Slide IRIE Contribution Sur Le PNI ISO IEC 27005 2008

Runion du 08/04/2009 du SC 27 -CODINORM

1

Par IRIE Bi Voli Thierry, MSc (BNETD-Cte d'Ivoire)

1

tude du PNI ISO/IEC 27005:2008

Runion de la SC 27 du CT 19 section Cte dIvoire(08/04/2009 CODINORM)

Par M.IRIE ThierryPar M.IRIE ThierryCharge dtudes Principal

BNETD - Cte dIvoire


2

Pralable Cette prCette prsentation esentation estst uneune cocontribution ntribution lltude dutude du PNI PNI

ISO/IEC 27005 motiISO/IEC 27005 motivvee par lepar le SC 27 du CT 19 section SC 27 du CT 19 section Cte dCte dIvoire;Ivoire;

Elle sera suivie de partages, dElle sera suivie de partages, dchanges, de critiques et changes, de critiques et de discussions de discussions constconstructives pour lructives pour ladoption dudit PNI en adoption dudit PNI en tant que nortant que normeme ivoirienneivoirienne;;

Cette prCette prssentationentation (ce (ce slidslidee) n) nest donc pas un support de est donc pas un support de formation, formation, ni toutes choseni toutes choses similaires s similaires


2


3

Plan

ContexteContexte PrPrsentation du sentation du PNI IPNI ISO/IEC 27005:2008SO/IEC 27005:2008 Positionnement dans la famille des 2700xPositionnement dans la famille des 2700x RRffrentiels de lrentiels de lIT Risk Management et IT Risk Management et

llISO 270ISO 27005:200805:2008 QuelqueQuelquess pratiquespratiques dans ldans ltat de ltat de lartart ConclusionConclusion


4

Contexte Les TIC ont imprgn presque tous les domaines et secteurs

dactivits et ils font maintenant partir de nos habitudes courantes

Mais des vnements rcents (passage lan 2000, destruction des tours jumelles du World Trade Center, explosion de lusine AZF Toulouse, scandales financiers Enron et WorldCom) ont conduit lopinion (gestionnaires) sinvestir rsolument sur les questions de gestion de gestion de risquesrisques tant aux niveaux stratgique, tactique et oprationnel quaux plans sectoriel et intersectoriel

Des rfrentiels cet effet existent et ont fait leurs preuves. LLISOISO lissu de travaux aviss publie en 2008 la 27005la 27005

Quelles enjeux pour la Cte dQuelles enjeux pour la Cte dIvoire? Quelles en sont les Ivoire? Quelles en sont les implications?...implications?...


3


5

Prsentation du PNI 27005:2008Structuration :

La norme ISO/CEI 27005 est structure en douze clauses (ou chapitres) et cinq annexes;

Mais cest surtout les clauses six douze qui dfinissent le processus de la gestion du risque;Quelques dfinitions:

Impact : est un changement dfavorable au niveau d'objectifs d'affaires raliss;

Risque en systme dinformation: cest la possibilit(potentiel) quune menace (threat) exploitera une vulnrabilit(vulnrability) dun actif (asset) ou dun groupe dactifs et ainsi causer un prjudice lorganisation.


6

Prsentation du PNI 27005:2008Objets structurels:

Clause 1 Domaine dapplication Clause 2 Rfrences normatives Clause 3 Termes et dfinitions Clause 4 Structure de la prsente Norme internationale Clause 5 Background Clause 6 Processus de la gestion du risque; Clause 7 Contexte de lactivit de la gestion du risque; Clause 8 Estimation des risques; Clause 9 Traitement du risque; Clause 10 Acceptation des risques rsiduels; Clause 11 Communication; Clause 12 Surveillance et revue des risques;


4


7

Prsentation du PNI 27005:2008

Objets structurels (suite):Objets structurels (suite):Pour ce qui est des annexes, Annexe A Primtre et limites du processus de gestion

des risques. Annexe B Identification des actifs et valuation de probabilit Annexe C Exemples typiques de menaces. Annexe D Vulnrabilits et mthodes dvaluation.


8

Prsentation du PNI 27005:2008DDclinaison synthclinaison synthtique des objets structurelstique des objets structurels

Nous nous intresserons aux parties traitant du processus de gestion de risques ( partir de la clause 6);

Cette dclinaison synthtique se rsume schmatiquement:


5


9

Prsentation du PNI 27005:2008 Clause 6 Processus de la gestion du risque

Ce processus est itratif. Il peut sappliquer lentit ou un secteur de lorganisation, une application du systme dinformation, pour une zone dlimite, etc.

Clause 7 Contexte de lactivit de la gestion du risqueCe contexte peut concerner la prparation dun plan de continuit des activits, une prparation une certification 27001, un alignement une conformit lgale, la planification de la mise en oeuvre dun ISMS, etc.


10

Prsentation du PNI 27005:2008 Clause 8 Estimation des risquesQuatre activits sont dcrites dans cette clause :1. Le primtre de lanalyse du risque : Il sagit ici de linventaire

des actifs informationnels processus, la cartographie, les biens informatiques, les comptences, les matriels et logiciels, etc.;

2. Lidentification du risque : ses menaces, les vulnrabilits et leurs consquences;

3. Lestimation qualitative ou quantitative du risque;4. Lvaluation du risque selon des critres dfinis par les

objectifs de scurit des activits de lorganisation et identifis par les parties prenantes (stakeholders).


6


11

Prsentation du PNI 27005:2008 Clause 9 Traitement du risque.Les quatre options de traitement du risque dcrites sont :1. vitement du risque le risque est trop lev, il ny a pas de

solution fiable pour le rduire, lactivit est supprime;2. Transfert du risque le risque est transfr chez un tiers qui

peut le grer plus efficacement;3. Rduction du risque des moyens et des contrles sont mis

en oeuvre pour rduire le risque (voir ISO/CEI 27002);4. Rtention du risque le risque est accept sans quune action

de le rduire soit prise (voir ISO/CEI 27001 4.2.1.).


12

Prsentation du PNI 27005:2008

Clause 10 Acceptation des risques rsiduelsLa dcision daccepter un risque rsiduel est entrine par la direction et par les parties prenantes. Cette dcision est formellement documente et enregistre, par exemple : contraintes de budget, de temps, etc.

Clause 11 CommunicationCette communication est un partage constant dinformations entre les dcideurs et les parties prenantes concernant la gestion du risque. Ses buts sont : Donner confiance la direction et aux parties prenantes; Collecter les informations concernant les risques encourus; Faire connatre les plans de traitement du risque; Obtenir le support et les moyens pour la mise en oeuvre du traitement du risque;


7


13

Prsentation du PNI 27005:2008 Impliquer la responsabilit des dcisionnaires; Amliorer les comptences de gestion du risque et sensibiliser lorganisation la prvention du risque.

Clause 12 Surveillance et revue des risquesUne surveillance constante du processus de gestion des risques est ncessaire pour sassurer que le processus reste pertinent et adapt aux objectifs de scurit des activits de lorganisation, que chaque risque trait nest pas surestim ou sous-estim et que ses cots de gestion sont adapts la dimension du risque et aux besoins de scurit.

Il faut aussi identifier les changements ncessitant une rvaluation du risque ainsi que les nouvelles menaces et vulnrabilits.


14

Prsentation du PNI 27005:2008Les cinq annexes de rfrence : Annexe A Primtre et limites du processus de gestion des

risques. Recommandations sur le droulement de la prparation de lanalyse de risque.

Annexe B Identification des actifs et valuation de probabilit.Recommandations sur la dmarche suivre pour identifier et classifier les actifs considrer dans lanalyse de risque.

Annexe C Exemples typiques de menaces.Liste non exhaustive de menaces classifies par type, ex. : dommages physiques, pertes de services, altration dinformations, etc.


8


15

Prsentation du PNI 27005:2008La suite des cinq annexes:

Annexe D Vulnrabilits et mthodes dvaluation. Liste non exhaustive de vulnrabilits avec des exemples de menaces qui pourraient exploiter ces vulnrabilits.

Annexe E valuation des risques. Mthodes et matrices pouvant tre utilises pour valuer limpact potentiel dun risque par rapport la valeur de lactif, au niveau de vulnrabilit et la probabilit de survenue


16

Positionnement dans la famille des 2700x

Aspect normatif de la 27005: Aspect normatif de la 27005: La 27005 est principalement issue des normes ISO/CEI

13335 et BS 7799-3, ainsi que dautres sources diverses; Le 15 novembre 2007, le groupe de travail ISO 27/WG 1 a

accept sa version prliminaire (FDIS Final DraftInternational Standard);

Le 4 juin 2008, l'ISO a publi la premire norme de gestion de risque ISO/CEI 27005;

Compte tenu de son importance, sa traduction en franais a d'ores et dj t lance par l'AFNOR;

Le mme vocabulaire contenu dans la srie des 2700x est utilis ainsi que le principe du modle PDCA (Plan-Do-Check-Act roue de Deming) pour une amlioration constante de la gestion du risque;

Elle constitue un guide de gestion de risques qui s'adapte tous type d'organismes et de situations; de mme elle peut tre utilisable de manire autonome.


9


17


Exigence particuliExigence particulire:re:

La comprhension de la 27005 ncessite une connaissance pralable des normes 27001 et 27002; de mme

Elle propose une mthodologie de gestion de risques conforme la norme ISO 27001.


18


La brique qui aide La brique qui aide la consolidation la sla consolidation la srie des 2700x:rie des 2700x: Rappel :Rappel :


10


19


Au plan quantitatif :Au plan quantitatif : Rappelons que la 27001 consacre 1 page et quelques lignes

la gestion de risque dans un processus de SMSI; Tandis que la 27005 y consacre 56 pages (24 pages

normatives et 32 pages dannexes A F) encore plus riches, conforme la 27001 et dclinant un processus de gestion de risques pouvant tre utilise de faon autonome.

Au plan qualitatif :Au plan qualitatif : La 27005 apporte la srie des 2700x ce que les acteurs

attendaient (des rponses la gestion efficace du risque en technologie de linformation);


20

Positionnement dans la famille des 2700x La conformit des autres rfrentiels ou mthodes devront se

faire par rapport elle; Un processus damlioration continue de la gestion des

risques, adapte et au besoin autonome, fonde sur le modle PDCA ou roue de Deming;

Alignement des processus SMSI et de gestion des risques:

Etc.


11


21

Rfrentiels de lIT Risk Management et lISO 27005

Les rLes rffrentiels :rentiels :Les mthodes dapprciation des risques sont nombreuses : EBIOS MEHARI CRAMM ISO 13335-3 BS 7799-3 Octave Mthodes maison Etc.


22


ConformitConformit ou non ou non la norme 27005:la norme 27005: PrPrcisons importantes :cisons importantes :

Le processus damlioration continue du SMSI (ISO 27001) dfinie par le cycle PDCA est matrialis par: La Politique (4.3.1.a) et le primtre (4.3.1.b) LApprciation des risques (4.3.1.e) Le Plan de traitement des risques (4.3.1.f) La Dclaration d'applicabilit (4.3.1.i) Les Procdures (4.3.1.g); Ce processusCe processus nimpose pas de mthode, mais impose plutt de dfinir la mthode employe (4.3.1.d et 4.2.1.c) et des lments structurants :


12


23


Identifier les actifs, les menaces et les vulnrabilits (4.2.1.d); Identifier les impacts en termes de perte de confidentialit,

intgrit et disponibilit (4.2.1.d.4); Analyser et valuer les risques (4.2.1.e).Sur cette base, nous pouvons affirmer que globalement toutes Sur cette base, nous pouvons affirmer que globalement toutes

les mles mthodes peuvent convenir thodes peuvent convenir la norme 27001 pour ce qui la norme 27001 pour ce qui de lde lapprapprciation et le traitement du risque :ciation et le traitement du risque :

BS7799BS7799--3, 3, EbiosEbios, ERSI, ERSI--CAP, CAP, MehariMehari, Octave, etc., Octave, etc.


24


Toutefois, par rapport la 27005 :

Il est important de savoir que:

La gnralisation d'emploi et la finalisation du cadre de lIS0/IEC 27005:2008 ont permis d'amener les mthodes existantes un bon niveau de maturit; de mme,

La liste non exhaustive des risques contenue dans la 27005 peut induire de manire sous-jacente la ncessit dutiliser les rfrences et mthodes actuels dans leur version amliore car sappuyant sur la norme 27005.


13


25


La participation active des rfrentiels et mthodes actuels pour la plupart la consolidation de la 27005 devrait, dans un lan de conformit avec elle, favoriser leurs utilisations dans le processus damlioration continue du risk management :


26

Quelques pratiques dans ltat de lart

Organisation possible en matiOrganisation possible en matire de Risk management:re de Risk management: Nous prsentons ci-dessous un exemple propos par le

CIGREF


14


27

Quelques pratiques dans ltat de lart

AvancAvances de la 27005 apres de la 27005 aprs sa publication:s sa publication:

De nombreux travaux ont t effectus par les experts du domaines de lIT risk management concernant la 27005, en particulier ceux du monde francophone (Constructeurs, Clusif, Club Ebios, Cabinets, entreprises, etc.);

Utilisation de la 27005 dans la cadre de projets nationaux; exemple du projet e-gov de la Belgique;

LLISO/IEC 27005:2008 est la meilleure vente sur le site de ISO/IEC 27005:2008 est la meilleure vente sur le site de llISO;ISO;

38 certificats de personnes la norme 27005:2008 ont tdcerns la date du 24/03/2009 (source CLSTI).


28

Conclusion Cette nouvelle norme 27005:2008 est une mthode complte

de la gestion du risque des systmes d'information;

Elle est cohrente avec les autres normes ISO/CEI de la famille 2700x;

Elle est neutre sur les mthodes dvaluation qualitative et quantitative, cela est laiss au choix du Risk Manager;

Elle permet une gestion simple, pragmatique et adapte aux besoins de scurit des activits, il ny a pas de processus linaire suivre et rien dobligatoire dans le formalisme;


15


29

Conclusion (suite) Comme pour la norme ISO/CEI 27001, elle permet de grer le

risque sur un ou plusieurs primtres du systme dinformation ou sur lentier du systme;

Elle est recommande pour la mise en place dun SMSI selon la norme ISO/CEI 27001;

Cette nouvelle norme, la 27005, va beaucoup plus loin que les mthodes danalyse de risques habituelles en sinscrivant dans la dure de la vie de lentreprise;

Elle sera incontournable au niveau international


30

Merci pour votre attention !Merci pour votre attention !

Date post:	31-Oct-2015
Category:	Documents
Upload:	thierry-irie
View:	65 times
Download:	0 times

Slide IRIE Contribution Sur Le PNI ISO IEC 27005 2008

Documents