Avant de vous lancer tête baissée dans votre analyse des risques SI, prenez le temps d’établir le contexte de l’organisme que vous souhaitez protéger. Il est essentiel de comprendre son fonctionnement, d’identifier les parties prenantes, de dessiner le périmètre de votre analyse et de déterminer les critères de risque.
Prenons l’exemple d’une tempête maritime. Dans le cas de notre assureur “Mistral” spécialisé en bateaux, une tempête représente un risque négatif (les bateaux se retrouveront chavirés et abîmés par la puissance des courants). Si l’on se positionne du point de vue d’une centrale hydraulique maritime, cette tempête représente un risque positif qui accroîtra fortement la production d’électricité.
Comprenez votre organisation
Identifiez son activité interne
L’activité interne d’une organisation peut être décrite en répondant aux questions suivantes :
Quelle est sa mission principale, c’est-à-dire la raison de sa présence sur le marché ?
Comment est-elle structurée ? Quelles sont les cellules décisionnaires, de pilotage et opérationnelles ?
Quels sont ses objectifs (en termes de parts de marché, de croissance et de chiffre d’affaires) et quelle est sa stratégie pour y parvenir ?
Quelles sont les valeurs véhiculées et partagées par l’ensemble des collaborateurs ?
Une fois ces réponses apportées, vous serez plus à même d’identifier les enjeux de sécurité et les facteurs de risque inhérents à l’organisme.
Identifiez son environnement externe
Comprendre l’organisation interne c’est bien, pouvoir la situer dans son environnement externe, c’est encore mieux. En effet, la structure est forcément impactée par des forces externes telles que :
les environnements social, politique, économique, environnemental, culturel et juridique ;
la concurrence ;
les relations avec les parties prenantes, telles que les clients ou les fournisseurs.
Il est nécessaire que vous anticipiez et maîtrisiez ces facteurs extérieurs afin d’aboutir à une analyse des risques cohérente, réaliste et exhaustive (du moins, le plus possible). À noter que ce sont généralement ces facteurs qui influent davantage sur l’évolution même d’un risque. Ce point sera davantage abordé dans la suite du cours.
Identifiez ses parties prenantes
Enfin, un dernier élément essentiel complète la compréhension de l’organisation : ses parties prenantes. Il est primordial de clarifier le rôle et la contribution de chacun d’entre eux pour deux raisons. Premièrement, leurs valeurs, leurs objectifs et leurs stratégies impacteront forcément (à un moment ou à un autre) l’activité de l’organisme que vous souhaitez protéger. Deuxièmement, elles auront un rôle à jouer dans votre processus de gestion des risques.
Les principales parties prenantes se résument aux clients, aux fournisseurs, aux actionnaires et aux institutions législatives. Toutefois, il est important de ne pas négliger les groupes d’intérêts, les médias, le grand public ou encore les institutions financières.
Définissez le périmètre et les limites de votre analyse des risques
Vous vous en rendrez compte rapidement, l’analyse des risques est un exercice qui mobilise de nombreuses ressources. Lorsqu’il ne peut être appliqué à l’organisation dans son ensemble, il est important de définir le domaine d’application restreint. Ce dernier se déclinera alors en une liste d’actifs spécifiques à protéger. Les actifs peuvent être liés à un service, une équipe, une activité ou encore un processus clé.
Cela ne peut être défini qu’une fois les objectifs de l’analyse de risques et les contraintes bien identifiés. Les contraintes souvent rencontrées sont d’ordre budgétaire, temporel, technique et organisationnel.
Enfin, dans le cas où le projet d’analyse de risques ne saurait être traité dans sa globalité, la priorisation des domaines d’application doit être effectuée par les dirigeants décisionnaires de l’organisme.
Déterminez les objectifs et les critères de base
Avant même de lancer le projet, il convient de définir clairement, et de concert avec les parties prenantes, les objectifs de l’analyse des risques :
Est-ce pour prévenir un incident spécifique ?
Répondre à une exigence réglementaire ?
Assurer la continuité des activités en contribuant aux PCA et PRA (Plan de continuité des activités et Plan de reprise des activités) ?
Ou encore pour soutenir un projet connexe du SMSI ?
Vous vous en douterez, toutes les raisons sont bonnes pour conduire une analyse de risques. Le tout est de bien les définir afin de construire une méthodologie alignée sur les objectifs visés.
Les critères de base s’ajoutent au référentiel à définir en amont de l’analyse. Ils sont de trois types :
les critères d’évaluation du risque ;
les critères d’impact ;
les critères d’acceptation du risque.
Les critères d’évaluation du risque
Plusieurs aspects doivent être pris en compte pour élaborer ces critères, dont voici les principaux : la valeur des actifs objets de l’analyse, les exigences légales et réglementaires à respecter et les attentes des parties prenantes.
Les critères d’impact
Si un scénario de risque se déclenche, quelle est l’importance opérationnelle et financière de l’impact sur l’actif visé, selon les 3 axes DIC ?
Les critères d’acceptation du risque
Il s’agit souvent du rapport profit sur perte : combien l’actif me rapporte en l’état et combien cela me coûterait s’il était victime du risque identifié ? Lorsque le profit est supérieur à la perte, le risque est accepté, sinon il est réduit.
Les critères d’acceptation s’appuient le plus souvent sur des échelles quantitatives. Reprenons la définition “raccourcie” du risque qui le définit comme la multiplication entre la probabilité d’occurrence de la menace et l’impact causé. Si on raisonne en termes de matrice à deux dimensions sur des échelles de 1 à 3, on aboutit à une valeur de risque variant entre 1 et 9.
Les valeurs du critère d’acceptation pourraient alors être :
1 <= R <= 2 → Risque faible ;
2 < R <= 4 → Risque moyen ;
4 <R <= 7 → Risque élevé ;
R>= 8 → Risque très élevé.
Sachant que les risques faibles peuvent être acceptés tandis que tous les autres doivent être traités.
Maintenant que vous avez appris à préparer votre analyse de risques, je vous propose dans la partie suivante de ce cours d’apprécier les risques qui pèsent sur votre SI, en les identifiant, les analysant et les évaluant.
En résumé :
une analyse des risques SI doit toujours être effectuée selon le contexte (interne et externe) de l’organisme, sans quoi elle n’a que peu, voire pas, de valeur ;
en cas de limitation des ressources mises à disposition, il est important que vous définissiez et fassiez valider le périmètre d’applicabilité de votre analyse ;
enfin, ne négligez pas les critères de base qui donnent un cadre rationnel à vos appréciations des risques identifiés.
