Blog ENI : Toute la veille numérique !
Accès illimité 24h/24 à tous nos livres & vidéos ! 
Découvrez la Bibliothèque Numérique ENI. Cliquez ici
💥 Du 22 au 24 novembre : Accès 100% GRATUIT
à la Bibliothèque Numérique ENI. Je m'inscris !
  1. Livres et vidéos
  2. La norme ISO 27005 - Gestion des risques liés à la sécurité de l'information

La norme ISO 27005 Gestion des risques liés à la sécurité de l'information

1 avis

Informations

Livraison possible dès le 26 novembre 2024
  • Livraison à partir de 0,01 €
  • Version en ligne offerte pendant 1 an
Livres rédigés par des auteurs francophones et imprimés à Nantes

Caractéristiques

  • Livre (broché) - 17 x 21 cm
  • ISBN : 978-2-409-03713-9
  • EAN : 9782409037139
  • Ref. ENI : EPISO27005

Informations

  • Consultable en ligne immédiatement après validation du paiement et pour une durée de 10 ans.
  • Version HTML
Livres rédigés par des auteurs francophones et imprimés à Nantes

Caractéristiques

  • HTML
  • ISBN : 978-2-409-03714-6
  • EAN : 9782409037146
  • Ref. ENI : LNEPISO27005
Découvrez la norme ISO 27005 dans ce livre dédié aux professionnels de la sécurité informatique, RSSI, DSI et chefs de projet. Étudiez la gestion des risques liés à la sécurité de l’information, explorez les normes associées et plongez dans les sous-processus détaillés de l'ISO 27005. Enrichissez votre compréhension grâce à trois études de cas pratiques pour mieux vous préparer à l'examen de certification ISO 27005 Risk Manager.
Consulter des extraits du livre en ligne Aperçu du livre papier
  • Niveau Expert
  • Nombre de pages 273 pages
  • Parution septembre 2022
  • Niveau Expert
  • Parution septembre 2022
Ce livre sur la norme ISO 27005 est destiné aux chefs de projet, administrateurs système réseau et sécurité, RSSI ou DSI qui souhaitent maîtriser la gestion des risques liés à la sécurité de l’information. Il intéressera également toute personne sensibilisée à la gouvernance informatique désireuse d’approfondir ses connaissances sur cette norme et celles associées (ISO 27001, ISO 31000…) ou de compléter sa préparation à l’examen de certification ISO 27005 Risk Manager.

Décliné en trois grandes parties, le livre commence par présenter la gouvernance liée à la sécurité de l’information et énumère notamment les principales normes associées. Puis, l’auteur s’attache à détailler, dans une deuxième partie, tous les sous-processus de la norme ISO 27005 permettant au lecteur d’obtenir les compétences nécessaires à la réalisation d’une analyse de risques cohérente et efficace.

La dernière partie est consacrée à trois études de cas fictifs qui confrontent le lecteur à des situations auxquelles il pourrait faire face. Pour chacune, l’auteur propose des solutions concrètes pour gérer au mieux le risque présenté.
Normes et cadres réglementaires
  1. 1. Introduction
  2. 2. Que sont les normes ISO ?
    1. 2.1 Normes liées à la sécurité de l'information
    2. 2.2 La famille ISO/IEC 27000
  3. 3. ISO 31000 et IEC 31010
  4. 4. ISO 27001
    1. 4.1 Certifications
  5. 5. ISO/IEC 27005 : gestion des risques
    1. 5.1 Certifications
  6. 6. RGPD
  7. 7. Conclusion
Définitions et concepts de risque
  1. 1. Concept de risque
  2. 2. Définition du risque
  3. 3. Les statistiques et les risques
  4. 4. L'opportunité par le risque
  5. 5. La perception du risque
  6. 6. Quelques définitions d'ISO 27000
  7. 7. La sécurité de l'information
  8. 8. Les types de mesures de sécurité
  9. 9. Les avantages de la gestion du risque
  10. 10. Conclusion
Programme de gestion du risque
  1. 1. Introduction
  2. 2. Méthode PDCA
  3. 3. Programme de gestion des risques
    1. 3.1 Engagement de la direction
    2. 3.2 Définir les responsabilités
    3. 3.3 Établir une politique de gestion des risques
    4. 3.4 Implémenter un processus de gestion des risques
    5. 3.5 Choisir une approche de gestion des risques
      1. 3.5.1 Approche par scénario
      2. 3.5.2 Approche par actif
      3. 3.5.3 Approche itérative
    6. 3.6 Sélection d'une méthode d'appréciation des risques
    7. 3.7 Fournir les ressources
  4. 4. Conclusion
Établissement du contexte
  1. 1. Introduction
  2. 2. Établissement du contexte
    1. 2.1 Le contexte externe
    2. 2.2 Le contexte interne
  3. 3. Identifier les parties prenantes
  4. 4. Définir les objectifs
  5. 5. Définir les critères de base
  6. 6. Définir le cadre et les limites
    1. 6.1 Les contraintes techniques
    2. 6.2 Les contraintes financières
    3. 6.3 Les contraintes environnementales
    4. 6.4 Les contraintes organisationnelles
    5. 6.5 Les contraintes de temps
  7. 7. Conclusion
Identification des risques
  1. 1. Introduction
  2. 2. Techniques pour rassembler les informations
    1. 2.1 Questionnaire
    2. 2.2 Entretiens
    3. 2.3 Revue de documentations et outils
  3. 3. Identification des actifs
    1. 3.1 Actifs primaires
    2. 3.2 Actifs supports
    3. 3.3 Échelle de valeur des actifs
  4. 4. Identification des menaces
  5. 5. Identification des contrôles existants
  6. 6. Identification des vulnérabilités
  7. 7. Identification des conséquences
    1. 7.1 Scénarios d'incidents
  8. 8. Conclusion
Analyse et évaluation du risque
  1. 1. Introduction
  2. 2. Méthodologies d'analyse du risque
    1. 2.1 Approche qualitative
    2. 2.2 Approche quantitative
  3. 3. Évaluation des conséquences
  4. 4. Évaluation de la vraisemblance d’un incident
  5. 5. Détermination d’un niveau de risque
  6. 6. Évaluation du risque
  7. 7. Évaluation quantitative du risque
    1. 7.1 Concept de ROSI
    2. 7.2 Définitions
    3. 7.3 Calculs
Traitement et acceptation des risques
  1. 1. Introduction
  2. 2. Processus de traitement du risque
    1. 2.1 Hiérarchisation des risques
    2. 2.2 Options de traitement du risque
      1. 2.2.1 Réduction du risque
      2. 2.2.2 Évitement du risque
      3. 2.2.3 Transfert du risque
      4. 2.2.4 Acceptation du risque
      5. 2.2.5 Plan d'actions
    3. 2.3 Les risques résiduels
  3. 3. Processus d'acceptation des risques
    1. 3.1 Facteurs d'acceptation des risques
    2. 3.2 Déroulement d'un comité décisionnel
  4. 4. Conclusion
Communication des risques
  1. 1. Introduction
  2. 2. Objectif de la communication des risques
  3. 3. Plan de communication sur les risques
    1. 3.1 Principes d'une stratégie de communication efficace
    2. 3.2 La communication interne et externe
      1. 3.2.1 Communication interne
      2. 3.2.2 Communication externe
  4. 4. Enregistrements
  5. 5. Conclusion
Surveillance et revue des risques
  1. 1. Introduction
  2. 2. Processus de surveillance et revue des risques
  3. 3. Surveillance et revue des facteurs de risques
  4. 4. Surveillance et revue de la gestion des risques
  5. 5. Amélioration continue
    1. 5.1 Démarche Kaizen
    2. 5.2 La méthode 6 sigma
    3. 5.3 Les 5 S
    4. 5.4 Méthode des cinq pourquoi
  6. 6. Conclusion
Méthodes
  1. 1. Introduction
  2. 2. OCTAVE
    1. 2.1 La méthode OCTAVE
    2. 2.2 La méthode OCTAVE-S
      1. 2.2.1 Phase 1 : Construire des profils de menaces basés sur les actifs
      2. 2.2.2 Phase 2 : Identifier les vulnérabilités de l'infrastructure
      3. 2.2.3 Phase 3 : Élaborer des stratégies et des plans de sécurité
    3. 2.3 La méthode OCTAVE Allegro
      1. 2.3.1 Étape 1 - Établir des critères de mesure du risque
      2. 2.3.2 Étape 2 - Élaborer des profils d'actifs informationnels
      3. 2.3.3 Étape 3 - Identifier les conteneurs d'actifs informationnels
      4. 2.3.4 Étape 4 - Identifier les domaines de préoccupation
      5. 2.3.5 Étape 5 - Identifier les scénarios de menace
      6. 2.3.6 Étape 6 - Identifier les risques
      7. 2.3.7 Étape 7 - Analyser les risques
      8. 2.3.8 Étape 8 - Sélectionner une approche d'atténuation
  3. 3. MEHARI
    1. 3.1 Phase 1 : Analyse des enjeux et classement
    2. 3.2 Phase 2 : Évaluation des services de sécurité
      1. 3.2.1 Efficacité du service de sécurité
      2. 3.2.2 Robustesse du service de sécurité
      3. 3.2.3 Surveillance du service de sécurité
      4. 3.2.4 Évaluation des services de sécurité
    3. 3.3 Phase 3 : Analyse de risques
    4. 3.4 Phase 4 : Élaboration de plans de sécurité
  4. 4. EBIOS
    1. 4.1 Les cinq ateliers
      1. 4.1.1 Atelier 1 : Cadrage et socle de sécurité
      2. 4.1.2 Atelier 2 : Sources de risque
      3. 4.1.3 Atelier 3 : Scénarios stratégiques
      4. 4.1.4 Atelier 4 : Scénarios opérationnels
      5. 4.1.5 Atelier 5 : Traitement du risque
  5. 5. Conclusion
Étude de cas 1 - Mise en conformité
  1. 1. Introduction
  2. 2. Contexte
    1. 2.1 Le contexte externe
    2. 2.2 Le contexte interne
      1. 2.2.1 Ses missions
      2. 2.2.2 Ses valeurs
      3. 2.2.3 Ses objectifs
      4. 2.2.4 Ses stratégies
    3. 2.3 Identifier les parties prenantes
    4. 2.4 Définir les objectifs
    5. 2.5 Définir les critères de base
    6. 2.6 Définir le cadre et les limites
      1. 2.6.1 Les contraintes techniques
      2. 2.6.2 Les contraintes financières
      3. 2.6.3 Les contraintes environnementales
      4. 2.6.4 Les contraintes de temps
  3. 3. Identification du risque
    1. 3.1 Les entretiens
      1. 3.1.1 Entretien avec le directeur
      2. 3.1.2 Entretien avec le RSSI
      3. 3.1.3 Entretien avec le DSI
      4. 3.1.4 Entretien avec le responsable de l'infrastructure
    2. 3.2 Revue documentaire et outils
    3. 3.3 Identification des actifs
      1. 3.3.1 Échelle de valeur des actifs
      2. 3.3.2 Actifs primordiaux
      3. 3.3.3 Actifs supports
    4. 3.4 Identification des menaces et des vulnérabilités
    5. 3.5 Identification des contrôles existants
    6. 3.6 Identification des conséquences
  4. 4. Analyse des risques
    1. 4.1 Évaluation de la vraisemblance
    2. 4.2 Évaluation des conséquences
    3. 4.3 Détermination d’un niveau de risque
  5. 5. Évaluation des risques
  6. 6. Traitement du risque
  7. 7. Le plan d'actions
  8. 8. Le risque résiduel
  9. 9. Acceptation des risques
  10. 10. Conclusion
Étude de cas 2 - Analyse de risques
  1. 1. Introduction
  2. 2. Contexte
  3. 3. Atelier 1 : cadrage et socle de sécurité
    1. 3.1 Le cadre
    2. 3.2 Définir le périmètre métier et technique
    3. 3.3 Identifier les évènements redoutés
    4. 3.4 Déterminer le socle de sécurité
  4. 4. Atelier 2 : sources de risque
    1. 4.1 Identifier les sources de risques et les objectifs visés
    2. 4.2 Évaluer les couples SR/OV
  5. 5. Atelier 3 : scénarios stratégiques
    1. 5.1 Construire la cartographie de menace numérique de l'écosystème et sélectionner les parties prenantes critiques
    2. 5.2 Élaborer des scénarios stratégiques
    3. 5.3 Définir des mesures de sécurité sur l'écosystème
  6. 6. Atelier 4 : scénarios opérationnels
    1. 6.1 Élaborer les scénarios opérationnels
    2. 6.2 Évaluation de la vraisemblance des scénarios opérationnels
  7. 7. Atelier 5 : traitement du risque
    1. 7.1 Réaliser une synthèse des scénarios de risque
    2. 7.2 Décider de la stratégie de traitement des risqueset définir les mesures de sécurité
Étude de cas 3 - Risques d'un projet
  1. 1. Introduction
  2. 2. Le contexte
  3. 3. L'analyse de risques
    1. 3.1 Les scénarios
      1. 3.1.1 Vol de l'ordinateur
      2. 3.1.2 Accès distant non autorisé à l'ordinateur
      3. 3.1.3 Ingénierie sociale
      4. 3.1.4 Erreur d'utilisation
      5. 3.1.5 Appareil compromis pendant le transport
      6. 3.1.6 Abus de privilèges
    2. 3.2 Plan d'actions
  4. 4. Conclusion
Pour aller plus loin
  1. 1. Introduction
  2. 2. ISO 27001
  3. 3. La directive NIS
  4. 4. Référentiel de sécurité du NIST
  5. 5. CIS V8
  6. 6. RGPD/AIPD
    1. 6.1 Le contexte
      1. 6.1.1 Vue générale
      2. 6.1.2 Données, supports et processus
    2. 6.2 Principes fondamentaux
      1. 6.2.1 Proportionnalité et nécessité
      2. 6.2.2 Protection des droits des personnes
    3. 6.3 Étude des risques
      1. 6.3.1 Évaluation des mesures
      2. 6.3.2 Appréciation des risques
    4. 6.4 Validation
      1. 6.4.1 Préparation des éléments
      2. 6.4.2 Validation
  7. 7. Conclusion
  8. Index
5/5 1 avis
Version papier

Version papier OK.

Anonyme
Auteur : Jean-Charles PONS

Jean-Charles PONS

Jean-Charles PONS a débuté sa carrière en tant qu’ingénieur en sécurité de l’information. Après plusieurs années passées dans la technique, il s’oriente progressivement vers la sécurité organisationnelle. Aujourd’hui consultant dans la gouvernance en sécurité informatique, il accompagne désormais DSI et RSSI pour les aider à se conformer aux différentes normes et réglementations en réalisant notamment des audits de sécurité et des analyses de risques.
En savoir plus

Nos nouveautés

voir plus