Accès illimité 24h/24 à tous nos livres & vidéos ! Découvrez la Bibliothèque Numérique ENI. Cliquez ici.
  1. Livres et vidéos
  2. La norme ISO 27005 - Gestion des risques liés à la sécurité de l'information

La norme ISO 27005 Gestion des risques liés à la sécurité de l'information

  • En stock
  • Expédié en 24h00
  • Livraison à partir de 0,01 €
  • Version en ligne offerte pendant 1 an
  • 1 h d'accès gratuit à tous nos livres et vidéos pour chaque commande
  • Accessible immédiatement et pour une durée de 10 ans
  • Version HTML
  • Accès illimité 24h/24, 7J/7
  • Accès illimité 24h/24, 7J/7
  • Tous les livres en ligne, les vidéos et les cours enregistrés ENI
  • Plus de 10 nouveautés livres et vidéos chaque mois
  • Les nouveautés disponibles le jour de leur sortie
  • Accès 100% en ligne

Présentation

Ce livre sur la norme ISO 27005 est destiné aux chefs de projet, administrateurs système réseau et sécurité, RSSI ou DSI qui souhaitent maîtriser la gestion des risques liés à la sécurité de l’information. Il intéressera également toute personne sensibilisée à la gouvernance informatique désireuse d’approfondir ses connaissances sur cette norme et celles associées (ISO 27001, ISO 31000…) ou de compléter sa préparation à l’examen de certification ISO 27005 Risk Manager.

Décliné en trois grandes parties, le livre commence par présenter la gouvernance liée à la sécurité de l’information et énumère notamment les principales normes associées. Puis, l’auteur s’attache à détailler, dans une deuxième partie, tous les sous-processus de la norme ISO 27005 permettant au lecteur d’obtenir les compétences nécessaires à la réalisation d’une analyse de risques cohérente et efficace.

La dernière partie est consacrée à trois études de cas fictifs qui confrontent le lecteur à des situations auxquelles il pourrait faire face. Pour chacune, l’auteur propose des solutions concrètes pour gérer au mieux le risque présenté.


Quizinclus dans
la version en ligne !
  • Testez vos connaissances à l'issue de chaque chapitre
  • Validez vos acquis

Table des matières

  • Normes et cadres réglementaires
    • 1. Introduction
    • 2. Que sont les normes ISO ?
      • 2.1 Normes liées à la sécurité de l'information
      • 2.2 La famille ISO/IEC 27000
    • 3. ISO 31000 et IEC 31010
    • 4. ISO 27001
      • 4.1 Certifications
    • 5. ISO/IEC 27005 : gestion des risques
      • 5.1 Certifications
    • 6. RGPD
    • 7. Conclusion
  • Définitions et concepts de risque
    • 1. Concept de risque
    • 2. Définition du risque
    • 3. Les statistiques et les risques
    • 4. L'opportunité par le risque
    • 5. La perception du risque
    • 6. Quelques définitions d'ISO 27000
    • 7. La sécurité de l'information
    • 8. Les types de mesures de sécurité
    • 9. Les avantages de la gestion du risque
    • 10. Conclusion
  • Programme de gestion du risque
    • 1. Introduction
    • 2. Méthode PDCA
    • 3. Programme de gestion des risques
      • 3.1 Engagement de la direction
      • 3.2 Définir les responsabilités
      • 3.3 Établir une politique de gestion des risques
      • 3.4 Implémenter un processus de gestion des risques
      • 3.5 Choisir une approche de gestion des risques
        • 3.5.1 Approche par scénario
        • 3.5.2 Approche par actif
        • 3.5.3 Approche itérative
      • 3.6 Sélection d'une méthode d'appréciation des risques
      • 3.7 Fournir les ressources
    • 4. Conclusion
  • Établissement du contexte
    • 1. Introduction
    • 2. Établissement du contexte
      • 2.1 Le contexte externe
      • 2.2 Le contexte interne
    • 3. Identifier les parties prenantes
    • 4. Définir les objectifs
    • 5. Définir les critères de base
    • 6. Définir le cadre et les limites
      • 6.1 Les contraintes techniques
      • 6.2 Les contraintes financières
      • 6.3 Les contraintes environnementales
      • 6.4 Les contraintes organisationnelles
      • 6.5 Les contraintes de temps
    • 7. Conclusion
  • Identification des risques
    • 1. Introduction
    • 2. Techniques pour rassembler les informations
      • 2.1 Questionnaire
      • 2.2 Entretiens
      • 2.3 Revue de documentations et outils
    • 3. Identification des actifs
      • 3.1 Actifs primaires
      • 3.2 Actifs supports
      • 3.3 Échelle de valeur des actifs
    • 4. Identification des menaces
    • 5. Identification des contrôles existants
    • 6. Identification des vulnérabilités
    • 7. Identification des conséquences
      • 7.1 Scénarios d'incidents
    • 8. Conclusion
  • Analyse et évaluation du risque
    • 1. Introduction
    • 2. Méthodologies d'analyse du risque
      • 2.1 Approche qualitative
      • 2.2 Approche quantitative
    • 3. Évaluation des conséquences
    • 4. Évaluation de la vraisemblance d’un incident
    • 5. Détermination d’un niveau de risque
    • 6. Évaluation du risque
    • 7. Évaluation quantitative du risque
      • 7.1 Concept de ROSI
      • 7.2 Définitions
      • 7.3 Calculs
  • Traitement et acceptation des risques
    • 1. Introduction
    • 2. Processus de traitement du risque
      • 2.1 Hiérarchisation des risques
      • 2.2 Options de traitement du risque
        • 2.2.1 Réduction du risque
        • 2.2.2 Évitement du risque
        • 2.2.3 Transfert du risque
        • 2.2.4 Acceptation du risque
        • 2.2.5 Plan d'actions
      • 2.3 Les risques résiduels
    • 3. Processus d'acceptation des risques
      • 3.1 Facteurs d'acceptation des risques
      • 3.2 Déroulement d'un comité décisionnel
    • 4. Conclusion
  • Communication des risques
    • 1. Introduction
    • 2. Objectif de la communication des risques
    • 3. Plan de communication sur les risques
      • 3.1 Principes d'une stratégie de communication efficace
      • 3.2 La communication interne et externe
        • 3.2.1 Communication interne
        • 3.2.2 Communication externe
    • 4. Enregistrements
    • 5. Conclusion
  • Surveillance et revue des risques
    • 1. Introduction
    • 2. Processus de surveillance et revue des risques
    • 3. Surveillance et revue des facteurs de risques
    • 4. Surveillance et revue de la gestion des risques
    • 5. Amélioration continue
      • 5.1 Démarche Kaizen
      • 5.2 La méthode 6 sigma
      • 5.3 Les 5 S
      • 5.4 Méthode des cinq pourquoi
    • 6. Conclusion
  • Méthodes
    • 1. Introduction
    • 2. OCTAVE
      • 2.1 La méthode OCTAVE
      • 2.2 La méthode OCTAVE-S
        • 2.2.1 Phase 1 : Construire des profils de menaces basés sur les actifs
        • 2.2.2 Phase 2 : Identifier les vulnérabilités de l'infrastructure
        • 2.2.3 Phase 3 : Élaborer des stratégies et des plans de sécurité
      • 2.3 La méthode OCTAVE Allegro
        • 2.3.1 Étape 1 - Établir des critères de mesure du risque
        • 2.3.2 Étape 2 - Élaborer des profils d'actifs informationnels
        • 2.3.3 Étape 3 - Identifier les conteneurs d'actifs informationnels
        • 2.3.4 Étape 4 - Identifier les domaines de préoccupation
        • 2.3.5 Étape 5 - Identifier les scénarios de menace
        • 2.3.6 Étape 6 - Identifier les risques
        • 2.3.7 Étape 7 - Analyser les risques
        • 2.3.8 Étape 8 - Sélectionner une approche d'atténuation
    • 3. MEHARI
      • 3.1 Phase 1 : Analyse des enjeux et classement
      • 3.2 Phase 2 : Évaluation des services de sécurité
        • 3.2.1 Efficacité du service de sécurité
        • 3.2.2 Robustesse du service de sécurité
        • 3.2.3 Surveillance du service de sécurité
        • 3.2.4 Évaluation des services de sécurité
      • 3.3 Phase 3 : Analyse de risques
      • 3.4 Phase 4 : Élaboration de plans de sécurité
    • 4. EBIOS
      • 4.1 Les cinq ateliers
        • 4.1.1 Atelier 1 : Cadrage et socle de sécurité
        • 4.1.2 Atelier 2 : Sources de risque
        • 4.1.3 Atelier 3 : Scénarios stratégiques
        • 4.1.4 Atelier 4 : Scénarios opérationnels
        • 4.1.5 Atelier 5 : Traitement du risque
    • 5. Conclusion
  • Étude de cas 1 - Mise en conformité
    • 1. Introduction
    • 2. Contexte
      • 2.1 Le contexte externe
      • 2.2 Le contexte interne
        • 2.2.1 Ses missions
        • 2.2.2 Ses valeurs
        • 2.2.3 Ses objectifs
        • 2.2.4 Ses stratégies
      • 2.3 Identifier les parties prenantes
      • 2.4 Définir les objectifs
      • 2.5 Définir les critères de base
      • 2.6 Définir le cadre et les limites
        • 2.6.1 Les contraintes techniques
        • 2.6.2 Les contraintes financières
        • 2.6.3 Les contraintes environnementales
        • 2.6.4 Les contraintes de temps
    • 3. Identification du risque
      • 3.1 Les entretiens
        • 3.1.1 Entretien avec le directeur
        • 3.1.2 Entretien avec le RSSI
        • 3.1.3 Entretien avec le DSI
        • 3.1.4 Entretien avec le responsable de l'infrastructure
      • 3.2 Revue documentaire et outils
      • 3.3 Identification des actifs
        • 3.3.1 Échelle de valeur des actifs
        • 3.3.2 Actifs primordiaux
        • 3.3.3 Actifs supports
      • 3.4 Identification des menaces et des vulnérabilités
      • 3.5 Identification des contrôles existants
      • 3.6 Identification des conséquences
    • 4. Analyse des risques
      • 4.1 Évaluation de la vraisemblance
      • 4.2 Évaluation des conséquences
      • 4.3 Détermination d’un niveau de risque
    • 5. Évaluation des risques
    • 6. Traitement du risque
    • 7. Le plan d'actions
    • 8. Le risque résiduel
    • 9. Acceptation des risques
    • 10. Conclusion
  • Étude de cas 2 - Analyse de risques
    • 1. Introduction
    • 2. Contexte
    • 3. Atelier 1 : cadrage et socle de sécurité
      • 3.1 Le cadre
      • 3.2 Définir le périmètre métier et technique
      • 3.3 Identifier les évènements redoutés
      • 3.4 Déterminer le socle de sécurité
    • 4. Atelier 2 : sources de risque
      • 4.1 Identifier les sources de risques et les objectifs visés
      • 4.2 Évaluer les couples SR/OV
    • 5. Atelier 3 : scénarios stratégiques
      • 5.1 Construire la cartographie de menace numérique de l'écosystème et sélectionner les parties prenantes critiques
      • 5.2 Élaborer des scénarios stratégiques
      • 5.3 Définir des mesures de sécurité sur l'écosystème
    • 6. Atelier 4 : scénarios opérationnels
      • 6.1 Élaborer les scénarios opérationnels
      • 6.2 Évaluation de la vraisemblance des scénarios opérationnels
    • 7. Atelier 5 : traitement du risque
      • 7.1 Réaliser une synthèse des scénarios de risque
      • 7.2 Décider de la stratégie de traitement des risqueset définir les mesures de sécurité
  • Étude de cas 3 - Risques d'un projet
    • 1. Introduction
    • 2. Le contexte
    • 3. L'analyse de risques
      • 3.1 Les scénarios
        • 3.1.1 Vol de l'ordinateur
        • 3.1.2 Accès distant non autorisé à l'ordinateur
        • 3.1.3 Ingénierie sociale
        • 3.1.4 Erreur d'utilisation
        • 3.1.5 Appareil compromis pendant le transport
        • 3.1.6 Abus de privilèges
      • 3.2 Plan d'actions
    • 4. Conclusion
  • Pour aller plus loin
    • 1. Introduction
    • 2. ISO 27001
    • 3. La directive NIS
    • 4. Référentiel de sécurité du NIST
    • 5. CIS V8
    • 6. RGPD/AIPD
      • 6.1 Le contexte
        • 6.1.1 Vue générale
        • 6.1.2 Données, supports et processus
      • 6.2 Principes fondamentaux
        • 6.2.1 Proportionnalité et nécessité
        • 6.2.2 Protection des droits des personnes
      • 6.3 Étude des risques
        • 6.3.1 Évaluation des mesures
        • 6.3.2 Appréciation des risques
      • 6.4 Validation
        • 6.4.1 Préparation des éléments
        • 6.4.2 Validation
    • 7. Conclusion
    • Index

Auteur

Jean-Charles PONSEn savoir plus

Jean-Charles PONS a débuté sa carrière en tant qu’ingénieur en sécurité de l’information. Après plusieurs années passées dans la technique, il s’oriente progressivement vers la sécurité organisationnelle. Aujourd’hui consultant dans la gouvernance en sécurité informatique, il accompagne désormais DSI et RSSI pour les aider à se conformer aux différentes normes et réglementations en réalisant notamment des audits de sécurité et des analyses de risques.

Caractéristiques

  • Niveau Expert
  • Nombre de pages 273 pages
  • Parution septembre 2022
    • Livre (broché) - 17 x 21 cm
    • ISBN : 978-2-409-03713-9
    • EAN : 9782409037139
    • Ref. ENI : EPISO27005
  • Niveau Expert
  • Parution septembre 2022
    • HTML
    • ISBN : 978-2-409-03714-6
    • EAN : 9782409037146
    • Ref. ENI : LNEPISO27005