Académique Documents
Professionnel Documents
Culture Documents
CLUSIF Gestion Des Risques 2008 PDF
CLUSIF Gestion Des Risques 2008 PDF
Espace Mthodes
1 Introduction .............................................................................. 6
2 Rsum .................................................................................... 7
2.1 Identification des situations de risque ........................................ 7
2.2 Options dans le mode de gestion des risques ................................ 7
2.3 Options doutillages et de bases de connaissances.......................... 7
3 Principes gnraux et dfinitions du risque ......................................... 8
3.1 Concepts de base ................................................................. 8
3.1.1 Les actifs ................................................................................8
3.1.2 La dgradation subie par un actif....................................................9
3.1.3 Les consquences subies par lentit ...............................................9
3.1.4 La cause, non certaine, de la dgradation subie par un actif ...................9
3.1.5 La notion de menace ................................................................ 10
3.1.6 La notion de vulnrabilit........................................................... 10
3.2 Dfinition du risque ............................................................. 11
3.2.1 Le risque dfini par lensemble actif, menace ou actif, menace,
vulnrabilits exploites .......................................................... 12
3.2.2 Le risque dfini par un scnario.................................................... 12
4 Options fondamentales de gestion des risques ..................................... 14
4.1 La gestion directe et individualise des risques ............................ 14
4.2 La gestion globale et indirecte des risques .................................. 15
4.3 Dfinition du risque et type de management ............................... 16
5 Lidentification des risques ........................................................... 19
5.1 Lidentification des actifs critiques (ou susceptibles de ltre) .......... 19
5.2 Lidentification des menaces et vulnrabilits ............................. 21
5.3 Lidentification des scnarios de risque ..................................... 22
6 Lestimation des risques identifis................................................... 24
6.1 Lestimation des risques pour leur gestion individualise................. 24
6.1.1 Lvaluation des enjeux ou des consquences du risque ....................... 24
6.1.2 Lvaluation de la probabilit de survenance du risque........................ 25
6.1.3 Lvaluation des effets des mesures de scurit ................................ 27
6.1.4 Lestimation des niveaux de risque................................................ 29
6.1.5 Influence du mode de dfinition du risque ....................................... 29
6.2 Lestimation des risques pour leur gestion globale......................... 29
6.2.1 Lestimation des enjeux ou des consquences du risque....................... 30
6.2.2 Lestimation du niveau de menace ................................................ 30
6.2.3 Lestimation du niveau de vulnrabilit .......................................... 31
6.2.4 Lestimation du niveau de risque .................................................. 32
7 Lvaluation des risques identifis................................................... 33
Partant de ce constat, il est clair que les risques pris doivent tre identifis,
analyss, matriss et grs et quil est alors raisonnable et sens de le faire dans
un cadre mthodologique.
Ainsi prsent, le domaine dapplication de cette tude est trs large et couvre
tous les types de risques. Cependant, lmergence et limportance de normes
spcifiques pour la gestion des risques lis la scurit de linformation fait que
nous y ferons frquemment rfrence et que les exemples pris le seront souvent
dans ce domaine particulier.
A contrario, cette tude, strictement centre sur la gestion des risques, na pas
pour objectif de porter quelque jugement que ce soit sur les avantages et
inconvnients respectifs des divers types de mthodes comme outil de
management de la scurit dans tel ou tel contexte.
La manire mme de dfinir les risques nest pas neutre quant cette orientation.
celle, au contraire, qui sappuie sur une analyse plus gnrale afin de dfinir
des objectifs et des directives de scurit propres rduire globalement les
risques, sans gestion directe et individualise des risques, et sans doute avec
une moindre intervention du management
Le premier mode de gestion des risques exige un modle volu danalyse des ris-
ques que ne demande pas le second.
Ces options relatives la gestion des risques ont des consquences directes au ni-
veau de chaque tape du processus correspondant. Ces consquences sont dcrites
dans la suite du document.
Le premier point tenter dclaircir, avant mme de parler de gestion, est celui
de la dfinition du risque qui nest pas la mme selon les mthodes.
Cette dfinition repose sur un nombre limit de concepts qui font peu prs
consensus et que nous prsenterons dabord, avant dexposer les points pour
lesquels il existe des diffrences et des espaces de dcision.
3.1 Concepts de base
Un risque provient du fait que lentit, entreprise ou organisation, possde des
valeurs , matrielles ou non, qui pourraient subir une dgradation ou un
dommage, dgradation ayant des consquences pour lentit considre.
Ceci fait appel quatre notions :
Celle de valeur , quil est dusage dappeler actif (traduction de
asset1 ) dans le domaine de la scurit de linformation
o Le matriel
o Le logiciel
o Les rseaux
1
Le terme asset est explicitement dfini et comment dans les normes de la srie ISO/IEC 27000 qui
sadressent spcifiquement aux risques lis la scurit de linformation, alors quil nest pas cit dans les
normes plus gnrales telles que le guide 73 de lISO ou la norme ISO 31000. Il a nanmoins t retenu dans ce
document, avec sa traduction sous le nom de actif car il voque bien toutes les valeurs de lentreprise, et
ses immobilisations, tant matrielles quimmatrielles, et parce quil est largement utilis par maints respon-
sables.
Le type de dommage possible dpend des catgories dactifs et autant il est facile
de lister les principaux types de dommages subis par des informations (perte de
disponibilit, dintgrit ou de confidentialit, et ventuellement dautres types
de dgradations), autant il y a peu de typologies standards ds quil sagit de
processus, ou de certains actifs de support.
Il est noter que le type de dgradation subi nest pas explicitement cit par la
norme ISO/IEC 27005 qui ne le distingue pas des consquences. Il nous semble
pourtant important de distinguer les consquences primaires, constitues par les
dgradations dactifs, des consquences secondaires ou indirectes pouvant tre
subies au niveau des processus et des activits de lentit.
Le terme de cause que nous avons employ peut tre ambigu car il peut y avoir des
causes directes (vnement au sens du guide 73) et des causes indirectes (source
au sens du guide 73), mais reprsente bien lide gnrale de quelque chose qui va
conduire la ralisation de la dgradation redoute.
Il ressort de ces quelques exemples que la menace nest pas strictement lie la
cause du risque mais permet de dfinir, en fonction de listes de menaces types,
des typologies de risques.
2
Le terme threat est explicitement dfini et comment dans les normes de la srie 27000 qui sadressent
spcifiquement aux risques lis la scurit de linformation, alors quil nest pas cit dans les normes plus
gnrales telles que le guide 73 de lISO ou la norme ISO 31000. Il a nanmoins t retenu dans ce document,
avec sa traduction sous le nom de menace car il est utilis de manire importante par certaines mthodes
de gestion des risques.
3 Ici encore, on peut noter que le terme de vulnrabilit nest pas utilis dans les normes gnrales traitant de
la gestion des risques, en particulier le guide 73 de lISO, mais lest par contre abondamment par certaines m-
thodes de gestion des risques
Il est souvent plus utile dadopter une vision des vulnrabilits oriente sur les
processus de scurisation et sur leurs dfauts ventuels. On dfinit alors une
vulnrabilit comme un dfaut ou une faille dans les dispositifs de scurit
pouvant tre exploit par une menace pour atteindre un systme, un objet ou
un actif cible.
Dans lexemple prcdent la vulnrabilit exploite est : labsence de protection
contre les intempries.
Cette vision conduit une arborescence de vulnrabilits. En effet, toute solution
de scurit a ses faiblesses et donc toute solution apporte pour rduire une
vulnrabilit comporte elle-mme des vulnrabilits.
Exemple du document crit sur support dgradable :
Solution de premier niveau : stockage labri des intempries
Vulnrabilits induites :
*****
En sappuyant sur ces concepts gnraux, plusieurs dfinitions du risque restent
possibles et sont, de fait, proposes par les diverses mthodes de gestion de
risques, tout en restant compatibles avec les documents normatifs.
3.2 Dfinition du risque
Si le concept gnral de risque ne pose pas de problme, il nen est pas de mme
ds que lon en recherche une dfinition formelle, cest--dire une dfinition qui
prcise chacun des lments constitutifs du risque. Or ces lments vont
intervenir, dabord dans le processus didentification des risques, puis dans celui
de leur estimation.
4
Lannexe C de la norme ISO/IEC 27005 donne une liste dexemples de menaces types.
*****
***
*
Sassurer que chaque risque, pris individuellement, est bien pris en charge
et a fait lobjet dune dcision soit dacceptation soit de rduction, voire de
transfert.
Risque N
Risque
Risque 3
Risque 2 Analyse et
Risque 1 Mise en place
valuation de Risque
chaque risque acceptable ? des mesures
Identification OUI slectionnes
des risques
NON
Slection de
mesures de
scurit pour
chaque risque
Sans un tel modle, il serait effectivement impossible dtablir un lien entre les
dcisions de mise en place de mesures de scurit et un niveau de risque rsiduel
en rsultant. Or ce lien est ncessaire pour une gestion individuelle des risques.
4.2 La gestion globale et indirecte des risques
Lobjectif est, dans ce cas, de dfinir une politique de scurit qui sappuie sur
une valuation des risques. Le but vis est ainsi de :
Identifier certains lments pouvant conduire des risques.
Risque N
Risque
Risque 3 Risques
Risque 2
Risque 1 Analyse et levs Mise en place
valuation des couverts de la Politique
Identification risques par Politique OUI de scurit
des risques de scurit ?
NON
Ajouts dobjectifs
la Politique
de scurit
La vision du risque peut tre partielle et ne considrer quune partie des lments
ayant une influence sur le niveau rel de risque, en particulier certaines
vulnrabilits (ou types de vulnrabilits) exploites par des menaces types.
Il faut bien noter que le niveau de risque ainsi valu lest compte tenu des seuls
lments cits dans lidentification du risque et compte tenu de linfluence de
la politique de scurit sur ces lments . Il ne peut donc pas tre retenu comme
valeur de jugement du niveau de risque rel pour lentit, mais comme une valeur
relative de limportance des objectifs de scurit retenus dans la politique de
scurit.
4.3 Dfinition du risque et type de management
Il est clair quune dfinition des risques base sur la notion de scnario est
particulirement adapte une gestion directe et individualise des risques et
quune dfinition des risques base sur les menaces et les vulnrabilits est, a
priori, adapte une gestion globale et indirecte des risques.
Il ny a, cependant, pas dobstacle thorique ce quune dfinition des risques
base sur des scnarios soit utilise pour une gestion indirecte des risques par le
biais dune politique de scurit.
De mme, il ny a pas dobstacle absolu ce quune dfinition des risques fonde
sur des menaces et des vulnrabilits soit utilise pour une gestion directe et
individualise ; cela reporte au niveau de lvaluation des risques et du choix des
mesures de scurit la recherche des divers scnarios pouvant conduire au risque
considr ou appartenir cette famille de risque.
Il sagit donc bien dune dmarche de gestion directe des risques. Par
contre, introduire les vulnrabilits dans la dfinition des risques revient
considrer que ce sont bien elles que lon entend valuer et grer. Il sagit
bien alors dune gestion indirecte des risques.
Dautre part, pour une situation de risque donne, ce nest pas une
vulnrabilit qui est concerne et exploite mais souvent plusieurs. Il est
clair, par exemple, quun scnario de piratage depuis lextrieur de
lentreprise dbouchant sur un dtournement de donnes applicatives peut
exploiter simultanment, comme vulnrabilits, la faiblesse du contrle
daccs au rseau, labsence de partitionnement du rseau et de
confinement des fichiers sensibles, la faiblesse du contrle daccs au
systme, la faiblesse du contrle daccs applicatif, labsence de
chiffrement des fichiers, etc.
Dans ces conditions, introduire dans la dfinition des risques la liste des
vulnrabilits exploites serait incontestablement une source de difficult
pour une gestion directe des risques et obligerait en outre introduire dans
une tche qui est normalement une tche de management (lidentification
des risques) une tche danalyse technique (la recherche de lensemble des
vulnrabilits concernes par cette situation de risque).
*****
***
*
Ces orientations fondamentales tant esquisses, nous allons analyser, dans les
chapitres ci-dessous, en quoi elles sont dterminantes quant au contenu de
diffrentes tapes dcrites par les normes, et en particulier par le guide 73 de
lISO, que nous rappelons ci-dessous (en gras les tapes qui seront analyses en
dtail, lenchanement entre ces tapes ntant pas particulirement trait).
Nous analyserons successivement les tapes didentification des actifs, puis celle
didentification des menaces et vulnrabilits et celle didentification des
scnarios de risque.
5.1 Lidentification des actifs critiques (ou susceptibles de ltre)
Cette tape est, incontestablement, essentielle dans lidentification des risques et
on peut distinguer deux grands types de dmarches.
La premire consiste, selon le schma indiqu ci-dessous, :
Analyser les processus et les activits de lentreprise ou de lentit et
rechercher les dysfonctionnements de ces processus qui pourraient impacter
les objectifs ou les rsultats attendus de lentit
Rechercher les actifs et les dommages subis par ces actifs qui pourraient
induire de tels dysfonctionnements
En dduire une liste dactifs (il peut tre utile alors de distinguer les actifs
les plus importants, que lon considrera comme critiques , pour ne pas
alourdir inutilement le reste des tapes de gestion des risques).
Liste dactifs et
dommages
considrer pour
lidentification des
risques
Il sagit dune dmarche centre sur les enjeux des diverses activits de lentit,
et mene de prfrence un niveau lev de management. Cette dmarche
dbouche assez naturellement sur une recherche des circonstances dans lesquelles
les dommages pourraient survenir et donc sur une dfinition de scnarios de
risques.
La deuxime dmarche consiste :
Analyser larchitecture des moyens primaires supportant lactivit (quil
sagisse du systme dinformation ou de tout autre type de moyens, tels que
les moyens de production, de logistique, de communication, etc.)
Activit N
Activit
Activit 3
Activit 2 Analyse de Dtermination des
Activit 1
larchitecture support actifs primaires et de
des processus et support des
activits processus et activits
Liste dactifs
considrer pour
lidentification des
risques
Il sagit dune dmarche beaucoup plus technique, pouvant tre mene sans laide
du management de haut niveau. Cette dmarche dbouche assez naturellement sur
une recherche des menaces pouvant agir sur ces actifs et donc sur une
identification de risques dfinis par les menaces et vulnrabilits.
Une diffrence essentielle rside dans le fait quavec une dfinition du risque
base sur la notion de scnario, le type de dommage ventuellement subi par
lactif en cas doccurrence du risque fait partie de la recherche des actifs
critiques.
Autrement dit, les critres utiliss pour valoriser les actifs, lors de la phase
destimation des risques, avec une dfinition des risques base sur les menaces,
Pour clairer nos propos, nous prendrons quelques exemples, concernant trois
types dactifs.
Dans le cadre dune vision statique des risques, des actifs identifis pourraient
tre :
Un document de planification stratgique
Dans une vision dynamique des risques par scnarios, les lments identifis seront
en plus caractriss par un type de dommage :
A. Document de planification stratgique confidentiel
B. Base de donnes de tel ou tel domaine dont lintgrit doit tre maintenue.
Les diffrences de rsultats obtenus sur ces trois exemples montrent bien quau-
del des mots et des termes employs, il y a une profonde diffrence de
conception de la dfinition dun risque.
Identifier les menaces pesant sur un actif et les vulnrabilits que ces menaces peuvent exploiter
pour atteindre lactif permet de caractriser un type de risque, mais na pas pour objectif, et ne
permet en aucun cas, didentifier directement des situations de risque susceptibles de rclamer
des actions spcifiques lors dun processus de gestion directe des risques.
Ltape que les normes ISO appellent estimation des risques ou "Risk
estimation" est, en fait, une tape de quantification des risques.
Ce que recouvre cette tape est trs diffrent selon les modes de gestion des
risques.
6.1 Lestimation des risques pour leur gestion individualise
Lobjectif est dobtenir, pour chaque risque identifi, une valuation du niveau de
risque auquel lentit est expose.
Il y a un consensus gnral sur le fait que ce niveau dpend de deux facteurs qui
sont limpact (ou le niveau de consquence du risque) et sa potentialit (ou
probabilit). Pour faire ces valuations, dans un contexte o des mesures de
scurit ont dj t prises, il faudra en outre tenir compte de la qualit de ces
mesures.
Ainsi quil a dj t dit, un modle de risque est ncessaire et est un pralable.
Cependant, quelque soit le modle propos par telle ou telle mthode, quelques
lments permanents, toujours ncessaires, peuvent tre dgags. Ce sont :
Lanalyse des enjeux ou des consquences du risque
Ces chiffres ont eux-mmes porteurs de biais car tous les sinistres ne sont
pas dclars (en particulier ceux qui peuvent porter atteinte limage des
sinistrs)
Certains sinistres ne sont mme pas connus de ceux qui les ont subis (en
particulier nombre de vols de donnes).
Que les mthodes du march proposent des chiffres qui sont une base de
dpart apprciable
Ceci tant la mthode pour dfinir ces probabilits a priori doit faire partie du
modle de risque propre ce type de management et doit comprendre les
lments dcrits ci-dessous.
a. tablir une chelle de probabilit
Lchelle de probabilit est sans doute une des premires choses faire.
Cette chelle doit exprimer des niveaux de probabilit aiss comprendre par tous
les participants au processus danalyse des risques.
Le nombre de niveaux ne devrait pas tre trop lev pour quun consensus puisse
tre facilement atteint sur les niveaux de probabilit de chaque menace.
b. valuer la probabilit a priori du scnario de risque
Lvaluation de la probabilit maximale et a priori, en labsence de toute mesure
de scurit, sera le plus souvent associe une typologie de scnarios.
Ce sera effectivement le cas si la mthode propose une base de connaissances
structure. A dfaut, il est conseill de regrouper les scnarios en types de
probabilit voisine, ce qui revient, de fait, distinguer des menaces types
communes plusieurs types de scnarios.
Cette probabilit correspond souvent, en pratique une probabilit de menace,
indpendamment du contexte propre de lentit.
c. Lvaluation de lexposition de lentit au scnario analys
Cette notion dexposition (parfois aussi appele exposition naturelle) est
fondamentale. Quelle que soit, en effet, la probabilit doccurrence de la
menace, en gnral, ce qui compte est de savoir si lentit est plus
particulirement expose ou non ce type de risque.
Cette exposition met en jeu divers facteurs tels que :
le contexte social
le contexte conomique
Il est de mme important de noter que cette exposition peut fluctuer dans le
temps.
La mthode de gestion des risques doit ainsi permettre dvaluer cette exposition,
en fonction du contexte propre de lentit, afin de dfinir, in fine, une
potentialit intrinsque du risque, en labsence de toute mesure de scurit.
Leffet de restauration
Etc.
Cette liste nest certes pas exhaustive et le modle de risque doit proposer une
typologie de ces effets, en les regroupant ventuellement, pour dcrire laction
des mesures de scurit et permettre une valuation individualise de chaque
risque.
Le modle de risque doit bien entendu dcrire la manire dobtenir ces deux
valeurs de synthse.
tout autre critre refltant une certaine hirarchie dans les consquences
(telle que la dure dune interruption de service)
Etc.
Dans un cas comme dans lautre la mthode doit dcrire le processus dvaluation
et ce processus doit permettre la prise en compte des lments de la politique de
scurit.
Ltape que les normes ISO appellent valuation des risques ("Risk evaluation") est,
en fait, une tape de jugement sur le caractre acceptable ou non des risques tels
quils sont dcrits.
7.1 Lvaluation des risques pour leur gestion individualise
Le rsultat de ltape destimation est, pour ce type de management, une
valuation de limpact (I) et de la probabilit (P) de chaque risque.
Il ne reste plus qu passer une note globale ou, plus simplement, qu dcider
des plages dacceptabilit des risques.
Compte tenu du caractre facilement accessible des deux notions de base, le
management peut aisment conclure sur ce point.
Le support de dcision peut ainsi tre :
Une fonction de Gravit du risque G = f(P, I)
Impact : I
4 2 3 4 4
3 2 3 3 4 risques insupportables
2 1 2 2 3 risques inadmissibles
1 1 1 1 2 risques tolrs
1 2 3 4 Potentialit : P
Les viter totalement par des volutions structurelles telles que le risque ne
se prsente plus
Nous aborderons ici les deux dernires options, savoir la rduction des risques ou
leur transfert vers un tiers.
Il est bien clair que la rduction des risques identifis et considrs comme
critiques est lie au mode de management choisi, mais aussi, et peut-tre
principalement, la dfinition mme de ces risques.
8.1 La rduction directe des situations de risque critiques
Comme son nom lindique, la gestion directe des situations de risque consiste
dcider, scnario par scnario, des mesures prendre.
Ceci tant, en fonction de ce que permet la mthode support, bien des options
sont encore possibles, dont deux principales :
Lappui sur une base de connaissances de scnarios de risque rfrenant les
mesures de scurit pertinentes et permettant lvaluation de leur effet en
termes de rduction du niveau de risque
Risque N
Risque
Risque 3
Risque 2 Analyse et
Risque 1 Mise en place
valuation de Risque
chaque situation acceptable ? des mesures
Identification OUI
de risque dcides
des situations
de risque
NON
Dfinition de
mesures pour
rduire chaque
risque
Politique
globale
Politiques thmatiques
Objectifs de scurit
par domaine
Dfinition dobjectifs
de contrle
complmentaires
Dfinition des
Politiques
thmatiques
de scurit
Les textes qui font rfrence, dans le domaine de la gestion des risques, insistent
tous sur la communication relative aux risques.
Il nous parait, effectivement, essentiel que lorsquune entit sengage dans une
vritable gestion des risques, il y ait un consensus et une connaissance partage
sur :
Les risques tolrs parce que leur niveau a t jug admissible, ce qui ne
veut pas dire qu ils ne surviendront pas et quil ne faudra pas ragir alors,
Les risques que lon a dcid de rduire, mais qui ne le seront qu plus ou
moins long terme (le temps que les projets correspondants soient lancs et
aboutissent),
Au-del des outils de communication, il est certain que communiquer sur des
situations de risque a un sens et peut engendrer des comportements
responsables, alors que communiquer sur des menaces et des vulnrabilits
sera plus difficile matriser et peut ne pas susciter ladhsion du management.