Notion de risque

Le risque est un événement contingent et dommageable pouvant entraîner des modifications partielles voire neutraliser totalement un système d’information. En sécurité informatique, le risque est lié à l’éventualité d’une menace informatique volontaire ou involontaire, interne ou externe au système d’information.

Le risque informatique est lié à la connaissance du métier, au niveau de la maîtrise de l’outil informatique ainsi qu’à l’utilisation des moyens de contrôles (tests unitaires, tests par lots, recettes, contrôles, audits des privilèges informatiques, etc).

D’autre part, le risque informatique dans une entité est étroitement lié à la dépendance de cette entité de son système d’information.

De façon générale, la stratégie de sécurité vise à réduire le nombre ainsi que l’envergure des impacts :

  • financiers ;
  • juridiques ;
  • sur la réputation ;
  • sur le savoir-faire ;
  • sur la santé ;
  • sur le temps (perdu). 

 

La plupart des impacts, à l’exception des impacts financiers, ne peuvent être couverts par une quelconque assurance. Il faut donc nécessairement les empêcher de survenir, ou atténuer leurs conséquences en réduisant les vulnérabilités des différents actifs. Cette réduction des vulnérabilités reste souvent difficile et peut engendrer des coûts substantiels, surtout si l’on doit créer des redondances. Par contre, il est impossible d’agir sur les menaces elles-mêmes car elles ne sont pas contrôlables.

Puisqu’il est impossible de repérer et de traiter immédiatement toutes les vulnérabilités, il est préférable de repérer celles dont l’exploitation peut avoir des impacts importants ou même critiques. Une notion de priorité et de « road map » doit être introduite.

La norme ISO/IEC 27005 (gestion des risques) propose une approche méthodologique visant à identifier les risques existants, à les estimer, à les évaluer, et finalement à proposer des traitements. La norme propose quatre types de traitement :

  • la réduction, en implémentant des mesures identifiées dans l’ISO/IEC 27002 ;
  • le transfert du risque vers un spécialiste (sous-traitance) ;
  • l’acceptation du risque ;
  • le refus qui bien sûr engendre l’arrêt de l’activité en question.

 

Avec cette méthode, il est possible d’identifier les différents risques auxquels une entité est confrontée. Pour chaque processus métier et information, les actifs de support nécessaires à leur traitement sont analysés d’un point de vue menaces, vulnérabilités et impacts. Pour chaque actif on énumère donc les différentes menaces et vulnérabilités existantes. On retient les couples menaces-vulnérabilités réalistes aussi appelés « scénarios d’attaque » et on calcule le risque en fonction de l’importance de l’actif (importance pour le processus primaire et la valeur de l’actif). L’évaluation du risque est un calcul basé sur :

  • la probabilité de la menace ;
  • l’aisance d’exploitation de la vulnérabilité (en tenant compte des mesures de sécurité existantes) ;
  • l’envergure de l’impact (estimation du risque).

 

Lors de l’évaluation du risque, on trie les différents risques selon leur importance, puis on propose des traitements pour chaque élément sortant de l’évaluation des risques et présentant un niveau de risque inacceptable. Cette approche peut sembler ardue, mais elle représente le seul moyen de prioriser les investissements en sécurité. Ceux-ci seront efficaces car adaptés aux scénarios d’attaque les plus susceptibles de se présenter.

Dernière mise à jour