Découvrez les enjeux de l'atelier N°2
Cet atelier a pour but de :
Déterminer les sources potentielles de risques appelées sources de risque (SR)
Y associer des objectifs visés en lien avec votre mission d’analyse de risque.
L'objectif principal de cet atelier est de fournir une vue d'ensemble des menaces et des vulnérabilités susceptibles de compromettre la sécurité des systèmes d'information. Plus précisément, il vise à :
identifier les acteurs malveillants (internes ou externes) ;
cartographier les différentes menaces ;
évaluer la pertinence de chaque source de risque.
Quelles personnes inviter à cet atelier ?
De manière générale, les participants à inclure sont :
Responsable de la sécurité de l'information (CISO) : Pour apporter une perspective stratégique.
Experts techniques (administrateurs système, responsables réseau, etc.) : Pour une compréhension détaillée des infrastructures techniques.
Représentants des différents départements métier concernés : Pour identifier les impacts métier.
Et dans le cas de notre regroupement de vétérinaire VETO+, nous pourrions ajouter :
Responsables RH : Ils sont les principaux utilisateurs de l'outil et pourront identifier les risques liés à la gestion des données personnelles des employés, ainsi que les enjeux de conformité (RGPD, droit du travail).
Responsable de la paie : Leur expertise est cruciale pour identifier les risques liés aux erreurs de traitement de la paie, aux calculs erronés ou aux délais de paiement non respectés, qui pourraient engendrer des sanctions légales ou des tensions sociales.
Délégués du personnel ou représentants des employés : Ils offrent une perspective sur les impacts potentiels sur les employés, notamment en matière de confidentialité des informations personnelles (salaire, données bancaires, etc.).
Responsable de la sécurité informatique (CISO) : Il apporte une vision stratégique sur les menaces pouvant affecter la sécurité des données sensibles (intrusion, fuite de données).
Expert en conformité légale : Ce participant aide à identifier les obligations légales en matière de protection des données personnelles et de traitement de la paie, afin d'éviter les risques de non-conformité.
Administrateur du système de gestion de la paie : Il connaît l'outil en profondeur et peut apporter des informations techniques sur les vulnérabilités du logiciel, les configurations réseau, ainsi que sur les accès et permissions.
Identifiez les sources de risques
Qu’est-ce qu’une source de risque ?
L’ANSSI, dans la méthodologie EBIOS RM, fournit un tableau regroupant les différentes sources de risques et des exemples de modes opératoires. ll s’agit des modes opératoires les plus utilisés.
Quelles questions poser aux parties prenantes pour obtenir les informations souhaitées ?
Votre objectif est de comprendre en profondeur l'environnement du Système d'Information (SI) que vous analysez afin de déterminer si une source de risque est pertinente ou non.
Pour illustrer ce point, imaginez que vous planifiez un voyage. Est-ce que vous loueriez un bus pour partir à deux pendant un week-end ? Probablement pas ! De même, dans le contexte de la gestion des risques, nous essayons d’éviter les analyses génériques et d'être aussi précis que possible.
Revenons sur notre regroupement de vétérinaires : d’après vous, est-ce qu’une organisation terroriste voudrait porter atteinte à l’entreprise Veto+ ? C’est peu probable non ?
En revanche, demander au RSSI si des activistes idéologiques pourraient pirater le système pour récupérer des informations permettant de porter atteinte à l’image de l’entreprise paraît plus probable.
Comme nous l’avons vu précédemment, les personnes connaissant le mieux l’outil sont les métiers. Il ne faut donc pas les négliger. Nous pourrions par exemple leur demander : est-ce qu’un comptable mécontent pourrait supprimer l’ensemble des collaborateurs de l’outil ?
Identifiez les objectifs visés (OV)
Maintenant que vous savez ce qu’est une source de risque il y a une seconde notion importante à connaître pour cet atelier 2 : l’objectif visé.
En identifiant clairement ces objectifs, une organisation peut orienter ses efforts de sécurité de manière efficace et précise.
L’ANSSI fournit également dans la méthodologie EBIOS RM un tableau regroupant les différents objectifs visés ainsi que des exemples de modes opératoires. ll s’agit des modes opératoires les plus utilisés.
En résumé
Identifiez les sources de risques et évaluez leur pertinence.
Impliquez les parties prenantes clés pour une analyse complète.
Posez des questions ciblées pour comprendre les menaces spécifiques.
Clarifiez les objectifs visés par les sources de risques.
Voyons dans le prochain chapitre comment mettre en relation ces sources de risques et objectifs visés.
