Management du risque:

Notions de base
Fatma KAABI
[email protected]
 Menace
Définition
ISO 27000
Cause potentielle d’un incident indésirable, qui peut nuire à un système ou à
un organisme.

2
 Menace
Types de menaces
ISO 27005, annexe C
 Vulnérabilité
Définition
ISO 27000
La faiblesse d’un actif ou d’une mesure qui peut être exploitée par une ou
plusieurs menaces.

4
 Vulnérabilité
Types de vulnérabilités
ISO 27005, annexe D

 Relation entre menace et vulnérabilité

 Impact
ISO 27005
Changement négatif pénalisant le niveau des objectifs métier atteints.

6
 Risque
ISO 27000: risque lié à la sécurité de l'information
La possibilité qu’une menace donnée exploite les vulnérabilités d’un actif ou
d’un groupe d'actifs informationnels et nuisent donc à un organisme.
Le risque est souvent exprimé en termes d’une combinaison de la probabilité
d’un évènement et de ses conséquences.

7
Scénario de risque
Relations entre les concepts de la SI
 Management du risque
Normes de management du risque

ISO 31000 ISO 27005

Cadre général en
Cadre général
management du risque
en
appliqué à la sécurité
management du risque
de l’information

10
 Management du risque
Relation entre ISO 27001, ISO 27005 et ISO 31000

ISO 27001 ISO 27005

Exigences sur la Cadre générique de
ISO 31000
gestion des risques: management des
Cadre générique de
Articles: risques appliqué à la
management des
6.1.1 + 6.1.2 + 6.1.3 sécurité de
risques
8.2 + 8.3 l’information

La norme ISO 27001 n’exige pas de se référer à l’ISO 27005 ou ISO 31000.

11
 Management du risque
Activités du management du risque
Approche d’appréciation du risque

Méthodologie d’appréciation du risque

Identification du risque

Estimation du risque

Evaluation du risque Appréciation

du risque
Traitement du risque

Acceptation du risque

12
 Management du risque
Le management du risque est un processus continue

Management du risque
est l’ensemble des processus permettant de gérer le risque sur une base
continue afin de le surveiller et de le maintenir à un niveau acceptable pour
l’organisme. Il s’agit d’un programme permanant.

Appréciation du risque
Est le processus permettant d’identifier, d’estimer et d’évaluer le risque d’un
organisme . Il s’agit d’une activité à un moment donné.

13
 Management du risque

Plan • Établir le contexte

Planifier • Apprécier les risques
• Planifier le traitement des risques
Maintenir et améliorer le • Accepter les risques
processus de gestion des risques
Processus
continue de
Act gestion des
Do
Améliorer Déployer
risques

Mettre en œuvre le plan

Surveiller et réexaminer de traitement des risques
en continue les risques Check
Contrôler

Modèle PDCA
14
 Management du risque
Sélection d’une approche d’appréciation du risque

Appréciation Appréciation
qualitative quantitative

L’appréciation de l’impact et de L’appréciation de l’impact et de

la probabilité d’occurrence d’un la probabilité d’occurrence d’un
évènement s’établit à partir évènement s’établit à partir
d’une échelle de valeur de type d’une échelle comprenant des
qualitative. valeurs numériques utilisant les
Exemple: faible, moyen, élevé ou mathématiques et l’analyse
1,2,3) financière

Données subjectives Données objectives (chiffrées)

S’exprime en échelle graduée S’exprime en unité monétaire

15
 Management du risque
Sélection d’une approche d’appréciation du risque
– Choix entre une approche qualitative ou quantitative ou une combinaison
– Approche itérative d’appréciation du risque: l’appréciation du risque est
souvent réalisée en deux itérations ou +:
 Une appréciation sommaire du risque afin d’obtenir une indication
générale du niveau de risque et identifier les risques élevés qui
justifient une analyse plus détaillée;
 La seconde itération est un examen plus approfondi des risques
élevés découvertes à la 1ère itération.

16
 Management du risque
Sélection d’une méthodologie d’appréciation du risque
– Une méthodologie qui respecte les critères d’évaluation établies par la
norme ISO 27001: la valeur des actifs, les menaces qui pèsent sur ces
actifs, les vulnérabilités qui exposent l’actif aux menaces, les probabilités
d’occurrence de ces menaces ainsi que les besoins de ces actifs en termes
de CID.
– Peut être une méthode existante ou développée en interne.
– Exemples des méthodes des gestion du risque connues:
 OCTAVE;
 CRAMM;
 EBIOS;
 MEHARI;
 …

17
 Identification du risque

Identification du risque

Identification des actifs

Identification des
menaces

Identification des
contrôles existantes

Identification des
vulnérabilités

Identification des
impacts

18
 Identification des actifs

Catégorie d’actif
Définition de l’actif
Tout élément représentant
de la valeur pour
Actif primaire
l’organisme
• Processus métier
• Actif informationnel
Les actifs primaires sont
les plus importants à
prendre en compte Actif de support
- Matériel - Logiciel
- Réseau - Personne
- Site - Structure
de l’organisme
19
 Identification des actifs informationnels

Processus métier à considérer

- Processus soutenant et contribuant à la réalisation de la mission de
l’organisme
- Processus impliquant le traitement d’informations confidentielles
- Processus liés à une obligation légale/contractuelle

Actifs informationnels à considérer

-Actifs informationnels qui ont une valeur économique, administrative
ou légale pour l’organisme.
-Exemples d’actifs fréquemment identifiés comme important pour
l’organisme: dossiers des employés, listes de clients , plan stratégique
de l’organisme, configuration de réseau, données comptables

20
 Exemple simple d’une appréciation du risque
Définition d’une échelle de niveaux en CID: exemple
Qualification du besoin en
Niveau du besoin
C I D

Peut ne pas être Perte de

Public faible 1
intègre disponibilité <=7j

Accès autorisé à toute Peut être

Perte de
personne interne à partiellement Moyen 2
disponibilité <=2j
l’organisme intègre

Accès autorisé aux

Perte de
personnes Doit être intègre fort 3
disponibilité <=1j
concernées
Perte de
Accès autorisé à un Doit être
disponibilité
membre unique de parfaitement Majeur 4
<=1/2j
l’organisme intègre 21
 Identification des actifs: exemple
– Identification et classification de certains actifs dans le domaine
d’application

Actif Besoins en
C I D
Données 4 1 1
Client
Contrats 4 2 2
client
Serveur 1 4 3
Client
PC portable 3 1 2

22
 Identification des menaces
L’identification des menaces peut être établie avec l’aide de diverses parties
prenantes telles que:
 Propriétaires ou utilisateurs des actifs;
 Spécialistes de la sécurité de l’information;
 Juristes;
 Compagnies d’assurance;
 Autorités gouvernementales.

23
 Identification des menaces: exemple
– Identification des menaces pour chaque actif: dans un but de
simplification, identification d’une menace par actif

Impact
Actif Menace Vuln Prob Risque
C I D
Données
Divulgation
Client

Contrats
Vol
Client

Serveur
Virus
Client

PC
Vol
Portable

24
 Identification des contrôles existants
– C’est pour éviter un travail ou des coûts inutiles (exemple: duplication des
contrôles ou la mise en œuvre de mesures inutiles)
– Tout en identifiant les contrôles de sécurité existants, une analyse de ces
contrôles devrait être conduite pour s’assurer qu’ils fonctionnent
correctement.
– Pour assurer l’identification des contrôles de sécurité existants ou prévus,
on peut se servir de la liste des contrôles de sécurité de l’ISO 27002 (ou
annexe A de l’ISO 27001)

25
 Identification des vulnérabilités
– Déterminer les vulnérabilités spécifiques aux actifs inclus dans le
domaine d’application.
– Les vulnérabilités peuvent être:
 Intrinsèques à l’actif: proviennent des caractéristiques qui
composent l’actif: exemple un serveur qui n’a pas une capacité
nécessaire.
 Ou extrinsèques à l’actif: sont issues de caractéristiques extérieures
à l’actif et liées à des circonstances particulières: exemple ce serveur
est dans un sous-sol en zone inondable.

26
 Identification des vulnérabilités: exemple
– Identification des vulnérabilités pour chaque actif: dans un but de
simplification, identification d’une vulnérabilité par menace

Impact
Actif Menace Vuln Prob Risque
C I D
Données Contrôle d’accès
Divulgation
Client insuffisant

Contrats Protection
Vol
Client insuffisante

Serveur Antivirus non

Virus
Client màj

PC Portable Vol Portabilité

27
 Identification des impacts/conséquences: exemple
Evaluation de l’impact en termes CID

Impact
Actif Menace Vuln Prob Risque
C I D
Données Contrôle d’accès
Divulgation X X X
Client insuffisant

Contrats Protection
Vol X X
Client insuffisante

Serveur Antivirus non

Virus X
Client màj

PC Portable Vol Portabilité X X X

28
 Evaluation de la probabilité d’incident
Définition d’une échelle de mesure des Vraisemblances (Probabilité
d’occurrence): exemple

Echelle qualitative Occurrence

1 Improbable jamais arrivé (> 30 ans)
2 Peu probable Peut déjà être survenu (> 10 ans)
3 Probable Peut arriver de temps à autre (> 5
ans)
4 Certain au moins tous les ans

29
 Evaluation de la probabilité d’incident

Exemple d’une expression quantitative:

1) L’année dernière, l’organisme a enregistré 730 incidents liés au vol du
mot de passe
2) 730 incidents / 365 jours = 2
3) La probabilité du scénario d’un incident lié au vol du mot de passe dans
cet organisme est 2 par jour.

30
 Evaluation de la probabilité d’incident: exemple
Evaluation de la probabilité de l’occurrence (selon l’échelle prédéfinie)

Impact
Actif Menace Vuln Prob Risque
C I D
Données Contrôle d’accès
Divulgation X X X 4
Client insuffisant

Contrats Protection
Vol X X 2
Client insuffisante

Serveur Antivirus non

Virus X 4
Client màj

PC Portable Vol Portabilité X X X 3

31
 Estimation et évaluation du niveau de risque
Exemple de matrice d’estimation et d’évaluation du risque

32
 Estimation et évaluation du niveau de risque
Critères d’acceptation du risque: exemple

33
 Estimation et évaluation du risque: exemple
Calcul du risque en multipliant la moyenne des impacts par la probabilité
(une échelle de 1 à 10)
Impact
Actif Menace Vuln Prob Risque
C I D
Données Contrôle d’accès
Divulgation X X X 4 3
Client insuffisant

Contrats Protection
Vol X X 2 3
Client insuffisante

Serveur Antivirus non

Virus X 4 4
Client màj

PC Portable Vol Portabilité X X X 3 2

34
 Estimation et évaluation du risque: exemple
Détermination des risques inacceptables sur la base des critères
d’acceptation des risques:
Impact
Actif Menace Vuln Prob Risque
C I D
Données Contrôle d’accès
Client
Divulgation
insuffisant
X X X 4 3

Contrats Protection
Client
Vol
insuffisante
X X 2 3

Serveur Antivirus non

Client
Virus
màj
X 4 4

PC Portable Vol Portabilité X X X 3 2

35