ISO 27001 et la gestion des risques

Transcription

HERVÉ SCHAUER CONSULTANTS
Cabinet de Consultants en Sécurité Informatique depuis 1989
Spécialisé sur Unix, Windows, TCP/IP et Internet
ISO 27001
et la gestion des risques
Conférence Netfocus
Lyon, 10 avril 2008
Hervé Schauer
<[email protected]>
Sommaire
ISO 27001
ISO 27001 et la gestion de risques
Recommandations
ISO 27005
Vocabulaire
Processus de gestion de risques
Appréciation des risques
Traitement des risques
Les transparents seront
disponibles sur
www.hsc.fr
Acceptation des risques
Rappel des recommandations
Conclusion
2 / 40
Copyright Hervé Schauer Consultants 2008 - Reproduction Interdite
ISO 27001
Processus
Plan
Act
Do
Matérialisé par
Check
Politique (4.3.1.a) et périmètre (4.3.1.b)
Appréciation des risques (4.3.1.e)
Plan de traitement des risques
(4.3.1.f)
Déclaration d'applicabilité (4.3.1.i)
Procédures (4.3.1.g)
3 / 40
ISO 27001 et la gestion des risques
Exigences ISO 27001 en gestion de risques
Impose pas de méthode
Impose de définir la méthode employée (4.3.1.d et 4.2.1.c)
Impose des éléments structurants :
Identifier les actifs, les menaces et les vulnérabilités
(4.2.1.d)
Identifier les impacts en terme de perte de confidentialité, intégrité, et
disponibilité (4.2.1.d.4)
Analyser et évaluer les risques (4.2.1.e)
Méthodes en phase avec cette démarche conviennent
Globalement toutes les méthodes peuvent convenir :
BS7799-3, EBIOS, ERSI-CAP, Mehari, Octave, etc
4 / 40
Recommandations
1/3
Ne pas faire une appréciation des risques une fois pour toute
et ne plus y toucher
Ne pas chercher à faire une appréciation exhaustive
Ne pas travailler 3 mois sur une appréciation des risques
Ne pas réinventer la roue
Ne pas perdre de temps
Ne pas tomber dans le travers de nombre d'entreprises
5 / 40
Recommandations
Faire sa gestion du risque soi-même
Ou se faire accompagner pour la mise en place et devenir
autonome après
Faire vivre sa gestion du risque
L'entreprise change
Les gens gens changent
Les objectifs changent
Les risques changent
Les risques SI évoluent quotidiennement
6 / 40
2/3
Recommandations
3/3
Créer un processus de gestion du risque qui vit :
Plan
Act
Do
 Identifier l'existant et l'adapter
Check
 Construire une méthode simple que l'on fera évoluer dans
le temps
 Communiquer avec la direction et les équipes
régulièrement
7 / 40
ISO 27005
Guide de mise en oeuvre de la partie appréciation des risques
et traitement des risques de l'ISO 27001
ISO 27001 de 4.2.1 c) à 4.2.1 f) 4), plus 4.2.3.d) et 5.1.f)
soit 1 page + quelques lignes
ISO 27001 4.2.1 c)  4.2.1 f)
ISO 27005
ISO 27005
56 pages
24 pages normatives, chap 1 à 12
32 pages d'annexes A à F
8 / 40
ISO 27005
Norme  consensus entre les acteurs du marché
Noyau commun accepté par tous
Peut être complétée
Guide complétant ISO 27001
Conforme à l'ISO 27001
Méthodes d'appréciation des risques existantes
Se qualifieront de "conforme à la norme ISO 27005"
Continueront à évoluer et innover
Contribueront à l'amélioration de la norme ISO 27005
Compléteront la norme pour ceux qui en ont le besoin
9 / 40
Vocabulaire (3)
Analyse de risque / Appréciation du risque
Risque de sécurité de l'information (information security risk )
(3.2)
Actif (asset) (B)
Menace (threat) (C)
Vulnérabilité (vulnerability) (D)
Impact / Conséquence
Tableau d'appréciation des risques
Comparatif
10 / 40
Analyse de risque/Appréciation du risque
ISO 27001
Risk Analysis(IS27001 3.11)  Analyse du risque
Risk Estimation(3.4)  Estimation du risque
Risk Evaluation(3.5)  Evaluation du risque
Risk Assessment (IS27001 3.12)  Appréciation du risque
Langage couramment employé dans le microcosme de la SSI
Analyse de risque  Risk Assessment
Usage impossible à garder sans confusions
Pas d'autre traduction possible que Risk Analysis  Analyse du risque
Confusion avec Risk Assessment
Donc : Risk Assessment  Appréciation du risque
Comme dans tous les autres métiers qui gèrent des risques
11 / 40
Risque (de sécurité de l'information)
Risque de sécurité de l'information
(Information security risk) (3.2) :
Possibilité (potential) qu'une menace
va exploiter une vulnérabilité d'un
actif et ainsi causer un préjudice à
l'organisation
Menace
cible
exploite
Mesuré par combinaison de
Probabilité d'occurence ou
vraisemblance ou potentialité de
l'évènement
Impact (3.1) ou conséquence ou
préjudice
Impact  plutôt SI
Conséquence  plutôt processus
métier, organisme
Actif
possède
Vulnérabilité
Impact
Conséquence
ou Préjudice
12 / 40
1/3
Risque
2/3
Risque généralement caractérisé par :
Source ou origine
Employé malveillant, employé non sensibilisé, ...
Menace
Divulgation d'information confidentielle, coupure d'électricité, ...
Probabilité d'occurence ou vraisemblance ou potentialité
Durée et lieu d'occurrence, probabilité d'occurrence
Vulnérabilité ayant permis ce risque
Erreur de conception, erreur humaine, ...
Impact, conséquence ou préjudice
Indisponibilité du service, perte de marché ou d'image, ...
Mesure de sécurité ou protection ou contre-mesure pour s'en protéger
Contrôle d'accès, politique de sécurité, sensibilisation du personnel, ...
13 / 40
Risque
3/3
Exemple dans un tableau d'appréciation des risques :
┌────────┬────────┬───────────┬─────────────┬────────┬────────────────┐
│ Actif │ Menace │Probabilité│Vulnérabilité│ Impact │Niveau de risque│
│
│
│d'Occurence│
│
│
│
├────────┼────────┼───────────┼─────────────┼────────┼────────────────┤
│
│
│
│
│
│
│
└────────┴────────┴───────────┴─────────────┴────────┴────────────────┘
14 / 40
Actif
Bien, patrimoine informationnel
Identification, valorisation, dépendances (B) :
Actifs primordiaux (principaux, primaires) (primary assets) :
Processus et activités métier
Information
Actifs de soutien (en support, secondaires) (supporting assets) :
Cadre organisationnel
Site
Personnel
Réseau
Logiciel
Matériel
15 / 40
Menace (C)
Menaces (Threat) (CD27000:3.3.6)
1/4
Menace
Source potentielle d'incident
pouvant entraîner des changements
indésirables sur :
un actif
cible
exploite
un ensemble d'actifs
possède
l'organisation
Menaces
Classées par :
Vulnérabilité
Origine
Type
Source, motivation, action
16 / 40
Actif
Impact
Menace (C)
Origines des menaces (C)
Accidentelle (accidental) : A
Action humaine qui endommage accidentellement un actif
Délibérée (deliberate) : D
Action délibérée sur un actif
Environnementale (environmental) : E
Tout incident sur un actif qui ne vient pas d'une action humaine
17 / 40
2/4
Menace (C)
3/4
Types de menaces (C)
Dommage physique (A, D, E)
Feu, dégât des eaux, pollution, poussière, gel
Evènement naturel (E)
Séisme, éruption volcanique, inondation (d'origine naturelle)
Perte de service essentiel
Eau (A, D), air conditionné (A, D), électricité (A, D, E), télécommunication
Perturbations dues aux radiations (A, D, E)
Compromission de l'information
Interceptions de toutes natures (D)
Vol d'équipement, de supports, d'équipements (D)
Divulgation d'information, données peu fiables (A, D)
Détection de position (D)
18 / 40
Menace (C)
Type de menaces (C)
Pannes techniques
Mauvais fonctionnement d'un équipement ou d'un logiciel (A)
Saturation (A, D)
Actions non-autorisées
Copies de logiciels non-autorisés (A), usage de contrefaçons (A, D),
corruption de données (D)
Compromission de fonction
Erreur d'utilisation, abus ou contrefaçon de droits, répudiation
19 / 40
4/4
Vulnérabilité (D)
Vulnérabilité : propriété
intrinsèque de l'actif
Menaces peuvent exploiter les
vulnérabilités (D)
Exemples vulnérabilité  menace
Menace
cible
exploite
possède
Zone inondable  inondation
Spécifications incomplète pour les
développeurs  mauvais
fonctionnement du logiciel
Manque des rôles et responsabilités en
sécurité de l'information dans la
description de poste  erreur
d'utilisation
Vulnérabilité
Impact
Conséquence
ou Préjudice
20 / 40
Actif
Impact/Conséquence
Impact d'un risque exprimé
par : (27001 4.2.1.d.4)
Menace
Atteinte à un critère de risque, ou
perte d'un critère de risque
Exemples :
cible
exploite
Atteinte à l'intégrité
Perte de disponibilité
possède
Vulnérabilité
Conséquence d'un risque (ou
préjudice) exprimée par :
Impact
Du français
Exemple :
Atteinte à l'image de marque
Perte de chiffre d'affaires
21 / 40
Actif
Conséquence
Tableau d'appréciation des risques
Exemple dans un tableau d'appréciation des risques :
Rapport (report) d'appréciation des risques (IS27001 4.3.1.e)
Tableau (table) d'appréciation des risques
(IS27005 E.2)
┌─────────┬────────┬─────────┬─────────────┬────────┬────────────────┐
│ Actif │ Menace │Prob.Occ.│Vulnérabilité│ Impact │Niveau de risque│
├─────────┼────────┼─────────┼─────────────┼────────┼────────────────┤
│
│
│
│
│
│
│
│
│
│
├─────────────┼────────┼────────────────┤
│
│
│
│
│
│
│
│
│
│
├─────────────┼────────┼────────────────┤
│
│
│
│
│
│
│
│
├────────┼─────────┼─────────────┼────────┼────────────────┤
│
│
│
│
│
│
│
│
│
│
├─────────────┼────────┼────────────────┤
│
│
│
│
│
│
│
└─────────┴────────┴─────────┴─────────────┴────────┴────────────────┘
22 / 40
Comparatif
Attention aux vocabulaires antérieurs
Inspiré en partie d'un travail initial de Nicolas Mayer du Centre de Pecherche Public Henri Tudor
23 / 40
Processus de gestion du risque
Définition d'un processus
Continu et qui s'améliore, donc PDCA
Plan
Act
Processus de gestion de risque de
la sécurité de l'information
(information security risk management
process)
Do
Check
Processus applicable
A toute l'organisation
A un sous ensemble
Service, site géographique, etc.
A tout système d'information
A une mesure de sécurité ou un traitement existant ou planifié
Exemple : continuité d'activité
24 / 40
Identifier les risques
Plan
● Quantifier chaque risque par rapport
● aux conséquences que sa matérialisation
pourrait avoir sur le business
● à sa vraisemblance (likelihood)
● Identifier les actions appropriées pour réduire
les risques identifiés à un niveau acceptable
●
Implémenter les actions Do
pour réduire les risques
● Eduquer la direction et le
personnel sur les risques et les
actions prises pour les atténuer
●
Rectifier le traitement du risque à
la lumière des évènements et des
changements de circonstances
● Améliorer le processus de
Act
gestion du risque
●
Surveiller et réexaminer
les résultats, l'efficacité et
l'efficience du processus Check
25 / 40
Processus de gestion du risque (6) p6
ISO 27001 l'activité appréciation du risque
Décomposé en deux activités { dans
s'appelle processus d'appréciation du risque
séquentielles et itératives
(8.1)
Approche itérative
Améliore la finesse de l'analyse à
chaque itération
Garantie une appréciation des
risques élevés
Minimise le temps et l'effort
consenti dans l'identification des
mesures de sécurité
satisfaisante ?
Risques acceptables ?
26 / 40
Appréciation du risque
(risk assessment)
Appréciation
satisfaisante ?

non
oui
Traitement du risque
(risk treatment)
Risques résiduels
à un niveau
acceptable ?

non
Approche itérative ou cyclique
Permet d'avancer avec des
Interlocuteurs absents ou
incapables de savoir ou qui
refusent de répondre
Livrables incomplets
(risk assessment)
Appréciation
Incapacité du management de se satisfaisante ?
oui
prononcer sur l'approbation des
risques résiduels sans connaître
Traitement du
d'abord les coûts associés
Facilite la gestion des
susceptibilités et des aspects
politiques entre
Interviewés
Actifs et processus métier
27 / 40

non
risque
(risk treatment)
Facilite les liens entre les
risques et les impacts sur les
processus métier
Appréciation du risque (8)
Analyse des risques
Mise en évidence des composantes des risques
Estimation de leur importance
Evaluation des risques
Analyse d'ensemble et prise de décision sur les risques
Traitement du risque (9)
Sélection des objectifs et mesures de sécurité pour réduire le risque
Refus, transfert ou prise du risque
Acceptation du risque (10)
Approbation par la direction des choix effectués lors du traitement du
risque
Communication du risque (11)
28 / 40
 n° 1
Est-ce que
l'appréciation des
risques donne assez
d'éléments pour
déterminer les actions
nécessaires à la
réduction des risques à
un niveau acceptable ?
 n° 2
Est-ce que le plan de
traitement des risques
réduit le risque à un
risque résiduel qui sera
acceptable par la
direction générale ?
Communication du risque
Etablissement du contexte
Analyse de risque
Identification du risque
Estimation du risque
Evaluation du risque
Appréciation
satisfaisante ?
oui
Risque
acceptable ?
oui
non
Acceptation du risque
29 / 40
Surveillance et réexamen du risque
Processus de gestion du risque (6) p8-9
Processus de gestion du risque (6) p7
Plan
Analyse de risque
Elaboration du plan
de traitement du risque
Do
Act
Implémentation du plan
de traitement du risque
Améliorer le processus
de gestion de risque
Check
30 / 40
Analyse de risque
Appréciation
satisfaisante ?
oui
Risque
acceptable ?
oui
non
31 / 40
Appréciation du risque (8.1) :
Déterminer la valeur des actifs
Identifier les menaces et les
vulnérabilités
Identifier les mesures de
sécurité existantes et leurs
effets sur le risque identifié
Quantifier les conséquences
potentielles
Prioritiser et ordonnancer les
risques par rapport aux critères
préalablement établis
Analyse de risque
Appréciation
satisfaisante ?

Itérations de l'appréciation (8.1)
Haut-niveau
De plus en plus en profondeur
32 / 40
Analyse de risque
Appréciation
satisfaisante ?
oui
Risque
acceptable ?
oui
non
33 / 40
Traitement et acceptation du risque
Traitement et acceptation du risque
Traitement du
risque (9.1) :
Résultats
Liste des risques prioritisés
(IS27001 4.2.1.f)
Choix des options de
traitement des risques
(9.4)
(9.5)
Refus ou
évitement
(9.2)
Transfert
Acceptation du
risque (10) :
Réduction
risques résiduels
risques
acceptables ?
non
oui

Plan de traitement des risques accepté
34 / 40
(9.3)
Prise
(Retention)
Acceptation (10)
Du plan de traitement des risques
De l'appréciation du risque résiduel
Par la direction générale
Risque
acceptable ?
oui
Soit le plan de traitement du risque est
réussi
Soit la direction générale accepte le
risque en toute connaissance de cause
(IS27001 4.2.1.h)
Manque de budget
Contraintes de temps
Bien que le risque soit au-delà des critères
d'acceptation des risques
Enregistrement formel
35 / 40
ISO27005
ISO 27005 est une méthode en elle-même
Autres méthodes servent comme outil au cas par cas
Méthode de calcul dans l'estimation du risque
Questionnaires pour conduire les entretiens
etc
36 / 40
Rappels des recommandations
Identifier les objectifs
Mise en conformité ISO 27001, établissement de plan de reprise,
démarche sécurité, ...
Adhésion de la direction ?
Identifier le périmètre
Identifier les éléments existants
Risques opérationnels ? Risques métiers ?
Méthode ?
Risk manager ?
Mener des interviews
Savoir où on va
37 / 40
Rappels
Adapter l'existant
Construire la méthode et établir les critères progressivement
Choisir des formules simples
NR = Max(C,I,D)*P
NR = Max(C,I,D)*P*Difficulté d'exploitation
...
Conduire des entretiens
Identifier et évaluer les actifs
Identifier les menaces et vulnérabilités
Identifier les mesures de sécurité existantes
Identifier les mesures de sécurité potentielles
38 / 40
Conclusion
Construisez une gestion de risques
Pragmatique
Vivante
et Maitrisée
Questions ?
[email protected] www.hsc.fr
ISO 27001 a son club !
Paris, Toulouse, Rennes, Nantes, ...
En projet : Lyon, Nice, ..
Mutualisation ITIL/itSMF
www.club27001.fr
39 / 40
40 / 40

ISO 27001 et la gestion des risques

Transcription

Documents pareils

Oeuvres complètes

Les documents à conserver

Bienvenue dans le logiciel de gestion d`un tournoi de Football

Version PDF - Herve Schauer Consultants

Compte-rendu Black Hat Europe 2008

coloriages garcons_portrait.ai

Cabinet de conseil expert en Asset Management

Télécharger

GS Days 2013 - Herve Schauer Consultants

Lutter contre le spam - Herve Schauer Consultants