Ce livre sur la norme ISO 27005 est destiné aux chefs de projet, administrateurs système réseau et sécurité, RSSI ou DSI qui souhaitent maîtriser la gestion des risques liés à la sécurité de l’information. Il intéressera également toute personne sensibilisée à la gouvernance informatique désireuse d’approfondir ses connaissances sur cette norme et celles associées (ISO 27001, ISO 31000…) ou de compléter sa préparation à l’examen de certification ISO 27005 Risk Manager.

Décliné en trois grandes parties, le livre commence par présenter la gouvernance liée à la sécurité de l’information et énumère notamment les principales normes associées. Puis, l’auteur s’attache à détailler, dans une deuxième partie, tous les sous-processus de la norme ISO 27005 permettant au lecteur d’obtenir les compétences nécessaires à la réalisation d’une analyse de risques cohérente et efficace.

La dernière partie est consacrée à trois études de cas fictifs qui confrontent le lecteur à des situations auxquelles il pourrait faire face. Pour chacune, l’auteur propose des solutions concrètes pour gérer au mieux le risque présenté.

Normes et cadres réglementaires

1. 1. Introduction
2. 2. Que sont les normes ISO ?
   1. 2.1 Normes liées à la sécurité de l'information
   2. 2.2 La famille ISO/IEC 27000
3. 3. ISO 31000 et IEC 31010
4. 4. ISO 27001
   1. 4.1 Certifications
5. 5. ISO/IEC 27005 : gestion des risques
   1. 5.1 Certifications
6. 6. RGPD
7. 7. Conclusion

Définitions et concepts de risque

1. 1. Concept de risque
2. 2. Définition du risque
3. 3. Les statistiques et les risques
4. 4. L'opportunité par le risque
5. 5. La perception du risque
6. 6. Quelques définitions d'ISO 27000
7. 7. La sécurité de l'information
8. 8. Les types de mesures de sécurité
9. 9. Les avantages de la gestion du risque
10. 10. Conclusion

Programme de gestion du risque

1. 1. Introduction
2. 2. Méthode PDCA
3. 3. Programme de gestion des risques
   1. 3.1 Engagement de la direction
   2. 3.2 Définir les responsabilités
   3. 3.3 Établir une politique de gestion des risques
   4. 3.4 Implémenter un processus de gestion des risques
   5. 3.5 Choisir une approche de gestion des risques
      1. 3.5.1 Approche par scénario
      2. 3.5.2 Approche par actif
      3. 3.5.3 Approche itérative
   6. 3.6 Sélection d'une méthode d'appréciation des risques
   7. 3.7 Fournir les ressources
4. 4. Conclusion

Établissement du contexte

1. 1. Introduction
2. 2. Établissement du contexte
   1. 2.1 Le contexte externe
   2. 2.2 Le contexte interne
3. 3. Identifier les parties prenantes
4. 4. Définir les objectifs
5. 5. Définir les critères de base
6. 6. Définir le cadre et les limites
   1. 6.1 Les contraintes techniques
   2. 6.2 Les contraintes financières
   3. 6.3 Les contraintes environnementales
   4. 6.4 Les contraintes organisationnelles
   5. 6.5 Les contraintes de temps
7. 7. Conclusion

Identification des risques

1. 1. Introduction
2. 2. Techniques pour rassembler les informations
   1. 2.1 Questionnaire
   2. 2.2 Entretiens
   3. 2.3 Revue de documentations et outils
3. 3. Identification des actifs
   1. 3.1 Actifs primaires
   2. 3.2 Actifs supports
   3. 3.3 Échelle de valeur des actifs
4. 4. Identification des menaces
5. 5. Identification des contrôles existants
6. 6. Identification des vulnérabilités
7. 7. Identification des conséquences
   1. 7.1 Scénarios d'incidents
8. 8. Conclusion

Analyse et évaluation du risque

1. 1. Introduction
2. 2. Méthodologies d'analyse du risque
   1. 2.1 Approche qualitative
   2. 2.2 Approche quantitative
3. 3. Évaluation des conséquences
4. 4. Évaluation de la vraisemblance d’un incident
5. 5. Détermination d’un niveau de risque
6. 6. Évaluation du risque
7. 7. Évaluation quantitative du risque
   1. 7.1 Concept de ROSI
   2. 7.2 Définitions
   3. 7.3 Calculs

Traitement et acceptation des risques

1. 1. Introduction
2. 2. Processus de traitement du risque
   1. 2.1 Hiérarchisation des risques
   2. 2.2 Options de traitement du risque
      1. 2.2.1 Réduction du risque
      2. 2.2.2 Évitement du risque
      3. 2.2.3 Transfert du risque
      4. 2.2.4 Acceptation du risque
      5. 2.2.5 Plan d'actions
   3. 2.3 Les risques résiduels
3. 3. Processus d'acceptation des risques
   1. 3.1 Facteurs d'acceptation des risques
   2. 3.2 Déroulement d'un comité décisionnel
4. 4. Conclusion

Communication des risques

1. 1. Introduction
2. 2. Objectif de la communication des risques
3. 3. Plan de communication sur les risques
   1. 3.1 Principes d'une stratégie de communication efficace
   2. 3.2 La communication interne et externe
      1. 3.2.1 Communication interne
      2. 3.2.2 Communication externe
4. 4. Enregistrements
5. 5. Conclusion

Surveillance et revue des risques

1. 1. Introduction
2. 2. Processus de surveillance et revue des risques
3. 3. Surveillance et revue des facteurs de risques
4. 4. Surveillance et revue de la gestion des risques
5. 5. Amélioration continue
   1. 5.1 Démarche Kaizen
   2. 5.2 La méthode 6 sigma
   3. 5.3 Les 5 S
   4. 5.4 Méthode des cinq pourquoi
6. 6. Conclusion

Méthodes

1. 1. Introduction
2. 2. OCTAVE
   1. 2.1 La méthode OCTAVE
   2. 2.2 La méthode OCTAVE-S
      1. 2.2.1 Phase 1 : Construire des profils de menaces basés sur les actifs
      2. 2.2.2 Phase 2 : Identifier les vulnérabilités de l'infrastructure
      3. 2.2.3 Phase 3 : Élaborer des stratégies et des plans de sécurité
   3. 2.3 La méthode OCTAVE Allegro
      1. 2.3.1 Étape 1 - Établir des critères de mesure du risque
      2. 2.3.2 Étape 2 - Élaborer des profils d'actifs informationnels
      3. 2.3.3 Étape 3 - Identifier les conteneurs d'actifs informationnels
      4. 2.3.4 Étape 4 - Identifier les domaines de préoccupation
      5. 2.3.5 Étape 5 - Identifier les scénarios de menace
      6. 2.3.6 Étape 6 - Identifier les risques
      7. 2.3.7 Étape 7 - Analyser les risques
      8. 2.3.8 Étape 8 - Sélectionner une approche d'atténuation
3. 3. MEHARI
   1. 3.1 Phase 1 : Analyse des enjeux et classement
   2. 3.2 Phase 2 : Évaluation des services de sécurité
      1. 3.2.1 Efficacité du service de sécurité
      2. 3.2.2 Robustesse du service de sécurité
      3. 3.2.3 Surveillance du service de sécurité
      4. 3.2.4 Évaluation des services de sécurité
   3. 3.3 Phase 3 : Analyse de risques
   4. 3.4 Phase 4 : Élaboration de plans de sécurité
4. 4. EBIOS
   1. 4.1 Les cinq ateliers
      1. 4.1.1 Atelier 1 : Cadrage et socle de sécurité
      2. 4.1.2 Atelier 2 : Sources de risque
      3. 4.1.3 Atelier 3 : Scénarios stratégiques
      4. 4.1.4 Atelier 4 : Scénarios opérationnels
      5. 4.1.5 Atelier 5 : Traitement du risque
5. 5. Conclusion

Étude de cas 1 - Mise en conformité

1. 1. Introduction
2. 2. Contexte
   1. 2.1 Le contexte externe
   2. 2.2 Le contexte interne
      1. 2.2.1 Ses missions
      2. 2.2.2 Ses valeurs
      3. 2.2.3 Ses objectifs
      4. 2.2.4 Ses stratégies
   3. 2.3 Identifier les parties prenantes
   4. 2.4 Définir les objectifs
   5. 2.5 Définir les critères de base
   6. 2.6 Définir le cadre et les limites
      1. 2.6.1 Les contraintes techniques
      2. 2.6.2 Les contraintes financières
      3. 2.6.3 Les contraintes environnementales
      4. 2.6.4 Les contraintes de temps
3. 3. Identification du risque
   1. 3.1 Les entretiens
      1. 3.1.1 Entretien avec le directeur
      2. 3.1.2 Entretien avec le RSSI
      3. 3.1.3 Entretien avec le DSI
      4. 3.1.4 Entretien avec le responsable de l'infrastructure
   2. 3.2 Revue documentaire et outils
   3. 3.3 Identification des actifs
      1. 3.3.1 Échelle de valeur des actifs
      2. 3.3.2 Actifs primordiaux
      3. 3.3.3 Actifs supports
   4. 3.4 Identification des menaces et des vulnérabilités
   5. 3.5 Identification des contrôles existants
   6. 3.6 Identification des conséquences
4. 4. Analyse des risques
   1. 4.1 Évaluation de la vraisemblance
   2. 4.2 Évaluation des conséquences
   3. 4.3 Détermination d’un niveau de risque
5. 5. Évaluation des risques
6. 6. Traitement du risque
7. 7. Le plan d'actions
8. 8. Le risque résiduel
9. 9. Acceptation des risques
10. 10. Conclusion

Étude de cas 2 - Analyse de risques

1. 1. Introduction
2. 2. Contexte
3. 3. Atelier 1 : cadrage et socle de sécurité
   1. 3.1 Le cadre
   2. 3.2 Définir le périmètre métier et technique
   3. 3.3 Identifier les évènements redoutés
   4. 3.4 Déterminer le socle de sécurité
4. 4. Atelier 2 : sources de risque
   1. 4.1 Identifier les sources de risques et les objectifs visés
   2. 4.2 Évaluer les couples SR/OV
5. 5. Atelier 3 : scénarios stratégiques
   1. 5.1 Construire la cartographie de menace numérique de l'écosystème et sélectionner les parties prenantes critiques
   2. 5.2 Élaborer des scénarios stratégiques
   3. 5.3 Définir des mesures de sécurité sur l'écosystème
6. 6. Atelier 4 : scénarios opérationnels
   1. 6.1 Élaborer les scénarios opérationnels
   2. 6.2 Évaluation de la vraisemblance des scénarios opérationnels
7. 7. Atelier 5 : traitement du risque
   1. 7.1 Réaliser une synthèse des scénarios de risque
   2. 7.2 Décider de la stratégie de traitement des risqueset définir les mesures de sécurité

Étude de cas 3 - Risques d'un projet

1. 1. Introduction
2. 2. Le contexte
3. 3. L'analyse de risques
   1. 3.1 Les scénarios
      1. 3.1.1 Vol de l'ordinateur
      2. 3.1.2 Accès distant non autorisé à l'ordinateur
      3. 3.1.3 Ingénierie sociale
      4. 3.1.4 Erreur d'utilisation
      5. 3.1.5 Appareil compromis pendant le transport
      6. 3.1.6 Abus de privilèges
   2. 3.2 Plan d'actions
4. 4. Conclusion

Pour aller plus loin

1. 1. Introduction
2. 2. ISO 27001
3. 3. La directive NIS
4. 4. Référentiel de sécurité du NIST
5. 5. CIS V8
6. 6. RGPD/AIPD
   1. 6.1 Le contexte
      1. 6.1.1 Vue générale
      2. 6.1.2 Données, supports et processus
   2. 6.2 Principes fondamentaux
      1. 6.2.1 Proportionnalité et nécessité
      2. 6.2.2 Protection des droits des personnes
   3. 6.3 Étude des risques
      1. 6.3.1 Évaluation des mesures
      2. 6.3.2 Appréciation des risques
   4. 6.4 Validation
      1. 6.4.1 Préparation des éléments
      2. 6.4.2 Validation
7. 7. Conclusion
11. Index