Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Expert éminent sénior

    Avatar de Djug
    Homme Profil pro
    Inscrit en
    mai 2007
    Messages
    2 980
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 33
    Localisation : Algérie

    Informations forums :
    Inscription : mai 2007
    Messages : 2 980
    Points : 18 284
    Points
    18 284
    Par défaut [Livre]: Gestion des risques en sécurité de l'information d'Anne Lupfer
    Pierre Therrode (pi-2r) vous propose la critique du livre Gestion des risques en sécurité de l'information d'Anne Lupfer




    Comment évaluer le risque pour les SI d'entreprise ? Quels risques doit-on accepter de prendre ? La gestion des risques en sécurité de l'information, recommandée par de nombreux référentiels comme la norme ISO 27001, est en train de devenir une obligation pour les responsables de la sécurité de l'information (RSSI), les directeurs des systèmes d'information (DSI), et bien d'autres acteurs de l'entreprise.

    Après les démarches locales, comme Ebios et Mehari en France, la norme ISO 27005, première méthode de gestion des risques structurée et normalisée, est appelée à s'imposer à l'échelle planétaire. Facilement accessible, elle propose une approche continue (au quotidien, dans la durée), systématique, pragmatique et adaptée à la réalité complexe des entreprises actuelles. S'appuyant, tout comme la norme, sur des scénarios d'incidents réels, ce guide de mise en oeuvre ISO 27005 dévoile l'essence des années d'expérience et de savoir-faire de l'auteur, et constituera une aide précieuse pour la certification ISO 27005 Risk Manager.

    Connaissez-vous ce livre ?
    Si oui, partagez-vous l'avis donné dans la critique ?
    Sinon, cela vous donne-t-il envie de le lire?

  2. #2
    Membre actif
    Homme Profil pro
    Ingénieur sécurité
    Inscrit en
    juillet 2007
    Messages
    193
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 33
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Ingénieur sécurité
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : juillet 2007
    Messages : 193
    Points : 274
    Points
    274
    Par défaut
    Je viens justement de commencer à lire le livre "Management de la sécurité de l'information : Implémentation ISO 27001, Mise en place d'un SMSI et audit de certification"

    Voici un lien : [ame="http://www.amazon.fr/Management-s%C3%A9curit%C3%A9-linformation-Impl%C3%A9mentation-certification/dp/2212122187/ref=pd_sxp_f_i"]Management de la s?curit? de l'information : Impl?mentation ISO 27001, Mise en place d'un SMSI et audit de certification: Amazon.fr: Alexandre Fernandez-Toro: Livres@@AMEPARAM@@http://ecx.images-amazon.com/images/I/510Vs3BRTbL.@@AMEPARAM@@510Vs3BRTbL[/ame]

    L'avez vous lu aussi ?

    Je commence à m’intéresser aux normes 27xxx, content de voir que je ne suis pas le seul.

    J’achèterais peut-être ce livre une fois avoir lu le mien.

  3. #3
    Rédacteur
    Avatar de pi-2r
    Homme Profil pro
    Développeur Java
    Inscrit en
    juin 2006
    Messages
    1 442
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Développeur Java

    Informations forums :
    Inscription : juin 2006
    Messages : 1 442
    Points : 2 307
    Points
    2 307
    Par défaut
    Bonsoir,

    Citation Envoyé par Elboras Voir le message
    Je viens justement de commencer à lire le livre "Management de la sécurité de l'information : Implémentation ISO 27001, Mise en place d'un SMSI et audit de certification"

    L'avez vous lu aussi ?
    euh non pas encore, il faut dire que ce genre de livre demande pas mal de connaissances annexes et même s'il est très bien j'ai eu quelques de difficultés à comprendre certains concepts (en BTS IG on ne voit pas encore ce genre de norme :p )

    Citation Envoyé par Elboras Voir le message
    Je commence à m’intéresser aux normes 27xxx, content de voir que je ne suis pas le seul.
    Cette norme commence petit à petit à remplacer la norme ISO 27001
    Les pièges de l'Internet
    Helix, réponse à une intrusion


    "La plus grande gloire n'est pas de ne jamais tomber, mais de se relever à chaque chute." Confucius
    "Si j’ai vu si loin, c’est que j’étais monté sur des épaules de géants." Isaac Newton

  4. #4
    Membre actif
    Homme Profil pro
    Ingénieur sécurité
    Inscrit en
    juillet 2007
    Messages
    193
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 33
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Ingénieur sécurité
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : juillet 2007
    Messages : 193
    Points : 274
    Points
    274
    Par défaut
    Citation Envoyé par pi-2r Voir le message
    Bonsoir,


    euh non pas encore, il faut dire que ce genre de livre demande pas mal de connaissances annexes et même s'il est très bien j'ai eu quelques de difficultés à comprendre certains concepts (en BTS IG on ne voit pas encore ce genre de norme :p )


    Cette norme commence petit à petit à remplacer la norme ISO 27001
    Apparament, la norme 27005 n'a pas pour but de remplacer la 27001.
    "La nouvelle norme a donc pour but d’aider à mettre en œuvre l’ISO/CEI 27001" sur le site de wikipedia et il est dit la même chose dans mon livre.

    Ce que j'ai compris pour l'instant, c'est que ca pourrait plus remplacer les normes EBIOS ou MEHARI.

    Je n'ai lu que 50 pages de mon livre pour l'instant, et n'ai pas été formé à ces normes non plus. D'ailleur c'est dommage que dans mon école il n'y ait pas de module à ce sujet.

    Tu t'y interesse pour ta culture ou en vu de passer des certifications ?

  5. #5
    Rédacteur
    Avatar de pi-2r
    Homme Profil pro
    Développeur Java
    Inscrit en
    juin 2006
    Messages
    1 442
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Développeur Java

    Informations forums :
    Inscription : juin 2006
    Messages : 1 442
    Points : 2 307
    Points
    2 307
    Par défaut
    Bonjour,
    certes, je vais un peut trop vite, mais je pense que d'ici quelques années la norme ISO 27005 et tout ce qui tourne autour vont remplacer les anciennes (après peut être que je me trompe ).


    Tu t'y interesse pour ta culture ou en vu de passer des certifications ?
    les 2 car pour le moment je ne peux pas encore passer ce genre de certif ....
    Les pièges de l'Internet
    Helix, réponse à une intrusion


    "La plus grande gloire n'est pas de ne jamais tomber, mais de se relever à chaque chute." Confucius
    "Si j’ai vu si loin, c’est que j’étais monté sur des épaules de géants." Isaac Newton

  6. #6
    Membre actif
    Homme Profil pro
    Ingénieur sécurité
    Inscrit en
    juillet 2007
    Messages
    193
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 33
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Ingénieur sécurité
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : juillet 2007
    Messages : 193
    Points : 274
    Points
    274
    Par défaut
    Je continue à lire mon livre sur les certifications 27001 et 27002.
    Je me demandais, as tu mis la main sur ces fameuses certifications ?

    J'ai vu un site qui les vendait, mais à un prix très élevé, je suis étonné que les certifications ISO ne soient pas gratuites, mais bon, il faut bien vivre.

    Une fois que j'aurais fini mes livres actuel, je lirais certainement le livre que tu as lu.

    A bientôt

  7. #7
    Rédacteur
    Avatar de pi-2r
    Homme Profil pro
    Développeur Java
    Inscrit en
    juin 2006
    Messages
    1 442
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Développeur Java

    Informations forums :
    Inscription : juin 2006
    Messages : 1 442
    Points : 2 307
    Points
    2 307
    Par défaut
    Bonjour,
    Citation Envoyé par Elboras Voir le message
    Je me demandais, as tu mis la main sur ces fameuses certifications ?

    J'ai vu un site qui les vendait, mais à un prix très élevé, je suis étonné que les certifications ISO ne soient pas gratuites, mais bon, il faut bien vivre.
    euh, ce genre de certification sont difficilement trouvable car non orienté grand public ( a la différence de certaines certification comme CEH ou CHFI). Après, c'est vrai que ce genre de certif coûte très chers...
    Les pièges de l'Internet
    Helix, réponse à une intrusion


    "La plus grande gloire n'est pas de ne jamais tomber, mais de se relever à chaque chute." Confucius
    "Si j’ai vu si loin, c’est que j’étais monté sur des épaules de géants." Isaac Newton

  8. #8
    Membre actif
    Inscrit en
    décembre 2005
    Messages
    251
    Détails du profil
    Informations forums :
    Inscription : décembre 2005
    Messages : 251
    Points : 265
    Points
    265
    Par défaut
    Sur quoi t'appuie tu pour dire que la norme ISO 27005 va remplacer ISO 27001 ??

    ISO 27001 explique comment mettre en place un system de management de la sécurité de l'information sur le modele Plan Do Check Act. Ce system de management sera certifié par un organisme indépendant accrédité par l'organisme d'accréditation du pays ( AFNOR en France). La norme précise que la mise en place d'un SMSI doit comporter une analyse des risques mais ne précise pas la méthode. Tu peux utiliser ce que tu veux : MEHARI,MARION, ta methode maison ou 27005

    ISO 27005 est donc un outil pour la gestion des risques. Le principe d'amélioration continue PDCA est toujours présent afin de faire une analyse des risques mis à jour régulièrement. En revanche ce ne sont pas les entreprises qui se font certifié 27005 mais des individus ( 27005 risk manager).

    Voilà . Même si je pense que tu sais tout ça mon post est juste une overview rapide pour les personnes ne connaissant pas du tout ces notions

  9. #9
    Membre actif
    Homme Profil pro
    Ingénieur sécurité
    Inscrit en
    juillet 2007
    Messages
    193
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 33
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Ingénieur sécurité
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : juillet 2007
    Messages : 193
    Points : 274
    Points
    274
    Par défaut
    oui voila c'est ce que je disais un peu plus haut.

    Surtout qu'en soit la norme ISO 27001 est très courte (une 30ene de pages de mémoire). Elle ne donne que les grandes lignes, et est complété par les autres normes ISO pour montrer comment mettre en oeuvre l'ISO 27001

  10. #10
    Membre actif
    Inscrit en
    décembre 2005
    Messages
    251
    Détails du profil
    Informations forums :
    Inscription : décembre 2005
    Messages : 251
    Points : 265
    Points
    265
    Par défaut
    Oui je ne dis pas le contraire. Jen e voulas pas spécialement contredire l'un d'entre vous mais plus faire un résumé pour legens qui connaissent pas du tout.

    Tu souhaites avoir la norme par curiosité ou parce que u souhaites l'implémenté ?

  11. #11
    Membre actif
    Homme Profil pro
    Ingénieur sécurité
    Inscrit en
    juillet 2007
    Messages
    193
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 33
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Ingénieur sécurité
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : juillet 2007
    Messages : 193
    Points : 274
    Points
    274
    Par défaut
    A cours terme c'est de la curiosité, je fais actuellement des tests de pénétrations, j'ai fais de la sécurité orienté système (développement d'exploits, shellcoding, programmation de rootkit ...) mais pas encore de sécurité fonctionnel.

    J'essaye de m’intéresser à tout mais il y a peut-être des opportunités pour que plus tard j'utilise ces normes, disons que je ne veux pas être néophyte si jamais l'occasion se présente.

    Et toi ?

  12. #12
    Membre actif
    Inscrit en
    décembre 2005
    Messages
    251
    Détails du profil
    Informations forums :
    Inscription : décembre 2005
    Messages : 251
    Points : 265
    Points
    265
    Par défaut
    Moi je participe à la mise en place de la norme 27001 dans une entreprise dans le cadre de mon stage donc je suis en plein de dedans

  13. #13
    Membre actif
    Homme Profil pro
    Ingénieur sécurité
    Inscrit en
    juillet 2007
    Messages
    193
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 33
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Ingénieur sécurité
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : juillet 2007
    Messages : 193
    Points : 274
    Points
    274
    Par défaut
    C'est dans le but pour la société d'être certifié ou juste pour usage interne ?
    J'ai lu qu'une 10/15ene de boites seulement sont vraiment certifié 27001 en France.

  14. #14
    Membre habitué
    Homme Profil pro
    Inscrit en
    mars 2011
    Messages
    102
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations forums :
    Inscription : mars 2011
    Messages : 102
    Points : 153
    Points
    153
    Par défaut
    Ce que j'ai compris pour l'instant, c'est que ca pourrait plus remplacer les normes EBIOS ou MEHARI.
    faux:
    ISO 27005 est une norme
    Ebios et Mehari sont des méthodes.
    ce n'est pas la même chose.

    PS: Ebios 2010 et Mehari 2010 sont deux méthodes qui s'appuient fortement sur la norme 27005.

    J'ai lu qu'une 10/15ene de boites seulement sont vraiment certifié 27001 en France.
    Cela est vrai, on est très en retard.. et encore, quand on parle de certification 27001, il faut bien regarder le périmètre.. ce 'nest pas l'entreprise entière qui est certifiée. ça peut être juste un service de l'entreprise. (ils ont l'obligation de dévoiler ce qui est certifié il me semble)

  15. #15
    Membre actif
    Homme Profil pro
    Ingénieur sécurité
    Inscrit en
    juillet 2007
    Messages
    193
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 33
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Ingénieur sécurité
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : juillet 2007
    Messages : 193
    Points : 274
    Points
    274
    Par défaut
    Merci pour cette précision.

    Oui j'ai lu que choisir un périmètre trop petit était risqué car les ayants droits n'aurait pas forcément plus confiance qu'avant l'utilisation de la norme.

  16. #16
    Membre actif
    Inscrit en
    décembre 2005
    Messages
    251
    Détails du profil
    Informations forums :
    Inscription : décembre 2005
    Messages : 251
    Points : 265
    Points
    265
    Par défaut
    Désolé j'avais zappé de répondre.

    C'est dans l'objectif de se faire certifier. Oui il y a peu d'entreprise française ( j'ai vu les chiffres ce matin on en est à 19). Mais perso c'est pour une société basée au Luxembourg.

    Sûr pour la 27005 ? La norme 27001 spécifie qu'il faut obligatoirement procéder à une analyse des risques et spécifier la méthode employé. Or si on met qu'on a procédé à une analyse des risques ISO/IEC27005 c'est tout à fait valide. Il y'a quand même une démarche claire écrit dans cette norme. Il ne me semble pas pas nécéssaire d'introduire EBIOS ou MEHARI ou autre si on s'appuie sur 27005.

  17. #17
    Membre actif
    Inscrit en
    décembre 2005
    Messages
    251
    Détails du profil
    Informations forums :
    Inscription : décembre 2005
    Messages : 251
    Points : 265
    Points
    265
    Par défaut
    Bon en faite j'ai dis de la merde ISO 27005 n'est pas une méthode c'est une norme qui donne un cadre méthodologique . Mea culpa

Discussions similaires

  1. Réponses: 0
    Dernier message: 03/06/2014, 23h33

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo