Gestion des risques
-
Upload
egov-innovation-center -
Category
Technology
-
view
119 -
download
3
Transcript of Gestion des risques
"Risque" selon ISO ISO Guide 73, Management du risque – Vocabulaire
2002 "Combinaison de la probabilité d’un événement et de ses conséquences"
2009 "Effet de l'incertitude sur l'atteinte des objectifs"
– Un effet = un écart, positif ou négatif, par rapport à une attente
– Un risque est souvent exprimé en termes
• des conséquences d'un événement et
• de sa vraisemblance ["likelihood"]
3 Sources : ISO Guide 73:2002, Management du risque - Vocabulaire
ISO Guide 73:2009, Management du risque - Vocabulaire
Types de risques liés à l'informatique
Source : ISACA (2009), "The Risk IT Framework", Figure 2
ou ISACA (2014), "COBIT 5 for Risk", Figure 5
Opportunités d'apporter de la valeur
Risques des projets
Risques opérationnels
4
Menace Vulnérabilité
Faiblesse dans une défense
Conséquences Impacts sur les actifs
Défenses en profondeur
Le modèle du « fromage suisse » "Swiss cheese model"
Basé sur : Reason, J. (1997), "Managing The Risks of Organisational Accidents" 5
Normes de management des risques Evolution
BS 7799-3 :2006
EBIOS 19972004 OCTAVE 19992007 et d'autres influences
ISO 31000 :2009
AS/NZS 4360 :1995 :2004
ISO Guide 73 :2002 :2009
Vocabulaire
ISO 27005 :2011
ISO 13335-1 :2004
ISO 13335-3 :1998
ISO 13335-4 :2000
ISO 27005 :2008
Gestion des risques (entreprise)
Gestion des risques (sécurité de
l'information)
7
Management des risques Le processus selon ISO 31000:2009 (et ISO 27005:2011)
Source : ISO 31000:2009, Management du risque — Principes et lignes directrices
Processus similaire : ISO 27005:2011, Gestion des risques liés à la sécurité de l'information 8
Etablissement du contexte
" ... définition
du domaine d'application ainsi que
des critères de risque ..."
Source : ISO 31000:2009, Management du risque — Principes et lignes directrices 9
Identification du risque
"processus de recherche, de
reconnaissance et de description
des risques"
Source : ISO 31000:2009, Management du risque — Principes et lignes directrices 10
Cette étape peut faire appel à la créativité !
Identification du risque Exemple (méthode CORAS) : Identification des scénarios de risque
11 Basé sur : Lund, M.S. et al (2011), "Model-Driven Risk Analysis, The CORAS Approach"
Identification du risque Exemple (méthode CORAS) : Identification des vulnérabilités
12 Source : Lund, M.S. et al (2011), "Model-Driven Risk Analysis, The CORAS Approach"
Analyse du risque
• Vraisemblance
• Conséquence(s)
"comprendre la nature d'un risque et
... déterminer le niveau de risque"
Source : ISO 31000:2009, Management du risque — Principes et lignes directrices 13
Co
nséq
uen
ce
Critique
Majeure
Modérée
Mineure
Insignifiante
Très probable Probable Possible Négligeable
Analyse des risques Exemple : résumé de l'analyse sous forme d'une matrice des risques
R1
R6
R2
R3 R8
R7 R4 R5
Vraisemblance
14
Peu probable
Evaluation du risque
"comparaison des résultats de
l'analyse du risque avec les critères
de risque afin de déterminer si le
risque et/ou son importance sont
acceptables ou tolérables"
Source : ISO 31000:2009, Management du risque — Principes et lignes directrices 15
Co
nséq
uen
ce
Critique
Majeure
Modérée
Mineure
Insignifiante
Très probable Probable Possible Peu probable Négligeable
Evaluation des risques Exemple : résumé de l'évaluation sous forme d'une matrice des risques
Vraisemblance
R1
R6
R2
R3 R8
R7 R4 R5
= Priorité 1
= Priorité 2
= Acceptable
16
Traitement du risque
"processus destiné à modifier un risque"
Source : ISO 31000:2009, Management du risque — Principes et lignes directrices 17
Traitement du risque
Choix de la stratégie de traitement
Basé sur : ISO 27005:2011, Gestion des risques liés à la sécurité de l'information 18
Traitement du risque
Acceptation du risque résiduel après réduction
Risque actuel
Risque résiduel
Réduction du risque due
au traitement
proposé
Traitement du risque
Niveau de risque "acceptable"
Basé sur : ISO/IEC 13335-1:2004, Concepts and models for ICT security management 19
Traitement du risque
Acceptation du traitement
Réduction du risque = (Risque initial) – (Risque résiduel)
Coût du traitement proposé
20
>
Principe de proportionnalité
Plan de traitement des risques Exemple
Action A
2016
A+1
2017
A+2
2018
Coûts
(mandats,
achats)
Effort
métier
Effort administratif
DSI
Effort technique
DSI
Délai
1. Analyser & évaluer les risques [en cours] 15kFr 3 jh 20 jh - 02.2016
2. Inventorier la règlementation applicable - 3 jh 1 jh - 04.2016
3. Elaborer la Politique générale de sécurité 15kFr 5 jh 10 jh - 09.2016
4. Elaborer une charte sur l'utilisation de l'IT - 5 jh 5 jh - 12.2016
5. Processus de tests périodiques de la sécurité 30kFr/an - 5 jh + 10 jh/an
10 jh/an 06.2016
6. Mettre sur pied un programme de sensibilisation
InfoSéc internalisé
15kFr 5 jh + 1 jh/an
5 jh + 10 jh/an
- 12.2016
7. Approfondir l'analyse BIA
(pré-requis pour la démarche DRP)
15kFr 10 jh 10 jh - 04.2017
etc. etc. etc.
21
Le processus est itératif !
Source : ISO 31000:2009, Management du risque — Principes et lignes directrices 22
Informatique Sécurité de l'info, Sécurité informatique
Management du risque
Entreprise ISO 31000 COSO ERM
•Risk IT + COBIT 4.1 •COBIT 5 for Risk
•ISO 27005 •OCTAVE family
•EBIOS, MEHARI •CORAS •ENISA •CPI-RISC
Développement STRIDE, DREAD, ...
Audit / Gouvernance •CobiT 4.1 + Val IT •CobiT Quickstart •COBIT 5 • Gouvernance: ISO 38500
• Audit: ISO 27007 • Audit: ISO 27008 • Gouvernance: ISO 27014
Bonnes pratiques •ITIL, ... •ISO 27002
Certification •ISO 20000, ... •ISO 27001
Quelques méthodes et normes
24
Références
Vocabulaire ISO
Les normes sont payantes, mais un extrait – contenant toutes les définitions
des termes – peut être consulté gratuitement ici :
• ISO Guide 73 Management du risque – Vocabulaire
– https://www.iso.org/obp/ui/#iso:std:iso:guide:73:ed-1:v1:fr
• ISO/CEI 27000 Systèmes de management de la sécurité de l'information – Vue
d'ensemble et vocabulaire
– https://www.iso.org/obp/ui/#iso:std:iso-iec:27000:ed-3:v1:fr
25
Références
Méthodes simples
• Méthode d'ENISA (European Union Agency for Network and Information Security)
– http://www.enisa.europa.eu/activities/risk-management/current-risk/risk-
management-inventory/files/deliverables [Documentation complète en français, anglais, etc.]
• CORAS - méthode et outil graphique
– http://coras.sourceforge.net/
– Lund, M.S., Solhaug, B., Stølen, K. (2011), "Model-Driven Risk Analysis, The CORAS
Approach", Springer, ISBN 978-3-642-12323-8 Chapter 3 - A Guided Tour of the CORAS Method :
http://www.springer.com/cda/content/document/cda_downloaddocument/978364
2123221-c3.pdf [Documentation complète, en anglais]
• OCTAVE Allegro - la méthode la plus simple de la famille "OCTAVE"
– http://www.cert.org/archive/pdf/07tr012.pdf [Méthode complète & work-sheets, en anglais]
• CPI-RISC - méthode rapide basée sur l'évaluation du niveau de maturité
– http://cpi-risc.org/en/Downloads.html [Documentation partielle, en anglais]
26