• 4 hours
  • Medium

Free online content available in this course.

course.header.alt.is_video

course.header.alt.is_certifying

Got it!

Last updated on 10/28/20

Définissez ce qu’est un risque en sécurité de l’information

C'est parti !

Consciemment ou non, une analyse de risques se cache derrière chaque décision de votre vie quotidienne, de la plus simple (traverser la rue) à la plus critique (accepter de recevoir un traitement de soins expérimental).

Que ce soit sur le plan physique, émotionnel ou encore financier, vous cherchez de façon logique à assurer votre sécurité. Pour y parvenir, vous mesurez l’effet de l’incertitude sur l’atteinte de vos objectifs en évaluant les impacts qui en découlent, qu’ils soient positifs ou négatifs. Vous associez alors les impacts négatifs à un risque : risque de vous faire cambrioler si vous laissez vos fenêtres ouvertes en temps de canicule, risque de vous faire tremper si vous sortez sans parapluie, risque de perdre vos économies si vous misez tout sur le 5 rouge.

Tout comme vous, une organisation se doit d’identifier ses exigences en matière de sécurité : quelles informations doivent être protégées ? Contre quoi ? Et comment ? L’analyse des risques SI vise à répondre à ces questions.

Ne tournons plus autour du pot. Allez-y, prenez votre respiration... 3, 2, 1…

5 répétitions à voix haute plus tard, cela ne vous semble toujours pas d’une évidence déconcertante ? Pas de panique ! C’est tout à fait normal et l’objectif de ce chapitre est justement de décortiquer les termes un à un.

Identifiez ce qu'est un actif

Qu’est-ce qu’un actif ? 

  • Un serveur informatique ? 

  • Les applications qui y sont installées ? 

  • La procédure pour mettre à jour ces applications ?

Les trois réponses sont correctes.

Il faut ensuite distinguer les actifs primaires des actifs de support :

  • un actif primaire désigne un service, un processus ou une information ; 

  • un actif de support désigne un élément de support (comme son nom l’indique) à un actif primaire. Cela englobe notamment les matériels, les logiciels, les réseaux, le personnel ou encore les locaux de l’organisation. 

Mistral Assurance, notre cas d'étude pour ce cours
Mistral Assurance, notre cas d'étude pour ce cours

Prenons cet exemple : l’assureur “Mistral”, une compagnie spécialisée dans les assurances de bateaux. Quels peuvent être ses actifs primaires ? Les modèles statistiques évaluant la tarification des contrats en fonction de critères spécifiques (ex. : type de bateau, taille du bateau, valeur du bateau, expérience du navigateur), par exemple. Les serveurs sur lesquels tournent ces modèles statistiques sont quant à eux des actifs de support.

En tout état de cause, il est important de garder à l’esprit que tout actif présente des vulnérabilités

Identifiez ce qu'est une vulnérabilité

Reprenons l’exemple des serveurs de calculs de tarification de “Mistral”. L’incapacité de traiter un certain volume de données présente une vulnérabilité intrinsèque, tandis que son hébergement en sous-sol inondable présente une vulnérabilité extrinsèque. 

Lorsqu’une vulnérabilité est exploitée, on parle alors de menace.

Identifiez ce qu'est une menace

Il existe plusieurs types de menaces, dont voici quelques exemples :

  • les dommages physiques (incendie) ;

  • les catastrophes naturelles (inondation) ;

  • les pertes de services (panne électrique) ;

  • les compromissions d’informations ou de fonctions (vol de documents ou usurpation de droits) ;

  • les actions non autorisées (utilisation non autorisée du matériel).

Identifiez ce qu'est un impact

On parle communément de critères DICT. Ceux-ci sont généralement notés sur une échelle variant de 1 à 4, exprimant les besoins en termes de disponibilité, intégrité et confidentialité.

Les plus attentifs d'entre vous auront noté le "T" et se demanderont à quoi il correspond. Il y a en réalité un quatrième critère, "Traçabilité", exprimant le besoin de preuve (la garantie que les accès et tentatives d'accès aux éléments considérés sont tracés et que ces traces sont conservées et exploitables). Il est moins commun, mais sachez qu'il existe et est utilisé dans certains cas. On peut également utiliser un autre critère tel que la non-répudiation (aucun utilisateur ne doit pouvoir contester les opérations qu'il a réalisées dans le cadre de ses actions autorisées, et aucun tiers ne doit pouvoir s'attribuer les actions d'un autre utilisateur).

Reprenons pour bien comprendre ces notions :

  • la disponibilité : l'accès aux ressources du système d'information doit être permanent et sans faille durant les plages d'utilisation prévues ;

  • l’intégrité : les données doivent être celles que l'on attend, et ne doivent pas être altérées de façon fortuite, illicite ou malveillante. En clair, les éléments considérés doivent être exacts et complets ;

  • la confidentialité : seules les personnes autorisées peuvent avoir accès aux informations qui leur sont destinées. Tout accès indésirable doit être empêché.

Dans le cas de notre assureur de bateaux “Mistral”, la disponibilité du serveur de calculs correspond à sa capacité à exécuter les programmes lorsque nécessaire, l’intégrité correspond à l’exactitude et à l’exhaustivité des résultats des programmes et la confidentialité à l’accès aux données uniquement par les personnes autorisées (les actuaires et commerciaux).

Un impact sur un actif peut conduire à une ou plusieurs conséquence(s). Une conséquence peut affecter l’organisme sur plusieurs plans (financier, juridique, commercial, productivité et image de marque) et se mesure généralement sur une échelle à trois niveaux :

  1. Pas de dommage significatif pour l’organisme. Conséquence négligeable.

  2. Dommage important.

  3. Dommage extrêmement grave.

Identifiez ce qu'est la vraisemblance

La vraisemblance combine deux notions :

1. La probabilité d’occurrence du scénario de risque.

Tableau de probabilité d’occurrence du scénario de risque
Tableau de probabilité d’occurrence du scénario de risque

Ce tableau est également accessible en format Excel. 

2. La complexité d’exécution du scénario de risque.

La complexité d’exécution du scénario de risque
La complexité d’exécution du scénario de risque

Ce tableau est également accessible en format Excel. 

En combinant ces deux notions, on aboutit à la matrice de vraisemblance ci-dessous :

La matrice de vraisemblance
La matrice de vraisemblance

Ce tableau est également accessible en format Excel. 

La matrice de vraisemblance pourra prendre la forme que vous souhaitez ! L’idée étant de combiner les deux variables de vraisemblance et de complexité d’exploitation de la vulnérabilité.

Finalement, identifiez ce qu'est un risque en systèmes d’information

Reprenons ensemble : en système d’information, un risque se définit comme la vraisemblance qu’une menace exploite une vulnérabilité afin d’impacter un actif.

Eh oui, cette fois-ci une seule fois aura suffit !  Vous comprenez désormais aisément que pour qu’un scénario de risque se réalise, il faut que 4 composantes soient réunies : vulnérabilité, menace, impact et conséquence.

Félicitations, il n’y a désormais plus de doute, vous êtes devenu champion en définition du risque en systèmes d’information !

Allons plus loin en précisant deux choses :

  • premièrement, pour être compréhensible du management, un risque se formule surtout sous forme d’un scénario.

Dans le cas de notre assureur “Mistral”, un scénario de risque peut être le suivant :

“En raison de l’absence d’une procédure de gestion des droits du personnel sortant (vulnérabilité), un ancien développeur malveillant (menace) communique les modèles statistiques de tarification à son nouvel employeur qui est un concurrent direct (impact en termes de confidentialité). À la suite de cette attaque, Mistral perd de nombreuses parts du marché (conséquence) ;

  • deuxièmement, précisons que quelles que soient les mesures que vous prendrez pour anticiper un risque, rien n'est garanti.

Prenons l'exemple de votre porte d'entrée. En ayant étudié le quartier environnant, vous vous êtes aperçu que de nombreux cambriolages avaient lieu autour de chez vous. Votre mesure sera donc d'investir dans une porte blindée. Cependant, aussi résistante soit-elle, si le cambrioleur dispose de temps et de moyens efficaces, il entrera. Le parallèle entre sécurité physique et logique (système d'information) se comprend ainsi aisément.

Mettre en place les mécanismes de sécurité les plus puissants ne vous garantira pas qu'un hacker ne pénétrera pas votre réseau. Si vos mesures sont efficaces, il déclenchera en revanche probablement une alarme ou se fera repérer par les nuisances causées. Tout bon “risk manager” doit admettre dès le départ qu'il viendra un jour où il subira une attaque, intrusion... il faut s'y préparer : c'est le but ultime de votre analyse de risques !

En résumé :

  • un risque se définit comme la vraisemblance qu’une menace exploite une vulnérabilité afin d’impacter un actif ;

  • on ne peut pas parler de risque sans que les 4 composantes suivantes soient réunies : vulnérabilité, menace, impact et conséquence ;

  • les impacts business d’un risque s’évaluent en termes de DICT (Disponibilité, Intégrité, Confidentialité et Traçabilité)

Example of certificate of achievement
Example of certificate of achievement