SlideShare a Scribd company logo

Gestion des risques

eGov Innovation Center
eGov Innovation Center

Présentation donnée dans le cadre d'un workshop consacré aux menaces informatiques dans l’eGovernment.

Technology
1 of 26
Download to read offline
LE RISQUE 2
"Risque" selon ISO ISO Guide 73, Management du risque – Vocabulaire 2002 "Combinaison de la probabilité d’un événement et de ses conséquences" 2009 "Effet de l'incertitude sur l'atteinte des objectifs" – Un effet = un écart, positif ou négatif, par rapport à une attente – Un risque est souvent exprimé en termes • des conséquences d'un événement et • de sa vraisemblance ["likelihood"] 3 Sources : ISO Guide 73:2002, Management du risque - Vocabulaire ISO Guide 73:2009, Management du risque - Vocabulaire
Types de risques liés à l'informatique Source : ISACA (2009), "The Risk IT Framework", Figure 2 ou ISACA (2014), "COBIT 5 for Risk", Figure 5 Opportunités d'apporter de la valeur Risques des projets Risques opérationnels 4
Menace Vulnérabilité Faiblesse dans une défense Conséquences Impacts sur les actifs Défenses en profondeur Le modèle du « fromage suisse » "Swiss cheese model" Basé sur : Reason, J. (1997), "Managing The Risks of Organisational Accidents" 5
LE MANAGEMENT DES RISQUES 6
Normes de management des risques Evolution BS 7799-3 :2006 EBIOS 19972004 OCTAVE 19992007 et d'autres influences ISO 31000 :2009 AS/NZS 4360 :1995 :2004 ISO Guide 73 :2002 :2009 Vocabulaire ISO 27005 :2011 ISO 13335-1 :2004 ISO 13335-3 :1998 ISO 13335-4 :2000 ISO 27005 :2008 Gestion des risques (entreprise) Gestion des risques (sécurité de l'information) 7
Management des risques Le processus selon ISO 31000:2009 (et ISO 27005:2011) Source : ISO 31000:2009, Management du risque — Principes et lignes directrices Processus similaire : ISO 27005:2011, Gestion des risques liés à la sécurité de l'information 8
Etablissement du contexte " ... définition du domaine d'application ainsi que des critères de risque ..." Source : ISO 31000:2009, Management du risque — Principes et lignes directrices 9
Identification du risque "processus de recherche, de reconnaissance et de description des risques" Source : ISO 31000:2009, Management du risque — Principes et lignes directrices 10 Cette étape peut faire appel à la créativité !
Identification du risque Exemple (méthode CORAS) : Identification des scénarios de risque 11 Basé sur : Lund, M.S. et al (2011), "Model-Driven Risk Analysis, The CORAS Approach"
Identification du risque Exemple (méthode CORAS) : Identification des vulnérabilités 12 Source : Lund, M.S. et al (2011), "Model-Driven Risk Analysis, The CORAS Approach"
Analyse du risque • Vraisemblance • Conséquence(s) "comprendre la nature d'un risque et ... déterminer le niveau de risque" Source : ISO 31000:2009, Management du risque — Principes et lignes directrices 13
Conséquence Critique Majeure Modérée Mineure Insignifiante Très probableProbablePossibleNégligeable Analyse des risques Exemple : résumé de l'analyse sous forme d'une matrice des risques R1 R6 R2 R3R8 R7R4 R5 Vraisemblance 14 Peu probable
Evaluation du risque "comparaison des résultats de l'analyse du risque avec les critères de risque afin de déterminer si le risque et/ou son importance sont acceptables ou tolérables" Source : ISO 31000:2009, Management du risque — Principes et lignes directrices 15
Conséquence Critique Majeure Modérée Mineure Insignifiante Très probableProbablePossiblePeu probableNégligeable Evaluation des risques Exemple : résumé de l'évaluation sous forme d'une matrice des risques Vraisemblance R1 R6 R2 R3R8 R7R4 R5 = Priorité 1 = Priorité 2 = Acceptable 16
Traitement du risque "processus destiné à modifier un risque" Source : ISO 31000:2009, Management du risque — Principes et lignes directrices 17
Traitement du risque Choix de la stratégie de traitement Basé sur : ISO 27005:2011, Gestion des risques liés à la sécurité de l'information 18
Traitement du risque Acceptation du risque résiduel après réduction Risque actuel Risque résiduel Réduction du risque due au traitement proposé Traitement du risque Niveau de risque "acceptable" Basé sur : ISO/IEC 13335-1:2004, Concepts and models for ICT security management 19
Traitement du risque Acceptation du traitement Réduction du risque = (Risque initial) – (Risque résiduel) Coût du traitement proposé 20 > Principe de proportionnalité
Plan de traitement des risques Exemple Action A 2016 A+1 2017 A+2 2018 Coûts (mandats, achats) Effort métier Effort administratif DSI Effort technique DSI Délai 1. Analyser & évaluer les risques [en cours] 15kFr 3 jh 20 jh - 02.2016 2. Inventorier la règlementation applicable - 3 jh 1 jh - 04.2016 3. Elaborer la Politique générale de sécurité 15kFr 5 jh 10 jh - 09.2016 4. Elaborer une charte sur l'utilisation de l'IT - 5 jh 5 jh - 12.2016 5. Processus de tests périodiques de la sécurité 30kFr/an - 5 jh + 10 jh/an 10 jh/an 06.2016 6. Mettre sur pied un programme de sensibilisation InfoSéc internalisé 15kFr 5 jh + 1 jh/an 5 jh + 10 jh/an - 12.2016 7. Approfondir l'analyse BIA (pré-requis pour la démarche DRP) 15kFr 10 jh 10 jh - 04.2017 etc. etc. etc. 21
Le processus est itératif ! Source : ISO 31000:2009, Management du risque — Principes et lignes directrices 22
RÉFÉRENCES 23
Informatique Sécurité de l'info, Sécurité informatique Management du risque Entreprise  ISO 31000  COSO ERM •Risk IT + COBIT 4.1 •COBIT 5 for Risk •ISO 27005 •OCTAVE family •EBIOS, MEHARI •CORAS •ENISA •CPI-RISC Développement  STRIDE, DREAD, ... Audit / Gouvernance •CobiT 4.1 + Val IT •CobiT Quickstart •COBIT 5 • Gouvernance: ISO 38500 • Audit: ISO 27007 • Audit: ISO 27008 • Gouvernance: ISO 27014 Bonnes pratiques •ITIL, ... •ISO 27002 Certification •ISO 20000, ... •ISO 27001 Quelques méthodes et normes 24
Références Vocabulaire ISO Les normes sont payantes, mais un extrait – contenant toutes les définitions des termes – peut être consulté gratuitement ici : • ISO Guide 73 Management du risque – Vocabulaire – https://www.iso.org/obp/ui/#iso:std:iso:guide:73:ed-1:v1:fr • ISO/CEI 27000 Systèmes de management de la sécurité de l'information – Vue d'ensemble et vocabulaire – https://www.iso.org/obp/ui/#iso:std:iso-iec:27000:ed-3:v1:fr 25
Références Méthodes simples • Méthode d'ENISA (European Union Agency for Network and Information Security) – http://www.enisa.europa.eu/activities/risk-management/current-risk/risk- management-inventory/files/deliverables [Documentation complète en français, anglais, etc.] • CORAS - méthode et outil graphique – http://coras.sourceforge.net/ – Lund, M.S., Solhaug, B., Stølen, K. (2011), "Model-Driven Risk Analysis, The CORAS Approach", Springer, ISBN 978-3-642-12323-8 Chapter 3 - A Guided Tour of the CORAS Method : http://www.springer.com/cda/content/document/cda_downloaddocument/978364 2123221-c3.pdf [Documentation complète, en anglais] • OCTAVE Allegro - la méthode la plus simple de la famille "OCTAVE" – http://www.cert.org/archive/pdf/07tr012.pdf [Méthode complète & work-sheets, en anglais] • CPI-RISC - méthode rapide basée sur l'évaluation du niveau de maturité – http://cpi-risc.org/en/Downloads.html [Documentation partielle, en anglais] 26

Recommended

Management des risques
Management des risques Management des risques
Management des risques Pasteur_Tunis
 
La gestion des risques
La gestion des risquesLa gestion des risques
La gestion des risquesMariem SELLAMI
 
Outils et techniques des gestion des risques
Outils et techniques des gestion des risquesOutils et techniques des gestion des risques
Outils et techniques des gestion des risquesGBO
 
Management des risques ibtissam el hassani-chapitre1-2
Management des risques ibtissam el hassani-chapitre1-2Management des risques ibtissam el hassani-chapitre1-2
Management des risques ibtissam el hassani-chapitre1-2ibtissam el hassani
 
management-risques-projet
management-risques-projet management-risques-projet
management-risques-projet Es-sahli bilal
 
ANALYSE DE RISQUES
ANALYSE DE RISQUESANALYSE DE RISQUES
ANALYSE DE RISQUESndelannoy
 
cours de Gestion des risques - demarche
cours de Gestion des risques - demarchecours de Gestion des risques - demarche
cours de Gestion des risques - demarcheRémi Bachelet
 
Management des risques - Support de cours - ibtissam el hassani-2015-2016
Management des risques - Support de cours - ibtissam el hassani-2015-2016Management des risques - Support de cours - ibtissam el hassani-2015-2016
Management des risques - Support de cours - ibtissam el hassani-2015-2016ibtissam el hassani
 

Recommended

Management des risques
Management des risques Management des risques
Management des risques Pasteur_Tunis
 
La gestion des risques
La gestion des risquesLa gestion des risques
La gestion des risquesMariem SELLAMI
 
Outils et techniques des gestion des risques
Outils et techniques des gestion des risquesOutils et techniques des gestion des risques
Outils et techniques des gestion des risquesGBO
 
Management des risques ibtissam el hassani-chapitre1-2
Management des risques ibtissam el hassani-chapitre1-2Management des risques ibtissam el hassani-chapitre1-2
Management des risques ibtissam el hassani-chapitre1-2ibtissam el hassani
 
management-risques-projet
management-risques-projet management-risques-projet
management-risques-projet Es-sahli bilal
 
ANALYSE DE RISQUES
ANALYSE DE RISQUESANALYSE DE RISQUES
ANALYSE DE RISQUESndelannoy
 
cours de Gestion des risques - demarche
cours de Gestion des risques - demarchecours de Gestion des risques - demarche
cours de Gestion des risques - demarcheRémi Bachelet
 
Management des risques - Support de cours - ibtissam el hassani-2015-2016
Management des risques - Support de cours - ibtissam el hassani-2015-2016Management des risques - Support de cours - ibtissam el hassani-2015-2016
Management des risques - Support de cours - ibtissam el hassani-2015-2016ibtissam el hassani
 
L’identification, l’analyse et l’évaluation des risques selon l’ISO 31000 : l...
L’identification, l’analyse et l’évaluation des risques selon l’ISO 31000 : l...L’identification, l’analyse et l’évaluation des risques selon l’ISO 31000 : l...
L’identification, l’analyse et l’évaluation des risques selon l’ISO 31000 : l...PECB
 
Gestion des risques
Gestion des risquesGestion des risques
Gestion des risquesAymen Foudhaili
 
PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...
PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...
PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...PECB
 
L’organisation et la formalisation du management des risques selon l’ISO 31000
L’organisation et la formalisation du management des risques selon l’ISO 31000 L’organisation et la formalisation du management des risques selon l’ISO 31000
L’organisation et la formalisation du management des risques selon l’ISO 31000 PECB
 
Fiche 4 management des risques
Fiche 4 management des risquesFiche 4 management des risques
Fiche 4 management des risquesHalim ARROUDJ
 
Management des risques
Management des risquesManagement des risques
Management des risquesabdelghani Koura
 
Management des risques
Management des risquesManagement des risques
Management des risquesyounes elhaiba
 
Management des risques 10 : Aspect Réglementaire et Normatif
Management des risques 10 : Aspect Réglementaire et Normatif Management des risques 10 : Aspect Réglementaire et Normatif
Management des risques 10 : Aspect Réglementaire et Normatif ibtissam el hassani
 
Maîtrise de risques en gestion de projet
Maîtrise de risques en gestion de projetMaîtrise de risques en gestion de projet
Maîtrise de risques en gestion de projetChef De Projet Détendu
 
Netclu09 27005
Netclu09 27005Netclu09 27005
Netclu09 27005michaeldean
 
Cours de Gestion des risques
Cours de Gestion des risquesCours de Gestion des risques
Cours de Gestion des risquesRémi Bachelet
 
Mesure & Analyse: Mesurer les Risques
Mesure & Analyse: Mesurer les RisquesMesure & Analyse: Mesurer les Risques
Mesure & Analyse: Mesurer les RisquesOlivier Pinette
 
Audit des projets informatiques
Audit des projets informatiquesAudit des projets informatiques
Audit des projets informatiquesSAAD Mohamed, MBA,CISA, ITIL, PMP, ISO 27001 LA, CRISC
 
Management des risques 9 : Risques d’Entreprise et Cartographie
Management des risques 9 : Risques d’Entreprise et CartographieManagement des risques 9 : Risques d’Entreprise et Cartographie
Management des risques 9 : Risques d’Entreprise et Cartographieibtissam el hassani
 
2011-04-20 Marc Fréchette Gestion de risques
2011-04-20 Marc Fréchette Gestion de risques2011-04-20 Marc Fréchette Gestion de risques
2011-04-20 Marc Fréchette Gestion de risquesPMI Lévis-Québec
 
Management des risque etude de cas 1 - MOSAR/MADS
Management des risque etude de cas 1 - MOSAR/MADSManagement des risque etude de cas 1 - MOSAR/MADS
Management des risque etude de cas 1 - MOSAR/MADSibtissam el hassani
 
Atelier maîtrise des risques
Atelier maîtrise des risquesAtelier maîtrise des risques
Atelier maîtrise des risquesChef De Projet Détendu
 
Aqhsst optimisez l’efficacité de la gestion des risques sst
Aqhsst optimisez l’efficacité de la gestion des risques sstAqhsst optimisez l’efficacité de la gestion des risques sst
Aqhsst optimisez l’efficacité de la gestion des risques sstMario Deshaies
 
Management des risques ibtissam el hassani-chapitre3 : MADS/MOSAR
Management des risques ibtissam el hassani-chapitre3 : MADS/MOSARManagement des risques ibtissam el hassani-chapitre3 : MADS/MOSAR
Management des risques ibtissam el hassani-chapitre3 : MADS/MOSARibtissam el hassani
 
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...PECB
 
Identifier les risques
Identifier les risquesIdentifier les risques
Identifier les risquesCarine Pascal
 
Gestion des risques
Gestion des risquesGestion des risques
Gestion des risquesmoussadiom
 

More Related Content

What's hot

L’identification, l’analyse et l’évaluation des risques selon l’ISO 31000 : l...
L’identification, l’analyse et l’évaluation des risques selon l’ISO 31000 : l...L’identification, l’analyse et l’évaluation des risques selon l’ISO 31000 : l...
L’identification, l’analyse et l’évaluation des risques selon l’ISO 31000 : l...PECB
 
PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...
PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...
PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...PECB
 
L’organisation et la formalisation du management des risques selon l’ISO 31000
L’organisation et la formalisation du management des risques selon l’ISO 31000 L’organisation et la formalisation du management des risques selon l’ISO 31000
L’organisation et la formalisation du management des risques selon l’ISO 31000 PECB
 
Fiche 4 management des risques
Fiche 4 management des risquesFiche 4 management des risques
Fiche 4 management des risquesHalim ARROUDJ
 
Management des risques
Management des risquesManagement des risques
Management des risquesyounes elhaiba
 
Management des risques 10 : Aspect Réglementaire et Normatif
Management des risques 10 : Aspect Réglementaire et Normatif Management des risques 10 : Aspect Réglementaire et Normatif
Management des risques 10 : Aspect Réglementaire et Normatif ibtissam el hassani
 
Maîtrise de risques en gestion de projet
Maîtrise de risques en gestion de projetMaîtrise de risques en gestion de projet
Maîtrise de risques en gestion de projetChef De Projet Détendu
 
Cours de Gestion des risques
Cours de Gestion des risquesCours de Gestion des risques
Cours de Gestion des risquesRémi Bachelet
 
Mesure & Analyse: Mesurer les Risques
Mesure & Analyse: Mesurer les RisquesMesure & Analyse: Mesurer les Risques
Mesure & Analyse: Mesurer les RisquesOlivier Pinette
 
Management des risques 9 : Risques d’Entreprise et Cartographie
Management des risques 9 : Risques d’Entreprise et CartographieManagement des risques 9 : Risques d’Entreprise et Cartographie
Management des risques 9 : Risques d’Entreprise et Cartographieibtissam el hassani
 
2011-04-20 Marc Fréchette Gestion de risques
2011-04-20 Marc Fréchette Gestion de risques2011-04-20 Marc Fréchette Gestion de risques
2011-04-20 Marc Fréchette Gestion de risquesPMI Lévis-Québec
 
Management des risque etude de cas 1 - MOSAR/MADS
Management des risque etude de cas 1 - MOSAR/MADSManagement des risque etude de cas 1 - MOSAR/MADS
Management des risque etude de cas 1 - MOSAR/MADSibtissam el hassani
 
Aqhsst optimisez l’efficacité de la gestion des risques sst
Aqhsst optimisez l’efficacité de la gestion des risques sstAqhsst optimisez l’efficacité de la gestion des risques sst
Aqhsst optimisez l’efficacité de la gestion des risques sstMario Deshaies
 
Management des risques ibtissam el hassani-chapitre3 : MADS/MOSAR
Management des risques ibtissam el hassani-chapitre3 : MADS/MOSARManagement des risques ibtissam el hassani-chapitre3 : MADS/MOSAR
Management des risques ibtissam el hassani-chapitre3 : MADS/MOSARibtissam el hassani
 
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...PECB
 

What's hot (20)

L’identification, l’analyse et l’évaluation des risques selon l’ISO 31000 : l...
L’identification, l’analyse et l’évaluation des risques selon l’ISO 31000 : l...L’identification, l’analyse et l’évaluation des risques selon l’ISO 31000 : l...
L’identification, l’analyse et l’évaluation des risques selon l’ISO 31000 : l...
 
Gestion des risques
Gestion des risquesGestion des risques
Gestion des risques
 
PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...
PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...
PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...
 
L’organisation et la formalisation du management des risques selon l’ISO 31000
L’organisation et la formalisation du management des risques selon l’ISO 31000 L’organisation et la formalisation du management des risques selon l’ISO 31000
L’organisation et la formalisation du management des risques selon l’ISO 31000
 
Fiche 4 management des risques
Fiche 4 management des risquesFiche 4 management des risques
Fiche 4 management des risques
 
Management des risques
Management des risquesManagement des risques
Management des risques
 
Management des risques
Management des risquesManagement des risques
Management des risques
 
Management des risques 10 : Aspect Réglementaire et Normatif
Management des risques 10 : Aspect Réglementaire et Normatif Management des risques 10 : Aspect Réglementaire et Normatif
Management des risques 10 : Aspect Réglementaire et Normatif
 
Maîtrise de risques en gestion de projet
Maîtrise de risques en gestion de projetMaîtrise de risques en gestion de projet
Maîtrise de risques en gestion de projet
 
Netclu09 27005
Netclu09 27005Netclu09 27005
Netclu09 27005
 
Cours de Gestion des risques
Cours de Gestion des risquesCours de Gestion des risques
Cours de Gestion des risques
 
Mesure & Analyse: Mesurer les Risques
Mesure & Analyse: Mesurer les RisquesMesure & Analyse: Mesurer les Risques
Mesure & Analyse: Mesurer les Risques
 
Audit des projets informatiques
Audit des projets informatiquesAudit des projets informatiques
Audit des projets informatiques
 
Management des risques 9 : Risques d’Entreprise et Cartographie
Management des risques 9 : Risques d’Entreprise et CartographieManagement des risques 9 : Risques d’Entreprise et Cartographie
Management des risques 9 : Risques d’Entreprise et Cartographie
 
2011-04-20 Marc Fréchette Gestion de risques
2011-04-20 Marc Fréchette Gestion de risques2011-04-20 Marc Fréchette Gestion de risques
2011-04-20 Marc Fréchette Gestion de risques
 
Management des risque etude de cas 1 - MOSAR/MADS
Management des risque etude de cas 1 - MOSAR/MADSManagement des risque etude de cas 1 - MOSAR/MADS
Management des risque etude de cas 1 - MOSAR/MADS
 
Atelier maîtrise des risques
Atelier maîtrise des risquesAtelier maîtrise des risques
Atelier maîtrise des risques
 
Aqhsst optimisez l’efficacité de la gestion des risques sst
Aqhsst optimisez l’efficacité de la gestion des risques sstAqhsst optimisez l’efficacité de la gestion des risques sst
Aqhsst optimisez l’efficacité de la gestion des risques sst
 
Management des risques ibtissam el hassani-chapitre3 : MADS/MOSAR
Management des risques ibtissam el hassani-chapitre3 : MADS/MOSARManagement des risques ibtissam el hassani-chapitre3 : MADS/MOSAR
Management des risques ibtissam el hassani-chapitre3 : MADS/MOSAR
 
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
 

Viewers also liked

Identifier les risques
Identifier les risquesIdentifier les risques
Identifier les risquesCarine Pascal
 
Gestion des risques
Gestion des risquesGestion des risques
Gestion des risquesmoussadiom
 
BSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis RemliBSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis RemliShellmates
 
Gestion du risque dans un projet Agile
Gestion du risque dans un projet AgileGestion du risque dans un projet Agile
Gestion du risque dans un projet AgileBasile du Plessis
 
La valeur ajoutée de la gestion des risques - Pour l'entreprise, le chargé de...
La valeur ajoutée de la gestion des risques - Pour l'entreprise, le chargé de...La valeur ajoutée de la gestion des risques - Pour l'entreprise, le chargé de...
La valeur ajoutée de la gestion des risques - Pour l'entreprise, le chargé de...PMI-Montréal
 
Comment gérer sa relation commerciale
Comment gérer sa relation commercialeComment gérer sa relation commerciale
Comment gérer sa relation commercialeFacilityse Conseil
 
Tesis r urbina_abril2012_v3_presentacion_pb
Tesis r urbina_abril2012_v3_presentacion_pbTesis r urbina_abril2012_v3_presentacion_pb
Tesis r urbina_abril2012_v3_presentacion_pbRicardo Urbina Miranda
 

Viewers also liked (11)

Identifier les risques
Identifier les risquesIdentifier les risques
Identifier les risques
 
Gestion des risques
Gestion des risquesGestion des risques
Gestion des risques
 
BSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis RemliBSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis Remli
 
ISO 27500
ISO 27500ISO 27500
ISO 27500
 
Gestion du risque dans un projet Agile
Gestion du risque dans un projet AgileGestion du risque dans un projet Agile
Gestion du risque dans un projet Agile
 
Risque achat , scm
Risque achat , scmRisque achat , scm
Risque achat , scm
 
La valeur ajoutée de la gestion des risques - Pour l'entreprise, le chargé de...
La valeur ajoutée de la gestion des risques - Pour l'entreprise, le chargé de...La valeur ajoutée de la gestion des risques - Pour l'entreprise, le chargé de...
La valeur ajoutée de la gestion des risques - Pour l'entreprise, le chargé de...
 
Comment gérer sa relation commerciale
Comment gérer sa relation commercialeComment gérer sa relation commerciale
Comment gérer sa relation commerciale
 
Renders
RendersRenders
Renders
 
Orange consulting en 3 minutes
Orange consulting en 3 minutesOrange consulting en 3 minutes
Orange consulting en 3 minutes
 
Tesis r urbina_abril2012_v3_presentacion_pb
Tesis r urbina_abril2012_v3_presentacion_pbTesis r urbina_abril2012_v3_presentacion_pb
Tesis r urbina_abril2012_v3_presentacion_pb
 

Similar to Gestion des risques

Ichec entrepr ah 2015
Ichec entrepr ah 2015Ichec entrepr ah 2015
Ichec entrepr ah 2015Alain Huet
 
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...PMI-Montréal
 
Université laval présentation sur la gestion des risques 31-03-2015 vf2
Université laval présentation sur la gestion des risques 31-03-2015 vf2Université laval présentation sur la gestion des risques 31-03-2015 vf2
Université laval présentation sur la gestion des risques 31-03-2015 vf2ISACA Chapitre de Québec
 
Conix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerConix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerThierry Pertus
 
Sécurité Internet
Sécurité InternetSécurité Internet
Sécurité Internetproximit
 
EBIOS Risk Manager
EBIOS Risk ManagerEBIOS Risk Manager
EBIOS Risk ManagerComsoce
 
Présentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerPrésentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerComsoce
 
2017-02-AtelierA4GouvernanceRisques-Amrae-C.pdf
2017-02-AtelierA4GouvernanceRisques-Amrae-C.pdf2017-02-AtelierA4GouvernanceRisques-Amrae-C.pdf
2017-02-AtelierA4GouvernanceRisques-Amrae-C.pdfSARASIM6
 
Approche et management des risques 31000.pptx
Approche et management des risques 31000.pptxApproche et management des risques 31000.pptx
Approche et management des risques 31000.pptxMohamed966265
 
ASIS Training #4 - Gestion des risques et innovation sociale
ASIS Training #4 - Gestion des risques et innovation socialeASIS Training #4 - Gestion des risques et innovation sociale
ASIS Training #4 - Gestion des risques et innovation socialearmelleguillermet
 
ISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéPECB
 
Conference Actuaris - Retour d’expérience client sur Solvabilité 2, ORSA, Act...
Conference Actuaris - Retour d’expérience client sur Solvabilité 2, ORSA, Act...Conference Actuaris - Retour d’expérience client sur Solvabilité 2, ORSA, Act...
Conference Actuaris - Retour d’expérience client sur Solvabilité 2, ORSA, Act...Alban Jarry
 
Conference EIFR - la conception d un systeme de gestion des risques ERM
Conference EIFR - la conception d un systeme de gestion des risques ERMConference EIFR - la conception d un systeme de gestion des risques ERM
Conference EIFR - la conception d un systeme de gestion des risques ERMAlban Jarry
 
Développer la culture ERM
Développer la culture ERMDévelopper la culture ERM
Développer la culture ERMDavid Dubois
 
Presentation ppt converti
Presentation ppt convertiPresentation ppt converti
Presentation ppt convertiIsmailElouarga
 
2009264111856 03 hlnedufourrisquesoprationnels
2009264111856 03 hlnedufourrisquesoprationnels2009264111856 03 hlnedufourrisquesoprationnels
2009264111856 03 hlnedufourrisquesoprationnelsFatima Zahra z
 
AMAN - JNS4 Management sécurité 13 Mai 2014
AMAN - JNS4 Management sécurité 13 Mai 2014AMAN - JNS4 Management sécurité 13 Mai 2014
AMAN - JNS4 Management sécurité 13 Mai 2014Abdeljalil AGNAOU
 
#NSD15 - Intelligence juridique & systèmes d'informations
#NSD15 - Intelligence juridique & systèmes d'informations#NSD15 - Intelligence juridique & systèmes d'informations
#NSD15 - Intelligence juridique & systèmes d'informationsNetSecure Day
 

Similar to Gestion des risques (20)

Ichec entrepr ah 2015
Ichec entrepr ah 2015Ichec entrepr ah 2015
Ichec entrepr ah 2015
 
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
 
Université laval présentation sur la gestion des risques 31-03-2015 vf2
Université laval présentation sur la gestion des risques 31-03-2015 vf2Université laval présentation sur la gestion des risques 31-03-2015 vf2
Université laval présentation sur la gestion des risques 31-03-2015 vf2
 
Conix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerConix - EBIOS Risk Manager
Conix - EBIOS Risk Manager
 
Sécurité Internet
Sécurité InternetSécurité Internet
Sécurité Internet
 
EBIOS Risk Manager
EBIOS Risk ManagerEBIOS Risk Manager
EBIOS Risk Manager
 
Présentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerPrésentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk Manager
 
2017-02-AtelierA4GouvernanceRisques-Amrae-C.pdf
2017-02-AtelierA4GouvernanceRisques-Amrae-C.pdf2017-02-AtelierA4GouvernanceRisques-Amrae-C.pdf
2017-02-AtelierA4GouvernanceRisques-Amrae-C.pdf
 
Approche et management des risques 31000.pptx
Approche et management des risques 31000.pptxApproche et management des risques 31000.pptx
Approche et management des risques 31000.pptx
 
ASIS Training #4 - Gestion des risques et innovation sociale
ASIS Training #4 - Gestion des risques et innovation socialeASIS Training #4 - Gestion des risques et innovation sociale
ASIS Training #4 - Gestion des risques et innovation sociale
 
ISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformité
 
Conference Actuaris - Retour d’expérience client sur Solvabilité 2, ORSA, Act...
Conference Actuaris - Retour d’expérience client sur Solvabilité 2, ORSA, Act...Conference Actuaris - Retour d’expérience client sur Solvabilité 2, ORSA, Act...
Conference Actuaris - Retour d’expérience client sur Solvabilité 2, ORSA, Act...
 
Conference EIFR - la conception d un systeme de gestion des risques ERM
Conference EIFR - la conception d un systeme de gestion des risques ERMConference EIFR - la conception d un systeme de gestion des risques ERM
Conference EIFR - la conception d un systeme de gestion des risques ERM
 
Développer la culture ERM
Développer la culture ERMDévelopper la culture ERM
Développer la culture ERM
 
Risk management - FR
Risk management - FRRisk management - FR
Risk management - FR
 
Presentation ppt converti
Presentation ppt convertiPresentation ppt converti
Presentation ppt converti
 
2009264111856 03 hlnedufourrisquesoprationnels
2009264111856 03 hlnedufourrisquesoprationnels2009264111856 03 hlnedufourrisquesoprationnels
2009264111856 03 hlnedufourrisquesoprationnels
 
Sécurité vs Continuité -rev2-
Sécurité vs Continuité -rev2-Sécurité vs Continuité -rev2-
Sécurité vs Continuité -rev2-
 
AMAN - JNS4 Management sécurité 13 Mai 2014
AMAN - JNS4 Management sécurité 13 Mai 2014AMAN - JNS4 Management sécurité 13 Mai 2014
AMAN - JNS4 Management sécurité 13 Mai 2014
 
#NSD15 - Intelligence juridique & systèmes d'informations
#NSD15 - Intelligence juridique & systèmes d'informations#NSD15 - Intelligence juridique & systèmes d'informations
#NSD15 - Intelligence juridique & systèmes d'informations
 

More from eGov Innovation Center

eGov Workshop - Contrôle de la validitié d'un document grâce à la signature é...
eGov Workshop - Contrôle de la validitié d'un document grâce à la signature é...eGov Workshop - Contrôle de la validitié d'un document grâce à la signature é...
eGov Workshop - Contrôle de la validitié d'un document grâce à la signature é...eGov Innovation Center
 
eGov Workshop - Etude de cas sur la signature électronique via Skribble - Mik...
eGov Workshop - Etude de cas sur la signature électronique via Skribble - Mik...eGov Workshop - Etude de cas sur la signature électronique via Skribble - Mik...
eGov Workshop - Etude de cas sur la signature électronique via Skribble - Mik...eGov Innovation Center
 
eGov Workshop - Introduction à la signature électronique - Leo Bolshanin
eGov Workshop - Introduction à la signature électronique - Leo BolshanineGov Workshop - Introduction à la signature électronique - Leo Bolshanin
eGov Workshop - Introduction à la signature électronique - Leo BolshanineGov Innovation Center
 
Ouverture eGov Workshop - Signature électronique
Ouverture eGov Workshop - Signature électronique Ouverture eGov Workshop - Signature électronique
Ouverture eGov Workshop - Signature électronique eGov Innovation Center
 
eGov Workshop - Digital Signature in the Blockchain - Jean-Luc Beuchat
eGov Workshop - Digital Signature in the Blockchain - Jean-Luc BeuchateGov Workshop - Digital Signature in the Blockchain - Jean-Luc Beuchat
eGov Workshop - Digital Signature in the Blockchain - Jean-Luc BeuchateGov Innovation Center
 
Open Data : les données du territoire en libre-service - SITG
Open Data : les données du territoire en libre-service - SITGOpen Data : les données du territoire en libre-service - SITG
Open Data : les données du territoire en libre-service - SITGeGov Innovation Center
 
Préservation et accès aux données du CERN - Jean-Yves Le Meur
Préservation et accès aux données du CERN - Jean-Yves Le MeurPréservation et accès aux données du CERN - Jean-Yves Le Meur
Préservation et accès aux données du CERN - Jean-Yves Le MeureGov Innovation Center
 
La protection des données: de la fermeture à l'ouverture - Fédération des ent...
La protection des données: de la fermeture à l'ouverture - Fédération des ent...La protection des données: de la fermeture à l'ouverture - Fédération des ent...
La protection des données: de la fermeture à l'ouverture - Fédération des ent...eGov Innovation Center
 
Protection des données et droit du travail - Juliette Ancelle
Protection des données et droit du travail - Juliette AncelleProtection des données et droit du travail - Juliette Ancelle
Protection des données et droit du travail - Juliette AncelleeGov Innovation Center
 
eGov - La Protection des données de la fermeture à l'ouverture - Olivia Guyot...
eGov - La Protection des données de la fermeture à l'ouverture - Olivia Guyot...eGov - La Protection des données de la fermeture à l'ouverture - Olivia Guyot...
eGov - La Protection des données de la fermeture à l'ouverture - Olivia Guyot...eGov Innovation Center
 
La protection des données selon la LIPAD - Préposé cantonal à la protection ...
La protection des données selon la LIPAD - Préposé cantonal à la protection ...La protection des données selon la LIPAD - Préposé cantonal à la protection ...
La protection des données selon la LIPAD - Préposé cantonal à la protection ...eGov Innovation Center
 
Introduction à Blockchain, Bitcoin, Ethereum
Introduction à Blockchain, Bitcoin, EthereumIntroduction à Blockchain, Bitcoin, Ethereum
Introduction à Blockchain, Bitcoin, EthereumeGov Innovation Center
 
e-factures: avantageux pour vous, pratique pour vos citoyens
e-factures: avantageux pour vous, pratique pour vos citoyense-factures: avantageux pour vous, pratique pour vos citoyens
e-factures: avantageux pour vous, pratique pour vos citoyenseGov Innovation Center
 
La carte professionnelle, un outil de lutte contre le travail au noir
La carte professionnelle, un outil de lutte contre le travail au noirLa carte professionnelle, un outil de lutte contre le travail au noir
La carte professionnelle, un outil de lutte contre le travail au noireGov Innovation Center
 
Smart City – pour mieux comprendre les besoins
Smart City – pour mieux comprendre les besoinsSmart City – pour mieux comprendre les besoins
Smart City – pour mieux comprendre les besoinseGov Innovation Center
 

More from eGov Innovation Center (20)

eGov Workshop - Contrôle de la validitié d'un document grâce à la signature é...
eGov Workshop - Contrôle de la validitié d'un document grâce à la signature é...eGov Workshop - Contrôle de la validitié d'un document grâce à la signature é...
eGov Workshop - Contrôle de la validitié d'un document grâce à la signature é...
 
eGov Workshop - Etude de cas sur la signature électronique via Skribble - Mik...
eGov Workshop - Etude de cas sur la signature électronique via Skribble - Mik...eGov Workshop - Etude de cas sur la signature électronique via Skribble - Mik...
eGov Workshop - Etude de cas sur la signature électronique via Skribble - Mik...
 
eGov Workshop - Introduction à la signature électronique - Leo Bolshanin
eGov Workshop - Introduction à la signature électronique - Leo BolshanineGov Workshop - Introduction à la signature électronique - Leo Bolshanin
eGov Workshop - Introduction à la signature électronique - Leo Bolshanin
 
Ouverture eGov Workshop - Signature électronique
Ouverture eGov Workshop - Signature électronique Ouverture eGov Workshop - Signature électronique
Ouverture eGov Workshop - Signature électronique
 
eGov Workshop - Digital Signature in the Blockchain - Jean-Luc Beuchat
eGov Workshop - Digital Signature in the Blockchain - Jean-Luc BeuchateGov Workshop - Digital Signature in the Blockchain - Jean-Luc Beuchat
eGov Workshop - Digital Signature in the Blockchain - Jean-Luc Beuchat
 
Open Data : les données du territoire en libre-service - SITG
Open Data : les données du territoire en libre-service - SITGOpen Data : les données du territoire en libre-service - SITG
Open Data : les données du territoire en libre-service - SITG
 
Préservation et accès aux données du CERN - Jean-Yves Le Meur
Préservation et accès aux données du CERN - Jean-Yves Le MeurPréservation et accès aux données du CERN - Jean-Yves Le Meur
Préservation et accès aux données du CERN - Jean-Yves Le Meur
 
La protection des données: de la fermeture à l'ouverture - Fédération des ent...
La protection des données: de la fermeture à l'ouverture - Fédération des ent...La protection des données: de la fermeture à l'ouverture - Fédération des ent...
La protection des données: de la fermeture à l'ouverture - Fédération des ent...
 
Protection des données et droit du travail - Juliette Ancelle
Protection des données et droit du travail - Juliette AncelleProtection des données et droit du travail - Juliette Ancelle
Protection des données et droit du travail - Juliette Ancelle
 
eGov - La Protection des données de la fermeture à l'ouverture - Olivia Guyot...
eGov - La Protection des données de la fermeture à l'ouverture - Olivia Guyot...eGov - La Protection des données de la fermeture à l'ouverture - Olivia Guyot...
eGov - La Protection des données de la fermeture à l'ouverture - Olivia Guyot...
 
La protection des données selon la LIPAD - Préposé cantonal à la protection ...
La protection des données selon la LIPAD - Préposé cantonal à la protection ...La protection des données selon la LIPAD - Préposé cantonal à la protection ...
La protection des données selon la LIPAD - Préposé cantonal à la protection ...
 
Introduction à Blockchain, Bitcoin, Ethereum
Introduction à Blockchain, Bitcoin, EthereumIntroduction à Blockchain, Bitcoin, Ethereum
Introduction à Blockchain, Bitcoin, Ethereum
 
Le paiement par mobile
Le paiement par mobileLe paiement par mobile
Le paiement par mobile
 
e-factures: avantageux pour vous, pratique pour vos citoyens
e-factures: avantageux pour vous, pratique pour vos citoyense-factures: avantageux pour vous, pratique pour vos citoyens
e-factures: avantageux pour vous, pratique pour vos citoyens
 
Paiements électronique
Paiements électroniquePaiements électronique
Paiements électronique
 
User Experience & eGovernment for all
User Experience & eGovernment for allUser Experience & eGovernment for all
User Experience & eGovernment for all
 
Digital Seniors
Digital SeniorsDigital Seniors
Digital Seniors
 
La carte professionnelle, un outil de lutte contre le travail au noir
La carte professionnelle, un outil de lutte contre le travail au noirLa carte professionnelle, un outil de lutte contre le travail au noir
La carte professionnelle, un outil de lutte contre le travail au noir
 
Des sites vraiment faciles?
Des sites vraiment faciles?Des sites vraiment faciles?
Des sites vraiment faciles?
 
Smart City – pour mieux comprendre les besoins
Smart City – pour mieux comprendre les besoinsSmart City – pour mieux comprendre les besoins
Smart City – pour mieux comprendre les besoins
 

Gestion des risques

  • 1.
  • 3. "Risque" selon ISO ISO Guide 73, Management du risque – Vocabulaire 2002 "Combinaison de la probabilité d’un événement et de ses conséquences" 2009 "Effet de l'incertitude sur l'atteinte des objectifs" – Un effet = un écart, positif ou négatif, par rapport à une attente – Un risque est souvent exprimé en termes • des conséquences d'un événement et • de sa vraisemblance ["likelihood"] 3 Sources : ISO Guide 73:2002, Management du risque - Vocabulaire ISO Guide 73:2009, Management du risque - Vocabulaire
  • 4. Types de risques liés à l'informatique Source : ISACA (2009), "The Risk IT Framework", Figure 2 ou ISACA (2014), "COBIT 5 for Risk", Figure 5 Opportunités d'apporter de la valeur Risques des projets Risques opérationnels 4
  • 5. Menace Vulnérabilité Faiblesse dans une défense Conséquences Impacts sur les actifs Défenses en profondeur Le modèle du « fromage suisse » "Swiss cheese model" Basé sur : Reason, J. (1997), "Managing The Risks of Organisational Accidents" 5
  • 6. LE MANAGEMENT DES RISQUES 6
  • 7. Normes de management des risques Evolution BS 7799-3 :2006 EBIOS 19972004 OCTAVE 19992007 et d'autres influences ISO 31000 :2009 AS/NZS 4360 :1995 :2004 ISO Guide 73 :2002 :2009 Vocabulaire ISO 27005 :2011 ISO 13335-1 :2004 ISO 13335-3 :1998 ISO 13335-4 :2000 ISO 27005 :2008 Gestion des risques (entreprise) Gestion des risques (sécurité de l'information) 7
  • 8. Management des risques Le processus selon ISO 31000:2009 (et ISO 27005:2011) Source : ISO 31000:2009, Management du risque — Principes et lignes directrices Processus similaire : ISO 27005:2011, Gestion des risques liés à la sécurité de l'information 8
  • 9. Etablissement du contexte " ... définition du domaine d'application ainsi que des critères de risque ..." Source : ISO 31000:2009, Management du risque — Principes et lignes directrices 9
  • 10. Identification du risque "processus de recherche, de reconnaissance et de description des risques" Source : ISO 31000:2009, Management du risque — Principes et lignes directrices 10 Cette étape peut faire appel à la créativité !
  • 11. Identification du risque Exemple (méthode CORAS) : Identification des scénarios de risque 11 Basé sur : Lund, M.S. et al (2011), "Model-Driven Risk Analysis, The CORAS Approach"
  • 12. Identification du risque Exemple (méthode CORAS) : Identification des vulnérabilités 12 Source : Lund, M.S. et al (2011), "Model-Driven Risk Analysis, The CORAS Approach"
  • 13. Analyse du risque • Vraisemblance • Conséquence(s) "comprendre la nature d'un risque et ... déterminer le niveau de risque" Source : ISO 31000:2009, Management du risque — Principes et lignes directrices 13
  • 14. Conséquence Critique Majeure Modérée Mineure Insignifiante Très probableProbablePossibleNégligeable Analyse des risques Exemple : résumé de l'analyse sous forme d'une matrice des risques R1 R6 R2 R3R8 R7R4 R5 Vraisemblance 14 Peu probable
  • 15. Evaluation du risque "comparaison des résultats de l'analyse du risque avec les critères de risque afin de déterminer si le risque et/ou son importance sont acceptables ou tolérables" Source : ISO 31000:2009, Management du risque — Principes et lignes directrices 15
  • 16. Conséquence Critique Majeure Modérée Mineure Insignifiante Très probableProbablePossiblePeu probableNégligeable Evaluation des risques Exemple : résumé de l'évaluation sous forme d'une matrice des risques Vraisemblance R1 R6 R2 R3R8 R7R4 R5 = Priorité 1 = Priorité 2 = Acceptable 16
  • 17. Traitement du risque "processus destiné à modifier un risque" Source : ISO 31000:2009, Management du risque — Principes et lignes directrices 17
  • 18. Traitement du risque Choix de la stratégie de traitement Basé sur : ISO 27005:2011, Gestion des risques liés à la sécurité de l'information 18
  • 19. Traitement du risque Acceptation du risque résiduel après réduction Risque actuel Risque résiduel Réduction du risque due au traitement proposé Traitement du risque Niveau de risque "acceptable" Basé sur : ISO/IEC 13335-1:2004, Concepts and models for ICT security management 19
  • 20. Traitement du risque Acceptation du traitement Réduction du risque = (Risque initial) – (Risque résiduel) Coût du traitement proposé 20 > Principe de proportionnalité
  • 21. Plan de traitement des risques Exemple Action A 2016 A+1 2017 A+2 2018 Coûts (mandats, achats) Effort métier Effort administratif DSI Effort technique DSI Délai 1. Analyser & évaluer les risques [en cours] 15kFr 3 jh 20 jh - 02.2016 2. Inventorier la règlementation applicable - 3 jh 1 jh - 04.2016 3. Elaborer la Politique générale de sécurité 15kFr 5 jh 10 jh - 09.2016 4. Elaborer une charte sur l'utilisation de l'IT - 5 jh 5 jh - 12.2016 5. Processus de tests périodiques de la sécurité 30kFr/an - 5 jh + 10 jh/an 10 jh/an 06.2016 6. Mettre sur pied un programme de sensibilisation InfoSéc internalisé 15kFr 5 jh + 1 jh/an 5 jh + 10 jh/an - 12.2016 7. Approfondir l'analyse BIA (pré-requis pour la démarche DRP) 15kFr 10 jh 10 jh - 04.2017 etc. etc. etc. 21
  • 22. Le processus est itératif ! Source : ISO 31000:2009, Management du risque — Principes et lignes directrices 22
  • 24. Informatique Sécurité de l'info, Sécurité informatique Management du risque Entreprise  ISO 31000  COSO ERM •Risk IT + COBIT 4.1 •COBIT 5 for Risk •ISO 27005 •OCTAVE family •EBIOS, MEHARI •CORAS •ENISA •CPI-RISC Développement  STRIDE, DREAD, ... Audit / Gouvernance •CobiT 4.1 + Val IT •CobiT Quickstart •COBIT 5 • Gouvernance: ISO 38500 • Audit: ISO 27007 • Audit: ISO 27008 • Gouvernance: ISO 27014 Bonnes pratiques •ITIL, ... •ISO 27002 Certification •ISO 20000, ... •ISO 27001 Quelques méthodes et normes 24
  • 25. Références Vocabulaire ISO Les normes sont payantes, mais un extrait – contenant toutes les définitions des termes – peut être consulté gratuitement ici : • ISO Guide 73 Management du risque – Vocabulaire – https://www.iso.org/obp/ui/#iso:std:iso:guide:73:ed-1:v1:fr • ISO/CEI 27000 Systèmes de management de la sécurité de l'information – Vue d'ensemble et vocabulaire – https://www.iso.org/obp/ui/#iso:std:iso-iec:27000:ed-3:v1:fr 25
  • 26. Références Méthodes simples • Méthode d'ENISA (European Union Agency for Network and Information Security) – http://www.enisa.europa.eu/activities/risk-management/current-risk/risk- management-inventory/files/deliverables [Documentation complète en français, anglais, etc.] • CORAS - méthode et outil graphique – http://coras.sourceforge.net/ – Lund, M.S., Solhaug, B., Stølen, K. (2011), "Model-Driven Risk Analysis, The CORAS Approach", Springer, ISBN 978-3-642-12323-8 Chapter 3 - A Guided Tour of the CORAS Method : http://www.springer.com/cda/content/document/cda_downloaddocument/978364 2123221-c3.pdf [Documentation complète, en anglais] • OCTAVE Allegro - la méthode la plus simple de la famille "OCTAVE" – http://www.cert.org/archive/pdf/07tr012.pdf [Méthode complète & work-sheets, en anglais] • CPI-RISC - méthode rapide basée sur l'évaluation du niveau de maturité – http://cpi-risc.org/en/Downloads.html [Documentation partielle, en anglais] 26