il va à l'hôpital.
Copyright Hervé Schauer Consultants 2009 - Reproduction Interdite2424
Mesures de sécurité existantesMesures de sécurité existantes8. Liste des mesures de sécurité existantes et prévues
Scénario d'incident Les actifs impactés C I D SOM(C,I,D) Conséquences
1.Vol de l'ordinateur du fait de sa portabilité.
1 Processus de rédaction 4 2 2 8
11
Perte financière jugée modérée3 Articles en cours de rédaction 4 4 3 11 Perte juridique faible ou nulle
4 Articles non publiés et non vendus 4 4 3 117 Ordinateur 4 4 3 11 Perte de productivité
12 Fichier d'article 4 4 3 11 Perte image faible ou nulle
1 Processus de rédaction 1 2 2 5
7
Perte financière faible ou nulle3 Articles en cours de rédaction 1 4 2 7 Perte juridique faible ou nulle4 Articles non publiés et non vendus 1 4 2 7 Détérioration de la relation client7 Ordinateur 1 2 2 5 Perte de productivité
12 Fichier d'article 1 4 2 7 Perte image faible ou nulle
1 Processus de rédaction 1 2 2 5
7
Perte financière faible ou nulle3 Articles en cours de rédaction 1 4 2 7 Perte juridique faible ou nulle4 Articles non publiés et non vendus 1 4 2 7 Détérioration de la relation client7 Ordinateur 1 2 2 5 Perte de productivité
12 Fichier d'article 1 4 2 7 Perte image faible ou nulle
1 Processus de rédaction 4 1 1 6
10
Perte financière jugée inacceptable
2 Processus de vente 2 1 3 63 Articles en cours de rédaction 4 3 3 10 Perte de client
12 Fichier d'article 4 3 3 10
Arrêt de travail longe
1 Processus de rédaction 1 3 3 7
9
Perte financière jugée significative3 Articles en cours de rédaction 1 4 4 9 Perte juridique faible ou nul
12 Fichier d'article 1 4 4 9 Perte de clientArrêt de travail longe
1 Processus de rédaction 4 1 1 6
6
Perte financière jugée inacceptable2 Processus de vente 2 1 1 4 Amende3 Articles en cours de rédaction 4 1 1 6 Perte de client
12 Fichier d'article 4 1 1 6 Arrêt de travail longe
2 Processus de vente 4 1 1 6
6
Perte financière jugée inacceptable12 Fichier d'article 4 1 1 6 Amende
Perte de clientArrêt de travail longe
1 Processus de rédaction 1 1 4 6
6
Perte financière jugée significative2 Processus de vente 1 1 4 6 Perte juridique faible ou nul
13 journaliste 1 1 4 6 Détérioration de la relation clientArrêt de travail longe
1 Processus de rédaction 1 1 3 5
5
Perte financière jugée significative13 journaliste 1 1 3 5 Perte juridique faible ou nulle
Détérioration de la relation clientPerte de productivité
Max (SOM(CID))
Mesures de sécurité existantes
Perte de contrat, d'opération ou de transaction, perte de client mineur
2.Destruction de l'ordinateur du fait de sa fragilité.
3.Suite à une panne électrique l'ordinateur ne s'allume plus.
4.Après une connexion frauduleuse, le fichier d'article en cours de rédaction est modifié avec des informations fausses et publiés sans contrôle.
Protection par l'identifiant/ mot de passe
Retrait temporaire de carte de presse, interdiction temporaire d'exercer l'activité
Mention dans les supports de presse à diffusion restreinte impact sur le réputation à court terme.
5.Le manque de formation de l'utilisateur à l'utilisation du système d'exploitation entraîne une mauvaise manipulation causant la perte de l'article.
Mention dans les supports de presse à diffusion restreinte impact sur le réputation à court terme.
6.Après une connexion frauduleuse, le fichier d'article en cours de rédaction est copié et publié par un autre journal
Protection par l'identifiant/ mot de passeMention dans les supports de
presse à diffusion restreinte impact sur le réputation à court terme.
7.Lors d'une connexion dans un aéroport, le fichier d'article en cours de transfert est écoutée et retransmis sur un site gratuit avant sa publication officielle Mention dans les supports de
presse à diffusion restreinte impact sur le réputation à court terme.
8.Dans une zone à risque, le journaliste est pris en otage par des révolutionnaires.
Mention négative ponctuelle dans un média
9.Dans une gare, le journaliste mange des moules pas fraiches, il attrape une intoxication alimentaire et il va à l'hôpital.
Mention négative ponctuelle dans un média
Copyright Hervé Schauer Consultants 2009 - Reproduction Interdite2525
Scénarios d'incident appréciésScénarios d'incident appréciés9. Liste des conséquences estimées des scénarios d'incident
Scénario d'incident Les actifs impactés C I D SOM(C,I,D) Conséquences1 Processus de rédaction 4 2 2 8
11
Perte financière jugée modérée 2
3 4 4 3 11 Perte juridique faible ou nulle 1
4 4 4 3 11 27 Ordinateur 4 4 3 11 Perte de productivité 1
12 Fichier d'article 4 4 3 11 Perte image faible ou nulle 1
1 Processus de rédaction 1 2 2 5
7
Perte financière faible ou nulle 1
3 1 4 2 7 Perte juridique faible ou nulle 1
4 1 4 2 7 Détérioration de la relation client 17 Ordinateur 1 2 2 5 Perte de productivité 1
12 Fichier d'article 1 4 2 7 Perte image faible ou nulle 1
1 Processus de rédaction 1 2 2 5
7
Perte financière faible ou nulle 1
3 1 4 2 7 Perte juridique faible ou nulle 1
4 1 4 2 7 Détérioration de la relation client 17 Ordinateur 1 2 2 5 Perte de productivité 1
12 Fichier d'article 1 4 2 7 Perte image faible ou nulle 1
1 Processus de rédaction 4 1 1 6
10
Perte financière jugée inacceptable 4
2 Processus de vente 2 1 3 6 3
3 4 3 3 10 Perte de client 3
12 Fichier d'article 4 3 3 10
Arrêt de travail longe 3
3
1 Processus de rédaction 1 3 3 7
9
Perte financière jugée significative 4
3 1 4 4 9 Perte juridique faible ou nul 112 Fichier d'article 1 4 4 9 Perte de client 3
Arrêt de travail longe 3
3
1 Processus de rédaction 4 1 1 6
6
Perte financière jugée inacceptable 42 Processus de vente 2 1 1 4 Amende 2
3 4 1 1 6 Perte de client 312 Fichier d'article 4 1 1 6 Arrêt de travail longe 3
3
2 Processus de vente 4 1 1 6
6
Perte financière jugée inacceptable 412 Fichier d'article 4 1 1 6 Amende 2
Perte de client 3Arrêt de travail longe 3
3
1 Processus de rédaction 1 1 4 6
6
Perte financière jugée significative 32 Processus de vente 1 1 4 6 Perte juridique faible ou nulle 1
13 journaliste 1 1 4 6 Détérioration de la relation client 1Arrêt de travail longe 3
2
1 Processus de rédaction 1 1 3 5
5
Perte financière jugée significative 313 journaliste 1 1 3 5 Perte juridique faible ou nulle 1
Détérioration de la relation client 1Perte de productivité 1
2
Max (SOM(CID))
Mesures de sécurité existantes
Valeur de conséquences
1.Vol de l'ordinateur du fait de sa portabilité.
Articles en cours de rédactionArticles non publiés et non vendus
Perte de contrat, d'opération ou de transaction, perte de client mineur
2.Destruction de l'ordinateur du fait de sa fragilité.
Articles en cours de rédactionArticles non publiés et non vendus
3.Suite à une panne électrique l'ordinateur ne s'allume plus.
Articles en cours de rédactionArticles non publiés et non vendus
4.Après une connexion frauduleuse, le fichier d'article en cours de rédaction est modifié avec des informations fausses et publiés sans contrôle.
Protection par l'identifiant/ mot de passe
Retrait temporaire de carte de presse, interdiction temporaire d'exercer l'activité
Articles en cours de rédaction
Mention dans les supports de presse à diffusion restreinte impact sur le réputation à court terme.
5.Le manque de formation de l'utilisateur à l'utilisation du système d'exploitation entraîne une mauvaise manipulation causant la perte de l'article.
Articles en cours de rédaction
Mention dans les supports de presse à diffusion restreinte impact sur le réputation à court terme.
6.Après une connexion frauduleuse, le fichier d'article en cours de rédaction est copié et publié par un autre journal
Protection par l'identifiant/ mot de passe
Articles en cours de rédaction
Mention dans les supports de presse à diffusion restreinte impact sur le réputation à court terme.
7.Lors d'une connexion dans un aéroport, le fichier d'article en cours de transfert est écoutée et retransmis sur un site gratuit avant sa publication officielle Mention dans les supports de
presse à diffusion restreinte impact sur le réputation à court terme.
8.Dans une zone à risque, le journaliste est pris en otage par des révolutionnaires.
Mention négative ponctuelle dans un média
9.Dans une gare, le journaliste mange des moules pas fraiches, il attrape une intoxication alimentaire et il va à l'hôpital.
Mention négative ponctuelle dans un média
Copyright Hervé Schauer Consultants 2009 - Reproduction Interdite2626
Vraisemblance des scénarios d'incidentVraisemblance des scénarios d'incident10. Vraisemblance des scénarios d'incident
Scénario d'incident Les actifs impactés C I D SOM(C,I,D) Conséquences Vraisemblance1 Processus de rédaction 4 2 2 8
11
Perte financière jugée modérée 2
23 4 4 3 11 Perte juridique faible ou nul 1
4 4 4 3 11 27 Ordinateur 4 4 3 11 Perte de productivité 1
12 Fichier d'article 4 4 3 11 Perte image faible ou nul 1
1 Processus de rédaction 1 2 2 5
7
Perte financière faible ou nulle 1
23 1 4 2 7 Perte juridique faible ou nul 1
4 1 4 2 7 Détérioration de la relation client 17 Ordinateur 1 2 2 5 Perte de productivité 1
12 Fichier d'article 1 4 2 7 Perte image faible ou nul 1
1 Processus de rédaction 1 2 2 5
7
Perte financière faible ou nulle 1
13 1 4 2 7 Perte juridique faible ou nul 1
4 1 4 2 7 Détérioration de la relation client 17 Ordinateur 1 2 2 5 Perte de productivité 1
12 Fichier d'article 1 4 2 7 Perte image faible ou nul 1
1 Processus de rédaction 4 1 1 6
10
Perte financière jugée inacceptable 4
2
2 Processus de vente 2 1 3 6 3
3 4 3 3 10 Perte de client 3
12 Fichier d'article 4 3 3 10
Arrêt de travail longe 3
3
1 Processus de rédaction 1 3 3 7
9
Perte financière jugée significative 4
2
3 1 4 4 9 Perte juridique faible ou nul 112 Fichier d'article 1 4 4 9 Perte de client 3
Arrêt de travail longe 3
3
1 Processus de rédaction 4 1 1 6
6
Perte financière jugée inacceptable 4
3
2 Processus de vente 2 1 1 4 Amende 2
3 4 1 1 6 Perte de client 312 Fichier d'article 4 1 1 6 Arrêt de travail longe 3
3
2 Processus de vente 4 1 1 6
6
Perte financière jugée inacceptable 4
3
12 Fichier d'article 4 1 1 6 Amende 2Perte de client 3Arrêt de travail longe 3
3
1 Processus de rédaction 1 1 4 6
6
Perte financière jugée significative 3
1
2 Processus de vente 1 1 4 6 Perte juridique faible ou nul 113 journaliste 1 1 4 6 Détérioration de la relation client 1
Arrêt de travail longe 3
2
1 Processus de rédaction 1 1 3 5
5
Perte financière jugée significative 3
2
13 journaliste 1 1 3 5 Perte juridique faible ou nul 1Arrêt de travail longe 1Perte de productivité 1
2
Max (SOM(CID))
Mesures de sécurité existantes
Valeur de conséquences
1.Vol de l'ordinateur du fait de sa portabilité.
Articles en cours de rédactionArticles non publiés et non vendus
Perte de contrat, d'opération ou de transaction, perte de client mineur
2.Destruction de l'ordinateur du fait de sa fragilité.
Articles en cours de rédactionArticles non publiés et non vendus
3.Suite à une panne électrique l'ordinateur ne s'allume plus.
Articles en cours de rédactionArticles non publiés et non vendus
4.Après une connexion frauduleuse, le fichier d'article en cours de rédaction est modifié avec des informations fausses et publiés sans contrôle.
Protection par l'identifiant/ mot de passe
Retrait temporaire de carte de presse, interdiction temporaire d'exercer l'activité
Articles en cours de rédaction
Mention dans les supports de presse à diffusion restreinte impact sur le réputation à court terme.
5.Le manque de formation de l'utilisateur à l'utilisation du système d'exploitation entraîne une mauvaise manipulation causant la perte de l'article.
Articles en cours de rédaction
Mention dans les supports de presse à diffusion restreinte impact sur le réputation à court terme.
6.Après une connexion frauduleuse, le fichier d'article en cours de rédaction est copié et publié par un autre journal
Protection par l'identifiant/ mot de passe
Articles en cours de rédaction
Mention dans les supports de presse à diffusion restreinte impact sur le réputation à court terme.
7.Lors d'une connexion dans un aéroport, le fichier d'article en cours de transfert est écoutée et retransmis sur un site gratuit avant sa publication officielle Mention dans les supports de
presse à diffusion restreinte impact sur le réputation à court terme.
8.Dans une zone à risque, le journaliste est pris en otage par des révolutionnaires.
Mention négative ponctuelle dans un média
9.Dans une gare, le journaliste mange des moules pas fraiches, il attrape une intoxication alimentaire et il va à l'hôpital.
Mention négative ponctuelle dans un média
Copyright Hervé Schauer Consultants 2009 - Reproduction Interdite2727
Calcul du niveau de risqueCalcul du niveau de risque11. Liste des risques avec le valeur de niveau de risque
Scénario d'incident Les actifs impactés C I D SOM(C,I,D) Conséquences Vraisemblance1 Processus de rédaction 4 2 2 8
11
Perte financière jugée modérée 2
2 223 4 4 3 11 Perte juridique faible ou nul 1
4 4 4 3 11 27 Ordinateur 4 4 3 11 Perte de productivité 1
12 Fichier d'article 4 4 3 11 Perte image faible ou nul 1
1 Processus de rédaction 1 2 2 5
7
Perte financière faible ou nulle 1
2 143 1 4 2 7 Perte juridique faible ou nul 1
4 1 4 2 7 Détérioration de la relation client 17 Ordinateur 1 2 2 5 Perte de productivité 1
12 Fichier d'article 1 4 2 7 Perte image faible ou nul 1
1 Processus de rédaction 1 2 2 5
7
Perte financière faible ou nulle 1
1 73 1 4 2 7 Perte juridique faible ou nul 1
4 1 4 2 7 Détérioration de la relation client 17 Ordinateur 1 2 2 5 Perte de productivité 1
12 Fichier d'article 1 4 2 7 Perte image faible ou nul 1
1 Processus de rédaction 4 1 1 6
10
Perte financière jugée inacceptable 4
2 20
2 Processus de vente 2 1 3 6 3
3 4 3 3 10 Perte de client 3
12 Fichier d'article 4 3 3 10
Arrêt de travail longe 3
3
1 Processus de rédaction 1 3 3 7
9
Perte financière jugée significative 4
2 18
3 1 4 4 9 Perte juridique faible ou nul 112 Fichier d'article 1 4 4 9 Perte de client 3
Arrêt de travail longe 3
3
1 Processus de rédaction 4 1 1 6
6
Perte financière jugée inacceptable 4
3 18
2 Processus de vente 2 1 1 4 Amende 2
3 4 1 1 6 Perte de client 312 Fichier d'article 4 1 1 6 Arrêt de travail longe 3
3
2 Processus de vente 4 1 1 6
6
Perte financière jugée inacceptable 4
3 18
12 Fichier d'article 4 1 1 6 Amende 2Perte de client 3Arrêt de travail longe 3
3
1 Processus de rédaction 1 1 4 6
6
Perte financière jugée significative 3
1 6
2 Processus de vente 1 1 4 6 Perte juridique faible ou nul 113 journaliste 1 1 4 6 Détérioration de la relation client 1
Arrêt de travail longe 3
2
1 Processus de rédaction 1 1 3 5
5
Perte financière jugée significative 3
2 10
13 journaliste 1 1 3 5 Perte juridique faible ou nul 1Arrêt de travail longe 1Perte de productivité 1
2
Max (SOM(CID))
Mesures de sécurité existantes
Valeur de conséquences
Niveau de risque =Max(SOM(CID))*Vrais
1.Vol de l'ordinateur du fait de sa portabilité.
Articles en cours de rédactionArticles non publiés et non vendus
Perte de contrat, d'opération ou de transaction, perte de client mineur
2.Destruction de l'ordinateur du fait de sa fragilité.
Articles en cours de rédactionArticles non publiés et non vendus
3.Suite à une panne électrique l'ordinateur ne s'allume plus.
Articles en cours de rédactionArticles non publiés et non vendus
4.Après une connexion frauduleuse, le fichier d'article en cours de rédaction est modifié avec des informations fausses et publiés sans contrôle.
Protection par l'identifiant/ mot de passe
Retrait temporaire de carte de presse, interdiction temporaire d'exercer l'activité
Articles en cours de rédaction
Mention dans les supports de presse à diffusion restreinte impact sur le réputation à court terme.
5.Le manque de formation de l'utilisateur à l'utilisation du système d'exploitation entraîne une mauvaise manipulation causant la perte de l'article.
Articles en cours de rédaction
Mention dans les supports de presse à diffusion restreinte impact sur le réputation à court terme.
6.Après une connexion frauduleuse, le fichier d'article en cours de rédaction est copié et publié par un autre journal
Protection par l'identifiant/ mot de passe
Articles en cours de rédaction
Mention dans les supports de presse à diffusion restreinte impact sur le réputation à court terme.
7.Lors d'une connexion dans un aéroport, le fichier d'article en cours de transfert est écoutée et retransmis sur un site gratuit avant sa publication officielle Mention dans les supports de
presse à diffusion restreinte impact sur le réputation à court terme.
8.Dans une zone à risque, le journaliste est pris en otage par des révolutionnaires.
Mention négative ponctuelle dans un média
9.Dans une gare, le journaliste mange des moules pas fraiches, il attrape une intoxication alimentaire et il va à l'hôpital.
Mention négative ponctuelle dans un média
Copyright Hervé Schauer Consultants 2009 - Reproduction Interdite2828
Risques sélectionnés pour traitementRisques sélectionnés pour traitement12. Liste des risques priorités en relation avec les scénarios d'incident
Scénario d'incident Les actifs impactés C I D SOM(C,I,D) Conséquences Vraisemblance1 Processus de rédaction 4 2 2 8
11
Perte financière jugée modérée 2
2 223 4 4 3 11 Perte juridique faible ou nul 1
4 4 4 3 11 27 Ordinateur 4 4 3 11 Perte de productivité 1
12 Fichier d'article 4 4 3 11 Perte image faible ou nul 1
1 Processus de rédaction 1 2 2 5
7
Perte financière faible ou nulle 1
2 143 1 4 2 7 Perte juridique faible ou nul 1
4 1 4 2 7 Détérioration de la relation client 17 Ordinateur 1 2 2 5 Perte de productivité 1
12 Fichier d'article 1 4 2 7 Perte image faible ou nul 1
1 Processus de rédaction 1 2 2 5
7
Perte financière faible ou nulle 1
1 73 1 4 2 7 Perte juridique faible ou nul 1
4 1 4 2 7 Détérioration de la relation client 17 Ordinateur 1 2 2 5 Perte de productivité 1
12 Fichier d'article 1 4 2 7 Perte image faible ou nul 1
1 Processus de rédaction 4 1 1 6
10
Perte financière jugée inacceptable 4
2 20
2 Processus de vente 2 1 3 6 3
3 4 3 3 10 Perte de client 3
12 Fichier d'article 4 3 3 10
Arrêt de travail longe 3
3
1 Processus de rédaction 1 3 3 7
9
Perte financière jugée significative 4
2 18
3 1 4 4 9 Perte juridique faible ou nul 112 Fichier d'article 1 4 4 9 Perte de client 3
Arrêt de travail longe 3
3
1 Processus de rédaction 4 1 1 6
6
Perte financière jugée inacceptable 4
3 18
2 Processus de vente 2 1 1 4 Amende 2
3 4 1 1 6 Perte de client 312 Fichier d'article 4 1 1 6 Arrêt de travail longe 3
3
2 Processus de vente 4 1 1 6
6
Perte financière jugée inacceptable 4
3 18
12 Fichier d'article 4 1 1 6 Amende 2Perte de client 3Arrêt de travail longe 3
3
1 Processus de rédaction 1 1 4 6
6
Perte financière jugée significative 3
1 6
2 Processus de vente 1 1 4 6 Perte juridique faible ou nul 113 journaliste 1 1 4 6 Détérioration de la relation client 1
Arrêt de travail longe 3
2
1 Processus de rédaction 1 1 3 5
5
Perte financière jugée significative 3
2 10
13 journaliste 1 1 3 5 Perte juridique faible ou nul 1Arrêt de travail longe 1Perte de productivité 1
2
Max (SOM(CID))
Mesures de sécurité existantes
Valeur de conséquences
Niveau de risque =Max(SOM(CID))*Vrai
1.Vol de l'ordinateur du fait de sa portabilité.
Articles en cours de rédactionArticles non publiés et non vendus
Perte de contrat, d'opération ou de transaction, perte de client mineur
2.Destruction de l'ordinateur du fait de sa fragilité.
Articles en cours de rédactionArticles non publiés et non vendus
3.Suite à une panne électrique l'ordinateur ne s'allume plus.
Articles en cours de rédactionArticles non publiés et non vendus
4.Après une connexion frauduleuse, le fichier d'article en cours de rédaction est modifié avec des informations fausses et publiés sans contrôle.
Protection par l'identifiant/ mot de passe
Retrait temporaire de carte de presse, interdiction temporaire d'exercer l'activité
Articles en cours de rédaction
Mention dans les supports de presse à diffusion restreinte impact sur le réputation à court terme.
5.Le manque de formation de l'utilisateur à l'utilisation du système d'exploitation entraîne une mauvaise manipulation causant la perte de l'article.
Articles en cours de rédaction
Mention dans les supports de presse à diffusion restreinte impact sur le réputation à court terme.
6.Après une connexion frauduleuse, le fichier d'article en cours de rédaction est copié et publié par un autre journal
Protection par l'identifiant/ mot de passe
Articles en cours de rédaction
Mention dans les supports de presse à diffusion restreinte impact sur le réputation à court terme.
7.Lors d'une connexion dans un aéroport, le fichier d'article en cours de transfert est écoutée et retransmis sur un site gratuit avant sa publication officielle Mention dans les supports de
presse à diffusion restreinte impact sur le réputation à court terme.
8.Dans une zone à risque, le journaliste est pris en otage par des révolutionnaires.
Mention négative ponctuelle dans un média
9.Dans une gare, le journaliste mange des moules pas fraiches, il attrape une intoxication alimentaire et il va à l'hôpital.
Mention négative ponctuelle dans un média
Copyright Hervé Schauer Consultants 2009 - Reproduction Interdite2929
Plan de traitement des risquesPlan de traitement des risques13.Plan de traitement des risques
Scénario Traitement Mesure de sécurité (ISO27002) Priorités Coût
22 Réduction 1 Journaliste Moyen
14 Réduction 2 Journaliste Moyen
7 Maintien
20 Réduction 1 Journaliste Moyen
18 Réduction 2 Journaliste Faible
18 Réduction 1 Journaliste Moyen
18 Réduction 1 Journaliste Faible
6 Maintien
10 Réduction Sensibilisation. 3 Journaliste Faible
Niveau de risque
Personnes responsable
1.Vol de l'ordinateur du fait de sa portabilité,ce qui engendre une perte financière, perte de productivité, perte d'image.
Sauvegarde.Sensibilisation.Chiffrement.
2.Destruction de l'ordinateur du fait de sa fragilité,
Sauvegarde.protection antivirale.Sensibilisation.mise à jour du logiciel.HIPS.
3.Suite à une panne électrique l'ordinateur ne s'allume plus,perte financière, perte de productivité.
4.Après une connexion frauduleuse, le fichier d'article en cours de rédaction est modifié avec des informations fausses et publiés sans contrôle.
Sensibilisation.Chiffrement.Réexamen des droits d'accès.Déconnexion automatique. des sessions inactives.
5.Le manque de formation de l'utilisateur à l'utilisation du système d'exploitation entraîne une mauvaise manipulation causant la perte de l'article.
SauvegardeFormationSensibilisation
6.Après une connexion frauduleuse, le fichier d'article en cours de rédaction est copié et publié par un autre journal
Sensibilisation.Chiffrement.Réexamen des droits d'accès.Déconnexion automatique des sessions inactives.
7.Lors d'une connexion dans un aéroport, le fichier d'article en cours de transfert est écoutée et retransmis sur un site gratuit avant sa publication officielle.
Sensibilisation.Chiffrement.
8.Dans une zone à risque, le journaliste est pris en otage par des révolutionnaires.
9.Dans une gare, le journaliste mange des moules pas fraiches, il attrape une intoxication alimentaire et il va à l'hôpital..
Copyright Hervé Schauer Consultants 2009 - Reproduction Interdite3030
Plan de traitement des risquesPlan de traitement des risques14.Plan de traitment du risque avec le niveau des risques résiduels
Scénario Traitement Priorités Coût
22 Réduction 1 Journaliste Moyen 4 1 4
14 Réduction 2 Journaliste Moyen 3 1 3
7 Maintien
20 Réduction 1 Journaliste Moyen 4 1 4
18 Réduction 2 Journaliste Faible 3 1 3
18 Réduction 1 Journaliste Moyen 5 2 10
18 Réduction 1 Journaliste Faible 6 2 12
6 Maintien
10 Réduction Sensibilisation. 3 Journaliste Faible 3 1 3
Niveau des
risquesMesure de sécurité (ISO27002)
Personnes responsable
SOM(CID) ré estimée
Vraisemblance ré estimée
Risque Résiduel
1.Vol de l'ordinateur du fait de sa portabilité,ce qui engendre une perte financière, perte de productivité, perte d'image.
Sauvegarde.Sensibilisation.Chiffrement.
2.Destruction de l'ordinateur du fait de sa fragilité,
Sauvegarde.protection antivirale.Sensibilisation.mise à jour du logiciel.HIPS.
3.Suite à une panne électrique l'ordinateur ne s'allume plus,perte financière, perte de productivité.
4.Après une connexion frauduleuse, le fichier d'article en cours de rédaction est modifié avec des informations fausses et publiés sans contrôle.
Sensibilisation.Chiffrement.Réexamen des droits d'accès.Déconnexion automatique. des sessions inactives.
5.Le manque de formation de l'utilisateur à l'utilisation du système d'exploitation entraîne une mauvaise manipulation causant la perte de l'article.
SauvegardeFormationSensibilisation
6.Après une connexion frauduleuse, le fichier d'article en cours de rédaction est copié et publié par un autre journal
Sensibilisation.Chiffrement.Réexamen des droits d'accès.Déconnexion automatique des sessions inactives.
7.Lors d'une connexion dans un aéroport, le fichier d'article en cours de transfert est écoutée et retransmis sur un site gratuit avant sa publication officielle.
Sensibilisation.Chiffrement.
8.Dans une zone à risque, le journaliste est pris en otage par des révolutionnaires.
9.Dans une gare, le journaliste mange des moules pas fraiches, il attrape une intoxication alimentaire et il va à l'hôpital..
Copyright Hervé Schauer Consultants 2009 - Reproduction Interdite3131
Acceptation des risquesAcceptation des risques15. Liste de risques acceptés avec justification
Scénario Traitement Priorités Coût Signature Date
22 Réduction 1 Journaliste Moyen 4 1 4 oui
14 Réduction 2 Journaliste Moyen 3 1 3 oui
7 Maintien
20 Réduction 1 Journaliste Moyen 4 1 4 oui
18 Réduction 2 Journaliste Faible 3 1 3 oui
18 Réduction 1 Journaliste Moyen 5 2 10 non
18 Réduction 1 Journaliste Faible 6 2 12 non
6 Maintien
10 Réduction Sensibilisation. 3 Journaliste Faible 3 1 3 oui
Niveau des
risquesMesure de sécurité (ISO27002)
Personnes responsable
SOM(CID) ré estimée
Vraisemblance ré estimée
Niveau des Risques
RésiduelsAcceptation des risques
1.Vol de l'ordinateur du fait de sa portabilité,ce qui engendre une perte financière, perte de productivité, perte d'image.
Sauvegarde.Sensibilisation.Chiffrement.
2.Destruction de l'ordinateur du fait de sa fragilité,
Sauvegarde.protection antivirale.Sensibilisation.mise à jour du logiciel.HIPS.
3.Suite à une panne électrique l'ordinateur ne s'allume plus,perte financière, perte de productivité.
4.Après une connexion frauduleuse, le fichier d'article en cours de rédaction est modifié avec des informations fausses et publiés sans contrôle.
Sensibilisation.Chiffrement.Réexamen des droits d'accès.Déconnexion automatique. des sessions inactives.
5.Le manque de formation de l'utilisateur à l'utilisation du système d'exploitation entraîne une mauvaise manipulation causant la perte de l'article.
SauvegardeFormationSensibilisation
6.Après une connexion frauduleuse, le fichier d'article en cours de rédaction est copié et publié par un autre journal
Sensibilisation.Chiffrement.Réexamen des droits d'accès.Déconnexion automatique des sessions inactives.
7.Lors d'une connexion dans un aéroport, le fichier d'article en cours de transfert est écoutée et retransmis sur un site gratuit avant sa publication officielle.
Sensibilisation.Chiffrement.
8.Dans une zone à risque, le journaliste est pris en otage par des révolutionnaires.
9.Dans une gare, le journaliste mange des moules pas fraiches, il attrape une intoxication alimentaire et il va à l'hôpital..
Copyright Hervé Schauer Consultants 2009 - Reproduction Interdite3232
ConclusionConclusion
Pas un processus linéaire
Pas une étape infaisable sans avoir fait la précédente
Possible de démarrer au milieu et d'y aller progressivement
Peut tendre vers une gestion des risques très fine
Rien d'obligatoire dans le formalisme
Seules les étapes imposées par l'ISO 27001 doivent être suivies
Le fait qu'elles ont été suivies doit être montrable
Permet de prendre en compte toute la hiérarchie
Copyright Hervé Schauer Consultants 2009 - Reproduction Interdite3333
ConclusionConclusion
ISO 27005 est incontournable au niveau international
ISO 27005 est directement appliquée de l'ISO 27001
ISO 27005 est utilisable dans des contextes et des métiers variés
ISO27005 permet une gestion des risques simple, pragmatique, adaptée aux réalités des affaires