Titre, auteur...

Que sont les normes ISO ?

ISO 31000 et IEC 31010

ISO/IEC 27005 : gestion des risques

Concept de risque

Définition du risque

Les statistiques et les risques

L'opportunité par le risque

La perception du risque

Quelques définitions d'ISO 27000

La sécurité de l'information

Les types de mesures de sécurité

Les avantages de la gestion du risque

Programme de gestion des risques

Établissement du contexte

Identifier les parties prenantes

Définir les objectifs

Définir les critères de base

Définir le cadre et les limites

Techniques pour rassembler les informations

Identification des actifs

Identification des menaces

Identification des contrôles existants

Identification des vulnérabilités

Identification des conséquences

Méthodologies d'analyse du risque

Évaluation des conséquences

Évaluation de la vraisemblance d’un incident

Détermination d’un niveau de risque

Évaluation du risque

Évaluation quantitative du risque

Processus de traitement du risque

Processus d'acceptation des risques

Objectif de la communication des risques

Plan de communication sur les risques

Enregistrements

Processus de surveillance et revue des risques

Surveillance et revue des facteurs de risques

Surveillance et revue de la gestion des risques

Amélioration continue

Identification du risque

Analyse des risques

Évaluation des risques

Traitement du risque

Le plan d'actions

Le risque résiduel

Acceptation des risques

Atelier 1 : cadrage et socle de sécurité

Atelier 2 : sources de risque

Atelier 3 : scénarios stratégiques

Atelier 4 : scénarios opérationnels

1. Élaborer les scénarios opérationnels
2. Évaluation de la vraisemblance des scénarios opérationnels

Atelier 5 : traitement du risque

L'analyse de risques

La directive NIS

Référentiel de sécurité du NIST

Atelier 4 : scénarios opérationnels

L’objectif de cet atelier est d’élaborer des scénarios opérationnels, évalués selon leur vraisemblance. Il ressemble à l’atelier 3 mais se concentre sur les biens supports.

Les participants à cet atelier seront le RSSI, le DSI, ainsi qu’un spécialiste en cybersécurité.

1. Élaborer les scénarios opérationnels

Les pirates informatiques exploitent les vulnérabilités pour parvenir à leurs fins. Elles peuvent être informatiques, organisationnelles ou physiques. Nous construirons nos scénarios opérationnels en nous basant sur les scénarios stratégiques de l’atelier 3 ainsi que la cartographie du système d’information.

La méthode EBIOS décompose la séquence de l’attaque en 4 phases qui sont : Connaître, Rentrer, Trouver et Exploiter. Elle préconise la création de graphes ou de schémas d’attaque pour représenter les scénarios, mais un simple tableau est tout à fait envisageable.

Les scénarios identifiés dans l’atelier 3 peuvent ainsi se décomposer de la sorte :

Scénario 1
Sources de risque	Objectifs visés
Hacktiviste	Saboter la production d’articles de mode car l’entreprise utilise des produits issus de l’exploitation animale
Séquence de l’attaque
Connaître...

Découvrez

le livre :

je lis la suite !

Aussi inclus dans nos :

Précédent

Atelier 3 : scénarios stratégiques

Suivant

Atelier 5 : traitement du risque