Maintenant que vous maîtrisez les concepts de sources de risques (SR) et d'objectifs visés (OV), nous allons lier ces deux ensembles pour une analyse plus efficace et cohérente. Ce lien permet de comprendre comment chaque source de risque peut impacter les objectifs de sécurité de votre organisation. C’est ce que l’on appelle le couple SR/OV.
Pourquoi créer le couple SR/OV ?
Lier les sources de risques aux objectifs visés permet de :
prioriser les efforts de sécurité : En comprenant quelles sources de risques affectent quels objectifs, vous pouvez mieux allouer vos ressources pour protéger les actifs les plus critiques.
développer des stratégies de mitigation : Cela vous aide à concevoir des mesures de sécurité spécifiques et ciblées pour chaque couple SR/OV identifié.
améliorer la résilience organisationnelle : En ayant une vue claire des interactions entre les sources risques et les objectifs, vous pouvez renforcer les points faibles et améliorer globalement la sécurité de votre système d'information.
Pour qu’un couple SR/OV fonctionne il y a des critères bien définis. Et pour évaluer la pertinence d’un couple nous allons définir 2 critères :
La motivation : Intérêts, éléments qui poussent la source de risque à atteindre son objectif.
Les ressources : incluant les ressources financières, le niveau de compétences cyber, l’outillage, le temps dont l’attaquant dispose pour réaliser l’attaque, etc.
Ces critères sont évalués sur une échelle de + à +++, où + représente le niveau le plus faible et +++ le plus élevé. Grâce à la matrice de pertinence suivante, vous pouvez alors déterminer si votre couple SR/OV est pertinent :
Sélectionnez les couples SR/OV retenus pour la suite de l’analyse
Vous avez maintenant toutes les cartes en main pour finaliser votre atelier 2. Afin que ce soit plus clair dans, je vais présenter deux cas différents :
Cas 1 : Source de risque - Un cyberterroriste
Prenons comme source de risque un cyberterroriste. Son objectif visé serait de montrer qu’il peut agir sur notre outil de gestion de paie.
En se basant sur notre tableau ci-dessus, il faut estimer si un cyberterroriste serait motivé pour agir sur une entreprise de 100 personnes. Votre avis ? Moi, je dirais non, donc motivation = +.
Concernant les ressources, pensez-vous qu’un cyberterroriste est plutôt bien fourni ? De mon côté, je dirais oui et non (je suis normand ^^). Pour cette raison, je mettrais ressources = +++.
Ce qui nous donnerait le tableau ci-dessous :
| Identification |
| Cotation |
| Évaluation |
|
|
ID | SR | OV | Motivation | Ressources | Pertinence du couple SR/OV | RETENU | Justification si non retenu |
SR05 | Cyberterroriste | Montrer que tous les établissements français peuvent être touchés | + | +++ | ++ | NON RETENU | Risque moyen selon la matrice de pertinence |
En reprenant notre matrice de pertinence, nous obtenons donc une pertinence à ++.
Cas 2 : Source de risque - Un employé mécontent
En se basant sur notre tableau ci-dessus, il faut estimer si un employé mécontent (souvent appelé “vengeur”) serait motivé pour attaquer notre système. Dans le cadre de cette attaque, il pourrait vouloir voler les données de paie de l'établissement. Votre avis ? Moi, je dirais que c'est probable, donc motivation = +++.
Concernant les ressources, pensez-vous qu'un vengeur ait des moyens importants ? Probablement pas. Donc, je mettrais ressources = +.
| Identification |
| Cotation |
| Evaluation |
|
|
ID | SR | OV | Motivation | Ressources | Pertinence du couple SR/OV | RETENU | Justification si non retenu |
SR02 | Vengeur | Voler les données de paie | +++ | + | ++ | RETENU |
|
Nous avons la même pertinence que pour le premier cas mais cette fois, il y a beaucoup plus de chance que ça arrive !
La question à se poser afin de définir quel cas garder est : Est-ce que l’activité est dans le périmètre de l’objet de notre étude / écosystème ?
Je vous laisse donc deviner quel cas nous gardons. 🙂
Notre rôle en tant qu'analyste est de fournir des conseils avisés à nos clients et de les aider à se concentrer sur les menaces les plus pertinentes. Dans ce cas précis, la pertinence du couple "Cyberterroriste/Montrer qu'il peut agir sur notre outil de gestion de paie" est évaluée à 2, ce qui est relativement faible.
Le cyberterroriste, bien que potentiellement dangereux, a ici une motivation notée à 1. En effet, il est peu probable qu'un acteur de cette nature cible spécifiquement une petite entreprise de 100 personnes pour démontrer sa capacité à agir contre des institutions françaises. Les cyberterroristes cherchent généralement à maximiser l'impact de leurs actions en ciblant des infrastructures critiques ou des entreprises de grande taille, dont les attaques seraient plus visibles dans les médias et auraient un effet de terreur plus important. Cette entreprise ne correspond donc pas à une cible prioritaire pour eux.
Voici le livrable "Source de risques", attendu pour l’atelier 2 :
En résumé
Déterminez des sources de risques et des objectifs visés adaptés à l’environnement.
Associez chaque source de risque à un objectif visé (couple SR/OV) de manière pertinente.
N’oubliez pas d’impliquer les métiers, car ce sont eux qui connaissent le mieux le SI.
La pertinence d’un couple SR/OV doit être mise en perspective par rapport à votre connaissance de l'écosystème
Il est temps de passer à l'action et d'identifier comment notre système peut être mis en danger en construisant nos scénarios stratégiques !
