Définissez les valeurs métiers et les biens supports
Qu’est-ce qu’une valeur métier ?
Pour bien comprendre l'importance des risques, il faut d'abord saisir ce qu'est une valeur métier (VR). Pensez à notre outil de gestion de paie de VETO+. Sa valeur métier réside dans sa capacité à :
gérer efficacement les salaires ;
assurer des paiements précis et ponctuels ;
et à se conformer aux réglementations fiscales et sociales.
Une fois que l'on comprend la valeur métier de notre outil de gestion de paie, il devient essentiel de distinguer les concepts fondamentaux pour mieux appréhender son fonctionnement, notamment la distinction entre un processus et une information :
Dans le contexte de l'outil de gestion de paie, voici différents processus :
Effectuer un paiement ;
Régler un acompte ;
Ajouter un collaborateur ;
Payer une note de frais.
Pour notre outil, cela sera les éléments suivants :
Historique des bulletins de paie des employés ;
Détails des transactions financières ;
Informations sur les employés (données personnelles, données bancaires).
En distinguant clairement vos processus et vos informations, vous pourrez mieux identifier les risques potentiels et mettre en place des mesures de protection appropriées.
Qu’est-ce qu’un bien support ?
Les valeurs métiers ne sont rien sans les biens support sur lesquelles elles reposent. Pour assurer que les valeurs métiers soient maintenues, il faut comprendre ce qu'est un bien support.
Un bien support (BS) est tout ce qui permet à un processus ou à une information de fonctionner correctement et de manière sécurisée.
Pensez aux éléments qui soutiennent votre outil de gestion de paie. Sans eux, les processus ne pourraient pas s’exécuter et les informations ne seraient pas disponibles ou sécurisées.
Les biens supports peuvent être de différentes natures. Concernant notre logiciel de paie, on pourrait identifier les biens support suivants :
Infrastructures matérielles
Ce sont les composants physiques nécessaires au fonctionnement de votre outil. Par exemple :
Serveurs : Ils hébergent le logiciel de gestion de paie et les bases de données.
Postes de travail : Les ordinateurs utilisés par les employés pour accéder et gérer les informations de paie.
Logiciels
Les applications et systèmes nécessaires pour traiter les informations et exécuter les processus. Par exemple :
Système d'exploitation : La plateforme sur laquelle le logiciel de gestion de paie fonctionne.
Logiciel de gestion de paie : L'application spécifique utilisée pour gérer les processus de paie.
Réseaux
Les connexions qui permettent la communication et le transfert de données entre différents composants. Par exemple :
Réseau local (LAN) : Assure la communication interne entre les serveurs et les stations de travail.
Internet : Permet l'accès aux services en ligne et aux mises à jour du logiciel.
Données
Les informations nécessaires pour le bon déroulement des processus. Par exemple :
Bases de données : Stockent toutes les informations relatives aux employés et aux transactions.
Copies de sauvegarde : Garantissent que les données peuvent être restaurées en cas de perte ou de corruption.
Pour sécuriser votre outil de gestion de paie, il est essentiel d'identifier tous les biens supports. Pour cela, listez les composants. C’est-à-dire énumérez tous les éléments qui composent votre système de paie, tels que les serveurs, les bases de données, les logiciels et le réseau.
Toutes ces données sont ensuite rassemblées dans un tableau. Voici à titre d’exemple pour notre logiciel de gestion de paie, les livrables :
Des valeurs métiers, à télécharger :
Des biens supports, à télécharger :
Identifiez les événements redoutés
Pour bien préparer votre organisation aux risques, il est essentiel d'identifier les événements redoutés (ER).
En identifiant dès à présent les événements redoutés, vous pourrez développer dans l’atelier 3 des scénarios réalistes et prendre des mesures pour minimiser leurs effets. C’est ce que nous verrons ensemble dans la suite du cours.
Voici comment procéder pour évaluer les événements redoutés sur un périmètre spécifique :
1. Identification des menaces
Listez les menaces potentielles pour votre outil de gestion de paie. Par exemple :
Cyberattaques (phishing, ransomware) ;
Pannes techniques (serveur en panne, perte de données) ;
Erreurs humaines (mauvaise configuration, perte d'accès).
2. Identification des événements redoutés
Pour chaque valeur métier, il est important d'identifier un ou plusieurs événements redoutés réalistes, en précisant la manière dont l'événement pourrait survenir et ses impacts potentiels. Les événements redoutés peuvent être classés selon les trois principales atteintes à la sécurité de l'information :
Perte de disponibilité : Le service ou la fonction est indisponible pour les utilisateurs ou clients.
Perte d'intégrité : Les informations ou les processus sont modifiés de manière non autorisée, ce qui entraîne une altération des données ou du fonctionnement.
Perte de confidentialité : Les informations sensibles sont divulguées à des personnes non autorisées.
Si nous reprenons notre valeur métier “Effectuer un paiement”, un événement redouté pourrait être : “détournement du process de paiement”.
3. Analyse des impacts potentiels de cet événement redouté
Analysez l’impact potentiel sur les objectifs de sécurité de votre organisation. Les objectifs de sécurité se réfèrent à la Disponibilité, l'Intégrité, la Confidentialité et la Traçabilité (DICT) des informations et des systèmes.
Voici un exemple de tableau de besoins de sécurité, il est a noté que EBIOS RM ne propose pas explicitement de déterminer les besoins de sécurité.
| Disponibilité | Intégrité | Confidentialité | Traçabilité |
1 | L'indisponibilité du logiciel de paie ne doit pas dépasser 24 heures continues (posture heures ouvrables) | Altérable : Aucun besoin | Les données traitées sont publiques | Des traces peuvent être générées mais l'identification des acteurs n'est pas requise |
2 | L'indisponibilité du logiciel de paie ne doit pas dépasser 6 heures continues (posture heures ouvrables) | Détectable : Les altérations doivent être détectées | Les données traitées sont internes | Imputabilité faible : Des traces doivent être générées mais elles ne sont analysées qu'en cas d'incident et l'identification de leurs auteurs n'est pas soumise à une résistance forte à la non-répudiation (perception qu’ont les personnes) |
3 | L'indisponibilité du logiciel de paie ne doit pas dépasser 6 heures continues (posture H24) | Maîtriser : Les altérations doivent être détectées et pouvoir être corrigées. | Les données traitées sont de niveau “Diffusion restreinte” ou “confidentiel spécifique” (personnel, médical…) | Imputabilité moyenne : Des traces doivent être générées et analysées régulièrement (éventuellement en temps différé) et l'identification de leurs auteurs doit avoir une résistance forte à la non-répudiation |
4 | L'indisponibilité du logiciel de paie ne doit pas dépasser 1 heure continue (posture H24) | Intègre : L'intégrité doit être prouvée en continu | Les données traitées sont classifiées de niveau confidentiel défense ou plus | Imputabilité forte : Des traces doivent être générées et analysées au fur et à mesure de leur production et l'identification de leurs auteurs doit avoir une résistance très forte à la non-répudiation |
Appréciez la gravité des impacts des événements redoutés
L’objectif de cette étape est d'identifier l'ensemble des événements redoutés (ER) pouvant affecter une valeur métier (VM). Il peut y avoir plusieurs ER pour une même VM, ce qui est d'ailleurs souhaitable.
Demandez-vous ici : qu’est-ce qui pourrait potentiellement se produire pour cette VM ? Même avec les scénarios les plus improbables ?
Pour décider quels ER retenir pour une VM, évaluez leurs impacts et posez les questions suivantes :
Si cet ER se réalise, est-ce que :
mes missions opérationnelles seront impactées ?
mes finances seront affectées ?
l’image de l’entreprise sera touchée ?
nous risquons des problèmes juridiques ?
les droits ou la vie privée des personnes seront compromis ?
Une fois que vous avez attribué une valeur à chaque type d'impact, conservez la valeur la plus élevée de notre tableau de référence DICT, comme gravité maximale.
Rassemblez ensuite tous ces éléments dans un livrable, sous forme de tableau :
La valeur métier ;
Les événements redoutés ;
L’évaluation de la gravité des impacts.
Pour que cela soit concret, retrouvez le livrable des ER ici, avec la mise en application de notre logiciel de gestion de paie :
Comment mesurer la réussite de cet atelier ?
Voici ce qu'il faut vérifier pour s'assurer que tout le monde est satisfait :
1. Définissez clairement le périmètre de sécurité.
Indicateur : Ayez une description précise de ce qui est inclus dans votre périmètre de sécurité (systèmes, données, processus critiques).
Comment mesurer : Vérifiez que tout est bien noté et correspond aux objectifs initiaux.
2. Assurez une compréhension partagée du contexte de sécurité.
Indicateur : Tout le monde doit être sur la même longueur d'onde concernant les menaces et les enjeux de sécurité.
Comment mesurer : Faites un petit sondage ou demandez du feedback après l'atelier pour voir si tout est clair pour les participants.
3. Identifiez les parties prenantes clés.
Indicateur : Ayez une liste complète des personnes impliquées dans la sécurité de l'information.
Comment mesurer : Vérifiez que la liste est validée par le management et les participants de l'atelier.
4. Mettez en place une gouvernance de sécurité.
Indicateur : Créez des structures comme des comités de sécurité ou des groupes de travail.
Comment mesurer : Assurez-vous que ces groupes se réunissent régulièrement et documentent leurs discussions.
Découvrez les conseils de notre expert
En résumé
Une valeur métier est la capacité d'un outil à accomplir ses fonctions essentielles.
Un bien support permet aux processus et informations de fonctionner correctement.
Identifier et sécuriser les biens supports est crucial pour maintenir les valeurs métiers.
Le socle de sécurité est un ensemble de mesures de sécurité de base visant à protéger les biens supports contre les menaces courantes et à garantir un niveau minimal de sécurité.
Les événements redoutés sont des scénarios d'attaque susceptibles de compromettre les biens supports et, par conséquent, de nuire aux valeurs métiers. Ils doivent être anticipés et évalués afin de prioriser les mesures de protection.
Maintenant que vous avez une vision claire du périmètre et du socle de sécurité, il est temps de plonger plus profondément dans l'analyse des risques.
Prêt pour la suite ? Testez vos connaissances avec le quiz qui suit et retrouvez-moi ensuite pour l’atelier 2 !
