Blog ENI : Toute la veille numérique !
En raison d'une opération de maintenance, le site Editions ENI sera inaccessible le mardi 10 décembre, en début de journée. Nous vous invitons à anticiper vos achats. Nous nous excusons pour la gêne occasionnée
En raison d'une opération de maintenance, le site Editions ENI sera inaccessible le mardi 10 décembre, en début de journée. Nous vous invitons à anticiper vos achats. Nous nous excusons pour la gêne occasionnée
  1. Livres et vidéos
  2. La norme ISO 27005
  3. Identification des risques
Extrait - La norme ISO 27005 Gestion des risques liés à la sécurité de l'information
Extraits du livre
La norme ISO 27005 Gestion des risques liés à la sécurité de l'information
1 avis
Revenir à la page d'achat du livre

Identification des risques

Introduction

L’objectif de cette étape d’identification des risques est d’établir une liste, ou un catalogue de scénarios potentiels capable de causer une perte pour l’organisation. La source des risques ainsi identifiée peut être ou non sous le contrôle de l’organisation.

Pour ce faire, nous devrons commencer par identifier les actifs qui seront pris en compte dans l’évaluation des risques, en prenant bien soin de les classer en fonction des trois grands principes de la sécurité, à savoir leur disponibilité, leur intégrité et leur confidentialité.

Un actif peut être du matériel, un logiciel, une documentation, une information, une personne exerçant un rôle majeur et qui nécessite d’être protégé…

Nous identifierons ensuite les menaces que peut rencontrer l’organisation, les vulnérabilités touchant les actifs ainsi que les mesures de sécurité déjà mises en place. Rassembler toutes ces informations peut être une lourde tâche, et nous verrons dans ce chapitre plusieurs façons de nous y prendre.

Techniques pour rassembler les informations

Pour rassembler les informations nécessaires à une analyse de risques, nous pourrons utiliser les moyens suivants :

  • Questionnaire

  • Entretiens

  • Revue de documentations et outils d’analyse

1. Questionnaire

Lors de la phase de création d’un projet, un questionnaire peut s’avérer très utile afin d’identifier au mieux les risques. Il permet, en répondant à quelques questions basiques, de déterminer le niveau de confidentialité des données traitées par ce projet, mais également le niveau de leur disponibilité et intégrité.

Les questions porteront sur divers sujets tels que l’authentification, les demandes d’accès, le chiffrement des données ou encore l’antivirus.

Le but étant de recueillir des informations sur la finalité du projet afin de s’y projeter et réfléchir ainsi aux scénarios des risques.

images/EP02-03-p60.png

2. Entretiens

La première étape est d’identifier les bonnes personnes à interroger. Nous les choisirons en nous basant sur ces critères :

  • Degré élevé de compétence ou de connaissance sur le sujet en question

  • Expérience sur des sujets/projets similaires

  • Capacité à être critique et objectif.

Mener à bien un entretien demande de la préparation. Pour nous aider, nous pouvons nous servir du questionnaire cité dans la section précédente, il peut notamment faire office de rappel pour n’omettre aucun sujet. Ces entretiens sont très importants car ils nous mettent en relation avec du personnel qui n’est pas forcément formé ou sensibilisé aux questions de sécurité, ni même de technologie de l’information en général. Ces discussions seront...

Identification des actifs

Entrées

Actions

Sorties

Portée et limites de l’évaluation des risques à mener, liste des constituants avec propriétaires, localisation, fonction, etc.

Les actifs compris dans le périmètre établi doivent être identifiés.

Une liste des actifs dont les risques doivent être gérés et une liste des processus opérationnels liés aux actifs et leur pertinence.

Pour rappel, un actif est tout ce qui a de la valeur pour l’organisation et donc nécessite d’être protégé. Cela ne se limite pas aux matériels et aux logiciels, les informations en format papier sont aussi concernées, ainsi que les processus, les procédures, les employés, etc.

L’identification des actifs peut se limiter à ceux ayant la plus importante valeur pour l’organisation. La méthodologie OCTAVE (Operationally Critical Threat, Asset, And Vulnerability Evaluation, en français « évaluation des menaces, des actifs et des vulnérabilités opérationnellement critiques »), que nous étudierons dans le chapitre Étude de cas 1 - Mise en conformité, suggère de ne prendre en compte que 5 à 10 actifs. Cependant, le gestionnaire de risque retiendra autant d’actifs qu’il lui semblera nécessaire, en fonction du niveau de détail qu’il souhaite obtenir. Le processus de gestion des risques étant itératif, il sera tout à fait possible d’affiner le niveau de détail au cours des itérations.

De manière globale, chaque organisation devrait posséder et maintenir un inventaire des actifs. Pour des raisons de comptabilité, d’assurances, lors de la réalisation d’un audit, ou la réalisation d’une évaluation...

Identification des menaces

Une menace est une cause potentielle d’un évènement non désiré pouvant nuire à une organisation.

ISO/IEC 27005, clause 8.2.3 :

Une menace a le potentiel de nuire à des actifs tels que des informations, des processus et des systèmes et, par conséquent, des organisations. Les menaces peuvent être d’origine naturelle ou humaine, accidentelles ou délibérées. Les sources de menace tant accidentelles que délibérées doivent être identifiées.

La clause 8.2.3 d’ISO/IEC 27005 nous éclaire sur l’origine des menaces. Celles-ci peuvent venir de l’intérieur ou de l’extérieur de l’organisation. Elles doivent donc être identifiées par type (accidentelles - en envoyant par erreur des informations confidentielles, délibérées - un pirate informatique s’introduit dans le système d’information, environnementales - un séisme fait s’écrouler le centre de données) et aucune d’entre elles ne doit être négligée.

N’oublions pas que certaines menaces peuvent affecter plusieurs actifs, mais l’impact ne sera pas nécessairement le même.

La norme ISO 27005 préconise d’effectuer cette étape en deux temps. Tout d’abord, une identification des menaces de manière générique, en se basant par exemple sur des listes de menaces déjà créées et disponibles sur Internet. La méthode EBIOS (qui sera décrite dans le chapitre Méthodes) propose un catalogue de menaces génériques.

images/05EP04.png

Il est possible d’ajouter des colonnes à ce tableau, par exemple « Motivation » (vengeance d’un employé licencié)...

Identification des contrôles existants

Comme nous l’avons vu dans la partie précédente, l’analyse de l’existant est un point essentiel lors d’une analyse de risques. Certaines menaces peuvent être contrées efficacement à l’aide de mesures déjà en place au sein de l’organisation. Cela permet d’économiser du temps de mise en œuvre mais également des coûts.

La notion économique est un point très important et un problème récurrent en matière de sécurité du système d’information. La sécurité est en effet souvent jugée trop coûteuse et le bénéfice est très difficile à calculer car il s’agit d’estimer la perte financière dans l’éventualité où un incident de sécurité aurait lieu. C’est pourquoi l’administration peut parfois être réticente à l’idée d’investir dans ce domaine. Il faut donc particulièrement insister sur le fait qu’une organisation sécurisée au maximum bénéficiera d’une réputation sérieuse et d’une sérénité quant à la sauvegarde de ses informations confidentielles.

Quels sont donc les moyens à mettre en œuvre afin d’identifier ces mesures existantes ? Comme pour les parties précédentes, il s’agira de mener une revue documentaire (rapport d’audit, politique de sécurité du système d’information, procédures…). Si l’organisation documente correctement ses process, tous les contrôles devraient être disponibles et identifiés lors de cette revue.

Si toutefois la revue documentaire ne s’avère pas fructueuse...

Identification des vulnérabilités

ISO/IEC 27005, clause 8.2.5 :

La présence d’une vulnérabilité ne cause pas de préjudice en soi, car il faut qu’une menace soit présente pour l’exploiter.

Une vulnérabilité qui n’a pas de menace correspondante peut ne pas nécessiter la mise en œuvre d’un contrôle, mais doit être reconnue et surveillée.

Il convient de noter qu’un contrôle ou un contrôle incorrectement mis en œuvre ou défectueux, ou utilisé de manière incorrecte pourrait lui-même constituer une vulnérabilité.

La présence d’une vulnérabilité peut être identifiée dans différents domaines tels que l’organisation, les processus, les procédures, le personnel, le matériel, les logiciels, l’environnement, la configuration des éléments du système d’information ou encore des routines de gestion. Cette liste n’est pas exhaustive.

L’annexe D de la norme ISO/IEC 27005 présente un tableau regroupant un grand nombre de vulnérabilités. Il est important de s’en servir pour nous guider lors de cette phase d’identification.

Exemples de vulnérabilités tirés de l’annexe D de la norme ISO/IEC 27005 :

Type

Exemple de vulnérabilités

Exemple de menaces

Matériel

Entretien insuffisant

Manquement à la maintenabilité du système d’information

Susceptibilité de variations de tension

Perte d’alimentation

Sensibilité aux rayonnements électromagnétiques

Un rayonnement électromagnétique

Manque de contrôle efficace des changements de configuration

Erreur d’utilisation

Stockage non protégé...

Identification des conséquences

Les conséquences sont le résultat de l’impact provenant de la rencontre d’une menace et d’une vulnérabilité.

Une conséquence peut se présenter sous la forme d’une perte d’activité ou d’efficacité, de dommages physiques ou virtuels, d’interruption de service, d’atteinte à la sécurité du personnel, d’une perte de réputation, etc. Ces conséquences peuvent être temporaires, s’il est possible de corriger ou réparer, ou définitives si l’actif a été volé ou détruit.

Les impacts sont classés selon les critères de sécurité, à savoir de disponibilité, d’intégrité et de confidentialité.

  • La disponibilité d’un actif est l’assurance que celui-ci est accessible dans la plage horaire définie - Le serveur d’affichage des informations dans le hall d’entrée doit fonctionner pendant les heures de bureau alors que le serveur d’accès à distance doit être opérationnel 24 heures sur 24.

  • L’intégrité d’un actif est l’assurance que celui-ci n’a été en aucun cas altéré et demeure exact et complet, comme les fiches de paie des employés.

  • La confidentialité d’un actif est l’assurance que celui-ci est accessible uniquement par les personnes autorisées - Le personnel ne peut pas consulter les fiches de paie de ses collègues.

Le tableau ci-dessous donne des exemples d’impact selon les critères de sécurité.

Disponibilité

Intégrité

Confidentialité

Baisse des performances

Perte de données

Violation de la vie privée des clients

Interruption...

Conclusion

L’identification du risque constitue le socle de l’analyse du risque. C’est lors de cette étape que le gestionnaire du risque dresse un inventaire de l’existant, que ce soient les actifs, leurs vulnérabilités, les mesures de sécurité mises en place, etc. Ces connaissances lui permettront d’affiner au maximum son analyse et ainsi obtenir une évaluation des risques la plus complète et la plus pertinente possible.