Embed Size (px)
DESCRIPTION
Présentation de deux méthodes de gestion des risques SSI : Ebios et Méhari.
Citation preview
Gestion des risques SSI : approche globale ou individuelle du risque ?
Novembre 2013
Présentation BPMS
Panorama des méthodes
Le tableau suivant liste les principales méthodes utilisées dans le cadre de la gestion des risques SSI.
2
Présentation BPMS
Gestion des risques : les concepts qui font consensus
Un risque provient du fait que l’entité, entreprise ou organisation, possède des « valeurs », matérielles ou non, qui pourraient subir une dégradation ou un dommage, dégradation ayant des conséquences pour l’entité considérée.
3
• Tout ce qui peut représenter une valeur ou un enjeu pour l’entité. • Essentiel : processus, information• Support : Bien sur lequel reposent des biens essentiels (logiciel, matériel, ressources humaines)
Actifs/ biens
• Types de dommages subis par des informations (perte de disponibilité, d’intégrité ou de confidentialité).
• On évaluera la gravité de la dégradation.
Dégradation subie par un actif
• Conséquence d’une dégradation au niveau de l’entité. • Ce terme recouvre la notion d’impact.
Conséquences de la dégradation
• Evénement certain ou non certains conduisant à la réalisation d’un risque.• On évaluera la probabilité de survenance de l ’événement.
Causes de la dégradation
Présentation BPMS
Ebios : approche indirecte du risque
La gestion globale et indirecte des risques proposée par Ebios vise à :
Identifier des éléments pouvant conduire à des risques (menaces et vulnérabilité).Hiérarchiser ces éléments.En déduire une politique et des objectifs de sécurité.Mettre en place, comme outil de pilotage, un suivi permanent des objectifs de sécurité ou des éléments de la politique de sécurité.
4
Analyse générale afin de définir des objectifs et des directives de
sécurité propres à réduire globalement les risques.
Présentation BPMS
Méhari : approche directe du risque
La gestion individualisée et directe des risques proposée par Méhari vise à :
Identifier l'ensemble des risques auxquels l’entreprise est exposée.Quantifier le niveau de chaque risque (gravité et probabilité) et le seuil d’acceptabilité.Prendre, pour chaque risque considéré comme inadmissible, des mesures pour que le niveau de ce risque soit ramené à un niveau acceptable.Mettre en place, comme outil de pilotage, un suivi permanent des risques et de leur niveau.S’assurer que chaque risque, pris individuellement, est bien pris en charge et a fait l’objet d’une décision soit d’acceptation soit de réduction, soit de transfert.
5
Analyse de chaque situation de risque identifiée et prise de
décisions spécifiques et adaptées à chacune d’elles
Présentation BPMS
Ebios et Méhari : la notion de risque
EBIOS : Actif, menace et vulnérabilité
• Le risque est la conjonction d’un actif, d’une menace susceptible de faire subir un dommage à cet actif et de vulnérabilités exploitées par la menace pour faire subir à l’actif ce dommage.
• Ces définitions du risque conduisent à une notion de « risques types ».
• Il s’agit donc d’une vision « statique » des risques, au sens où les éléments pris en compte ne font pas intervenir la variable « temps » et ne permettent pas de décrire des enchaînements d’événements, de causes ou de conséquences.
MEHARI : scénarios de risques
• Le risque est la conjonction d’un actif, d’un type de dommage pouvant être subi par cet actif et de circonstances dans lesquelles ce dommage pourrait survenir.
• Cette définition conduit, en pratique, à définir des « situations de risque» ou des « scénarios de risque» qui décrivent, à la fois, le dommage subi et les circonstances dans lesquelles se produit ce dommage.
• Les circonstances recouvrent les notions de lieux, de temps.
• Il s’agit donc d’une vision «dynamique» des risques, dans laquelle le temps peut intervenir.
6
Présentation BPMS
Ebios et Méhari : bottom-up et top-down
Méthode Méhari :Démarche centrée sur les enjeux des diverses activités de l’entité, et menée de préférence à un niveau élevé de management (approche top-down). Cette démarche débouche sur une recherche des circonstances dans lesquelles les dommages pourraient survenir et donc sur une définition de scénarios de risques.Quelles dégradations pourraient affecter ces actifs et dans quelles circonstances ces dégradations pourraient survenir?
7
Méthode Ebios :Cette démarche débouche sur une recherche des menaces pouvant agir sur un actifs et des vulnérabilité de l’actif qui pourraient faciliter la réalisation de la menace.Cette démarche suppose une analyse techniques des actifs par les opérationnels. Le management est donc peu impliqué à ce stade de la démarche (approche bottom-up).Quelles menaces seraient susceptibles de causer un dommage à ces actifs, et quelles vulnérabilités pourraient être exploitées ?
Présentation BPMS
Ebios et Méhari : estimation du risque
EBIOS (gestion globale et indirecte)
• L’analyse des enjeux ou des conséquences du risque
• L’estimation du niveau de la menace
• L’estimation du niveau des vulnérabilités
• L’estimation des risques aboutit à une hiérarchisation des risques.
MEHARI (gestion individuelle et directe)
• L’analyse des enjeux ou des conséquences du risque
• L’analyse de la probabilité de survenance du scénario de risque
• L’effet des mesures de sécurité
• L’estimation des risques aboutit à une évaluation de l’impact (I) et de la probabilité (P) de chaque risque.
8
Présentation BPMS
Focus sur la notion de vulnérabilité
Dans la méthode Ebios, la notion de vulnérabilité est introduite dès la phase d’identification des risques :
Introduire les vulnérabilités dans la définition des risques revient à considérer que ce sont bien elles que l’on entend évaluer et gérer. Il s’agit bien alors d’une gestion indirecte des risques. Introduire dans la définition des risques la liste des vulnérabilités exploitées est source de difficultés pour une gestion directe des risques et oblige à introduire une analyse technique (la recherche de l’ensemble des vulnérabilités concernées par cette situation de risque).
Dans la méthode Méhari, la notion de vulnérabilité est introduite dans la phase d’analyse des risques :
Ne pas faire intervenir les vulnérabilités dans l’identification des risques revient à considérer qu’un risque naît de la simple conjonction d’un élément d’actif qui a une valeur et de circonstances dans lesquelles cette valeur pourrait être mise en cause et que c’est cette situation que l’on entend gérer.
9
Présentation BPMS
Conclusion
EBIOS• Gestion globale et indirecte• Objectif: définition d’une politique de sécurité• Définition du risque basée sur les menaces et vulnérabilité de
l’actif• Implication faible du management• Vision statique des risques
MEHARI • Gestion individuelle et directe• Objectif: définition d’une politique de gestion des risques• Définition du risque basée sur des scénarios de menace• Implication forte du management• Vision dynamique des risques
10
![W } µ o ^ µ ] ^ Ç u [ ] v ( } u - damien.ploix.free.frdamien.ploix.free.fr/SSI/M2 SSI 01 Processus.pdf · Title: Microsoft PowerPoint - M2 SSI 01 Processus.pptx Author: damien](https://img.pdfslide.fr/doc/110x75/5b9a76c809d3f2cb468da5a2/w-o-c-u-v-u-ssi-01-processuspdf-title-microsoft-powerpoint.jpg)
