• 4 hours
  • Medium

Free online content available in this course.

course.header.alt.is_video

course.header.alt.is_certifying

Got it!

Last updated on 10/28/20

Identifiez les risques SI

La phase d’appréciation des risques va se dérouler en trois temps. Il faut d’abord les identifier, puis les analyser et enfin les évaluer. À l’issue de cette phase, vous serez capable de déterminer les options de traitement des risques et de déterminer un plan de traitement des risques (qui sera l'objet de la section 3).

Maintenant que vous êtes (presque) un expert, vous avez compris qu’un risque a de multiples composantes. Ainsi, afin d’identifier correctement les risques qui pèsent sur votre SI, il vous faudra identifier tous les facteurs de risques. Pour cela, il faudra vous rapprocher des métiers afin de saisir au plus près le fonctionnement de chaque actif, ses vulnérabilités et les menaces potentielles qui y sont associées.

Cette identification pourra se faire au moyen d’interviews de responsables métiers, de groupes de travail avec les différentes parties prenantes. Quelle que soit la méthode choisie, il vous faudra avoir une attitude de leader tout en restant à l’écoute et proche du terrain, en ne perdant pas de vue votre objectif qui à terme est la maîtrise et le traitement des risques. 

Identifiez les actifs

Qu’il s’agisse d’une machine, d’une application, d’une base de données, d’un process ou d’un contrat de sous-traitance, tous les actifs d’une entreprise ont une valeur qu’il convient de connaître (et/ou de déterminer) afin de définir le niveau de sécurité nécessaire à sa protection. Cependant, une attention particulière devra être portée aux actifs qui ont la  valeur la plus importante pour l’entreprise. 

Gardez aussi à l’esprit la distinction qui vous a été exposée plus tôt entre les actifs primordiaux et les actifs support, car s’ils ont chacun leur importance, le traitement du risque sera différent.

Afin d’être exhaustif dans l’identification des actifs et de déterminer le niveau de protection approprié, il convient d’être précis. Ainsi pour chaque actif, il est de bon ton de déterminer au sein d’un registre :

  • son type : primaire ou support ;

  • son format : physique, logique, etc. ;

  • sa localisation : lieu de stockage ou d’activité ;

  • son propriétaire : responsable opérationnel ou hiérarchique ;

  • sa licence d’utilisation (dans le cadre d’un logiciel, d’une machine, etc.) ;

  • les informations de sauvegarde ;

  • sa valeur : par rapport à l’entreprise et à son activité ;

  • sa sensibilité : critique pour l’entreprise ou non. 

Cet inventaire devra être tenu à jour régulièrement afin de maintenir le niveau d’exigence de l’analyse de risque. Une revue annuelle permet de satisfaire le maintien de cette liste.

Ce type d’inventaire est primordial dans la gestion de risques. Accordez du temps à l’élaboration d’un tel registre, il constitue la base de votre travail.

Identifiez les menaces

 L’identification des menaces doit tenir compte de l’environnement et de la culture de votre entreprise. Afin de déterminer une liste de menaces exhaustive, il vous faudra les identifier de manière générique et par type (action non autorisée, défaillance technique, catastrophe naturelle) puis identifier les menaces individuelles au sein de ces classes génériques. 

Une menace peut avoir de multiples sources. Elle peut être interne à l’entreprise (mauvaise utilisation d’un logiciel) ou externe (catastrophe naturelle), elle peut être d’origine humaine (malveillance) ou naturelle (inondation), enfin elle peut être accidentelle (panne électrique) ou délibérée (malveillance). Je vous renvoie au début du cours si vous avez besoin de vous remémorer tout cela plus en détail. 

Voici une liste d’exemples de menaces par type :

Type de menaces

Exemples

Dommage physique

Feu

Dégât d’eau

Désastre naturel

Phénomène climatique

Inondation

Perte de services essentiels

Panne du système de climatisation

Panne électrique

Perturbations dues à des rayonnement

Rayonnements électromagnétiques

Rayonnements thermiques

Compromission d’information

Vol de supports ou de documents

Données provenant de source non fiable

Défaillance technique

Panne de matériel

Dysfonctionnement d’un logiciel

Actions non autorisées

Utilisation non autorisée du matériel

Reproduction frauduleuse de logiciel

Compromission des fonctions

Usurpation de droit

Identifiez les mesures existantes

Lors de votre analyse de risques, vous n’avez pas l’obligation d’inventer tout un arsenal de mesures toutes plus coûteuses les unes que les autres ! En effet, bien souvent des mesures existantes peuvent être très efficaces et ne nécessitent pas ou peu d’investissements supplémentaires.

L’identification des mesures existantes a d’abord un intérêt opérationnel. Cette action va vous permettre de constater l’efficacité d’une mesure. En effet, si vous identifiez une mesure existante mais que celle ci ne remplit pas sa mission, il conviendra de comprendre pourquoi et de l’améliorer, car surprise : le but d’une mesure est de fonctionner et de réduire l’impact et les conséquences liés aux risques.

Cette identification vous permettra aussi d’éviter la redondance (et donc le surcoût) des mesures de sécurité. Mettre en place sous une autre forme une mesure qui existe déjà est une perte de temps et d’argent, et en sécurité il y a déjà un manque des deux !

Afin de réaliser cette identification des mesures existantes, la revue documentaire est le premier travail. En effet, théoriquement, toutes les mesures mises en place font l’objet d’une documentation (quelque chose me dit que vous feriez bien de vous en assurer), que ce soit dans un rapport d’audit, dans la PSSI ou dans  une revue de direction. Aussi, une visite de site ou un entretien opérationnel permettent également de vérifier la présence ou non ainsi que l'efficacité des mesures existantes et des axes d’amélioration, avec une dimension opérationnelle primordiale dans une analyse de risques.

Dans le cas où vous devriez démarrer vous-même une analyse de risques sans aucun support (bonne chance à vous) il conviendra  d’être particulièrement attentif aux us et coutume en vigueur  – en effet, les habitudes prises sont souvent difficiles à changer (surtout en matière de sécurité) – afin de tendre vers des procédures documentées pour améliorer et maintenir "l’hygiène de sécurité” qui vous semble nécessaire au contexte de votre entreprise...

Dans le cas général, la maturité d’une mesure existante s’évalue sur une échelle à 5 niveaux

  • 0 - Inexistante : pas de processus identifiable ;

  • 1 - Initialisée : problème reconnu mais pas d’approche standardisée ;

  • 2 - Reproductible : des processus existent et sont appliqués par des personnes différentes ;

  • 3 - Définie : procédures standardisées, documentées et communiquées ;

  • 4 - Gérée : le contrôle de la conformité aux procédures est réalisé ;

  • 5 - Optimisée : le processus d’amélioration continue est réalisé et documenté.

Identifiez les vulnérabilités

L’identification des vulnérabilités est directement liée à l’identification des menaces. En effet, un risque se réalise lorsqu’une menace rencontre une vulnérabilité. Il convient donc de déterminer ces vulnérabilités avec les mêmes personnes que vous avez consultées lors de l’identification des menaces. 

Les vulnérabilités dépendent de chaque actif. Tous n’auront pas les mêmes vulnérabilités en fonction de leur nature, de leur format, de leur stockage, etc.

Voici un exemple de vulnérabilités par type :

Type de vulnérabilité

Exemples

Matériel informatique

Maintenance insuffisante

Stockage non protégé

Logiciel

Attribution erronée de droit d’accès

Interface utilisateur compliquée

Réseau

Architecture réseau non sécurisée

Point de défaillance unique

Personnel

Formation insuffisante

Absence de personnel

Site (lieu)

Réseau électrique instable

Site situé en zone inondable

Structure organisationnelle

Absence d’audits réguliers

Absence de procédure d’accès au ressources

Les vulnérabilités peuvent également être identifiées de manière proactive au travers de différents tests de sécurité ou tests d’intrusion. Ainsi, les vulnérabilités sont directement mises en lumière.

Identifiez les conséquences

 Les conséquences d’un scénario d’incident (processus de réalisation du risque) sont étroitement liées à l’établissement du contexte. Un ou plusieurs actifs, ou une partie d’un actif, peuvent être affectés. Les actifs peuvent donc se voir attribuer des valeurs selon les conséquences sur l’activité s’ils sont endommagés ou compromis. Ces conséquences peuvent être temporaires (réparables) ou définitives (destruction de l’actif).

On classe ces conséquences selon les critères de disponibilité, intégrité et confidentialité.  Voici une liste de conséquences qui impactent un ou plusieurs de ces critères :

  • pertes financières ;

  • perte de clientèle ;

  • perte de fournisseurs ;

  • poursuites judiciaires ;

  • perte d’avantage concurrentiel ;

  • perte d'efficacité ;

  • atteinte à la vie privée des clients ;

  • interruption de service ;

  • incapacité de fournir le service ;

  • perte d’image de marque ;

  • atteinte à la sécurité du personnel.

Prenons l’exemple d’un scénario d’incident impactant les différentes composantes évoquées dans cette partie du cours, pour voir un peu ce qu'il en est sur le terrain !

L’entreprise Mistral se rend compte de l’affichage de messages la dénigrant sur son site Internet et invitant les usagers à se tourner vers la concurrence.

Dans ce cas, l’actif primaire est le site Internet de Mistral et son actif support est le serveur hébergeant ce site. Le critère de sécurité impacté ici est clairement l’intégrité du site. La vulnérabilité exploitée sera par exemple une faille de sécurité du serveur web ; la menace, elle, proviendra d’un acteur extérieur malveillant (hacker). La conséquence directe est un déficit d’image pour l’entreprise, et potentiellement la perte de parts de marché.

En résumé :

  • l’appréciation des risques se cadence en trois étapes : 1- Identifier ; 2- Analyser ; 3- Évaluer ;

  • une menace se définit selon deux critères : origine humaine ou naturelle, et accidentelle ou délibérée ;

  • ne passez pas à côté des mesures existantes qui peuvent être très efficaces et ne nécessitent pas ou peu d’investissements supplémentaires ; 

  • les conséquences de la réalisation d’un scénario de risque s’évaluent sur tous les plans : financier, juridique, parts de marché, relations fournisseurs, image de marque, sécurité du personnel, etc.

Example of certificate of achievement
Example of certificate of achievement