Titre, auteur...

Que sont les normes ISO ?

ISO 31000 et IEC 31010

ISO/IEC 27005 : gestion des risques

Concept de risque

Définition du risque

Les statistiques et les risques

L'opportunité par le risque

La perception du risque

Quelques définitions d'ISO 27000

La sécurité de l'information

Les types de mesures de sécurité

Les avantages de la gestion du risque

Programme de gestion des risques

Établissement du contexte

Identifier les parties prenantes

Définir les objectifs

Définir les critères de base

Définir le cadre et les limites

Techniques pour rassembler les informations

Identification des actifs

Identification des menaces

Identification des contrôles existants

Identification des vulnérabilités

Identification des conséquences

Méthodologies d'analyse du risque

Évaluation des conséquences

Évaluation de la vraisemblance d’un incident

Détermination d’un niveau de risque

Évaluation du risque

Évaluation quantitative du risque

Processus de traitement du risque

Processus d'acceptation des risques

Objectif de la communication des risques

Plan de communication sur les risques

Enregistrements

Processus de surveillance et revue des risques

Surveillance et revue des facteurs de risques

Surveillance et revue de la gestion des risques

Amélioration continue

1. Phase 1 : Analyse des enjeux et classement
2. Phase 2 : Évaluation des services de sécurité
a. Efficacité du service de sécurité
b. Robustesse du service de sécurité
c. Surveillance du service de sécurité
d. Évaluation des services de sécurité
3. Phase 3 : Analyse de risques
4. Phase 4 : Élaboration de plans de sécurité

Identification du risque

Analyse des risques

Évaluation des risques

Traitement du risque

Le plan d'actions

Le risque résiduel

Acceptation des risques

Atelier 1 : cadrage et socle de sécurité

Atelier 2 : sources de risque

Atelier 3 : scénarios stratégiques

Atelier 4 : scénarios opérationnels

Atelier 5 : traitement du risque

L'analyse de risques

La directive NIS

Référentiel de sécurité du NIST

MEHARI `Méthode:MEHARI`

La méthode MEHARI (Méthode Harmonisée d’Analyse de Risques) est une méthode d’analyse de risques développée par le CLUSIF (Association Française des professionnels de la sécurité de l’information). Créée en 1995, elle permet d’évaluer et de gérer les risques associés aux scénarios.

Cette méthode se décline en quatre phases distinctes qui sont les suivantes :

Phase 1 : Analyse des enjeux et classement
Phase 2 : Évaluation des services de sécurité
Phase 3 : Analyse des risques
Phase 4 : Élaboration de plans de sécurité

images/EP03-01-p142.png

1. Phase 1 : Analyse des enjeux et classement

Cette phase consiste à identifier les dysfonctionnements de l’organisation au niveau fonctionnel et technique en commençant par analyser les activités de l’organisation et ses objectifs. Pour ce faire, une collaboration entre les décideurs, le management et les parties prenantes est obligatoire.

Cette analyse nous apportera une échelle de valeurs des dysfonctionnements potentiels ainsi qu’une classification des actifs.

2. Phase 2 : Évaluation des services de sécurité

L’évaluation des services de sécurité est basée sur trois paramètres :

a. Efficacité du service de sécurité

Il s’agira, pour les services...

Découvrez

le livre :

je lis la suite !

Aussi inclus dans nos :

Précédent

OCTAVE

Suivant

EBIOS