1. Livres & vidéos
  2. La norme ISO/IEC 27005
  3. Analyse et évaluation du risque
Extrait - La norme ISO/IEC 27005 Maîtriser la gestion des risques en sécurité de l'information (2e édition)
Extraits du livre
La norme ISO/IEC 27005 Maîtriser la gestion des risques en sécurité de l'information (2e édition) Revenir à la page d'achat du livre

Analyse et évaluation du risque

Introduction

Ce chapitre nous aidera à appréhender le processus d’analyse du risque en combinant l’étude des conséquences et de la vraisemblance de survenue d’un événement redouté, permettant d’identifier et de hiérarchiser le niveau.

L’objectif est de fournir une base décisionnelle pour le traitement des risques, en tenant compte du contexte spécifique de l’organisation, des critères d’acceptation définis, ainsi que des contrôles déjà en place.

Méthodologies d’analyse du risque

Deux approches différentes existent en matière d’analyse du risque :

  • l’approche qualitative ;

  • l’approche quantitative.

La norme ISO/IEC 27005:2022 reconnaît que ces approches peuvent être utilisées séparément ou de manière combinée, en fonction du contexte, des ressources disponibles et du degré de précision souhaité. Le choix de la méthode doit être cohérent avec les objectifs de l’analyse et les critères définis lors de l’établissement du contexte.

1. Approche qualitative

L’approche qualitative est une approche subjective basée sur l’interprétation et la perception des parties prenantes, ainsi que sur leur expertise et leur retour d’expérience. Elle nécessite la collecte d’un grand volume de données pour obtenir des résultats. De manière générale, elle est plutôt utilisée dans les projets de grande envergure. Elle repose sur une échelle de qualificatifs donnant un ordre de grandeur des conséquences potentielles ainsi que leurs probabilités (par exemple : faible, moyen, fort…).

Selon la norme ISO/IEC 27005:2022, cette approche est particulièrement adaptée lorsque les données quantitatives sont indisponibles ou incomplètes...

Évaluation des conséquences

Entrées

Actions

Sorties

Une liste des scénarios d’incidents pertinents identifiés, y compris l’identification des menaces, des vulnérabilités, des actifs affectés, des conséquences sur les actifs et les processus métier.

L’impact commercial sur l’organisation, qui peut résulter d’incidents de sécurité de l’information possibles ou réels, doit être évalué, en tenant compte des conséquences d’une violation de la sécurité de l’information telles que la perte de confidentialité, d’intégrité ou de disponibilité des actifs.

Une liste des conséquences évaluées d’un scénario d’incident exprimées en termes d’actifs et de critères d’impact.

L’évaluation des conséquences consiste à mesurer les effets d’un évènement non désiré sur les critères de sécurité de l’information, qui sont : l’intégrité, la disponibilité et la confidentialité. Pour ce faire, nous aurons besoin des critères d’impact et de la valorisation des actifs que nous avons identifiés auparavant lors de l’identification des risques.

Cette évaluation peut être...

Évaluation de la vraisemblance d’un incident

Entrées

Actions

Sorties

Une liste des scénarios d’incidents pertinents identifiés, y compris l’identification des menaces, des actifs affectés, des vulnérabilités exploitées et des conséquences sur les actifs et les processus métier. En outre, des listes de tous les contrôles existants et prévus, leur efficacité, leur mise en œuvre et leur état d’utilisation.

La probabilité des scénarios d’incident doit être évaluée.

Probabilité des scénarios d’incidents (quantitatifs ou qualitatifs).

La probabilité se définit par la chance que quelque chose se produise.

Selon la version 2022 de l’ISO/IEC 27005, l’évaluation de la vraisemblance d’un scénario d’incident implique de considérer la fréquence attendue des événements déclencheurs (tels que les menaces), la facilité avec laquelle les vulnérabilités peuvent être exploitées, et l’efficacité des contrôles existants.

Il est important de se concentrer sur des scénarios réalistes, en tenant compte de l’environnement spécifique à l’organisation, ainsi que du contexte opérationnel.

ISO 31000, clause 3.7 : Probabilité...

Détermination d’un niveau de risque

Entrées

Actions

Sorties

Une liste de scénarios d’incident avec leurs conséquences liées aux actifs et aux processus métier et leur probabilité (quantitative ou qualitative).

Le niveau de risque global associé à chaque scénario doit être déterminé sur la base des impacts évalués et de leur vraisemblance.

Une liste de risques avec des niveaux de valeur attribués.

Le niveau du risque est la combinaison de la probabilité qu’un incident se produise, et les conséquences liées à cet incident. Ainsi, l’utilisation d’une matrice d’évaluation du risque permet d’identifier le niveau du risque par scénario.

La matrice d’évaluation du risque se présente sous forme d’un tableau à double entrée reprenant la probabilité et les conséquences d’un incident. Elle peut être qualitative, semi-quantitative ou quantitative, selon le niveau de précision souhaité. On obtient ainsi un support facile à lire et à interpréter, qui peut s’ajuster au besoin.

images/06EP01.png

Ainsi, un scénario d’incident ayant une probabilité de se réaliser notée « Haut » et ayant une conséquence notée « Bas » sera évalué à 4/8. Le risque sera donc moyen.

En revanche...

Évaluation du risque

Entrées

Actions

Sorties

Une liste des risques avec des niveaux de valeur attribués et des critères d’évaluation des risques.

Le niveau des risques doit être comparé aux critères d’évaluation des risques et aux critères d’acceptation des risques.

Une liste de risques hiérarchisés selon des critères d’évaluation des risques en relation avec les scénarios d’incidents qui conduisent à ces risques.

Lors de l’évaluation du risque, nous confronterons les risques identifiés dans les chapitres précédents aux critères d’évaluation des risques. Cela nous permettra de classer ces risques par importance et de nous aider dans la prise de décision lorsqu’il s’agira de les traiter.

Le gestionnaire de risque doit alors dans cette phase :

  • s’assurer que les risques identifiés sont pertinents ;

  • s’assurer que les critères d’évaluation sont pertinents ;

  • s’assurer des obligations qui doivent être prises en compte (légales, réglementaires, contractuelles…) ;

  • évaluer chaque risque au regard des critères d’acceptation définis ;

  • hiérarchiser les risques pour déterminer les priorités de traitement.

À ce stade où on en sait beaucoup plus sur les risques liés à l’organisation, les critères d’évaluation et le contexte doivent être réexaminés.

Cette étape s’inscrit dans le processus d’aide à la décision pour la gestion du risque défini par la norme ISO/IEC 27005:2022.

La priorisation des risques s’effectue via le niveau de risque obtenu, c’est-à-dire...

Évaluation quantitative du risque

Cette section permet de comprendre le concept de ROSI (Return On Security Investment), de savoir calculer les pertes annuelles prévues (en anglais « ALE », Annual Loss Expectancy), et la valeur d’un contrôle de sécurité.

1. Concept de ROSI

Le calcul classique de ROI (retour sur investissement) ne peut pas s’appliquer à la sécurité. En effet, investir dans la sécurité de son entreprise ne signifie pas faire des bénéfices, mais plutôt réduire les pertes potentielles. Il s’agit donc de réduire les risques et ainsi calculer combien de pertes ont pu être évitées grâce aux investissements.

Le concept ROSI (Return On Security Investment) est le retour sur investissement, mais dédié à la sécurité. Ce concept est dérivé du ROI et souvent confondu avec celui-ci. Il définit le retour sur investissement d’une mission de sécurité par rapport à son coût total, sur une période donnée. Toutefois, cette notion de retour sur investissement du concept ROSI est souvent liée à celle nommée « Payback Period » dite du point de retour. C’est la date à partir de laquelle la plus-value dépasse l’investissement qu’a engagé une organisation pour sa sécurité. En somme, ROSI représente le gain financier...