Présentation

Article

1 - SÉCURITÉ, UNE EXIGENCE POUR L'INFORMATION

2 - RÉFÉRENTIELS NORMATIFS APPLICABLES

3 - ORGANISATION DES DOSSIERS

4 - INSTANCES (RAPPEL)

5 - CONCEPTS (VOCABULAIRE)

6 - SÉRIE ISO/CEI 27000

  • 6.1 - Structure normative

7 - NORME ISO 27001

  • 7.1 - Contexte
  • 7.2 - Structure normative
  • 7.3 - SMSI
  • 7.4 - Documentation
  • 7.5 - Responsabilité de la direction
  • 7.6 - Audits internes du SMSI
  • 7.7 - Revue de direction du SMSI
  • 7.8 - Amélioration du SMSI

8 - DÉCLARATION D'APPLICABILITÉ

  • 8.1 - Annexe normative
  • 8.2 - Thèmes sécurité imposés
  • 8.3 - Comment y répondre ?

9 - NORME ISO 27002

10 - RECENSER LES ACTIFS

11 - RECENSER LES RISQUES

12 - ANALYSER ET ÉVALUER LES RISQUES

13 - TRAITER LES RISQUES

  • 13.1 - Traiter les risques
  • 13.2 - Approuver les risques résiduels

14 - INCIDENTS DE SÉCURITÉ

  • 14.1 - Méthodes pour les risques ?

15 - CONCLUSION

| Réf : H5070 v1

Analyser et évaluer les risques
Référentiels normatifs. Sécurité de l'information

Auteur(s) : Claude PINET

Date de publication : 10 août 2012

Pour explorer cet article
Télécharger l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !

Sommaire

Présentation

Auteur(s)

  • Claude PINET : Ingénieur diplômé du Conservatoire national des arts et métiers (CNAM) - Ingénieur européen EUR ING® - Auditeur qualité certifié IRCA (International Register of Certificated Auditors) n 1182803 - Directeur CPI CONSEIL

Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.

Lire l’article

INTRODUCTION

L'information constitue un capital très important pour tout organisme. Elle représente une ressource vitale pour exercer des activités. À ce titre, l'information nécessite la mise en place et la gestion d'une protection adaptée.

La sécurité de l'information a pour objectif de protéger l'information contre de nombreuses menaces qui pèsent sur la dégradation ou l'interruption de la continuité de l'activité de l'organisme. Des mesures doivent être définies, mises en œuvre, suivies, réexaminées et améliorées afin d'atteindre un certain nombre d'objectifs dédiés à la sécurité.

Des processus particuliers doivent être définis et déployés pour y parvenir. Toutefois, ces derniers doivent s'intégrer harmonieusement avec les autres processus dans le cadre du système de management global de l'organisme.

Afin de préciser les exigences de sécurité relatives à l'information, un référentiel normatif a été élaboré. Bien évidemment, il est applicable aux différents systèmes qui traitent l'information.

Cet article est réservé aux abonnés.
Il vous reste 93% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

VERSIONS

Il existe d'autres versions de cet article :

DOI (Digital Object Identifier)

https://doi.org/10.51257/a-v1-h5070


Cet article fait partie de l’offre

Technologies logicielles Architectures des systèmes

(240 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS

Lecture en cours
Présentation

12. Analyser et évaluer les risques

L'analyse de l'importance d'un risque consiste à :

  • évaluer son impact ou sa gravité (les conséquences) ;

  • évaluer sa probabilité (la fréquence d'apparition) ;

  • et combiner ces deux valeurs pour déterminer la criticité de ce risque.

La définition de la norme FD X 5O-117 de criticité est la suivante : c'est le niveau d'importance d'un risque résultant de la combinaison des caractéristiques quantifiées du risque, à savoir sa gravité, sa probabilité d'apparition et/ou sa probabilité de détection.

12.1 Évaluer l'impact d'un risque (gravité)

Pour chaque couple de défaillance menace-vulnérabilité, les conséquences d'un défaut ou d'une perte doivent être évaluées. Le niveau des impacts doit être apprécié pour chacun des trois facteurs : disponibilité, intégrité et confidentialité des actifs. L'évaluation de ces conséquences détermine la gravité.

La définition de la norme FD X 5O-117 de gravité est la suivante : c'est l'ampleur des conséquences de l'événement redouté sur un actif.

Le tableau 4 propose un exemple d'échelle d'impact (gravité).

HAUT DE PAGE

12.2 Évaluer la probabilité d'apparition d'un risque (fréquence)

Pour chaque couple de défaillance menace-vulnérabilité, la probabilité d'apparition d'un défaut ou d'une perte doit être évaluée. Le niveau de cette fréquence d'exposition doit être apprécié pour chacun des trois facteurs : disponibilité, intégrité et confidentialité des actifs.

Le tableau 5 propose un exemple d'échelle de probabilité d'apparition (fréquence d'exposition au risque).

HAUT DE PAGE

12.3 Déterminer les risques acceptables

Pour l'ensemble des risques identifiés, analysés et évalués,...

Cet article est réservé aux abonnés.
Il vous reste 92% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

Cet article fait partie de l’offre

Technologies logicielles Architectures des systèmes

(240 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS

Lecture en cours
Analyser et évaluer les risques
Sommaire
Sommaire

BIBLIOGRAPHIE

  • (1) - Sous la direction de PINET (C.) (Groupe des experts qualité du CNAM) -   La Qualité du logiciel. Retour d'expériences.  -  AFNOR (1998).

  • (2) - PINET (C.) -   Guide du responsable micro.  -  Chapitre 13 – Mise en œuvre de la qualité, Édition DUNOD, 1998 et mise à jour 2000.

  • (3) - PINET (C.) -   Système d'information : évolution des normes relatives au logiciel dans la mouvance des nouvelles normes ISO 9000.  -  Actes des conférences SISQUAL'99.

  • (4) - PINET (C.) -   Processus d'ingénierie du logiciel. Méthodes et qualité.  -  Pearson Éducation (2002).

  • (5) - PINET (C.) -   10 clés pour réussir sa certification ISO 9001.  -  AFNOR (2006).

  • (6) - PINET (C.) -   10 clés pour la gestion des services, de l'ITIL à l'ISO 20000.  -  ...

1 Outils logiciels

Audit Diagnostic Évaluation Système (ADES). Cet outil gère plusieurs grilles de référentiels. Il permet de saisir dans une base de données les constats des audits/évaluations et d'enregistrer des actions d'amélioration. Puis il restitue, sous la forme de rapports, les constats des audits/évaluations enregistrés dans la base de données. Des comparaisons entre deux audits/évaluations permettent d'apprécier les améliorations réalisées http://cpi.conseil.free.fr/ADES2

Amélioration système (AS). Cet outil permet de saisir dans une base de données des constats résultant des audits ou des réclamations clients. En regard de ces constats, des actions d'amélioration...

Cet article est réservé aux abonnés.
Il vous reste 94% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

Cet article fait partie de l’offre

Technologies logicielles Architectures des systèmes

(240 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS