0
Gestion des risques SSI : approche
globale ou individuelle du risque ?
Novembre 2013
Panorama des méthodes
Le tableau suivant liste les principales méthodes utilisées dans le
cadre de la gestion des risques ...
Gestion des risques : les concepts qui font consensus
Un risque provient du fait que l’entité, entreprise ou organisation,...
Ebios : approche indirecte du risque
La gestion globale et indirecte des risques proposée par
Ebios vise à :
Identifier de...
Méhari : approche directe du risque
La gestion individualisée et directe des risques proposée par
Méhari vise à :
Identifi...
Ebios et Méhari : la notion de risque

EBIOS : Actif, menace et vulnérabilité

MEHARI : scénarios de risques

• Le risque ...
Ebios et Méhari : bottom-up et top-down
Méthode Méhari :
Démarche centrée sur les enjeux des
diverses activités de l’entit...
Ebios et Méhari : estimation du risque
EBIOS (gestion globale et
indirecte)

MEHARI (gestion individuelle et
directe)

• L...
Focus sur la notion de vulnérabilité
Dans la méthode Ebios, la notion de vulnérabilité est
introduite dès la phase d’ident...
Conclusion
EBIOS
• Gestion globale et indirecte
• Objectif: définition d’une politique de sécurité
• Définition du risque ...
Upcoming SlideShare
Loading in...5
×

Gestion des risques SSI : Approche globale ou individuelle ?

1,430

Published on

Présentation de deux méthodes de gestion des risques SSI : Ebios et Méhari.

Published in: Education
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
1,430
On Slideshare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
88
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Transcript of "Gestion des risques SSI : Approche globale ou individuelle ?"

  1. 1. Gestion des risques SSI : approche globale ou individuelle du risque ? Novembre 2013
  2. 2. Panorama des méthodes Le tableau suivant liste les principales méthodes utilisées dans le cadre de la gestion des risques SSI. Présentation BPMS 2
  3. 3. Gestion des risques : les concepts qui font consensus Un risque provient du fait que l’entité, entreprise ou organisation, possède des « valeurs », matérielles ou non, qui pourraient subir une dégradation ou un dommage, dégradation ayant des conséquences pour l’entité considérée. Actifs/ biens • Tout ce qui peut représenter une valeur ou un enjeu pour l’entité. • Essentiel : processus, information • Support : Bien sur lequel reposent des biens essentiels (logiciel, matériel, ressources humaines) Dégradation subie par un actif • Types de dommages subis par des informations (perte de disponibilité, d’intégrité ou de confidentialité). • On évaluera la gravité de la dégradation. Conséquences de la dégradation • Conséquence d’une dégradation au niveau de l’entité. • Ce terme recouvre la notion d’impact. Causes de la dégradation • Evénement certain ou non certains conduisant à la réalisation d’un risque. • On évaluera la probabilité de survenance de l ’événement. Présentation BPMS 3
  4. 4. Ebios : approche indirecte du risque La gestion globale et indirecte des risques proposée par Ebios vise à : Identifier des éléments pouvant conduire à des risques (menaces et vulnérabilité). Hiérarchiser ces éléments. En déduire une politique et des objectifs de sécurité. Mettre en place, comme outil de pilotage, un suivi permanent des objectifs de sécurité ou des éléments de la politique de sécurité. Analyse générale afin de définir des objectifs et des directives de sécurité propres à réduire globalement les risques. Présentation BPMS 4
  5. 5. Méhari : approche directe du risque La gestion individualisée et directe des risques proposée par Méhari vise à : Identifier l'ensemble des risques auxquels l’entreprise est exposée. Quantifier le niveau de chaque risque (gravité et probabilité) et le seuil d’acceptabilité. Prendre, pour chaque risque considéré comme inadmissible, des mesures pour que le niveau de ce risque soit ramené à un niveau acceptable. Mettre en place, comme outil de pilotage, un suivi permanent des risques et de leur niveau. S’assurer que chaque risque, pris individuellement, est bien pris en charge et a fait l’objet d’une décision soit d’acceptation soit de réduction, soit de transfert. Analyse de chaque situation de risque identifiée et prise de décisions spécifiques et adaptées à chacune d’elles Présentation BPMS 5
  6. 6. Ebios et Méhari : la notion de risque EBIOS : Actif, menace et vulnérabilité MEHARI : scénarios de risques • Le risque est la conjonction d’un actif, d’une menace susceptible de faire subir un dommage à cet actif et de vulnérabilités exploitées par la menace pour faire subir à l’actif ce dommage. • Ces définitions du risque conduisent à une notion de « risques types ». • Il s’agit donc d’une vision « statique » des risques, au sens où les éléments pris en compte ne font pas intervenir la variable « temps » et ne permettent pas de décrire des enchaînements d’événements, de causes ou de conséquences. • Le risque est la conjonction d’un actif, d’un type de dommage pouvant être subi par cet actif et de circonstances dans lesquelles ce dommage pourrait survenir. • Cette définition conduit, en pratique, à définir des « situations de risque» ou des « scénarios de risque» qui décrivent, à la fois, le dommage subi et les circonstances dans lesquelles se produit ce dommage. • Les circonstances recouvrent les notions de lieux, de temps. • Il s’agit donc d’une vision «dynamique» des risques, dans laquelle le temps peut intervenir. Présentation BPMS 6
  7. 7. Ebios et Méhari : bottom-up et top-down Méthode Méhari : Démarche centrée sur les enjeux des diverses activités de l’entité, et menée de préférence à un niveau élevé de management (approche top-down). Cette démarche débouche sur une recherche des circonstances dans lesquelles les dommages pourraient survenir et donc sur une définition de scénarios de risques. Quelles dégradations pourraient affecter ces actifs et dans quelles circonstances ces dégradations pourraient survenir? Méthode Ebios : Cette démarche débouche sur une recherche des menaces pouvant agir sur un actifs et des vulnérabilité de l’actif qui pourraient faciliter la réalisation de la menace. Cette démarche suppose une analyse techniques des actifs par les opérationnels. Le management est donc peu impliqué à ce stade de la démarche (approche bottom-up). Quelles menaces seraient susceptibles de causer un dommage à ces actifs, et quelles vulnérabilités pourraient être exploitées ? Présentation BPMS 7
  8. 8. Ebios et Méhari : estimation du risque EBIOS (gestion globale et indirecte) MEHARI (gestion individuelle et directe) • L’analyse des enjeux ou des conséquences du risque • L’estimation du niveau de la menace • L’estimation du niveau des vulnérabilités • L’analyse des enjeux ou des conséquences du risque • L’analyse de la probabilité de survenance du scénario de risque • L’effet des mesures de sécurité • L’estimation des risques aboutit à une hiérarchisation des risques. • L’estimation des risques aboutit à une évaluation de l’impact (I) et de la probabilité (P) de chaque risque. Présentation BPMS 8
  9. 9. Focus sur la notion de vulnérabilité Dans la méthode Ebios, la notion de vulnérabilité est introduite dès la phase d’identification des risques : Introduire les vulnérabilités dans la définition des risques revient à considérer que ce sont bien elles que l’on entend évaluer et gérer. Il s’agit bien alors d’une gestion indirecte des risques. Introduire dans la définition des risques la liste des vulnérabilités exploitées est source de difficultés pour une gestion directe des risques et oblige à introduire une analyse technique (la recherche de l’ensemble des vulnérabilités concernées par cette situation de risque). Dans la méthode Méhari, la notion de vulnérabilité est introduite dans la phase d’analyse des risques : Ne pas faire intervenir les vulnérabilités dans l’identification des risques revient à considérer qu’un risque naît de la simple conjonction d’un élément d’actif qui a une valeur et de circonstances dans lesquelles cette valeur pourrait être mise en cause et que c’est cette situation que l’on entend gérer. Présentation BPMS 9
  10. 10. Conclusion EBIOS • Gestion globale et indirecte • Objectif: définition d’une politique de sécurité • Définition du risque basée sur les menaces et vulnérabilité de l’actif • Implication faible du management • Vision statique des risques MEHARI • Gestion individuelle et directe • Objectif: définition d’une politique de gestion des risques • Définition du risque basée sur des scénarios de menace • Implication forte du management • Vision dynamique des risques Présentation BPMS 10
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×