1. Livres & vidéos
  2. Sécurité informatique
  3. Analyses de risques
Extrait - Sécurité informatique Ethical Hacking : Apprendre l'attaque pour mieux se défendre (7e édition)
Extraits du livre
Sécurité informatique Ethical Hacking : Apprendre l'attaque pour mieux se défendre (7e édition) Revenir à la page d'achat du livre

Analyses de risques

Introduction à la notion de risques

Dans ce chapitre, nous allons aborder la notion de risques sur les systèmes d’information. Cette notion remonte bien avant la révolution industrielle. L’homme a depuis toujours été confronté aux risques. Le principe généralement appliqué, souvent de manière inconsciente, consiste à évaluer les risques au regard des bénéfices attendus. Cette notion est omniprésente dans notre esprit. Par exemple, sur la route, puis-je doubler cette voiture avec un risque acceptable pour gagner du temps sur mon trajet ? Il existe de nombreux exemples de même nature. Dans la vie quotidienne, l’appréciation des risques l’appréciation des risques repose généralement sur la subjectivité, l’expérience et l’intuition. Cette appréciation est bien entendu inapplicable dans un contexte professionnel, bien que ces notions restent malgré tout présentes.

Si vous êtes gérant d’entreprise, directeur général, RSSI (Responsable de la Sécurité du Système d’Information) ou encore chef de projet, etc., vous êtes confronté régulièrement à l’appréciation du risque. Chaque secteur d’activité dispose de méthodes propres d’appréciation...

Pourquoi faire une analyse des risques ?

De nombreuses raisons peuvent conduire à réaliser une analyse des risques. Voici quelques objectifs couramment visés par les méthodes d’analyse des risques que nous présenterons par la suite :

  • Mettre en place ou renforcer un processus de management du risque numérique au sein d’une organisation.

  • Apprécier et traiter les risques relatifs à un projet numérique, notamment dans l’objectif d’une homologation de sécurité.

  • Définir le niveau de sécurité à atteindre pour un produit ou un service selon ses cas d’usage envisagés et les risques à contrer, dans la perspective d’une certification ou d’un agrément par exemple.

  • Aider l’organisme à prendre des décisions concernant la gestion des risques qui affectent la réalisation de ses objectifs.

  • Aider l’organisation à se concentrer sur les risques les risques susceptibles de compromettre l’atteinte de ses objectifs.

  • Fournir aux décideurs des informations pertinentes sur la probabilité d’occurrence d’une menace et le niveau des pertes associées.

  • Identifier le socle de sécurité adapté à l’objet de l’étude.

  • Évaluer le niveau de menace de l’écosystème vis-à-vis...

Comment faire une analyse des risques ?

1. Ce que disent les normes, les textes de référence et la loi

Une norme est un document qui définit des exigences, des spécifications, des lignes directrices ou des caractéristiques à utiliser systématiquement pour assurer l’aptitude à l’emploi des matériaux, produits, processus et services.

Commençons par présenter les organismes faisant référence en matière de normes :

  • L’ISO (International Organization for Standardization/Organisation internationale de normalisation) a publié plus de 19 000 Normes internationales qui peuvent être achetées auprès de l’ISO ou de ses membres.

  • La CEI, la Commission électrotechnique internationale (CEI) ou International Electrotechnical Commission (IEC) en anglais, est l’organisation internationale de normalisation chargée des domaines de l’électricité, de l’électronique, de la compatibilité électromagnétique, de la nanotechnologie et des techniques connexes. Elle est complémentaire de l’Organisation internationale de normalisation (ISO), qui est chargée des autres domaines.

C’est pour cette raison qu’un grand nombre de normes issues de ces deux organismes portent la désignation ISO/CEI xxxxx. Surtout dans le domaine de l’informatique et de l’électronique. Toutefois, dans la plupart des cas, l’usage du terme « ISO » prévaut par simplification, à l’exception des documents officiels où la terminologie exacte est requise.

En matière de gestion du risque, la première norme rencontrée est l’ISO 31000:2018 : Management du risque - Principes et lignes directrices. Celle-ci est généraliste et traite de la gestion du risque sans cibler un secteur d’activité spécifique. Cette norme indique ce qu’il faut faire et les grands principes à appliquer sans pour autant expliquer comment. Elle permet de poser le bon vocabulaire et de définir les processus à mettre en place.

La norme suivante qu’il faut naturellement consulter est l’ISO/CEI 31010:2009 : Gestion des risques - Techniques d’évaluation des risques....

Mise en œuvre de la méthode EBIOS RM

1. Les avantages de la méthode EBIOS RM

La méthode EBIOS RM présente de nombreux avantages pour les organisations souhaitant structurer leur gestion des risques numériques :

Une approche stratégique et opérationnelle :

  • Vision globale : EBIOS RM combine une approche stratégique et opérationnelle, permettant d’aligner la gestion des risques avec les objectifs globaux de l’organisation.

  • Flexibilité : la méthode s’adapte à différents contextes d’entreprise et environnements réglementaires, quelle que soit la taille ou le secteur d’activité de l’organisation.

Une méthodologie structurée et collaborative :

  • Processus en cinq ateliers : la structure en cinq ateliers permet une analyse progressive et approfondie des risques.

  • Démarche collaborative : EBIOS RM encourage la participation de différents acteurs (métiers, techniques, dirigeants) pour une vision partagée des risques.

Elle est conforme aux standards et aux normes :

  • Alignement avec les normes : la méthode est compatible avec les standards internationaux comme ISO 27005 et répond aux exigences de l’ISO 27001.

  • Conformité réglementaire : EBIOS RM aide à répondre aux exigences légales, notamment en matière de protection des données personnelles (RGPD) et d’autres référentiels de sécurité de l’information.

Elle s’appuie sur une approche personnalisée et évolutive :

  • Analyse fine de l’écosystème : la méthode prend en compte les partenaires, fournisseurs et clients pour identifier les menaces et cartographier les vulnérabilités structurelles.

  • Combinaison d’approches : EBIOS RM allie une approche par conformité pour les risques génériques et une approche par scénarios pour les risques spécifiques et ciblés. 

Elle met en œuvre une amélioration continue :

  • Processus itératif : la méthode encourage l’évolution constante de la posture de sécurité de l’entreprise, en lien avec ses valeurs métier.

  • Anticipation des menaces :...

Conclusion et analyse critique

Comme nous avons pu le voir, faire une analyse des risques de son système d’information et de son écosystème n’est pas simple, mais n’est pas non plus impossible. L’important est de se lancer dans une première analyse et peut-être de se faire accompagner par des spécialistes du domaine dans un premier temps.

L’expérience montre que le lancement d’un tel projet lève de nombreuses questions et met parfois en lumière des faiblesses non imaginées. L’atelier 1 contraint déjà à définir un socle de sécurité qui fait souvent défaut dans les TPE/PME. Bien entendu, la maturité cyber de l’entité étudiée conditionnera fortement la qualité de l’analyse.

Le conseil qu’il faut retenir est qu’il ne faut pas hésiter à se lancer, même si la première analyse réalisée est très imparfaite. Elle permet la mise en place de procédures et de comités pour rentrer dans une démarche d’amélioration continue. Le pire que nous pouvons faire est justement de ne rien faire.