SSi-Conseil Sécurité des Systèmes d'Information
Accueil SSi-Conseil
Accès privilégié
SSI-Conseil
>Enjeux & Risques
Enjeux de la SSI
Risques
>Consulting Sécurité
Démarche Sécurité
Schéma Directeur SSI
Management SSI
Gestion opérationnelle
Communication SSI
>Gestion de Risques
Risk Management
>ISO 27000
ISO 27000
>Continuité d'Activité
Continuité d'Activité
>Services & Assistance
Assistance / Conseil SSi
TPE PME/PMI
>Formation
Formations
>Plus
Liens utiles
Auto-diagnostic SSi
Alertes Virus
Outils gratuits en ligne
Recherche avancée
Download zone
Legal crédits & ©
Glossaire
Plan du Site
>Partenaires
Ysosecure
Janua
Groupe-Stédia
BCP-Expert
Syndicate
Jeudi 17 Avril 2014
Advertisement
Méthodes Convertir en PDF Version imprimable Suggérer par mail
11-01-2007
ISO 27001 impose de mettre en oeuvre une méthode d'analyse et de traitement des risques capable de produire des resutlats reproductibles.
La plupart des méthodes disponibles reposent sur des outils permettant de répondre à cette contrainte et visent à traiter les étapes décrites ci-dessus :

Risk Management

En France, les principales méthodes sont EBIOS™ (DCSSI) et MEHARI™ V2010 du CLUSIF.
Chaque méthode est soutenue par des bases de connaissances (bases de menaces ou scénarios de risques et bases de solutions de sécurité associées).
La complexité de gestion des risques SSI vient de la taille des matrices des  scénarios de risques (combinatoire entre actifs concernés /événements  menaçants / localisation / potentialité / circonstances / vraisemblance / mesures appropriées règles d'efficacité des mesures ). Celles-ci deviennent rapidement inadaptées à un traitement "à la main" ou même avec un tableur.
Heureusement, des outils comme EBIOS 2010® pour EBIOS et RISICARE V8® pour Méhari 2010 permettent d'honorer la nécessité de reproductibilité des résultats imposée par la norme ISO 27001.
L'évaluation "à dire d'expert" a intérêt a être supportée par des bases de connaissances numérisées solides et régulièrement tenues à jour voire enrichies pour les adapter aux spécificités sectorielles des entreprises.

Ressources :
L'ensemble des méthodes et outils associés d'analyse et de traitement des risques a été analysé par l'ENISA dans son document : Inventory of risk assessment and risk management methods : PDF de 177pages (1Mo)
CASES.lu : Etude comparée desméthodes et référentiels utilisés en sécurité informatique : pdf de 50 pages
Marc-André Léger : Grille d' évaluation des méthodologies d'Analyse de Risques liés à la sécurité des informations
EBIOS : Un e-learnig EBIOS est disponible ici en Français (Chapeau les Quebecois de Sherbrooke !)
CFSSI : Parcours découverte de la méthode EBIOS La DCSSI passe la vitesse supérieure avec l'ANSSI (Agence Nationale de Sécurité des Systèmes d'Information) ... Il n'est jamais trop tard...
Méhari 2010 et sa base de connaissance : sont (moyennant inscription)  disponibles Gratuitement sur le site du CLUSIF
Dernière mise à jour : ( 21-03-2014 )
< Précédent   Suivant >
Copyright 2005-2014 SSi-Conseil
Mambo Free Software released under the GNU/GPL License.