Recherche avancée
Par formation
Par date
Par ville
logo HUB Formation
Organisme de Formation
aux Technologies et métiers de L'informatique
La pédagogie au service de la technologie
Accueil > Domaines > Outils & Méthodes > Management des Risques en Sécurité du SI

Management des Risques en Sécurité du SI

Norme ISO 27005, méthodes EBIOS et MEHARI: bonnes pratiques.

Destiné aux RSSI, architectes de sécurité, DSI ou responsables informatiques, consultants, chefs de projet (MOE, MOA) devant répondre à des exigences de Sécurité, ce séminaire s’appuie sur les principes méthodologiques de la norme ISO/CEI 27005 et présente les meilleures pratiques et méthodes du secteur (EBIOS, MEHARI, etc.).

Objectifs

  • acquérir les bases théoriques et pratiques, ainsi que les principes de la gestion des risques liés à la sécurité de l’information.
  • faciliter la mise en oeuvre d’une démarche d’appréciation des risques.
  • connaitre les meilleures pratiques et méthodes du secteur (EBIOS, MEHARI…).

Public

  • Destiné aux RSSI,
  • architectes de sécurité,
  • DSI ou responsables informatiques,
  • consultants,
  • chefs de projets (MOE, MOA) devant répondre à des exigences de sécurité.

Prérequis

  • Connaissances de base en Systèmes d’Information.

Programme de la formation

Quels risques pour quels objectifs ?  

Le risque SSI

  • Synthèse des dernières enquêtes sur la situation de la gestion du risque informatique.
  • Les nouvelles menaces, les vulnérabilités prédominantes.
  • Les cybermenaces, les nouveaux risques sur la mobilité et le Cloud : état des lieux.
  • Rappel des prérequis réglementaires et normatifs (SOX, ISO 27001, PCI-DSS, RGPD, LPM…).
  • Identification et classification des risques : risques opérationnels, physiques/logiques.

À la recherche d’une méthodologie universelle

  • Introduction à la norme ISO 31000 - Management du Risque. Principes et lignes directrices.
  • Techniques d’évaluation des risques via la norme ISO/CEI 31010.
  • L’estimation des conséquences d’un risque SSI (financier, juridique, humain, métier, etc.).
  • Alignement des processus ISO 27005 avec l’ISO 31000
  • Comment tendre vers une méthodologie commune à tous les types de risques ?
  • Quel lien établir entre la SSI, le management, la direction des risques ?
  • Le traitement type du risque (prévention, protection, évitement, partage).
  • Le lien ISO 27005 avec les normes ISO 27002 et 27001.

Une Task Force « risque » opérationnelle

  • Le rôle des métiers et des propriétaires d’actifs ; l’implication nécessaire de la DSI.
  • L’assurabilité d’un risque, les principaux risques partageables ou assurables.
  • Le ROI du partage, calcul financier du transfert à l’assurance, les prérequis.
  • Les rôles complémentaires du RSSI et du Risk Manager.

Le cadre méthodologique ISO 27005-2018  

Intérêts et limites de l’approche normative

  • Aide à mieux gérer les risques dans le domaine de la sécurité de l’information.
  • Adaptabilité à toutes les organisations de tous types.
  • Description d’un processus de Management des Risques en matière de Sécurité de l’Information compatible avec une gestion globale des risques de l’entreprise.
  • L’ISO 27005 comme support « idéal » à la construction d’un SMSI ISO 27001 :2013.
  • Le management des risques SSI en appui des objectifs de gouvernance IT.
  • De l’intérêt d’un cadre méthodologique « ISO Compliant ».

L’essentiel de la norme

  • Les sections « centrales » (appréciation et traitement) de la gestion des risques (sections 7 et 8).
  • Les bases de connaissances en annexe (annexes B à E). Comment bien les utiliser ?
  • Le référentiel de bonnes pratiques ISO 27002 :2013 ; rappel des domaines de sécurité pour la réduction des risques.
  • La valeur ajoutée réelle de la norme par rapport aux méthodes publiées ou propriétaires.
  • Objectifs et domaine d’application ; l’implication nécessaire des métiers : libre choix ou contraintes réglementaires ?
  • L’identification des besoins de sécurité : disponibilité, intégrité et confidentialité avec les propriétaires d’actifs.
  • Identification des contraintes internes et externes ; les parties prenantes et intéressées.
  • Identification des réglementations métier, le contexte juridique, les clauses contractuelles.
  • La mise en œuvre d’un processus PDCA de management des risques.

Les phases clés du Management du Risque

  • Les étapes clés de l’analyse de risques (contexte, appréciation, traitement, acceptation, surveillance et revue).
  • Bien encadrer les parties prenantes : responsables métier, expert IT, chef de projet informatique, expert SSI.
  • Comment identifier les actifs primordiaux, liens avec les actifs en support.
  • Partir du risque « brut » intrinsèque pour atteindre le risque résiduel acceptable.
  • La préparation de la déclaration d’applicabilité (SoA). L’élaboration du plan de traitement des risques à partir de la norme ISO 27002 :2013.
  • Les bases de menaces / vulnérabilités / risques nécessaires et suffisantes.
  • Les techniques d’évaluation : calcul de vraisemblance menace / conséquence incident et facilité d’exploitation vulnérabilité.
  • Choisir sa formule d’estimation de valeur de risques (calcul mathématique ou calcul matriciel bi ou tridimensionnel).
  • Identifier le type de traitement des risques optimal : entre réduction et partage.
  • Les cas exceptionnels de type évitement ou refus : exemples.
  • Comment choisir une mesure de sécurité dans un référentiel ? Le rôle de l’expert SSI.

La construction d’un processus dans le temps

  • Une approche itérative de l’élaboration du plan de traitement à la surveillance des risques.
  • La communication vers les parties prenantes et la sensibilisation des managers.
  • La revue / réexamen : comment surveiller efficacement ses risques ?
  • La gestion des incidents, l’évaluation des conséquences et le reporting indispensable.
  • La réappréciation des risques (les entrées / sorties du processus).
  • Comment s’enrichir des événements du passé pour mieux réduire les risques du futur ?
  • Intégrer son management des risques dans un processus PDCA type SMSI.

Les méthodes d’analyse de risques : mise en pratique et exemples  

La méthode EBIOS: 2018

  • La structure méthodologique : les cinq processus fédérant neuf activités.
  • Étude du contexte, identification des biens supports et essentiels.
  • Étude des scénarios de menaces et des événements redoutés. Étude des risques.
  • Choix des mesures de sécurité, les référentiels disponibles.
  • Comment choisir entre le référentiel ISO 27002 et le référentiel RGS (Référentiel Général de Sécurité) élaboré et préconisé par l’ANSSI ?
  • Le référentiel EBIOS comme support pour apprécier les risque RGPD et réaliser les analyses d’impact. Les conseils de la CNIL.
  • Les évolutions 2018-2019 prévues. Les outils d’aide à la réalisation disponibles.
  • Exemples pratiques et études de cas (Cloud Computing, accès distant, Archimed, etc.).

Les méthodes MEHARI

  • Comprendre le principe de la démarche ; savoir analyser efficacement les documentations.
  • L’analyse des enjeux majeurs et des vulnérabilités et des risques majeurs.
  • La base de connaissances et le référentiel des services de sécurité.
  • Comment compléter une analyse existante (en étendant le domaine d’application) ?
  • Vers une démarche à géométrie variable : allégée pour les petits périmètres ?
  • Élaboration d’un plan d’action basé sur les services de sécurité.
  • Apports respectifs de MEHARI EXPERT, PRO/PME et Manager.
  • Alignement MEHARI, ISO 27005 et référentiel ISO 27002.
  • Les logiciels téléchargeables (MEHARI Manager, feuilles Excel, bases de connaissances).

Les autres méthodes (internationales)

  • Les méthodes anglo-saxonnes, CRAMM, OCTAVE, etc.
  • Historique, développement, présence dans le monde.
  • Comparaisons techniques avec les méthodes françaises.
  • Intérêts et limites de ces approches dans un contexte France, Europe, Monde.

Choisir ou construire sa méthode ?  

  • Comment choisir la meilleure méthode sur la base d’exemples et études de cas pratiques ?
  • À la recherche d’une méthode à géométrie variable adaptable à tous les projets de sécurité et tout type de domaine d’application.
  • Élaborer ses propres bases de connaissances (menaces, vulnérabilités, risques, actifs, échelles DIC, vraisemblance / conséquences, etc.).
  • La construction d’une démarche pragmatique : un « best of » de plusieurs méthodes publiées ?
  • Les principaux pièges dans l’élaboration (et comment les éviter).
  • Être ou ne pas être « ISO Spirit » : bien identifier les contraintes du modèle PDCA.
  • Concevoir une méthodologie dans le temps avec un processus de révision efficace et pragmatique.