• 8 heures
  • Difficile

Ce cours est visible gratuitement en ligne.

course.header.alt.is_video

course.header.alt.is_certifying

J'ai tout compris !

Mis à jour le 29/07/2024

Identifiez les principaux risques et la stratégie de mitigation

Le chapitre précédent vous a permis de dresser le bilan inventaire des différentes catégories de matériels homogènes à protéger, et à en déterminer les principaux responsables. Une proposition d’inventaire complet se trouve par ici.

Identifiez les risques

La phase suivante (phase 3 de la méthodologie) s’intéresse à identifier les principaux risques qui pèsent sur le SI, leur origine et la stratégie de mitigation que l’entreprise souhaite y apporter.

Pour mener cette analyse, vous devrez utiliser une des méthodes d’analyse des risques SSI (EBIOS, MEHARI). Pour plus d’informations sur ces méthodes, je vous renvoie au cours (bientôt disponible sur la plateforme.)

Elle trouve souvent sa formalisation en un tableau comme celui-ci :

Risque, source, impact, gravité, vraisemblance, niveau de risque
Tableau de formalisation des risques

Marc a choisi de confier l’analyse des risques qui pèsent sur le laboratoire à un prestataire spécialisé, qui vous transmet le tableau récapitulatif suivant :

Origine des risques
"Le périmètre de la PSSI du laboratoire considère des origines de menaces et risques différents :

  • des risques résultant d’actions ou d’actes malveillants d’origine humaine :

    • le personnel interne,

    • des criminels auteurs de vandalismes ou de vols,

    • des hackers,

    • l'espionnage industriel ;

  • des menaces d’origine non humaines : 

    • des catastrophes naturelles,

    • des incidents sur le réseau électrique.

En revanche, le périmètre de la PSSI du laboratoire ne prend pas en compte l’origine de certains risques particuliers, comme les menaces d’origine étatique."

Principaux risques identifiés

Evénement redouté Source Ref Impacts Gravité Vraisemblance Niveau de risque Fuite du savoir-faire de l’entreprise Recrutement par des états ou labo concurrents R 01 Gouvernance S I Modéré Espionnage industriel R 02 Financier Gouvernance G P Modér
Tableau récapitulatif des risques dans le contexte du laboratoire PM27

Définissez la stratégie de traitement

Avant d’insérer le document dans la PSSI, vous devez fixer pour chaque risque que l’entreprise rencontre, une stratégie de mitigation. Pour vous aider, EBIOS fournit quatre options de traitement que je vous recommande d'utiliser, les 2 premières étant les plus fréquentes :

  • réduction. Il s’agit de mettre en place les mesures pour diminuer la vraisemblance et l'impact du risque à un niveau acceptable ;

  • partage. Ici, on envisage de faire porter le risque ou de le transférer à un tiers (comme un assureur, par exemple) ;

  • refus. On modifie les applications ou le SI, pour que le risque ne pèse plus ;

  • maintien. On accepte d’assumer le risque sans prendre d’initiatives particulières.

Dans votre rôle de conseiller SSI du laboratoire, vous proposez à Marc :

  • d’une part, de rédiger un paragraphe dans la PSSI pour expliciter la position du laboratoire sur la stratégie générale de mitigation du risque ;

  • d’autre part, une stratégie de traitement pour chaque risque.

Cette analyse, validée par Marc, se formalise sous la forme suivante :

Evénement redouté Source Ref Impacts Gravité Vraisemblance Niveau de risque Stratégie  de traitement Fuite du savoir-faire de l’entreprise Recrutement par des états ou labo concurrents R 01 Gouvernance S I Modéré Réduction  Espionnage industriel
Proposition de stratégies de traitement dans le contexte du laboratoire PM27

Vous complétez cette vision avec un court paragraphe dans la PSSI qui aborde la stratégie globale de mitigation des risques du laboratoire.

"Les actions de SSI mises en place ont pour objectif de réduire de manière globale l’exposition aux risques. Le tableau précédent précise la stratégie adoptée spécifiquement à chaque risque, de manière à ce que le risque résiduel global soit amené au niveau « Limité ».

Cette stratégie de mitigation des risques s’appuie sur un ensemble de règles organisationnelles et techniques valables sur l’intégralité du périmètre du SI." 

Dans ce chapitre, vous avez appris les bons réflexes pour identifier les principaux risques et adopter une stratégie de mitigation globale, mais aussi spécifique à chaque risque. Dans le prochain chapitre, je vous propose d’aborder la dernière phase de notre méthodologie : le choix des exigences et des mesures de sécurité.

En résumé :

  • Une méthode d’analyse de risque permet d’établir un tableau récapitulatif des risques, de décrire leur vraisemblance et leur gravité ;

  • Une stratégie globale de risque est spécifiée dans la PPSI, ainsi qu’un traitement (évitement, partage, refus et maintien) pour chaque risque spécifique.

Exemple de certificat de réussite
Exemple de certificat de réussite