DissertationsEnLigne.com - Dissertations gratuites, mémoires, discours et notes de recherche
Recherche

La gestion des risques informatiques

Commentaire d'oeuvre : La gestion des risques informatiques. Rechercher de 53 000+ Dissertation Gratuites et Mémoires

Par   •  13 Octobre 2022  •  Commentaire d'oeuvre  •  5 479 Mots (22 Pages)  •  345 Vues

Page 1 sur 22

BTS SIO -2sisr- Bloc3 –        4 – La gestion des risques du SI        2022-10-03

La gestion des risques informatiques

Table des matières

I.        La contexte de la gestion des risques        2

A.        Rappel des critères « DIC » et P        2

1)        Disponibilité        2

2)        Intégrité        2

3)        Confidentialité        2

4)        Preuve        2

B.        Sureté Vs Sécurité        3

1)        Sureté        3

2)        Sécurité        3

C.        Evaluation du niveau de sécurité d’un bien        3

D.        Mécanismes pour atteindre les besoins DICP        4

1)        Mécanismes techniques        4

2)        Mécanismes organisationnels        4

II.        Les caractéristiques du risque        5

A.        Le risque - Définition        5

B.        Une vulnérabilité        5

C.        Une menace        5

D.        Une attaque        6

E.        La notion d’évènement redouté        6

F.        Evaluation de l’impact d’un risque        6

G.        Impacts des risques informatiques (CEJMA)        7

III.        L’analyse de risque        9

A.        Principe général        9

B.        Les méthodes d’analyse        10

C.        Plan d’action SSI        10

IV.        La méthode Ebios Risk Manager        11

A.        Introduction        11

B.        Présentation        11

C.        Les étapes de la méthode EBIOS RM        11

D.        Liens entre les différents ateliers        12

E.        La notion de biens support  (ANSSI)        13

1)        SYSTÈMES INFORMATIQUES ET DE TÉLÉPHONIE        13

2)        ORGANISATIONS        13

3)        LOCAUX ET INSTALLATIONS PHYSIQUES        13

F.        L’échelle de gravité        14

G.        Sources du risque (SR) et objectifs visés (OV)        14

1)        Les sources du risques (SR)        14

2)        Les objectifs visés (OV)        16

3)        L’analyse des relations SR/OV        16

H.        La vraisemblance d’un scenario opérationnel        17

V.        Stratégie de traitement du risque        18

A.        Le refus du risque        18

B.        Le transfert ou partage du risque        18

C.        La réduction du risque        18

D.        L'acceptation ou maintien du risque        18

VI.        Exemple1 de mise en œuvre proposé par l’ANSSI        19

E.        Etudes des éléments DICP - Appréciation des risques        19

F.        Les évènements redoutés        19

G.        Les scénarios de menaces : « Abuser Stories »        20

VII.        Exemple2 de mise en œuvre pour « Le.Taxi »        21

A.        Etudes des éléments DICP - Appréciation des risques        21

B.        Sources de risque        21

C.        Evènements redoutés        21

D.        Les scénarios de menaces : « Abuser Stories »        22

E.        Notion de risques résiduels        22

VIII.        Sitographie        22

  1. La contexte de la gestion des risques
  1. Rappel des critères « DIC » et P

Ces critères permettre de définir le niveau de sécurité d’un SI

  1. Disponibilité

  1. Intégrité
  1. Confidentialité
  1. Preuve  

  1. Sureté Vs Sécurité

Le périmètre de chacune des 2 notions n’est pas toujours facile à délimiter.

  1. Sureté

Exemple de risque : saturation d’un point d’accès, panne d’un disque, erreur d’exécution

Caractéristiques : quantifiable statistiquement (ex. : la durée de vie moyenne d’un disque est de X milliers d’heures).

Exemple de parades : sauvegarde, dimensionnement, redondance des équipements… (Source : ANSSII)

  1. Sécurité

Exemple de risque : blocage d’un service, modification d’informations, vol d’information

Caractéristiques Non quantifiable statistiquement, mais il est possible d’évaluer en amont le niveau du risque et les impacts

Exemple de parades : contrôle d’accès, veille sécurité, correctifs, configuration renforcée, filtrage…* …

Sources : ANSSII

  1. Evaluation du niveau de sécurité d’un bien

Pour évaluer si un bien est correctement sécurisé, il faut

_________________________________________________________________________________,

L’évaluation de ces critères sur une échelle permet de déterminer si ce bien est correctement sécurisé.

L’expression du besoin attendu peut-être d’origine :

  • Interne : ________________________
  • ou externe : ___________________________________

Exemple d’audit DICP :

  • Niveau de Disponibilité du bien         Très fort
  • Niveau d’Intégrité du bien         Moyen
  • Niveau de Confidentialité du bien         Très fort
  • Niveau de Preuve du bien         Faible

  1. Mécanismes pour atteindre les besoins DICP

Le périmètre de chacune des 2 notions n’est pas toujours facile à délimiter.

  1. Mécanismes techniques

Un Système d’Information a besoin de mécanismes de sécurité qui ont pour objectif d’assurer de garantir les propriétés DICP sur les biens de ce S.I.

Voici quelques exemples de mécanismes de sécurité participant à cette garantie :

(Sources ANSII)

[pic 1]

  1. Mécanismes organisationnels

[pic 2]

  1. Les caractéristiques du risque
  1. Le risque - Définition

Un risque de sécurité du SI est la probabilité de l’exploitation d’une vulnérabilité par une menace. 

...

Télécharger au format  txt (27.9 Kb)   pdf (1.4 Mb)   docx (1.2 Mb)  
Voir 21 pages de plus »
Uniquement disponible sur DissertationsEnLigne.com