La phase d’appréciation des risques va se dérouler en trois temps. Il faut d’abord les identifier, puis les analyser et enfin les évaluer. À l’issue de cette phase, vous serez capable de déterminer les options de traitement des risques et de déterminer un plan de traitement des risques (qui sera l'objet de la section 3).
Maintenant que vous êtes (presque) un expert, vous avez compris qu’un risque a de multiples composantes. Ainsi, afin d’identifier correctement les risques qui pèsent sur votre SI, il vous faudra identifier tous les facteurs de risques. Pour cela, il faudra vous rapprocher des métiers afin de saisir au plus près le fonctionnement de chaque actif, ses vulnérabilités et les menaces potentielles qui y sont associées.
Cette identification pourra se faire au moyen d’interviews de responsables métiers, de groupes de travail avec les différentes parties prenantes. Quelle que soit la méthode choisie, il vous faudra avoir une attitude de leader tout en restant à l’écoute et proche du terrain, en ne perdant pas de vue votre objectif qui à terme est la maîtrise et le traitement des risques.
Identifiez les actifs
Qu’il s’agisse d’une machine, d’une application, d’une base de données, d’un process ou d’un contrat de sous-traitance, tous les actifs d’une entreprise ont une valeur qu’il convient de connaître (et/ou de déterminer) afin de définir le niveau de sécurité nécessaire à sa protection. Cependant, une attention particulière devra être portée aux actifs qui ont la valeur la plus importante pour l’entreprise.
Gardez aussi à l’esprit la distinction qui vous a été exposée plus tôt entre les actifs primordiaux et les actifs support, car s’ils ont chacun leur importance, le traitement du risque sera différent.
Afin d’être exhaustif dans l’identification des actifs et de déterminer le niveau de protection approprié, il convient d’être précis. Ainsi pour chaque actif, il est de bon ton de déterminer au sein d’un registre :
son type : primaire ou support ;
son format : physique, logique, etc. ;
sa localisation : lieu de stockage ou d’activité ;
son propriétaire : responsable opérationnel ou hiérarchique ;
sa licence d’utilisation (dans le cadre d’un logiciel, d’une machine, etc.) ;
les informations de sauvegarde ;
sa valeur : par rapport à l’entreprise et à son activité ;
sa sensibilité : critique pour l’entreprise ou non.
Cet inventaire devra être tenu à jour régulièrement afin de maintenir le niveau d’exigence de l’analyse de risque. Une revue annuelle permet de satisfaire le maintien de cette liste.
Ce type d’inventaire est primordial dans la gestion de risques. Accordez du temps à l’élaboration d’un tel registre, il constitue la base de votre travail.
Identifiez les menaces
L’identification des menaces doit tenir compte de l’environnement et de la culture de votre entreprise. Afin de déterminer une liste de menaces exhaustive, il vous faudra les identifier de manière générique et par type (action non autorisée, défaillance technique, catastrophe naturelle) puis identifier les menaces individuelles au sein de ces classes génériques.
Une menace peut avoir de multiples sources. Elle peut être interne à l’entreprise (mauvaise utilisation d’un logiciel) ou externe (catastrophe naturelle), elle peut être d’origine humaine (malveillance) ou naturelle (inondation), enfin elle peut être accidentelle (panne électrique) ou délibérée (malveillance). Je vous renvoie au début du cours si vous avez besoin de vous remémorer tout cela plus en détail.
Voici une liste d’exemples de menaces par type :
Type de menaces | Exemples |
Dommage physique | Feu Dégât d’eau |
Désastre naturel | Phénomène climatique Inondation |
Perte de services essentiels | Panne du système de climatisation Panne électrique |
Perturbations dues à des rayonnement | Rayonnements électromagnétiques Rayonnements thermiques |
Compromission d’information | Vol de supports ou de documents Données provenant de source non fiable |
Défaillance technique | Panne de matériel Dysfonctionnement d’un logiciel |
Actions non autorisées | Utilisation non autorisée du matériel Reproduction frauduleuse de logiciel |
Compromission des fonctions | Usurpation de droit |
Identifiez les mesures existantes
Lors de votre analyse de risques, vous n’avez pas l’obligation d’inventer tout un arsenal de mesures toutes plus coûteuses les unes que les autres ! En effet, bien souvent des mesures existantes peuvent être très efficaces et ne nécessitent pas ou peu d’investissements supplémentaires.
L’identification des mesures existantes a d’abord un intérêt opérationnel. Cette action va vous permettre de constater l’efficacité d’une mesure. En effet, si vous identifiez une mesure existante mais que celle ci ne remplit pas sa mission, il conviendra de comprendre pourquoi et de l’améliorer, car surprise : le but d’une mesure est de fonctionner et de réduire l’impact et les conséquences liés aux risques.
Cette identification vous permettra aussi d’éviter la redondance (et donc le surcoût) des mesures de sécurité. Mettre en place sous une autre forme une mesure qui existe déjà est une perte de temps et d’argent, et en sécurité il y a déjà un manque des deux !
Afin de réaliser cette identification des mesures existantes, la revue documentaire est le premier travail. En effet, théoriquement, toutes les mesures mises en place font l’objet d’une documentation (quelque chose me dit que vous feriez bien de vous en assurer), que ce soit dans un rapport d’audit, dans la PSSI ou dans une revue de direction. Aussi, une visite de site ou un entretien opérationnel permettent également de vérifier la présence ou non ainsi que l'efficacité des mesures existantes et des axes d’amélioration, avec une dimension opérationnelle primordiale dans une analyse de risques.
Dans le cas où vous devriez démarrer vous-même une analyse de risques sans aucun support (bonne chance à vous) il conviendra d’être particulièrement attentif aux us et coutume en vigueur – en effet, les habitudes prises sont souvent difficiles à changer (surtout en matière de sécurité) – afin de tendre vers des procédures documentées pour améliorer et maintenir "l’hygiène de sécurité” qui vous semble nécessaire au contexte de votre entreprise...
Dans le cas général, la maturité d’une mesure existante s’évalue sur une échelle à 5 niveaux :
0 - Inexistante : pas de processus identifiable ;
1 - Initialisée : problème reconnu mais pas d’approche standardisée ;
2 - Reproductible : des processus existent et sont appliqués par des personnes différentes ;
3 - Définie : procédures standardisées, documentées et communiquées ;
4 - Gérée : le contrôle de la conformité aux procédures est réalisé ;
5 - Optimisée : le processus d’amélioration continue est réalisé et documenté.
Identifiez les vulnérabilités
L’identification des vulnérabilités est directement liée à l’identification des menaces. En effet, un risque se réalise lorsqu’une menace rencontre une vulnérabilité. Il convient donc de déterminer ces vulnérabilités avec les mêmes personnes que vous avez consultées lors de l’identification des menaces.
Les vulnérabilités dépendent de chaque actif. Tous n’auront pas les mêmes vulnérabilités en fonction de leur nature, de leur format, de leur stockage, etc.
Voici un exemple de vulnérabilités par type :
Type de vulnérabilité | Exemples |
Matériel informatique | Maintenance insuffisante Stockage non protégé |
Logiciel | Attribution erronée de droit d’accès Interface utilisateur compliquée |
Réseau | Architecture réseau non sécurisée Point de défaillance unique |
Personnel | Formation insuffisante Absence de personnel |
Site (lieu) | Réseau électrique instable Site situé en zone inondable |
Structure organisationnelle | Absence d’audits réguliers Absence de procédure d’accès au ressources |
Les vulnérabilités peuvent également être identifiées de manière proactive au travers de différents tests de sécurité ou tests d’intrusion. Ainsi, les vulnérabilités sont directement mises en lumière.
Identifiez les conséquences
Les conséquences d’un scénario d’incident (processus de réalisation du risque) sont étroitement liées à l’établissement du contexte. Un ou plusieurs actifs, ou une partie d’un actif, peuvent être affectés. Les actifs peuvent donc se voir attribuer des valeurs selon les conséquences sur l’activité s’ils sont endommagés ou compromis. Ces conséquences peuvent être temporaires (réparables) ou définitives (destruction de l’actif).
On classe ces conséquences selon les critères de disponibilité, intégrité et confidentialité. Voici une liste de conséquences qui impactent un ou plusieurs de ces critères :
pertes financières ;
perte de clientèle ;
perte de fournisseurs ;
poursuites judiciaires ;
perte d’avantage concurrentiel ;
perte d'efficacité ;
atteinte à la vie privée des clients ;
interruption de service ;
incapacité de fournir le service ;
perte d’image de marque ;
atteinte à la sécurité du personnel.
Prenons l’exemple d’un scénario d’incident impactant les différentes composantes évoquées dans cette partie du cours, pour voir un peu ce qu'il en est sur le terrain !
L’entreprise Mistral se rend compte de l’affichage de messages la dénigrant sur son site Internet et invitant les usagers à se tourner vers la concurrence.
Dans ce cas, l’actif primaire est le site Internet de Mistral et son actif support est le serveur hébergeant ce site. Le critère de sécurité impacté ici est clairement l’intégrité du site. La vulnérabilité exploitée sera par exemple une faille de sécurité du serveur web ; la menace, elle, proviendra d’un acteur extérieur malveillant (hacker). La conséquence directe est un déficit d’image pour l’entreprise, et potentiellement la perte de parts de marché.
En résumé :
l’appréciation des risques se cadence en trois étapes : 1- Identifier ; 2- Analyser ; 3- Évaluer ;
une menace se définit selon deux critères : origine humaine ou naturelle, et accidentelle ou délibérée ;
ne passez pas à côté des mesures existantes qui peuvent être très efficaces et ne nécessitent pas ou peu d’investissements supplémentaires ;
les conséquences de la réalisation d’un scénario de risque s’évaluent sur tous les plans : financier, juridique, parts de marché, relations fournisseurs, image de marque, sécurité du personnel, etc.
