Blog ENI : Toute la veille numérique !
-25€ dès 75€ sur les livres en ligne, vidéos... avec le code FUSEE25. J'en profite !
Accès illimité 24h/24 à tous nos livres & vidéos ! 
Découvrez la Bibliothèque Numérique ENI. Cliquez ici
  1. Livres et vidéos
  2. La norme ISO 27005
  3. Étude de cas 1
Extrait - La norme ISO 27005 Gestion des risques liés à la sécurité de l'information
Extraits du livre
La norme ISO 27005 Gestion des risques liés à la sécurité de l'information
1 avis
Revenir à la page d'achat du livre

Étude de cas 1 - Mise en conformité

Introduction

Dans ce chapitre, nous ferons une analyse de risques d’une entreprise fictive en suivant les chapitres du livre les uns après les autres. Gardons toutefois en mémoire que les chapitres sur la communication et sur la surveillance et la revue des risques sont des processus transverses qui ont cours tout au long de l’analyse.

Contexte

Comme nous l’avons évoqué dans le chapitre Établissement du contexte, cette partie est très importante. En effet, une bonne compréhension de l’entreprise, de ses objectifs et de ses valeurs est primordiale si l’on souhaite réaliser une analyse de risques la plus complète possible. Nous entamerons donc ce chapitre par une découverte de la société que nous devons auditer.

Claude Martin a créé sa société SecHost en 2010 en France, à Paris. C’est une société d’hébergement et d’infogérance informatique, qui comporte aujourd’hui 30 employés. Les données sont stockées dans deux Datacenter différents, un à Nanterre, l’autre à Saint-Denis. Les bureaux quant à eux se situent dans le cinquième arrondissement de Paris.

Le directeur souhaite élargir ses activités en essayant de toucher le secteur de la santé. Pour ce faire, l’entreprise SecHost doit se certifier HDS (hébergement des données de santé) et donc répondre aux exigences d’ISO 27001. Cette norme prévoyant un cadre et un processus pour gérer les risques, il a été décidé de respecter ISO 27005.

1. Le contexte externe

La société SecHost est, comme précisé dans la section précédente, soumise à différentes lois et réglementations :

  • Le règlement général sur la protection des données (RGPD) car elle aspire à héberger des données de santé.

  •  L’obtention de la certification hébergeur de données de santé (HDS) pour la même raison.

  • L’obtention de la certification ISO 27001, qui comprend une grande part...

Identification du risque

1. Les entretiens

Nous utiliserons la méthode des entretiens qui seront retranscrits ici sous forme de questions/réponses. Nous ne noterons ici qu’une partie d’entre eux, car ils peuvent être très longs et très complets.

a. Entretien avec le directeur

Question : Quel est le projet de SecHost et quelle est sa stratégie ?

Réponse : l’élargissement de notre offre en récupérant des clients dans le domaine de la santé. Ainsi nous devons obtenir des certifications telles que HDS ou ISO 27001.

Question : Quels sont les délais à respecter ?

Réponse : Pour s’en tenir aux objectifs de la société, la mise en conformité doit être effective dans les deux ans à partir d’aujourd’hui.

Question : Qu’attendez-vous du programme de gestion des risques que vous voulez mettre en place ?

Réponse : J’espère évidemment obtenir une maturité nécessaire à l’obtention des certifications citées précédemment, mais aussi rehausser le niveau de sécurité de notre organisation. La mise en place d’un programme de gestion des risques fort permettra de penser sécurité dès le début du projet et progresser dans notre recherche d’amélioration continue.

Question : Estimez-vous que vos équipes soient impliquées dans ce projet  ?

Réponse : L’amélioration continue et la curiosité sont des valeurs de notre société et tous les employés les partagent. Gagner en maturité sur les questions de sécurité est un objectif partagé par tout le monde et je ne doute pas de leur implication dans cette démarche.

Question :...

Analyse des risques

1. Évaluation de la vraisemblance

La probabilité qu’un évènement se produise est estimée en confrontant la vulnérabilité et la menace. Pour nous aider lors de cette estimation, nous pouvons nous servir de l’échelle que nous avons créée dans le chapitre Analyse et évaluation du risque.

Niveau

Échelle Qualitative

Probabilité

0

Très bas

Moins d’une fois tous les 10 ans

1

Bas

Quelques fois par décennie

2

Moyen

Une fois par an

3

Haut

Plusieurs fois par mois

4

Très haut

Plusieurs fois par semaine

Pour rappel, cette échelle est basée sur :

  • la difficulté d’exploitation des vulnérabilités ;

  • les ressources mises en place du côté des attaquants potentiels, mais également l’attrait de l’organisation aux yeux des hackers ;

  • les sources de menaces accidentelles comme les incendies, les erreurs humaines, les catastrophes naturelles…

  • les contrôles existants, qui réduisent ainsi les facteurs de risques.

2. Évaluation des conséquences

Les conséquences identifiées précédemment sont ensuite notées par leur impact en matière d’intégrité (I), de confidentialité (C) et de disponibilité (D). Pour ce faire, on utilisera un tableau de ce type :

Disponibilité

Intégrité

Confidentialité

0 - Très bas

Aucune conséquence

Aucune conséquence

Aucune conséquence

1 - Bas

Le service doit être à nouveau disponible dans les deux semaines

Intégrité altérée légèrement

Légère perte de confiance

2 - Moyen

Le service doit être à nouveau disponible dans la semaine

Corruption partielle des données

Perte de confiance...

Évaluation des risques

Les scénarios identifiés dans le paragraphe précédent doivent être à présent évalués afin de pouvoir les prioriser. Ici, pour déterminer le niveau de risque, nous additionnerons la moyenne de l’impact et la vraisemblance.

Par exemple pour la première ligne : images/13eq01.PNG

Actif

Menace

Vulnérabilité

Conséquence

Impact

Vraisemblance

Risque

C

I

D

Serveurs Active Directory

Destruction de l’équipement

Équipement trop vieux, manque de suivi du remplacement

Pertes financières, incapacité à fournir le service

0

1

4

1

3

Serveur d’affichage du hall d’entrée

Destruction de l’équipement

Équipement trop vieux, manque de suivi du remplacement

Pertes financières, incapacité à fournir le service

0

1

0

1

2

Stockage

Vol ou modification de document

Stockage non protégé

Perte de clients, ou perte de fournisseurs, violation de la vie privée

4

4

3

3

7

Serveurs

Panne

Maintenance non suivie

Pertes financières, de clients

1

1

3

2

4

Pare-feu

Détournement du dispositif de sécurité

Faiblesse du dispositif

Perte d’image de marque, de réputation

3

3

1

2

5

Local

Poussière ou humidité

Manque d’étanchéité de la salle des machines

Pertes financières, de réputation

1

1

3

1

3

Logiciel

Abus de droits

Manque de test des logiciels

Violation de la confidentialité

3

3

3

3

6

Ordinateur

Abus de droits

Pas de verrouillage automatique de session

Violation de la confidentialité

4

3

1

3

6

Logiciel comptable

Erreur d’utilisation

Manque de documentation

Perturbation des opérations

0

4

1

3

5

Logiciel comptable

Logiciel défaillant

Manque de mises à jour

Perturbation des opérations, interruption de service

1

1

2

3

4

Réseaux

Écoute...

Traitement du risque

En évaluant les risques, nous avons obtenu une note pour chacun des scénarios identifiés. Cela nous permet de les classer du risque le plus élevé au plus faible et de définir quel sera leur traitement. Nous choisirons dans les quatre options disponibles comme vu dans le chapitre Traitement et acceptation des risques, à savoir la réduction, l’évitement, le transfert et l’acceptation du risque.

Actif

Menace

Vulnérabilité

Conséquence

Risque

Traitement

Stockage

Vol ou modification de documents

Stockage non protégé

Perte de clients, ou perte de fournisseurs, violation de la vie privée

7

Réduction

Logiciel

Abus de droits

Manque de test des logiciels

Violation de la confidentialité

6

Transfert

Ordinateur

Abus de droits

Pas de verrouillage automatique de session

Violation de la confidentialité

6

Réduction

Pare-feu

Détournement du dispositif de sécurité

Faiblesse du dispositif

Perte d’image de marque, de réputation

5

Réduction

Logiciel comptable

Erreur d’utilisation

Manque de documentation

Perturbation des opérations

5

Réduction

Réseaux

Écoute clandestine

Ligne de communication non protégée

Violation de la confidentialité

5

Réduction

Pare-feu, Routeur

Défaillance réseau

Point de défaillance unique

Perturbation des opérations, interruption de service

5

Réduction

Serveurs

Panne

Maintenance non suivie

Pertes financières, de clients

4

Réduction

Logiciel comptable

Logiciel défaillant

Manque de mises à jour

Perturbation des opérations, interruption de service

4

Réduction

Serveurs Active Directory

Destruction de l’équipement

Équipement trop vieux, manque de suivi du remplacement

Pertes financières, incapacité...

Le plan d’actions

Scénario : Vol de documents confidentiels

Risque : 7

Priorité : Très haute

Traitement : Réduction

Mesure : Augmenter le contrôle d’accès aux données

Ressources requises : 35 h pour revoir l’attribution des droits d’accès

Responsable : Équipe infrastructure

Dates : 01/01/2023 - 25/01/2023

Maintien en condition opérationnelle/suivi : 5 h de revue partielle des accès par trimestre et 10 h de revue complète des accès par an

Scénario : Abus de droits via des failles logicielles

Risque : 6

Priorité : Très haute

Traitement : Transfert

Mesure : Tester les logiciels et corriger les failles

Ressources requises : Faire appel à une société externe pour réaliser ces opérations

Responsable : RSSI

Dates : 01/01/2023 - 01/04/2023

Maintien en condition opérationnelle/suivi : Tests et corrections tout au long de l’année

Scénario : Abus de droits dus au manque de verrouillage automatique de session

Risque : 6

Priorité : Très haute

Traitement : Réduction

Mesure : Mettre en place un verrouillage automatique de session sur les machines 

Ressources requises : 3 h pour créer la GPO et la pousser sur les machines

Responsable : Équipe infrastructure

Dates : 02/01/2023 - 03/01/2023

Maintien en condition opérationnelle/suivi : N/A

Scénario : Détournement du pare-feu par un pirate informatique

Risque : 5

Priorité : Haute

Traitement : Réduction

Mesure : Amélioration des règles de sécurité du pare-feu

Ressources requises : 10 h d’audit des règles et 10 h de correction

Responsable : Équipe infrastructure

Dates : 01/02/2023 - 01/03/2023

Maintien en condition opérationnelle/suivi : 2 h de revue mensuelle et 5 h de revue...

Le risque résiduel

Une fois le plan d’actions réalisé, il convient de calculer le risque résiduel. Pour rappel, il se calcule de cette façon :

Risque résiduel = risque initial - risque traité

Ainsi, pour chacun des scénarios nous calculerons le risque résiduel en prenant en compte les mesures de sécurité définies dans le plan d’actions, ce qui nous donne :

Scénario

Risque initial

Mesure apportée

Risque résiduel

Vol de documents confidentiels

7

Augmenter le contrôle d’accès aux données

3

Abus de droits via des failles logicielles

6

Tester les logiciels et corriger les failles

2

Abus de droits dus aumanque de verrouillage automatique de session

6

Mettre en place un verrouillage automatique de session sur les machines

2

Détournement du pare-feu par un pirate informatique

5

Amélioration des règles de sécurité du pare-feu

2

Erreur d’utilisation du logiciel comptable en renseignant des données erronées dans l’exercice comptable

5

Augmenter le niveau d’expertise des collaborateurs sur le logiciel

2

Écoute clandestine via une connexion illégitime sur le Wi-fi de l’entreprise

5

Augmenter le niveau de sécurité du réseau sans fil

2

Défaillance réseau due à un point de défaillance unique sur le routeur internet

5

Mettre en place une redondance réseau

2

Panne d’un serveur due à une maintenance défaillante

4

Créer un processus de maintenance des équipements

2

Logiciel comptable défaillant dû à un retard de version

4

Créer une politique de gestion des mises à jour

1

Le serveur Active Directory étant trop vieux et jamais remplacé tombe en panne

3

Créer un processus de remplacement de matériel

1

Poussière...

Acceptation des risques

Un comité décisionnel se forme au sein de SecHost dans lequel sont présents le directeur, le RSSI, le DSI et le responsable de l’infrastructure. Le gestionnaire de risque présente le plan d’actions, qui est largement validé par les membres du comité. Il énonce ensuite le résultat de ses calculs sur les risques résiduels.

Comme décrit dans le chapitre Communication des risques, le gestionnaire de risque communique sur les risques et répond aux questions des décisionnaires.

Tous les scénarios de risque sont alors dans les critères d’acceptabilités, sauf le premier, « vol de documents confidentiels ». Cependant, la direction choisit d’accepter tout de même ce risque pour ne pas bloquer le business, et il conviendra lors de la prochaine itération de réduire à nouveau ce risque.

Comme décrit dans le chapitre Surveillance et revue des risques, il conviendra d’identifier les nouveaux risques.

Conclusion

L’analyse de risques menée ici chez SecHost s’inscrit dans une démarche de certification ISO 27001 et HDS. Elle a permis à la société d’identifier plusieurs risques et de mettre au point un plan d’actions qui permettra de réduire ces risques et ainsi gagner en maturité en matière de sécurité de l’information.