Après avoir identifié les risques, il convient de les analyser. Une analyse des risques fournit des données pour pouvoir les évaluer et ainsi définir un plan de traitement.
Une analyse de risques consiste en une méthode générique adaptable en fonction du contexte et de l’environnement de l’étude. Vous l’aurez compris, il existe autant de méthodologies que d’analystes. Il faut d’abord choisir la bonne méthode, puis apprécier les conséquences potentielles résultant d’un incident de sécurité ainsi que sa vraisemblance, dans le but de pouvoir estimer le niveau de risques pour chaque scénario d’incidents établi.
Sélectionnez la méthode d’analyse de risques adaptée
Le choix de la méthode d’analyse des risques au-delà de l’utilisation des méthodologies les plus connues (EBIOS, MEHARI, OCTAVE, etc.) réside dans un premier choix terre à terre : quantitative vs qualitative. Il n’y a pas de bonne réponse à cette question, chaque méthode a des avantages et des inconvénients dont il faut tenir compte. Les éléments déterminants dans le choix de la méthode sont le contexte, le temps et les ressources associés à cette analyse de risques.
La méthode qualitative
C’est une méthode qui est facilement compréhensible par tous et qui a l’avantage de s’adapter à tout type de scénario.
De plus, lorsque les données numériques relatives aux risques que l’on souhaite évaluer ne sont pas disponibles, c’est la seule méthode possible (comme on dit, “au pays des aveugles, les borgnes sont rois”).
La méthode quantitative
Le gros avantage de cette méthode est que la prise de décision est grandement facilitée, car les retours sur investissement et les pertes potentielles sont comparables à la même échelle (business is business).
Cette approche se base également sur ce qui a déjà été fait avant, et utilise des données historiques des incidents et des sinistres, ainsi que des statistiques (c’est une méthode très appréciée dans le domaine de l’assurance).
Cependant, le principal défaut de cette méthode consiste dans le fait qu’elle peut être assez péremptoire et quelquefois erronée en cas de manque d’informations sur la valeur de tel ou tel composant du risque, ce qui implique de leur attribuer une valeur par pure hypothèse.
Comme souvent, le meilleur choix est de prendre le meilleur de chaque option. On ne peut pas totalement faire abstraction de la partie financière, mais en fonction du contexte, certains actifs pourraient avoir une valeur qui ne peut pas se mesurer en termes monétaires et dont les conséquences en cas d’incident pourraient être plus préjudiciables à l’entreprise.
Appréciez les conséquences
La valeur (monétaire ou qualitative) d’un impact va dépendre en grande partie de la valeur de l’actif impacté et de la valorisation de l’actif en question. La valorisation d’un actif repose sur deux dimensions :
le coût de retour à une situation normale de fonctionnement (rien ne s’est passé) ;
et les conséquences sur l’activité métier d’une perte ou de l’endommagement d’un actif.
Pour reprendre l’exemple de Mistral, assureur de bateaux, la compromission du serveur contenant toutes les données servant à l’élaboration de ses modèles statistiques aura des conséquences (et donc une valeur) bien plus importante que le vol de l’ordinateur de la/du secrétaire.
L’appréciation des conséquences revient à évaluer l’impact potentiel, sur votre entreprise, de la réalisation d’un scénario de risque.
L’estimation (ou l’appréciation) des conséquences et donc des impacts de la réalisation d’un scénario de risque est également utilisée dans le cadre général de l’entreprise si celle-ci a ou souhaite mettre en place un plan de continuité d’activité. Dans ce cadre, la connaissance des conséquences de la perte ou de l’endommagement d’un ou plusieurs actifs est primordiale.
Appréciez la vraisemblance d’un incident
Cette analyse des risques est bientôt terminée, rassurez-vous. Cependant, une question devrait vous titiller après autant d’informations, d’hypothèses et de scénarios. Que fait-on si le scénario ne se réalise pas ? Réponse A : on sabre le champagne, réponse B : on reste vigilant. La bonne réponse est : les deux, mon capitaine.
Après avoir identifié différents scénarios et les conséquences liées, il faut se poser la question de la vraisemblance. Très basiquement, un scénario qui a très peu de chance (ou de risque ici !) de se réaliser ne demandera pas toute votre attention à chaque instant (on n’achète pas un abri antiatomique tout de suite).
Pour déterminer la vraisemblance d’un scénario, il vous faudra tenir compte :
de la fréquence d’apparition de ces scénarios de manière générale et dans des contextes similaires ;
de la facilité d’exploitation des vulnérabilités identifiées.
Voici quelques exemples d'appréciation de vraisemblance :
Qualitative :
Note | Échelle qualitative | Vraisemblance |
0 | Très rare | Moins d’une fois / 100 ans |
1 | Rare | Une fois tous les 10 ans (en moyenne) |
2 | Peu probable | Une fois tous les 3 ans (en moyenne) |
3 | Probable | Une fois par an (en moyenne) |
4 | Très probable | Plusieurs fois par an |
5 | Peu fréquent | Plusieurs fois par mois |
6 | Fréquent | Plusieurs fois par semaine |
7 | Très fréquent | Plusieurs fois par jour |
Quantitative :
Vous constatez dans votre entreprise 730 incidents relatifs à un mot de passe erroné sur l’année N-1. Ce qui correspond en moyenne à deux incidents par jour.
Estimez le niveau de risques
Et là, normalement ça fait “tilt” : en associant les deux dernières sections, on obtient l’estimation du niveau de risques (ce cours est drôlement bien construit, dites donc...).
De manière un peu plus terre à terre : après avoir identifié des scénarios, leur avoir associé un impact et une vraisemblance, vous êtes maintenant en mesure d’estimer le niveau de risque global pour chaque scénario. Ceci vous permettra de pouvoir comparer les risques dans un même référentiel, et donc de les prioriser dans votre plan de traitement des risques.
Voici un exemple de matrice d’estimation du niveau de risques :
Ce tableau est également accessible en format Excel.
Évaluez les risques
Afin d’évaluer les risques, il sera important pour vous de vous replacer dans votre propre contexte (heureusement, vous l’avez déjà fait plus tôt). En effet, c’est le contexte, l’environnement et la culture de votre entreprise qui vont vous permettre de prioriser les risques et de les évaluer en vous basant sur les critères d’évaluation de risques que vous aviez définis au préalable.
Il sera également important de tenir compte des conséquences, de la vraisemblance et du niveau de risque de chaque scénario. En effet, l’agglomération de risques mineurs (qui auraient peut-être été négligés au premier regard) peut conduire à la réalisation de risques globaux nettement plus préjudiciables.
Dans le cadre du traitement des risques (qui vous sera exposé plus tard, patience), le seuil d’acceptation du risque vous permettra de définir si une mesure corrective est opportune ou non (bien d’autres éléments interviendront, on ménage le suspense).
Voici un exemple d’un tableau d’évaluation des risques en fonction des conséquences, de la vraisemblance du scénario et du niveau de risque :
Menace | Conséquence | Vraisemblance | Niveau de risque | Ordre de priorité de traitement |
Scénario A | 5 | 2 | 10 | 2 |
Scénario B | 2 | 4 | 8 | 3 |
Scénario C | 3 | 5 | 15 | 1 |
Scénario D | 1 | 3 | 3 | 5 |
Scénario E | 4 | 1 | 4 | 4 |
Scénario F | 2 | 4 | 8 | 3 |
En résumé :
la phase d’évaluation des risques va vous permettre de prioriser les risques qui seront traités ;
durant cette phase, vous établirez également quels risques feront l’objet de remédiation, notamment grâce à la définition d’un seuil d’acceptation des risques.
