sécurité de l'information et gestion des risques informatiques
 
 Accueil 
 Contact 
  
Domaines sécurité
Les enjeux
de la sécurité
Organiser
la sécurité
La gestion
des risques
La continuité
d'activité
Les méthodes
de sécurité
La méthode
Mehari
Les normes
de sécurité

ISO 17799 et
ISO 27001

Les aspects juridiques

La sécurité
des échanges

Les types d'attaques

Nos Prestations
Assistance
et conseil
Formations
à la sécurité

Mehari et ISO 27005

Le modèle de gestion des risques informatiques ISO 27005

Le modèle ISO 27005 décrit les 3 aspects classiques d'une démarche de risque des systèmes d'information :

  • L’identification et la classification des actifs (ce qui a de la valeur pour les métiers et donc ce qu'il faut protéger),
  • l’identification des menaces potentielles et de leur probabilité de survenance, l’identification des vulnérabilités
  • l'évaluation de la gravité des risques (fonction de la valeur de l'actif, de la probabilité de survenance de la menace, des possibilités de minimiser les impacts si la menace est avérée).

Les étapes de l'ISO 27005

ISO 27005 n'est pas une méthode et donc précise les grandes étapes d'une gestion des risques sans décrire le comment. ISO 27005 décrit les grandes étapes suivantes.

 spacer

MEHARI et le modèle ISO 27005

Il existe des nuances entre le modèle ISO 27005 et la méthode MEHARI :

  • Par exemple l'ISO 27005 fait la différence entre une vulnérabilité et la faiblesse d'une mesure de sécurité, alors que Mehari considère qu'un mesure de sécurité non ou mal mise en oeuvre est une vulnérabilité pouvant être exploité par une menace.
  • le modèle ISO 27001 part des actifs pour en faire une évaluation de « besoins », ce que l’on peut considérer comme une classification. La méthode Méhari propose de partir des processus métiers, de leur criticité en cas d'atteinte à la disponibilité, intégrité et confidentialité et d'en déduire la classification des actifs concernés.

Le grand intérêt de la norme ISO 27005 est de clarifier le périmètre à couvrir, les étapes et les livrables à fournir dans une démarche d'analyse des risques.

Cela permettra d'expliquer que de simples outillages de diagnostic de vulnérabilités ne peuvent prétende permettre de gérer les risques, mais uniquement des failles de sécurité.

Mehari 20007 en tant que Méthode respecte les principes d'ISO 27005 et surtout couvre tout le cycle de l'établissement du contexte jusqu'à la fourniture du plan d'action sécurité pour traiter le portefeuille des risques retenus.

 

pix1 pix2 pix3 pix4