Vous êtes sur la page 1sur 234

C

Ce n tre d e re che rch e H oche la ga -M a is o nne uve

INTRODUCTION

LA GESTION DE RISQUE INFORMATIONNEL

PA R

M A R C - A N D R

L G E R

Centre de recherche Hochelaga-Maisonneuve


1 6 9 1 , P i e - I X , M o n t r a l , Q c , H 1 V 2 C 3 T l p h o n e : 5 1 4 - 8 2 4 - 6 3 0 2 h t t p : / / w w w. l e g e r. c a

Introduction la gestion de risque informationnel

par marc-Andr Lger


1691, boul Pie-IX, Montral,
Qubec, Canada, H1V 2C3

http://www.leger.ca

marcandre@leger.ca

Livre lectronique : isbn 978-2-9813728-1-9


Version imprime: isbn 978-2-9813728-2-6

publi le 1er mars 2013

Dpt lgal - Bibliothque et Archives nationales du Qubec, 2013


Dpt lgal - Bibliothque et Archives Canada, 2013

Table des matires


Chapitre 1: La scurit!

Informatique ou informationnel ?!
Mise en oeuvre sur le terrain!
Le risque!
La gestion de risque!
Exercice raliser en classe!
Questions de rvision!
Bibliographie de ce chapitre!

12
16
24
28
37
39
46

Chapitre 2: La gestion de risque informationnel!

47

La perception!
Le changement!
Questions de rvision!
Bibliographie!

52
56
62
68

Chapitre 3: Lala!

69

Les menaces pouvant causer des dommages matriels!


Les menaces pouvant causer des dommages immatriels!
Hackers!
Alas dans les projets TI!
Alas en impartition!
Alas en infonuagique!
Sources dalas potentiels en infonuagique!
Exercice faire en classe!
Bibliographie!
Chapitre 4: Les vulnrabilits!

71
73
80
82
85
87
88
90
99
101

Questions de rvision!

110

Chapitre 5: Limpact!

115

Externalisation!
Assurance!
Exercices raliser en classe!
Questions de rvision!
Bibliographie!

122
123
124
127
131

Chapitre 6: La norme ISO 27005!

133

Les domaines de la norme!


Les critres de base dISO 27005!
Les critres dacceptation des risques dISO 27005!
Lorganisation de gestion de risque informationnel!
Lvaluation des risques:!
Lidentification des actifs informationnels!
Lidentification des contrles existants!
Lidentification des consquences!
Les mthodes de mesure du risque selon ISO 27005!
Lestimation qualitative du risque!
Lestimation quantitative du risque!
Lvaluation des consquences!
Lvaluation de la probabilit de ralisation des incidents!
Estimation du niveau de risque!
Lvaluation du risque!
Chapitre 7: Les mthodologies danalyse de risque!

Comprendre ce quest une mthodologie.!


La validit interne et externe!
La mesure des variables!
Les chelles de mesure!
L'chantillonnage!
OCTAVE!
MHARI!
Les lments de MHARI!
EBIOS!
Ltablissement du contexte!
Lapprciation des risques!
Le traitement des risques!
La validation du traitement des risques!
La communication et la concertation relatives aux risques!
La surveillance et la revue des risques!
Une dmarche itrative en cinq modules!

136
138
140
142
144
146
149
152
154
154
155
156
158
160
160
163

164
166
167
169
171
172
176
177
180
181
181
183
183
183
185
185

Module 1 tude du contexte!


Module 2 tude des vnements redouts!
Module 4 tude des risques!
Module 5 tude des mesures de scurit!
Questions de rvision!
Chapitre 8: Le processus IPM!

185
186
186
187
188
195

Avant de dbuter lanalyse!


196
Phase 1: identification et valuation des scnarios de risque!
198
Cration des portfolios de risque!
214
Proposition et approbation du plan directeur!
217
Mise en oeuvre du plan directeur!
217
Slection dun portfolio!
217
Proposition et approbation du plan directeur de gestion du risque informationnel!218
Mise en oeuvre du plan directeur!
218
Exercice en classe!
219
Questions de rvision!
223
Bibliographie!

229

Introduction

Ce livre porte sur la gestion du risque informationnel, cest--dire sur la gestion des
risques associs la gestion des informations dans les organisations. Nul ne douteront que
les organisations modernes ncessitent de grande quantits dinformations pour crer et
maintenir un avantage comptitif. Aujourdhui, cette gestion de linformation ncessite
lutilisation par les organisations dune multitude de technologies de linformation et de la
communication, les TIC. Lutilisation de technologies complexes et htrognes, comme les
TIC, crent des risques que les organisations doivent matriser. De plus, laccs
linformation et la connaissance quelle transporte, par des utilisateurs autoriss, au
moment opportun et dans divers lieux, est critique au fonctionnement efficace des
organisations en ces temps de globalisation. Cest ce qui rend un livre comme celui-ci
essentiel tous les gestionnaires, les responsables des TIC, les quipes techniques et
lensemble de ceux qui voluent dans lcosystme informationnel de lorganisation.
Du matriel multimdia et des vidos accompagne ce livre via le lien internet suivant:
http://crhoma.org/blogue/materiel/

Introduction la gestion de risque informationnel


par Marc-Andr Lger

Introduction la gestion de risque informationnel

Chapitre 1: La scurit
Lorganisation qui souhaite grer ses risques informationnels le fait souvent dans une
optique de scurit, quil sagisse de scurit informatique ou scurit de linformation. Il
est donc utile de dbuter par une dfinition de ce quest la scurit.

La scurit dsigne un tat de fait, labsence derisqueinacceptables.


Cette dfinition gnrale est applicable dans plusieurs contexte. Par exemple, un individu
se sentira en scurit sil peroit quil nest pas en prsence de risques quil considre
inacceptables ou quun danger est imminent. Sil souhaite traverser la rue,
unrisqueinacceptable pour un individu serait une automobile qui arrive dans sa
direction. Dans ce cas il ne traversera pas la rue, il attendra que la lautomobile ai pass et
que la situation soit devenue scuritaire. Ainsi la notion de scurit est indissociable de
celle durisque.
Dune certaine faon la scurit est le contraire durisque, il y a de la scurit quand il ny a
pas derisqueinacceptable. De mme, plus lerisqueest acceptable et plus la scurit est
lev.Il y a plusieurs lments importants cette dfinition:
La scurit est un concept gradu;
La scurit comporte une dimension subjective; et

Chapitre 1

Lacceptabilit du risque varie selon le contexte.

La scurit est un concept gradu


Cest--dire que lon peut tre plus ou moins en scurit, dpendant de lintensit
durisqueauquel nous faisons face, et ltendue des intrts viss.Il nexiste aucun seuil
mtaphysique au-del duquel nous entrons dans un tat de scurit, et en de duquel on
peut dire que la scurit manque.
La scurit comporte une dimension subjective
La scurit est un sentiment qui, au mme titre que la confiance, varie en fonction des
individus, des communauts et du contexte.Le sentiment de scurit, cest--dire, le
sentiment que nos intrts les plus fondamentaux ne sont pas menacs par des agents
disposs poser des gestes susceptibles de nous tre prjudiciables, fait que nous navons
pas faire des investissements de ressources matrielles ou psychologiques dmesures
pour protger ces intrts, que nous pouvons au contraire investir ces ressources dans des
activits productives. Ce sentiment est intimement li la prvisibilit. Le sentiment de
scurit nexige pas que nous soyons labri de tout risqueinacceptable, mais plutt que
ceux auxquels nous faisons face se situent lintrieur dun cadre de rgles et de pratiques
auxquels nous consentons. Le sentiment de scurit peut tre influenc par des biais
varis. Ces biais, sils sont avrs, causeront un dcalage entre la situation relle et la
situation perue de scurit ou dinscurit.

10

Introduction la gestion de risque informationnel

Lacceptabilit du risque varie selon le contexte


Ce qui est acceptable ou inacceptable pour un individu, un moment donn, dans un
contexte donn peut varier.

Un fumeur qui, par habitude ou par addiction,


considre le tabagisme comme un risque acceptable.
Cette tolrance lacceptabilit peut varier dans le temps et selon le contexte. Par exemple,
il est possible de tolrer un risque si les bnfices envisags par une activit, mme court
terme, sont perus comme tant suffisamment levs pour justifier les possibles rsultats
non dsirables.

Un individu de 24 ans qui sadonne dans ses loisirs un sport extrme, par
exemple la parachutisme depuis un immeuble ou un pont (base jumping),
dont il retire un plaisir apport par une surdose dadrnaline,
considre lexercice de ce sport comme un risque acceptable. 50 ans, il est
moins certain quil pratiquerait ce sport.

11

Chapitre 1

Informatique ou informationnel ?
Linformatique, dans ce livre, rfre aux technologies utilises: les ordinateurs,
priphriques et autres lments techniques qui sont utiliss en TIC. Linformatique est le
support physique linformation sous une forme numrique.

Linformationnel est en relation aux informations, cest--dire aux


donnes structures, qui sont emmagasines, manipuls et transmises
en utilisant des outils informatiques.

En considrant que ce qui contribue le plus la cration dun avantage comptitif dune
organisation cest linformation et non linformatique, laccent de ce livre est sur
linformationnel. Nous parlerons donc de scurit de linformation et de risque
informationnel. Quand nous parlerons de mesures particulires qui ont pour but de
permettre de rduire, contrler ou mitiger les risques, alors nous entrerons dans la scurit
informatique, cest--dire associ des TIC.
La scurit de linformation est une sous-catgorie de la scurit de faon gnrale telle
que nous lavons prsent prcdemment. Elle est dfinie comme lensemble des actions et
des procdures conues pour prvenir, avec un niveau de certitude dmontrable, la
divulgation, le transfert, la modification ou la destruction non autorise, volontaire ou
accidentelle des informations dtenues par une organisation. Lensemble des ces

12

Introduction la gestion de risque informationnel

informations forment le patrimoineinformationnel de lorganisation. Par


patrimoineinformationnel, nous entendons les donnes, informations, ressources
informationnelles, actifs informationnels et lensemble des TIC qui sont utiliss durant le
cycle de vie de linformation.
Les principaux objectifs de la scurit de linformation sont:
la confidentialit des donnes,
lintgrit des donnes,
la disponibilit des donnes,
Ces objectifs varient selon les situations, les contextes et le temps. Les objectifs de scurit
proviennent de diffrentes sources:
besoins d'affaires,
analyse de risque,
politiques de scurit,
recueilsde pratiques exemplaires,
obligations lgales ou contractuelles,
lois et rglements, accords internationaux,
codes d'thique, de dontologie ou de gouvernance,
normes locales, sectorielles, nationales ou internationales.
Ce sont ces sources des objectifs de scurit de linformation qui doivent tre identifies
afin dfinir les objectifs et les besoins de scurit de linformation (confidentialit,
intgrit, disponibilit, etc.) qui seront utiliss engestionde risque informationnel.

13

Chapitre 1

Par exemple, dans le contexte dun organisation dans le domaine de la sant au Qubec
(Canada), nous identifions des objectifs de gestion de risque informationnels qui peuvent
tre catgoriss selon les multiples lments suivants:
Confidentialit des donnes cliniques obtenues dun patient par un professionnel
de la sant;
Intgrit des donnes cliniques afin de sassurer quelles ne sont pas altrs;
Disponibilit des donnes au moment opportun pour le bien-tre des patients;
Non-rpudiation de laccs et de lutilisation des donnes par les professionnels de
la sant;
Respect de lintgrit des individus et de leur dossier clinique, par exemple en
exigeant un consentement libre et clair lors de la saisie des donnes et de leur
utilisation;
Transparence dans lutilisation des donnes cliniques, par exemple en interdisant
le transfert des donnes dun patient un tiers qui les utiliserait des fins de
publicit ou de vente de mdicaments;
Mise en oeuvre du principe de prudence.
En plus daider lorganisation atteindre ses objectifs, la scurit de linformation est
ncessaire parce que la technologie applique linformation cre des risques. Des
composants logicielles peuvent comporter des failles ou des bogues. Les composantes
matrielles peuvent tre dfectueuses, souffrir de bris ou suser.
Globalement, linformation pourrait tre indment communiqu (sa confidentialit
pourrait tre compromise), modifi de manire inapproprie (son intgrit peut tre
compromise), dtruite ou perdue (sa disponibilit pourrait tre compromise). Cette

14

Introduction la gestion de risque informationnel

compromission des donnes pourra causer une rduction de lavantage comptitif que
lorganisation esprait obtenir des TIC, tel que des pertes conomiques au propritaire de
linformation, quelles soient avres ou non. La perte pourrait tre directe (par la
rduction de la valeur de lactif dinformation lui-mme) ou indirecte (par le biais
dinterruption de service, des dommages la rputation, la perte dun avantage
concurrentiel, la responsabilit juridique, etc.).

15

Chapitre 1

Mise en oeuvre sur le terrain


Nous proposons la mise en oeuvre de la scurit de linformation sur le terrain en utilisant
le modle des trois P (Prvention, protection, punition) de mise en oeuvre de la scurit de
linformation. Ce modle est structur selon 3 axes:
la prvention: des mesures de prvention seront mise en oeuvre dans
lorganisation. Par exemple, une politique de scurit, un processus formel
danalyse de risque, des audits TI annuels et un programme de sensibilisation des
employs et de formation des ressources informatiques.
la protection: la mise en oeuvre dactions de mitigation de risque ou lallocation
des rles et des responsabilits en matire de gestion de risque des individus
dans lorganisation et la mise en oeuvre de processus de gestion des incidents, de
recouvrement en cas de sinistres et de continuit des affaires.
la punition: il sera ncessaire de prvoir des actions punitives en cas de non
respect ou de contournement volontaires des deux premiers axes.

Prvention

3P

Protection
Punition
16

Introduction la gestion de risque informationnel

La politique de scurit
Sur le terrain, la mise en oeuvre de la scurit de linformation dbute par llaboration
dune politique de scurit qui sintgre dans le premier P: la prvention. Cette politique
dcrit ce qui est autoris et ce qui est interdit.La politique de scurit de linformation
devraitmettre en vidence la valeur de linformation et la mesure dans laquelle on en a
besoin, ainsi que limportance de la scurit de linformation pour lorganisation. Elle
devrait identifier les exigences minimales au plan de la conformit et des rglements en
matire de scurit.
La politique de scurit inclut des lments tels que: la politique degestiondes risques, la
catgorisation et ltiquetage dinformation, la scurit du personnel et matrielle, les
exigences juridiques et contractuelles, llaboration et le fonctionnement des systmes, la
planification de la poursuite des activits, la production de rapports sur les incidents et les
exigences dintervention, lapplication de mesures en cas de violation et la sensibilisation
la scurit et la formation.
La politique peut tenir compte de tout systme dinformation critique ou des exigences
pertinentes. Elle doit cependant identifier les besoins en matire de scurit de
linformation dveloppe en fonction des sept objectifs mentionns prcdemment. Il est
ncessaire que soient assign les rles et les responsabilits en matire de scurit de
linformation et la distribution des responsabilits dans la structure organisationnelle.
Dans les organisations qui effectuent des projets de dveloppement, il faut inclure la
scurit de linformation dans le dveloppement de systmes dinformation et dans les

17

Chapitre 1

processus de mise en place ou dachats de systmes dinformation. De plus la politique


devrait au minimum:
dfinir les rgles et les procdures en matire de scurit de linformation;
dfinir les procdures pour lidentification de la nature sensible et la classification
de linformation;
identifier la stratgie degestiondurisque;
dfinir les besoins en matire de continuit des affaires;
dfinir des normes degestiondes ressources humaines;
prvoir des plans de sensibilisation des employs et de formation continue en
matire de scurit de linformation;
encadrer les obligations lgales;
identifier les rgles de lagestionde limpartition et des tiers; et
dfinir la stratgie degestiondes incidents.

18

Introduction la gestion de risque informationnel

Mise en oeuvre de la politique


Une fois quune politique de scurit de linformation a t dfinie, la tche suivante
consiste appliquer la politique. Pour ce faire, lorganisation dploie un mlange de
processus daffaireset de mcanismes techniques. Ce sont ces mcanismes de scurit de
linformation qui forment la scurit informatique.
Ces processus et mcanismes entrent dans six catgories:
Les mesures de prvention, tels que la sensibilisations de ses employs et la
formation de son personnel technique.
Les mesures de protection, ce qui consiste mettre en place des processus
daffaires et des mcanismes techniques qui visent prvenir que des alas se
produisent, rduire la probabilit quils se produisent ou minimiser leur
impact.
Les mesures de dtection qui servent alerter lorganisation quand des alas
surviennent afin quelle puisse prendre des actions afin deminimiser leur impact
sur lorganisation.
Les processus et mesures de rponse face aux consquences dalas afin
doptimiser le retour tat dquilibre. Des processus de rponses peuvent aussi
inclurent des mesures punitives selon le troisime P: punition (rprimandes ou
renvoi demploys), criminelles (rfr du dossier des forces policires) ou
lgales (poursuites).
Les mesures dassurance afin de valider lefficacit et le bon fonctionnement de la
protection, de dtection et les mesures dintervention.
Laudit pour dterminer lefficacit des processus et des mesures.

19

Chapitre 1

Cration dun comit de scurit


Il est recommand de crer un comit de scurit de linformation pour assister
lorganisation dans llaboration de sa politique de scurit et pour lensemble des
activits degestiondurisqueinformationnel.Le comit devrait comprendre de quatre (4)
sept (7) membres et devrait comprendre:
un membre identifi comme chef de projet;
le principal responsable de la scurit sil y en a un;
des reprsentants du groupe ayant la responsabilit oprationnelle et budgtaire
des TIC;
des reprsentants des responsables de lexcution de la mission de lorganisation;
un reprsentant des ressources humaines; et
un conseiller juridique.
Des accommodements sont ncessaire selon la taille de lorganisation.
Dans un premier temps le chef de projet devrait tre identifi. Celui-ci pourra prendre en
charge le suivi des diffrentes tapes de la mthodologie, dont la cration du comit de
scurit de linformation. Il pourra documenter les rgles de fonctionnement du comit et
sassurer de conserver des minutes des rencontres. Les membres du comit pourront varier
selon les besoins de lorganisation et les priorits des gestionnaires de lorganisation. La
structure et le modus operandi du comit de scurit de linformation devraient tenir
compte de cette possibilit.

20

Introduction la gestion de risque informationnel

Les objectifs de scurit


Lorganisation devra dfinir ses objectifs de scurit, les exprimer en terme de besoins
spcifiques (confidentialit,intgrit ,disponibilit, etc.) et faire un inventaire des lments
de son patrimoineinformationnel. Entre autre, cela lui permettra didentifier les lments
risquequi sont plus prioritaires auxquels les efforts degestionderisquedevront
sattaquer en premier. Il est propos de rencontrer les ayants cause de la scurit, cest-dire les membres de lorganisation qui ont un rle jouer da la scurit de linformation,
les propritaire des actifs informationnels et les gestionnaires de lorganisation pour
valider avec eux les besoins de scurit.

Obligations lgales
et contractuelles

Objectifs daffaires

Objectifs de scurit

Politique de scurit

21

Normes et pratiques
exemplaires

Chapitre 1

Amlioration continue
videmment, le travail nest jamais termin.La scurit de linformation doit appliquer les
principes damlioration continue.La dfinition de la politique, la protection, et les tches
de vrification sont effectues maintes et maintes fois, et les leons apprises chaque fois
travers le cycle sont appliques lors du prochain cycle.

22

Introduction la gestion de risque informationnel

Principe de prudence
La scurit de linformation doit appliquer le principe de prudence. En cas de doutes sur
limportance relative dun actif informationnel, sur limportance des dommages, sur la
probabilit de ralisation dun ala ou en cas dincertitude quant aux rsultats, les
individus impliqus en gestion de risque informationnel devraient choisir la dcision sage,
vertueuse et prudente afin de minimiser les risques. Ils devraient diligemment chercher
obtenir suffisamment dinformations pour prendre une dcision claire. Ceci ne signifie
pas quil est prfrable de ne pas prendre de dcision, ce qui peut tre pire. Mais dans le
doute, le gestionnaire devrait agir en bon pre de famille.

23

Chapitre 1

Le risque
Nous avons mentionn que la scurit est dfinie par labsence derisqueinacceptables. De
plus, la mise en oeuvre de la scurit de linformation, qui dbute par la politique de
scurit de linformation et lidentification des objectifs de scurit, doit sappuyer sur
lidentification du risque et la dtermination de ce qui est acceptable et, plus prcisment,
non-acceptable dans un contexte organisationnel particulier. Il est important de
comprendre ce que signifie lerisqueen gnral et lerisque informationnelplus
prcisment.
Il ny a pas une seule dfinition durisque. Une recherche sur Google avec les
motsrisqueou risk propose plus de 800 000 000 rsultats. Il ressort dune analyse de la
littrature scientifique sur le risque que beaucoup de ce qui a t crit sur cesujetest bas
sur des donnes anecdotiques et sur des tudes limites un aspect ou un domaine
particulier. Dans cette section, nous prsentons les principales dfinitions du risque qui
sont utile pour la comprhension des concepts prsents. Notre objectif est de prsenter au
lecteur les lments dune dfinition contextuelle durisqueappliqu la scurit de
linformation qui permettra didentifier les variables qui pourrons tre utiliss pour la
gestiondurisqueinformationnel.
Lerisqueest un construit social, il dpend de celui qui le peroit, de la nature durisqueet
du domaine dans lequel on sintresse aurisque.Selon les diffrentes sources que lon
retrouve, le motrisquetire ses origines de plusieurs sources, entre autres:

24

Introduction la gestion de risque informationnel

du terme italien (Moyen ge)riscosignifiant rocher escarp, ou cueil, utilis par


les premires compagnies dassurance pour dsigner le pril couru en mer,
du latinresecumsignifiant coupant et
du mot araberizq.
Lerisquerfre des situations par lesquelles un individu assigne des probabilits
mathmatiques aux vnements alatoires auxquels il fait face.

Je lance un d normal, dot de 6 faces. Si je souhaite obtenir le 3, je peux


pense quil y a une chance sur six que cela se produise. Je peux donc
estimer le risque que cela ne se produise pas 5/6.

Le risque est prsent mme si cette assignation est subjective et utilise des chelles
nominative (par exemple bas, moyen ou lev). Lerisqueest aussi dfini comme une
variation possible des rsultats sur une priode dtermin dans une situation donne. On
retrouve dans le risque une notion implicite de discontinuit, de dsastres, de surprise,
dinconnu ou mme dignorance.
Lerisqueest souvent dfini comme une combinaison de la probabilit doccurrence dun
dommage et de sa gravit. Cette dfinition est valable seulement dans les cas ou nous
disposons de donnes probantes suffisantes, par exemple si nous disposons de donnes
historiques suffisantes, qui permettent de dmontrer que les probabilits d'occurrence
dalas comparables sont distribu galement dans le temps. Dans cette situation, il sagira

25

Chapitre 1

derisqueobjectif, lorsque la variation existe dans la nature et est la mme pour tous les
individus dans une situation identique. Le risque objectif se diffrencie durisquesubjectif,
cest--dire lorsquil y a estimation durisqueobjectif par un individu.

26

Introduction la gestion de risque informationnel

Ce qui nest pas du risque


Quand on ne peut exprimer lalatoire par des probabilits, mmes subjectives, on doit
plutt parler dincertitude. Il est important de distinguer ces deux termes,risqueet
incertitude. Car, bien quon puisse esprer grer le risque, il est impossible de grer
lincertitude.

Lincertitude nest pas du risque:


on ne peut lexprimer par des probabilits.

Le motrisqueest gnralement utilis lorsquil existe au moins la possibilit de


consquences ngatives dun ala, tel quune rduction de lavantage comptitif attendu
(consquence ngative) dun processus daffaire ou dun systme dinformation aprs une
intrusion par un cybercriminel ou hacker (lala). Sil ne sagit que de consquences
probables positives, on parlera plutt de possibilits. Lagestionde possibilits ne fera pas
appel des mesures de mitigation de risque, onaccueillera favorablement le
bnficeinattenduou inespr.Ainsi, la gestion des possibilits positives nest pas de la
gestion de risque.
De mme, si un rsultat est invitable on utilisera le terme certitude: la mort ventuelle de
tout organisme vivant est une certitude. On pourra la retarder, mais pas lviter. Nul ne
peut grer la certitude, on peux sy prparer et, dans les meilleurs cas, retarder linvitable.

27

Chapitre 1

La gestion de risque
Lide moderne que lerisquepeut tre gr peut tre compris comme une consquence
long terme dun dsastre naturel qui sest produit Lisbonne, au Portugal, en 1755,
combin la dcouverte des probabilits par Blaise Pascal et dautres avances en
mathmatiques dabord et en sciences de lagestionensuite. Le dsastre de Lisbonne
marque un point tournant dans le monde occidental moderne de la vision de lala comme
un acte divin, tel quillustr par un pome de Voltaire, vers une approche rationnelle qui
peut tre soumise un traitement scientifique. Cest la rponse de Rousseau Voltaire qui
sme le germe degestiondurisque:
Serait-ce dire que lordre du monde doit changer selon nos caprices, que la nature doit tre
soumise nos lois, et que pour lui interdire un tremblement de terre en quelque lieu, nous
navons qu y btir une ville?
Lagestionest la mise en uvre de moyens humains et matriels dune organisation pour
atteindre des objectifs pralablement fixs. La croissance des bureaucraties
professionnelles dans nos socits a transform les organisations en une puissante
machine degestiondont les oprations visent lefficacit et la prvisibilit dans latteinte
de ses objectifs.
Dans une organisation du secteur priv, lefficacit est mesur avec des variables de nature
pcuniaire ou mesurs en part de march. Dans le cas dun organisation du secteur public,
lefficacit peut tremesur par une livraison efficiente de services la population. Par

28

Introduction la gestion de risque informationnel

exemple, dans uneorganisation publique du secteur de la sant, telle quelles existent au


Qubec, lefficacit peut tre mesurepar une amlioration de la qualit de vie, la
rduction de la morbidit ou de la mortalit dans une population cible de la zone
dactivit de celle-ci.
La machine degestiondune organisation sexprime par des actes visant une
transformation du monde rel par le travail, la mdiation ou linstrumentation. Lagestion
durisqueest ncessaire parce les organisations doivent identifier ce qui est prvisible afin
dassurer leur prennit et identifier les actions susceptibles de produire des rsultats qui
rduisent son efficacit, qui vont lencontre de latteinte de ses objectifs ou qui
produisent des rsultats ngatifs.
Lorganisation doit identifier les risques les plus significatifs pour elle. Ainsi,
lagestionderisqueest lune des composantes dune gestionprudente et diligente. Cest-dire que, sachant quil existe la possibilit quils se produisent des alas susceptible de
rduire lutilit espre ou de nuire latteinte efficace des objectifs, le gestionnaire, en tant
quacteur individuel vertueux, doit tenir compte durisque. De plus, la saine gouvernance
dune organisation, par exemple dans le cadre normatif de gouvernance tel que ISO 38500,
la conformit des cadres de gestion, tel que COBIT ou ISO 27001,requiert la mise en
oeuvre dun programme de gestionderisqueformalis.
Fondamentalement, lagestiondurisqueest accomplie par des activits didentification (I)
et dvaluation des scnarios derisque(les combinaisons dlment risque, alas et de
vulnrabilits susceptible de causer des dommages), de la priorisation (P) de ces scnarios

29

Chapitre 1

(en fonction de limportance des dommages ou de la rduction de lUtilit espre (#) au


del delapptenceaurisquede lorganisation)et des actions de mobilisation (M) de ses
ressources humaines et financires pour un traitement appropri durisque: le processus
IPM qui sera trait plus en dtails plus loin.

Identification

IPM

Priorisation
Mobilisation

Ces actions de mobilisation vont gnralement prendre les formes suivantes:


Ignorer lerisque: lorganisation peut dcider consciemment dignorer lerisque.
viter lerisque: lorganisation pourra dcider de ne pas poursuivre une
opportunit car elle considre que lerisquene vaut pas la chandelle.
Accepter lerisque: lorganisation dtermine que lerisqueassoci un scnario
donne est acceptable pour lorganisation compte tenu de ses contraintes, des ses
objectifs daffaires ou de sa rsilience.

30

Introduction la gestion de risque informationnel

Mitiger lerisquepar la mise en oeuvre de mcanismes de protection, de dtection


ou de rponse: par exemple par la mise en place dun pare- feu, une organisation
rduira la menace dintrusion de son rseau informatique via lInternet.
Transfrer lerisque: une organisation pourrait dcider de prendre une police
dassurance qui couvre unrisqueprcis, une organisation pourrait aussi transfrer
lerisque, contractuellement, un tiers ou lexternaliser via dautres mcanismes.
Les actions de mobilisation ($) seront diverses et nombreuses en fonction des diffrents
risques auxquels fait face lorganisation. Lensemble des actions de mobilisation ($),
pourune priode de temps (%t) dfini priori dans un espace (s) donn, formeront le
portfolio de mesures (&) compos des actions de mobilisation individuelles ($n).La
gestionderisqueest discut avec plus de dtails dans le chapitre suivant.
Enrisque informationnel, ladjectifinformationnelfait rfrence linformation.
Notamment, le risque informationnel sintresse aux risques relatifs la slection, la mise
en forme, le transfert et lutilisation de linformation dans un contexte
organisationnel.Lerisque informationnelest lerisque, cest--direla possibilit de
dommages, de consquences ngatives ou de rsultat (outcomes)indsirables,associ la
slection, la mise en forme, le transfert et lutilisation de linformation.
Par exemple, la possibilit que delinformation transmise via un rseau de
tlcommunications par des employs de lorganisation soit indment communiqu,
modifi, dtruite ou perdue, causant des pertes directe ou indirecte lorganisation
constitue un risque.

31

Chapitre 1

Vu

l n

t
ac
mp
ui
eo

rab

ag

ili t

mm

(s

Do

Risque
(E,t,s)

Ala o u me n ace

Nous utilisons le triangle durisque, prsent ci-dessus,comme cadre de rfrence pour


comprendre lerisque informationnel.

32

Introduction la gestion de risque informationnel

Ce que le triangle durisque illustre est que pour que lerisque existe, trois composantes
doivent co-exister pour un lment risquedonn (E) ayant une valeur pour
lorganisation, son utilit espre (x), dans un temps (t) et un espace (s) donn:
un ala (A), qui peut tre assimil une menace;
une vulnrabilit (')que lala (A) pourra exploiter,
un dommage((), aussi nomm impact, qui rsultera de lexploitation de la
vulnrabilit (')par lala (A).
Si lun de ces lments manque, il ne peut y avoir de risque. En sappuyant sur le triangle
du risque, nous utilisons la dfinition suivante pour lerisque:
Le risque est la rduction de lutilit espre (#)dun lment risque(E) par un ala
(A) dans un espace dfini (s) et une intervalle de temps prcis (%t), compte tenu de sa
rsilience()).

33

Chapitre 1

Dfinitions importantes
lment risque(E): lment (actif, processus, systme, etc.) ou ensemble dlments
ayant une Utilit espre (#) pendant une priode de temps (%t) dans un espace (s) donn.
Llment risque(E) a une valeur intrinsque (par exemple sa valeur de remplacement)
et une Utilit espre (par exemple, sa contribution aux bnfices de lorganisation).
Ala (A): vnement rel, envisag ou peru, ou squence dvnements rsultant de
lexploitation dune vulnrabilit (') dun lment risque(E) pouvant causer un
dommage (() pendant une priode de temps (%t) dans un espace (s) donn. Lala peut
tre caus par une menace (m).
Vulnrabilit ('): fragilit (relative) dun lment risque(E) un ala (A)
Dommage : Impact rel, envisag ou peru.Rduction de lUtilit espre (#)dun lment
risque(E) par un ala (A)
Rsilience ()): capacit dun lment risque(E) de passer au travers un ala (A) en
minimisant le dommage ((), dutiliser ladversit comme catalyseur damlioration ou de
tolrer une variabilit de lUtilit espre (#). Le niveau de maturit est li la rsilience.
Temps (%t): intervalle de temps, dfinie priori
Espace (s) : espace dlimit
Utilit espre (#(x)): un gain, une amlioration dune position ou un bnfice espr par
un lment risque(E) x, aprsune priode de temps (%t) dfini priori dans un espace

34

Introduction la gestion de risque informationnel

(s) donn. LUtilit espre est fonction de la valeur pour lorganisation V(x) de llment
risquex.

La formule ci-haut prsente le risque thorique (R) comme une fonction dun lment
risque (E), ayant une utilit espre pour une organisation (#), dun ala et dune
vulnrabilit dans un contexte limit sans le temps et lespace, et une fonction inverse de la
rsilience.

35

Chapitre 1

36

Introduction la gestion de risque informationnel

Exercice raliser en classe


En quipe de deux (2) ou trois (3) tudiants,identifier un lments risquedu patrimoine
informationnelde lorganisation dun des tudiants etdeux alas rels (des vnements
qui sont survenus dans le pass) qui ont compromis llment risquechoisi.Pour chaque
ala choisi rpondre aux questions.
Elment risque: ___________________________________________
Ala 1: ____________________________________________________
Quelle est la vulnrabilit qui fut exploit ?

Quels furent les dommages ?

Quand et o sest-il produit ?

37

Chapitre 1

Ala 2: ____________________________________________________
Quelle est la vulnrabilit qui fut exploit ?

Quels furent les dommages ?

Quand et o sest-il produit ?

Par la suite, une discussion a lieu avec lensemble des tudiants et le professeur sur le
triangle durisqueet sur la ncessit dtre en prsence des trois composantes du triangle
prsentesdans un temps et un espace dlimitpour quunrisquepotentiel existe

38

Introduction la gestion de risque informationnel

Questions de rvision
1) Indiquez si lnonc suivant est vrai (V) ou faux (F):
_____ :La scurit dsigne labsence derisqueinacceptables.
_____ :La scurit est le contraire durisque.
_____ :La scurit est un concept gradu
_____ :La scurit est un conceptabsolu.
_____ :Il existe un seuil mtaphysique au-del duquel nous entrons dans un tat de
scurit.
_____ :Il nexiste pas de seuil en de duquel on peut dire que la scurit manque.
_____ :La scurit comporte ensuite une dimension proprement subjective.
_____ :La scurit ne varie pas en fonction des individus et des communauts.
_____ :Le sentiment de scurit est intimement li la prvisibilit.
_____ :Le sentiment de scurit nexige pas que nous soyons labri de tout
risqueinacceptable.

39

Chapitre 1

2) Apparier le bon terme avec la description qui lui convient le mieux:


A. certitude
B. incertitude
C. possibilits
D. risque
_____ : Lesconsquences probables sont ngatives
_____ : lesconsquences probables sont impossible dterminer
_____ : Lesconsquences probables sont positives
_____ : Lersultat est invitable
_____ : Il y arduction de lUtilit espre

40

Introduction la gestion de risque informationnel

3)Indiquez si lnonc suivant est vrai (V) ou faux (F):


_____ :Il y a une seule dfinition durisque.
_____ : Les dfinition durisquesont bas sur des donnes anecdotiques
_____ : La dfinition durisquepermet didentifier les variables utiliser.
_____ :Lerisquenest pas un construit social.
_____ :Lerisquedpend de celui qui le peroit,
_____ :Lerisquedpendde la nature durisqueet du domaine.
_____ :Le motrisquetire ses origines du termerisco
_____ :Le motrisquetire ses origines du latinresecum
_____ :Le motrisquetire ses origines du mot araberizq.
_____ :Lerisqueest une combinaison de la probabilit doccurrence dun dommage
et de sa gravit.
_____ :Lerisquerfre des situations par lesquelles le dcideur assigne des
probabilits mathmatiques aux vnements alatoires.
_____ :Lerisqueest une variation dans les rsultats qui peuvent survenir sur une
priode dtermin dans une situation donne.
_____ :Dans lerisque, il ny a pas de notion de discontinuit.
_____ :Lerisqueest subjectif lorsque la variation existe dans la nature et est la mme
pour tous les individus dans une situation identique.
_____ :Lerisqueobjectif lorsquil y a estimation durisqueobjectif par un individu.

41

Chapitre 1

4)Apparier le bon terme avec la description qui lui convient le mieux:


A. Ala
B. Dommage
C. lment risque
D. Rsilience
E. Utilit espre
F. Vulnrabilit
1._____ :Bnfice espr par un lment risqueaprsune priode de temps dfini
priori dans un espace donn.
2._____ : Capacit dun lment risquede passer au travers un ala en minimisant le
dommage.
3._____ :Capacit dun lment risquedutiliser ladversit comme catalyseur
damlioration.
4._____ :Capacit dun lment risquede tolrer une variabilit de lUtilit espre.
5._____ :lment (actif, processus, systme, etc.) ou ensemble dlments ayant une Utilit
espre (#) pendant une priode de temps (%t) dans un espace (s) donn. Llment
risque(E) a une valeur intrinsque (par exemple sa valeur de remplacement) et une
Utilit espre (par exemple, sa contribution aux bnfices de lorganisation).

42

Introduction la gestion de risque informationnel

6._____ :vnement rel, envisag ou peru rsultant de lexploitation dune vulnrabilit


dun lment risquepouvant causer un dommage.
7._____ : Fragilit dun lment risque un ala.
8._____ :Impact rel, envisag ou peru.
9._____ : Rduction de lUtilit espre dun lment risquepar un ala.
10._____ :Squence dvnements rsultant de lexploitation dune vulnrabilit dun
lment risquepouvant causer un dommage.
11._____ :Un gain, une amlioration dune positionaprsune priode de temps dfini
priori dans un espace donn.

43

Chapitre 1

5)Apparier le bon terme avec la description qui lui convient le mieux:


!

A. Accepter

B. viter

C. Ignorer

D. Mitiger

E. Transfrer

1.!

_____ :Lorganisation mets en oeuvre de mcanismes de protection anti-virus.

2.!

_____ :Lorganisation imparti ses TI.

3.!

_____ :Lorganisation ne fait rien car elle ignore que lerisqueexiste.

4.!

_____ :Lorganisation dcide de ne pas poursuivre une opportunit.

5.!

_____ :Lorganisation mets en oeuvre de mcanismes de dtection des intrusions.

6.!

_____ :Lorganisation dtermine que lerisqueest acceptable et ne prends aucunes

mesures particulires.
7.!

_____ :Lorganisation mets en oeuvre des mcanismes de rponse automatiques

des attaques son rseau informatique via lInternet.

44

Introduction la gestion de risque informationnel

8.!

_____ :Lorganisation mets en oeuvre de mcanismes de prise de copies de

sauvegarde automatiques.
9.!

_____ :Lorganisation prends une assurance qui couvre les risques informationnels

10.!

_____ :Lorganisation passe une architecture infonuagique (cloud computing).

45

Chapitre 1

Bibliographie de ce chapitre
Blakley, B., McDermott, E., Geer, D. (2001),Session 5: less is more: Information security is
information risk management, Proceedings of the 2001 workshop on New security
paradigms, September 2001
Lagadec, P. (2003),Risques, Crises et Gouvernance: ruptures dhorizons, ruptures de
paradigmes, Ralits Industrielles, Annales des Mines, numro spcial: Sciences et gnie
des activits risques, Mai 2003, pages 5-11
Guide ISO 73,Management durisque Vocabulaire, International Standards
Organisation, 25 p.
Stoneburner, G., Goguen, A., Feringa, A. (2002),Risk Management Guide for Information
Technology Systems, Recommendations of the National Institute of Standards and
Technology, Special Publication 800-30, NIST, July 2002, 55 p.

46

Introduction la gestion de risque informationnel

Chapitre 2: La gestion de risque informationnel


Fondamentalement, tout individu est un expert durisque. Notre expertise individuelle est
base sur nos expriences quotidiennes et notre capacit apprendre de ces expriences.
Lerisque est un phnomne naturel qui est prsent partout. Les individus y sont
confronts tout au long de leur vie. Chez les humains, les rflexes naturels de la peur et de
lanxit, sont un indicateur de la prsence dunrisqueinopin. Dans le cas de lHomme
cest une question de survie qui a emmen le dveloppement dun sens naturel
didentification du risque. Cette habilit intrinsque est inscrite dans son code gntique,
dvelopp et affin de gnration en gnration par le principe de slection naturelle
depuis que le genre humain apparut.

Dj lre prhistorique, les individus qui avaient le plus d'habilets


identifier les risques ont survcus et, fort probablement, se sont
multiplis. Ceux avec le moins d'habilets sont morts, possiblement
victimes dun prdateur et nont pas eu de progniture.

Introduction la gestion de risque informationnel

Chapitre 2

Pour une organisation, il ny a pas de mcanismes naturels pour identifier la prsence


durisque, encore moins pour alerter lorganisation dun danger ou prendre des actions
dfensives par rapport une situation risque, comme la peur engendre des ractions
instinctives et des mcanismes de protection chez lhumain. Lorganisation doit faire le
choix de crer et de mettre en oeuvre ces mcanismes.
Tel que mentionn au chapitre 1, lagestiondurisqueest accomplie par un processus IPM:
I: identification et dvaluation des scnarios derisque;
P: priorisation des scnarios;
M: mobilisation de ses ressources pour un traitement appropri durisque.
Nous devons dabord comprendre ce quest un scnario derisque. Nous avons mentionn,
au chapitre prcdent que, pour que lerisqueexiste, trois composantes doivent co-exister
pour un lment risquedonn (E), dans un temps (t) et un espace (s) donn:
la prsence relle, probable ou perue dun ala (A);
lexistence dune vulnrabilit (') que lala pourra exploiter; et
un dommage ((), qui rsultera de cette exploitation.
Nous dfinissons donc un scnario derisquecomme la description de lala (A) et des
vnements ou squences dvnements, des actions, des dcisions et des facteurs
connexes qui ont rendu possible lexploitation dune vulnrabilit (')dont le rsultat est
undommage((), cest dire la rduction de lutilit espre (#), dun lment risque(E).
Dit plus simplement, cest lhistoire de ce qui peut arriver ou qui est arriv, des causes,

48

La gestion de risque informationnel

dun incident envisag.Dans ce livre, nous utiliserons le symbole *n(A,',()pour


identifier les scnarios derisque, ou n est un numro identifiant le scnario.
Dans la phase didentification et dvaluation des scnarios derisque(les combinaisons
dlment risque, alas et de vulnrabilits susceptible de causer des dommages)
lorganisation cherchera :
Identifier ou concevoir les scnarios envisager dans lanalyse derisque
Prvoir les consquences, les dommages et les rduction de lUtilit espre,
possibles de chaque scnario envisag et valuer, objectivement et subjectivement,
leur possibilit de se raliser.
Dans la phase de priorisation des scnarios lorganisation cherchera :
Identifier les variables susceptibles dinfluencer lUtilit espre et ajuster en
fonction des contextes,
valuer les probabilits assigner aux contextes retenus
Finalement, dans la phase de mobilisation, lorganisation:
Appliquera une stratgie dcisionnelle.

49

Chapitre 2

Dans la phase de mobilisation les actions retenues aprs lapplication des stratgies
dcisionnelles seront mises en oeuvre, gnralement sous la forme de projets, en tenant
compte des aspects relis la gestion du changement dont nous avons discuts
prcdemment.Lensemble des actions de mobilisation ($), pourune priode de temps
(%t) dfini priori dans un espace (s) donn, formeront le portfolio de mesures (&)
compos des actions de mobilisation individuelles ($n).
Ces actions de mobilisation vont gnralement prendre les formes suivantes:
viter le risque: lorganisation pourra dcider de ne pas poursuivre une
opportunit car elle considre que le risque ne vaut pas la chandelle.
Accepter le risque: lorganisation dtermine que le risque associ une situation
donne est acceptable pour lorganisation compte tenu de ses contraintes, des ses
objectifs daffaires ou de sa rsilience.
Mitiger le risque : par la mise en oeuvre de mcanismes de protection, de dtection
ou de rponse, par exemple par la mise en place dun pare-feu, une organisation
rduira la menace dintrusion de son rseau informatique via lInternet.
Transfrer le risque: une organisation pourrait dcider de prendre une police
dassurance qui couvre un risque prcis, une organisation pourrait aussi transfrer
le risque, contractuellement, un tiers ou lexternaliser via dautres mcanismes.
Ignorer le risque: lorganisation peut dcider consciemment ou inconsciemment
dignorer le risque.

50

La gestion de risque informationnel

Les principales stratgies dcisionnelles sur lerisquesont :


Nadmettre que les scnarios non domines: dans une dcision rgie par le
principe dadmissibilit, ne sont admissibles que les scnarios qui ne sont pas
domins par dautres. On dit quun scnario nest pas domin par un autre
scnariosi lUtilit espre de ce dernier est suprieure dans un contexte au moins
et infrieure dans aucuns.
Maximaliser lUtilit espre minimum: on considre lUtilit espre la moins
avantageuse de chaque scnario et on slectionne le scnario qui prsente le
minimum le moins bas. Cest un faon de mettre les choses au pire et de limiter
lesdgts.
Maximaliser lUtilit espre moyenne: on considre lUtilit espre moyenne de
chaque scnario et on choisit lutilit moyenne la plus leve.
Maximaliser lUtilit espre dans le contexte le plus probable: le dcideur fait
lhypothse quil se trouve dans le contexte le plus probable et choisi le scnario
qui offre lutilit la plus grande dans ce cas.
Maximaliser lUtilit espre: Cette stratgie consiste prendre pour chaque
scnario lUtilit espre moyenne et choisir le scnario offrant la plus grande
Utilit espre.
Minimiser le regret maximum: Pour chaque scnario on identifie le regret
maximum et on choisi le scnario qui reprsente le regret maximum le plus bas.
Cest la logique desi javais su, quaurais-je d faire.Un regret peut se
manifester ex post dans la mesure o la dcision adopte ne savre pas forcment
la meilleure dans le contexte o je me trouve finalement

51

Chapitre 2

La perception
Fondamentalement, il y a deux approches qui sont utilises pour obtenir des donnes qui
peuvent tre utiliss engestionderisque: lapproche scientifique et lapproche non
scientifique.
Lapproche scientifique permettra de quantifier lerisque, en sappuyant sur des
principes scientifiques, des paradigmes analytiques et des donnes probantes qui
peuvent provenir des donnes historique de lorganisation ou dorganisations
similaires. Lapproche scientifique sopre dans un paradigme rationaliste et
sintressera des aspects de scientificit des mesures, de rigueur
mthodologique, de fidlit et de validit qui seront prsents de faon plus
dtaille au chapitre 7.
Lapproche non scientifique se fondera sur lexprience et lintuition.
Lespartisansdes deux approches ont leur propre notion de lobjectivit au sujet du risque.
Il y a des similitudes dans la faon dont ils arrivent leurs dcisions: les deux feront appel
au dialogue et la comparaison avec leurs pairs, afin darriver un accord entre eux ou
par consensus sur ce quest ce qui est la ralit objective. Cependant, il existedes
diffrences entre lapproche rationnelle scientifique et lapproche non scientifique. Cette
diffrence est trs apparente dans dans le traitement durisque, les actions de mobilisation
et les dcisions.
Par exemple, les chances de gagner la loterie 6/49 au Qubec sont mathmatiquement
trs faibles, de lordre de 1/13 983 816. La dcision rationnelle serait de ne pas acheter de

52

La gestion de risque informationnel

billet, minimisant la perte. Pourtant des millions de personnes chaque semaine achtent
des billets dans lespoir de devenir millionnaire.
En plus du choix de lapproche (scientifique ou non scientifique), la prise de dcisions
impliquant lerisquesubit linfluence de facteurs socio-culturels. Lorsquun individu
estime la probabilit et la crdibilit quun ala se produise, il est biais par des hypothses
sociales et culturelles. Selon le contexte social dans lequel les normes et les expriences de
lindividu se construisent,son apptit et sa tolrance au risque varie. Ses notions
derisqueacceptable diffrent grandement de celles des autres: ses expriences, son
ducation, ses croyances et dautres facteurs culturels, au sens ethnologique du terme,
crent des filtres travers lesquels il voit le monde. Des variations de sa perception sont
introduites dues lappartenance diffrents groupes socio-culturels.
Mmes les professionnels de lagestiondes risquessont sujets aux influences de la socit
et des groupes socio-culturels dont ils sont issus.Pour ces raisons, lerisque doit tre
compris comme une construction culturelle.Cependant, ces facteurs socio-culturels ne
sont quune part de lquation. La propension aux risques, qui est une volont des
individus prendre ou viter les risques, a un impact surla construction durisquechez
les individus et la prise de dcisions impliquant lerisque.
Si un individu particulier a une aversion aurisque, cest--dire sil naime pas sexposer
aux risques, il sera plus probable quil soit plus pessimiste sur les rsultats. Il surestimera
la rduction de lutilit espre (#), la perte possible,et vitera de sengager dans une
action ou un projet ncessitant la prise derisque. Au contraire, lindividu qui a une

53

Chapitre 2

propension aurisque, cest--dire quil accueille la prise de risques,sexposera


aurisqueavec une vision plus optimiste des rsultats attendus. Ilsous-estimerala
rduction de lutilit espre (#), la perte.
Laversion ou la propension aurisque dun individu aura un influence sursur la prise de
dcisions impliquant lerisque. Dautres facteurs peuvent aussi influencer lindividu
impliqu dans des dcisions impliquant le risque. Nous avons mentionn prcdemment
que lapproche non scientifique se fonde sur lexprience et lintuition. Il est important de
comprendre quil existe deux faons dobtenir de linformation sur le monde qui nous
entoure :
directement peru par les sens (par exemple on peut toucher, sentir, voir, entendre,
etc.);
par intuition qui amne du contenu de linconscient au conscient (par exemple la
mmoire de connaissances acquises).
La psychologie cognitive enseigne que cette information, bien quelle soit exacte du point
de vue de lindividu comme acteur particulier, est sujette des biais, entre autres :
Les paralogismes (erreurs de raisonnement) formels et informels
La dissonance cognitive
Les heuristiques de jugement
Les limites de la vigilance
Un autre facteur qui aura une influence est le langage utilis pour communiquer sur les
risques. Le choix des mots a un effet sur la perception durisquedes individus, plus

54

La gestion de risque informationnel

prcisment surla manire dont les individus valuent de faon asymtrique leurs
perspectives de perte et de gain. Comme lexplique le thorie des perspectives (Prospect
Theory), le cadrage du problme, la faon dont il est prsent et la mise en situation sont
tous des lments qui influent la construction durisque, la prise de dcision et les
rsultats.Le point de rfrence adopt par les individus afin destimer les situations
risqueaffecte la prise de risque.
Le rsultats de ces lments, le choix de lapproche, les aspects culturels, la propension aux
risques, et le langage, auront un impact sur le comportement des individus dont il
rsultera une sous-estimation ou une survaluation de la probabilit de ralisation dalas,
des dommages et de la vulnrabilit dun lment risque ceux-ci. Lestimation
subjective, non scientifique, passe par le prisme des individus. Elle ne peut se conformer
adquatement aux besoins des organisations en matire degestion de risque. Cependant
elle ne peut tre compltement mise de ct, car il est difficile dliminer laspect subjectif
de certaines dcisions. De plus, il nest pas toujours possible dobtenir des sources fiables
de donnes probantes couvrant tout les risques potentiels. Finalement, la complexit de
lcosystme organisationnel rends difficile une vue de la situation dans sa totalit. Les
organisations devraient opter pour une approche scientifique de gestiondes risques, mais
il est presque impossible de le faire compltement.
Ainsi, il est ncessaire de mettre en place des mcanismes pour limiter limpact de la
subjectivit inhrente aux approches non scientifiques et aux biais qui les accompagnes.

55

Chapitre 2

Le changement
Lhistoire des civilisation est celle dune continuit de changements. Le changement
continu est normal. Ce qui est anormal est de tenter de contrler et restreindre le
changement, ce que de nombreuses organisations tentent de faire. La mobilisation
deressources pour un traitement appropri durisqueest une source importante de
changement. Elle est une des composantes de lagestionderisque. Il est essentiel daborder
les principaux concepts du changement avant daborder en plus de dtails
lagestionderisque. Une comprhension des enjeux de lagestiondu changement
augmentera le succs des efforts degestionderisque et en particulier aux mesures de
mitigation du risque.
Les changements dans une organisation suivent des processus dacculturation et
dassimilation similaire ceux quobservera lethnologue. Ces migrations culturelles se
font par diffusion inter-culturelle entre les individus, groupes et structures de
lorganisation.Dans le processus de changement des dysfonctions entre les structures
formelles, illustre par lorganigramme hirarchique, les valeurs culturelles et les
reprsentations symboliques de lorganisation apparatrons. Chacune des composantes de
lorganisation (individus, stratgies, processus, systmes, etc.) sont soumise des
pressions auxquelles elles ragiront par des mcanismes diffrents dadaptation et
dintgration. Il en rsultera un tat de tension, de dissonance ou de dsynchronisation
organisationnelle.

56

La gestion de risque informationnel

Il est ncessaire de prvoir des processus et des mcanismes degestiondu changement


que lorganisation pourra mettre en oeuvre lorsque se dveloppe ces dsynchronisations.
Si elle ne le fait pas, il pourra en rsulter le rejet de la nouvelle faon de faire, un rejet du
changement propos. Engestionderisque, ce rejet rduira lefficacit des actions
entreprises pour grer le risque.
Il est essentiel de connatre les cinq phases du changement afin de les reconnatre sur le
terrain et de mettre en oeuvre priori des mesures, des mthodes ou des processus
degestionafin de limiter ou de contrler leur impacts sur lorganisation.
Le processus de changement sopre en cinq (5) phases:
Le refus
La rsistance
La dcompensation
La rsignation
Lintgration
Lorsquun changement qui ne correspond pas aux aspirations dun individu est annonc,
la premire phase observable est celle du refus de comprendre.Dans un premier temps,
par rflexe naturel, lindividu ne comprend pas ce quon lui dit. La relation affective de
lindividu avec ce que lon souhaite changer conditionne lampleur et la dure de cette
phase. Celui qui introduit le changement est tent dtablir un lien entre le refus de
comprendre et lintelligence de son interlocuteur, ce qui aggrave la situation.La phase de

57

Chapitre 2

refus de comprendre peut tre brve. Cependant, dans le cas de changements majeurs, elle
peut prendre des proportions considrables.
La seconde phase estla rsistance au changement. Entre la moiti et le trois-quart des
projets de changement organisationnels chouent la phase de rsistance au changement.
Malgr cela, cette phase est souvent minimis dans la planification des projets de nature
technologique.La rsistance au changement est souvent un frein majeur dans la mise en
oeuvre de nouveaux moyens degestionet dans de nombreux projets degestionde la
qualit, qui ont des similitudes avec les degestionde risque.Dans un contexte
organisationnel, la rsistance au changement est gnralement perue comme un frein au
progrs, surtout du point de vue de ceux qui initient le changement.Assimile une
vision passiste, anti-progressiste et excessivement conformiste voire ractionnaire, elle est
pourtant naturelle, inne, et elle peut mme tre utile et ncessaire.
Lutilit de la rsistance au changement repose sur quatre lments :
Dun point de vue psychologique, la rsistance nous permet de raliser le
changement. En verbalisant nos arguments, nous pouvons exorciser le sentiment
de frustration qui nous treint. En fait, la rsistance nous permet dvacuer notre
stress, dobjectiver notre ralit et celle qui nous est impose.
Dun point de vue oprationnel, tout changement annonc nest pas
ncessairement le meilleur possible. Tout changement annonc peut, le plus
souvent, tre amlior dans la forme et sur le fond. Le cas chant, la rsistance
travers largumentation permet damliorer le changement ou den montrer les
limites.

58

La gestion de risque informationnel

Dun point de vue thique, certains changements tentent de se faire au mpris des
valeurs ou des croyances dun individu ou dun groupe. La rsistance permettra
de faire chec ces changements. Elle est une protection contre labusif,
larbitraire, linconsquence et lirresponsabilit.
Dun point de vue humain, elle permet de rguler les risques dabus de pouvoir.
La rsistance se manifeste principalement sous quatre formes :
Linertie,
largumentation,
la rvolte et
le sabotage.
Ces quatre expressions alternent au cours de la phase de rsistance. Le choix de la forme
de rsistance est dict autant par lindividu que par lenvironnement. Les rsistances ne
comportent bien sr pas toutes lensemble des expressions. Largumentation, nanmoins,
est toujours prsente.
La troisime phase du changement estla dcompensation. Elle se caractrise par
labandon de la rsistance sous toutes ses formes. Lorsque la rsistance contre un
changement en contradiction avec les aspirations est sans effet, les individus
dcompensent: ils se sentent las, incompris ou non reconnus. Plus la rsistance fut forte,
plus la dcompensation est grande, la mesure de limpact du changement et de son
importance. Elle prsente les symptmes de la dpression.La dcompensation sopre par
rapport aux repres internes. Plus lindividu et sentimental et motif, plus la
dcompensation est vidente. Au contraire, plus il est rflchi, moins elle est

59

Chapitre 2

observable.La dcompensation peut durer quelques minutes ou plusieurs annes. Les


deux facteurs-cls de la dure et de lintensit de la dcompensation sont dune part la
distance affective par rapport lobjet du changement, et dautre part le niveau de stress
li laccumulation des changements.
La quatrime phase estla rsignation.La rsignation est souvent la phase la plus longue
dans un processus individuel de changement, car elle correspond lacceptation du
changement propos. Lorsque lindividu entre dans cette phase, il fait contre mauvaise
fortune bon coeur. Sil accepte le changement, il ne pourra se dfendre contre la nostalgie
du pass et de lancienne ralit, partags entre le dsir dchapper au stress li au
changement et ses instincts de conservation. Dans cette phase, lindividu rationalise son
acceptation du changement sans enthousiasme. Il aura des bouffes de tristesse qui
alimentent sa nostalgie. Cette nostalgie est le meilleur indice de sa rsignation au prsent.
La rsignation permet dachever le travail de deuil lors dun changement individuel.La
rsignation cde finalement la place lintgration, parfois graduellement, parfois
brutalement.
La cinquime et dernire phase du changement estlintgration.Lintgration dun
changement, cest son acceptation totale dans la ralit prsente et virtuelle.
Distinguons deux niveaux dintgration:
lintgration conceptuelle et
lintgration comportementale.

60

La gestion de risque informationnel

Lintgration du changement saccompagne le plus souvent dun enthousiasme recouvr,


dune nergie positive tourne vers laction, dun sentiment de bien-tre, voire de srnit.
La nostalgie du pass tend disparatre, le deuil est fait et le processus de changement est
complt avec succs.

61

Chapitre 2

Questions de rvision
1) Indiquez si lnonc suivant est vrai (V) ou faux (F) ?
1.!

_____ :Lexpertise individuelle du risque est base sur nos expriences

quotidiennes.
2.!

_____ :Lexpertise individuelle du risque est base sur notre incapacit apprendre

de nos expriences.
3.!

_____ :Dans les organisations, les rflexes naturels de la peur et de lanxit, sont

un indicateur de la prsence dun risque inopin.


4.!

_____ :Dans le cas de lHomme cest une question de survie qui a emmen le

dveloppement dun sens naturel didentification du risque, la peur.


5.!

_____ :Pour une organisation, il ny a pas de mcanismes naturels possible pour

identifier la prsence du risque ou dun danger.

62

La gestion de risque informationnel

2) Indiquez si lnonc propos sapplique lapproche scientifique (S) , lapproche non


scientifique (N) ou aux deux (2) approches de gestion de risque.
1.!

_____ :Sopre dans un paradigme rationaliste.

2.!

_____ :Permet de quantifier le risque en sappuyant sur des paradigmes

analytiques.
3.!

_____ :Se fonde sur lexprience et lintuition.

4.!

_____ :Permettra de quantifier le risque en sappuyant sur desdonnes probantes.

5.!

_____ :Fait appel au dialogue et la comparaison avec les pairs.

6.!

_____ :Permet de quantifier le risque en sappuyant sur desdonnes historique.

7.!

_____ :Sintresse des aspects de scientificit des mesures.

8.!

_____ :Sintresse des aspectsde rigueur mthodologique.

9.!

_____ :Sintresse des aspectsde fidlit et de validit (interne et externe).

10.!

_____ :Recherche le consensus sur ce quest ce qui est la ralit objective.

3)Apparier le bon terme avec la description qui lui convient le mieux:


!

A. Dcompensation

63

Chapitre 2

B. Intgration

C. Refus de comprendre

D. Rsignation

E.Rsistance au changement

1.!

_____ : Cest la premire phase du changement.

2.!

_____ : Cest la seconde phase du changement.

3.!

_____ : Cest la troisime phase du changement.

4.!

_____ : Cette phase estla quatrime phase du changement.

5.!

_____ : Cette phase est la cinquime phase du changement.

6.!

_____ : Cette phaseprsente les symptmes de la dpression : fatigue, ides noires,

tristesse, etc.
7.!

_____ : Se produit lorsquun changement qui ne correspond pas aux aspirations

dun individu est annonc.


8.!

_____ : Cette phasepermet dachever le travail de deuil lors dun changement

individuel.
9.!

_____ :Entre la moiti et le trois-quart des projets de changement organisationnels

chouent cette phase.

64

La gestion de risque informationnel

10.!

_____ : Cette phase estla dernire phase du changement.

11.!

_____ : Dans un contexte organisationnel, cette phase est gnralement perue

comme un frein au progrs, surtout du point de vue de ceux qui initient le changement.
12.!

_____ : Cette phaseest naturelle, inne et peut mme tre utile et ncessaire.

13.!

_____ : Cette phase se produit lorsque la rsistance contre un changement en

contradiction avec les aspirations est sans effet


14.!

_____ : Lors de cette phase les individusse sentent las, incompris ou non reconnus.

15.!

_____ :Plus la rsistance fut forte, plus cette phase est grande, la mesure de

limpact affectif du changement et de som importance.


16.!

_____ :Plus lindividu et sentimental et motif, plus cette phase est vidente. Au

contraire, plus il est rflchi, moins elle est observable.


17.!

_____ : Cette phasepeut durer quelques minutes ou plusieurs annes. Les deux

facteurs-cls de la dure et de lintensit de cette phase sont dune part la distance affective
par rapport lobjet du changement, et dautre part le niveau de stress li laccumulation
des changements.
18.!

_____ : Cette phaseest souvent la phase la plus longue dans un processus

individuel de changement, car elle correspond lacceptation du changement propos.

65

Chapitre 2

19.!

_____ :Lorsque lindividu entre dans cette phase, il fait contre mauvaise fortune

bon coeur.
20.!

_____ :Dans cette phase, lindividu rationalise son acceptation du changement.

21.!

_____ : Cette phasecde finalement la place lintgration, parfois graduellement,

parfois brutalement.
22.!

_____ : Cette phaseest lacceptation du changement dans la ralit prsente et

virtuelle.
23.!

_____ :Cette phase est souvent minimis dans la planification des projets de nature

technologique.
24.!

_____ : Cette phasesaccompagne le plus souvent dun enthousiasme recouvr,

dune nergie positive tourne vers laction, dun sentiment de bien-tre, voire de srnit.
25.!

_____ : Cette phase est aussi appel la phase de dni

66

La gestion de risque informationnel

4) Mettre la stratgie avec la dfinition qui lui corresponds le mieux:


A. Minimiser le regret maximum
B. Maximaliser lUtilit espre minimum
C. Maximaliser lUtilit espre
D. Maximaliser lUtilit espre moyenne
E. Maximaliser lUtilit espre dans le contexte le plus probable
F. Nadmettre que les scnarios non domines
1.!

_____ :Ne sont admissibles que les scnarios qui ne sont pas domins par dautres.

2.!

_____ :Lon considre lUtilit espre moyenne de chaque scnario et on choisit

lutilit moyenne la plus leve.


3.!

_____ :Le dcideur fait lhypothse quil se trouve dans le contexte le plus probable

et choisi le scnario qui offre lutilit la plus grande dans ce cas.


4.!

_____ :Consiste prendre pour chaque scnario lUtilit espre moyenne et

choisir le scnario offrant la plus grande Utilit espre.


_____ :Pour chaque scnario on identifie le regret maximum et on choisi le scnario qui
reprsente le regret maximum le plus bas.

67

Chapitre 2

Bibliographie
Beucher, S., Reghezza, M., (2004)Les risques (CAPES Agrgation),Bral
Carton,GD.(2004)logeduchangement:mthodesetoutilspourrussirunchangement
individuelet professionnel, 2dition,ditions VillageMondial,Paris
Costermans, J. (1998)Les activits cognitives, raisonnement, dcision et rsolution de
problmes,dition DeBoeck Universit, France
Douglas, M., Wildavsky, A. (1984),Risk and Culture, cit dans Beucher et Reghezza (2004)
Kahneman, D., Tversky, A. (1979)Prospect theory: An analysis of decision under
risk,Econometrica,47, 263-291.

68

Introduction la gestion de risque informationnel

Chapitre 3: Lala
Lala pouvant tre caus par une menace, il est important de comprendre lidentification
des menaces. Il faut cependant prciser que la menace unique nest pas ncessairement la
cause dun ala, lala peut aussi tre caus par un ensemble de facteurs ou par une
squence dvnements qui incluent une menace.
Dans la cration de scnarios de risque, ce sont les participants au processus de cration
des scnarios dans lorganisation qui devraient identifier les menaces qui seront
envisages. Les menaces envisages serviront identifier les scnarios envisagsdans
lanalyse de risque, prvoir les dommages possibles de chaque scnario envisag et
valuer leur possibilit de se raliser.
Le processus didentification des menaces peut sappuyer sur plusieurs sources, selon que
lapproche de gestion de risque est scientifique ou non-scientifique. Dans une approche
scientifique, la tenue dun registre des incidents est une des principales sources
dinformation pour le processus didentification des menaces.

Introduction la gestion de risque informationnel

Chapitre 3

Comme lapproche non scientifique se fonde sur lexprience et lintuition, elle fera appel
des sources telles que:
Lhistorique rcente de lorganisation,
Des menaces qui ont cr des alas dans des organisations similaires,
Lexprience des participants,
Les tendances de lindustrie,
Lorganisation pourra aussi utiliser des sources trouves sur internet, tels que des bases de
donnes, des associations professionnelles ou des articles.
Sans surprises, cette approche hautement subjective sera fortement teint par les biais de
ceux qui font le travail. Afin dencadrer la subjectivit, une liste de dpart, forme de
menaces gnriques et dune systme de catgorisation des menaces dans le contexte de la
gestion du risque informationnel est prsent. Cette liste devrait tre enrichi par une revue
de littrature, des recherches en ligne et la cration de scnarios de risque avec les parties
prenantes de lorganisation. Elle sera finalement valide auprs de participants dans
lorganisation.
Nous proposons une liste des menaces comme point de dpart aux discussions. Dans cette
liste, les menaces ont t classes en deux catgories ceux pouvant causer des dommages
matriels et ceux causant des dommages immatriels.

70

Lala

Les menaces pouvant causer des dommages matriels


La catgorie des dommages matriels comprend les dommages matriels ou physiques
aux divers lments des systmes dinformation dune organisation. Ces atteintes ne
reprsentent quun faible pourcentage des sinistres informatiques. Les pertes associes
ces dommages sont values en fonction de la valeur de remplacement. De faon gnrale,
ces menaces peuvent causer la modification ou la destruction non autorise, volontaire ou
accidentelle des donnes, ressources informationnelles, actifs informationnels ou systmes
dinformation dune organisation.
Phnomnes accidentels
Les phnomnes accidentels identifient les vnements causs par lenvironnement
technique des systmes dinformation. Ceux-ci incluent des vnements naturels dont les
consquences sont aisment identifiables. Nous proposons ceux-ci:
Menace

Exemple

Bris accidentel

Le bris dun appareil.

Panne

Panne de courant caus par une


tempte de neige.

Accident

Un vhicule qui roule sur une


route voisine de limmeuble entre
en collision avec celui-ci.

71

Chapitre 3

Incendie

Un incendie caus par un


problme lectrique dans
limmeuble.

Inondation

Une crue des eaux dune rivire


avoisinante.

Vandalisme
Le vandalisme identifie des situations par lesquelles une ou plusieurs personnes
dtruisent sciemment ou subtilisent un systme dinformation. Parmi les diffrentes
catgories de menaces associes au vandalisme, nous proposons celles-ci:
Menace

Exemple

Vol

Le vol dquipements informatiques


durant une fin de semaine.

Incendie

Un incendie criminel caus lors


dune manifestation ou une grve.

Sabotage

Des dommages causs par des


terroriste ou des activistes lors dune
manifestation.

72

Lala

Les menaces pouvant causer des dommages immatriels


La catgorie des dommages immatriels comprend des menaces qui, si elles survenaient,
pourraient causer des dommages aux donnes, programmes, logiciels contenus dans un
systme dinformation. Ces atteintes reprsentent le plus grand nombre des sinistres
informatiques. Lvaluation des pertes associes des dommages immatriels est difficile
valuer. De faon gnrale, ces menaces pourraient causer la divulgation, le transfert, la
modification ou la destruction non autorise, volontaire ou accidentelle de donnes ou
dactifs informationnels de lorganisation.
Erreur
Lerreur est lacte involontaire dun membre de lorganisation ou dun utilisateur lgitime
dun systme dinformation la suite dune mauvaise manipulation. Il en rsulte des
dommages immatriels comme la perte dun fichier, la mauvaise excution dun
programme ou lexcution dune commande destructrice. Ces phnomnes peuvent
aboutir des pertes trs importantes pour lorganisation. Nous proposons celles-ci:
Menace

Exemple

Erreur de

Le vol dquipements

manipulation

informatiques durant une fin de


semaine.

Erreur de

Un incendie criminel caus lors

manipulation

dune manifestation ou une grve.

73

Chapitre 3

Sabotage

Des dommages causs par des


terroriste ou des activistes lors
dune manifestation.

La fraude
La fraude reprsente une partie importante des sinistres informatiques. Il sagit le plus
souvent de virements bancaires frauduleux ou du vol de fichiers contenant des numros
de cartes de crdits. Ces actes peuvent tre luvre de tiers mais sont souvent le fait de
membres dune organisation. Nous proposons ceux-ci:
Menace

Exemple

Virement

Un employ transfert de largent

frauduleux

du compte de lorganisation un
compte personnel.

Dtournement

Un employ modifie un systme


de vente en ligne pour que les
paiements, ou une fraction de
ceux-ci, soient effectus dans un
compte dont il est le propritaire.

74

Lala

Espionnage

Un agent externe lorganisation


coute les transmissions sur le
rseau afin de transmettre des
secrets commerciaux un tiers.

Vol didentit

Une personne non-autorise utilise


des informations contenues dans
nos bases de donnes internes
acquises malicieusement pour
usurper l'identit dun de nos
clients i=ou dun de nos employs.

Les cybercrime
Les cybercrimes, des infractions commises au moyen dun ordinateur et de rseaux
informatiques.Selon les donnes du ministre de la Scurit publique, compiles partir
des statistiques annuelles des enqutes menes par les diffrents corps de police de la
province.ont connu une hausse vertigineuse de 70 % au Qubec, en 2010.Le Ministre
dnombre pas moins de 1270 crimes comportant lutilisation dun ordinateur ou
dInternet, en 2010, soit 520 de plus que lanne prcdente. Les donnes indiquentdes
hausses marques des enqutes sur des cas de fraudes lectroniques, de possession ou de
distribution de pornographie juvnile et de leurre dun mineur des fins dordre sexuel. Il
sagit duneralit contre-courant de la baisse globale de 4,8 % du nombre de crimes (370
052) perptrs au total, au Qubec, durant 2010, par rapport 2009. Nous avons donc

75

Chapitre 3

apport une attention particulire cette catgorie de menace. Nous avons regroup sous
le nom de cybercrimes les fraudes informatiques ralises par lintermdiaire des systmes
dinformations ou de rseaux de tlcommunications, tel que le rseau Internet. Cest
lintrusion illgale dun tiers lintrieur dun systme dinformation, dune base de
donnes afin de les manipuler, les altrer ou en tirer profit. Nous proposons ceux-ci:
Menace

Exemple

coute

Les clients dune banque reoivent des courriels de la banque. Il

(Keylogging)

s'agissait d'une proposition d'installation d'un logiciel de lutte


contre le courrier indsirable contenant un cheval de Troie qui
affiche un message invitant le client saisir nouveau ses donnes
d'accs. Le keylogger, intgr au cheval de Troie, enregistre les
donnes saisies et les transmets l'individu mal intentionn
l'origine de l'attaque.

76

Lala

coute rseau

Un sniffer est un formidable outil permettant d'tudier le trafic

(Sniffer)

d'un rseau. Il sert gnralement aux administrateurs pour


diagnostiquer les problmes sur leur rseau ainsi que pour
connatre le trafic qui y circule. sniffer peut servir une personne
malveillante ayant un accs physique au rseau pour collecter des
informations. Ce risque est encore plus important sur les rseaux
sans fils car il est difficile de confiner les ondes hertziennes dans un
primtre dlimit, si bien que des personnes malveillantes
peuvent couter le trafic en tant simplement dans le voisinage.

Virus

77

Chapitre 3

Virus

Le virus Conficker est un ver dcouvert en novembre 2008. Une


fois install sur un ordinateur Windows, il dsactive certaines
fonctions (mises jours, centre de scurit). Il se connecte seul
des serveurs distants pour recevoir des ordres et transmettre des
informations et surtout installer dautres logiciels malveillants sur
les ordinateurs infects. Il ne cesse dvoluer et partir de sa
version C il est capable de se mettre jour. Jusque l, rien de trs
dangereux en soit. Mais partir de sa version E, il tente dinstaller
un spambot ainsi quun rogue. Une analogie a souvent t faite
entre ce virus et le virus du sida : il bloque les dfenses internes et
laisse dautres virus tuer la victime. Le nombre de PC infects par
ce virus nest pas certain, mais la socit F-SECURE a avanc le
nombre de 9 millions. Ce ver devait lancer une attaque gigantesque
le 1er avril 2009 qui neut pas lieu.

Attaques cibles

En mars 2013, la socit Spamhaus fut victime dune attaque cible


par dni de service distribue record, atteignant 300 Gbps.
Spamhaus, un site qui s'est illustr en luttant contre le spam et les
pirates, sest attir les foudres des hacjers aprs avoir critiqu les
pratiques laxistes de l'hbergeur hollandais Cyberbunker.

Prise de contrle
Cyber squattage

78

Lala

Cyber sabotage
Cyber activisme
Cyber terrorisme

79

Chapitre 3

Hackers
Nous identifions comme hackers des individus qui se considrent comme tels ou qui font
partie dun groupe plus ou moins formel dindividus qui sont impliqus, sciemment ou
non, dans des activits en tant que membre de cette communaut. Lappartenance ce
groupe et lacceptation par groupe de ses membres amne les membres commettre des
actes dintrusion dans des systmes dinformation et den divulguer les mthodes et les
rsultats avec les autres membres du groupe. Certains participent dans un esprit
dapprentissage des technologies en toute lgalit, par exemple dans un cadre scolaire.
Dautres commettent des cybercrimes avec des objectifs pcuniaires ou idologiques.
Ils ont leur propre priodiques (notamment 2600 et Phrack), leurs confrences, leurs codes
secrets et leurs stars, comme Kevin Mitnick. Plusieurs tudes nous donnent les principales
caractristiques de ces groupes de Hackers:
Les membres ont un haut niveau de comptence informatique;
Un dsir de secret et danonymat;
Un besoin de se valoriser dans le groupe en divulguant leurs exploits;
Ce sont des groupes aux frontires et aumembershipfluide;
Domins par les hommes de race caucasienne, clibataires, gs entre 12 et 30 ans
et ayant termin leurs tudes secondaires;
Ils ont un ensemble de valeurs et de motivations similaires.

80

Lala

Nous classons les membres de ces groupes sur une chelle de cinq niveaux, reprsents
dans le tableau ci-dessous:
Niveau

caractristiques

Novice

Cest le hacker le moins expriment. Ses


activits se limitent de petits mfaits.

tudiant

Il sagit dtudiants qui trouvent leurs


travaux scolaires ennuyeux. Ils explorent les
ordinateurs au lieu de faire leurs travaux.

Touriste

Le touriste recherche laventure.

Crasher

Le crasher est un destructeur intentionnel.

Criminel

Les criminels sont les plus rares, ce sont ceux


qui profitent de leurs activits.

Les hackers sont regroups en divers sous-groupes selon des centres dintrts, les
crackers (piratage de logiciels), les phreakers (appels tlphoniques), les whitehats
(experts en scurit informatique) et plusieurs autres.

81

Chapitre 3

Alas dans les projets TI


Selon le Project Management Institute, la gestion de projets est lart de diriger et de
coordonner des ressources humaines et matrielles tout au long de la vie dun projet en
utilisant des techniques de gestion modernes pour atteindre des objectifs prdfinis
denvergure, de cot, de temps, de qualit et de satisfaction des participants.
Plusieurs problmes peuvent survenir dans des projets pour produire des alas. Nous en
prsentons ci-dessous un chantillon. Cette liste pourra servir comme point de dpart
pour la cration de scnarios de risque. Les dommages, en cours de projet, seront en
relation aux cots ou aux dlais.
Problmes de personnel
Le personnel cl ne sera pas disponible en cas de besoin au moment
opportun.
Les comptences cls ne seront pas disponibles en cas de besoin.
Le personnel cl quittera au cours du projet.
Les sous-traitantssous-performent et ne parviennent pas rpondre leurs
missions.
Problmes dquipement
Le matriel requis nest pas livr temps.
Laccs lenvironnement de dveloppement sera limit.
Lquipement tombe en panne.
Problmes du client
Les ressources du client ne sont pas disponiblesau moment opportun.

82

Lala

Le client ne sera pas en mesure de prendre des dcisions en temps opportun.


Les produits livrables ne seront pas examins selon lchancier prvu.
Le personnel qui a la connaissance des besoins du client sera remplac par
dautres qui sont moins qualifis.
Un manque dexprience avec le projet du client se traduira par des retards
ou pourra porter atteinte larelation.
Des conflits au sein de lorganisation du client quant lopportunit ou la
faisabilit duprojet.
Un manque de lignes claires de responsabilit et de lescalade va interfrer
avec le problme rsoudre.
Les bnfices nont pas t quantifis.
Les attentes du client pour lapplication dpasse les capacits de la
technologie.
Problmes de porte
Un manque de clart dans la dfinition de la porte et des objectifs se
traduira par des changements frquents et nombreux du primtre du projet.
Un manque de clart dans la dfinition de la porte se traduira par des
conflits dans le champ dapplication.
La porte des changements introduits se fait linsu de la gestion de projet.
Un manque de critres dacceptation clairement dfinis entranera un retard
dans lacceptation.
Une estimation htive ou qui na pas t valid entranera un plan de projet
quine sera pas atteint.
Risques technologiques
La technologie aura des limitations techniques ou des performances qui
mettent en danger laprojet.

83

Chapitre 3

La technologie des composants ne pas tre facilement intgrs.


La technologie nest pas prouve et ne rpond pas aux exigences des clients
et des projets.
La technologie est nouvelle et mal comprise par lquipe du projet et mettra
en place
retards
Problmes de livraison
Le temps de rponse du systme ne sera pas suffisant.
Les besoins en capacit du systme dpasseront la capacit disponible.
Le systme ne parviendra pas satisfaire aux exigences fonctionnelles.
Problmes physiques
Le bureau sera endommag par un incendie, une inondation ou autre
catastrophe.
Un virus informatique peut infecter lenvironnement de dveloppement ou
dun systme oprationnel.
Lquipe nest pas co-localis, ce qui va nuire la communication et
dintroduire des erreurs.
Un membre de lquipe va voler du matriel de projet confidentiel et mettre
la dispositiondes concurrents de ce client.
Problmes de gestion
La relative inexprience du gestionnaire de projet se traduira par des
drapages budgtaires ou calendaires.
Les gestionnaires jugent que le projet devrait avoir une priorit plus faible.

84

Lala

Alas en impartition
Limpartition des ressources informationnelles dune organisation peut tre dfinie comme
une relation contractuelle par laquelle un client dlgue un fournisseur laresponsabilit
dune ou plusieurs activits de gestion de ses actifs informationnels pour une dure
dfinie priori. Ltendue de cette dlgation peutvarier entre la sous-traitance et le
partenariat. Celle-ci peut prendre la forme de partenariat, dun programme
dinvestissement ou dun programme de rmunration li laperformance.
Liste dalas potentiels en situation dimpartition
Manque dexpertise du client avec limpartition
Manque dexprience du fournisseur avec lactivit impartie
Manque dexprience du client avec lactivit impartie
Difficult mesurer lactivit impartie
Stabilit financire du fournisseur
Taille du fournisseur
Interdpendance des activits imparties avec des activits non-imparties
Problmes de mesure
Complexit des travaux
Incertitude face aux besoins daffaires
Incertitude de lenvironnement lgal
Proximit des comptences de base
Envergure du contrat
Discontinuit technologique
Manque dadquation culturelle client-fournisseur

85

Chapitre 3

Envergure du contrat
Spcificit des actifs
Nombre restreint de fournisseurs

86

Lala

Alas en infonuagique
Linfonuagique est la prestation de services informatiques sur Internet. Les services
dinfonuagique permettent aux personnes et aux entreprises dutiliser les logiciels et le
matriel grs par des tierces parties partir de lieux loigns. Parmi les exemples de
services dinfonuagique, on compte le stockage des fichiers en ligne, les rseaux sociaux, le
courriel Web et les applications dentreprise en ligne. Le modle dinfonuagique permet
daccder des donnes et des ressources informatiques partout o est offerte une
connexion rseau. Linfonuagique donne accs un bassin commun de ressources, y
compris de lespace de stockage dedonnes, des rseaux, des centres de traitement et des
applications spcialises pour les entreprises et les particuliers.

87

Chapitre 3

Sources dalas potentiels en infonuagique


Coupures du rseau
Pertes de trafic
Problmes de gestion du rseau (congestion / connexion / usage non-optimal, etc)
Interception du code source de lapplication
Erreur du panneau de configuration administrateur
Employs malicieux
Pertes de performance dues lutilisation des ressources du contrleur (CP)
Surcharge du systme, impossibilit daugmenter la capacit
Compromision du logiciel de gestion ou du systme dexploitation
Ingnirie sociale
Fuite de donnes en amont ou en aval, intra-nuage
Compromission de linterface de gestion
Problmes dauthentification des utilisateurs et des identits
Dni de service
Dni de service distribu
Dni de service chez un partenaire
Balayages ou tentatives didentification de ports rseaux malicieux ou nonauthorise.
Trafic rseau altr
Escalation des privilges
Vol dquipement informatique
Compromision ou bris du systme de comptabilit ou de facturation de
lutilisation des services
Replay

88

Lala

Problmes decompartisation
Indisponibilit de services
Fuite de donnes
Altration des donnes
Perte ou compromission des journaux dutilisation
Perte ou compromission des journaux de scurit
Interception de donnes durant la migration ou la mise jour
Dsastres (naturels)
Accs non autoris aux locaux du fournisseur dinfonuagique
Vol des copies de sauvegarde
Perte des clef dencryption
Destruction de donnes
Perte de gouvernance ou de contrle
SLA incomplet (Indicateurs de performance mal dfinis)
Faillite du fournisseur ou dun partenaire
Acquisition ou transfert de proprit du fournisseur dinfonuagique
Responsabilit en relation aux lois et rglements
Conflit entre les exigences lgales et les besoins de protection des renseignements
personnels
Conflit entre les directives locales et rgionales

89

Chapitre 3

Exercice faire en classe


Premirement, identifiez cinq (5) sources dinformation que vous pouvez utiliser pour
crer une liste de menaces pour votre organisation.
_________________________
_________________________
_________________________
_________________________
_________________________

90

Lala

Ensuite, partir des cinq sources que vous avez identifies, laborez une liste de dix (10)
menaces qui devraient tre considrs dans le cadre de llaboration de scnarios de
risques.
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________

91

Chapitre 3

Questions de rvision
1) Compltez les phrases avec le terme qui convient le mieux :
A. ala
B. dommage
C. lment risque
D. menace
E. risque
F. scnario de risque
G. squence dvnements
H. vulnrabilit
I.
1.!

impact
__________ existe lorsquun ala et une vulnrabilit co-existent pour __________

donn, dans un temps et un espace donn.


2.!

Un __________ est dfini comme la description de __________ et des vnements ou

squences dvnements, des actions, des dcisions et des facteurs connexes qui ont rendu
possible lexploitation de __________ dont le rsultat est __________.
3.!

Lala peut tre caus par __________

4.!

__________ unique nest pas ncessairement la cause dun ala, lala peut aussi tre

caus par un ensemble de facteurs ou par __________ qui incluent __________.

92

Lala

2) Placez la menace dans la catgorie la plus approprie:


M. les menaces pouvant causer des dommages matriels;
I. les menaces causant des dommages immatriels.
1.!

___:Accident industriel

2.!

___:Activisme

3.!

___:Bris accidentels

4.!

___:Cheval de Troie

5.!

___:Cyber sabotage

6.!

___:Dommages collatraux (guerre)

7.!

___:Erreur

8.!

___:Erreur de programmation

9.!

___:Espionnage industriel

10.!

___:Incendie

11.!

___:Panne de courant

12.!

___:Prise de contrle

93

Chapitre 3

13.!

___:Vandalisme

14.!

___:Virus

15.!

___:coute rseau (Sniffer)

94

Lala

3) Identifiez deux (2) consquences ou dommages probables pour chacune des menaces
identifies:
A. Accs non autoris aux donnes
B. Atteinte la rputation de lorganisation
C. Blessures ou Pertes de vie humaines
D. Copies de donnes
E. Dpt ou transfert de fonds
F. Destruction de donnes
G. Destruction de la salle informatique
H. Dtournement de biens
I.

Devient une plate-forme de lancement pour de nouvelles attaques

J.

Divulgation de donnes ou dinformations

K. Divulgation dinformations sur linfrastructure


L. Dommages ou destruction physique des systmes dinformations et des
infrastructures
M. Dommages ou destruction physique dinfrastructures critiques
N. Donnes errones
O. Indisponibilit du systme dinformation
P. Indisponibilit de donnes
Q. Modification des donnes
R. Perte conomique
S. Ralentissement des traitements

95

Chapitre 3

1.!

___ ___:Accident priphrique

2.!

___ ___:Attaques cibles distribues

3.!

___ ___:Champs lectromagntiques

4.!

___ ___:Cyber-activisme

5.!

___ ___:Dsastre environnemental

6.!

___ ___:Draillement de train

7.!

___ ___:Erreur de manipulation

8.!

___ ___:Erreur volontaire dans lentre des donnes

9.!

___ ___:Fraude

10.!

___ ___:Panne accidentelle

11.!

___ ___:Pointes de courant

12.!

___ ___:Terrorisme

13.!

___ ___:Virement frauduleux

14.!

___ ___:Vol didentit

15.!

___ ___:Hackers

96

Lala

97

Chapitre 3

4) Pour chacune des menaces, identifiez une source de donnes scientifiques et de donnes
non scientifiques permettant dvaluer la probabilit que cette menace puisse exploiter une
vulnrabilit dun lment risque:
1.

Activisme

2.

Espionnage industriel

3.

Panne de courant

4.

Vandalisme

5.!

Virus

98

Lala

Bibliographie
Denning, D. (2000)Cyberterrorism, Global Dialogue, Autumn, Aout 2000
Denning, D. (2000)Hacktivism: An Emerging Threat to Diplomacy, Foreign Service
Journal, September 2000.
Jordan, T. (1998)A sociology of hackers, The sociological review, pp. 757-780
Smith, A., Rupp W. (2002),Issues in cybersecurity; understanding the potential risks
associated with hackers/crackers, Journal of Information Management & Computer
Security, Volume 10 Number 4, Pages 178-183

99

Introduction la gestion de risque informationnel

Chapitre 4: Les vulnrabilits


Tel que mentionn, la gestion du risque est accomplie par un processus IPM dont le
premier lment, I, correspond lidentification et lvaluation des scnarios de
risque.Pour que le risque existe lorsque trois composantes co-existent pour un lment
risque (E) dont la vulnrabilit ('). Au chapitre prcdent, nous avons prsent les
menaces et les alas, dans ce chapitre nous prsentons les vulnrabilits.
Une vulnrabilit est un tat dans un systme dinformation qui, sil tait exploit,
permet :
de divulguer des donnes (atteinte aux objectifs de confidentialit);
de modifier des donnes (atteinte aux objectifs dintgrit);
de nuire la disponibilit des donnes;
de nuire aux autres objectifs de scurits.
Une vulnrabilit technologique est une vulnrabilit dont lorigine ou la nature est
directement reli aux lments technologiques dun systme dinformation (systmes
dexploitations, logiciels, processeurs, quipements priphriques, interfaces dentre ou
de sortie, etc.).

Introduction la gestion de risque informationnel

Chapitre 4

Lorganisation doit tenter didentifier les vulnrabilits qui sont prsentes et qui affectent
son patrimoine informationnel. Afin de limiter la subjectivit qui peut affecter le processus
didentification des vulnrabilits comme cest le cas pour lidentification des menaces au
chapitre prcdent, il est suggr de mettre en place un processus systmatique
didentification des vulnrabilits. Ce processus didentificationsappuierasur plusieurs
sources dinformation et, en partie, sur lutilisation de logiciels didentification des
vulnrabilits technologique rseau, tels que les NVAS, prsent un peu plus loin.
Une liste de dpart, forme des vulnrabilits susceptible daffecter les lments
technologique de lorganisation sera dvelopp en fonction de larchitecture technologique
en place. Cette liste devrait tre enrichi par une revue de littrature, des recherches en
ligne et la cration de scnarios de risque avec les parties prenantes de lorganisation. Elle
sera finalement valide auprs de participants dans lorganisation.
Les principales bases de donnes et dinformation sur les vulnrabilits sont:
Le CWE (common weakness enumeration) du MITRE:http://cwe.mitre.org/
Security focus et BugTrack de Symantec:http://www.securityfocus.com/
Une fois les vulnrabilits identifis, il est ncessaire de les catgoriser.La catgorisation
des vulnrabilits sera utile lors de la priorisation des risques. Elle permettra aussi de
simplifier le processus danalyse de risque par la mise en commun de vulnrabilits
similaires ou qui affectent des actifs informationnels communs. cette fin, nous suggrons
dutiliser le modle CVE du MITRE.

102

Introduction la gestion de risque informationnel

Le Common Vulnerabilities and Exposures ou CVE est un dictionnaire des informations


publiques relatives aux vulnrabilits de scurit. Le dictionnaire est gr par lorganisme
MITRE, soutenu par le Dpartement de la Scurit intrieure des tats-Unis.
Les identifiants CVE sont des rfrences de la forme CVE-AAAA-NNNN (AAAA est
lanne de publication et NNNN un numro incrment).Le contenu dudictionnaire CVE
peut tre obtenu sur internet en diffrent formats. Cette liste contient une description de la
vulnrabilit concerne, ainsi quun ensemble dhyperliens qui permettent dobtenir plus
dinformations sur celles-ci.
De nombreux produits de scurit qui traitent de vulnrabilits utilisent le systme de
catgorisation CVE du MITRE :
les services dinformation sur les vulnrabilits,
les systmes de dtection dintrusion,
les systmes de prvention dintrusion,
les logiciels danalyse de vulnrabilits,
les outils de gestion de parc informatique.
Afin que ces produits utilisent avec rigueur les identifiants CVE, le MITRE a mis en place
une procdure de compatibilit CVE qui impose notamment :
un affichage des identifiants CVE (CVE Output),
une fonctionnalit de recherche parmi les identifiants CVE (CVE Searchable),
une procdure de mise jour de la base de donnes (Mapping),
une aide sur les concepts relatifs CVE (Documentation).

103

Chapitre 4

Une fois catgoris la svrit des vulnrabilits doit tre value. Les niveaux suivants
peuvent tre utiliss:
Trs leve:fournit une cible trs attrayante pour les menaces potentielles, et le
niveau de dissuasion et / ou de dfense fournis par les mesures de mitigation du
risque existantes sont insuffisantes.
Haute:fournit une cible attrayante et / ou le niveau de dissuasion et / ou de
dfense fournis par les mesures existantes sont insuffisantes.
Modr:fournit une cible potentielle et / ou le niveau de dissuasion et / ou de
dfense fournis par les mesures existantes est marginalement adquat.
Basse:fournit une cible possible et / ou le niveau de dissuasion et / ou de dfense
fournis par les mesures existantes sont adquates.
Les NVAS, ou Network Vulnerability Assessment Software, sont des logiciels spcialiss
dans la dcouverte et lidentification de vulnrabilits technologiques en rseau. Ces
logicielssignale les vulnrabilits potentielles ou avres des systmes dinformations
testes en les comparant une base de donnes, un peu comme le fait un logiciel antivirus. Ces logiciels peuvent aussi utiliser des squences, des scripts, qui permettent de
simuler des tentatives dexploitation de vulnrabilits connues.
Les vulnrabilits qui peuvent tre identifis inclut, entre autres:
les services permettant la prise de contrle distance dun ordinateur,

104

Introduction la gestion de risque informationnel

laccs des donnes,


les erreurs de configuration,
les mise jour (patchs) de scurit non appliqus,
les mots de passe faibles, les mots de passe par dfaut, les mots de passe
communs, et labsence de mots de passe sur certains comptes,
les attaques sur les mots de passe laide dun dictionnaire,
les services risque tel que TelNet,
les dnis de service.
Les principales fonctionnalits requises dun NVAS:
Une base de donnes des vulnrabilits complte
Une base de donnes des vulnrabilitsmaintenue jour
Un minimum de faux diagnostics
Lhabilit conserver de multiples analyses
Lhabilit effectuer des analyses de tendances
Donne des informations claires et concises pour liminer les vulnrabilits
trouves ou en mitiger le risque.
Les principales catgories doutils qui offrent des fonctionnalit de NVAS sont:
Scanner de vulnrabilits, par exemple OpenVAS, GFI Languard, COPS, SATAN
Les logiciels dadministration distance, par exemple Back Orifice, NetBus,
Backdoor-G, ces logiciels permettent de faire des tests afin de vrifier la prsence
de vulnrabilits

105

Chapitre 4

Les scanners de ports IP, par exemple NMAP, Ncat, Strobe, NTSnif, ces logiciels
identifient les ports IP ouverts sur un ordinateur; il est cependant ncessaire de
faire des recherches pour identifier la correspondance de pets et de vulnrabilits
Les analyseurs de protocoles, par exemple Wireshark; ces logiciels prudent tres
utiliss pour identifier une vulnrabilit
Les logiciels de dcouverte de mots de passe, par exemple l0ftcrack, John th
Ripper; ces logiciels permettent de vrifier si des mots de passe simple ou facile
trouver sont utiliss
Le NVAS le plus connu est Nessus.Tenable Network Security, Inc. est le crateur et
lditeur du scanner de vulnrabilitNessus. En plus damliorer constamment le moteur
Nessus, Tenable crit la plupart desplugins disponibles pour le scanner, ainsi que des
contrles de conformit et de nombreuses stratgies de vrification. partir de Nessus
4.4, la gestion dutilisateur du serveur Nessus est assure par une interfacesur le Web et il
nest plus ncessaire dutiliser un client Nessus autonome. Le client Nessus autonome
pourra toujours se connecter et grer le scanner, mais il ne sera pas mis jour.Nessus est
disponible et fonctionne sur de nombreux systmes dexploitation et plateformes
informatiques dont Windows, Mac et Linux.
Tenable recommande une mmoire minimale de 2 Go pour utiliser Nessus. Pour effectuer
des scans plus importants de plusieurs rseaux, une mmoire dau moins 3 Go est
recommande, mais jusqu 4 Go peuvent tre ncessaires.Un processeur Pentium 3
fonctionnant 2 GHz ou plus est recommand. Sur Mac OS X, un processeur Intel dual

106

Introduction la gestion de risque informationnel

core fonctionnant 2 Go ou plus est recommand.Nessus peut tre excut sous une
instance de VMware.
De nombreuses vulnrabilits nouvelles sont publies quotidiennement par les vendeurs,
les chercheurs et autres sources. Tenable sefforce de tester et de mettre disposition ds
que possible des contrles pour les vulnrabilits rcemment publies, en gnral dans un
dlai de 24 heures aprs divulgation. Le contrle pour une vulnrabilit spcifique
sappelle un plugin dans le logiciel Nessus, nous le traduisons par module. La liste
complte de tous les modules de Nessus est disponible sur http://www.nessus.org/
plugins/index.php?view=all. Tenable distribue les mises jours de ses modules selon
deux modes : ProfessionalFeed (service de mise jour payant pour les professionnels) et
HomeFeed (service de mise jour gratuit). Les modules sont tlchargs directement
depuis Tenable par un processus automatis dans Nessus. Nessus vrifie les signatures
numriques de tous les tlchargements de modules pour valider lintgrit des fichiers.
Pour les installations Nessus sans accs Internet, il existe un processus de mise jour
hors ligne qui peut tre utilis pour sassurer que le scanner reste actualis.
Pour dterminer le service de mise jours de Nessusqui conviennent un environnement
donn, il faut prendre en compte les points suivants :
Si vous utilisez Nessus chez soi des fins non professionnelles, vous pouvez
souscrire auHomeFeed. Les nouveaux modules pour les vulnrabilits de scurit
les plus rcentes sontimmdiatement fournis aux utilisateurs du HomeFeed.
Lutilisation du HomeFeed estgratuite mais ncessite lacceptation dune licence

107

Chapitre 4

dutilisation. Le code dactivation est envoy aux utilisateurspendant le processus


denregistrement lors de la configuration de Nessus pour obtenir lesmises jour.
Les utilisateurs du HomeFeed ne reoivent pas daccs au portail dassistancede
Tenable, aux contrles de conformit ou aux stratgies de vrification de contenu.
Si vous utilisez Nessus des fins commerciales (par exemple en cabinet de
conseil), dansun environnement daffaires gouvernemental, vous devez acheter le
ProfessionalFeed. Lesnouveaux plugins pour les vulnrabilits de scurit plus
rcentes sont immdiatementfournis aux utilisateurs du ProfessionalFeed. Les
clients de SecurityCenter sont enregistrsautomatiquement pour souscrire au
ProfessionalFeed et nont pas besoin dacheter desfeeds additionnels, sauf sils ont
un scanner Nessus qui nest pas gr par SecurityCenter.
Tenable propose une assistance commerciale, depuis le Portail dassistance de Tenable
oupar email, pour les clients du ProfessionalFeed qui utilisent Nessus 4. Le
ProfessionalFeedcomprend galement des contrles de conformit de lhte pour Unix et
Windows qui sonttrs utiles lors daudits de conformit.
Vous pouvez acheter le ProfessionalFeed sur la boutique en ligne de Tenable, sur https://
store.tenable.com/, ou par commande auprs des partenaires ProfessionalFeed autoriss.
Vous recevrez alors un code dactivation de Tenable. Ce code devra tre utilis lors de la
configuration de la copie de Nessus pour les mises jour.
Les rsultats de Nessus sont prsents dans un rapport. Ce rapport dcrit les vulnrabilits
dcouvertes et fournis des pistes de solution pour les rsoudre. Il est cependant ncessaire
didentifier si les vulnrabilits identifies sont de vritables vulnrabilits dans le

108

Introduction la gestion de risque informationnel

contexte de lorganisation dans laquelle lanalyse est effectue. Ensuite, il faut dterminer
si un risque existe dans chacun des cas. Cest--dire, dterminer sil existe un ala et des
dommages qui correspondent la vulnrabilit dans un temps et un espace dtermin.
Lexercice propos est lanalyse de vulnrabilits avec laide du logiciel NESSUS. Pour
raliser cet exercice les tudiants doivent utiliser un ordinateur de type Intel munis du
systme dexploitation Windows ou du systme dexploitation Mac OS/X. Le logiciel peut
tre tlcharg sur le site internet de Tenable:http://www.tenable.com/products/nessus.
La documents pour linstallation et lutilisation du logiciel sont disponibles en franais sur
le mme site:http://www.tenable.com/products/nessus/documentation#french.

109

Chapitre 4

Questions de rvision
1) Compltez les phrases avec les termes qui convient le mieux :
!

A. ala

B. dommage

C. lment risque

D. menace

E. risque

F. scnario de risque

G.squence dvnements

H. vulnrabilit

I: impact

1.!

Dans la cration de __________, ce sont les participants au processus de cration des

scnarios dans lorganisation qui devraient identifier __________ qui seront envisages.
2.!

Les __________ envisags serviront identifier les __________ envisagsdans

lanalyse de risque, prvoir __________ possibles de chaque __________ envisag et


valuer leur possibilit de se raliser.

110

Introduction la gestion de risque informationnel

2) Quelles sont les principales fonctionnalits requises dun NVAS? (identifiez-en 5)


1.!

___________________________________

2.!

___________________________________

3.!

___________________________________

4.!

___________________________________

5.!

___________________________________

3)Apparier la dfinition avec le terme qui convient le mieux :


!

A. Scanner de vulnrabilits

B. Les logiciels dadministration distance

C. Les scanners de ports IP

D. Les analyseurs de protocoles

E. Les logiciels de dcouverte de mots de passe

1.!

_____: ces logiciels permettent de faire des tests afin de vrifier la prsence de

vulnrabilits
2.!

_____:ces logiciels identifient les ports IP ouverts sur un ordinateur

111

Chapitre 4

3.!

_____:ces logiciels prudent tres utiliss pour identifier une vulnrabilit

4.!

_____:ces logiciels permettent de vrifier si des mots de passe simple ou facile

trouver sont utiliss


Vous avez utilis un NVAS et un Port Scanner pour effectuer une analyse dune portion de
votre rseau. Sur un ordinateur (adresse ip = 10.49.32.101), il a trouv les ports suivants
ouverts:
unknown (17/udp)
ftp (21/tcp)
telnet (23/tcp)
www (80/tcp)
snmp (161/udp)
unknown (515/tcp)
Service ipp (631/tcp)
unknown (9100/tcp)
partir de ces informations, rpondez aux questions suivantes individuellement. Ensuite,
regroupez vous en groupe de 4 tudiants pour comparer vos rponses.

112

Introduction la gestion de risque informationnel

De quel type dordinateur sagit-il probablement, un serveur, un poste de travail dun


utilisateur ou un service rseau?
Quelles informations particulires vous sont fournies sur les ports 515, 631 et 9100 ?
Comment pouvez-vous confirmer ces informations ?
Est-ce que cet appareil est vulnrable ?
Sil est vulnrable, quelles sont les menaces qui pourraient exploiter ces vulnrabilits ?
Myerson, J. M. (2002),Identifying enterprise networkvulnerabilities. International Journal
of Network Management, 12: 135144.
Nessus.org

113

Introduction la gestion de risque informationnel

Chapitre 5: Limpact
Le mot impact dsigne les consquencesrelles, envisages ou peruesdun ala (A), dun
vnement, dun processus ou dune activit rendu possible par lexploitation dune
vulnrabilit (').En gestion, limpact concerne les effets sur lorganisation, notamment sur
les niveaux de services, les concurrents, le march et les clients. On distingue les effets ou
consquences attendus et les effets inattendus dun vnement sur un projet, un actif
informationnel ou sur lenvironnement, et qui peut influer sur latteinte des objectifs
organisationnels.
En gestion de risque informationnel, limpact correspond aux dommages (()ou aux effets
ngatifs de lexploitation dune vulnrabilit(') par un ala (A)pour un lment risque
donn (E), dans un temps (t) et un espace (s) donn: cest--dire les pertes financires, la
rduction de lutilitet plus gnralement limpact sur les objectifs informationnels
fondamentaux de lorganisation (confidentialit, intgrit, disponibilit, etc.). Ils ne sont
pas ncessairement traduisibles en termes financiers. Les dommages aux objectifs
informationnels incluent:
accs non autoris aux donnes
destruction de donnes

Introduction la gestion de risque informationnel

Chapitre 5

divulgation de donnes ou dinformations


indisponibilit du systme dinformation
Dans le cadre dune analyse de risque en utilisant une approche par scnarios, il est
ncessaire didentifier les dommages directs rsultants de la ralisation du scnario. Ces
dommages directs peuvent inclurent:
le cot de remplacement des quipement endommags, vols ou perdus
le cot de remise en tats des quipements etpriphriques
les cots de main doeuvre pour linstallation de systme dexploitation, logiciels
et la configuration de ceux-ci, le temps de recouvrement des donnes
les pertes en temps de travail des utilisateurs dun systme dinformation
les pertes pour lorganisation dues au vol didentit, de donnes ou aux
informations financires
dautres cots associs
De plus, il peut tre ncessaire de dterminer les dommages indirects rsultants de la
ralisation dun scnario de risque. Ces dommages indirects peuvent inclurent:
une atteinte lintgrit physique dune personne
un prjudice physiologique ou fonctionnel
les prjudices moraux, comme latteinte lhonneur, la rputation et au crdit de
la personne
les prjudices moraux particuliers la personne physique, tels que lepretium
doloris(le prix de la douleur). Par exemple:
les souffrances physiques endures par la victime dun dommage corporel

116

Introduction la gestion de risque informationnel

le prjudice daffection li la souffrance morale cause par le dcs dun proche,


voire par la perte dun animal
le prjudice sexuel,
le prjudice esthtique
le prjudice dagrment (comme la perte ou la diminution de la pratique dune
activit par rapport la pratique faite avant la survenue de laccident)
les pertes en temps des clients dun systme dinformation
les pertes pour les clients de lorganisation dues au vol didentit, de donnes ou
aux informations financires
dautres cots associs
Lestimation, objective ou subjective, de ces dommages peut provenir de diffrentes
sources selon lapproche (scientifique ou non-scientifique) et le niveau de maturit de
lorganisation.
Pascal et de Fermat, au 17me sicle, associaient au risque son esprance mathmatique,
en additionnant chacun des dommages possibles dun alapondr par la probabilit
quils se matrialise. Ainsi, dans leurs prises de dcision, les individus taient censs ne
tenir compte que de la moyenne des dommages dun ala et prfrer ceux donnant une
esprance de gain suprieure.
Cependant, ce critre desprance de rsultat ne met pas en vidence le fait quun
individu, indpendamment de la moyenne dun ala, peut ne pas aimer le risque qui y est
associ.

117

Chapitre 5

Ce constat a donn naissance au 18me sicle la thorie de lutilit espre (aussi appel
utilit espre ou expected utility theory) dveloppe par Bernoulli. Suivant cette thorie,
chaque rsultat nest plus utilis comme tel mais est transform en utilit par une fonction.
Cette fonction dutilit sera concave si on veut reprsenter les prfrences dun individu
manifestant une aversion au risque, linaire si on veut reprsenter celles dun individu
neutre vis--vis du risque et convexe si on veut reprsenter celles dun individu
manifestant une propension au risque.

Selon la thorie de lutilit espre, le risque est un critre de dcision dans un univers
incertain qui reflte les dsirs par rapport plusieurs options.
Lutilit espre sapplique une prise de dcision dans diffrentes situations:
Dans un univers risqu, lorsque lindividu sait quels vnements peuvent se raliser dans
lefutur et connat la distribution de probabilit doccurrence de chacun deux, il peut alors
calculer une esprance mathmatique, somme des rsultats possibles pondrschacun par
leur probabilit.
Dans un univers incertain quand lindividu sait quels vnements peuvent se raliser dans
lefutur mais pas leur probabilit doccurrence, il laborera des probabilits subjectives
quil estime dans un intervalle de probabilits en rfrence dautres vnements.

118

Introduction la gestion de risque informationnel

Dans un univers indtermin, quand lindividu ignore les vnements possibles et leur
probabilit.
Dans le cadre de situations risque, lindividu qui suitun processus de dcision rationnel,
va assigner une valeur dutilit chaque niveau de richesse possible. Par exemple, dans le
domaine de la sant, on peut comparer ces niveaux de richesse aux diffrents tats de
sant possibles.
Lutilit totale est la somme du produit de la dsirabilit et de la probabilit de chaque
rsultat :
!

Utilit = " Pb(i) x #(consquence i)


n : nombre de consquences potentielles
Pb(i) : probabilit doccurrence de la consquence i
#(consquence i) : dsirabilit de la consquence i

Dans cette formalisation mathmatique du problme de dcision, le risque est introduit


artificiellement sous la forme dun vnement alatoire (loterie, jeu), dont les rsultats
possibles et les probabilits sont connus. Lindividu (aussi appel lagent), comme joueur
rationnel, confront diffrentes loteries, cherche la maximisation dune utilit espre
(#)en multipliant la probabilit doccurrence de la consquence (i) de lala par le rsultat.
Lutilit totale de chacun des ensembles de rsultats dune action est la reprsentation
numrique de lattitude individuelle globale pour une action donne. Les choix
individuels par rapport plusieurs alternatives peuvent tre prdits partir de lattitude

119

Chapitre 5

dune personne vis vis du risque, qui dcrit la forme de la fonction dutilit. Elle lui
permet de calculer et dordonner de faon cohrente, selon des rgles de combinaison
spcifiques, lutilit dechaque option. Lalternative offrant la plus grande utilit est
gnralement considre comme la meilleure option. Les prfrences refltent un lien
entre lutilit espre et les caractristiques de lvnement.La thorie de lutilit mesure
ainsi le risque partir des prfrences de lindividu,lapptenceau risque.
La formalisation dun indicateur local daversion au risque prsuppose lexistence
dindividus averses au risque et dautres ayant une propension au risque. Laversion au
risque ou la propension prendre des risques se rfre lincurvation de la fonction
dutilit (concave, linaire ou convexe). Lattitude envers le risque est un continuum de
laversion au risque la recherche de risque et est gnralement considr comme un trait
de personnalit. Le risque dpend donc de laversion pour le risque, correspondant des
proprits particulires des prfrences de lindividu.
La thorie de lutilit espre sappuie sur une rationalit probabiliste de lindividu. Elle
considre que le sujet rationnel et conscient prend ses dcisions de manire maximiser
une fonction dutilit sous contraintes (temps/budget), en mobilisant linformation
(connaissance des probabilits des tats possibles). Le problme de dcision se structure
autour de lidentification du risque, des alternatives possibles et de leurs consquences et
aussi de lvaluation des diffrentes consquences de chaque action (en termes de
dsirabilitet de probabilit). Le critre de dcision est celui de la maximisation de lutilit
espre.La thorie de lUtilit espre fournit un cadre pour comprendre, dans une

120

Introduction la gestion de risque informationnel

perspective scientifique, le choix rationnel individuel face des situations risques.


Lindividu est suppos fonder sa prise de dcision aprs valuation dun risque quantitatif
global selon une rationalit utilitariste et probabiliste individuelle. Cette thorie normative
dcrit comment les gens devraient procder quand ils prennent leurs dcisions. Il y a
videmment des carts en la thorie et le comportement rel dindividus normaux, qui ne
sont pas entirement rationnels, du moins en apparence.
Certaines hypothses de ces modles conomiques ont t rfuts empiriquement. De
nombreux chercheurs en psychologie et sociologie ont mis en vidence lexistence de
paradoxes. Dans les conditions exprimentales de laboratoire, les sujets ne prennent pas
leurs dcisions conformment la thorie et nagissent pas toujours dans un intrt
personnel. Ces travaux ont montr les limites du modle standard en conomie et ont
contribu modrer lhypothse selon laquelle lindividu choisit entre plusieurs
alternatives en maximisant lutilit espre.
Ainsi, dans le contexte de lanalyse de risque informationnel, lutilit espre influera sur
limpact en laugmentant, dans le cas dune organisation dmontrant une aversion au
risque et le diminuera dans le cas dune organisation dmontrant une propension au
risque. Le rsultat sera un impact pondr an fonction delapptenceau risque de
lorganisation.
La prsence du risque engendre un besoin de se protger contre celui-ci. Cette protection
nimplique pas ncessairement la prsence dun tierspour se prmunir contre dventuels
dommages. Lorganisation peut accepter le risque, si elle a des rserves budgtaires

121

Chapitre 5

suffisantes, ou elle peut considrer des stratgies dvitement ou de mitigation du risque.


Le transfert du risque vers un tiers sera par contre indispensable en cas de dsir de
transfert du risque ou pour certaines activits de mitigation.Nous analysons dans cette
section des instruments permettant de aux organisation de se prmunir contre les risques
en les transfrant vers des tiers.

Externalisation
Lexternalisation, du point de vue conomique, est un accord pass entre une organisation
et un tiers pour la prise en charge, lexploitation, la gestion et lamlioration dune activit:
de fonctions entires de lorganisation (ex.: informatique, nettoyage, ressources humaines,
paie, facturation, comptabilit, marketing et communication);
dinfrastructures (ex.: systme dinformations, systmes de scurit de linformation,
rseaux ou tlcommunications);
de processus oprationnels (ex.: production industrielle, exploitation dun rseau de
tlcommunications, logistique, transports).
Ce processus permet lorganisation qui externalise de se recentrer sur ses domaines
dexpertise, ses spcialits, et sa valeur ajoute.Lexternalisation repose en termes
juridiques sur un contrat dure fixe portant sur le transfert de toute ou partie de la
fonction, du service et/ou de linfrastructure ou du processus oprationnel de

122

Introduction la gestion de risque informationnel

lorganisation entre lorganisation propritaire et un oprateur. Les clauses de retour ou de


rversibilit sont la clef dune externalisation russie.Ce contrat peut inclure un transfert
dactifs et de personnel. Le client se concentre sur la dfinition des rsultats atteindre,
laissant au prestataire la responsabilit de les livrer.

Assurance
Un contrat dassurance couvre, moyennant le versement pralable dune prime, un
individu contre les dommages financiers rsultant dun ala. Ce contrat permet
lindividu assur de partager le risque encouru avec lassureur.La modlisation des
comportements de demande dassurance montre que si la prime dassurance demande
par lassureur est gale la valeur attendue de la perte, un individu qui dmontre une
aversion au risque optera pour une couverture totale du risque.Un individu qui a une
aversion au risque prfrera un contrat qui, prime dassurance gale, proposera
lindividu le versement dune franchise en cas de sinistre plutt que le paiement dune coassurance par laquelle lindividu prend sa charge une proportion prdfinie de la perte.
Une analyse plus gnrale de la demande dassurance considreles biens remplaables
comme un cas particulier des bien considrs comme irremplaables. Leur analyse
confirme quun individu manifestant de laversion au risque sassurera totalement contre
la perte dun bien remplaable si la prime dassurance est actuarielle. Par contre, si le bien
pour lequel on sassure est considr comme irremplaable, lindividu ne se couvrira pas
totalement.

123

Chapitre 5

Exercices raliser en classe


1) On propose un individu lachat dun billet de loterie dont les probabilits de gains
de10$ et 0$ sont les mmes. La fonction dutilit lmentaire de lagent est #(w0,w1) = w0
+ w1, o w0 et w1 sont ses revenus avant et aprs le tirage de la loterie. Les revenus
initiaux de lagent sont w0 = 10 et w1 = 4. Sur la base de cet nonc, rpondez aux
questions et ensuite discutez de vos rponses en classe.
En supposant que le prixpde la loterie est pay avant le tirage de celle-ci, quel est le prix
maximum que lindividu est prt payer pour son billet ?
Si on suppose que le prix est pay aprs le tirage de la loterie, quel sera le nouveau prix
maximumpque lindividu sera prt payer pour son billet.

124

Introduction la gestion de risque informationnel

2) Deux individus sont arrts par des policiers qui les souponnent davoir commis un
vol main arme dune banque. Lors du vol, un employ de la banque fut bless par balle.
Ils sont emprisonns dans des cellules spares. La police fait chacun des deux le mme
march:
On te propose de dnoncer ton complice. Si tu le dnonces et quil te dnonce aussi, vous
aurez une rduction de la peine dun an tous les deux. Si tu le dnonces et que ton
complice te couvre, tu auras une rduction de ta peine de 5 ans, mais ton complice tirera le
maximum de 10 ans. Mais si vous vous couvrez mutuellement, vous aurez tous les deux
une rduction de peine de 3 ans.
Imaginez-vous que vous tes lun des individus arrts, que devrez vous faire: couvrir
votre complice (donc cooprer avec lui) ou le trahir ?
Pourquoi ? (justifiez votre rponse avec un arbre de dcision)

125

Chapitre 5

3) Divisez la classe en deux groupes ( groupe 1 et groupe 2). Chacun des groupes doit
effectuer un choix entre deux alternatives, sans connaitre les alternatives offertes lautre
groupe. Les choix sont bas sur lnonc suivant:
Imaginez que le Qubec se prpare contre la dissmination dun virus asiatique
jusqualors inconnu, dont on sattend ce quil fasse 600 morts. Deux programmes
alternatifs contre ce virus sont proposs.
Le groupe 1 doitchoisir entre le programme A ou le programme B :
si le programme A est adopt, 200 personnes survivront
si le programme B est adopt, il y a une probabilit de 1/3 que les 600individus seront
sauvs, et 2/3 quaucun individu ne sera sauv.
Le groupe 2 doit choisir entre le programme C ou leprogramme D :
si le programme C est adopt, 400 personnes mourront
si le programme D est adopt, il y a une probabilit de 1/3 quaucun individune mourra,
et 2/3 que tous les individus mourront.
Discutez et justifiez vos rponses

126

Introduction la gestion de risque informationnel

Questions de rvision
1) Compltez avec les termes qui convient le mieux :
!

A. ala

B. dommage

C. lment risque

D. menace

E. risque

F. scnario de risque

G.squence dvnements

H. vulnrabilit

I: impact

J: consquences

K:objectifs organisationnels

L:inattendus

M:externalisation

127

Chapitre 5

N: assurance

1.!

Le mot __________ dsigne les __________ relles, envisages ou peruesdun

__________, dun vnement, dun processus ou dune activit rendu possible par
lexploitation dune __________.
2.!

En gestion, __________ concerne les effets sur lorganisation, notamment sur les

niveaux de services, les concurrents, le march et les clients.


3.!

On distingue les effets ou __________ attendus et les effets __________ dun

vnement sur un projet, un actif informationnel ou sur lenvironnement, et qui peut


influer sur latteinte des __________.
4.!

__________, du point de vue conomique, est un accord pass entre une

organisation et un tiers pour la prise en charge, lexploitation, la gestion et lamlioration


dune activit.
5.!

__________ repose en termes juridiques sur un contrat dure fixe portant sur le

transfert de toute ou partie de la fonction, du service et/ou de linfrastructure ou du


processus oprationnel de lorganisation entre lorganisation propritaire et un oprateur.
6.!

Un contrat __________ couvre, moyennant le versement pralable dune prime, un

individu contre les dommages financiers rsultant dun ala.


7.!

La modlisation des comportements de demande __________ montre que si la

prime dassurance demande par lassureur est gale la valeur attendue de la perte, un

128

Introduction la gestion de risque informationnel

individu qui dmontre une __________ au risque optera pour une couverture totale du
risque.
2)Compltez les phrases avec les termes qui convient le mieux :
!

A. aversion

B. concave

C. convexe

D. linaire

E. neutre

F. propension

G. risque

H. scnario de risque

I:fonction dutilit

1.!

La fonction dutilit sera __________ si on veut reprsenter les prfrences dun

individu manifestant une aversion au __________.


2.!

La fonction dutilit sera __________si on veut reprsenter celles dun individu

neutre vis--vis du __________.

129

Chapitre 5

3.!

La fonction dutilit sera __________si on veut reprsenter celles dun individu

manifestant une propension au __________.


4.!

La __________ sera concave si on veut reprsenter les prfrences dun individu

manifestant une __________au risque.


5.!

La __________sera linaire si on veut reprsenter celles dun individu

__________vis--vis du risque.
6.!

La __________ sera convexe si on veut reprsenter celles dun individu manifestant

une __________au risque.

130

Introduction la gestion de risque informationnel

Bibliographie
Philippe BERNARD, P. (2007)Exercices sur la dcision dans lincertain,Ingnierie
Economique et Financire Paris-Dauphine,Octobre 2007http://www.master272.com/
micro3/exlic2-07.pdf
Kahneman, D., Tversky A. (1979)Prospect theory : an analysis of decision under risk,
Econometrica, 47, 263291

131

Introduction la gestion de risque informationnel

Chapitre 6: La norme ISO 27005

LISO, principale organisation internationale de normalisation internationale, a labor


plus de 18500 normes internationales sur des sujets trs varis dans de nombreux
domaines. Environs 1100 nouvelles normes ISO sont publies chaque anne, ce qui en
fait une des organisations de normalisation les plus actives dans le monde. Tout lventail
des domaines techniques figure dans la liste de normes internationales de lISO qui est
disponible en ligne et regroupe le catalogue des normes publies par lISO ainsi que le
programme technique de lISO pour les projets de normes:http://www.iso.org.
Les normes de lISO sont crs selon une approche par consensus. Il est important de
raliser que le processus dlaboration de normes par consensus, ralis avec la
participation de bnvoles, a ses limites. Bien que la recherche du consensus encourage la
dmocratisation du processus, elle cause des effets pervers. Dune certaine faon, une
norme par consensus ne peut tre que le dnominateur commun lensemble des
participants son laboration, cest--dire le meilleurs compromis sur lequel tout les pays
participants sont en mesure de sentendre sur le sujet trait. Pis encore, la qualit et la
disponibilit des intervenants qui participent llaboration dune norme particulire ont

Introduction la gestion de risque informationnel

Chapitre 6

un lien direct avec la qualit du rsultat. De mme, il est possible que des groupes intrts
particuliers ou des intrts financiers viennent influencer le processus, en particulier
quand il y a des enjeux de vente de produits ou de services la clef, comme cest le cas
avec la norme prsent dans ce chapitre, la norme ISO 27005.
Dans le cas de normes dans le secteur des TIC, lISO travaille en troite collaboration avec
la CEI afin de publier des normes ISO/CEI. La Commission lectrotechnique
internationale (CEI) ou International Electrotechnical Commission (IEC) en anglais, est
l'organisation internationale de normalisation charge des domaines de l'lectricit, de
l'lectronique et des techniques connexes (voir http://www.iec.ch/ ).
La norme ISO/CEI 27005:2008 a t publi en 2008 et rvise en 2011. Elle fut cr par le
JTC1/SC27, le sous-comit 27 du comit technique conjoint numro 1 de lISO et de la CEI.
Le SC27,Techniques de scurit des technologies de linformation, est structur en cinq (5)
groupes de travail ouWorking group(WG). Le WG1 du JTC1/SC27 est le groupe
responsable de llaboration de la norme ISO 27005 lintrieur du SC27.
JTC 1/SC 27/WG 1!

Systmes de management de la scurit de linformation

JTC 1/SC 27/WG 2!

Cryptographie et mcanismes de scurit

JTC 1/SC 27/WG 3!

Critres dvaluation de la scurit

JTC 1/SC 27/WG 4!

Contrles et services de scurit

JTC 1/SC 27/WG 5!

Gestion didentit et technologies de domaine priv

LISO 27005, qui na pas de mcanismes de certification, fournit des lignes directrices
relatives la gestion des risques informationnels. Elle vient en appui aux concepts

134

Introduction la gestion de risque informationnel

gnraux noncs dans lISO 27001 et aux autres normes de la famille ISO 27000. Elle est
conue pour aider la mise en place de la scurit de linformation base sur une
approche formelle de gestion des risques. Il est important de connatre les concepts, les
modles, les processus et les terminologies dcrites dans lISO 27001 et lISO 27002 afin de
bien comprendre lISO 27005. LISO 27005 est applicable tous types dorganisations, les
entreprises commerciales, les agences gouvernementales, les organisations but non
lucratif, qui ont lintention de grer des risques susceptibles de compromettre la scurit
des informations de lorganisation. Le schma ci bas prsente les principales tapes de la
norme.

Il est important de bien comprendre que la norme ISO 27005 nest pas une mthodologie
de gestion de risque. Elle donne un cadre normatif qui pourra tre utilis pour
llaboration ou la validation de mthodologies de gestion de risque informationnel,
comme cest le cas avec lapproche prsente dans ce livre, qui se conforme ISO 27005. La
norme ISO 27005 a pour but daider mettre en uvre un systme de management (ou de
gestion) de la scurit de linformation (SMSI) selon la norme ISO 27001, qui est fonde sur
une approche de gestion du risque. Pour comprendre cette norme internationale, il est
important de connatre les concepts, modles, processus et termes exposs dans le systme
de gestion ISO 27001 et damns le cadre normatif ISO 27002,Code de bonne pratique pour
la gestion de la scurit de linformation, qui dcrit des mesures de scurit de
linformation.Toutefois, lISO 27005 ne donne aucune mthodologie spcifique pour la

135

Chapitre 6

gestion du risque en scurit de linformation. Il appartient lorganisation de dfinir son


approche, selon par exemple le domaine dapplication du SMSI, en fonction du contexte
de gestion du risque ou du secteur dactivit.

Les domaines de la norme


La norme ISO 27005 dtaille le processus de gestion de risque dans les chapitres 6 12. Elle
est complte de 6 annexes, de A F, qui fournissent des informations additionnelles
ncessaires la mise en uvre de la mthode.
Chapitre 6: le processus de gestion de risque est expliqu dans son ensemble
Chapitre 7: tablir le contexte de lanalyse des risques
Chapitre 8: dfinition de lapprciation des risques
Chapitre 9: quatre choix du traitement du risque sont proposs
Chapitre 10: acceptation du risque
Chapitre 11: communication du risque
Chapitre 12: surveillance et rexamen des risques
Les principaux lments des chapitres 7 et 8 sont prsents dans les sections suivantes.
Le point de dpart de la gestion de risque informationnel dans lorganisation selon ISO
27005 est ltablissement du contexte de lanalyse de risque. Pour cela, lanalyste de risque
fait appel toutes les sources dinformations pertinentes disponibles sur lorganisation
afin de dfinir:
les critres de base de la gestion de risque informationnel,

136

Introduction la gestion de risque informationnel

la porte et les limites de lanalyseet


la structure approprie de gestion de risque informationnel.
Le guide de mise en oeuvre de la norme mentionne quilest essentiel de dterminer
lobjectif principal de la gestion de risque informationnel parce que cela affecte lensemble
du processus de gestion de risque.Cet objectif principal peut tre:
De soutenir un systme de gestion (ou management dans la traduction Franaise
du terme anglais) de la scurit de linformation, le SMSI.
La conformit juridique et une dmonstration de diligence raisonnable.
La mise en oeuvre dun plan de continuit des affaires.
La mise en oeuvre dun plan de rponse aux incidents
Lidentification dexigences de scurit de linformation pour un actif
informationnel particulier.

137

Chapitre 6

Les critres de base dISO 27005


Selon la porte et les objectifs de la gestion de risque des approches diffrentes peuvent
tre mises en oeuvre.Lapproche pourrait galement tre diffrente pour chaque itration
dans une stratgie de gestion de risque continue que ce soit sur une base trimestrielle,
annuelle ou autre. Cette approche sera choisie ou labore en relation des critres
dvaluation, dimpact ou dacceptation des risques.En outre, lorganisation doit valuer
si les ressources ncessaires sont disponibles pour:
Effectuer une valuation des risques et tablir un plan de traitement des risques.
Dfinir et mettre en uvre des politiques, procdures et contrles de gestion
Surveiller les processus de gestion de risque informationnel.
La norme ISO 27005 suggre de se rfrer larticle 5.2.1 dela norme ISO 27001 concernant
les ressources ncessaires pour la mise en uvre et le fonctionnement dun SMSI. Cet
article de la norme ISO 27001 fourni peu de dtails additionnels et donne plutt une liste
plus exhaustive des ressources ncessaires.
Ensuite, des critres dvaluation doivent tre mis au point pour valuer le risque
informationnel de lorganisation en tenant compte des points suivants:
La valeur stratgique de linformation.
La criticit des actifs informationnels en cause.
Les obligations juridiques, rglementaires et contractuelles.
Limportance de la disponibilit, la confidentialit et lintgrit.

138

Introduction la gestion de risque informationnel

Les attentes des parties prenantes, les atteintes la rputation et les impacts
potentiels sur lachalandage.
En outre, les critres dvaluation du risque peuvent tre utilis pour spcifier les
priorits de traitement des risques.Par la suite, des critres dimpact devrait tre
dvelopps et prciss en termes dimportance des dommages, des cots ou des
pertes occasionns par un ala compte tenu des informations suivantes:
La catgorisation de lactif informationnel affect.
Les atteintes la scurit des informations (par exemple la perte de la
confidentialit).
La perte de valeur commerciale et financire.
La perturbation des plans et lajout de dlais.
Latteinte la rputation.
Une violations des exigences lgales, rglementaires ou contractuelles.

139

Chapitre 6

Les critres dacceptation des risques dISO 27005


Selon ISO 27005, des critres prcis dacceptation des risques devrait tre labor. Les
critres dacceptation des risques dpendent souvent des politiques de lorganisation, ses
buts, ses objectifs et des intrts des parties prenantes.Lorganisation doit dfinir ses
propres barmes pour les niveaux dacceptation des risques.Les lments suivants
doivent tre pris en compte dans llaboration des critres dacceptation des risques:
Ils peuvent inclure des seuils multiples, avec un niveau cible souhait et des rgles pour
les cadres suprieurs qui identifient dans quelles circonstances ils peuvent accepter des
risques suprieurs.
Ils peuvent tre exprims comme le rapport entre lutilit espre et le risque valu.
Diffrents critres dacceptation peuvent sappliquer diffrentes catgories de risques.
Par exemple, les risques qui pourraient rsulter du non-respect des rglements ou de lois
peuvent tre vits, alors que lacceptation des risques levs peuvent tre accepts pour
rencontrer une exigence contractuelle.
Ils peuvent inclure des exigences pour un traitement supplmentaire Par exemple, un
risque peut tre accepte que sil y a approbation et engagement de prendre des mesures
pour le rduire un niveau acceptable dans un dlai dfini.
Les critres dacceptation des risques peuvent varier en fonction de la dure du risque. Par
exemple, le risque peut tre associe une activit temporaire ou court terme.

140

Introduction la gestion de risque informationnel

Les critres dacceptation des risques devraient tenir compte tenir des lments suivants:
Les besoins daffaires.
Les aspects juridiques et rglementaires.
Les modes de production.
Les technologie utilises.
Les contraintes financires.
Les facteurs sociaux et humains.
Les critres dacceptation des risques correspondent des critres pour accepter les risques
et identifier le niveau de risque acceptable, tel que spcifis larticle 4.2.1 dISO 27001 et
lannexe A de la norme ISO 27005.
Le champ dapplication et les limites organisationnelles des activits de gestion de risque
Lorganisation doit dfinir le champ daction et les limites de la gestion de risque
informationnel. Le champ daction du processus de gestion de risque informationnel doit
tre dfini afin dassurer que tous les actifs informationnels soient pris en compte dans
lvaluation des risques.En outre, des seuils de tolrance et des limites doivent tre
clairement identifie pour rpondre aux risques suprieurs ces limites.
Des information sur lorganisation doit tre recueillies afin de dterminer lenvironnement
dans laquelle elle opre et le contexte organisationnel du processus de gestion de risque
informationnel. Lors de la dfinition du champs daction et des limites, lorganisation
devrait considrer les informations suivantes:

141

Chapitre 6

Les objectifs daffaires, les stratgies et les politiques


Les processus daffaires
La structure organisationnelle
Les exigences lgales, rglementaires et contractuelles applicables
La politique de scurit de linformation
Lapproche globale de gestion de risque
Les actifs informationnels
Les siteset les contraintes gographiques caractristiques de lorganisation
Les attentes des parties prenantes
Lenvironnement socio-culturel
Les change dinformations et de donnes
En outre, lorganisation doit fournir une justification de ce qui sera inclus et exclus du
primtre dapplication de la gestion de risque informationnel. La porte de gestion des
risques peut tre une application informatique, linfrastructure informatique, un
processus, ou une partie dune organisation.La porte et les limites de la gestion des
risques scurit de linformation est lie la porte et les limites du SMSI, tel que dfini
larticle 4.2.1 de la norme ISO 27001.De plus amples informations sont fournies lannexe
A dela norme ISO 27005.

Lorganisation de gestion de risque informationnel


Lallocation des responsabilits pour le processus de gestion de risque informationnel doit
tre mis en place et maintenu dans la structure organisationnelle de lorganisation, cest ce

142

Introduction la gestion de risque informationnel

quISO 27005 dfini comme lorganisation de la gestion de risque informationnel.Les


principaux rles et responsabilits de lorganisation de gestion de risque informationnel
dISO 27005 sont:
Le dveloppement de processus de gestion de risque informationnels adapt
lorganisation.
Lidentification et analyse des parties prenantes.
La dfinition des rles et responsabilits de toutes les parties la fois internes et
externes lorganisation.
La mise en place des relations ncessaires entre lorganisation et les parties
prenantes, ainsi que les liensavec les autres fonctions de gestion de risque (par
exemple la gestion du risque oprationnel ou financier).
Les liens avec les autres projets pertinents ou activits de lorganisation.
La dfinition des processus dcisionnels.
La spcification des registres requis.
Cette organisation de gestion de risque informationnel doit tre approuv par les
gestionnaires comptents de lorganisation. Larticle 5.2.1 de la norme ISO 27001 exige de
la dtermination et la fourniture des ressources ncessaires pour tablir, mettre en uvre,
exploiter, surveiller, rviser, maintenir et amliorer un SMSI.La mise en oeuvre dune
organisation de gestion de risque informationnel peut tre considre comme lune des
lments requis pour la conformit la norme ISO 27001.

143

Chapitre 6

Lvaluation du risque informationnel selon la norme ISO 27005 dbute avec les critres de
base, le champs dapplication, les limites et lorganisation du processus de scurit de
linformation de gestion des risques mis en place, tels que prsents la section
prcdente. partir de ces intrants, les risques doivent tre identifis, quantifis ou
dtermins qualitativement et ensuite prioriss par rapport aux critres dvaluation des
risques et aux objectifs organisationnels.
La mise en oeuvre de lvaluation du risque informationnel doit prendre en considration
la dfinition du risque de la norme ISO 27005:
Un risque est une combinaison des consquences qui dcouleraient de la survenance dun
vnement indsirable et la probabilit de la survenance de lvnement.
Lvaluation des risques quantifie ou dtermine qualitativement le risque et permet aux
gestionnaires de hirarchiser les risques selon leur gravit, relle ou perue, ou selon
dautres critres. Outre lvaluation du risque comme tel, lvaluation des risques
comprend lanalyse des risques qui demande didentifier et destimer les risques. Ces
activits correspondent aux tapes didentification (I) et de priorisation (p) du processus
IPM.

Lvaluation des risques:


identifie et dtermine la valeur des actifs informationnels,

144

Introduction la gestion de risque informationnel

identifie les menaces et les vulnrabilits applicables qui existent ou pourrait


exister,
identifie les contrles existants et leur effet sur le risque identifi,
dtermine les consquences potentielles et, finalement,
priorise les risques drivs et les classe en relation aux critres dvaluation.
Lvaluation des risques est souvent ralise en plusieurs itrations.Tout dabord, une
valuation de haut niveau est effectue pour identifier les risques potentiellement levs
qui justifient une valuation plus pousse.La prochaine itration peut permettre lexamen
approfondi des risques potentiellement levs rvls dans litration initiale.Lorsque les
informations sont insuffisantes pour valuer le risque, des analyses plus dtailles sont
menes sur des parties limits ou en utilisant une approche diffrente. Il appartient
lorganisation de choisir sa propre approche dvaluation des risques base sur les objectifs
dvaluation des risques. Le rsultat souhait est une liste de risques valus et prioriss
selon les critres dtermins.
Des lments additionnelssur les approches dvaluation de risque informationnel
peuvent tre trouvs dans lannexe E de la norme ISO 27005.
Lidentification des risques consiste dterminer ce qui pourrait arriver provoquer une
perte potentielle, et mieux comprendre comment, o et pourquoi la perte qui pourrait se
produire.Les tapes dcrites dans les paragraphes suivants devraient permettre de
recueillir des donnes ncessaires pour lactivit destimation du risque.

145

Chapitre 6

Lidentification des actifs informationnels


Les actifs informationnels, leur propritaires et leur valeur doivent tre identifis. Pour
lidentification des actifs, il convient de garder lesprit quun systme dinformation se
compose de plus que de matriel et de logiciel. Lidentification des actifs doit tre effectue
un niveau appropri de dtail qui fournit suffisamment dinformations pour lvaluation
des risques.Le niveau de dtail utilis pour lidentification des actifs va influencer la
valeur globale de linformation recueillie au cours de lvaluation des risques.Le niveau
sera affine lors ditrations futures de lvaluation des risques.
Un propritaire dactif informationnel, devrait tre dtermin pour chaque actif, afin
dassigner la responsabilit et la reddition de comptes de lactif.Le propritaire de lactif
peut ne possder les droits de proprit de lactif, mais il a la responsabilit de sa
production, son dveloppement, sa maintenance, son utilisation ou sa scurit.Le
propritaire dactif informationnel, est souvent la personne la plus approprie pour
dterminer la valeur de lactif pour lorganisation.
La limite critique est le primtre des actifs informationnels de lorganisation gr par le
processus de gestion de risque informationnel.
Un inventaire du patrimoine informationnel, partiel ou complet selon les limites de
lvaluation, compose dune liste dactifs physique (serveurs et quipements rseau par
exemple), dactifs immatriels (logiciels et donnes) et une liste des processus daffaires
lis aux actifs et de leur pertinence est le principal rsultat du processus didentification

146

Introduction la gestion de risque informationnel

des actifs.Plus dinformations sur lidentification et lvaluation des actifs lis la scurit
des informations peuvent tre trouves dans lannexe B dISO 27005.
Lidentification des menaces
Les menaces et leurs sources devraient tre identifies, tel que mentionn dans la norme
ISO 27001. Le rsultat de lidentification des menaces est une liste des menaces catgorise
ainsi que leur source. Lesinformation sur les menaces proviennent de plusieurs sources,
tels que les incidents passs, les propritaires dactifs, les utilisateurs et dautres sources, y
compris les catalogues des menaces externes.
Une menace a le potentiel de nuire aux actifs informationnels tels que des informations,
des processus et des systmes et aux organisations.Les menaces peuvent tre dorigine
naturelle ou humaine, et pourrait tre accidentelle ou dlibre. La source des menace
doivent tre identifis.Une menace peut venir de lintrieur ou lextrieur de
lorganisation. Les menaces doivent tre identifis de faon gnrique et par type (par
exemple des actions non autorises, des dommages physiques, des dfaillances
techniques), puis le cas chant les menaces individuelles au sein de la classe gnrique
identifi.Cela signifie quaucune menace est nglig, y compris celles qui sont
inattendues.Certaines de ces menaces peuvent affecter plus dun actif
informationnel.Dans ce cas, elles peuvent causer des impacts diffrents selon les actifs
touchs.

147

Chapitre 6

Les informations ncessaires lidentification des menaces et lestimation de leur


probabilit doccurrence peuvent tre obtenus auprs des propritaires dactifs
informationnels, des utilisateurs, du personnel des ressources humaines, de gestion des
installations et des spcialistes en scurit de linformation, dexperts en scurit physique,
du service juridique et dautres organisations y compris les corps policiers, les autorits
mtorologiques, les compagnies dassurance et les autorits gouvernementales.Les
aspects environnementaux et socioculturels doivent galement tre pris en considration.
Lexprience des employs dincidents et dvaluations des menace antrieures doivent
tre considres dans lvaluation.Il pourrait savrer intressant de consulter les
catalogues ou registre de menaces, qui peuvent tre spcifique une organisation, une
entreprise ou une industrie, pour crer une liste de menaces gnriques, le cas
chant.Des catalogues des menaces et des statistiques sont produits par des organismes
de lindustrie, des gouvernements, des compagnies dassurance et de dautres sources.
Lors de lutilisation des catalogues, des menaces ou des rsultats de lvaluation des
menaces antrieures, il faut tre conscient quil y a une volution continuelle des menaces
pertinentes, surtout si lenvironnement daffaires ou lenvironnement des systmes
dinformation change.Plus dinformations sur les types de menaces peuvent tre trouves
dans lannexe C de la norme ISO 27005.

148

Introduction la gestion de risque informationnel

Lidentification des contrles existants


L'identification des contrles existants a pour point de dpart la documentation des
contrles et de traitement des risques. Le guide dapplication prcise que lidentification
des contrles devraient tre faite pour viter des travaux et des cots inutiles, entre autres
par la duplication des contrles.En outre, tout en identifiant les contrles existants, une
vrification doit tre effectue pour sassurer que les contrles fonctionnent correctement.
Lutilisation des rapports daudit existants devrait rduire le temps consacr cette
tche.Si un contrle ne fonctionne pas tel que prvu, cela peut entraner des vulnrabilits
susceptibles dtre exploit par une menace.
Lorganisation devrait envisager la possibilit quun contrle ou une stratgie de
traitement de risque choue. Dans ce cas, des contrles complmentaires sont ncessaires
pour efficacement faire face au risque identifi.Dans un SMSI, cela est pris en charge par
la mesure de lefficacit du contrle. Une faon den estimer lefficacit consiste voir:
Comment le contrle rduit la probabilit de la menace;
Limpact du contrle sur la facilit dexploitation de la vulnrabilit;
Leffet du contrle sur les dommages causs par lala.
Un examens des rapports daudit fournit galement des informations sur lefficacit des
contrles existants. Les contrles planifis doivent tre considrs de la mme manire que
ceux dj en place.

149

Chapitre 6

Un contrle existant ou planifie pourrait tre identifi comme tant inefficace, insuffisant
ou injustifi.Sil est injustifi ou insuffisant, le contrle doit tre vrifie pour dterminer
sil doit tre enlev, remplac par un contrle plus appropri ou sil doit rester en place,
par exemple, pour des raisons de cot. Pour lidentification des contrles existants ou
prvus, les activits suivantes peuvent tre utiles:
Lexamen des informations sur les contrles (par exemple, des plans de mise en uvre
risque de traitement).Si les processus de gestion de la scurit des informations sont bien
documents tous les contrles existants ou prvus et ltat de leur mise en uvre devrait
tre disponible;
La vrification avec les responsables de la scurit de linformation (par exemple chef de la
scurit de linformation, gestionnaire) et les utilisateurs quant aux contrles qui sont
vraiment mis en uvre;
Procder un examen sur place des contrles physiques, en comparant celles mises en
uvre avec les contrles qui devraient tre en place, et en vrifiant celles mises en uvre
quant savoir si elles fonctionnent correctement et efficacement, ou
Revoir les rsultats des audits internes
Le rsultat est une liste de tous les contrles existants et prvus, leur mise en uvre et tat.
Lidentification des vulnrabilits

150

Introduction la gestion de risque informationnel

partir de la liste de menaces catgorise, cr lors de ltape didentification des


menaces, de la liste des actifs informationnels et de celle des contrles existants, ltape
didentification des vulnrabilits cherche identifier les vulnrabilits qui peuvent tre
exploites par des menaces qui sont susceptibles de causer des dommages aux biens ou
lorganisation. Ceci est fait afin de produire une liste de vulnrabilits catgorise par
actifs, par menaces et par contrles et une liste des vulnrabilits qui nest pas associ
des menace identifis.
Le guide dapplication de la norme mentionne que les vulnrabilits peuvent tre
identifis dans:
Lorganisation
Les processus et les procdures
La gestion des routines
Le personnel
Lenvironnement physique
La configuration dun systme dinformation
Les dpendance lgard du matriel, logiciel ou matriel de communication sur
les parties externes
La prsence dune vulnrabilit ne signifie pas quil existe un risque informationnel
comme tel, il doit y avoir une menace pour lexploiter.Une vulnrabilit qui na pas de
menace correspondante ne requiers pas ncessairement la mise en uvre dun contrle. La
vulnrabilit devrait tre reconnue et surveille, en particulier pour savoir sil y a des
changements pour les changements.

151

Chapitre 6

Il est important de noter quun contrle en place de manire incorrecte, qui ne fonctionne
pas adquatement ou qui est utilis incorrectement pourrait tre lui-mme une
vulnrabilit.Un contrle peut tre efficace ou inefficace en fonction de lenvironnement
dans lequel elle opre.Inversement, une menace qui na pas une vulnrabilit
correspondante ne peut pas entraner un risque. Les vulnrabilits peuvent tre lis aux
proprits de lactif qui peut tre utilis dans un but autre que celui prvu lorsque lactif a
t acquis ou cr.Aussi, les vulnrabilits provenant de sources diffrentes doivent tre
envisages. Des exemples de vulnrabilits et des mthodes pour lvaluation des
vulnrabilits peuvent tre trouves dans lannexe D de la norme ISO 27005.

Lidentification des consquences


Lidentification des consquences est ralise partir de linventaire du patrimoine
informationnel (quipements, processus daffaires, etc.) des menaces et des vulnrabilits.
Cette tape a pour objectif didentifier les consquences, telles que les pertes de
confidentialit, dintgrit et de disponibilit, peuvent avoir sur les actifs informationnels
afin de produire une liste de scnarios dincidents et leurs consquences lies des actifs et
des processus daffaires. Une consquence peut tre une perte defficacit, des conditions
dexploitation dfavorables, la perte dopportunits daffaires, un atteinte la rputation,
des dommages ou tout rsultat dfavorable pour lorganisation.
Lors de cette activit lorganisation cherche identifier les impacts, les dommages ou les
consquences ngatives pour lorganisation qui pourrait rsulter dun incident, dcrit dans

152

Introduction la gestion de risque informationnel

un scnario dincident.Un scnario dincident est la description de lexploitation par une


menace dune vulnrabilit, ou dun ensemble de vulnrabilits, en relation un ou
plusieurs actifs informationnels lors dun incident de scurit de linformation tel que
dcrit au chapitre 13 de la norme ISO 27002.Les consquences des scnarios dincidents
doivent tre dtermins en tenant compte des critres dimpact dfinis au cours de
lidentification du contexte.Les consquences peuvent affecter un ou plusieurs actifs
informationnels ou une partie dun actif informationnel.Ainsi, la valeur ou lutilit dun
actifs informationnel peut tre affect par des pertes financires ou par des consquences
commerciales (pertes de rputation, perte de parts de march, etc.) si ces actifs sont
endommags ou compromis.Les consquences peuvent tre de nature temporaire ou
permanente, par exemple dans le cas de la destruction dun actif informationnel.La norme
ISO 27001 dcrit lapparition de scnarios dincidents comme des failles de scurit.
Sans sy limiter, les organisations devraient identifier les consquences oprationnelles des
scnarios dincidents suivants:
Les enqutes, le temps de rparation et le temps perdu
Les pertes dopportunits
Les atteintes la sant et la scurit
Le cot des comptences spcifiques pour rparer les dommages la rputation et
lachalandage.
Des dtails additionnels sur lvaluation des vulnrabilits techniques peuvent tre
trouves dans lannexe B.3 de la norme ISO 27005 qui porte sur lvaluation des
consquences.

153

Chapitre 6

Les mthodes de mesure du risque selon ISO 27005


La mthode de mesure du risque informationnel peut tre quantitative, qualitative ou une
combinaison de ces deux approches, selon les circonstances.Dans la pratique, lestimation
qualitative est souvent utilis en premier pour obtenir une indication gnrale du niveau
de risque et rvler les risques majeurs.Plus tard, il peut tre ncessaire de procder une
analyse de risque plus spcifique ou quantitative pour les risques majeurs. Selon la norme
ISO 27005, il est gnralement moins complexe et moins coteux de raliser des mesures
qualitative que des mesures quantitative.
La mthode danalyse devraient tre compatibles avec les critres dvaluation des risques
labores dans le cadre de ltablissement du contexte. Lanalyse des risques peut tre
ralise divers degrs de dtail, selon la criticit des actifs, ltendue des vulnrabilits
connues et les incidents antrieurs.

Lestimation qualitative du risque


La mesure qualitative utilise une chelle de qualification des attributs pour dcrire
lampleur des consquences potentielles (par exemple: faible, moyen et lev) et la
probabilit que ces consquences se produisent (par exemple: incertain, peu probable,
probable, trs probable, certain).Un avantage de la mesure qualitative est que les chelles
de mesure utilises sont comprises facilement par tous le personnel concern. Le principal
inconvnient est la subjectivit inhrente la mesure indirecte.

154

Introduction la gestion de risque informationnel

Les chelles qualitatives peuvent tre adaptes ou ajustes en fonction des circonstances.
Des descriptions diffrentes peuvent tre utilises pour diffrents risques.En particulier, la
mesure qualitative peut tre utilise dans les circonstances suivantes:
Pour lidentification initiale des risques qui ncessitent une analyse plus dtaille;
Lorsque ce genre danalyse est appropri pour la prise de dcision;
Lorsque les donnes ou les ressources sont insuffisantes pour une estimation
quantitative.
Lanalyse qualitative doit utiliser des informations factuelles et des donnes probante
lorsquelles sont disponibles.

Lestimation quantitative du risque


La mesure quantitative utilise une chelle avec des valeurs numriques plutt que les
chelles descriptives utilises dans lestimation qualitative. La mesure quantitative des
consquences et des probabilits peut tre ralise en utilisant des donnes provenant
dune varit de sources.La qualit de lanalyse dpend de la prcision des mtriques et la
validit des modles utiliss.Lestimation quantitative dans la plupart des cas utilise des
donnes dincidents historiques, qui peuvent tre lie directement aux objectifs de scurit
de linformation et aux proccupations de lorganisation.Un inconvnient est le manque
de donnes sur ces nouveaux risques ou des faiblesses de scurit de linformation.Un
inconvnient significatif de lapproche quantitative survient lorsque des donnes
probantes ne sont disponibles, crant ainsi une illusion de la valeur et lexactitude de

155

Chapitre 6

lvaluation des risques. La faon dont les consquences et la probabilit sont exprims et
les moyens par lesquels ils sont combins pour fournir un niveau de risque varie selon le
type de risque et de la finalit de lvaluation de risque.

Lvaluation des consquences


Lvaluation des consquences utilise les scnarios dincidents, lidentification des
menaces, des vulnrabilits, des actifs concerns, des consquences sur les actifs et les
processus daffaires, afin de produire une liste de consquences values dun scnario
dincident exprim lgard de lactif et les critres dimpact. Les consquences pour
lorganisation qui pourraient rsulter incidents de scurit rels ou probables doivent tre
valus en tenant compte des consquences dune violation de la scurit de linformation
tels que la perte de la confidentialit, lintgrit ou la disponibilit des actifs. Le guide
dapplication de la norme mentionne quaprs avoir identifi tous les actifs
informationnels dans le primtre de lanalyse de risque, les valeurs attribues ces actifs
devraient tre prises en compte lors de lvaluation des consquences.La perte pour
lorganisation rsultant des consquences dun incident peut tre exprim de faon
qualitative et quantitative. Dautres mthodes dattribution dune valeur montaire aux
consquences peut fournir davantage dinformations pour la prise de dcision.
Lvaluation des actifs informationnels dbute avec la catgorisation des actifs
informationnels en fonction de leur criticit et en termes de limportance relative des actifs

156

Introduction la gestion de risque informationnel

informationnels la ralisation des objectifs de lorganisation.Lvaluation est ensuite


dtermine en utilisant deux mesures:
La valeur de remplacement de lactif informationnel: le cot du nettoyage, le
remplacement et la rcupration de linformation (si possible), et
Les consquences commerciales de la perte ou de la compromission de lactif
informationnel, telles que la perte de clientle et les consquences lgales ou
rglementaires de la divulgation, la modification, la non-disponibilit et / ou la
destruction des renseignements et autres informations.
Cette valuation peut tre dtermine partir dune analyse dimpact sur les affaires
(Business Impact Analysis).La valeur, dtermine par la consquence pour les entreprises,
est gnralement beaucoup plus lev que le cot de remplacement simple, en fonction de
limportance de lactif pour lorganisation dans latteindre de ses objectifs daffaires.
Lvaluation des actifs est un facteur cl dans lvaluation dimpact dun scnario
dincident, parce que lincident peut affecter plus dun atout (par exemple les actifs
charge), ou seulement une partie dun actif.Diffrentes menaces et les vulnrabilits aura
des impacts diffrents sur lactif, telles que la perte de confidentialit, lintgrit ou la
disponibilit. Lvaluation des consquences est donc lie la valorisation des actifs sur la
base de lanalyse dimpact daffaires.
Les consquences ou impacts sur lentreprise peut tre dtermine par la modlisation des
rsultats dun vnement ou srie dvnements, ou par extrapolation partir des tudes
exprimentales ou des donnes passes. Les consquences peuvent tre exprims en

157

Chapitre 6

termes de critres dimpact montaire, technique, humain ou dautres critres pertinents


pour lorganisation.Dans certains cas, plus dune valeur numrique est ncessaire pour
prciser les consquences pour diffrents moments, lieux, groupes ou situations. Les
consquences dans le temps doivent tre mesurs avec la mme approche utilise pour la
probabilit de la menace et la vulnrabilit.Une cohrence doit tre maintenu dans
lapproche (qualitative ou quantitative).Plus dinformations la fois sur lvaluation des
actifs et valuation de limpact peut tre trouve dans lannexe B de la norme ISO 27005.

Lvaluation de la probabilit de ralisation des incidents


Lvaluation de la probabilit de ralisation des incidents a pour objectif la dtermination
de la probabilit de ralisation des scnarios, tel que dfini larticle 4.2.1 de la norme ISO
27001. Elle est produite partir de la liste des scnarios dincidents identifis pertinents,
comprenant lidentification des menaces, des actifs affects, les vulnrabilits exploites et
les consquences sur les actifs et les processus daffaires.En outre, des listes de tous les
contrles existants et prvus, leur efficacit, la mise en uvre et ltat dutilisation.
Le guide dapplication de la norme mentionne quaprs avoir identifi les scnarios
dincidents, il est ncessaire dvaluer la probabilit de chaque scnario et limpact se
produise, en utilisant des techniques destimation qualitative ou quantitative.Cela devrait
prendre en compte de la faon dont souvent les menaces se produisent et la facilit avec
laquelle les vulnrabilits peuvent tre exploites, compte tenu:

158

Introduction la gestion de risque informationnel

De lexprience et des donnes historiques applicables pour la probabilit des


menaces
De la motivation et des capacits des sources des menaces dlibres, qui va
changer au fil du temps et des ressources disponibles, ainsi que de la perception
de lattractivit et la vulnrabilit des actifs pour un ventuel attaquant
Des facteurs gographiques (par exemple la proximit de produits chimiques ou
des installations ptrolires), de conditions mtorologiques extrmes, et des
facteurs qui pourraient influer sur les erreurs humaines et fonctionnement du
matriel, pour les menaces de nature accidentelles.
Des vulnrabilits individuelles ou combines.
Des contrles existants et dans quelle mesure ils rduisent les vulnrabilits.
Par exemple, un systme dinformation peut avoir une vulnrabilit aux menaces
dusurpation de lidentit dun utilisateur et dutilisation abusive des ressources
informatiques.La vulnrabilit de lusurpation de lidentit des utilisateurs peut tre lev
en raison de faiblesses dans les processus dauthentification des utilisateurs.Dautre part,
la probabilit dune mauvaise utilisation des ressources peut tre faible, malgr les
faiblesses dauthentification des utilisateurs, parce que les moyens de dtourner les
ressources sont multiples et pas limits des questions dauthentification.
Selon les niveau de dtail requis ou les besoins de lorganisations, les actifs pourraient tre
regroups ou isols. Par exemple, diffrents sites gographiques, la nature des menaces
pesant sur les mmes types dactifs peut changer, ou lefficacit des contrles existants
peuvent varier.

159

Chapitre 6

Estimation du niveau de risque


Selon ISO 27005, et tel que dfini larticle 4.2.1 de la norme ISO 27001, le niveau de risque
doit tre valu pour tous les scnarios dincidents pertinents afin de produire une liste de
risques avec des mesures (qualitatives ou quantitative) de la valeur des consquences dans
le contexte de lanalyse de risque. Ceci est ralis partir de la liste de scnarios
dincidents et des consquences lies aux actifs informationnels et leur probabilit de
ralisation (quantitative ou qualitative).
Lestimation du risque repose sur les consquences values et la probabilit.Cest--dire
que selon ISO 27005, le risque estim est une combinaison de la probabilit de la
ralisation dun scnario dincident et de ses consquences. Ces estimations peuvent tre
quantitatives ou qualitatives. En outre, lorganisation peut envisager de cots-avantages,
les proccupations des parties prenantes, et dautres variables, en fonction de lvaluation
des risques.Des exemples de diffrentes mthodes destimation des risques
informationnels de scurit ou dapproches peuvent tre trouves dans lannexe E de la
norme ISO 27005.

Lvaluation du risque
Lvaluation du risque est raliss partir des rsultats de lestimation de risque. Selon
ISO 27005, et tel que dfini larticle 4.2.1 de la norme ISO 27001, le niveau de risque
devrait tre compar aux critres dvaluation des risques et aux critres dacceptation des

160

Introduction la gestion de risque informationnel

risques dtermins lors de ltablissement du contexte.Ces dcisions et le contexte devrait


tre rexamine de faon plus dtaille ce stade o on en sait davantage sur les risques
particuliers identifis.
Pour valuer les risques afin de produire une liste de risques hirarchiss, les organisations
devraient comparer les risques estims (en utilisant des mthodes ou des approches
mentionnes lannexe E dela norme ISO 27005) avec les critres dvaluation des risques
dfinis lors de la mise en place le contexte. Ces critres dvaluation doivent tre
compatibles avec le contexte, prendre en compte les objectifs de lorganisation et les points
de vues des diverses parties prenantes. Lvaluation des risques devrait tre bases sur le
niveau de risque acceptable pour lorganisation.Toutefois, les consquences, la probabilit
et le degr de confiance dans lidentification des risques et lanalyse doit tre
acceptable.Lagrgation des multiples risques faibles ou moyennes peut entraner des
risques plus levs et doivent tre traits en consquence.
Les considrations doivent inclure:
Les besoins en matire de scurit de linformation;
Limportance dun processus daffaires ou dune activit soutenue par un actif
informationnel ou un ensemble dactifs.
Lvaluation des risques utilise la comprhension du risque obtenue par lanalyse des
risques pour prendre des dcisions sur les actions futures.Les dcisions devraient inclure
les priorits pour le traitement des risques ou si une activit doit tre entreprise. Au cours

161

Chapitre 6

de la phase dvaluation des risques, contractuelles, les exigences lgales et rglementaires


sont des facteurs qui devraient tre prises en compte en plus des risques estims.

162

Introduction la gestion de risque informationnel

Chapitre 7: Les mthodologies danalyse de risque


Un des outils dans larsenal du praticien de la scurit de linformation et des
organisations qui souhaitent mettre en oeuvre un processus de gestion du risque
informationnel est la mthodologie danalyse de risque. De nombreuses mthodologies
existent sur le march, certaines gratuitement, dautres un cot non ngligeable. Dans
certains cas, des organisations cres des mthodologies danalyse de risque afin de
rpondre leurs besoins et tenir compte de contraintes particulires. Chacune de ces
mthodologies peut savrer un outil efficace lorsquelles sont utilises diligemment dans
un contexte bien dtermin. Cependant, comme tout outil, elles ont des limites. Elles ont
une utilit propre, souvent dans un contexte organisationnel particulier ou un domaine
dactivit limit (Banques, ministre).
Comme dautres mthodologies de recherche, les mthodologies danalyse de risque
cherchent mesurer des concepts. Dans ce cas prcis, les mthodologies cherchent
mesurer le risque informationnel, par lintermdiaire de variables (comme la menace ou
limpact) selon des chelles de mesure (par exemple : bas, moyen, lev). Plusieurs des
concepts mesurs ne peuvent tre mesurs directement (par exemple comme lire la
temprature sur un thermomtre) mais indirectement, en demandant quelquun

Introduction la gestion de risque informationnel

Chapitre 7

dindiquer quelle est son estimation de la valeur de la mesure de la variable attribue au


concept. Ainsi comme toute mthodologie, la mthodologie danalyse de risque
informationnel doit tenir compte de plusieurs sources derreur ou de biais, soit en relation
la slection des individus qui donnent les rponses, de linterprtation donner aux
rponses, du type de mesures utilises, de lanalyse (explicative ou statistique) ou de
linterprtation des rsultats.
Dans le domaine de la mdecine, il est ncessaire de dterminer le risque associ
lintroduction de protocoles de soins ou de nouveaux mdicaments. Pour des raisons
historiques et thiques, le domaine de la mdecine a systmatis lutilisation de
mthodologies. Plusieurs tudes ont t ralises sur les sources derreurs et de biais, ainsi
que les moyens mettre en oeuvre pour limiter leur impact. Le but tant de sassurer que
les rsultats dune tude soient fidles la ralit tout en tant rigoureux sur le plan
scientifique.Lhypothse sous-jacente la prsentation de ces critres tant quils sont
aussi pertinents aux mthodologies danalyse de risque sur lesquelles se basent les
organisations pour prendre des dcisions.

Comprendre ce quest une mthodologie.


La mthodologie est une sorte de coffre outils lusage des chercheurs, ceux qui
cherchent rpondre une question. Dans ce coffre chaque outil, louvrier retrouvera un
processus, une technique ou une technologie approprie rsoudre une nigme
particulire ou dterminer la valeur dune variable particulire. Lorsque lon travaille

164

Introduction la gestion de risque informationnel

dans un domaine, une mthodologie permet dtablir une suite dactions effectuer, de
questions se poser, de choix faire, qui permet de mener de manire plus efficace une
tude ou la rsolution dun problme. Cest un des lments qui font la diffrence entre un
art et une profession.
En recherche, la mthodologie est cette systmatisation de ltude, indpendamment du
sujet de ltude lui-mme. Cest cequi permet dobtenir des rsultats qui ont une
scientificit dmontrable, qui peuvent tre reproduits ou vrifis par des individus
extrieurs ltude.
Dans le domaine dapplication qui nous intresse dans ce livre, une mthodologie
danalyse de risque informationnel propose une srie dactivits et doutils permettant
danalyser le risque informationnel dans un contexte prcis et un moment prcis.
En recherche scientifique diffrentes qualits sont requises dune mthodologie, en
particulier:
La crdibilit: Les rsultats de lanalyse des donnes recueillies refltent
lexprience des participants ou le contexte avec crdibilit.
Lauthenticit: La perspective mique (intrieure des participants) prsente dans
les rsultats de lanalyse dmontre une conscience des diffrences subtiles
dopinion de tous les participants.
Lintgrit: Lanalyse reflte une validation de la validit rptitive et rcursive
associe une prsentation simple.
Le ralisme: Des descriptions riches et respectant la ralit sont illustres
clairement et avec verve dans les rsultats.

165

Chapitre 7

La crativit: Des mthodes dorganisation, de prsentation et danalyse des


donnes crative sont incorpores ltude.
Lexhaustivit: Les conclusions de ltude couvrent lensemble des questions
poses au dpart de faon exhaustive.
La congruence: Le processus et les rsultats sont congruents, vont de pair les uns
avec les autres et ne sinscrivent pas dans un autre contexte que celui de la
situation tudie.
La sensibilit: Ltude a t faite en tenant compte de la nature humaine et du
contexte socioculturel de lorganisation tudie.
Exprim simplement, cest important dutiliser une mthodologie de qualit en analyse du
risque informationnel pour les raisons suivantes:
Le processus doit tre indpendant de ceux qui le ralisent
Les rsultats de lanalyse doivent tre reprsentatif de la ralit
Les rsultats sont utiliss pour prendre des dcisions.

La validit interne et externe


La validit interne fait rfrence lexactitude des rsultats. Il y a validit interne lorsquil
y a concordance entre les donnes et leur interprtation. Une tude peut tre considre
pour sa validit interne, cest--dire quelle est vraie pour la population ltude, cest-dire que les rsultats de ltude correspondent ce qui a t tudi pour ces individus ce

166

Introduction la gestion de risque informationnel

moment dans le temps. Sans contrles formels et sans faire une tude approfondie, il est
impossible dvaluer la validit internet de toutes les mthodologies ltude.
Quant la validit externe, qui rfre la gnralisabilit des rsultats (permets den tirer
des conclusions impartiales au sujet dune population cible plus grande que lensemble
des sujets), cet aspect de la validit nest important quen ce qui concerne une population
cible externe particulire, ce qui est moins critique pour les petites organisations compte
tenu de lutilisation limite, mais plus significative aux grandes organisations. Par
exemple, les rsultats dune analyse de risque mene avec sept participants dans une unit
daffaires peuvent tre gnraliss lensemble de lorganisation (la population cible tant
forme de toute lorganisation et ;la population disponible forme de sept individus). Ici
aussi, sans contrles formels et sans faire une tude approfondie, il est impossible
dvaluer la validit externe.

La mesure des variables


Un premier problme porte sur la mesure des variables que lon cherche tudier lors
dune analyse de risque. La mesure est lattribution de nombres des objets, des
vnements ou des individus selon des rgles prtablies dans le but de dterminer la
valeur dun attribut donn. En recherche, une variable est un concept auquel une mesure
peut tre dtermine. Elle correspond une qualit (p. ex. petit, grand) ou un caractre
(p. ex. grandeur, ge) qui sont prts un lment (personnes, vnements) faisant objet
dune recherche et auquel une valeur est attribue. Les variables sont relies aux concepts

167

Chapitre 7

thoriques au moyen de dfinitions oprationnelles servant mesurer des concepts et


peuvent tre classes de diffrentes faons selon les rles quelles remplissent dans une
recherche. La mesure est lattribution de nombres des objets, des vnements ou des
individus selon des rgles prtablies dans le but de dterminer la valeur dun attribut
donn.
Une partie du risque informationnel peut tre mesur objectivement sur la base de
donnes historique dune organisation: le risque informationnel objectif. Cependant, peu
dorganisations disposent dune quantit de donnes objectives fiables sur une priode
suffisante pour les utiliser efficacement. Il est important de noter quil y a dans cette partie
du risque, une problmatique de distribution des probabilits qui demande
claircissement. Si lon peut assigner un risque potentiel sur la base de probabilits de
ralisation dvnements futurs, on assume que ces vnements sont distribus
normalement lors dun trs grand nombre dobservations. Cet priori est trs discutable
sans une base de connaissances suffisante et un grand nombre dobservations.
Tout ce qui ne peut pas tre mesur objectivement doit ltre subjectivement. Ainsi, tout ce
qui nest pas du risque objectif est dans le camp du risque informationnel subjectif. Toute
approche mthodologique cherchant dterminer quelle est la situation dune
organisation en matire de gestion de risque informationnel subjectif, doit intgrer des
faons didentifier les attentes de lorganisation (valeurs et croyances) par les individus qui
la composent et par les documents disponibles, sorte dartfacts. Dun point de vue
mthodologique, une approche qualitative est plus mme de dcrire le phnomne du

168

Introduction la gestion de risque informationnel

risque informationnel dans son contexte particulier compte tenu de ltat actuel des
connaissances et du niveau de maturit de la plupart des organisations face cette
problmatique. Les contrles mthodologiques sont donc requis afin de sassurer de la
congruence des rsultats dune analyse de risque avec la ralit de lorganisation tudie.
Si lon ne pouvait garantir la validit des rsultats, on ouvre la porte des critiques sur les
rsultats et sur les recommandations ventuelles suite une tude.

Les chelles de mesure


Lon distingue les mesures discrtes (des catgories) des mesures continues. La mesure
continue utilise des valeurs numriques selon des rgles de mesure (quantit, longueur,
temprature). Elle permet de dterminer si une caractristique est prsente et, si oui,
queldegr. Les chelles de mesure sont habituellement classes en quatre catgories, telles
que prsentes ci-dessous par ordre croissant de prcision et de complexit.
Les chelle nominales qui classe les objets dans de catgories. Dans ces chelles les
nombres sont sans valeur numrique. Lorsquune chelle nominale est utilise, des tests
non paramtriques et des statistiques descriptives peuvent tre utiliss. Par exemple: Sexe
masculin ou fminin, race, religion.
Les chelle ordinale permet de classer les objets par ordre de grandeur. Dans ces chelles,
les nombres indiquent des rangs et non des quantits. Les chelles ordinales permettent
lutilisation de statistiques descriptives. Les chelles ordinales peuvent permettre

169

Chapitre 7

lutilisation statistique sil existe un continuum sous-jacent dintervalles, comme dans les
chelles de Likert. Par exemple: Niveaux dexposition bas, moyen ou lev.
chelle intervalles Les intervalles entre les nombres sont gaux. Les nombres peuvent
tre additionns ou soustraits. Les nombres ne sont pas absolus, car le zro est arbitraire.
Permets un grand nombre doprations statistiques. Par exemple: La temprature mesure
en degrs Celsius.
chelle proportions Lchelle a un zro absolu. Les nombres reprsentent des quantits
relles et il possible dexcuter sur elles toutes les oprations mathmatiques. Par exemple:
La temprature mesure en degrs Kelvin, le poids, la taille, le revenu.
Il est critique de sassurer quune rigueur scientifique est prsente dans toute analyse de
risque. Certaines mthodes utilisent des donnes qualitatives auxquelles sont assignes
des valeurs numriques sur lesquelles une analyse statistique est effectue. Si en plus ces
valeurs assignes sont utilises dans des calculs mathmatiques, cest plutt douteux. Le
passage dune donne qualitative une donne quantitative ne peut se faire sans quil soit
appuy par un cadre rigoureux qui doit tre vrifi rigoureusement. Sinon, quelle
signification donner aux rsultats ? Quelle est leur prcision ?
La majorit des mthodologies analyses utilisent des chelles ordinales et des chelles
intervalles. Ce type dchelle de mesure nest pas appropri pour des oprations
mathmatiques complexes, mais peut faire lobjet danalyse statistique. Le problme est
que certaines de celles-ci effectuent des oprations mathmatiques complexes qui ne sont

170

Introduction la gestion de risque informationnel

pas appropries compte tenu de lchelle de mesure. Certaines semblent disposer de


contrles mthodologiques pour dominer la situation. Octave est le seul qui utilise une
chelle proportion permettant une utilisation optimale des donnes.

L'chantillonnage
Il est essentiel de se questionner sur lchantillonnage en analyse de risque. Si lon
rencontre un nombre limit de membres dune organisation pour obtenir des informations
permettant dassigner des valeurs des variables, il est essentiel que ces personnes
fournissent des rponses qui sont en mesure de fournir un portrait rel et complet de la
situation: lchantillon doit tre reprsentatif de la population quil reprsente. Toutes les
mthodologies ont un chantillon non probabiliste dtermin par choix raisonn. Ce qui
signifie que, dans chaque cas, les individus qui participent ltude sont choisis par les
individus qui font lanalyse de risque. Ainsi, de nombreux biais de slections sont
introduits, en fonction de relations de pouvoir, de disponibilit, de priorits
organisationnelles et individuelles, etc. Ainsi, toutes les mthodologies semblent disposer
dun chantillon sont on ne peut dterminer la reprsentativit. Il est donc incertain que
lensemble de la situation, tel quelle existe dans la ralit, ne puisse sexprimer dans les
rsultats de lanalyse de risque. De mme, il ny a aucun contrle de la saturation afin de
sassurer que tout ce qui est dire sur la situation sous analyse soit dit par les individus
qui sont inclus dans lchantillon.

171

Chapitre 7

OCTAVE
Lacronyme OCTAVE signifieOperationally Critical Threat, Asset, and Vulnerability
Evaluation. Il sagit dune suite doutils, de techniques et mthodes crs pour lvaluation
des risques base sur la scurit de linformation stratgique et laplanification.
Le cadre conceptuel qui a form la base dOCTAVE a t publi par le Software
Engineering Institute (SEI) de Carnegie Mellon University en 1999.Ces concepts ont t
formaliss dans les critres dOCTAVE, publi en 2001. Le SEI a dvelopp la mthode
OCTAVE dans le but dappliquer le cadre conceptuel OCTAVE des problmatiques de
conformit de la scurit du dpartement amricain de la Dfense (DoD) et pour aider les
organisation mettre en oeuvre laHealth Insurance Portability and Accountability
Act(HIPPA), une loi Amricaine facilitant et rgulant lchange de donnes entre les
acteurs de la sant sur le territoire des tats-Unis dAmrique.La mthode OCTAVE fut
publie en Septembre 2001. OCTAVE et sa version OCTAVE-S sont largement rfrences
par la communaut internationale du domaine de la scurit de linformation.Entre Juin
2003 et Juin 2005, la mthode OCTAVE a t tlcharg plus de 9 600 fois.Au cours de
cette mme priode, OCTAVE-S a t tlcharg plus de 4 700 fois.Les utilisateurs
potentiels incluent des entreprises prives (50%), des particuliers (15%), des tablissements
universitaires (15%) et des organismes gouvernementaux (10%).En moyenne, le site Web
OCTAVE reoit 5 000 visiteurs par mois.
Les mthodes OCTAVE

172

Introduction la gestion de risque informationnel

Il y a trois mthodes OCTAVE:


la mthode originale OCTAVE
Une version pour les petites organisations, OCTAVE-S
lapproche simplifie OCTAVE-Allegro
Ces mthodes sont fondes sur les critres OCTAVE, une approche normalise pour une
valuation de la scurit des informations ax sur le risque et les pratiques
exemplaires.Les critres OCTAVE tablissent les principes fondamentaux et les attributs
de la gestion de risque qui sont utiliss par les mthodes OCTAVE.
Lapproche OCTAVE est:
autogr: despetitesquipes de lorganisation, travers les units daffaires et du
dpartement de linformatique, travaillent ensemble pour rpondre aux besoins de
scurit de lorganisation.
flexible:chaque mthode peut tre adapte la cultureet au niveau de maturitde
lorganisation.
volu:proposeune approche ax sur la gestion des risques pour amliorer la scurit et
aborde la technologie dans un contexte daffaires.
LapprocheOCTAVEutiliseune valuation des risques fonde sur les actifs
informationnels.Le risque est examinsur la base desvulnrabilits organisationnelleset

173

Chapitre 7

technologiques quimenacentun groupe dactifs critiques la mission de lorganisation.


Elle aborde les questions suivantes:
Quels sont les actifs ayant besoin dune protection ?
Quel est le niveaude protection ncessaire ?
Comment lactif pourrait tre compromis ?
Quel est limpactsi la protectionchoue ?
Les 3 phases dOCTAVE
Il y a plusieurs lments cls qui doivent tre lies au contexte de lorganisation pour
appliquer efficacement la mthodologie OCTAVE. La mthodologie peut ncessiter
ladaptation des lments cls pour un ajustement appropri:
Le catalogue des pratiques de scurit utilises pour valuer le risque doit tenir compte
des pratiques de scurit rglementaires et accepte pour le domaine organisationnel.
La faon dont les informations sont recueillies pour lvaluation des risques doit sinscrire
dans le contexte organisationnel.
Les documents produits doivent tre rdigs pour les dcideurs de lorganisation en
utilisant le niveau de dtail appropri et spcifique au contexte.
Les menaces considres dans les tapes de lanalyse doivent tre compatibles avec ceux
considrs comme pertinents pour lorganisation.

174

Introduction la gestion de risque informationnel

Les critres dvaluation utiliss pour valuer limpact des risques sur lorganisation et de
hirarchiser les risques doivent tre fonds sur des mesures organisationnelles.
En outre, lors de lapplication de la mthodologie OCTAVE dans une organisation, les
considrations suivantes sont essentielles pour intgrer le contexte organisationnel dans
lapproche OCTAVE:
Lquipe danalyse devrait inclure des personnes familires avec lorganisation et
lapproche OCTAVE.Les ressources externes peuvent tre la source la plus approprie
OCTAVE si les ressources internes ne sont pas dj forms. Cependant, adapter la
mthodologie ncessite la participation de ressources organisationnelles.
Les sources dinformation inclus dans lvaluation nont pas besoin dtre exhaustive, mais
ils doivent fournir un contexte relativement complet.Ils devraient reprsenter une
connaissance suffisante de lorganisation, les domaines spcifiques dorganisation retenus
pour lanalyse, et les actifs informationnels choisis pour lanalyse critique.
La gestion de la scurit de linformation est un sous-ensemble des risques
organisationnels, et lorganisation peut bnficier defforts coordonns dvaluation et de
gestion de risques.
Pour plus dinformation:
!

Site OCTAVE

Formation OCTAVE

175

Chapitre 7

MHARI
La mthode MHARI, la Mthode Harmonise dAnalyse du Risque Informatique, est
issue des travaux de Jean-Philippe Jouas et de Albert Harari, lorsquils taient lemploi
de Bull. lpoque, Jean-Phillipe Jouas taitDirecteur de la scurit du Groupe Bull et
Albert Harari tait responsable des mthodes au sein de cette Direction. Leurs travaux
initiaux furent consolids par la commission Mthodes du Clusif, le Club de la Scurit
des Systmes dInformation Franais.
Albert Harari avait dvelopp Melisa pour la DCN, la Direction des Constructions
Navales de la Dlgation Gnrale pour lArmement de la Rpublique Franaise. La
mthode Melisa proposait une certaine vision des risques, avec des paramtres
dvaluation relativement simples et adapts la cible vise. Son utilisation dans un
contexte industriel et dans une socit multinationale a conduit Jouas et Harari faire
voluer cette base pour dfinir un modle du risque complet et une mtrique associe.Les
rsultats de ces travaux furent publis en 1992.Cest en incorporant les bases de
connaissances de la mthode Marion, dvelopps depuis 1984, aux travaux de Jouas et
Harari que sest construit progressivement un ensemble doutils de management de la
scurit qui sont devenus MHARI.

176

Introduction la gestion de risque informationnel

MHARI est prsent comme une bote outils de laquelle les spcialistes pourront tirer,
en fonction des besoins et des circonstances, des solutions au problme de management de
la scurit.

Les lments de MHARI


Lensemble mthodologique MHARI comprend des guides, des bases de connaissances
et des processus dvaluation quantitatives :
Des guides :
Guide de classification des ressources sensibles
Guide daudit des services de scurit
Guide danalyse de risque
Guide dlaboration dobjectifs de scurit
Des bases de connaissances :
Base des services de scurit
Base daudit des services de scurit
Base de scnarios de risque
Base danalyse des scnarios de risque en fonction des services de scurit effectifs
Base danalyse des scnarios de risque par valuation directe des facteurs de
risque
Des processus dvaluation quantitative :

177

Chapitre 7

Moteur dvaluation de la qualit des services de scurit


Moteur dvaluation des facteurs de risque
Moteurs dvaluation de la potentialit et de limpact dun scnario de risque
Moteur dvaluation de la gravit dun risque
Le guide danalyse de risque de MHARI est destin au Responsable de la Scurit des
Systmes dInformations (RSSI), aux membres de son quipe et aux responsables
oprationnels qui peuvent tre amens faire rgulirement de telles analyses.
Le guide traite les points suivants :
Les objectifs et limites de lanalyse de risque
Llaboration des rfrentiels servant de bases la mtrique de risque
Le choix des scnarios de risque adapts au contexte et lentreprise
Les processus et les mthodes dvaluations : approche analytique des facteurs de risque
par les services de scurit et approche globale de ces facteurs.
Les acteurs et intervenants de lanalyse, expert et groupe de pilotage : rles et modes de
travail.
La base des scnarios de risques de MHARI contient un ensemble de scnarios de risque
classs par familles de consquences.
Pour chaque scnario sont dcrits :

178

Introduction la gestion de risque informationnel

Le type gnral de consquence et le type de ressource atteinte par le scnario. La


base standard actuelle comporte 12 familles de scnarios classs en fonction des
consquences et des types de ressource atteinte.
Le type de vulnrabilit exploite.
Le type dacteur ou lorigine du scnario.
Une indication synthtique indiquant sil sagit dune atteinte la Disponibilit,
lIntgrit ou la Confidentialit de la ressource.
Une indication synthtique indiquant sil sagit dun accident, dune erreur ou
dune malveillance.
Le schma ci-dessus reprend lensemble des lments de MHARI qui interviendront dans
une dmarche complte dlaboration de plans de scurit.Lensemble de la dmarche est
structur pour diffrencier les tapes fondamentales et structurantes qui seront franchies
lors de llaboration de plans au sein dentits autonomes.Les premires ont pour objet
ltablissement dun plan stratgique, les secondes celui de plans oprationnels.
Pour plus dinformations sur MHARI: http://www.clusif.asso.fr/fr/production/
mehari/

179

Chapitre 7

EBIOS
Cre en 1995 par lAgence nationale de la scurit des systmes dinformation de France
(ANSSI) et rgulirement mise jour, la mthode EBIOS (Expression des Besoins et
Identification des Objectifs de Scurit) permet dapprcier et de traiter les risques relatifs
la scurit des systmes dinformation. Elle permet aussi de communiquer leur sujet au
sein de lorganisme et vis--vis de ses partenaires, constituant ainsi un outil complet de
gestion des risques informationnels.LANSSI et leClub EBIOSont publis en 2010 une
nouvelle version de la mthode EBIOS pour prendre en compte les retours dexprience
reus depuis la cration de la mthode, les volutions normatives et les changements
rglementaires. Selon ses crateurs, cette nouvelle version de la mthode, plus simple et
plus claire que la prcdente, offre la possibilit dlaborer et dassurer le suivi dun plan
dactions relevant de la scurit des systmes dinformation.Elle est assortie dune base de
connaissances, lerfrentiel gnral de scurit, enrichie dexemples concrets permettant
dlaborer des scnarios de risque pertinents.

La mthode EBIOS permet dapprcier et de traiter les risques. Elle fournit galement tous
les lments ncessaires la communication au sein de lorganisme et vis--vis de ses
partenaires, ainsi qu la validation du traitement des risques. Elle constitue de ce fait un
outil complet de gestion des risques.

180

Introduction la gestion de risque informationnel

Ltablissement du contexte
Un contexte bien dfini permet de grer les risques de manire parfaitement approprie, et
ainsi de rduire les cots ce qui est ncessaire et suffisant au regard de la ralit du sujet
tudi.
Pour ce faire, il est essentiel dapprhender les lments prendre en compte dans la
rflexion :
le cadre mis en place pour grer les risques ;
les critres prendre en considration (comment estimer, valuer et valider le
traitement desrisques) ;
la description du primtre de ltude et de son environnement (contexte externe
et interne,contraintes, recensement des biens et de leurs interactions).
La mthode EBIOS permet daborder tous ces points selon le degr de connaissance que
lon a du sujet tudi. Il sera ensuite possible de lenrichir, de laffiner et de lamliorer
mesure que la connaissance du sujet samliore.

Lapprciation des risques


Selon EBIOS, il y a risque de scurit de linformation ds lors quon a conjointement :
une source de menace
une menace
une vulnrabilit

181

Chapitre 7

un impact.
On peut ainsi comprendre quil ny a plus de risque si lun de ces facteurs manque. Or, il
est extrmement difficile, voire dangereux, daffirmer avec certitude quun des facteurs est
absent. Par ailleurs, chacun des facteurs peut contribuer de nombreux risques diffrents,
qui peuvent eux- mmes senchaner et se combiner en scnarios plus complexes, mais
tout autant ralistes.
On va donc tudier chacun de ces facteurs, de la manire la plus large possible. On pourra
alors mettre en vidence les facteurs importants, comprendre comment ils peuvent se
combiner, estimer et valuer (hirarchiser) les risques. Le principal enjeu reste, par
consquent, de russir obtenir les informations ncessaires qui puissent tre considres
comme fiables. Cest la raison pour laquelle il est extrmement important de veiller ce
que ces informations soient obtenues de manire limiter les biais et ce que la dmarche
soit reproductible.
Pour ce faire, la mthode EBIOS se focalise tout dabord sur les vnements redouts
(sources de menaces, besoins de scurit et impacts engendrs en cas de non respect de ces
besoins), puis sur les diffrents scnarios de menaces qui peuvent les provoquer (sources
de menaces, menaces et vulnrabilits). Les risques peuvent alors tre identifis en
combinant les vnements redouts et les scnarios de menaces, puis estims et valus
afin dobtenir une liste hirarchise selon leur importance.

182

Introduction la gestion de risque informationnel

Le traitement des risques


Les risques apprcis permettent de prendre des dcisions objectives en vue de les
maintenir un niveau acceptable, compte-tenu des spcificits du contexte.
Pour ce faire, EBIOS permet de choisir le traitement des risques apprcis au travers des
objectifs de scurit : il est ainsi possible, pour tout ou partie de chaque risque, de le
rduire, de le transfrer (partage des pertes), de lviter (se mettre en situation o le risque
nexiste pas) ou de le prendre (sans rien faire). Des mesures de scurit peuvent alors tre
proposes et ngocies afin de satisfaire ces objectifs.

La validation du traitement des risques


La manire dont les risques ont t grs et les risques rsiduels subsistants lissue du
traitement doivent tre valids, si possible formellement, par une autorit responsable du
primtre de ltude. Cette validation, gnralement appel homologation de scurit, se
fait sur la base dun dossier dont les lments sont issus de ltude ralise.

La communication et la concertation relatives aux risques


Obtenir des informations pertinentes, prsenter des rsultats, faire prendre des dcisions,
valider les choix effectus, sensibiliser aux risques et aux mesures de scurit appliquer,

183

Chapitre 7

correspondent des activits de communication qui sont ralises auparavant, pendant et


aprs ltude des risques.
Ce processus de communication et concertation relatives aux risques est un facteur crucial
de la russite de la gestion des risques. Si celle-ci est bien mene, et ce, de manire adapte
la culture de lorganisme, elle contribue limplication, la responsabilisation et la
sensibilisation des acteurs. Elle cre en outre une synergie autour de la scurit de
linformation, ce qui favorise grandement le dveloppement dune vritable culture de
scurit et du risque au sein de lorganisme.
Limplication des acteurs dans le processus de gestion des risques est ncessaire pour
dfinir le contexte de manire approprie, sassurer de la bonne comprhension et prise en
compte des intrts des acteurs, rassembler diffrents domaines dexpertise pour identifier
et analyser les risques, sassurer de la bonne prise en compte des diffrents points de vue
dans lvaluation des risques, faciliter lidentification approprie des risques, lapplication
et la prise en charge scurise dun plan de traitement.
EBIOS propose ainsi des actions de communication raliser dans chaque activit de la
dmarche.

184

Introduction la gestion de risque informationnel

La surveillance et la revue des risques


Le cadre mis en place pour grer les risques, ainsi que les rsultats obtenus, doivent tre
pertinents et tenus jour afin de prendre en compte les volutions du contexte et les
amliorations prcdemment identifies.
Pour ce faire, la mthode EBIOS prvoit les principaux lments surveiller lors de la
ralisation de chaque activit et lors de toute volution du contexte afin de garantir de
bons rsultats et de les amliorer en continu.

Une dmarche itrative en cinq modules


La mthode formalise une dmarche de gestion des risques dcoupe en cinq modules
reprsents sur la figure suivante :
La dmarche est dite itrative. En effet, il sera fait plusieurs fois appel chaque module
afin den amliorer progressivement le contenu, et la dmarche globale sera galement
affine et tenue jour de manire continue.

Module 1 tude du contexte


lissue du premier module, qui sinscrit dans ltablissement du contexte, le cadre de la
gestion des risques, les mtriques et le primtre de ltude sont parfaitement connus ; les

185

Chapitre 7

biens essentiels, les biens supports sur lesquels ils reposent et les paramtres prendre en
compte dans le traitement des risques sont identifis.

Module 2 tude des vnements redouts


Le second module contribue lapprciation des risques. Il permet didentifier et destimer
les besoins de scurit des biens essentiels (en termes de disponibilit, dintgrit, de
confidentialit), ainsi que tous les impacts (sur les missions, sur la scurit des
personnes, financiers, juridiques, sur limage, sur lenvironnement, sur les tiers et autres)
en cas de non respect de ces besoins et les sources de menaces (humaines,
environnementales, internes, externes, accidentelles, dlibres) susceptibles den tre
lorigine, ce qui permet de formuler les vnements redouts.
Module 3 tude des scnarios de menaces
Le troisime module sinscrit aussi dans le cadre de lapprciation des risques. Il consiste
identifier et estimer les scnarios qui peuvent engendrer les vnements redouts, et ainsi
composer des risques. Pour ce faire, sont tudies les menaces que les sources de menaces
peuvent gnrer et les vulnrabilits exploitables.

Module 4 tude des risques


Le quatrime module met en vidence les risques pesant sur lorganisme en confrontant
les vnements redouts aux scnarios de menaces. Il dcrit galement comment estimer et

186

Introduction la gestion de risque informationnel

valuer ces risques, et enfin comment identifier les objectifs de scurit quil faudra
atteindre pour les traiter.

Module 5 tude des mesures de scurit


Le cinquime et dernier module sinscrit dans le cadre du traitement des risques. Il
explique comment spcifier les mesures de scurit mettre en uvre, comment planifier
la mise en uvre de ces mesures et comment valider le traitement des risques et les
risques rsiduels.

187

Chapitre 7

Questions de rvision
1) Qui a cr la mthodologie Octave ?
A. le Software Engineering Institute (SEI) de Carnegie Mellon University
B. Jean-Philippe Jouas, Albert Harari et la commission Mthodes du Clusif, le Club
de la Scurit des Systmes dInformation Franais.
C. lAgence nationale de la scurit des systmes dinformation de France (ANSSI)
et le club EBIOS
2) Quels sont les cinq modules dBIOS, dans lordre:
1.!

tude du contexte

2.!

tude des vnements redouts

3.!

tude des mesures de scurit

4.!

tude des risques

5.!

tude des scnarios de menaces

188

Introduction la gestion de risque informationnel

3)Apparier le bon terme avec la description qui lui convient le mieux:


A. Authenticit
B. Congruence
C. Crativit
D. Crdibilit
E. Criticit
F. Intgrit
G. Exhaustivit
H. Explicit
I.

Sensibilit

1.__________: Les rsultats de lanalyse des donnes recueillies refltent lexprience


des participants ou le contexte avec crdibilit.
2.__________: La perspective mique (intrieure des participants) prsente dans les
rsultats de lanalyse dmontre une conscience des diffrences subtiles dopinion de
tous les participants.
3.__________: Le processus danalyse des donnes recueillies et des rsultats montre
des signes dvaluation du niveau de criticit.
4.__________: Lanalyse reflte une validation de la validit rptitive et rcursive
associe une prsentation simple.
5.__________: Les dcisions et interprtations mthodologiques de mme que les
positions particulires de ceux qui ralisent ltude (lenquteur) sont considres.
6.__________: Des descriptions riches et respectant la ralit sont illustres clairement
et avec verve dans les rsultats.
7.__________: Des mthodes dorganisation, de prsentation et danalyse des donnes
crative sont incorpores ltude.

189

Chapitre 7

8.__________: Les conclusions de ltude couvrent lensemble des questions poses


au dpart de faon exhaustive.
9.__________: Le processus et les rsultats sont congruents, vont de pair les uns avec
les autres et ne sinscrivent pas dans un autre contexte que celui de la situation
tudie.
10.__________: Ltude a t faite en tenant compte de la nature humaine et du
contexte socioculturel de lorganisation tudie.

4) Apparier le type dchelle de mesure avec la mesure:


!

A. chelle intervales

B. chelle nominale

C. chelle ordinale

D. chelle ordinale avec continuum sous-jacent

E. chelle proportions

1.!

la grandeur dun enfant mesure encentimtres

2.!

la temprature mesurs en degrs Kelvin

3.!

la temprature mesurs en degrsCelsius

4.!

la couleur des cheveux des tudiants dans la classe

190

Introduction la gestion de risque informationnel

5.!

le niveau de scolarit des tudiants du secondaire qui appliquent dans un

programme collgial
6.!

les chelles curseur utiliss dans lapproche par scnarios CIGALE

7.!

le niveau de confidentialit dun actif informationnel mesur avec des chifres de 1

4
8.!

le niveau de disponibilit dun actif informationnel mesur avec les valeurs bas,

moyen, lev et critique


9.!

votreapprciationde ce cours sur une chelle de 1 10 ou 1 signifie trs faible et 10

signifie trs leve

191

Chapitre 7

5) Apparier le bon terme la dfinition la plus approprie:


!

Mesure

Mthodologie

Validit interne

Validit externe

Variable

1.!

__________: Permet dtablir une suite dactions effectuer, de questions se poser,

de choix faire, qui permet de mener de manire plus efficace une tude ou la rsolution
dun problme.
2.!

__________: Lattribution de nombres des objets, des vnements ou des

individus selon des rgles prtablies dans le but de dterminer la valeur dun attribut
donn.
3.!

__________: Un concept auquel une mesure peut tre dtermine.

4.!

__________: Les rsultats de ltude correspondent ce qui a t tudi pour ces

individus ce moment dans le temps.


__________: Une science de la mthode, une mta mthode, une mthode des mthodes,
une sorte de coffre outils.

192

Introduction la gestion de risque informationnel

6) Selon EBIOS, il y a risque de scurit de linformation ds lors quon a conjointement :


A) une source de menace, une vulnrabilit et un impact
B) une menace, une vulnrabilit et un impact
une vulnrabilit et un impact
D) une source de menace, une menace, une vulnrabilit et un impact

193

Introduction la gestion de risque informationnel

Chapitre 8: Le processus IPM

Tel que mentionn aux chapitres 1 et 2 , la gestion du risque est accomplie par un
processus IPM. Lidentification (I) et la priorisation (P) sont des processus danalyse de
risque. La troisime phase, la mobilisation, est la mise en oeuvre des dcisions des phases
didentification (I) et de priorisation (P). Les premires actions prendre sont dans la
phase d'identification (I). Ces tches sont ralises lors de lanalyse de risque. Dans ce
chapitre nous prsentons une mthodologies danalyse de risque informationnel par
scnarios qui fut dveloppe dans le cadre dun projet de recherche ralis la Facult de
Mdecine et des sciences de la sant de lUniversit de Sherbrooke entre 2005 et 2011. La
mthodologie est utilise pour lanalyse de risque informationnel dans des organisations
publiques du secteur de la sant. Cette mthodologie est principalement utilise des fins
denseignement dans le cadre de la formation de gestionnaires de risque informationnels.
Comme pour tout processus danalyse de risque, le principal bnfice organisationnel de
son utilisation dans un autre contexte que celui pour laquelle elle fut produite provient de
lamlioration de la maturit organisationnelle rsultant de lintrospection et de la
rflexion sur le risque.

Introduction la gestion de risque informationnel

Chapitre 8

Avant de dbuter lanalyse


Avant de dbuter lanalyse de risque, il est ncessaire didentifier lanalyste qui sera
responsable de raliser ltude. Lanalyse sera le responsable daccomplir ltude, de crer
les documents, de communiquer avec les participants et de faire la gestion de projet. Ainsi,
lanalyse de risque est gre comme un projet en utilisant des techniques de gestion de
projet, qui ne sont pas abordes dans ce livre.
Par la suite, lanalyste pourra dbuter par lidentification de lorganisation et la dfinition
des objectifs en matire de scurit de linformation. Cela est ralis par les tapes
suivantes:
1.

Inventaire des actifs informationnels:Avant de dbuter, il est ncessaire


deffectuer un inventaire du patrimoine informationnel de lorganisation. Cette
tape nest pas intgr dans la mthode comme telle parce que de nombreuses
organisations ralisent cet inventaire dans dautres processus, par exemple
des fins de gestion de linformation ou des systmes dinformations.Il sagit
donc de faire une liste des actifs informationnels individuels (donne,
processus, systme dinformation, autres) qui sont utiliss par lorganisations.

2.

Catgorisation des actifs informationnels:Les actifs informationnels doivent


faire lobjet dune catgorisation, ce qui nest pas dfini dans ce livre. Un
exemple de catgorisation dans le domaine de la sant est disponible en ligne
dansun document du MSSS, disponible sur leur site internet.La catgorisation

196

Introduction la gestion de risque informationnel

devrait se faire en utilisant une chelle de mesure appropri en fonction des


objectifs de scurit de lorganisation. Au minimum, il est recommand de
dfinir lactif informationnel en fonction de ses attributs de disponibilit,
dintgrit et de confidentialit (DIC) en utilisant une chelle ordinale nominale
(par exemple: bas, moyen, lev).
3.

Mise en place du comit de gouvernance du risque:Afin de russir la


dfinition des objectifs, lanalyse de risque et ventuellement la mise en oeuvre
de son plan daction pour grer efficacement le risque, une organisation doit
mettre en place un comit de gouvernance du risque. Ce comit de gestion aura
pour principale tachesde suivre lvolution du risque etde sassurer de la mise
en oeuvre des mesures de mitigation du risque, qui sera effectu par le comit
de projet. Lencadr de la page suivante propose un exemple de la composition
dun comit de gouvernance.

4.

Mise en place du comit de projet:Une fois lanalyse de risque complt, afin


de russir la mise en oeuvre des mesures de mitigation du risque et des actions
connexes, lorganisation devra mettre en place un comit de projet. Les
membres du comit de projet peuvent tre les mmes que le comit de
gouvernance de projets avec lajout dun chef de projet dexprience et de
personnel informatique form sur les mesures de mitigation retenues.

5.

Cration et approbation du plan de projet:Afin de mener bien llaboration


dun plan directeur en matire de gestion du risque informationnel (GRI),

197

Chapitre 8

lorganisation devrait grer cet exercice comme un projet. De cette faon, il est
possible de mettre profit lexpertise et les techniques de gestion de projet afin
de maximiser les chances de succs.
Une fois ces premires tapes compltes, la phase didentification et dvaluation des
scnarios de risque peut dbuter.

Phase 1: identification et valuation des scnarios de risque


Dans la phase didentification et dvaluation des scnarios de risque, il est dabord
ncessaire de documenter lorganisation et ses objectifs de scurit.Cela peut tre ralis
par les tapes suivantes:
6.

Identification de lorganisation:Lors de cette tape, lobjectif est de


documenter lorganisation dans laquelle lanalyse de risque est ralise, sa
structure, sa culture, ses objectifs et les individus clef en relation aux actifs
informationnels qui seront inclus dans lanalyse de risque.

7.

Dtermination des cadre de gestion:Cette tape consiste identifier les cadres


de gestions de risque informationnel, normaliss et autres, que lorganisation
souhaite utiliser pour la gestion de son patrimoine informationnels. Lors de
cette tape, lutilisation des cadres de gestions normaliss, tel que ISO 27002, est
recommand.

198

Introduction la gestion de risque informationnel

8.

tat de la situation actuelle:Cette tape consiste identifier, en relation aux


mesures de mitigation du risque associ chacun des cadre de gestions
normaliss que lorganisation souhaite mettre en place ou qui sont dj en
place, ltat (en place ou propos), le cot (argent et en ressources humaines ou
en effort, mesure en quivalent dun individu travaillant temps plein), les
contrles de gestions qui permette de sassurer de lefficacit de la mesure de
mitigation du risque et de faire des vrifications (audits) et de lefficacit
prsume de la mesure. Il est aussi possible de joindre des notes sur la mesure
de mitigation du risque ou sur sa mise en oeuvre, ainsi que dattacher des
pices jointes, tels des diagrammes de rseau, des documents PDF ou dautres
documents utilise pour la comprhension des utilisateurs, des gestionnaires ou,
ventuellement, des vrificateurs.

9.

Cration du catalogue de mesures de mitigation du risque:Le catalogue de


mesures de mitigation du risque est une liste, ou un rpertoire, des mesures de
mitigation de risque qui sont susceptible de correspondre aux diffrents risques
informationnels et aux cadre de gestions qui ont t incorpors dans une tude.
Cette liste devrait tre cr et maintenue par des experts en gestion de risque
informationnel. Dans une grande organisation, tel que le MSSS ou une ASSS,
une liste rgionale ou nationale devrait tre envisag.

Par la suite, il est possible didentifier ou concevoir les scnarios envisager dans lanalyse
de risque. Cela dbute par lacration des scnarios avec la collaboration des individus

199

Chapitre 8

concerns par llment risque qui fait lobjet de ltude. Cela peut tre ralis sous la
responsabilit de lanalyste par les tapes suivantes:
10.

Focus group ou brainstorming:lune ou lautre de deux techniques de collecte


de donnes sont proposes pour obtenir les donnes brutes ncessaires pour
lanalyse de risque: le focus group ou le brainstorming (vf.: remue-mninges).
Ces techniques de collecte de donnes sont susceptible de permettre
lidentification initiale des scnarios qui seront utiliss dans la suite de lanalyse
de risque. Lanalyste devra prparer du matriel pour initier les discussions lors
des rencontres, sassurer de prvoir des mthodes de collecte des donnes et
planifier la disponibilit de locaux appropris pour les rencontres.

11.

Identifier les participants:il est propos dinclure de 4 7 personnes.


le principal responsable du patrimoine informationnel de lorganisation,
des actifs informationnels ou de llment risque qui fait lobjet de
lanalyse de risque,
un reprsentant du groupe responsable de la gestion des ressources
financires,
un reprsentant du groupe responsable du service des ressources
humaines,
un reprsentant du groupe responsable des principales lignes daffaires de
lorganisation (un reprsentant par ligne daffaires est souhaitable),
selon la culture de lorganisation, dautres individus peuvent tres ajouts
(informatique, scurit physique, sant et scurit au travail, etc.).

200

Introduction la gestion de risque informationnel

12.

Expliquer le processus aux participants:dans le cadre dune rencontre de


groupe, il est ncessaire dexpliquer aux participant les principales tapes du
processus danalyse de risque, les objectifs de lanalyse en cours et lchancier
propos.

13.

Identification des objectifs de scurit avec les participants:lors de la


rencontre initiale de collecte de donnes pour la cration des scnarios, il est
ncessaire didentifier les objectifs de lorganisation en matire de scurit de
linformation. Ces objectifs sont exprims via les besoins en matire de
confidentialit, intgrit, disponibilit. etc. Lanalyste pourra utiliser une liste de
menaces ou les rsultats de lanalyse de vulnrabilits pour favoriser la
discussion et lmergence de scnarios lors des focus group.

14.

Identification de lapptence au risque:Il est ncessaire didentifier


lapptence au risque de lorganisation pour ajuster les dommages et lutilit
pour obtenir lUtilit espre telle que perue par lorganisation.Lchelle
curseur peut tre utilise pour valuerlapptenceau risque. La valeur neutre
est 1, une valeur de plus de 1 est utilis pour indiquer laversion au risque, en
augmentant lUtilit espre de llment risque. une valeur entre 0,01 et 0,99
reprsente une propension au risque, par une diminution de lUtilit espre.

201

Chapitre 8

15.

Identification de trente (30) scnarios:il sagit didentifier les scnarios de


risque de faon sommaire.Lescnario de risque*n(A,',(), ou n est un nombre
entier squentiel, incluent une description sommaire de lala (A) et des
vnements ou squences dvnements, des actions, des dcisions et des
facteurs connexes qui ont rendu possible lexploitation dune vulnrabilit
(')dont le rsultat est undommage((). Ces description sommaires sont
enrichies lors de la prochaine tape.

Une fois les trente scnarios identifies et dcrits sommairement lors de la rencontre avec
les participants, lanalyse devra effectuer un travail danalyse et de documentation des
scnarios. cette fin, il est propos dutiliserle formulaire de documentation des scnarios
de risque informationnel ou loutil disponible en ligne.
16.

Analyse et de documentation des scnarios: lobjectif de ce travail danalyse et


de documentation et damener un plus grand niveau de dtail.

202

Introduction la gestion de risque informationnel

cette fin, il est propos dutiliser le formulaire disponible la fin de cette section de ce
chapitre.Le formulaire est aussi disponible sur interNet. Les informations minimales
ncessaires sont dcrites ci-dessous:
Nom du scnario:un nom qui dcrit le scnario. Par exemple, un scnario de
risque portant sur le vol didentit dun client de lorganisation pourrait se
nommer vol didentit.
Nom de lorganisme:le nom de lorganisation pour laquelle le scnario est cr.
Date de cration du scnario:la date de cration du scnario.
Ayants cause: les individus impliqus dans le scnario, qui devraient inclure les
propritaires des actifs informationnels en cause et ceux qui sont impliqus dans
les processus daffaires relis aux actifs.
Description du scnario de risque ou de lala:description dtaille de lala (A) et
des vnements ou squences dvnements, des actions, des dcisions et des
facteurs connexes qui ont rendu possible lexploitation dune vulnrabilit
(')dont le rsultat est undommage((). Il sagit de dcrire avec plus de dtails ce
qui sera dvelopp avec les participants lors de ltape prcdente.
Vulnrabilit:description de la vulnrabilit, faille ou faiblesse qui rend ce
scnario possible.
Donnes historiques:documentation des donnes historiques disponibles sur des
situations similaire ce qui est dcrit dans le scnario et des sources de ces
donnes, par exemple un registre des incidents ou des rapports de support la
clientle.
Cible de ce scnario:disponibilit, intgrit, continuit, autre.
Impacts de la ralisation duscnario:descriptions des impacts et des dommages
qui rsulteraient de la ralisation de lala qui est dcru dans le scnario.

203

Chapitre 8

Mesures de mitigation en placeou envisages:description des mesures de


mitigation du risque qui sont envisages.
Contrles de gestion en place ou proposs:description des contrles de gestion en
place ou proposs.
Historique des modifications du scnario: suivi des changements fait au document
dcrivant le scnario.
Il est probable, une fois les scnarios dtaills, que les similitudes entre certain des
scnarios permettre den rduire le nombre en combinat les scnarios similaires. En
gnral, il est frquent de rduire de 30 25 scnarios par la combinaison de scnarios
similaires. Ensuite, lanalyse devra rencontrer les participants individuellement afin de
valider les scnarios dtaills. Il pour tre ncessaire dy faire des ajustements selon les
commentaires des participants.
17.

Rencontres individuelles: lors des rencontres lanalyse devra aussi valuer,


avec les participants, la probabilit de la ralisation dun scnario. Pour cela, il
utilisera des chelles curseur pour valuer les dommages et la probabilit de
ralisation des scnarios. Les chelles curseur sont imprimes et distribues
aux participant.

Pour faire la lecture des rsultats, il est suggr de les imprimer pour que la longueur soit
de 25cm, le curseur est positionn par les participants. Le rsultat est la mesure en cm
multiplie par 4, pour un maximum de 100, qui corresponds 100% ou 1. Par exemple, un
curseur 10cm = 40% ou 0,40.

204

Introduction la gestion de risque informationnel

Lvaluation de la probabilit de ralisation des scnarios peut aussi se faire lors dune
rencontre de groupe. Dans ce cas, la valeur utilis devra rsulter du consensus des
participants la rencontre. Il est aussi possible dutiliser un tableau blanc ou un autre
moyen avec les participants. Lessentiel est de laisser les participant indiquer le niveau
estim en fonction de llment valu, sur une ligne continue entre la plus bas et le plus
lev.

Lchelle curseur prsente est utilis pour lvaluation de la probabilit de ralisation du


scnario prsent. Les valeurs attribu cette variable sont entre 0,01 et 0,99, soit entre 1%
(faible) et 99% (forte). La valeur centrale, neutre ou moyenne est situ au centre de lchelle
de mesure qui reprsente 0,5, ou 50%.
Une fois la probabilit de ralisation estime, il est ensuite possible dvaluer limpact de la
ralisation du scnario. Si des sources de donnes probantes ou historiques sont
disponibles, ce sont ces donnes qui devraienttre privilgis. Autrement, lchelle

205

Chapitre 8

curseur peut tre utilise.Lchelle curseur prsente est utilis pour lvaluation de
limpact du scnario prsent.Les valeurs attribu cette variable sont entre 0,01 et 0,99,
soit entre 1% (faible) et 99% (forte). La valeur centrale, neutre ou moyenne est situ au
centre de lchelle de mesure qui reprsente 0,5, ou 50%.

Finalement, le niveau de rsilience individuelle ou organisationnelle vis vis du scnario


propos peut tre valu.

206

Introduction la gestion de risque informationnel

Ici encore, lchelle curseur peut tre utilise.Lchelle curseur prsente est utilis
pour lvaluation de limpact du scnario prsent.Les valeurs attribu cette variable
sont entre 0,01 et 0,99, soit entre 1% (faible) et 99% (forte). La valeur centrale, neutre ou
moyenne est situ au centre de lchelle de mesure qui reprsente 0,5, ou 50%.
18.

Analyse des rsultats: une fois les donnes obtenues des participants lors des
rencontres individuelles, il est possible danalyser les rsultats afin didentifier
sil y a des corrlations. Dans le cas de divergences majeures, les rsultats sont
prsents aux participants lors dune rencontre de projet.

Un exemple de lapplication de ces calculs avec un scnario hypothtique estprsent ici.

207

Chapitre 8

Lestimation du risque informationnel est ralis en utilisant les donnes obtenue lors de la
validation des scnarios de risque. Lobjectif est de crer un indice qui permet de comparer
les diffrents risques qui composent lensemble du risque valu. Idalement, cet indice
peut sexprimer en argent, dans le cas ou lutilit attendue peut tre valu en valeurs
montaires, mais ce nest pas une ncessit.
Les donnes suivantes sont utilises:
Lutilit dune lment risque y (#(y)): peut tre exprim en valeur montaire si
cest possible de lestimer ou par une valeur relative sur une chelle de 0 100
obtenue par lutilisation du curseur.
La probabilit de ralisation de lala x (Pb(x)): exprim par une valeur relative sur
une chelle de 0 1. Une probabilit de 1 est gale 100%. La valeur est obtenue
par lutilisation du curseur.

208

Introduction la gestion de risque informationnel

La somme de la probabilit des dix scnarios retenus, sr, ce qui permet de ramener
la somme des scnarios = 1 (,Pb(sr))
La vulnrabilit de llment risque E lala x ('(E,x)): exprim par une valeur
relative sur une chelle de 0 ou 1. La valeur de 1 signifie que llment risque est
vulnrable et de 0, sil ne lest pas
Les dommages, limpact ou la rduction de lUtilit espre de llment risque y
par lala x (((x)): peut tre exprim en valeur montaire si cest possible de
lestimer ou par une valeur relative sur une chelle de 0 1 obtenue par
lutilisation du curseur.
Les mesures de mitigation en place: il est ncessaire didentifier les mesures de
mitigation en place lors des rencontres dans lorganisation ou en obtenant
linformation des responsables des TI.
Les mesures de mitigation envisages: les mesures de mitigation envisages
peuvent tre identifies lors des rencontres dans lorganisation et avec les
responsables des TI.En plus, des mesures de mitigation envisages peuvent
provenir de recommandations de professionnels de la scurit de linformation, de
consultants, de recherches, de cadres de gestion, de normes ou de dautres sources.
La rsilience de lorganisation tudie o lala x )(o,x): exprim par une valeur
relative sur une chelle de 0 1. Une rsilience de 1 est gale 100%. La valeur est
obtenue par lutilisation du curseur lors des rencontres individuelles ou de
groupe.
Lapptence de lorganisation (-(o)): exprim par une valeur relative sur une
chelle de 0 1.5. Elle est cependant mesure avec lchelle curseur de 0 1, ce
qui oblige un ajustement (de +0.5) Une apptence de 1 reprsente la neutralit
face au risque. Une organisation qui veut prendre des risques (risk seeking) aura
une valeur ajuste entre 0 et 1. Une organisation qui a une aversion au risque (risk

209

Chapitre 8

averse) aura une valeur entre 1 et 1.5. Une valeur de 1.5 signifie une grande
aversion au risque par laugmentation de la valeur perue (utilit espre) ou de la
participation aux objectifs informationnels de lactif informationnel (lutilit). La
valeur est obtenue par lutilisation du curseur lors de la rencontre initiale.
Le calcul de risque utilise la formule suivante:

-(o): apptence de lorganisation tudie o


'(E,x):vulnrabilit de llment risque E lala x, avec des valeurs possibles
de 1, si llment risque est vulnrable et de 0, sil ne lest pas
((x):dommage, ou rduction de lUtilit espre de llment risque y par lala
x
)(o,x):rsiliencede lorganisation tudie o lala x
#(y): utilit dune lment risque y
Pb(x): probabilit de ralisation de lala x
,Pb(sr): somme de la probabilit des dix scnarios retenus, sr, ce qui permet de
ramener la somme des scnarios = 1

210

Introduction la gestion de risque informationnel

Lexemple prsent prcdemment est explicit ici:

211

Chapitre 8

19.

Compilation des rsultats: Ensuite, il est ncessaire de compiler les rsultats


dans un tableau ou, mieux encore, dans un chiffrier (Excel). Les rsultats de
toutes les rencontres sont prsents aux participants dans le cadre dune
rencontre de projet.

Scna

Utilit

rio

Appt

Dom

Pb

Rsili

ence

mages ralisa ence

Indice de
Risque

tion
Z001

100000

0.52

0.43

0.31

0.25

23 853.68

Z002

100000

0.52

0.8

0.25

0.25

35 789.47

Z003

100000

0.52

0.5

0.01

0.8

279.61

Z004

100000

0.52

0.9

0.01

0.3

1 342.11

Z005

100000

0.52

0.5

0.5

0.2

55 921.05

Z006

100000

0.52

0.3

0.1

0.3

4 473.68

Z007

100000

0.52

0.9

0.1

0.5

8 052.63

Z008

100000

0.52

0.5

0.8

0.3

59 649.12

Z009

100000

0.52

0.2

0.1

0.5

1 789.47

Z010

100000

0.52

0.1

0.1

0.8

559.21

Total Pb:

Total:

212

Introduction la gestion de risque informationnel

Dans la phase de mobilisation les actions retenues aprs lapplication des stratgies
dcisionnelles seront mises en oeuvre, gnralement sous la forme de projets, en tenant
compte des aspects relis la gestion du changement dont nous avons discuts
prcdemment.
Scn

Indice

Mesu

Rduction

Rduction

Risque

Risque

ario

de

res de

des

de la Pb

mitig

rsiduel

risque

mitig

dommages

de

ation

ralisation

Z001

23 853.68

20,000$

0.9

0.9

19 321.48

4 532.20

Z002

35 789.47

91,000$

0.3

0.5

23 263.16

12 526.32

Z003

279.61

0$

0.99

0.5

16.84

0.08

Z004

1 342.11

2,000$

0.9

0.5

15 436.43

812.44

Z005

55 921.05

10,000$

0.9

0.5

643 184.38

33 851.81

Z006

4 473.68

2,000$

0.9

0.5

51 454.75

2 708.14

Z007

8 052.63

20,000$

0.9

0.5

92 618.55

4 874.66

Z008

59 649.12

10,000$

0.5

0.5

541 628.95

180 542.98

Z009

1 789.47

2,000$

0.9

0.5

20 581.90

1 083.26

Z010

559.21

2,000$

0.9

0.5

6 431.84

338.52

213

Chapitre 8

Lensemble des actions de mobilisation ($), pourune priode de temps (%t) dfini priori
dans un espace (s) donn, formeront le portfolio de mesures (&) compos des actions de
mobilisation individuelles ($n).Ces actions de mobilisation vont gnralement prendre
les formes suivantes:
Ignorer le risque: lorganisation peut dcider consciemment dignorer le risque.
viter le risque: lorganisation pourra dcider de ne pas poursuivre une
opportunit car elle considre que le risque ne vaut pas la chandelle.
Accepter le risque: lorganisation dtermine que le risque associ une situation
donne est acceptable pour lorganisation compte tenu de ses contraintes, des ses
objectifs daffaires ou de sa capacit de rsilience.
Mitiger le risque : par la mise en oeuvre de mcanismes de protection, de dtection
ou de rponse, par exemple par la mise en place dun pare-feu, une organisation
rduira la menace dintrusion de son rseau informatique via lInternet.
Transfrer le risque: une organisation pourrait dcider de prendre une police
dassurance qui couvre un risque prcis, une organisation pourrait aussi transfrer
le risque un tiers ou lexternaliser via dautres mcanismes.

Cration des portfolios de risque


20.

Les portfolios sont cr en combinant diffrents scnarios de risque ensemble.


Par exemple, dans le portfolio A deux scnarios Z002 et Z003, peuvent se
combiner pour crer un portfolio de risque.

214

Introduction la gestion de risque informationnel

Slection dun portfolio


21.

Une fois les diffrents portfolios identifis, le comit de projet pourra choisir le
portfolio qui reprsente la capacit de lorganisation de raliser des projets
durant la prochaine anne ou la prochaine priode budgtaire. Les actions de
mitigation de risque des scnarios retenus dans le portfolio servirons
llaboration du projet de plan directeur.

Dans lexemple prsent la page suivante:


le portfolio A est compos des scnarios Z002 et Z003.
le portfolio B est compos des scnarios Z001, Z002, Z006, Z008 et Z009.
le portfolio C est compos des scnarios Z001, Z002, Z003, Z005 et Z008.
le portfolio D est compos de tout les scnarios.

215

Chapitre 8

A
Z001
Z002

Z003

Z004

Z005

Z006

Z007

Z008

Z009

x
x

Z010

x
35806

857643

1458868

1655208

Mitigation 91000

125000

131000

159000

Mitig 23280

656250

1227414

1413938

Rsiduel

12526

201392

231 453.39

241270

Efficacit

65%

77%

84%

85%

Risque

216

Introduction la gestion de risque informationnel

La composition des portfolio doit permettre de prsenter des options au comit de


gouvernance du risque. Les portfolios doivent prendre en compte les objectifs de
gouvernance du risque et les budgets disponible pour grer le risque. Le portfolio retenu
servira crer lbauche du plan directeur. Plus clairement, ce sont les mesures de
mitigation du risque associs au scnario retenu qui composeront le plan directeur.

Proposition et approbation du plan directeur


22.

Une fois le projet de plan directeur ralis, il sera soumis au comit de


gouvernance du risque qui pourra le modifier et ensuite procder son
approbation.

Mise en oeuvre du plan directeur


Une fois le plan approuv par le comit de gouvernance, la mise en oeuvre des actions de
mitigation de risque sera raliss dans un approche par projets par des quipes
comptentes.

Slection dun portfolio


Une fois les diffrents portfolios identifis, le comit de projet pourra choisir le portfolio
qui reprsente la capacit de lorganisation de raliser des projets durant la prochaine

217

Chapitre 8

anne ou la prochaine priode budgtaire. Les actions de mitigation de risque des


scnarios retenus dans le portfolio servirons llaboration du projet de plan directeur.

Proposition et approbation du plan directeur de gestion du risque


informationnel
Une fois le projet de plan directeur ralis, il sera soumis au comit de gouvernance du
risque qui pourra le modifier et ensuite procder son approbation.

Mise en oeuvre du plan directeur


Une fois le plan approuv par le comit de gouvernance, la mise en oeuvre des actions de
mitigation de risque sera raliss dans un approche par projets par des quipes
comptentes.

218

Introduction la gestion de risque informationnel

Exercice en classe
La firme informatique ABC Qubec inc. a sign un contrat dimpartition de services TI de
10 ans avec Hydro-Qubec (HQ). Comme expert en gestion de risque informationnel
dHQ, vos patrons vous demandent de faire une analyse de risque. Indiquez, documentez
et justifiez 3 scnarios de risque potentiel susceptible de causer des dommages dans le cas
de cette situation dimpartition.
Scnario 1:
Quel lment est risque
Quel est lala ?
Quelle est la vulnrabilit qui peut tre exploite ?
Quels sont les dommages envisags?
Quand et o ?
Scnario 2:
Quel lment est risque ?
Quel est lala ?

Quelle est la vulnrabilit qui peut tre exploite ?

219

Chapitre 8

Quels sont les dommages envisags?

Quand et o ?

Scnario 3:

Quel lment est risque ?

Quel est lala ?

Quelle est la vulnrabilit qui peut tre exploite ?

Quels sont les dommages envisags?

Quand et o ?

220

Introduction la gestion de risque informationnel

Ensuite, compltez le tableau suivant, en assumant que lorganisation a une apptence au risque
neutre et un niveau de rsilience moyen.
Scnari
o

Utilit Apptenc Dommage


Pb
Rsilienc
e
s
ralisatio
e
n

Risque

1
2
3
Total:
Ensuite :
Scnari Risque Mesures Rductio Rductio
o
de
n des
n de la
mitigatio Dommag
Pb
n de
es
ralisati
risque
on

Risque
mitig

Risque
rsiduel

Z001
Z002
Z003
Total:

Et finalement :
Scnario Mesures Risque
de
rsiduel
mitigation

Z001

50 000

Z002

25 000

Z003

20 000

Risque :
Mesures de mitigation :
Risque mitig :
Risque rsiduel :
Efficacit :

221

Chapitre 8

222

Introduction la gestion de risque informationnel

Questions de rvision
1)Indiquez si lnonc suivant est vrai (V) ou faux (F) ?
_____: Lidentification (I) et la priorisation (P) sont des processus danalyse de risque.
_____: La mobilisation (m), est la mise en oeuvre des dcisions de la phases
didentification (I) seulement.
_____: En gnral, il est commun de permettre de rduire de 30 25 ou 26 scnarios par la
combinaison de scnarios similaires.
_____: Les portfolios de risque utilisent toutes les mesures de mitigation de risque pour
laborer le plan directeur.
_____ :il sera ncessaires de prvoir des actions punitives en cas de respect des deux
premiers axes (prvention et protection).

223

Chapitre 8

2) Compltez les phrases avec les termes qui convient le mieux :


A. prvention
B. protection
C. punition
1.

Un processus formel danalyse de risqueest une mesure de __________.

2.

En cas de contournement volontaireslorganisation devrait mettre en place des


mesures de __________.

3.

Une politique de scurit est une mesure de __________.

4.

Des audits TI annuels sont est une mesure de __________.

5.

Un programme de sensibilisation des employs et de formation des ressources


informatiques est une mesure de __________.

6.

La mise en oeuvre dactions de mitigation de risque est une mesure de __________.

7.

Lallocations des rles et des responsabilits en matire de gestion des individus


dans lorganisation est une mesure de __________.

8.

La mise en oeuvre de processus de gestion des incidents, de recouvrement en cas de


sinistres et de continuit des affaires sont desmesures de __________.

9.

En cas de non respect lorganisation devrait mettre en place des mesures de


__________.

10.

Le premier des trois axes du modles des 3P de la scurit de linformation est la


mise en oeuvre de mesures de __________ dans lorganisation.

3) En considrant les valeurs suivantes, estimez le risque et indiquez vos calculs:


-(o): 0,75
'(E,x): 1
((x): 0,36
)(o,x): 0,3
#(y): 700 000$

224

Introduction la gestion de risque informationnel

Pb(x): 0,43
,Pb(sr): 1
Complter lanalyse de risque suivante:

225

Chapitre 8

4) tude de cas: analyse de risque en situation dimpartition et dinfonuagique.


Un centre de sant, le CSSS Mtro Longueuil, a un seul point de service situ la station
de mtro Longueuil-Universit de Sherbrooke. Il emploi 300 personnes, principalement
des professionnels de la sant et dessert une clientle de 50 000 rsidents situ proximit.
Le CSSS tudie actuellement deux possibilits pour ses besoins en TI:
option 1: de convertir toutes ses applications en infonuagique avec Google Apps,
son courriel sur GMail et ses serveurs de donnes sur Google Docs.
option 2: dimpartir tous ses systmes, ses logiciels et ses serveurs chez CGI
Vous tes consult en tant quexpert en gestion de risque par le CSSS. On vous pose les
questions suivantes (vous devez justifier vos rponses):
1.

Quels sont les principaux risques dans ces deux options ?

2.

Quels sont les risques inacceptables ?

3.

Quel est loption qui compte le plus bas niveau de risque ?

4.

Quelles sont les mesures de mitigation de risque qui pourrait tre mise en place
dans chacune des options ?

5.

Quelle est votre recommandation lorganisation ?

226

Introduction la gestion de risque informationnel

6) La firme informatique ABC Canada a sign un contrat dimpartition de services TI de 5


ans avec une grande institution cooprative qui comte 6000000 de membres, ses clients, et
un actif global de 174 milliards de dollars. Elle regroupe un rseau de coopratives de
services financiers, les caisses, de mme qu'une vingtaine de socits filiales, notamment
en assurances de personnes et de dommages, en valeurs mobilires, en capital de risque et
en gestion d'actifs.
Vous avez t mandat comme expert en gestion de risque informationnel par linstitution
financire. Indiquez, documentez et justifiez 5 scnarios de risque potentiels susceptible de
causer des dommages dans le cas de cette situation dimpartition. Pour chaque scnario
identifiez:
1.

Quel lment est risque ?

2.

Quel est lala ?

3.

Quelle est la vulnrabilit qui peut tre exploit ?

4.

Quels sont les dommages envisags?

5.

Quand et o ?

227

Introduction la gestion de risque informationnel

Bibliographie
Aamodt, A.M. (1991).Ethnography and epistemology, Dans Morse (Ed.), Qualitative Nursing Research: a
contemporary dialogue, pp 40-53, Newbury Park: Sage
Abravanel, H., Allaire, Y., Firisirotu, M.E., Hobbs, B., Poupart, R., Simard, J-J. (1988),La culture
organisationnelle: aspects thoriques, pratiques et mthodologiques, ditions Gatan Morin, Canada
Alberts, C.J. (1999),Octave Framework version 1.0, technical report, Carnegie Mellon University, rvis en
2001
AMA Association mdicale mondiale (2004),DCLARATION DHELSINKI DE LASSOCIATION
MDICALE MONDIALE, Principes thiques applicables aux recherches mdicales sur des sujets
humains, Helsinki, Juin 1964 et amends en 1975, 1983, 1989, 1996, 2000, 2002 et 2004
Anderson JG (2002)Security of the distributed electronic patient record: a case-based approach to
identifying policy issues, International Journal of Medical Informatics, pages 111118
Association of American Medical Colleges (2002)Information Technology Enabling Clinical Research,
Findings and Recommendationsfrom a Conference Sponsored by the Association of American Medical
Colleges with Funding from the National Science Foundation
Baillargeon, Normand (2006), Petit cours dautodfence intellectuelle, ditions Lux, Montral
Barber, B (1998)Patient data and security: an overview, international journal of medical informatics, no 49,
pages 19-30

Introduction la gestion de risque informationnel

Chapitre 7

Bakker, Ab (2004)Access to EHR and access control at a moment in the past: a discussion of the need and
an exploration of the consequences, International Journal of Medical Informatics
Beucher, S., Reghezza, M., (2004)Les risques (CAPES Agrgation),Bral
Blakley, B., McDermott, E., Geer, D.(2001),Session 5: less is more: Information security is information risk
management, Proceedings of the 2001 workshop on New security paradigms
Blobel, Bernd (2000)Advanced toolkits for EPR security, International journal of medical informatics, no 60,
pages 169-175
CIHR (Canadian Institutes of Health Research) (2002)Secondary use of personal information in health
research: Case studies, Canadian Institute of Health Research
Clusif, Club de la scurit des informations franais (2000)MHARI
Cooper, M.D. (2000)Towards a model of safety culture.Safety Science,36: p. 111 136
Costermans, J. (1998)Les activits cognitives, raisonnement, dcision et rsolution de problmes, dition
DeBoeck Universit, France
Cox, S. and R. Flin (1998)Safety culture: philosophers stone or a man of straw?,Work & Stress,12(3): p.
189-201.
Dejours, C. (1995),Le facteur humain, Presses Universitaires de France.
Douglas, M., Wildavsky, A. (1984),Risk and Culture, cit dans Beucher, S., Reghezza, M., (2004)Les risques
(CAPES Agrgation),Bral
Dumont, H. (2002).Lthique de la recherche, ditions des presses de lUniversit de Montral, Montral,
Qubec
Festinger, L. (1957)A theory of cognitive dissonance, Stanford University Press, Stanford, USA

230

Introduction la gestion de risque informationnel

Fortin, C., Rousseau, R. (1992), Psychologie Cognitive: une approche de traitement de linformation,
Presses de lUniversit du Qubec, Qubec, Canada
Fortin, M.-F., Ct, J., Filion, F. (2006).Fondements et tapes du processus de recherche, Chelire ducation,
Montral (Qubec), 485 pages
Gauthier, B. (2003).Recherche sociale: de la problmatique la collecte de donnes, 4imedition, Presses
de lUniversit du Qubec
Gravley, D. (2001), Risk, Hazard and Disaster,University of Cantenbury, New Zeland
Guldenmund, F.W. (2000)The nature of safety culture: a review of theory and research. Safety Science, 34:
p. 215 257.
Hammersley, M., Atkinson, P. (1983)Ethnography, principles in practice, London, New York: Tavistock
Hatcher, M. (1998)Decision-Making With and Without Information Technology in Acute Care Hospitals:
Survey in the United States, Journal of Medical Systems, Vol. 22, No. 6
Hillson, D. (1999)Risk Management for the new millenium,Symposium conference paper
Hillson, D. (2003)What is risk?,results from a survey exploring definitions
International Standards Organisation (1999)Guide 51 security aspects, Guidelines for their inclusion in
standards, International Standards Organization
International Standards Organisation (2002)Guide 73, Management du risque, Vocabulaire, Principes
directeurs pour lutilisation dans les normes, International Standards Organization
International Standards Organisation (2005),ISO17799, Code of practice for Information security

231

Chapitre 7

Janczewski, Lech, and Shi, Frank Xinli (2002)Development of Information Security Baselines for
Healthcare Information Systems in New Zealand,Computers & Security, Volume 21, Issue 2, 3 pages
172-192
Jung, C.G. (1971)Psychological Types, Routledge & Kegan Paul, London, UK (Collected Works of C.G. Jung,
Vol. 6).
Kahneman, D., Tversky, A. (1979)Prospect theory: An analysis of decision under risk,Econometrica, 47,
263-291.
Keil, M., Wallace, L., Turk, D., Dixon-Randall, G., Nulden, U. (2000)An investigation of risk perception and
risk propensity on the decision to continue a software development project, The Journal of Systems and
Software, pages 145-157
Kerkri, E. M. Quantin, C., Allaert F.A., Cottin, Y., Charve, P.H., Jouanot, F., Ytongnon, K.,An Approach for
Integrating Heterogeneous Information Sources in a Medical Data Warehouse, Journal of Medical
Systems, Vol. 25, No. 3, 2001
Keynes. J.M. (1937)The General Theory of Employment, Quarterly Journal of Economics, Vol. 51, p.209-23.
Knight, Frank H. (1921)Risk, Uncertainty, and Profit, Boston, MA: Hart, Schaffner & Marx; Houghton
Mifflin Company
Lagadec, P. (2003)Risques, Crises et Gouvernance: ruptures dhorizons,ruptures de paradigmes, Ralits
Industrielles, Annales des Mines, numro spcial: Sciences et gnie des activits risques, Mai 2003, pages
5-11
Laperrire, A. (2001).Les critres de scientificit des mthodes qualitatives, dans Poupart et als, La
recherche qualitative, Enjeux pistmologiques et mthodologiques, Gatan Morin diteur, Canada, p.
366-389

232

Introduction la gestion de risque informationnel

Ledbetter, Craig S., Morgan, Matthew W.,Toward Best Practice: Leveraging the Electronic Patient Record
as a Clinical Data Warehouse, JOURNAL OF HEALTHCARE INFORMATION MANAGEMENT, vol. 15, no.
2, summer 2001
Lger, Marc-Andr (2003),Un processus danalyse des vulnrabilits technologiques comme mesure de
protection contre les cyber-attaques, Rapport dactivit de synthse, Prsent comme exigence partielle de
la Matrise en informatique de gestion, Juin 2003.
Lger, Marc-Andr (2004), Mthodologie de gestion du risque en matire de scurit de
linformation,ditions Fortier Communications,Montral, en rvision, ISBN2-9808504-0-3, 2004
Loper, Dr. D. Kall,Profiling Hackers: Beyond Psychology, Presented at the Annual Meeting of the American
Society of Criminology, San Francisco, California, USA, November 15, 2000
Miller, Gerald C., Ph.D., Datawarehousing and information management strategies in the clinical
immunology laboratory, Clinical and Applied Immunology Reviews, 2002
Pidgeon, N.,Safety culture: key theoretical issues.Work & Stress, 1998.12(3): p. 202 216.
Richter, A., Koch, C.,Integration, differentiation and ambiguity in safety cultures, Safety Science, vol 42,
2004, pages 703722
Schein, E.H. (1992)Organisational culture and leadership, San Francisco, Jossey-Bass
Schumacher, H. J., Ghosh, S.,A fundamental framework for network security, Journal of Network and
Computer Applications, 1997, pages 305322
Scott-Morton M.,The Corporation of the 1990s: Information Technology an Organisational
Transformation, Oxford University Press, 1991

233

Chapitre 7

Shortreed, J., Hicks, J., Craig, L. (2003)Basic Frameworks for Risk Management, Final Report, Prepared for
The Ontario Ministry of the Environment, Network for Environmental Risk Assessment and Management,
March 28, 2003
Smith, E. Eloff, J.H.P.,Security in health-care information systems current trends, International journal of
medical informatics, no 54, 1999, pages 33-54
Stoneburner, G., Goguen, A., Feringa, A. (2002)NIST Special Publication 800-30 Risk Management Guide
for Information Technology Systems,National institute of science and technology, USA
Taversky, A., & Kahneman, D. (1992)Advances in prospect theory: Cumulative representation of
uncertainty,Journal of Risk and Uncertainty, 5, pp. 297323
von Neumann, J. and Morgenstern, O. (1944)Theory of Games and Economic Behavior, Princeton
University Press.
Watkins, Michael D., Bazerman, Max H.,Predictable Surprises: The Disasters You Should Have Seen
Coming, Harvard Business review Online, 2003
Whittemore, R., Chase, S., Mandle, C. (2001)Validity in Qualitative Research, Qualitative Health Research,
Vol 11 No 4, pages522-537

234