Discussion :

[Djug]

Pierre Therrode (pi-2r) vous propose la critique du livre Gestion des risques en sécurité de l'information d'Anne Lupfer

Comment évaluer le risque pour les SI d'entreprise ? Quels risques doit-on accepter de prendre ? La gestion des risques en sécurité de l'information, recommandée par de nombreux référentiels comme la norme ISO 27001, est en train de devenir une obligation pour les responsables de la sécurité de l'information (RSSI), les directeurs des systèmes d'information (DSI), et bien d'autres acteurs de l'entreprise.

Après les démarches locales, comme Ebios et Mehari en France, la norme ISO 27005, première méthode de gestion des risques structurée et normalisée, est appelée à s'imposer à l'échelle planétaire. Facilement accessible, elle propose une approche continue (au quotidien, dans la durée), systématique, pragmatique et adaptée à la réalité complexe des entreprises actuelles. S'appuyant, tout comme la norme, sur des scénarios d'incidents réels, ce guide de mise en oeuvre ISO 27005 dévoile l'essence des années d'expérience et de savoir-faire de l'auteur, et constituera une aide précieuse pour la certification ISO 27005 Risk Manager.

Connaissez-vous ce livre ?
Si oui, partagez-vous l'avis donné dans la critique ?
Sinon, cela vous donne-t-il envie de le lire?

[Elboras]

Je viens justement de commencer à lire le livre "Management de la sécurité de l'information : Implémentation ISO 27001, Mise en place d'un SMSI et audit de certification"

Voici un lien : [ame="http://www.amazon.fr/Management-s%C3%A9curit%C3%A9-linformation-Impl%C3%A9mentation-certification/dp/2212122187/ref=pd_sxp_f_i"]Management de la s?curit? de l'information : Impl?mentation ISO 27001, Mise en place d'un SMSI et audit de certification: Amazon.fr: Alexandre Fernandez-Toro: Livres@@AMEPARAM@@http://ecx.images-amazon.com/images/I/510Vs3BRTbL.@@AMEPARAM@@510Vs3BRTbL[/ame]

L'avez vous lu aussi ?

Je commence à m’intéresser aux normes 27xxx, content de voir que je ne suis pas le seul.

J’achèterais peut-être ce livre une fois avoir lu le mien.

[pi-2r]

Bonsoir,

Je viens justement de commencer à lire le livre "Management de la sécurité de l'information : Implémentation ISO 27001, Mise en place d'un SMSI et audit de certification"

L'avez vous lu aussi ?

euh non pas encore, il faut dire que ce genre de livre demande pas mal de connaissances annexes et même s'il est très bien j'ai eu quelques de difficultés à comprendre certains concepts (en BTS IG on ne voit pas encore ce genre de norme :p )

Je commence à m’intéresser aux normes 27xxx, content de voir que je ne suis pas le seul.

Cette norme commence petit à petit à remplacer la norme ISO 27001

[Elboras]

Bonsoir,


euh non pas encore, il faut dire que ce genre de livre demande pas mal de connaissances annexes et même s'il est très bien j'ai eu quelques de difficultés à comprendre certains concepts (en BTS IG on ne voit pas encore ce genre de norme :p )


Cette norme commence petit à petit à remplacer la norme ISO 27001

Apparament, la norme 27005 n'a pas pour but de remplacer la 27001.
"La nouvelle norme a donc pour but d’aider à mettre en œuvre l’ISO/CEI 27001" sur le site de wikipedia et il est dit la même chose dans mon livre.

Ce que j'ai compris pour l'instant, c'est que ca pourrait plus remplacer les normes EBIOS ou MEHARI.

Je n'ai lu que 50 pages de mon livre pour l'instant, et n'ai pas été formé à ces normes non plus. D'ailleur c'est dommage que dans mon école il n'y ait pas de module à ce sujet.

Tu t'y interesse pour ta culture ou en vu de passer des certifications ?

[pi-2r]

Bonjour,
certes, je vais un peut trop vite, mais je pense que d'ici quelques années la norme ISO 27005 et tout ce qui tourne autour vont remplacer les anciennes (après peut être que je me trompe ).

Tu t'y interesse pour ta culture ou en vu de passer des certifications ?

les 2 car pour le moment je ne peux pas encore passer ce genre de certif ....

[Elboras]

Je continue à lire mon livre sur les certifications 27001 et 27002.
Je me demandais, as tu mis la main sur ces fameuses certifications ?

J'ai vu un site qui les vendait, mais à un prix très élevé, je suis étonné que les certifications ISO ne soient pas gratuites, mais bon, il faut bien vivre.

Une fois que j'aurais fini mes livres actuel, je lirais certainement le livre que tu as lu.

A bientôt

[pi-2r]

Bonjour,

Je me demandais, as tu mis la main sur ces fameuses certifications ?

J'ai vu un site qui les vendait, mais à un prix très élevé, je suis étonné que les certifications ISO ne soient pas gratuites, mais bon, il faut bien vivre.

euh, ce genre de certification sont difficilement trouvable car non orienté grand public ( a la différence de certaines certification comme CEH ou CHFI). Après, c'est vrai que ce genre de certif coûte très chers...

[sneb5757]

Sur quoi t'appuie tu pour dire que la norme ISO 27005 va remplacer ISO 27001 ??

ISO 27001 explique comment mettre en place un system de management de la sécurité de l'information sur le modele Plan Do Check Act. Ce system de management sera certifié par un organisme indépendant accrédité par l'organisme d'accréditation du pays ( AFNOR en France). La norme précise que la mise en place d'un SMSI doit comporter une analyse des risques mais ne précise pas la méthode. Tu peux utiliser ce que tu veux : MEHARI,MARION, ta methode maison ou 27005

ISO 27005 est donc un outil pour la gestion des risques. Le principe d'amélioration continue PDCA est toujours présent afin de faire une analyse des risques mis à jour régulièrement. En revanche ce ne sont pas les entreprises qui se font certifié 27005 mais des individus ( 27005 risk manager).

Voilà . Même si je pense que tu sais tout ça mon post est juste une overview rapide pour les personnes ne connaissant pas du tout ces notions

[Elboras]

oui voila c'est ce que je disais un peu plus haut.

Surtout qu'en soit la norme ISO 27001 est très courte (une 30ene de pages de mémoire). Elle ne donne que les grandes lignes, et est complété par les autres normes ISO pour montrer comment mettre en oeuvre l'ISO 27001

[sneb5757]

Oui je ne dis pas le contraire. Jen e voulas pas spécialement contredire l'un d'entre vous mais plus faire un résumé pour legens qui connaissent pas du tout.

Tu souhaites avoir la norme par curiosité ou parce que u souhaites l'implémenté ?

[Elboras]

A cours terme c'est de la curiosité, je fais actuellement des tests de pénétrations, j'ai fais de la sécurité orienté système (développement d'exploits, shellcoding, programmation de rootkit ...) mais pas encore de sécurité fonctionnel.

J'essaye de m’intéresser à tout mais il y a peut-être des opportunités pour que plus tard j'utilise ces normes, disons que je ne veux pas être néophyte si jamais l'occasion se présente.

Et toi ?

[sneb5757]

Moi je participe à la mise en place de la norme 27001 dans une entreprise dans le cadre de mon stage donc je suis en plein de dedans

[Elboras]

C'est dans le but pour la société d'être certifié ou juste pour usage interne ?
J'ai lu qu'une 10/15ene de boites seulement sont vraiment certifié 27001 en France.

[Trankille]

Ce que j'ai compris pour l'instant, c'est que ca pourrait plus remplacer les normes EBIOS ou MEHARI.

faux:
ISO 27005 est une norme
Ebios et Mehari sont des méthodes.
ce n'est pas la même chose.

PS: Ebios 2010 et Mehari 2010 sont deux méthodes qui s'appuient fortement sur la norme 27005.

J'ai lu qu'une 10/15ene de boites seulement sont vraiment certifié 27001 en France.

Cela est vrai, on est très en retard.. et encore, quand on parle de certification 27001, il faut bien regarder le périmètre.. ce 'nest pas l'entreprise entière qui est certifiée. ça peut être juste un service de l'entreprise. (ils ont l'obligation de dévoiler ce qui est certifié il me semble)

[Elboras]

Merci pour cette précision.

Oui j'ai lu que choisir un périmètre trop petit était risqué car les ayants droits n'aurait pas forcément plus confiance qu'avant l'utilisation de la norme.

[sneb5757]

Désolé j'avais zappé de répondre.

C'est dans l'objectif de se faire certifier. Oui il y a peu d'entreprise française ( j'ai vu les chiffres ce matin on en est à 19). Mais perso c'est pour une société basée au Luxembourg.

Sûr pour la 27005 ? La norme 27001 spécifie qu'il faut obligatoirement procéder à une analyse des risques et spécifier la méthode employé. Or si on met qu'on a procédé à une analyse des risques ISO/IEC27005 c'est tout à fait valide. Il y'a quand même une démarche claire écrit dans cette norme. Il ne me semble pas pas nécéssaire d'introduire EBIOS ou MEHARI ou autre si on s'appuie sur 27005.

[sneb5757]

Bon en faite j'ai dis de la merde ISO 27005 n'est pas une méthode c'est une norme qui donne un cadre méthodologique . Mea culpa