![Page 1: WORKSHOP MONARC (MÉTHODE OPTIMISÉE D’ANALYSE DES …](https://reader035.vdocuments.us/reader035/viewer/2022062403/62ab4451b276f23b974c3deb/html5/thumbnails/1.jpg)
WORKSHOP MONARC(MÉTHODE OPTIMISÉE D’ANALYSE DES RISQUES CASES)
FORMATION MONARC V2.0
![Page 2: WORKSHOP MONARC (MÉTHODE OPTIMISÉE D’ANALYSE DES …](https://reader035.vdocuments.us/reader035/viewer/2022062403/62ab4451b276f23b974c3deb/html5/thumbnails/2.jpg)
SECURITYMADEIN.LU
Forme juridique: G.I.E (Groupement d’Intérêt Economique)
www.securitymadein.lu
www.cases.lu
2
![Page 3: WORKSHOP MONARC (MÉTHODE OPTIMISÉE D’ANALYSE DES …](https://reader035.vdocuments.us/reader035/viewer/2022062403/62ab4451b276f23b974c3deb/html5/thumbnails/3.jpg)
AGENDA
Qu’est-ce que MONARC ?
Découverte et utilisation de l’outil
Déroulement de la méthode
Trucs & Astuces
3
![Page 4: WORKSHOP MONARC (MÉTHODE OPTIMISÉE D’ANALYSE DES …](https://reader035.vdocuments.us/reader035/viewer/2022062403/62ab4451b276f23b974c3deb/html5/thumbnails/4.jpg)
MONARC : MÉTHODE OPTIMISÉE D’ANALYSE DES RISQUES CASES
4
Implémentation et monitoring
Modélisation
du contexte
Évaluation et traitement des
risques
Méthode d’analyse des risques
• Itérative
• Plan
• Do
• Check
• Act
• Qualitative : Valeurs /
conséquences
• Réputation, Image
• Opération
• Légal
• Financier
• Personne (à la)
• …
• Structurée
1. …
2. …
n. …
Outil
![Page 5: WORKSHOP MONARC (MÉTHODE OPTIMISÉE D’ANALYSE DES …](https://reader035.vdocuments.us/reader035/viewer/2022062403/62ab4451b276f23b974c3deb/html5/thumbnails/5.jpg)
MONARC : LA MÉTHODE
5
![Page 6: WORKSHOP MONARC (MÉTHODE OPTIMISÉE D’ANALYSE DES …](https://reader035.vdocuments.us/reader035/viewer/2022062403/62ab4451b276f23b974c3deb/html5/thumbnails/6.jpg)
MONARC : À RETENIR
6
Open sourcewww.github.com/CASES-LU/MonarcAppFO
AGPL v3.0 (GNU Affero General Public License version 3)
Gestion de risques
Risques de l’information (R = I x M x V)
Impact sur le CID
Actifs secondaires
Risques opérationnels (R = I x P)
Impact sur le ROLFP
Brut/Net
Actifs primaires
Partage des modèles de risques
Optimisée (modèles, livrables, héritage, globalisation)
![Page 7: WORKSHOP MONARC (MÉTHODE OPTIMISÉE D’ANALYSE DES …](https://reader035.vdocuments.us/reader035/viewer/2022062403/62ab4451b276f23b974c3deb/html5/thumbnails/7.jpg)
AGENDA
Qu’est-ce que MONARC ?
Découverte et utilisation de l’outil
Déroulement de la méthode
Trucs & Astuces
7
![Page 8: WORKSHOP MONARC (MÉTHODE OPTIMISÉE D’ANALYSE DES …](https://reader035.vdocuments.us/reader035/viewer/2022062403/62ab4451b276f23b974c3deb/html5/thumbnails/8.jpg)
PRINCIPALES FONCTIONNALITÉS
Démonstration8
![Page 9: WORKSHOP MONARC (MÉTHODE OPTIMISÉE D’ANALYSE DES …](https://reader035.vdocuments.us/reader035/viewer/2022062403/62ab4451b276f23b974c3deb/html5/thumbnails/9.jpg)
AGENDA
Qu’est-ce que MONARC ?
Découverte et utilisation de l’outil
Déroulement de la méthode
Trucs & Astuces
9
![Page 10: WORKSHOP MONARC (MÉTHODE OPTIMISÉE D’ANALYSE DES …](https://reader035.vdocuments.us/reader035/viewer/2022062403/62ab4451b276f23b974c3deb/html5/thumbnails/10.jpg)
MONARC : LA MÉTHODE EN DÉTAIL
10
![Page 11: WORKSHOP MONARC (MÉTHODE OPTIMISÉE D’ANALYSE DES …](https://reader035.vdocuments.us/reader035/viewer/2022062403/62ab4451b276f23b974c3deb/html5/thumbnails/11.jpg)
1.1 – CONTEXTE DE L’ANALYSE DES RISQUES
Démonstration
• Phase de découverte de l’organisme cible
• Parallèle avec ISO 27005:2011
• Considérations générales : Chapitre 7.1
• Approche de la gestion des risques : Chapitre 7.2.1
• Critères de base : Chapitres 7.2.2, 7.2.3, 7.2.4
• Cibles et limites : Chapitre 7.3 11
![Page 12: WORKSHOP MONARC (MÉTHODE OPTIMISÉE D’ANALYSE DES …](https://reader035.vdocuments.us/reader035/viewer/2022062403/62ab4451b276f23b974c3deb/html5/thumbnails/12.jpg)
1.2 – ÉVALUATION DES TENDANCES
• Kick-off meeting : Personnes clés (management, chefs de services, IT, Qualité …)
• Questions larges pour découvrir le contexte
• Précise le scope et le focus de l’analyse
• Collecte de l’information
Démonstration12
![Page 13: WORKSHOP MONARC (MÉTHODE OPTIMISÉE D’ANALYSE DES …](https://reader035.vdocuments.us/reader035/viewer/2022062403/62ab4451b276f23b974c3deb/html5/thumbnails/13.jpg)
1.2 – ÉVALUATION DES MENACES
• Parcourir la plupart des menaces, faire parler le groupe, découvrir le contexte
• Collecter de l’information avant interviews face à face
Démonstration13
![Page 14: WORKSHOP MONARC (MÉTHODE OPTIMISÉE D’ANALYSE DES …](https://reader035.vdocuments.us/reader035/viewer/2022062403/62ab4451b276f23b974c3deb/html5/thumbnails/14.jpg)
1.2 – RÉSUMÉ
• Résumé de l’information pertinente collectée pendant l’évaluation des tendances et des menaces.
• Ce texte permet d’étoffer le livrable.
Démonstration14
![Page 15: WORKSHOP MONARC (MÉTHODE OPTIMISÉE D’ANALYSE DES …](https://reader035.vdocuments.us/reader035/viewer/2022062403/62ab4451b276f23b974c3deb/html5/thumbnails/15.jpg)
1.3 – ORGANISATION DE LA GESTION DES RISQUES
• Complément d’information sur la gestion des risques dans l’organisme
• Parallèle avec ISO 27005:2011
• Organisation de la gestion des risques : Chapitre 7.4
Démonstration15
![Page 16: WORKSHOP MONARC (MÉTHODE OPTIMISÉE D’ANALYSE DES …](https://reader035.vdocuments.us/reader035/viewer/2022062403/62ab4451b276f23b974c3deb/html5/thumbnails/16.jpg)
1.4 – DÉFINITION DES CRITÈRES D’ÉVALUATION, D’ACCEPTATION ET D’IMPACT
• Parallèle avec ISO 27005:2011
• Organisation de la gestion des risques : Chapitre 7.2,2, 7.2.3, 7.2.4
Démonstration16
![Page 17: WORKSHOP MONARC (MÉTHODE OPTIMISÉE D’ANALYSE DES …](https://reader035.vdocuments.us/reader035/viewer/2022062403/62ab4451b276f23b974c3deb/html5/thumbnails/17.jpg)
1.5 – LIVRABLE : VALIDATION DU CONTEXTE
• Reprise de toutes les informations collectées et saisies lors de la phase d’établissement du contexte.
• Utilisé pour valider les informations avant de commencer l’identification des risques.
• Format de sortie : Microsoft Word
Démonstration17
![Page 18: WORKSHOP MONARC (MÉTHODE OPTIMISÉE D’ANALYSE DES …](https://reader035.vdocuments.us/reader035/viewer/2022062403/62ab4451b276f23b974c3deb/html5/thumbnails/18.jpg)
18
Processus
Actifs primaires
(Business)
Actifs secondaires
(de support)
Service Information
Les risques cumulés des actifs de support remontent vers les actifs business
par héritage des critères CID
2.1 – IDENTIFICATION DES ACTIFS, DES VULNÉRABILITÉS ET ÉVALUATION DES IMPACTS
![Page 19: WORKSHOP MONARC (MÉTHODE OPTIMISÉE D’ANALYSE DES …](https://reader035.vdocuments.us/reader035/viewer/2022062403/62ab4451b276f23b974c3deb/html5/thumbnails/19.jpg)
FORMALISATION DE LA MODÉLISATION
19
Type d’actif
Hiérarchie des actifs
Actifs
secondaires
Actif
primaire
OV_BATI
[SERV]
[CONT]
[OV_BATI]
[OV_UTIL]
[OV_LOGICIEL]
[OV_MAINTENANCE]
[OV_POSTE_FIXE]
![Page 20: WORKSHOP MONARC (MÉTHODE OPTIMISÉE D’ANALYSE DES …](https://reader035.vdocuments.us/reader035/viewer/2022062403/62ab4451b276f23b974c3deb/html5/thumbnails/20.jpg)
ACTIF « GLOBAL » OU « LOCAL »
20
“Local” “Global”
21 risques30 risques
![Page 21: WORKSHOP MONARC (MÉTHODE OPTIMISÉE D’ANALYSE DES …](https://reader035.vdocuments.us/reader035/viewer/2022062403/62ab4451b276f23b974c3deb/html5/thumbnails/21.jpg)
MODÉLISATION CASES
21
Service Information
Back-Office
Front-Office
![Page 22: WORKSHOP MONARC (MÉTHODE OPTIMISÉE D’ANALYSE DES …](https://reader035.vdocuments.us/reader035/viewer/2022062403/62ab4451b276f23b974c3deb/html5/thumbnails/22.jpg)
• Vue principale de MONARC
• Création de modèle de risques
• Parallèle avec ISO 27005:2011
• Identification des actifs : Chapitre 8.2.2
• Identification des vulnérabilités : Chapitre 8.2.5
2.1 – IDENTIFICATION DES ACTIFS, DES VULNÉRABILITÉS ET APPRÉCIATION DES IMPACTS
Démonstration22
![Page 23: WORKSHOP MONARC (MÉTHODE OPTIMISÉE D’ANALYSE DES …](https://reader035.vdocuments.us/reader035/viewer/2022062403/62ab4451b276f23b974c3deb/html5/thumbnails/23.jpg)
• Vue principale de MONARC
• Appréciation des impacts et des conséquences
• Parallèle avec ISO 27005:2011
• Appréciation de conséquences : Chapitre 8.3.2
2.1 – IDENTIFICATION DES ACTIFS, DES VULNÉRABILITÉS ET APPRÉCIATION DES IMPACTS
Démonstration23
![Page 24: WORKSHOP MONARC (MÉTHODE OPTIMISÉE D’ANALYSE DES …](https://reader035.vdocuments.us/reader035/viewer/2022062403/62ab4451b276f23b974c3deb/html5/thumbnails/24.jpg)
• Contenu rédactionnel qui justifie le choix des actifs et des impacts
• Destiné à étoffer le livrable.
2.2 – SYNTHÈSE DES ACTIFS / IMPACTS
Démonstration24
![Page 25: WORKSHOP MONARC (MÉTHODE OPTIMISÉE D’ANALYSE DES …](https://reader035.vdocuments.us/reader035/viewer/2022062403/62ab4451b276f23b974c3deb/html5/thumbnails/25.jpg)
• Reprise des actifs primaires importants du modèle (Critères d’impacts fixés)
• Reprise synthèse des actifs.
• Format de sortie : Microsoft Word
2.3 – LIVRABLE : VALIDATION DU MODÈLE
Démonstration25
![Page 26: WORKSHOP MONARC (MÉTHODE OPTIMISÉE D’ANALYSE DES …](https://reader035.vdocuments.us/reader035/viewer/2022062403/62ab4451b276f23b974c3deb/html5/thumbnails/26.jpg)
3.1 – ESTIMATION, ÉVALUATION ET TRAITEMENT DES RISQUES
• Vue principale de MONARC
• Évaluation de quelques risques de l’information
Démonstration26
![Page 27: WORKSHOP MONARC (MÉTHODE OPTIMISÉE D’ANALYSE DES …](https://reader035.vdocuments.us/reader035/viewer/2022062403/62ab4451b276f23b974c3deb/html5/thumbnails/27.jpg)
3.1 – ESTIMATION, ÉVALUATION ET TRAITEMENT DES RISQUES
• Vue principale de MONARC
• Évaluation de quelques risques opérationnels
Démonstration27
![Page 28: WORKSHOP MONARC (MÉTHODE OPTIMISÉE D’ANALYSE DES …](https://reader035.vdocuments.us/reader035/viewer/2022062403/62ab4451b276f23b974c3deb/html5/thumbnails/28.jpg)
3.1 – ESTIMATION, ÉVALUATION ET TRAITEMENT DES RISQUES
• Fiche de risque
• Création de recommandations
Démonstration28
![Page 29: WORKSHOP MONARC (MÉTHODE OPTIMISÉE D’ANALYSE DES …](https://reader035.vdocuments.us/reader035/viewer/2022062403/62ab4451b276f23b974c3deb/html5/thumbnails/29.jpg)
3.2 – GESTION DU PLAN DE TRAITEMENT DES RISQUES
• Liste de tous les risques faisant l’objet d’une recommandation
• Risques de l’information et risques opérationnels.
Démonstration29
![Page 30: WORKSHOP MONARC (MÉTHODE OPTIMISÉE D’ANALYSE DES …](https://reader035.vdocuments.us/reader035/viewer/2022062403/62ab4451b276f23b974c3deb/html5/thumbnails/30.jpg)
• Reprise exhaustive de toutes les informations collectées et saisies
• Possibilité de saisir un résumé de l’analyse.
• Format de sortie : Microsoft Word
3.3 – LIVRABLE : RAPPORT FINAL
Démonstration30
![Page 31: WORKSHOP MONARC (MÉTHODE OPTIMISÉE D’ANALYSE DES …](https://reader035.vdocuments.us/reader035/viewer/2022062403/62ab4451b276f23b974c3deb/html5/thumbnails/31.jpg)
4.1 – GESTION DE L’IMPLÉMENTATION DES RECOMMANDATIONS
• Affection de responsables et délais pour la mise en place des recommandations
Démonstration31
![Page 32: WORKSHOP MONARC (MÉTHODE OPTIMISÉE D’ANALYSE DES …](https://reader035.vdocuments.us/reader035/viewer/2022062403/62ab4451b276f23b974c3deb/html5/thumbnails/32.jpg)
4.1 – GESTION DE L’IMPLÉMENTATION DES RECOMMANDATIONS
• Validation risque par risque du changement d’état
• Changement valeur du risque : Risque visé devient risque actuel
Démonstration32
![Page 33: WORKSHOP MONARC (MÉTHODE OPTIMISÉE D’ANALYSE DES …](https://reader035.vdocuments.us/reader035/viewer/2022062403/62ab4451b276f23b974c3deb/html5/thumbnails/33.jpg)
AGENDA
Qu’est-ce que MONARC ?
Découverte et utilisation de l’outil
Déroulement de la méthode
Trucs & Astuces
33
![Page 34: WORKSHOP MONARC (MÉTHODE OPTIMISÉE D’ANALYSE DES …](https://reader035.vdocuments.us/reader035/viewer/2022062403/62ab4451b276f23b974c3deb/html5/thumbnails/34.jpg)
1. Création d’un type d’actif
2. Création d’une menace
3. Création vulnérabilité
4. Association Actif / Menace / Vulnérabilité
5. Création actif dans la bibliothèque
6. Utilisation de l’actif dans l’analyse
CRÉATION D’UN NOUVEAU RISQUE
Démonstration34
![Page 35: WORKSHOP MONARC (MÉTHODE OPTIMISÉE D’ANALYSE DES …](https://reader035.vdocuments.us/reader035/viewer/2022062403/62ab4451b276f23b974c3deb/html5/thumbnails/35.jpg)
• Possibilité d’importer et d’exporter des actifs :
• de la bibliothèque
• de l‘analyse, avec ou sans l’évaluation .
IMPORT / EXPORT ACTIF
Démonstration35