Titre, auteur...

Que sont les normes ISO ?

ISO 31000 et IEC 31010

ISO/IEC 27005 : gestion des risques

Concept de risque

Définition du risque

Les statistiques et les risques

L'opportunité par le risque

La perception du risque

Quelques définitions d'ISO 27000

La sécurité de l'information

Les types de mesures de sécurité

Les avantages de la gestion du risque

Programme de gestion des risques

Établissement du contexte

Identifier les parties prenantes

Définir les objectifs

Définir les critères de base

Définir le cadre et les limites

Techniques pour rassembler les informations

Identification des actifs

Identification des menaces

Identification des contrôles existants

Identification des vulnérabilités

Identification des conséquences

Méthodologies d'analyse du risque

Évaluation des conséquences

Évaluation de la vraisemblance d’un incident

Détermination d’un niveau de risque

Évaluation du risque

Évaluation quantitative du risque

Processus de traitement du risque

Processus d'acceptation des risques

Objectif de la communication des risques

Plan de communication sur les risques

Enregistrements

Processus de surveillance et revue des risques

Surveillance et revue des facteurs de risques

Surveillance et revue de la gestion des risques

Amélioration continue

Identification du risque

Analyse des risques

Évaluation des risques

Traitement du risque

Le plan d'actions

Le risque résiduel

Acceptation des risques

Atelier 1 : cadrage et socle de sécurité

Atelier 2 : sources de risque

Atelier 3 : scénarios stratégiques

Atelier 4 : scénarios opérationnels

Atelier 5 : traitement du risque

L'analyse de risques

La directive NIS

Référentiel de sécurité du NIST

Traitement du risque

En évaluant les risques, nous avons obtenu une note pour chacun des scénarios identifiés. Cela nous permet de les classer du risque le plus élevé au plus faible et de définir quel sera leur traitement. Nous choisirons dans les quatre options disponibles comme vu dans le chapitre Traitement et acceptation des risques, à savoir la réduction, l’évitement, le transfert et l’acceptation du risque.

Actif	Menace	Vulnérabilité	Conséquence	Risque	Traitement
Stockage	Vol ou modification de documents	Stockage non protégé	Perte de clients, ou perte de fournisseurs, violation de la vie privée	7	Réduction
Logiciel	Abus de droits	Manque de test des logiciels	Violation de la confidentialité	6	Transfert
Ordinateur	Abus de droits	Pas de verrouillage automatique de session	Violation de la confidentialité	6	Réduction
Pare-feu	Détournement du dispositif de sécurité	Faiblesse du dispositif	Perte d’image de marque, de réputation	5	Réduction
Logiciel comptable	Erreur d’utilisation	Manque de documentation	Perturbation des opérations	5	Réduction
Réseaux	Écoute clandestine	Ligne de communication non protégée	Violation de la confidentialité	5	Réduction
Pare-feu, Routeur	Défaillance réseau	Point de défaillance unique	Perturbation des opérations, interruption de service	5	Réduction
Serveurs	Panne	Maintenance...

Découvrez

le livre :

je lis la suite !

Aussi inclus dans nos :

Précédent

Évaluation des risques

Suivant

Le plan d'actions