Chapitre 3
Mthode de management des risques
Norme ISO 27005
M2-SSICE
Hichem BEN ISHAK
�Norme ISO 27005
Norme 27005
Information technology Security techniques
Information security risk management
ISO 27005 - Dfinition
ISO 27005 - Mthode
�Norme ISO 27005
L'ISO (Organisation internationale de normalisation) a
publi, le 4 juin 2008, la premire norme de gestion des
risques de la Scurit des Systmes d'Information :
l'ISO/CEI 27005:2008. Cette norme est un standard
international qui dcrit le Systme de Management des
risques lis la Scurit de l'information
Elle a t rvise le 19 mai 2011.
�Norme ISO 27005
Le risque de scurit de linformation
La potentialit qu'une menace donne exploite
les vulnrabilits d'un actif ou d'un groupe
d'actifs et cause ainsi des dsagrments
lorganisme
�Norme ISO 27005
Les trois composantes du risque
1.
2.
3.
Les actifs
Les vulnrabilits
Les menaces
�Norme ISO 27005 - Actifs
Actifs primordiaux
Processus et Activit
Information
Actifs en supports
Matriel
Logiciel, OS
Rseau
Personnel
Communication
Energies
�Norme ISO 27005 - Vulnrabilits
Proprit intrinsque de lactif
Les actifs possdent des vulnrabilits
Elle est exploite (ou pas !)
�Norme ISO 27005 - Menaces
Action ou vnement ayant une consquence
ngative
Origine
Motivation (humaine)
Ciblent le CIA
�Norme ISO 27005 - Risque de scurit
Cible
Actif
Possde
Menace
exploite
Vulnrabilit
Consquences
ngatives
C
I
�Norme ISO 27005 - Risque de scurit
Jeu de Go
10
�Norme 27005
Norme ISO 27005
Mthode
11
�Norme ISO 27005
Exigences imposes
Processus continu
Approche systmatique
Alignement sur la gestion du risque en gnral
Permettre rsultats comparables et reproductibles
12
�Processus de gestion du risque
Etablissement du contexte
APPRECIATION DU RISQUE
ANALYSE DU RISQUE
Identification du risque
Estimation du risque
Evaluation du risque
Non
Dcision : Apprciation satisfaisante
Oui
Traitement du risque
Non
Dcision : Traitement satisfaisant
Oui
Acceptation du risque
13
�Processus de gestion du risque
ACT
Maintien et amlioration
du processus de gestion
des risques
CHECK
Surveillance continue
Rexamen des risques
PLAN
Etablissement du contexte
Apprciation des risques
Plan de traitement du risque
Acceptation du risque
DO
Implmentation du plan
de traitement du risque
14
�Processus de gestion du risque
Etablissement du contexte
APPRECIATION DU RISQUE
ANALYSE DU RISQUE
Identification du risque
Estimation du risque
Evaluation du risque
Non
Dcision : Apprciation satisfaisante
Oui
Traitement du risque
Non
Dcision : Traitement satisfaisant
Oui
Acceptation du risque
15
�Etablissement du contexte
Dfinir le primtre
Dfinir les critres de base
Critres dimpact
Critres dvaluation des risques
Critres dacceptation des risques
Critres de valorisation des actifs
Echelle destimation
16
�Processus de gestion du risque
Etablissement du contexte
APPRECIATION DU RISQUE
ANALYSE DU RISQUE
Identification du risque
Estimation du risque
Evaluation du risque
Non
Dcision : Apprciation satisfaisante
Oui
Traitement du risque
Non
Dcision : Traitement satisfaisant
Oui
Acceptation du risque
17
�Identification du risque
Apprciation du risque
Ensemble du processus danalyse du risque et dvaluation
du risque
Identification du risque
Estimation du risque
Evaluation du risque
Analyse du risque
Utilisation systmatique dinformations pour identifier les
sources et pour estimer le risque
Estimation du risque
Evaluation du risque
18
�Identification du risque
Phase de collecte dinformations
Mthodes
Identifier
Actifs
Menaces
Vulnrabilits
Mesures de scurit existantes
Consquences
19
�Identification du risque
Actifs et leur propritaire
Actifs primordiaux
Actifs en support
Valoriser les actifs suivant lchelle de valorisation
Livrable : liste des actifs avec leur propritaire et leur
valeur
20
�Identification du risque
Un exemple pour illustrer
Un Organisme de formation ayant pour activit
Crer les supports de cours
Donner les formations
2 salaris : le formateur et un assistant
Formation sur la norme ISO 27005
21
�Identification du risque - actif
Liste des actifs
Description
Nature
Propritaire
Actifs Primordiaux
AP - 1
Processus de formation
Processus
Formateur
AP - 2
Processus de cration du contenu
Processus
Formateur
AP - 3
Cours - Contenu
Information
Assistant
Actifs en Support
AS - 1
Salle de Formation
Site
Assistant
AS - 2
Vido Projecteur
Matriel
Assistant
AS - 3
Ordinateur
Matriel
Assistant
AS - 4
Formateur
Personnel
Formateur
AS - 5
Norme 2005
Matriel
Formateur
AS - 6
Norme 2001 & 2002
Matriel
Formateur
AS - 7
Microsoft PowerPoint
Logiciel
Assistant
AS - 8
Cours - Format numrique
Logiciel
Assistant
22
�Identification du risque - actif
Echelle de valorisation des actifs
Valeur
Signification
Cot achat
Faible
Faible
Moyen
Elev
Trs lev
moyen
dlai remplacement
lev
jour
semaine
> semaine
X
X
-
X
-
aucune
faible
forte
X
-
Comptence
X
X
23
�Identification du risque - actif
Liste des actifs valoriss
Description
Nature
Propritaire
Valeur
Actifs Primordiaux
AP - 1
Processus de formation
Processus
Formateur
AP - 2
Processus de cration du contenu
Processus
Formateur
AP - 3
Cours - Contenu
Information
Assistant
Actifs en Support
AS - 1
Salle de Formation
Site
Assistant
AS - 2
Vido Projecteur
Matriel
Assistant
AS - 3
Ordinateur
Matriel
Assistant
AS - 4
Formateur
Personnel
Formateur
AS - 5
Norme 2005
Matriel
Formateur
AS - 6
Norme 2001 & 2002
Matriel
Formateur
AS - 7
Microsoft PowerPoint
Logiciel
Assistant
AS - 8
Cours - Format numrique
Logiciel
Assistant
AS - 9
Assistant
Personnel
Assistant
24
�Identification du risque - actif
Liste des actifs retenus
Description
Nature
Propritaire
Valeur
Retenu
OUI
Actifs Primordiaux
AP - 1
Processus de formation
Processus
Formateur
AP - 2
Processus de cration du contenu
Processus
Formateur
AP - 3
Cours - Contenu
Information
Assistant
OUI
Actifs en Support
AS - 1
Salle de Formation
Site
Assistant
AS - 2
Vido Projecteur
Matriel
Assistant
AS - 3
Ordinateur
Matriel
Assistant
OUI
AS - 4
Formateur
Personnel
Formateur
OUI
AS - 5
Norme 2005
Matriel
Formateur
AS - 6
Norme 2001 & 2002
Matriel
Formateur
AS - 7
Microsoft PowerPoint
Logiciel
Assistant
AS - 8
Cours - Format numrique
Logiciel
Assistant
AS - 9
Assistant
Personnel
Assistant
OUI
25
�Identification du risque - menace
Toutes les menaces
Accidentelles
Dlibres
Par type, source, cible
Mthode
Interview
Exprience
Annexe C de la norme 43 menaces
Livrable : liste des menaces
26
�Identification du risque - menace
Liste des actifs
Description
Nature
Propritaire
Valeur
Retenu
OUI
Menace
Actifs Primordiaux
AP - 1
Processus de formation
Processus
Formateur
AP - 2
Processus de cration du contenu
Processus
Formateur
AP - 3
Cours - Contenu
Information
Assistant
OUI
Actifs en Support
AS - 1
Salle de Formation
Site
Assistant
AS - 2
Vido Projecteur
Matriel
Assistant
AS - 3
Ordinateur
Matriel
Assistant
OUI
Vol
Panne
AS - 4
Formateur
Personnel
Formateur
OUI
Maladie
Dmission
AS - 5
Norme 2005
Matriel
Formateur
AS - 6
Norme 2001 & 2002
Matriel
Formateur
AS - 7
Microsoft PowerPoint
Logiciel
Assistant
AS - 8
Cours - Format numrique
Logiciel
Assistant
AS - 9
Assistant
Personnel
Assistant
Destruction
27
�Identification du risque - vulnrabilit
Mthode
Catalogue ISO 27005 Annexe D
Audit
Contrle Interne
Interview
Exprience
Autre mthode : EBIOS,
Livrable : liste des vulnrabilits
28
�Identification du risque - vulnrabilit
Liste des actifs
Description
Nature
Propritaire
Valeur
Retenu
OUI
Menace
Vulnrabilit
Actifs Primordiaux
AP - 1
Processus de formation
Processus
Formateur
AP - 2
Processus de cration du contenu
Processus
Formateur
AP - 3
Cours - Contenu
Information
Assistant
OUI
Actifs en Support
AS - 1
Salle de Formation
Site
Assistant
AS - 2
Vido Projecteur
Matriel
Assistant
AS - 3
Ordinateur
Matriel
Assistant
AS - 4
Formateur
Personnel
Formateur
AS - 5
Norme 2005
Matriel
Formateur
AS - 6
Norme 2001 & 2002
Matriel
Formateur
AS - 7
Microsoft PowerPoint
Logiciel
Assistant
AS - 8
Cours - Format numrique
Logiciel
Assistant
AS - 9
Assistant
Personnel
Assistant
OUI
OUI
Vol
Portabilit
Panne
Alimentation lec.
Maladie
Manque de prvenance
Dmission
Ambition
Destruction
Support numrique
29
�Identification du risque - scnario
Identification des consquences
Identifier les impacts sur CIA
Confidentialit, Intgrit, Disponibilit (Availability)
Identifier les consquences causes par des menaces
exploitant les vulnrabilits des actifs.
Impact mesur suivant les critres dimpact
30
�Identification du risque
Identification des consquences
Pour une bonne communication et comprhension
Scnario dincident
Tableau de synthse : scnario dincident
Actifs impacts
Consquence de loccurrence
Livrable : liste des scenarios dincidents avec leur
consquence
31
�Identification du risque
N
Actif impact
AP - 1
Processus de formation
Perte financire modre
AP -2
Processus de cration du contenu
Perte d'image trs importante
AP -3
Cours - Contenu
AS - 3
Ordinateur
AS - 8
Cours - Format numrique
AP - 1
Processus de formation
Perte financire modre
AP -2
Processus de cration du contenu
Perte d'image nulle
AP -3
Cours - Contenu
AS - 3
Ordinateur
AS - 8
Cours - Format numrique
AP -1
Processus de formation
AP -2
Processus de cration du contenu
AS - 3
Ordinateur
Perte de productivit nulle
AP - 1
Processus de formation
Perte financire nulle
AP - 3
Cours - Contenu
AS - 8
Cours - Format numrique
Perte de productivit modre
AP -1
Processus de formation
Perte financire modre
AP -3
Cours - Contenu
AS - 8
Cours - Format numrique
AP - 1
Processus de formation
AS - 4
Formateur
Scnario d'incident
Vol de l'ordinateur
du sa portabilit
Destruction de l'ordinateur
du sa portabilit
L'ordinateur ne s'allume
- dcharge totale des batteries
Connexion frauduleuse
altration
du support de cours
Connexion frauduleuse vol
du support par la concurrence
Formateur contracte la grippe
M
a
x
Som
me
Consquence
Perte de productivit modre
Perte de productivit modre
Perte financire nulle
Perte d'image nulle
Perte d'image trs importante
Perte d'image trs importante
Perte de productivit modre
Perte financire modre
Perte d'image nulle
Perte de productivit modre
Le formateur est approch
par la concurrence et
dmissionne
AP - 1
Processus de formation
AS - 4
Formateur
Perte financire importante
Perte d'image trs importante
Perte de productivit modre
32
�Identification du risque - mesures existantes
Identification les mesures de scurit existantes
Revue du plan de traitement du risque dj en uvre
Vrification de lefficacit des mesures
Audit, contrle interne, indicateurs
Interview du SI
Vrification sur le terrain
Le SOA, source dinformations
Statement of applicatibility
Dclaration dapplicatibilit
33
�Identification du risque - mesures existantes
N
Scnario d'incident
Vol de l'ordinateur
du sa portabilit
Destruction de l'ordinateur
du sa portabilit
L'ordinateur ne s'allume
- dcharge totale des batteries
Connexion frauduleuse
altration
du support de cours
Connexion frauduleuse vol
du support par la concurrence
Formateur contracte la grippe
Actif impact
Som
me
M
a
x
Consquence
AP - 1
Processus de formation
Perte financire modre
AP -2
Processus de cration du contenu
Perte d'image trs importante
AP -3
Cours - Contenu
AS - 3
Ordinateur
AS - 8
Cours - Format numrique
AP - 1
Processus de formation
Perte financire modre
AP -2
Processus de cration du contenu
Perte d'image nulle
AP -3
Cours - Contenu
AS - 3
Ordinateur
AS - 8
Cours - Format numrique
AP -1
Processus de formation
AP -2
Processus de cration du contenu
AS - 3
Ordinateur
Perte de productivit nulle
AP -1
Processus de formation
Perte financire nulle
AP -3
Cours - Contenu
AS -8
Cours - Format numrique
Perte de productivit modre
AP -1
Processus de formation
Perte financire modre
AP -3
Cours - Contenu
AS - 8
Cours - Format numrique
AP - 1
Processus de formation
AS - 4
Formateur
Mes. Sc.
Perte de productivit modre
Perte de productivit modre
Perte financire nulle
Perte d'image nulle
Perte d'image trs importante
Perte d'image trs importante
identifiant
mot de passe
identifiant
mot de passe
Perte de productivit modre
Perte financire modre
Perte d'image nulle
Perte de productivit modre
Le formateur est approch
par la concurrence et
dmissionne
AP - 1
Processus de formation
AS - 4
Formateur
Perte financire importante
Perte d'image trs importante
Perte de productivit modre
34
�Processus de gestion du risque
Etablissement du contexte
APPRECIATION DU RISQUE
ANALYSE DU RISQUE
Identification du risque
Estimation du risque
Evaluation du risque
Non
Dcision : Apprciation satisfaisante
Oui
Traitement du risque
Non
Dcision : Traitement satisfaisant
Oui
Acceptation du risque
35
�Estimation du risque
Mthode destimation des risques
Qualitative
Quantitative
36
�Estimation du risque
Qualitative
Echelle de valeur : apprciation
Faible, moyen, lev
Cout difficilement mesurable
perte de part de march, de confiance des
clients, dimage de marque
Facile comprendre mais subjectif
Quantitative
Echelle de valeur numrique.
Cots mesurables : cot dachat, de maintenance,
perte de CA
Livrable : liste des scenarios dincidents avec leur
consquence
37
�Estimation du risque - consquences
Valeur
N.
Scnario d'incident
Vol de l'ordinateur
du sa portabilit
Destruction de l'ordinateur
du sa portabilit
L'ordinateur ne s'allume
- dcharge totale des
batteries
Connexion frauduleuse
altration
du support de cours
Connexion frauduleuse vol
du support par la
concurrence
Formateur contracte la grippe
Le formateur est approch
par la concurrence et
dmissionne
Actif impact
Somme
Max
Consquence
Mesure scurit
Consquenc
e
AP - 1
Processus de formation
Perte financire modre
AP -2
Processus de cration du contenu
Perte d'image trs importante
AP -3
Cours - Contenu
Perte de productivit modre
AS - 3
Ordinateur
AS - 8
Cours - Format numrique
AP - 1
Processus de formation
Perte financire modre
AP -2
Processus de cration du contenu
Perte d'image nulle
AP -3
Cours - Contenu
Perte de productivit modre
AS - 3
Ordinateur
AS - 8
Cours - Format numrique
AP - 1
Processus de formation
Perte financire nulle
AP - 2
Processus de cration du contenu
Perte d'image nulle
AS - 3
Ordinateur
Perte de productivit nulle
AP -1
Processus de formation
Perte financire nulle
AP -3
Cours - Contenu
AS -8
Cours - Format numrique
Perte de productivit modre
AP -1
Processus de formation
Perte financire modre
AP -3
Cours - Contenu
AS -8
Cours - Format numrique
AP - 1
Processus de formation
AS - 4
Formateur
AP - 1
Processus de formation
AS - 4
Formateur
Perte d'image trs importante
Perte d'image trs importante
identifiant / mot
de passe
3
2
2
identifiant / mot
de passe
Perte de productivit modre
Perte financire modre
Perte d'image nulle
Perte de productivit modre
Perte financire importante
Perte d'image trs importante
Perte de productivit modre
38
�Estimation du risque - vraisemblance
Estimation de la vraisemblance des scnarios
Echelle quantitative de 1 N
1 peu probable
Mthode
Entretien avec les mtiers
Exprience
Bon sens
39
�Estimation du risque - vraisemblance
Valeur
N.
Scnario d'incident
Vol de l'ordinateur
du sa portabilit
Destruction de l'ordinateur
du sa portabilit
L'ordinateur ne s'allume
- dcharge totale des
batteries
Connexion frauduleuse
altration
du support de cours
Connexion frauduleuse vol
du support par la
concurrence
Formateur contracte la grippe
Le formateur est approch
par la concurrence et
dmissionne
Actif impact
Somme
Max
Consquence
Mes. Sc.
Perte financire modre
Consquenc
e
AP - 1
Processus de formation
AP - 2
Processus de cration du contenu
Perte d'image trs importante
AP - 3
Cours - Contenu
Perte de productivit modre
AS - 3
Ordinateur
AS - 8
Cours - Format numrique
AP - 1
Processus de formation
Perte financire modre
AP - 2
Processus de cration du contenu
Perte d'image nulle
AP - 3
Cours - Contenu
Perte de productivit modre
AS - 3
Ordinateur
AS - 8
Cours - Format numrique
AP - 1
Processus de formation
Perte financire nulle
AP - 2
Processus de cration du contenu
Perte d'image nulle
AS - 3
Ordinateur
Perte de productivit nulle
AP - 1
Processus de formation
Perte financire nulle
AP - 3
Cours - Contenu
AS - 8
Cours - Format numrique
Perte de productivit modre
AP - 1
Processus de formation
Perte financire modre
AP - 3
Cours - Contenu
AS - 8
Cours - Format numrique
AP - 1
Processus de formation
AS - 4
Formateur
AP - 1
Processus de formation
AS - 4
Formateur
Perte d'image trs importante
Perte d'image trs importante
Perte de productivit modre
Vrais.
identifiant
mot de
passe
identifiant
mot de
passe
1
3
2
2
3
Perte financire modre
Perte d'image nulle
Perte de productivit modre
Perte financire importante
Perte d'image trs importante
Perte de productivit modre
40
�Estimation du risque - Valeur de risque
Valeur de risque du scnario
=
Impact sur CIA * vraisemblance
41
�Estimation du risque - niveau de risque
N
Scnario d'incident
Vol de l'ordinateur
du sa portabilit
Destruction de l'ordinateur
du sa portabilit
L'ordinateur ne s'allume
- dcharge totale des
batteries
Connexion frauduleuse
altration
du support de cours
Connexion frauduleuse vol
du support par la concurrence
Formateur contracte la grippe
Le formateur est approch
par la concurrence et
dmissionne
Actif impact
Som
me
M
a
x
Valeur
Consquence
Mes. Sc.
Consquenc
e
AP - 1
Processus de formation
Perte financire modre
AP - 2
Processus de cration du contenu
Perte d'image trs importante
AP - 3
Cours - Contenu
Perte de productivit modre
AS - 3
Ordinateur
AS - 8
Cours - Format numrique
AP - 1
Processus de formation
Perte financire modre
AP - 2
Processus de cration du contenu
Perte d'image nulle
AP - 3
Cours - Contenu
Perte de productivit modre
AS - 3
Ordinateur
AS - 8
Cours - Format numrique
AP - 1
Processus de formation
Perte financire nulle
AP - 2
Processus de cration du contenu
Perte d'image nulle
AS - 3
Ordinateur
Perte de productivit nulle
AP - 1
Processus de formation
Perte financire nulle
AP - 3
Cours - Contenu
AS - 8
Cours - Format numrique
Perte de productivit modre
AP - 1
Processus de formation
Perte financire modre
AP - 3
Cours - Contenu
AS - 8
Cours - Format numrique
AP - 1
Processus de formation
AS - 4
Formateur
AP - 1
Processus de formation
AS - 4
Formateur
Perte d'image trs importante
Perte d'image trs importante
Perte de productivit modre
identifiant
mot de
passe
identifiant
mot de
passe
Niv
Vra
is.
Ris
q.
16
12
15
18
1
3
2
2
3
2
Perte financire modre
Perte d'image nulle
Perte de productivit modre
Perte financire importante
Perte d'image trs importante
Perte de productivit modre
42
�Processus de gestion du risque
Etablissement du contexte
APPRECIATION DU RISQUE
ANALYSE DU RISQUE
Identification du risque
Estimation du risque
Evaluation du risque
Non
Dcision : Apprciation satisfaisante
Oui
Traitement du risque
Non
Dcision : Traitement satisfaisant
Oui
Acceptation du risque
43
�Evaluation du risque
Evaluation du risque
Processus de comparaison du risque estim avec des
critres de risque donns pour en dterminer limportance
Je compare la valeur de risque des scnarios avec les
critres tablis lors de ltablissement du contexte
Une plage 1..n
= jaccepte
Une plage .
= traiter non urgent
= traiter en priorit
Une plage > X
44
�Evaluation du risque
N
Scnario d'incident
Vol de l'ordinateur
du sa portabilit
Destruction de l'ordinateur
du sa portabilit
L'ordinateur ne s'allume
- dcharge totale des
batteries
Connexion frauduleuse
altration
du support de cours
Connexion frauduleuse vol
du support par la
concurrence
Formateur contracte la grippe
Le formateur est approch
par la concurrence et
dmissionne
Actif impact
Som
me
M
a
x
Valeur
Consquence
Mes. Sc.
Consquenc
e
AP - 1
Processus de formation
Perte financire modre
AP -2
Processus de cration du contenu
Perte d'image trs importante
AP -3
Cours - Contenu
Perte de productivit modre
AS - 3
Ordinateur
AS - 8
Cours - Format numrique
AP - 1
Processus de formation
Perte financire modre
AP -2
Processus de cration du contenu
Perte d'image nulle
AP -3
Cours - Contenu
Perte de productivit modre
AS - 3
Ordinateur
AS - 8
Cours - Format numrique
AP - 1
Processus de formation
Perte financire nulle
AP - 2
Processus de cration du contenu
Perte d'image nulle
AS - 3
Ordinateur
Perte de productivit nulle
AP - 1
Processus de formation
Perte financire nulle
AP - 3
Cours - Contenu
AS - 8
Cours - Format numrique
Perte de productivit modre
AP - 1
Processus de formation
Perte financire modre
AP - 3
Cours - Contenu
AS - 8
Cours - Format numrique
AP - 1
Processus de formation
AS - 4
Formateur
AP - 1
Processus de formation
AS - 4
Formateur
Perte d'image trs importante
Perte d'image trs importante
Perte de productivit modre
identifiant
mot de
passe
identifiant
mot de
passe
Niv
Vra
is.
Ris
q.
16
12
15
18
1
3
2
2
3
2
Perte financire modre
Perte d'image nulle
Perte de productivit modre
Perte financire importante
Perte d'image trs importante
Perte de productivit modre
45
�Processus de gestion du risque
Etablissement du contexte
APPRECIATION DU RISQUE
ANALYSE DU RISQUE
Identification du risque
Estimation du risque
Evaluation du risque
Non
Dcision : Apprciation satisfaisante
Oui
Traitement du risque
Non
Dcision : Traitement satisfaisant
Oui
Acceptation du risque
46
�Traitement du risque
Traitement du risque
processus de slection et de mise en uvre
des mesures visant diminuer le risque
47
�Traitement du risque
Options de traitement du risque
Rduction
du risque
Refus
du risque
Maintien
du risque
Transfert
du risque
48
�Traitement du risque
Rduction
Rduire le niveau de risque
Mesures de scurit
Niveau acceptable
49
�Traitement du risque
Contraintes multiples
Temps
Financires
Techniques
Culturelles
Ethiques
Environnementales
Lgales
50
�Traitement du risque
Maintien - Risk retention
Dcision de ne prendre aucune action face au risque
Condition
Le niveau de risque respecte les critres
dacceptation.
51
�Traitement du risque
Refus - Risk avoidance
Lactivit ou la situation qui engendre le risque est
tout simplement limine
52
�Traitement du risque
Transfert - Risk Transfer
Transfert du risque un tiers qui pourra grer le
risque de manire plus efficiente.
53
�Traitement du risque
Options de traitement risque
Rduction
du risque
Refus
du risque
Maintien
du risque
Transfert
du risque
Risques rsiduels
Traitement
satisfaisant
54
�Processus de gestion du risque
Etablissement du contexte
APPRECIATION DU RISQUE
ANALYSE DU RISQUE
Identification du risque
Estimation du risque
Evaluation du risque
Non
Dcision : Apprciation satisfaisante
Oui
Traitement du risque
Non
Dcision : Traitement satisfaisant
Oui
Acceptation du risque
55
�Acceptation du risque
Acceptation par le management du risque rsiduel
Enregistrement formel
Livrable
Liste des risques accepts avec justification pour les
risques ne respectant pas les critres dacceptation
56
�Processus de gestion du risque
Etablissement du contexte
APPRECIATION DU RISQUE
ANALYSE DU RISQUE
Identification du risque
Estimation du risque
Evaluation du risque
Non
Dcision : Apprciation satisfaisante
Oui
Traitement du risque
Non
Dcision : Traitement satisfaisant
Oui
Acceptation du risque
57
�Communication du risque
Echange - bidirectionnelle
Dcisionnaires
Stakeholders - parties prenantes (# shareholders)
Objectifs
Comprhension
Information
Sensibilisation
Implication
58
�Processus de gestion du risque
Etablissement du contexte
APPRECIATION DU RISQUE
ANALYSE DU RISQUE
Identification du risque
Estimation du risque
Evaluation du risque
Non
Dcision : Apprciation satisfaisante
Oui
Traitement du risque
Non
Dcision : Traitement satisfaisant
Oui
Acceptation du risque
59
�Surveillance et rexamen
Des facteurs de risques (nouveaux!)
Actifs
Nouveaux actifs
Obsolescence, disparition dactifs
vulnrabilit
menace
vraisemblance
impact
60
�Surveillance et rexamen
Surveillance du processus de gestion du risque
Critres dvaluation
Critres dacceptation
Critres dimpact
Concurrence
Contexte lgal
Contexte environnemental
61
�Surveillance et rexamen
Revue de risque
Capitaliser, leons apprises
Dtecter les changements et volutions
Observer, consigner
Mesurer lavancement de la mise en uvre
des plans (PDCA)
62
�Processus de gestion du risque
Etablissement du contexte
APPRECIATION DU RISQUE
ANALYSE DU RISQUE
Identification du risque
Estimation du risque
Evaluation du risque
Non
Dcision : Apprciation satisfaisante
Oui
Traitement du risque
Non
Dcision : Traitement satisfaisant
Oui
Acceptation du risque
63
�La norme ISO 27005
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
Primtre
Rfrences normatives
Dfinitions
Structure de la norme
Obligation
Processus
Contexte
Evaluation
Traitement
Acceptation
Communication
Surveillance et revue
64
�Processus de gestion du risque
11
Etablissement du contexte
12
APPRECIATION DU RISQUE
ANALYSE DU RISQUE
Identification du risque
8.2.1
Estimation du risque
8.2.2
Evaluation du risque
8.3
Non
Dcision : Apprciation satisfaisante
Oui
Traitement du risque
Non
Dcision : Traitement satisfaisant
Oui
Acceptation du risque
10
65
�Annexes
Exemples de :
Echelle de valorisation des actifs
Critre dimpact
Echelle de mesure des consquences
Critres dvaluation des risques
Critres dacceptation des risques
66
�67
�68
�69
�70
�71
�Merci de votre attention
72
