| Une question ?

Présentation

Article

1 - GÉNÉRALITÉS ET CONCEPTS DE BASE

  • 1.1 - Sécurité, une exigence pour l'information
  • 1.2 - Référentiels normatifs applicables
  • 1.3 - Organisation des articles
  • 1.4 - Rappel sur les instances officielles
  • 1.5 - Concepts de base

2 - SÉRIE ISO/CEI 27000

3 - NORME ISO 27001

4 - DÉCLARATION D'APPLICABILITÉ

5 - NORME ISO 27002

6 - RECENSER LES ACTIFS

7 - IDENTIFIER LES RISQUES

  • 7.1 - Qu'est-ce qu'un risque ?
  • 7.2 - Comment identifier un risque ?

8 - ANALYSER LES RISQUES

9 - ÉVALUER LES RISQUES

10 - INCIDENTS DE SÉCURITÉ

11 - CONCLUSION

12 - GLOSSAIRE – DÉFINITIONS

| Réf : H5070 v2

Identifier les risques
Référentiels normatifs, sécurité de l'information - NF EN ISO/CEI 27001 : 2013

Auteur(s) : Claude PINET

Date de publication : 10 févr. 2015

Pour explorer cet article
Télécharger l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !

Sommaire

Présentation

Version en anglais En anglais

NOTE DE L'ÉDITEUR

La norme NF EN ISO 19011 de janvier 2012 citée dans cet article a été remplacée par la norme NF EN ISO 19011 (X50-136) "Lignes directrices pour l'audit des systèmes de management" Révision 2018

Pour en savoir plus, consultez le bulletin de veille normative VN1806 (juillet 2018).

11/01/2019

RÉSUMÉ

La sécurité de l'information fait partie du périmètre de la normalisation (ISO et AFNOR). À savoir les normes suivantes : ISO/CEI 27001 Exigences pour la certification, ISO/CEI 27002 Code de pratiques, ISO/CEI 27005 Gestion des risques. La sécurité de l'information est organisée dans un Système de Management de la sécurité de l'Information (SMSI). La démarche méthodologique nécessite de recenser les actifs et d'analyser les risques au regard des trois facteurs : Disponibilité, Intégrité, Confidentialité. En fonction de l'impact (gravité) et de la probabilité d'apparition (fréquence) les risques seront classés soit acceptables soit risques résiduels. Les incidents de sécurité doivent être gérés. Des plans de traitement des risques contribuent à l'amélioration du SMSI.

Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.

Lire l’article

ABSTRACT

International standard - Information security

Information security comes within the scope of standardization (ISO and AFNOR (French national body mirroring ISO)). The following standards are concerned: ISO / IEC 27001 Requirements for certification, ISO / CIS 27002 Codes of practice, and ISO / CIS 27005 Risk management. Information security is organized in an Information Security Management System (ISMS). The methodological approach requires an inventory of assets and a risk analysis with regard to three factors: availability, integrity, and confidentiality. According to the impact (gravity) and the probability of occurrence (frequency) the risks are classified as either acceptable or residual. Security incidents must be managed. Risk treatment plans help to improve the ISMS.

Auteur(s)

  • Claude PINET : Ingénieur diplômé du Conservatoire National des Arts et Métiers (CNAM) - Ingénieur européen EUR ING - Responsable d'audit certifié IRCA (International Register of Certificated Auditors) n 1182803 - Directeur fondateur CPI CONSEIL, France

INTRODUCTION

L'information constitue un capital très important pour tout organisme. Elle représente une ressource vitale pour exercer des activités. À ce titre, l'information nécessite la mise en place et la gestion d'une protection adaptée.

La sécurité de l'information a pour objectif de protéger l'information contre les nombreuses menaces qui pèsent sur elle, et peuvent entraîner la dégradation ou l'interruption de la continuité de l'activité de l'organisme. Des mesures doivent être définies, mises en œuvre, suivies, réexaminées et améliorées afin d'atteindre un certain nombre d'objectifs dédiés à la sécurité.

Des processus particuliers doivent être définis et déployés pour y parvenir. Toutefois, ces derniers doivent s'organiser harmonieusement avec les autres processus dans le cadre du système de management global de l'organisme.

Afin de préciser les exigences de sécurité relatives à l'information, un référentiel normatif international a été élaboré. Bien évidemment, il est applicable aux différents systèmes qui traitent l'information.

Le contenu de cet article a été actualisé suite à la dernière version de la norme internationale NF EN ISO/CEI 27001 publiée au mois de décembre 2013.

Cet article est réservé aux abonnés.
Il vous reste 95% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !

L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

KEYWORDS

security of informations systems   |   ISMS   |   information security   |   information security management system   |   information system   |   standardization   |   certification   |   ISO/CEI 27001:2013

VERSIONS

Il existe d'autres versions de cet article :

DOI (Digital Object Identifier)

https://doi.org/10.51257/a-v2-h5070

Cet article fait partie de l’offre

Technologies logicielles Architectures des systèmes

(239 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS

Lecture en cours
Présentation
Version en anglais En anglais

7. Identifier les risques

L'identification des risques constitue la première étape de l'appréciation des risques (§ 3.5.1).

Identification des risques

« Processus de recherche, de reconnaissance et de description des risques » (source ISO 27000 : 2013).

7.1 Qu'est-ce qu'un risque ?

Risque

« Effet (écart positif ou négatif par rapport à une attente) de l'incertitude (défaut d'information sur un événement et ses conséquences) sur la réalisation des objectifs » (source ISO/CEI 27000 : 2013).

Le risque lié à la sécurité de l'information est associé à la possibilité que des menaces exploitent les vulnérabilités d'un actif ou d'un groupe d'actifs et nuisent à l'organisme.

En effet, si un événement désagréable n'a que peu de chance de se produire et si les conséquences n'ont qu'un impact limité, on peut dire que le risque est faible.

HAUT DE PAGE

7.2 Comment identifier un risque ?

Lorsque les actifs (biens) sont inventoriés, il importe de déterminer quelles sont les menaces susceptibles d'apparaître sur ces actifs et de les endommager.

Menace

« Cause potentielle d'un incident indésirable, qui peut nuire à un système ou à une organisation » (source ISO 27000 : 2013).

Une menace peut provenir de l'intérieur ou de l'extérieur de l'organisme. Elle peut être accidentelle ou délibérée.

Exemples de types de menaces :

  • actions non autorisées ;

  • catastrophes naturelles ;

  • pertes...

Cet article est réservé aux abonnés.
Il vous reste 93% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !

L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

Cet article fait partie de l’offre

Technologies logicielles Architectures des systèmes

(239 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS

Lecture en cours
Identifier les risques
Sommaire
Sommaire

BIBLIOGRAPHIE

  • (1) - Sous la direction de PINET (C.) (Groupe des experts qualité du CNAM) -   La qualité du logiciel. Retour d'expériences.  -  AFNOR (1998).

  • (2) - PINET (C.) -   Mise en œuvre de la qualité.  -  Guide du responsable micro, Édition Dunod, Chap. 13 (1998 et mise à jour 2000).

  • (3) - PINET (C.) -   Système d'information : évolution des normes relatives au logiciel dans la mouvance des nouvelles normes ISO 9000.  -  Actes des conférences SISQUAL'99.

  • (4) - PINET (C.) -   Processus d'ingénierie du logiciel. Méthodes et qualité.  -  Pearson Éducation (2002).

  • (5) - PINET (C.) -   10 clés pour réussir sa certification ISO 9001.  -  AFNOR (2006).

  • (6) - PINET (C.) -   10 clés pour la gestion des...

DANS NOS BASES DOCUMENTAIRES

ANNEXES

  1. 1 Outils logiciels
    1. 2 Sites Internet
      1. 3 Normes et standards

        1 Outils logiciels

        Audit diagnostic évaluation système (ADES). Cet outil gère plusieurs grilles de référentiels. Il permet de saisir dans une base de données les constats des audits/évaluations et d'enregistrer des actions d'amélioration. Puis il restitue, sous la forme de rapports, les constats des audits/évaluations enregistrés dans la base de données. Des comparaisons entre deux audits/évaluations permettent d'apprécier les améliorations réalisées. Un diaporama de présentation des fonctionnalités est disponible en téléchargement à l'adresse suivante http://cpi.conseil.free.fr/ADES2/

        Amélioration système (AS). Cet outil permet de saisir dans une base de données des constats résultant des audits ou des réclamations clients. En regard de ces constats, des actions d'amélioration sont créées puis suivies et vérifiées. Un diaporama de présentation des fonctionnalités est disponible en téléchargement à l'adresse suivante :

        HAUT DE PAGE

        2 Sites Internet

        Association française de normalisation (AFNOR) http://www.afnor.fr

        Organisation internationale de normalisation (ISO) http://www.iso.ch

        Commission électronique Internationale (CEI) http://www.iec.ch

        International...

        Cet article est réservé aux abonnés.
        Il vous reste 94% à découvrir.

        Pour explorer cet article
        Téléchargez l'extrait gratuit

        Vous êtes déjà abonné ?Connectez-vous !

        L'expertise technique et scientifique de référence

        La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
        + de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
        De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

        Cet article fait partie de l’offre

        Technologies logicielles Architectures des systèmes

        (239 articles en ce moment)

        Cette offre vous donne accès à :

        Une base complète d’articles

        Actualisée et enrichie d’articles validés par nos comités scientifiques

        Des services

        Un ensemble d'outils exclusifs en complément des ressources

        Un Parcours Pratique

        Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

        Doc & Quiz

        Des articles interactifs avec des quiz, pour une lecture constructive

        ABONNEZ-VOUS

        DANS LES RESSOURCES DOCUMENTAIRES

        DANS L'ACTUALITÉ

        DANS LES LIVRES BLANCS

        DANS LES CONFÉRENCES EN LIGNE

        Inscription veille personnalisée