1 – Quels risques pour quels objectifs ?

Le risque SSI

• Synthèse des dernières enquêtes sur la situation de la gestion du risque informatique
• Les nouvelles menaces, les vulnérabilités prédominantes
• Les cybermenaces, les nouveaux risques sur la mobilité et le Cloud : état des lieux
• Rappel des prérequis réglementaires et normatifs (NIS 2, ISO 27001, PCI-DSS, RGPD, LPM…)
• Identification et classification des risques : risques opérationnels, physiques/logiques

À la recherche d’une méthodologie universelle

• Introduction à la norme ISO 31000 – Management du Risque. Principes et lignes directrices
• Techniques d’évaluation des risques via la norme ISO/CEI 31010
• L’estimation des conséquences d’un risque SSI (financier, juridique, humain, métier, etc.)
• Alignement des processus ISO 27005 avec l’ISO 31000
• Comment tendre vers une méthodologie commune à tous les types de risques ?
• Quel lien établir entre la SSI, le management, la direction des risques ?
• Le traitement type du risque (prévention, protection, évitement, partage)
• Le lien ISO 27005 avec les normes ISO 27002 et 27001

Une Task Force « risque » opérationnelle

• • Le rôle des métiers et des propriétaires d’actifs ; l’implication nécessaire de la DSI
• • L’assurabilité d’un risque, les principaux risques partageables ou assurables
• • Les rôles complémentaires du RSSI et du Risk Manager

2 – Le cadre méthodologique ISO 27005:2022

Intérêts et limites de l’approche normative

• Aide à mieux gérer les risques dans le domaine de la sécurité de l’information
• Adaptabilité à toutes les organisations de tous types
• Description d’un processus de Management des Risques Cyber compatible avec une gestion des risques IT
• L’ISO 27005 comme support « par défaut » à la construction d’un SMSI ISO 27001 :2022
• Le management des risques SSI en appui des objectifs de gouvernance de la sécurité

L’essentiel de la norme

• Les sections « centrales » (appréciation et traitement) de la gestion des risques (sections 7 et 8)
• Les bases de connaissances en annexe . Comment bien les utiliser ?
• Le référentiel de bonnes pratiques ISO 27002 :2022 ; rappel des domaines de sécurité pour la réduction des risques
• La valeur ajoutée réelle de la norme par rapport aux méthodes publiées ou propriétaires
• Objectifs et domaine d’application ; l’implication nécessaire des métiers : libre choix ou contraintes réglementaires ?
• L’identification des besoins de sécurité : disponibilité, intégrité et confidentialité avec les propriétaires d’actifs
• Identification des contraintes internes et externes ; les parties prenantes et intéressées
• Identification des réglementations métier, le contexte juridique, les clauses contractuelles
• La mise en œuvre d’un processus PDCA de management des risques

Les phases clés du Management du Risque

• Les étapes clés de l’analyse de risques (contexte, appréciation, traitement, acceptation, surveillance et revue)
• Bien encadrer les parties prenantes : responsables métier, expert IT, chef de projet informatique, expert SSI
• Comment identifier les actifs primordiaux, liens avec les actifs en support
• Partir du risque « brut » intrinsèque pour atteindre le risque résiduel acceptable
• L’élaboration du plan de traitement des risques à partir de la norme actuelle ISO 27002 :2022
• Du bon usage de l’attribut “type de mesure de sécurité” et ses valeurs “préventive, détective, corrective”
• L’apport de la nouvelle ISO 27002:2022 : la “Cyber Threat Intelligence” indispensable
• Les techniques d’évaluation : calcul de vraisemblance menace / conséquence incident et facilité d’exploitation vulnérabilité
• Choisir sa formule d’estimation de valeur de risques (calcul mathématique ou calcul matriciel bi ou tridimensionnel)
• Identifier le type de traitement des risques optimal : entre réduction et partage
• Les cas particuliers du maintien et/ou refus du risque

La construction d’un processus dans le temps

• Une approche itérative de l’élaboration du plan de traitement à la surveillance des risques
• La communication vers les parties prenantes et la sensibilisation des managers
• La revue / réexamen : comment surveiller efficacement ses risques ?
• La gestion des incidents, l’évaluation des conséquences et le reporting indispensable
• La réappréciation des risques (les entrées / sorties du processus)
• Comment s’enrichir des événements du passé pour mieux réduire les risques du futur ?
• Intégrer son management des risques dans un processus PDCA type SMSI

3 – Les méthodes d’analyse de risques : exemple avec EBIOS RM

La méthode EBIOS Risk Manager

• Pourquoi un nouvel EBIOS ? Analyse en profondeur du risque ciblé cyber, le risque Advanced Persistant Threat
• La cyber kill chain comme base de description : exemple type Loockeed Martin
• Le portrait-robot d’une attaque ciblée selon l’ANSSI. : les phases du processus (Connaitre, Rentrer, Trouver, Exploiter)
• L’identification des chemins d’attaques directs et indirects. Prise en compte des menaces intentionnelles sophistiquées de type APT
• Approche par conformité versus approche par scénarios de risques
• Appréciation de son écosystème et des parties prenantes critiques
• Contribution d’EBIOS RM aux objectifs de sécurité de la LPM eyt/ou de la directive NISv2
• Atelier 1 et 2. Le contexte de l’étude et les sources de risques
• Implication des métiers dans l’identification et valorisation des valeurs métiers et des impacts ressentis
• Détermination du socle de sécurité et des écarts – identification des règlements de sécurité applicables
• Détermination des sources de risques et objectifs d’attaques visés
• Atelier 3 et 4 La construction des scénarios stratégiques puis opérationnels
• La construction la cartographie de menace numérique de l’écosystème dans le contexte cyber
• Elaboration d’une méthode de calcul de la « dangerosité » des parties prenantes critiques
• Quels scénarios vus des métiers puis vus de la technique ? Quels chemins d’attaques directs et indirects décrire ?
• Comment calculer les vraisemblances des scénarios : de la méthode expresse à la méthode avancée
• Atelier 5. Traitement du risque :
• Quels risques considérer comme inacceptables dans le contexte ?
• Les mesures de sécurité techniques (protection, défense) et organisationnelles (gouvernance, résilience)
• Le choix d’un logiciel certifié ANSSI ( EGERIE, AGILE RM, …)

4 – Choisir ou construire sa méthode ?

• Comment choisir la meilleure méthode sur la base d’exemples et études de cas pratiques ?
• À la recherche d’une méthode à géométrie variable adaptable à tous les projets de sécurité et tout type de domaine d’application
• Élaborer ses propres bases de connaissances (menaces, vulnérabilités, risques, actifs, échelles DIC, vraisemblance / conséquences, etc.)
• Concevoir une méthodologie dans le temps avec un processus de révision efficace et pragmatique

Ce programme a été mis à jour le 9 décembre 2024.