Le chapitre précédent vous a permis de dresser le bilan inventaire des différentes catégories de matériels homogènes à protéger, et à en déterminer les principaux responsables. Une proposition d’inventaire complet se trouve par ici.
Identifiez les risques
La phase suivante (phase 3 de la méthodologie) s’intéresse à identifier les principaux risques qui pèsent sur le SI, leur origine et la stratégie de mitigation que l’entreprise souhaite y apporter.
Pour mener cette analyse, vous devrez utiliser une des méthodes d’analyse des risques SSI (EBIOS, MEHARI). Pour plus d’informations sur ces méthodes, je vous renvoie au cours (bientôt disponible sur la plateforme.)
Elle trouve souvent sa formalisation en un tableau comme celui-ci :
Marc a choisi de confier l’analyse des risques qui pèsent sur le laboratoire à un prestataire spécialisé, qui vous transmet le tableau récapitulatif suivant :
Origine des risques
"Le périmètre de la PSSI du laboratoire considère des origines de menaces et risques différents :
des risques résultant d’actions ou d’actes malveillants d’origine humaine :
le personnel interne,
des criminels auteurs de vandalismes ou de vols,
des hackers,
l'espionnage industriel ;
des menaces d’origine non humaines :
des catastrophes naturelles,
des incidents sur le réseau électrique.
En revanche, le périmètre de la PSSI du laboratoire ne prend pas en compte l’origine de certains risques particuliers, comme les menaces d’origine étatique."
Principaux risques identifiés
Définissez la stratégie de traitement
Avant d’insérer le document dans la PSSI, vous devez fixer pour chaque risque que l’entreprise rencontre, une stratégie de mitigation. Pour vous aider, EBIOS fournit quatre options de traitement que je vous recommande d'utiliser, les 2 premières étant les plus fréquentes :
réduction. Il s’agit de mettre en place les mesures pour diminuer la vraisemblance et l'impact du risque à un niveau acceptable ;
partage. Ici, on envisage de faire porter le risque ou de le transférer à un tiers (comme un assureur, par exemple) ;
refus. On modifie les applications ou le SI, pour que le risque ne pèse plus ;
maintien. On accepte d’assumer le risque sans prendre d’initiatives particulières.
Dans votre rôle de conseiller SSI du laboratoire, vous proposez à Marc :
d’une part, de rédiger un paragraphe dans la PSSI pour expliciter la position du laboratoire sur la stratégie générale de mitigation du risque ;
d’autre part, une stratégie de traitement pour chaque risque.
Cette analyse, validée par Marc, se formalise sous la forme suivante :
Vous complétez cette vision avec un court paragraphe dans la PSSI qui aborde la stratégie globale de mitigation des risques du laboratoire.
"Les actions de SSI mises en place ont pour objectif de réduire de manière globale l’exposition aux risques. Le tableau précédent précise la stratégie adoptée spécifiquement à chaque risque, de manière à ce que le risque résiduel global soit amené au niveau « Limité ».
Cette stratégie de mitigation des risques s’appuie sur un ensemble de règles organisationnelles et techniques valables sur l’intégralité du périmètre du SI."
Dans ce chapitre, vous avez appris les bons réflexes pour identifier les principaux risques et adopter une stratégie de mitigation globale, mais aussi spécifique à chaque risque. Dans le prochain chapitre, je vous propose d’aborder la dernière phase de notre méthodologie : le choix des exigences et des mesures de sécurité.
En résumé :
Une méthode d’analyse de risque permet d’établir un tableau récapitulatif des risques, de décrire leur vraisemblance et leur gravité ;
Une stratégie globale de risque est spécifiée dans la PPSI, ainsi qu’un traitement (évitement, partage, refus et maintien) pour chaque risque spécifique.