Management des Risques
en Sécurité du SI

Norme ISO 27005, méthode EBIOS Risk Manager: bonnes pratiques.
Sommaire

LE MOT DE L’INTERVENANT

Avec ce séminaire, je m’engage à ce que vous puissiez relever et...

Avec ce séminaire, je m’engage à ce que vous puissiez relever et réussir votre challenge sur le Management des Risques SSI. Nous atteindrons ensemble, avec pragmatisme et de nombreux exemples, ces objectifs clés : identifier, évaluer puis traiter ses risques en Sécurité du Système d’Information. Ce séminaire est fait pour vous si, face aux auditeurs, vous devez comprendre, choisir puis utiliser une méthodologie d’appréciation des risques adaptée à votre contexte.

Pascal Gouache
ENST Paris, consultant, auditeur, expert en cybersécurité, nombreuses missions d’audits 27001, PCIDSS et OIV/OSE. Consulting et assistance maîtrise d’œuvre pour les OIV (énergie et transport).
Lire la suite Cacher le texte

Les risques en matière de Sécurité de l’Information représentent une menace considérable pour les entreprises : pertes et préjudices financiers, défaillance de services métier cruciaux, perte de confiance des clients et autres atteintes à l’image de marque, etc.

Le Management des Risques est l’un des éléments-clés de la prévention des fraudes, violation d’intégrité des processus métiers, usurpation d’identité, vols ou pertes de données sensibles et autres incidents concernant la Sécurité de l’Information.

Prérequis de la plupart des réglementations et nécessité juridique (LPM, directive NIS), il est devenu un processus incontournable de la lutte contre les cybermenaces et le recours à des fournisseurs et des services Cloud en particulier des FSN.

Destiné aux RSSI, architectes de sécurité, DSI ou responsables informatiques, consultants, chefs de projet (MOE, MOA) devant répondre à des exigences de Sécurité, ce séminaire s’appuie sur les principes méthodologiques de la norme ISO/CEI 27005 et présente les meilleures pratiques et méthodes du secteur en particulier la nouvelle méthode de l'ANSSI : EBIOS Risk Manager.

Illustré de nombreux exemples et études de cas pratiques, il permet aux participants d’acquérir les bases théoriques et pratiques, les principes de la Gestion des Risques liés à la Sécurité de l’Information. Il facilitera la mise en œuvre d’une démarche d’appréciation des risques, simple et pragmatique.



Quels risques pour quels objectifs ?


Le risque SSI

  • Synthèse des dernières enquêtes sur la situation de la gestion du risque informatique.
  • Les nouvelles menaces, les vulnérabilités prédominantes.
  • Les cybermenaces, les nouveaux risques sur la mobilité et le Cloud : état des lieux.
  • Rappel des prérequis réglementaires et normatifs (SOX, ISO 27001, PCI-DSS, RGPD, LPM…).
  • Identification et classification des risques : risques opérationnels, physiques/logiques.

À la recherche d’une méthodologie universelle

  • Introduction à la norme ISO 31000 - Management du Risque. Principes et lignes directrices.
  • Techniques d’évaluation des risques via la norme ISO/CEI 31010.
  • L’estimation des conséquences d’un risque SSI (financier, juridique, humain, métier, etc.).
  • Alignement des processus ISO 27005 avec l’ISO 31000
  • Comment tendre vers une méthodologie commune à tous les types de risques ?
  • Quel lien établir entre la SSI, le management, la direction des risques ?
  • Le traitement type du risque (prévention, protection, évitement, partage).
  • Le lien ISO 27005 avec les normes ISO 27002 et 27001.

Une Task Force « risque » opérationnelle

  • Le rôle des métiers et des propriétaires d’actifs ; l’implication nécessaire de la DSI.
  • L’assurabilité d’un risque, les principaux risques partageables ou assurables.
  • Le ROI du partage, calcul financier du transfert à l’assurance, les prérequis.
  • Les rôles complémentaires du RSSI et du Risk Manager.

Le cadre méthodologique ISO 27005-2018


Intérêts et limites de l’approche normative

  • Aide à mieux gérer les risques dans le domaine de la sécurité de l’information.
  • Adaptabilité à toutes les organisations de tous types.
  • Description d’un processus de Management des Risques en matière de Sécurité de l’Information compatible avec une gestion globale des risques de l’entreprise.
  • L’ISO 27005 comme support « idéal » à la construction d’un SMSI ISO 27001 :2013.
  • Le management des risques SSI en appui des objectifs de gouvernance IT.
  • De l’intérêt d’un cadre méthodologique « ISO Compliant ».

L’essentiel de la norme

  • Les sections « centrales » (appréciation et traitement) de la gestion des risques (sections 7 et 8).
  • Les bases de connaissances en annexe (annexes B à E). Comment bien les utiliser ?
  • Le référentiel de bonnes pratiques ISO 27002 :2013 ; rappel des domaines de sécurité pour la réduction des risques.
  • La valeur ajoutée réelle de la norme par rapport aux méthodes publiées ou propriétaires.
  • Objectifs et domaine d’application ; l’implication nécessaire des métiers : libre choix ou contraintes réglementaires ?
  • L’identification des besoins de sécurité : disponibilité, intégrité et confidentialité avec les propriétaires d’actifs.
  • Identification des contraintes internes et externes ; les parties prenantes et intéressées.
  • Identification des réglementations métier, le contexte juridique, les clauses contractuelles.
  • La mise en œuvre d’un processus PDCA de management des risques.

Les phases clés du Management du Risque

  • Les étapes clés de l’analyse de risques (contexte, appréciation, traitement, acceptation, surveillance et revue).
  • Bien encadrer les parties prenantes : responsables métier, expert IT, chef de projet informatique, expert SSI.
  • Comment identifier les actifs primordiaux, liens avec les actifs en support.
  • Partir du risque « brut » intrinsèque pour atteindre le risque résiduel acceptable.
  • La préparation de la déclaration d’applicabilité (SoA). L’élaboration du plan de traitement des risques à partir de la norme ISO 27002 :2013.
  • Les bases de menaces / vulnérabilités / risques nécessaires et suffisantes.
  • Les techniques d’évaluation : calcul de vraisemblance menace / conséquence incident et facilité d’exploitation vulnérabilité.
  • Choisir sa formule d’estimation de valeur de risques (calcul mathématique ou calcul matriciel bi ou tridimensionnel).
  • Identifier le type de traitement des risques optimal : entre réduction et partage.
  • Les cas exceptionnels de type évitement ou refus : exemples.
  • Comment choisir une mesure de sécurité dans un référentiel ? Le rôle de l’expert SSI.

La construction d’un processus dans le temps

  • Une approche itérative de l’élaboration du plan de traitement à la surveillance des risques.
  • La communication vers les parties prenantes et la sensibilisation des managers.
  • La revue / réexamen : comment surveiller efficacement ses risques ?
  • La gestion des incidents, l’évaluation des conséquences et le reporting indispensable.
  • La réappréciation des risques (les entrées / sorties du processus).
  • Comment s’enrichir des événements du passé pour mieux réduire les risques du futur ?
  • Intégrer son management des risques dans un processus PDCA type SMSI.

Les méthodes d’analyse de risques : mise en pratique et exemples


La méthode EBIOS Risk Manager

  • Pourquoi un nouvel EBIOS ? Analyse en profondeur du risque ciblé cyber.
  • La cyber kill chain comme base de description : exemple type Loockeed Martin.
  • Le portrait robot d’une attaque ciblée selon l’ANSSI. : les phases du processus (Connaitre, Rentrer, Trouver, Exploiter).
  • L’identification des chemins d’attaques directs et indirects. Prise en compte des menaces intentionnelles sophistiquées de type APT.
  • Approche par conformité versus approche par scénarios de risques.
  • Appréciation de son écosystème et des parties prenantes critiques de rang 1, 2, 3.
  • Contribution d’EBIOS RM au processus d’homologation de la LPM et de la directive NIS.
  • Atelier 1 et 2. Le contexte de l’étude et les sources de risques
  • Implication des métiers dans l’identification et valorisation des valeurs métiers et des impacts ressentis.
  • Détermination du socle de sécurité et des écarts - identification des règlements de sécurité applicables
  • Détermination des sources de risques et objectifs d’attaques visés.
  • Atelier 3 et 4 La construction des scénarios stratégiques puis opérationnels.
  • La construction la cartographie de menace numérique de l’écosystème dans le contexte.
  • Elaboration d’une méthode de calcul de la "dangerosité" des parties prenantes critiques.
  • Quels scénarios vus des métiers puis vus de la technique ? Quels chemins d’attaques directs et indirects décrire ?
  • Comment calculer les vraisemblances des scénarios : de la méthode expresse à la méthode avancée.
  • Atelier 5. Traitement du risque :
  • Quels risques considérer comme inacceptables dans le contexte ?
  • Les mesures de sécurité techniques (protection, défense) et organisationnelles (gouvernance, résilience).
  • Le choix d’un logiciel certifié ANSSI (ARIMES, EGERIE, AGILE RM, FENCE, IBM OpenPages, …).

Les méthodes MEHARI (introduction)

  • Comprendre le principe de la démarche ; savoir analyser efficacement les documentations.
  • L’analyse des enjeux majeurs et des vulnérabilités et des risques majeurs.
  • La base de connaissances et le référentiel des services de sécurité.
  • Apports respectifs de MEHARI EXPERT, PRO/PME et Manager.

Les autres méthodes (synthèse)

  • Historique, développement, présence dans le monde.
  • Intérêts et limites de ces approches dans un contexte France, Europe, Monde.

Choisir ou construire sa méthode ?


  • Comment choisir la meilleure méthode sur la base d’exemples et études de cas pratiques ?
  • À la recherche d’une méthode à géométrie variable adaptable à tous les projets de sécurité et tout type de domaine d’application.
  • Élaborer ses propres bases de connaissances (menaces, vulnérabilités, risques, actifs, échelles DIC, vraisemblance / conséquences, etc.).
  • Concevoir une méthodologie dans le temps avec un processus de révision efficace et pragmatique.