Scribd
Importer
18 vues32 pages

Memos 27005

Transféré par

Richard Delet
Copyright
© © All Rights Reserved
Formats disponibles
Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
Télécharger au format pdf ou txt
18 vues32 pages

Memos 27005

Transféré par

Richard Delet
Copyright
© © All Rights Reserved
Formats disponibles
Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
Télécharger au format pdf ou txt
Télécharger au format pdf ou txt
Vous êtes sur la page 1/ 32

ISO 27005 RISK MANAGER

FORMATION
ISO 27005 : RISK MANAGER

MEMOS

MEMOS & ASTUCES 1 *


ISO 27005 RISK MANAGER

Critères de sécurité

MEMOS & ASTUCES 2 *


ISO 27005 RISK MANAGER

Sécurité au service du métier

MEMOS & ASTUCES 3 *


ISO 27005 RISK MANAGER

Concept du risque

MEMOS & ASTUCES 4 *


ISO 27005 RISK MANAGER

Concept du risque

MEMOS & ASTUCES 5 *


ISO 27005 RISK MANAGER

PDCA – ISO 27005

MEMOS & ASTUCES 6 *


ISO 27005 RISK MANAGER

Amélioration Continue

MEMOS & ASTUCES 7 *


ISO 27005 RISK MANAGER

Liaison entre normes


Annexe A 27001 Guide
= 27002 Bonnes pratiques
SMSI ISO 27002
ISO 27001

Source de la sélection
GR des mesures du
ISO 27005 Plan de traitement

MEMOS 8 *
ISO 27005 RISK MANAGER
Processus : Appréçiation

MEMOS & ASTUCES 9 *


ISO 27005 RISK MANAGER
Processus : Traitement

MEMOS & ASTUCES 10 *


ISO 27005 RISK MANAGER
Contexte, critères d’évaluation des risques
• Avantages
– Financier: réduire le risque des pertes
– Marketing: label de confiance
– Organisationnel: structuration de la gestion des risques
– Métier: réduire les risques relatifs au processus métier
– Légal: être en conformité par rapport à la loi
• Exigences
– Réglementaires
– Contractuelles
– Politiques internes
– Standards internationaux
– Standard métier

MEMOS & ASTUCES


EXERCICES 11 *
ISO 27005 RISK MANAGER
Contexte, critères d’évaluation des risques
• Objectifs
– Assurer la sécurisation des processus métier
– Répondre aux exigences des parties prenantes
– Gérer les risques avec les partenaires externes
– Protéger la confidentialité des données clients
– Etre en conformité légale et contractuelle
• Critères d’évaluation des risques
– Valeur stratégique des processus métier
– Criticité des actifs informationnels
– Exigences légales et contractuelles
– L’importance opérationnelle et métier
– Les attentes des parties prenantes

MEMOS & ASTUCES


EXERCICES 12 *
ISO 27005 RISK MANAGER
Actifs

MEMOS & ASTUCES 13 *


ISO 27005 RISK MANAGER
Impacts

MEMOS & ASTUCES 14 *


ISO 27005 RISK MANAGER
Menaces

MEMOS & ASTUCES 15 *


ISO 27005 RISK MANAGER
Menaces

MEMOS & ASTUCES 16 *


ISO 27005 RISK MANAGER
Vulnérabilités

MEMOS & ASTUCES 17 *


ISO 27005 RISK MANAGER
Vulnérabilités

MEMOS & ASTUCES 18 *


ISO 27005 RISK MANAGER
Vulnérabilités

MEMOS & ASTUCES 19 *


ISO 27005 RISK MANAGER
Vulnérabilités

MEMOS & ASTUCES 20 *


ISO 27005 RISK MANAGER
Estimation du risque

MEMOS & ASTUCES 21 *


ISO 27005 RISK MANAGER
Estimation du risque

MEMOS & ASTUCES 22 *


ISO 27005 RISK MANAGER
Critères de base

Et seront traités
MEMOS & ASTUCES 23 *
ISO 27005 RISK MANAGER
Options de traitement du risque

Et seront traités
MEMOS & ASTUCES 24 *
ISO 27005 RISK MANAGER
Appréciation des risques

MEMOS & ASTUCES 25 *


ISO 27005 RISK MANAGER
AVANT traitement du risque

MEMOS & ASTUCES 26 *


ISO 27005 RISK MANAGER
APRES traitement du risque

MEMOS & ASTUCES 27


ISO 27005 RISK MANAGER
Plan de traitement du risque

MEMOS & ASTUCES 28 *


ISO 27005 RISK MANAGER
ASTUCES
• Pour la phase identification des éléments du risque: MVI
– Les menaces sont des dangers, des incidents qui ont une
probabilité de se réaliser (voir annexe C)
– Pour les vulnérabilités ce sont des faiblesses dans le SI utiliser
des verbes de type: absence, insuffisance, inexistence… (voir
annexe D: 6 catégories)
– Les impacts sont qualifiés par leur gravité, pour les définir, utiliser
les qualifications de type : perte financière, perte d’image de
marque, perte de client, perte CID (voir annexe B)
• Pour la phase traitement
– Les mesures « sont l’inverse » des vulnérabilités
– Pour les mesures utiliser des verbes d’action de type: élaborer,
appliquer, implémenter, renforcer…

MEMOS & ASTUCES 29 *


ISO 27005 RISK MANAGER
ASTUCES
• MENACE
• Fraude, Abus de droits, Erreur, Compromission, Piratage
• VULNERABILITE
• Absence, Insuffisance, Mauvaise, Manque
• IMPACT
• Indisponibilité, perte clients, perte financière, perte d’avantage
concurrentiel, perte d’image de marque, poursuite judiciaire
• MESURE
• Mettre en place, renforcer, optimiser, corriger, implémenter,
élaborer, former, sensibiliser

MEMOS & ASTUCES 30 *


ISO 27005 RISK MANAGER

Eléments du risque

ACTIFS
Menaces Conséquences
Acte de malveillance Perte de disponibilité
Abus de droits Divulgation
Erreurs Perte d’image de marque
Piratage Perte de clients
Défaillance matérielle Poursuite judiciaire
Dysfonctionnement logiciel Perte financières

Mesures
Vulnérabilités Implémenter
Absence Renforcer
Insuffisance Corriger
Mauvaise configuration Former
Sensibiliser
Élaborer une politique
Élaborer une procédure

MEMOS 31 *
ISO 27005 RISK MANAGER
OBJECTIF

Viser loin pour aller loin…


MEMOS & ASTUCES 32 *

Vous aimerez peut-être aussi