Olivier Pietquin « Il y a bien des manières de ne pas réussir, mais la plus sûre est de ne jamais prendre de risques. » Benjamin Franklin Le risque … Définitions Larousse : Possibilité, probabilité d'un fait, d'un événement considéré comme un mal ou un dommage : Les risques de guerre augmentent. Danger, inconvénient plus ou moins probable auquel on est exposé : Courir le risque d'un échec. Un pilote qui prend trop de risques. Fait de s'engager dans une action qui pourrait apporter un avantage, mais qui comporte l'éventualité d'un danger : Avoir le goût du risque. Préjudice, sinistre éventuel que les compagnies d'assurance garantissent moyennant le paiement d'une prime. Le risque … Définitions Le risque est donc la combinaison : d’un aléa d’un enjeu Aléa : les conséquences de nos actions ne sont pas déterministes (pas prévisibles à 100%) Enjeu : il existe un potentiel de gain ou de perte Exemples Jeu Aléa : le jeu contient une part de hasard, peut‐être due à la réaction de l’adversaire Enjeu : gain/perte d’argent, amusement/agacement, amélioration/dégradation du classement Assurances Aléa : catastrophe naturelle, accidents de la route, maladies Enjeu : gain/perte des primes d’assurance Formellement Risque mathématique Aléa : Probabilité d’un évènement Enjeu : Coût associée à un événement : Risque : Espérance du coût ! (valeur moyenne) Un peu d’histoire Théorie de l’Utilité Christian Huyghens, 1657 : De la logique du jeu de dés Daniel Bernouilli , 1738: Economie et probabilité La société du risque • Quels risques sommes nous prêts à prendre • Quels risques assurer • Besoin de quantifier le risque • Une question sociologique • http://www.risques.gouv.fr/ Ulrich Beck, 1986 : la société du risque Normes ISO Guide 73 : Vocabulaire du management du risque http://www.iso.org/iso/fr/catalogue_detail?csnumber=44651 Risque : « Effet de l’incertitude sur les objectifs » Analyse du risque : « Processus mis en œuvre pour comprendre la nature d'un risque et pour déterminer le niveau de risque » L'analyse du risque fournit la base de l'évaluation du risque et les décisions relatives au traitement du risque Traitement du risque : Processus destiné à modifier un risque Traitement du risque ? Modifier le coût associé à un risque Modifier la probabilité d’apparition d’un événement Normes ISO 31000 : Management du risque ‐‐ Principes et lignes directrices http://www.iso.org/iso/fr/home/store/catalogue_tc/cat alogue_detail.htm?csnumber=43170 Management du risque : « Activités coordonnées dans le but de diriger et piloter un organisme vis‐à‐vis du risque » Indépendant de l’entreprise, du secteur d’activité, du public ! Risques et Systèmes d’information Enjeux Intégrité des données Confidentialité Disponibilité des données Non‐répudiation et l'imputation des données Authentification Coûts Image de l’entreprise Aléas Matériels (pannes, vol, saturation) Logiciels (bugs, failles, émissions de faux) Humains (attaques, mauvaises utilisations, écoutes, usurpation) Une Préoccupation Générale ANSSI : http://www.ssi.gouv.fr/ Portail de la sécurité informatique http://www.secinfo.gouv.fr/index.html Vigipirate http://www.risques.gouv.fr/menaces‐majeures/menaces‐ terroristes/plan‐vigipirate ENISA : http://www.enisa.europa.eu/ OTAN : http://www.nato.int/cps/fr/SID‐AA767367‐ 9A13E9F0/natolive/75747.htm Normes ISO 270xx Normes ISO 27000 : Technologies de l'information ‐‐ Techniques de sécurité ‐‐ Systèmes de management de la sécurité de l'information ‐‐ Vue d'ensemble et vocabulaire http://www.iso.org/iso/fr/catalogue_detail?csnumber=41933 Risque : « Combinaison de la probabilité d'un événement et de ses conséquences » Risque lié à la sécurité de l'information : « Possibilité qu'une menace exploite une vulnérabilité d'un actif ou d'un groupe d'actifs et nuise donc à l'organisation » Actif : « Tout élément représentant de la valeur pour l'organisation » Normes ISO 27001 : Technologies de l'information ‐‐ Techniques de sécurité ‐‐ Systèmes de management de la sécurité de l'information – Exigences Processus qualité PDCA : Norme certifiante ! Normes ISO 27001: Normes ISO 27001: Plan Définir la politique et le périmètre du SMSI Pas d’obligation, propre à l’entreprise Identifier et évaluer les risques liés à la sécurité et élaborer la politique de sécurité Identifier les actifs, les personnes responsables, les vulnérabilités, les menaces et les impacts Estimer la vraisemblance et les niveaux de risque Traiter le risque et identifier le risque résiduel par un plan de gestion Accepter, éviter, transférer, réduire Choisir les mesures de sécurité à mettre en place Contrôle d’accès, crypto etc. Normes ISO 27001: Do Déployer les mesures de sécurité Générer des indicateurs De performance pour savoir si les mesures de sécurité sont efficaces De conformité qui permettent de savoir si le SMSI est conforme à ses spécifications Former et sensibiliser le personnel Normes ISO 27001: Check Audit permanent du système Audit de performance Audit de conformité Remise en cause ISO 27001: Act Réagir aux incidents détectés lors du Check Actions Correctives Actions Préventives Action d’amélioration Mise en place En pratique, il existe des méthodes « prêtes à l’emploi » EBIOS MEHARI OCTAVE