Analyse & évaluation des risques

Il s’agit ici d’analyser et d’évaluer les risques auxquels s’expose tout ou partie du Système d’Information.

Je ne vais pas réinventer la roue en vous proposant une énième méthode d’évaluation, il en existe déjà plusieurs et elles sont tout à fait valables. J’en retiendrai deux en particulier qui sont EBIOS pour Expression des Besoins et Identification des Objectifs de Sécurité et MEHARI pour Méthode Harmonisée d’Analyse de Risques. La première est éditée par l’ANSI et la seconde par le CLUSIF, autant dire deux références sur ce sujet. De plus, les deux sont conforme aux exigences de la norme ISO/IEC 27005 pour la gestion des risques.

Je vais plutôt essayer de vous apporter quelques définitions sur les termes généralement employés lorsqu’on parle d’analyse de risque.

Risque

Tout d’abord un risque est le résultat de l’association d’une vulnérabilité et d’une menace, on le pondère souvent par l’impact qu’il peut avoir sur le SI.

Menace

Définir ce terme peut paraître inutile, mais il s’avère qu’assez souvent on a une vision trop étroite de ce qu’est réellement une menace. Tout le monde pensera bien-sûr aux dangereux virus/ver, et aux méchant pirates, mais ça ne s’arrête pas là. D’autres penseront également aux incendies et aux inondations, mais encore une fois ça va plus loin. Il nous faut considérer comme une menace tout élément pouvant entraver le bon fonctionnement du SI, et donc par là, une coupure d’alimentation en énergie, une panne de climatisation de vos locaux techniques, ou encore l’absence d’une personne clef sans qu’elle n’ait de suppléant, voire même des mouvement sociaux, une instabilité politique du pays d’hébergement, etc… Tout dépend évidement du contexte de l’entreprise et de son exposition.

Vous pourrez trouver en annexe C de la norme ISO/IEC 27005, une liste des menaces à prendre en compte, et elle est déjà bien fournie ;-)

Pour l’anecdote, j’ai travailler pour une entreprise dont l’activité reposait principalement sur l’exploitation de plusieurs call-center, ils étaient en majorité établis dans les pays du maghreb, mais des possibilités de replis avaient été prévues sur d’autres zones géographiques. Et au vu des récents évènements, la prise en compte comme une menace, du potentiel d’instabilité politique de ces états, s’est avérer payante.

Vulnérabilité

Là encore il peut sembler superflu de définir cette expression.

Sous ce terme est regroupé l’ensemble failles techniques, FONCTIONNELLES, et ORGANISATIONNELLES qui pourraient être exploitées ou non par une menace (de nouvelles menaces pouvant apparaître avec le temps).

Par exemple l’absence de suppléant pour une personne clef à un processus critique pour votre activité (tout le monde à droit à des vacances…).

1 commentaire

  1. cherfi

    Interessant

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.


4 × = trente deux

Vous pouvez utiliser les balises HTML suivantes : <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>