Scribd Logo
Upload

Welcome to Scribd!

  • Audit Et Gestion Des Risques Selon Norme Iso

    Uploaded by

    AsMa El HousSaini
    195 views23 pages
    audit et gestion selon des normes

    Copyright

    © © All Rights Reserved

    Available Formats

    PPTX, PDF, TXT or read online from Scribd

    Did you find this document useful?

    Is this content inappropriate?

    Report this Document
    audit et gestion selon des normes

    Copyright:

    © All Rights Reserved
    Download as PPTX, PDF, TXT or read online from Scribd
    Flag for inappropriate content
    195 views23 pages

    Audit Et Gestion Des Risques Selon Norme Iso

    Uploaded by

    AsMa El HousSaini
    audit et gestion selon des normes

    Copyright:

    © All Rights Reserved
    Download as PPTX, PDF, TXT or read online from Scribd
    Flag for inappropriate content
    of 23

    Universit Cadi Ayyad

    Ecole Nationale des


    Sciences Appliques de Saf
    Dpartement Informatique,
    Rseaux et
    Tlcommunications (IRT)

    Audit et Gstion
    des risques selon
    les normes ISO

    Ralis par :
    MOUKIT Chaimaa
    El HOUSSAINI Asma
    ERRIHANI Nabila

    Supervis par :
    M. HIDABOU Mustapha

    Plan

    Introduction

    Gnralits sur les risques


    Systme dinformation
    Audit de risques
    Gestion de risques
    Norme ISO 27001 et 27005
    Mthode de gestion EBIOS
    Cas dtude pour la gestion et laudit de risques
    Dmarche de la mthode EBIOS
    Le logiciel dassistance lvaluation

    Conclusion

    Introduction

    Gnralits sur les risques


    Quest ce quun risque ?

    RISQUE =

    MENACE * VULNRABILIT * IMPACT

    Typologie des risques


    Risques pouvant causer des dommages matriels
    (Incendie, panne accidentelle, tremblement, dsastre, panne de
    courant...)

    Risques causant des dommages immatriels


    (Lerreur, la fraude conomique, le cyber-crime..)

    Systme dinformation
    SI

    Un systme dinformation est l'ensemble des actions


    coordonnes de recherche, de traitement, de distribution et
    protection des informations utiles.
    SMSI

    Un Systme de Management de la Scurit de lInformation


    est un ensemble d'lments interactifs permettant une
    entreprise d'tablir une politique et des objectifs en matire
    de scurit de l'information.

    Audit des risques


    Permet aux organisations de mieux connaitre leurs forces,

    leurs faiblesses

    mettre en uvre des mesures de protection adaptes aux

    risques existants.

    Ces donc une mission dvaluation de conformit par rapport

    une politique de scurit ou par rapport un ensemble de


    rgles de scurit.

    Audit des risques


    Dmarche de ralisation dune mission daudit de scurit des

    systmes dinformation

    Prparation de l'audit

    Gestion de risques
    Cest la discipline qui s'attache identifer, valuer et prioriser

    lesrisquesrelatifs aux activits d'une organisation.

    quelles que soient la nature ou l'origine de ces risques.


    dans le but de les traiter afn de rduire et contrler la

    probabilit des vnements redouts, et rduire l'impact


    ventuel de ces vnements.

    Norme ISO 27001 et 27005

    Norme ISO 27001


    cest la norme centrale de la famille ISO 2700x

    dcrit les exigences qui dfnit les conditions pour mettre en


    uvre un Systme de Management de la Scurit de
    l'Information .

    Lobjectif est de protger les informations de toute perte, vol

    ou altration,
    intrusion.

    et

    les

    systmes

    informatiques

    de

    toute

    Norme ISO 27005

    Dcrit une mthode de gestion des risques en scurit de

    linformation.
    Cest une norme non directive qui explicite les diffrentes

    tapes pour conduire une apprciation et de traiter les risques


    de scurit de linformation.

    Norme ISO 27005


    Dmarche de gestion de risque suivant la norme iso 27005

    Le processus de gestion des risques dfnit par cette norme comprend les tapes suivantes :
    Etablissement du contexte
    Identifcation du risque
    Estimation du risque
    Evaluation du risque
    Traitement du risque
    Acceptation du risque
    Communication du risque

    Norme ISO 27001 et 27005


    Structure des normes 27001 et 27005:

    Elles dfnissent un processus de gestion de risque articul Plan-Do-Check-Act qui s'applique


    librement tout sous-ensemble du SMSI.

    Plan :Identifer, quantifer et analyser les risques, choisir les actions appropries pour rduire

    les risques.
    Do :Implmenter les actions pour rduire les risques. Eduquer la direction et le personnel sur

    les risques.
    Check :Surveiller et rexaminer les rsultats, l'efficacit et l'efficience du processus de gestion

    de risque.
    Act :Rectifer le traitement du risque. Amliorer le processus de gestion du risque.

    Mthode de gestion EBIOS


    EBIOS

    signife Expression des Besoins et Identifcation des


    Objectifs de Scurit.

    Il s'agit non seulement d'une mthode d'apprciation des risques ,

    mais aussi d'un vritable outil :


    d'assistance la matrise d'ouvrage
    Dfnition d'un primtre d'tude
    expression de besoins
    responsabilisation des acteurs

    Dmarche EBIOS

    tape 1 : Etude du contexte

    Etude de lorganisme

    tape 2 : Expression des besoins de

    scurit
    Slection des lments essentiels

    tape 3 : Etude des menaces

    Etude de lorigine des menaces

    tape 4 : Identifcation des objectifs de


    scurit

    Confrontation des menaces aux besoins

    tape 5 : Dtermination des exigences de


    scurit

    Exigences de scurit fonctionnelle

    Conclusion

    Merci

    You might also like