Sommaire

L’analyse des risques

Après avoir passé en revue les différents types d’attaques et leur séquencement, il est important de bien comprendre dans quel contexte on réalise un test d’intrusion.

Celui-ci n’est qu’une partie d’un processus bien plus lourd en termes de gestion d’un système d’information qui est la gestion des risques et par voie de conséquence l’analyse des risques encourus par un SI.

La gestion des risques est définie par l’ISO comme l’ensemble des activités coordonnées visant à diriger et piloter un organisme vis-à-vis du risque. On dégage en général trois finalités à la gestion des risques pour les SI :

  • Améliorer la sécurisation des systèmes d’information.

  • Justifier le budget alloué à la sécurisation du système d’information.

  • Prouver la crédibilité du système d’information à l’aide des analyses effectuées.

Bien qu’un grand nombre de celles-ci ne soit plus utilisé ou confidentiel, on estime qu’il existe plus de 200 méthodes de gestion des risques.

Cette multiplicité entraîne une très grande diversité dans les approches des risques de sécurité.

À côté de ces méthodes d’analyse des risques, il existe une famille de normes ISO, la norme ISO27005, révisée en 2011, ...