Recherche avancée
Par formation
Par date
Par ville
logo HUB Formation
Organisme de Formation
aux Technologies et métiers de L'informatique
La pédagogie au service de la technologie
Accueil > Domaines > Outils & Méthodes > Management des Risques en Sécurité du SI

Management des Risques en Sécurité du SI

Norme ISO 27005, méthodes EBIOS et MEHARI: bonnes pratiques.

Destiné aux RSSI, architectes de sécurité, DSI ou responsables informatiques, consultants, chefs de projet (MOE, MOA) devant répondre à des exigences de Sécurité, ce séminaire s’appuie sur les principes méthodologiques de la norme ISO/CEI 27005 et présente les meilleures pratiques et méthodes du secteur (EBIOS, MEHARI, etc.).

Objectifs

  • acquérir les bases théoriques et pratiques, ainsi que les principes de la gestion des risques liés à la sécurité de l’information.
  • faciliter la mise en oeuvre d’une démarche d’appréciation des risques.
  • connaitre les meilleures pratiques et méthodes du secteur (EBIOS, MEHARI…).

Public

  • Destiné aux RSSI,
  • architectes de sécurité,
  • DSI ou responsables informatiques,
  • consultants,
  • chefs de projets (MOE, MOA) devant répondre à des exigences de sécurité.

Prérequis

  • Connaissances de base en Systèmes d’Information.

Programme de la formation

Quels risques pour quels objectifs ?  

Le risque SSI

  • Synthèse des dernières enquêtes sur la situation de la gestion du risque informatique.
  • Les nouvelles menaces, les vulnérabilités prédominantes.
  • Les cybermenaces, les nouveaux risques sur la mobilité et le Cloud : état des lieux.
  • Rappel des prérequis réglementaires et normatifs (SOX, ISO 27001, PCI-DSS, RGPD, LPM…).
  • Identification et classification des risques : risques opérationnels, physiques/logiques.

À la recherche d’une méthodologie universelle

  • Introduction à la norme ISO 31000 - Management du Risque. Principes et lignes directrices.
  • Techniques d’évaluation des risques via la norme ISO/CEI 31010.
  • L’estimation des conséquences d’un risque SSI (financier, juridique, humain, métier, etc.).
  • Alignement des processus ISO 27005 avec l’ISO 31000
  • Comment tendre vers une méthodologie commune à tous les types de risques ?
  • Quel lien établir entre la SSI, le management, la direction des risques ?
  • Le traitement type du risque (prévention, protection, évitement, partage).
  • Le lien ISO 27005 avec les normes ISO 27002 et 27001.

Une Task Force « risque » opérationnelle

  • Le rôle des métiers et des propriétaires d’actifs ; l’implication nécessaire de la DSI.
  • L’assurabilité d’un risque, les principaux risques partageables ou assurables.
  • Le ROI du partage, calcul financier du transfert à l’assurance, les prérequis.
  • Les rôles complémentaires du RSSI et du Risk Manager.

Le cadre méthodologique ISO 27005-2018  

Intérêts et limites de l’approche normative

  • Aide à mieux gérer les risques dans le domaine de la sécurité de l’information.
  • Adaptabilité à toutes les organisations de tous types.
  • Description d’un processus de Management des Risques en matière de Sécurité de l’Information compatible avec une gestion globale des risques de l’entreprise.
  • L’ISO 27005 comme support « idéal » à la construction d’un SMSI ISO 27001 :2013.
  • Le management des risques SSI en appui des objectifs de gouvernance IT.
  • De l’intérêt d’un cadre méthodologique « ISO Compliant ».

L’essentiel de la norme

  • Les sections « centrales » (appréciation et traitement) de la gestion des risques (sections 7 et 8).
  • Les bases de connaissances en annexe (annexes B à E). Comment bien les utiliser ?
  • Le référentiel de bonnes pratiques ISO 27002 :2013 ; rappel des domaines de sécurité pour la réduction des risques.
  • La valeur ajoutée réelle de la norme par rapport aux méthodes publiées ou propriétaires.
  • Objectifs et domaine d’application ; l’implication nécessaire des métiers : libre choix ou contraintes réglementaires ?
  • L’identification des besoins de sécurité : disponibilité, intégrité et confidentialité avec les propriétaires d’actifs.
  • Identification des contraintes internes et externes ; les parties prenantes et intéressées.
  • Identification des réglementations métier, le contexte juridique, les clauses contractuelles.
  • La mise en œuvre d’un processus PDCA de management des risques.

Les phases clés du Management du Risque

  • Les étapes clés de l’analyse de risques (contexte, appréciation, traitement, acceptation, surveillance et revue).
  • Bien encadrer les parties prenantes : responsables métier, expert IT, chef de projet informatique, expert SSI.
  • Comment identifier les actifs primordiaux, liens avec les actifs en support.
  • Partir du risque « brut » intrinsèque pour atteindre le risque résiduel acceptable.
  • La préparation de la déclaration d’applicabilité (SoA). L’élaboration du plan de traitement des risques à partir de la norme ISO 27002 :2013.
  • Les bases de menaces / vulnérabilités / risques nécessaires et suffisantes.
  • Les techniques d’évaluation : calcul de vraisemblance menace / conséquence incident et facilité d’exploitation vulnérabilité.
  • Choisir sa formule d’estimation de valeur de risques (calcul mathématique ou calcul matriciel bi ou tridimensionnel).
  • Identifier le type de traitement des risques optimal : entre réduction et partage.
  • Les cas exceptionnels de type évitement ou refus : exemples.
  • Comment choisir une mesure de sécurité dans un référentiel ? Le rôle de l’expert SSI.

La construction d’un processus dans le temps

  • Une approche itérative de l’élaboration du plan de traitement à la surveillance des risques.
  • La communication vers les parties prenantes et la sensibilisation des managers.
  • La revue / réexamen : comment surveiller efficacement ses risques ?
  • La gestion des incidents, l’évaluation des conséquences et le reporting indispensable.
  • La réappréciation des risques (les entrées / sorties du processus).
  • Comment s’enrichir des événements du passé pour mieux réduire les risques du futur ?
  • Intégrer son management des risques dans un processus PDCA type SMSI.

Les méthodes d’analyse de risques : mise en pratique et exemples  

La méthode EBIOS: 2018

  • La structure méthodologique : les cinq processus fédérant neuf activités.
  • Étude du contexte, identification des biens supports et essentiels.
  • Étude des scénarios de menaces et des événements redoutés. Étude des risques.
  • Choix des mesures de sécurité, les référentiels disponibles.
  • Comment choisir entre le référentiel ISO 27002 et le référentiel RGS (Référentiel Général de Sécurité) élaboré et préconisé par l’ANSSI ?
  • Le référentiel EBIOS comme support pour apprécier les risque RGPD et réaliser les analyses d’impact. Les conseils de la CNIL.
  • Les évolutions 2018-2019 prévues. Les outils d’aide à la réalisation disponibles.
  • Exemples pratiques et études de cas (Cloud Computing, accès distant, Archimed, etc.).

Les méthodes MEHARI

  • Comprendre le principe de la démarche ; savoir analyser efficacement les documentations.
  • L’analyse des enjeux majeurs et des vulnérabilités et des risques majeurs.
  • La base de connaissances et le référentiel des services de sécurité.
  • Comment compléter une analyse existante (en étendant le domaine d’application) ?
  • Vers une démarche à géométrie variable : allégée pour les petits périmètres ?
  • Élaboration d’un plan d’action basé sur les services de sécurité.
  • Apports respectifs de MEHARI EXPERT, PRO/PME et Manager.
  • Alignement MEHARI, ISO 27005 et référentiel ISO 27002.
  • Les logiciels téléchargeables (MEHARI Manager, feuilles Excel, bases de connaissances).

Les autres méthodes (internationales)

  • Les méthodes anglo-saxonnes, CRAMM, OCTAVE, etc.
  • Historique, développement, présence dans le monde.
  • Comparaisons techniques avec les méthodes françaises.
  • Intérêts et limites de ces approches dans un contexte France, Europe, Monde.

Choisir ou construire sa méthode ?  

  • Comment choisir la meilleure méthode sur la base d’exemples et études de cas pratiques ?
  • À la recherche d’une méthode à géométrie variable adaptable à tous les projets de sécurité et tout type de domaine d’application.
  • Élaborer ses propres bases de connaissances (menaces, vulnérabilités, risques, actifs, échelles DIC, vraisemblance / conséquences, etc.).
  • La construction d’une démarche pragmatique : un « best of » de plusieurs méthodes publiées ?
  • Les principaux pièges dans l’élaboration (et comment les éviter).
  • Être ou ne pas être « ISO Spirit » : bien identifier les contraintes du modèle PDCA.
  • Concevoir une méthodologie dans le temps avec un processus de révision efficace et pragmatique.

Méthode pédagogique

Chaque participant travaille sur un poste informatique qui lui est dédié. Un support de cours lui est remis soit en début soit en fin de cours. La théorie est complétée par des cas pratiques ou exercices corrigés et discutés avec le formateur. Le formateur projette une présentation pour animer la formation et reste disponible pour répondre à toutes les questions.

Méthode d'évaluation

Tout au long de la formation, les exercices et mises en situation permettent de valider et contrôler les acquis du stagiaire. En fin de formation, le stagiaire complète un QCM d'auto-évaluation.