Académique Documents
Professionnel Documents
Culture Documents
Introduction À La Gestion de Risque PDF
Introduction À La Gestion de Risque PDF
INTRODUCTION
LA GESTION DE RISQUE INFORMATIONNEL
PA R M A R C - A N D R L G E R
http://www.leger.ca
marcandre@leger.ca
!
!2
Table des matires
!
!3
Chapitre 1: La scurit 8
Informatique ou informationnel ? 11
Mise en oeuvre sur le terrain 15
Le risque 23
La gestion de risque 27
Exercice raliser en classe 36
Questions de rvision 38
Bibliographie de ce chapitre 45
Chapitre 2: La gestion de risque informationnel 46
La perception 51
Le changement 55
Questions de rvision 61
Bibliographie 67
Chapitre 3: Lala 68
Les menaces pouvant causer des dommages matriels 70
Les menaces pouvant causer des dommages immatriels 72
Hackers 79
Alas dans les projets TI 81
Alas en impartition 84
Alas en infonuagique 86
Sources dalas potentiels en infonuagique 87
Exercice faire en classe 89
Bibliographie 98
Chapitre 4: Les vulnrabilits 99
Questions de rvision 108
Chapitre 5: Limpact 112
Externalisation 119
Assurance 120
Exercices raliser en classe 121
Questions de rvision 124
Bibliographie 128
Chapitre 6: La norme ISO 27005 129
Les domaines de la norme 132
Les critres de base dISO 27005 134
!
!4
Les critres dacceptation des risques dISO 27005 136
Lorganisation de gestion de risque informationnel 138
Lvaluation des risques: 140
Lidentification des actifs informationnels 142
Lidentification des contrles existants 145
Lidentification des consquences 148
Les mthodes de mesure du risque selon ISO 27005 150
Lestimation qualitative du risque 150
Lestimation quantitative du risque 151
Lvaluation des consquences 152
Lvaluation de la probabilit de ralisation des incidents 154
Estimation du niveau de risque 156
Lvaluation du risque 156
Chapitre 7: Les mthodologies danalyse de risque 159
Comprendre ce quest une mthodologie. 160
La validit interne et externe 162
La mesure des variables 163
Les chelles de mesure 165
L'chantillonnage 167
OCTAVE 168
MHARI 172
Les lments de MHARI 173
EBIOS 176
Ltablissement du contexte 177
Lapprciation des risques 177
Le traitement des risques 179
La validation du traitement des risques 179
La communication et la concertation relatives aux risques 179
La surveillance et la revue des risques 181
Une dmarche itrative en cinq modules 181
Module 1 tude du contexte 181
Module 2 tude des vnements redouts 182
Module 4 tude des risques 183
!
!5
Module 5 tude des mesures de scurit 183
Questions de rvision 184
Chapitre 8: Le processus IPM 190
Avant de dbuter lanalyse 191
Phase 1: identification et valuation des scnarios de risque 193
Cration des portfolios de risque 209
Proposition et approbation du plan directeur 212
Mise en oeuvre du plan directeur 212
Slection dun portfolio 212
Proposition et approbation du plan directeur de gestion du risque informationnel213
Mise en oeuvre du plan directeur 213
Exercice en classe 214
Questions de rvision 218
Bibliographie 223
!
!6
Introduction
Ce livre porte sur la gestion du risque informationnel, cest--dire sur la gestion des
risques associs la gestion des informations dans les organisations. Nul ne douteront que
TIC, crent des risques que les organisations doivent matriser. De plus, laccs
moment opportun et dans divers lieux, est critique au fonctionnement efficace des
organisations en ces temps de globalisation. Cest ce qui rend un livre comme celui-ci
essentiel tous les gestionnaires, les responsables des TIC, les quipes techniques et
Du matriel multimdia et des vidos accompagne ce livre via le lien internet suivant:
http://crhoma.org/blogue/materiel/
!
Introduction la gestion de risque informationnel
par Marc-Andr Lger
Introduction la gestion de risque informationnel
Chapitre 1: La scurit
Lorganisation qui souhaite grer ses risques informationnels le fait souvent dans une
Cette dfinition gnrale est applicable dans plusieurs contexte. Par exemple, un individu
se sentira en scurit sil peroit quil nest pas en prsence de risques quil considre
direction. Dans ce cas il ne traversera pas la rue, il attendra que la lautomobile ai pass et
que la situation soit devenue scuritaire. Ainsi la notion de scurit est indissociable de
celle durisque.
!
!8
Chapitre 1
Cest--dire que lon peut tre plus ou moins en scurit, dpendant de lintensit
durisqueauquel nous faisons face, et ltendue des intrts viss.Il nexiste aucun seuil
La scurit est un sentiment qui, au mme titre que la confiance, varie en fonction des
sentiment que nos intrts les plus fondamentaux ne sont pas menacs par des agents
disposs poser des gestes susceptibles de nous tre prjudiciables, fait que nous navons
pour protger ces intrts, que nous pouvons au contraire investir ces ressources dans des
scurit nexige pas que nous soyons labri de tout risqueinacceptable, mais plutt que
ceux auxquels nous faisons face se situent lintrieur dun cadre de rgles et de pratiques
auxquels nous consentons. Le sentiment de scurit peut tre influenc par des biais
varis. Ces biais, sils sont avrs, causeront un dcalage entre la situation relle et la
!
!9
Introduction la gestion de risque informationnel
Cette tolrance lacceptabilit peut varier dans le temps et selon le contexte. Par exemple,
il est possible de tolrer un risque si les bnfices envisags par une activit, mme court
terme, sont perus comme tant suffisamment levs pour justifier les possibles rsultats
Un individu de 24 ans qui sadonne dans ses loisirs un sport extrme, par
exemple la parachutisme depuis un immeuble ou un pont (base jumping),
dont il retire un plaisir apport par une surdose dadrnaline,
considre lexercice de ce sport comme un risque acceptable. 50 ans, il est
moins certain quil pratiquerait ce sport.
non dsirables.
!
!1 0
Chapitre 1
Informatique ou informationnel ?
priphriques et autres lments techniques qui sont utiliss en TIC. Linformatique est le
En considrant que ce qui contribue le plus la cration dun avantage comptitif dune
informationnel. Quand nous parlerons de mesures particulires qui ont pour but de
permettre de rduire, contrler ou mitiger les risques, alors nous entrerons dans la scurit
que nous lavons prsent prcdemment. Elle est dfinie comme lensemble des actions et
accidentelle des informations dtenues par une organisation. Lensemble des ces
!
!1 1
Introduction la gestion de risque informationnel
informationnelles, actifs informationnels et lensemble des TIC qui sont utiliss durant le
Ces objectifs varient selon les situations, les contextes et le temps. Les objectifs de scurit
besoins d'affaires,
analyse de risque,
politiques de scurit,
recueilsde pratiques exemplaires,
obligations lgales ou contractuelles,
lois et rglements, accords internationaux,
codes d'thique, de dontologie ou de gouvernance,
normes locales, sectorielles, nationales ou internationales.
Ce sont ces sources des objectifs de scurit de linformation qui doivent tre identifies
!
!1 2
Chapitre 1
Par exemple, dans le contexte dun organisation dans le domaine de la sant au Qubec
(Canada), nous identifions des objectifs de gestion de risque informationnels qui peuvent
composants logicielles peuvent comporter des failles ou des bogues. Les composantes
pourrait tre compromise), modifi de manire inapproprie (son intgrit peut tre
!
!1 3
Introduction la gestion de risque informationnel
compromission des donnes pourra causer une rduction de lavantage comptitif que
lorganisation esprait obtenir des TIC, tel que des pertes conomiques au propritaire de
linformation, quelles soient avres ou non. La perte pourrait tre directe (par la
!
!1 4
Chapitre 1
Prvention
3P Protection
Punition
!
!1 5
Introduction la gestion de risque informationnel
La politique de scurit
dune politique de scurit qui sintgre dans le premier P: la prvention. Cette politique
dcrit ce qui est autoris et ce qui est interdit.La politique de scurit de linformation
La politique de scurit inclut des lments tels que: la politique degestiondes risques, la
planification de la poursuite des activits, la production de rapports sur les incidents et les
la scurit et la formation.
La politique peut tenir compte de tout systme dinformation critique ou des exigences
ncessaire que soient assign les rles et les responsabilits en matire de scurit de
Dans les organisations qui effectuent des projets de dveloppement, il faut inclure la
!
!1 6
Chapitre 1
devrait au minimum:
!
!1 7
Introduction la gestion de risque informationnel
!
!1 8
Chapitre 1
Dans un premier temps le chef de projet devrait tre identifi. Celui-ci pourra prendre en
!
!1 9
Introduction la gestion de risque informationnel
Lorganisation devra dfinir ses objectifs de scurit, les exprimer en terme de besoins
de son patrimoineinformationnel. Entre autre, cela lui permettra didentifier les lments
sattaquer en premier. Il est propos de rencontrer les ayants cause de la scurit, cest--
dire les membres de lorganisation qui ont un rle jouer da la scurit de linformation,
les propritaire des actifs informationnels et les gestionnaires de lorganisation pour
Objectifs de scurit
Politique de scurit
!
!2 0
Chapitre 1
Amlioration continue
videmment, le travail nest jamais termin.La scurit de linformation doit appliquer les
de vrification sont effectues maintes et maintes fois, et les leons apprises chaque fois
"
!
!2 1
Introduction la gestion de risque informationnel
Principe de prudence
limportance relative dun actif informationnel, sur limportance des dommages, sur la
probabilit de ralisation dun ala ou en cas dincertitude quant aux rsultats, les
vertueuse et prudente afin de minimiser les risques. Ils devraient diligemment chercher
obtenir suffisamment dinformations pour prendre une dcision claire. Ceci ne signifie
pas quil est prfrable de ne pas prendre de dcision, ce qui peut tre pire. Mais dans le
!
!2 2
Chapitre 1
Le risque
Nous avons mentionn que la scurit est dfinie par labsence derisqueinacceptables. De
prcisment.
Il ny a pas une seule dfinition durisque. Une recherche sur Google avec les
motsrisqueou risk propose plus de 800 000 000 rsultats. Il ressort dune analyse de la
littrature scientifique sur le risque que beaucoup de ce qui a t crit sur cesujetest bas
sur des donnes anecdotiques et sur des tudes limites un aspect ou un domaine
particulier. Dans cette section, nous prsentons les principales dfinitions du risque qui
sont utile pour la comprhension des concepts prsents. Notre objectif est de prsenter au
linformation qui permettra didentifier les variables qui pourrons tre utiliss pour la
gestiondurisqueinformationnel.
du domaine dans lequel on sintresse aurisque.Selon les diffrentes sources que lon
!
!2 3
Introduction la gestion de risque informationnel
Le risque est prsent mme si cette assignation est subjective et utilise des chelles
nominative (par exemple bas, moyen ou lev). Lerisqueest aussi dfini comme une
variation possible des rsultats sur une priode dtermin dans une situation donne. On
dommage et de sa gravit. Cette dfinition est valable seulement dans les cas ou nous
dalas comparables sont distribu galement dans le temps. Dans cette situation, il sagira
!
!2 4
Chapitre 1
derisqueobjectif, lorsque la variation existe dans la nature et est la mme pour tous les
!
!2 5
Introduction la gestion de risque informationnel
Quand on ne peut exprimer lalatoire par des probabilits, mmes subjectives, on doit
incertitude. Car, bien quon puisse esprer grer le risque, il est impossible de grer
lincertitude.
consquences ngatives dun ala, tel quune rduction de lavantage comptitif attendu
(consquence ngative) dun processus daffaire ou dun systme dinformation aprs une
tout organisme vivant est une certitude. On pourra la retarder, mais pas lviter. Nul ne
peut grer la certitude, on peux sy prparer et, dans les meilleurs cas, retarder linvitable.
!
!2 6
Chapitre 1
La gestion de risque
Lide moderne que lerisquepeut tre gr peut tre compris comme une consquence
long terme dun dsastre naturel qui sest produit Lisbonne, au Portugal, en 1755,
marque un point tournant dans le monde occidental moderne de la vision de lala comme
un acte divin, tel quillustr par un pome de Voltaire, vers une approche rationnelle qui
peut tre soumise un traitement scientifique. Cest la rponse de Rousseau Voltaire qui
Serait-ce dire que lordre du monde doit changer selon nos caprices, que la nature doit tre
soumise nos lois, et que pour lui interdire un tremblement de terre en quelque lieu, nous
Dans une organisation du secteur priv, lefficacit est mesur avec des variables de nature
pcuniaire ou mesurs en part de march. Dans le cas dun organisation du secteur public,
lefficacit peut tremesur par une livraison efficiente de services la population. Par
!
!2 7
Introduction la gestion de risque informationnel
dactivit de celle-ci.
dassurer leur prennit et identifier les actions susceptibles de produire des rsultats qui
rduisent son efficacit, qui vont lencontre de latteinte de ses objectifs ou qui
Lorganisation doit identifier les risques les plus significatifs pour elle. Ainsi,
dire que, sachant quil existe la possibilit quils se produisent des alas susceptible de
rduire lutilit espre ou de nuire latteinte efficace des objectifs, le gestionnaire, en tant
quacteur individuel vertueux, doit tenir compte durisque. De plus, la saine gouvernance
dune organisation, par exemple dans le cadre normatif de gouvernance tel que ISO 38500,
la conformit des cadres de gestion, tel que COBIT ou ISO 27001,requiert la mise en
oeuvre dun programme de gestionderisqueformalis.
!
!2 8
Chapitre 1
IPM
de
Priorisation
Mobilisation
mobilisation
!
!2 9
Introduction la gestion de risque informationnel
Les actions de mobilisation ($) seront diverses et nombreuses en fonction des diffrents
risques auxquels fait face lorganisation. Lensemble des actions de mobilisation ($),
pourune priode de temps (t) dfini priori dans un espace (s) donn, formeront le
constitue un risque.
!
!3 0
Chapitre 1
Do
(s
mm
ili t
ag
rab
eo
l n
Risque ui
Vu
(E,t,s) mp
ac
t
Ala o u me n ace
!
!3 1
Introduction la gestion de risque informationnel
Ce que le triangle durisque illustre est que pour que lerisque existe, trois composantes
doivent co-exister pour un lment risquedonn (E) ayant une valeur pour
lorganisation, son utilit espre (x), dans un temps (t) et un espace (s) donn:
Si lun de ces lments manque, il ne peut y avoir de risque. En sappuyant sur le triangle
Le risque est la rduction de lutilit espre (#)dun lment risque(E) par un ala
(A) dans un espace dfini (s) et une intervalle de temps prcis (t), compte tenu de sa
rsilience().
!
!3 2
Chapitre 1
Dfinitions importantes
ayant une Utilit espre (#) pendant une priode de temps (t) dans un espace (s) donn.
dommage () pendant une priode de temps (t) dans un espace (s) donn. Lala peut
Rsilience (): capacit dun lment risque(E) de passer au travers un ala (A) en
tolrer une variabilit de lUtilit espre (#). Le niveau de maturit est li la rsilience.
Utilit espre (#(x)): un gain, une amlioration dune position ou un bnfice espr par
un lment risque(E) x, aprsune priode de temps (t) dfini priori dans un espace
!
!3 3
Introduction la gestion de risque informationnel
(s) donn. LUtilit espre est fonction de la valeur pour lorganisation V(x) de llment
risquex.
La formule ci-haut prsente le risque thorique (R) comme une fonction dun lment
risque (E), ayant une utilit espre pour une organisation (#), dun ala et dune
vulnrabilit dans un contexte limit sans le temps et lespace, et une fonction inverse de la
rsilience.
!
!3 4
Chapitre 1
!
!3 5
Introduction la gestion de risque informationnel
informationnelde lorganisation dun des tudiants etdeux alas rels (des vnements
qui sont survenus dans le pass) qui ont compromis llment risquechoisi.Pour chaque
Ala 1: ____________________________________________________
!
!3 6
Chapitre 1
Ala 2: ____________________________________________________
Par la suite, une discussion a lieu avec lensemble des tudiants et le professeur sur le
triangle durisqueet sur la ncessit dtre en prsence des trois composantes du triangle
!
!3 7
Introduction la gestion de risque informationnel
Questions de rvision
!
!3 8
Chapitre 1
A. certitude
B. incertitude
C. possibilits
D. risque
!
!3 9
Introduction la gestion de risque informationnel
!
!4 0
Chapitre 1
A. Ala
B. Dommage
C. lment risque
D. Rsilience
E. Utilit espre
F. Vulnrabilit
dommage.
damlioration.
4._____ :Capacit dun lment risquede tolrer une variabilit de lUtilit espre.
5._____ :lment (actif, processus, systme, etc.) ou ensemble dlments ayant une Utilit
espre (#) pendant une priode de temps (t) dans un espace (s) donn. Llment
!
!4 1
Introduction la gestion de risque informationnel
11._____ :Un gain, une amlioration dune positionaprsune priode de temps dfini
!
!4 2
Chapitre 1
A. Accepter
B. viter
C. Ignorer
D. Mitiger
E. Transfrer
mesures particulires.
!
!4 3
Introduction la gestion de risque informationnel
sauvegarde automatiques.
9. _____ :Lorganisation prends une assurance qui couvre les risques informationnels
!
!4 4
Chapitre 1
Bibliographie de ce chapitre
Blakley, B., McDermott, E., Geer, D. (2001),Session 5: less is more: Information security is
paradigmes, Ralits Industrielles, Annales des Mines, numro spcial: Sciences et gnie
des activits risques, Mai 2003, pages 5-11
Organisation, 25 p.
Stoneburner, G., Goguen, A., Feringa, A. (2002),Risk Management Guide for Information
!
!4 5
Introduction la gestion de risque informationnel
Fondamentalement, tout individu est un expert durisque. Notre expertise individuelle est
base sur nos expriences quotidiennes et notre capacit apprendre de ces expriences.
Lerisque est un phnomne naturel qui est prsent partout. Les individus y sont
confronts tout au long de leur vie. Chez les humains, les rflexes naturels de la peur et de
cest une question de survie qui a emmen le dveloppement dun sens naturel
didentification du risque. Cette habilit intrinsque est inscrite dans son code gntique,
durisque, encore moins pour alerter lorganisation dun danger ou prendre des actions
dfensives par rapport une situation risque, comme la peur engendre des ractions
Nous devons dabord comprendre ce quest un scnario derisque. Nous avons mentionn,
au chapitre prcdent que, pour que lerisqueexiste, trois composantes doivent co-exister
pour un lment risquedonn (E), dans un temps (t) et un espace (s) donn:
connexes qui ont rendu possible lexploitation dune vulnrabilit ()dont le rsultat est
undommage(), cest dire la rduction de lutilit espre (#), dun lment risque(E).
Dit plus simplement, cest lhistoire de ce qui peut arriver ou qui est arriv, des causes,
!
!4 7
La gestion de risque informationnel
lorganisation cherchera :
!
!4 8
Chapitre 2
Dans la phase de mobilisation les actions retenues aprs lapplication des stratgies
compte des aspects relis la gestion du changement dont nous avons discuts
(t) dfini priori dans un espace (s) donn, formeront le portfolio de mesures ()
!
!4 9
La gestion de risque informationnel
Nadmettre que les scnarios non domines: dans une dcision rgie par le
principe dadmissibilit, ne sont admissibles que les scnarios qui ne sont pas
domins par dautres. On dit quun scnario nest pas domin par un autre
scnariosi lUtilit espre de ce dernier est suprieure dans un contexte au moins
et infrieure dans aucuns.
Maximaliser lUtilit espre minimum: on considre lUtilit espre la moins
avantageuse de chaque scnario et on slectionne le scnario qui prsente le
minimum le moins bas. Cest un faon de mettre les choses au pire et de limiter
lesdgts.
Maximaliser lUtilit espre moyenne: on considre lUtilit espre moyenne de
chaque scnario et on choisit lutilit moyenne la plus leve.
Maximaliser lUtilit espre dans le contexte le plus probable: le dcideur fait
lhypothse quil se trouve dans le contexte le plus probable et choisi le scnario
qui offre lutilit la plus grande dans ce cas.
Maximaliser lUtilit espre: Cette stratgie consiste prendre pour chaque
scnario lUtilit espre moyenne et choisir le scnario offrant la plus grande
Utilit espre.
Minimiser le regret maximum: Pour chaque scnario on identifie le regret
maximum et on choisi le scnario qui reprsente le regret maximum le plus bas.
Cest la logique desi javais su, quaurais-je d faire.Un regret peut se
manifester ex post dans la mesure o la dcision adopte ne savre pas forcment
la meilleure dans le contexte o je me trouve finalement
!
!5 0
Chapitre 2
La perception
Fondamentalement, il y a deux approches qui sont utilises pour obtenir des donnes qui
scientifique.
Lespartisansdes deux approches ont leur propre notion de lobjectivit au sujet du risque.
Il y a des similitudes dans la faon dont ils arrivent leurs dcisions: les deux feront appel
au dialogue et la comparaison avec leurs pairs, afin darriver un accord entre eux ou
par consensus sur ce quest ce qui est la ralit objective. Cependant, il existedes
diffrences entre lapproche rationnelle scientifique et lapproche non scientifique. Cette
diffrence est trs apparente dans dans le traitement durisque, les actions de mobilisation
et les dcisions.
Par exemple, les chances de gagner la loterie 6/49 au Qubec sont mathmatiquement
trs faibles, de lordre de 1/13 983 816. La dcision rationnelle serait de ne pas acheter de
!
!5 1
La gestion de risque informationnel
billet, minimisant la perte. Pourtant des millions de personnes chaque semaine achtent
estime la probabilit et la crdibilit quun ala se produise, il est biais par des hypothses
sociales et culturelles. Selon le contexte social dans lequel les normes et les expriences de
lindividu se construisent,son apptit et sa tolrance au risque varie. Ses notions
crent des filtres travers lesquels il voit le monde. Des variations de sa perception sont
et des groupes socio-culturels dont ils sont issus.Pour ces raisons, lerisque doit tre
sont quune part de lquation. La propension aux risques, qui est une volont des
Si un individu particulier a une aversion aurisque, cest--dire sil naime pas sexposer
aux risques, il sera plus probable quil soit plus pessimiste sur les rsultats. Il surestimera
la rduction de lutilit espre (#), la perte possible,et vitera de sengager dans une
!
!5 2
Chapitre 2
impliqu dans des dcisions impliquant le risque. Nous avons mentionn prcdemment
que lapproche non scientifique se fonde sur lexprience et lintuition. Il est important de
comprendre quil existe deux faons dobtenir de linformation sur le monde qui nous
entoure :
directement peru par les sens (par exemple on peut toucher, sentir, voir, entendre,
etc.);
par intuition qui amne du contenu de linconscient au conscient (par exemple la
mmoire de connaissances acquises).
La psychologie cognitive enseigne que cette information, bien quelle soit exacte du point
de vue de lindividu comme acteur particulier, est sujette des biais, entre autres :
Un autre facteur qui aura une influence est le langage utilis pour communiquer sur les
risques. Le choix des mots a un effet sur la perception durisquedes individus, plus
!
!5 3
La gestion de risque informationnel
prcisment surla manire dont les individus valuent de faon asymtrique leurs
Theory), le cadrage du problme, la faon dont il est prsent et la mise en situation sont
tous des lments qui influent la construction durisque, la prise de dcision et les
rsultats.Le point de rfrence adopt par les individus afin destimer les situations
Le rsultats de ces lments, le choix de lapproche, les aspects culturels, la propension aux
subjective, non scientifique, passe par le prisme des individus. Elle ne peut se conformer
elle ne peut tre compltement mise de ct, car il est difficile dliminer laspect subjectif
de certaines dcisions. De plus, il nest pas toujours possible dobtenir des sources fiables
lcosystme organisationnel rends difficile une vue de la situation dans sa totalit. Les
organisations devraient opter pour une approche scientifique de gestiondes risques, mais
il est presque impossible de le faire compltement.
Ainsi, il est ncessaire de mettre en place des mcanismes pour limiter limpact de la
subjectivit inhrente aux approches non scientifiques et aux biais qui les accompagnes.
!
!5 4
Chapitre 2
Le changement
continu est normal. Ce qui est anormal est de tenter de contrler et restreindre le
changement. Elle est une des composantes de lagestionderisque. Il est essentiel daborder
les principaux concepts du changement avant daborder en plus de dtails
mitigation du risque.
organisationnelle.
!
!5 5
La gestion de risque informationnel
Si elle ne le fait pas, il pourra en rsulter le rejet de la nouvelle faon de faire, un rejet du
Il est essentiel de connatre les cinq phases du changement afin de les reconnatre sur le
terrain et de mettre en oeuvre priori des mesures, des mthodes ou des processus
Le refus
La rsistance
La dcompensation
La rsignation
Lintgration
Lorsquun changement qui ne correspond pas aux aspirations dun individu est annonc,
lindividu avec ce que lon souhaite changer conditionne lampleur et la dure de cette
phase. Celui qui introduit le changement est tent dtablir un lien entre le refus de
!
!5 6
Chapitre 2
refus de comprendre peut tre brve. Cependant, dans le cas de changements majeurs, elle
Malgr cela, cette phase est souvent minimis dans la planification des projets de nature
qualit, qui ont des similitudes avec les degestionde risque.Dans un contexte
!
!5 7
La gestion de risque informationnel
Dun point de vue thique, certains changements tentent de se faire au mpris des
valeurs ou des croyances dun individu ou dun groupe. La rsistance permettra
de faire chec ces changements. Elle est une protection contre labusif,
larbitraire, linconsquence et lirresponsabilit.
Dun point de vue humain, elle permet de rguler les risques dabus de pouvoir.
Linertie,
largumentation,
la rvolte et
le sabotage.
de rsistance est dict autant par lindividu que par lenvironnement. Les rsistances ne
changement en contradiction avec les aspirations est sans effet, les individus
dcompensent: ils se sentent las, incompris ou non reconnus. Plus la rsistance fut forte,
dcompensation est vidente. Au contraire, plus il est rflchi, moins elle est
!
!5 8
Chapitre 2
distance affective par rapport lobjet du changement, et dautre part le niveau de stress
La quatrime phase estla rsignation.La rsignation est souvent la phase la plus longue
fortune bon coeur. Sil accepte le changement, il ne pourra se dfendre contre la nostalgie
changement et ses instincts de conservation. Dans cette phase, lindividu rationalise son
brutalement.
lintgration conceptuelle et
lintgration comportementale.
!
!5 9
La gestion de risque informationnel
dune nergie positive tourne vers laction, dun sentiment de bien-tre, voire de srnit.
La nostalgie du pass tend disparatre, le deuil est fait et le processus de changement est
!
!6 0
Chapitre 2
Questions de rvision
quotidiennes.
2. _____ :Lexpertise individuelle du risque est base sur notre incapacit apprendre
de nos expriences.
3. _____ :Dans les organisations, les rflexes naturels de la peur et de lanxit, sont
4. _____ :Dans le cas de lHomme cest une question de survie qui a emmen le
!
!6 1
La gestion de risque informationnel
analytiques.
10. _____ :Recherche le consensus sur ce quest ce qui est la ralit objective.
A. Dcompensation
!
!6 2
Chapitre 2
B. Intgration
C. Refus de comprendre
D. Rsignation
E.Rsistance au changement
tristesse, etc.
individuel.
!
!6 3
La gestion de risque informationnel
11. _____ : Dans un contexte organisationnel, cette phase est gnralement perue
comme un frein au progrs, surtout du point de vue de ceux qui initient le changement.
12. _____ : Cette phaseest naturelle, inne et peut mme tre utile et ncessaire.
14. _____ : Lors de cette phase les individusse sentent las, incompris ou non reconnus.
15. _____ :Plus la rsistance fut forte, plus cette phase est grande, la mesure de
16. _____ :Plus lindividu et sentimental et motif, plus cette phase est vidente. Au
17. _____ : Cette phasepeut durer quelques minutes ou plusieurs annes. Les deux
facteurs-cls de la dure et de lintensit de cette phase sont dune part la distance affective
18. _____ : Cette phaseest souvent la phase la plus longue dans un processus
!
!6 4
Chapitre 2
19. _____ :Lorsque lindividu entre dans cette phase, il fait contre mauvaise fortune
bon coeur.
20. _____ :Dans cette phase, lindividu rationalise son acceptation du changement.
parfois brutalement.
23. _____ :Cette phase est souvent minimis dans la planification des projets de nature
technologique.
dune nergie positive tourne vers laction, dun sentiment de bien-tre, voire de srnit.
!
!6 5
La gestion de risque informationnel
1. _____ :Ne sont admissibles que les scnarios qui ne sont pas domins par dautres.
3. _____ :Le dcideur fait lhypothse quil se trouve dans le contexte le plus probable
_____ :Pour chaque scnario on identifie le regret maximum et on choisi le scnario qui
reprsente le regret maximum le plus bas.
!
!6 6
Chapitre 2
Bibliographie
Carton,GD.(2004)logeduchangement:mthodesetoutilspourrussirunchangement
Douglas, M., Wildavsky, A. (1984),Risk and Culture, cit dans Beucher et Reghezza (2004)
risk,Econometrica,47, 263-291.
!
!6 7
Introduction la gestion de risque informationnel
Chapitre 3: Lala
Lala pouvant tre caus par une menace, il est important de comprendre lidentification
des menaces. Il faut cependant prciser que la menace unique nest pas ncessairement la
cause dun ala, lala peut aussi tre caus par un ensemble de facteurs ou par une
des scnarios dans lorganisation qui devraient identifier les menaces qui seront
Le processus didentification des menaces peut sappuyer sur plusieurs sources, selon que
scientifique, la tenue dun registre des incidents est une des principales sources
Comme lapproche non scientifique se fonde sur lexprience et lintuition, elle fera appel
Lorganisation pourra aussi utiliser des sources trouves sur internet, tels que des bases de
Sans surprises, cette approche hautement subjective sera fortement teint par les biais de
ceux qui font le travail. Afin dencadrer la subjectivit, une liste de dpart, forme de
gestion du risque informationnel est prsent. Cette liste devrait tre enrichi par une revue
de littrature, des recherches en ligne et la cration de scnarios de risque avec les parties
lorganisation.
Nous proposons une liste des menaces comme point de dpart aux discussions. Dans cette
liste, les menaces ont t classes en deux catgories ceux pouvant causer des dommages
!
!6 9
Lala
aux divers lments des systmes dinformation dune organisation. Ces atteintes ne
reprsentent quun faible pourcentage des sinistres informatiques. Les pertes associes
Phnomnes accidentels
technique des systmes dinformation. Ceux-ci incluent des vnements naturels dont les
!
!7 0
Chapitre 3
Menace Exemple
tempte de neige.
limmeuble.
avoisinante.
Vandalisme
!
!7 1
Lala
Menace Exemple
manifestation.
La catgorie des dommages immatriels comprend des menaces qui, si elles survenaient,
pourraient causer des dommages aux donnes, programmes, logiciels contenus dans un
systme dinformation. Ces atteintes reprsentent le plus grand nombre des sinistres
informatiques. Lvaluation des pertes associes des dommages immatriels est difficile
Erreur
Lerreur est lacte involontaire dun membre de lorganisation ou dun utilisateur lgitime
!
!7 2
Chapitre 3
aboutir des pertes trs importantes pour lorganisation. Nous proposons celles-ci:
Menace Exemple
dune manifestation.
La fraude
La fraude reprsente une partie importante des sinistres informatiques. Il sagit le plus
de cartes de crdits. Ces actes peuvent tre luvre de tiers mais sont souvent le fait de
!
!7 3
Lala
Menace Exemple
compte personnel.
!
!7 4
Chapitre 3
Les cybercrime
des statistiques annuelles des enqutes menes par les diffrents corps de police de la
dInternet, en 2010, soit 520 de plus que lanne prcdente. Les donnes indiquentdes
hausses marques des enqutes sur des cas de fraudes lectroniques, de possession ou de
distribution de pornographie juvnile et de leurre dun mineur des fins dordre sexuel. Il
052) perptrs au total, au Qubec, durant 2010, par rapport 2009. Nous avons donc
apport une attention particulire cette catgorie de menace. Nous avons regroup sous
le nom de cybercrimes les fraudes informatiques ralises par lintermdiaire des systmes
lintrusion illgale dun tiers lintrieur dun systme dinformation, dune base de
donnes afin de les manipuler, les altrer ou en tirer profit. Nous proposons ceux-ci:
!
!7 5
Lala
Menace Exemple
sans fils car il est difficile de confiner les ondes hertziennes dans un
Virus
!
!7 6
Chapitre 3
Attaques cibles En mars 2013, la socit Spamhaus fut victime dune attaque cible
Prise de contrle
Cyber squattage
!
!7 7
Lala
Cyber sabotage
Cyber activisme
Cyber terrorisme
!
!7 8
Chapitre 3
Hackers
Nous identifions comme hackers des individus qui se considrent comme tels ou qui font
partie dun groupe plus ou moins formel dindividus qui sont impliqus, sciemment ou
non, dans des activits en tant que membre de cette communaut. Lappartenance ce
groupe et lacceptation par groupe de ses membres amne les membres commettre des
actes dintrusion dans des systmes dinformation et den divulguer les mthodes et les
rsultats avec les autres membres du groupe. Certains participent dans un esprit
dapprentissage des technologies en toute lgalit, par exemple dans un cadre scolaire.
Ils ont leur propre priodiques (notamment 2600 et Phrack), leurs confrences, leurs codes
secrets et leurs stars, comme Kevin Mitnick. Plusieurs tudes nous donnent les principales
!
!7 9
Lala
Nous classons les membres de ces groupes sur une chelle de cinq niveaux, reprsents
Niveau caractristiques
Les hackers sont regroups en divers sous-groupes selon des centres dintrts, les
crackers (piratage de logiciels), les phreakers (appels tlphoniques), les whitehats
!
!8 0
Chapitre 3
coordonner des ressources humaines et matrielles tout au long de la vie dun projet en
utilisant des techniques de gestion modernes pour atteindre des objectifs prdfinis
Plusieurs problmes peuvent survenir dans des projets pour produire des alas. Nous en
prsentons ci-dessous un chantillon. Cette liste pourra servir comme point de dpart
Problmes de personnel
Le personnel cl ne sera pas disponible en cas de besoin au moment
opportun.
Les comptences cls ne seront pas disponibles en cas de besoin.
Le personnel cl quittera au cours du projet.
Les sous-traitantssous-performent et ne parviennent pas rpondre leurs
missions.
Problmes dquipement
Le matriel requis nest pas livr temps.
Laccs lenvironnement de dveloppement sera limit.
Lquipement tombe en panne.
Problmes du client
Les ressources du client ne sont pas disponiblesau moment opportun.
!
!8 1
Lala
!
!8 2
Chapitre 3
!
!8 3
Lala
Alas en impartition
Limpartition des ressources informationnelles dune organisation peut tre dfinie comme
dune ou plusieurs activits de gestion de ses actifs informationnels pour une dure
!
!8 4
Chapitre 3
Envergure du contrat
Spcificit des actifs
Nombre restreint de fournisseurs
!
!8 5
Lala
Alas en infonuagique
matriel grs par des tierces parties partir de lieux loigns. Parmi les exemples de
services dinfonuagique, on compte le stockage des fichiers en ligne, les rseaux sociaux, le
compris de lespace de stockage dedonnes, des rseaux, des centres de traitement et des
!
!8 6
Chapitre 3
Coupures du rseau
Pertes de trafic
Problmes de gestion du rseau (congestion / connexion / usage non-optimal, etc)
Interception du code source de lapplication
Erreur du panneau de configuration administrateur
Employs malicieux
Pertes de performance dues lutilisation des ressources du contrleur (CP)
Surcharge du systme, impossibilit daugmenter la capacit
Compromision du logiciel de gestion ou du systme dexploitation
Ingnirie sociale
Fuite de donnes en amont ou en aval, intra-nuage
Compromission de linterface de gestion
Problmes dauthentification des utilisateurs et des identits
Dni de service
Dni de service distribu
Dni de service chez un partenaire
Balayages ou tentatives didentification de ports rseaux malicieux ou non-
authorise.
Trafic rseau altr
Escalation des privilges
Vol dquipement informatique
Compromision ou bris du systme de comptabilit ou de facturation de
lutilisation des services
Replay
!
!8 7
Lala
Problmes decompartisation
Indisponibilit de services
Fuite de donnes
Altration des donnes
Perte ou compromission des journaux dutilisation
Perte ou compromission des journaux de scurit
Interception de donnes durant la migration ou la mise jour
Dsastres (naturels)
Accs non autoris aux locaux du fournisseur dinfonuagique
Vol des copies de sauvegarde
Perte des clef dencryption
Destruction de donnes
Perte de gouvernance ou de contrle
SLA incomplet (Indicateurs de performance mal dfinis)
Faillite du fournisseur ou dun partenaire
Acquisition ou transfert de proprit du fournisseur dinfonuagique
Responsabilit en relation aux lois et rglements
Conflit entre les exigences lgales et les besoins de protection des renseignements
personnels
Conflit entre les directives locales et rgionales
!
!8 8
Chapitre 3
Premirement, identifiez cinq (5) sources dinformation que vous pouvez utiliser pour
_________________________
_________________________
_________________________
_________________________
_________________________
!
!8 9
Lala
Ensuite, partir des cinq sources que vous avez identifies, laborez une liste de dix (10)
risques.
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
!
!9 0
Chapitre 3
Questions de rvision
A. ala
B. dommage
C. lment risque
D. menace
E. risque
F. scnario de risque
G. squence dvnements
H. vulnrabilit
I. impact
squences dvnements, des actions, des dcisions et des facteurs connexes qui ont rendu
4. __________ unique nest pas ncessairement la cause dun ala, lala peut aussi tre
!
!9 1
Lala
1. ___:Accident industriel
2. ___:Activisme
3. ___:Bris accidentels
4. ___:Cheval de Troie
5. ___:Cyber sabotage
7. ___:Erreur
8. ___:Erreur de programmation
9. ___:Espionnage industriel
10. ___:Incendie
!
!9 2
Chapitre 3
13. ___:Vandalisme
14. ___:Virus
!
!9 3
Lala
3) Identifiez deux (2) consquences ou dommages probables pour chacune des menaces
identifies:
D. Copies de donnes
H. Dtournement de biens
infrastructures
N. Donnes errones
O. Indisponibilit du systme dinformation
P. Indisponibilit de donnes
R. Perte conomique
!
!9 4
Chapitre 3
4. ___ ___:Cyber-activisme
9. ___ ___:Fraude
!
!9 5
Lala
!
!9 6
Chapitre 3
4) Pour chacune des menaces, identifiez une source de donnes scientifiques et de donnes
non scientifiques permettant dvaluer la probabilit que cette menace puisse exploiter une
1. Activisme
2. Espionnage industriel
3. Panne de courant
4. Vandalisme
5. Virus
!
!9 7
Lala
Bibliographie
!
!9 8
Introduction la gestion de risque informationnel
Tel que mentionn, la gestion du risque est accomplie par un processus IPM dont le
risque.Pour que le risque existe lorsque trois composantes co-existent pour un lment
risque (E) dont la vulnrabilit (). Au chapitre prcdent, nous avons prsent les
Une vulnrabilit est un tat dans un systme dinformation qui, sil tait exploit,
permet :
Une vulnrabilit technologique est une vulnrabilit dont lorigine ou la nature est
de sortie, etc.).
Lorganisation doit tenter didentifier les vulnrabilits qui sont prsentes et qui affectent
son patrimoine informationnel. Afin de limiter la subjectivit qui peut affecter le processus
didentification des vulnrabilits comme cest le cas pour lidentification des menaces au
!
!9 9
Chapitre 4
vulnrabilits technologique rseau, tels que les NVAS, prsent un peu plus loin.
Une liste de dpart, forme des vulnrabilits susceptible daffecter les lments
en place. Cette liste devrait tre enrichi par une revue de littrature, des recherches en
ligne et la cration de scnarios de risque avec les parties prenantes de lorganisation. Elle
Une fois les vulnrabilits identifis, il est ncessaire de les catgoriser.La catgorisation
des vulnrabilits sera utile lors de la priorisation des risques. Elle permettra aussi de
similaires ou qui affectent des actifs informationnels communs. cette fin, nous suggrons
!
!1 0 0
Introduction la gestion de risque informationnel
Les identifiants CVE sont des rfrences de la forme CVE-AAAA-NNNN (AAAA est
peut tre obtenu sur internet en diffrent formats. Cette liste contient une description de la
vulnrabilit concerne, ainsi quun ensemble dhyperliens qui permettent dobtenir plus
Afin que ces produits utilisent avec rigueur les identifiants CVE, le MITRE a mis en place
!
!1 0 1
Chapitre 4
Une fois catgoris la svrit des vulnrabilits doit tre value. Les niveaux suivants
Trs leve:fournit une cible trs attrayante pour les menaces potentielles, et le
niveau de dissuasion et / ou de dfense fournis par les mesures de mitigation du
risque existantes sont insuffisantes.
Haute:fournit une cible attrayante et / ou le niveau de dissuasion et / ou de
dfense fournis par les mesures existantes sont insuffisantes.
Modr:fournit une cible potentielle et / ou le niveau de dissuasion et / ou de
dfense fournis par les mesures existantes est marginalement adquat.
Basse:fournit une cible possible et / ou le niveau de dissuasion et / ou de dfense
fournis par les mesures existantes sont adquates.
Les NVAS, ou Network Vulnerability Assessment Software, sont des logiciels spcialiss
testes en les comparant une base de donnes, un peu comme le fait un logiciel anti-
virus. Ces logiciels peuvent aussi utiliser des squences, des scripts, qui permettent de
!
!1 0 2
Introduction la gestion de risque informationnel
les mots de passe faibles, les mots de passe par dfaut, les mots de passe
communs, et labsence de mots de passe sur certains comptes,
les attaques sur les mots de passe laide dun dictionnaire,
les services risque tel que TelNet,
les dnis de service.
Les principales catgories doutils qui offrent des fonctionnalit de NVAS sont:
!
!1 0 3
Chapitre 4
Le NVAS le plus connu est Nessus.Tenable Network Security, Inc. est le crateur et
Nessus, Tenable crit la plupart desplugins disponibles pour le scanner, ainsi que des
nest plus ncessaire dutiliser un client Nessus autonome. Le client Nessus autonome
pourra toujours se connecter et grer le scanner, mais il ne sera pas mis jour.Nessus est
Tenable recommande une mmoire minimale de 2 Go pour utiliser Nessus. Pour effectuer
des scans plus importants de plusieurs rseaux, une mmoire dau moins 3 Go est
fonctionnant 2 GHz ou plus est recommand. Sur Mac OS X, un processeur Intel dual
core fonctionnant 2 Go ou plus est recommand.Nessus peut tre excut sous une
instance de VMware.
que possible des contrles pour les vulnrabilits rcemment publies, en gnral dans un
!
!1 0 4
Introduction la gestion de risque informationnel
sappelle un plugin dans le logiciel Nessus, nous le traduisons par module. La liste
deux modes : ProfessionalFeed (service de mise jour payant pour les professionnels) et
HomeFeed (service de mise jour gratuit). Les modules sont tlchargs directement
depuis Tenable par un processus automatis dans Nessus. Nessus vrifie les signatures
numriques de tous les tlchargements de modules pour valider lintgrit des fichiers.
Pour les installations Nessus sans accs Internet, il existe un processus de mise jour
hors ligne qui peut tre utilis pour sassurer que le scanner reste actualis.
Si vous utilisez Nessus chez soi des fins non professionnelles, vous pouvez
souscrire auHomeFeed. Les nouveaux modules pour les vulnrabilits de scurit
les plus rcentes sontimmdiatement fournis aux utilisateurs du HomeFeed.
Lutilisation du HomeFeed estgratuite mais ncessite lacceptation dune licence
dutilisation. Le code dactivation est envoy aux utilisateurspendant le processus
denregistrement lors de la configuration de Nessus pour obtenir lesmises jour.
Les utilisateurs du HomeFeed ne reoivent pas daccs au portail dassistancede
Tenable, aux contrles de conformit ou aux stratgies de vrification de contenu.
Si vous utilisez Nessus des fins commerciales (par exemple en cabinet de
conseil), dansun environnement daffaires gouvernemental, vous devez acheter le
ProfessionalFeed. Lesnouveaux plugins pour les vulnrabilits de scurit plus
!
!1 0 5
Chapitre 4
Vous pouvez acheter le ProfessionalFeed sur la boutique en ligne de Tenable, sur https://
Vous recevrez alors un code dactivation de Tenable. Ce code devra tre utilis lors de la
Les rsultats de Nessus sont prsents dans un rapport. Ce rapport dcrit les vulnrabilits
dcouvertes et fournis des pistes de solution pour les rsoudre. Il est cependant ncessaire
contexte de lorganisation dans laquelle lanalyse est effectue. Ensuite, il faut dterminer
si un risque existe dans chacun des cas. Cest--dire, dterminer sil existe un ala et des
Lexercice propos est lanalyse de vulnrabilits avec laide du logiciel NESSUS. Pour
raliser cet exercice les tudiants doivent utiliser un ordinateur de type Intel munis du
!
!1 0 6
Introduction la gestion de risque informationnel
le mme site:http://www.tenable.com/products/nessus/documentation#french.
!
!1 0 7
Chapitre 4
Questions de rvision
A. ala
B. dommage
C. lment risque
D. menace
E. risque
F. scnario de risque
G.squence dvnements
H. vulnrabilit
I: impact
!
!1 0 8
Introduction la gestion de risque informationnel
1. ___________________________________
2. ___________________________________
3. ___________________________________
4. ___________________________________
5. ___________________________________
A. Scanner de vulnrabilits
1. _____: ces logiciels permettent de faire des tests afin de vrifier la prsence de
vulnrabilits
!
!1 0 9
Chapitre 4
Vous avez utilis un NVAS et un Port Scanner pour effectuer une analyse dune portion de
votre rseau. Sur un ordinateur (adresse ip = 10.49.32.101), il a trouv les ports suivants
ouverts:
unknown (17/udp)
ftp (21/tcp)
telnet (23/tcp)
www (80/tcp)
snmp (161/udp)
unknown (515/tcp)
unknown (9100/tcp)
!
!1 1 0
Introduction la gestion de risque informationnel
Quelles informations particulires vous sont fournies sur les ports 515, 631 et 9100 ?
Sil est vulnrable, quelles sont les menaces qui pourraient exploiter ces vulnrabilits ?
Nessus.org
!
!1 11
Introduction la gestion de risque informationnel
Chapitre 5: Limpact
Le mot impact dsigne les consquencesrelles, envisages ou peruesdun ala (A), dun
vnement, dun processus ou dune activit rendu possible par lexploitation dune
vulnrabilit ().En gestion, limpact concerne les effets sur lorganisation, notamment sur
les niveaux de services, les concurrents, le march et les clients. On distingue les effets ou
consquences attendus et les effets inattendus dun vnement sur un projet, un actif
informationnel ou sur lenvironnement, et qui peut influer sur latteinte des objectifs
organisationnels.
En gestion de risque informationnel, limpact correspond aux dommages ()ou aux effets
donn (E), dans un temps (t) et un espace (s) donn: cest--dire les pertes financires, la
informationnels incluent:
!
!1 1 2
Chapitre 5
Dans le cadre dune analyse de risque en utilisant une approche par scnarios, il est
!
!1 1 3
Introduction la gestion de risque informationnel
le prjudice esthtique
le prjudice dagrment (comme la perte ou la diminution de la pratique dune
activit par rapport la pratique faite avant la survenue de laccident)
les pertes en temps des clients dun systme dinformation
les pertes pour les clients de lorganisation dues au vol didentit, de donnes ou
aux informations financires
dautres cots associs
lorganisation.
quils se matrialise. Ainsi, dans leurs prises de dcision, les individus taient censs ne
tenir compte que de la moyenne des dommages dun ala et prfrer ceux donnant une
individu, indpendamment de la moyenne dun ala, peut ne pas aimer le risque qui y est
associ.
Ce constat a donn naissance au 18me sicle la thorie de lutilit espre (aussi appel
utilit espre ou expected utility theory) dveloppe par Bernoulli. Suivant cette thorie,
chaque rsultat nest plus utilis comme tel mais est transform en utilit par une fonction.
!
!1 1 4
Chapitre 5
Cette fonction dutilit sera concave si on veut reprsenter les prfrences dun individu
manifestant une aversion au risque, linaire si on veut reprsenter celles dun individu
Selon la thorie de lutilit espre, le risque est un critre de dcision dans un univers
incertain qui reflte les dsirs par rapport plusieurs options.
Dans un univers risqu, lorsque lindividu sait quels vnements peuvent se raliser dans
calculer une esprance mathmatique, somme des rsultats possibles pondrschacun par
leur probabilit.
Dans un univers incertain quand lindividu sait quels vnements peuvent se raliser dans
lefutur mais pas leur probabilit doccurrence, il laborera des probabilits subjectives
Dans un univers indtermin, quand lindividu ignore les vnements possibles et leur
probabilit.
Dans le cadre de situations risque, lindividu qui suitun processus de dcision rationnel,
va assigner une valeur dutilit chaque niveau de richesse possible. Par exemple, dans le
!
!1 1 5
Introduction la gestion de risque informationnel
domaine de la sant, on peut comparer ces niveaux de richesse aux diffrents tats de
sant possibles.
rsultat :
artificiellement sous la forme dun vnement alatoire (loterie, jeu), dont les rsultats
possibles et les probabilits sont connus. Lindividu (aussi appel lagent), comme joueur
Lutilit totale de chacun des ensembles de rsultats dune action est la reprsentation
numrique de lattitude individuelle globale pour une action donne. Les choix
individuels par rapport plusieurs alternatives peuvent tre prdits partir de lattitude
dune personne vis vis du risque, qui dcrit la forme de la fonction dutilit. Elle lui
spcifiques, lutilit dechaque option. Lalternative offrant la plus grande utilit est
!
!1 1 6
Chapitre 5
La thorie de lutilit espre sappuie sur une rationalit probabiliste de lindividu. Elle
considre que le sujet rationnel et conscient prend ses dcisions de manire maximiser
espre.La thorie de lUtilit espre fournit un cadre pour comprendre, dans une
perspective scientifique, le choix rationnel individuel face des situations risques.
Lindividu est suppos fonder sa prise de dcision aprs valuation dun risque quantitatif
global selon une rationalit utilitariste et probabiliste individuelle. Cette thorie normative
dcrit comment les gens devraient procder quand ils prennent leurs dcisions. Il y a
!
!1 1 7
Introduction la gestion de risque informationnel
paradoxes. Dans les conditions exprimentales de laboratoire, les sujets ne prennent pas
Ainsi, dans le contexte de lanalyse de risque informationnel, lutilit espre influera sur
lorganisation.
Le transfert du risque vers un tiers sera par contre indispensable en cas de dsir de
!
!1 1 8
Chapitre 5
section des instruments permettant de aux organisation de se prmunir contre les risques
Externalisation
Lexternalisation, du point de vue conomique, est un accord pass entre une organisation
rseaux ou tlcommunications);
juridiques sur un contrat dure fixe portant sur le transfert de toute ou partie de la
fonction, du service et/ou de linfrastructure ou du processus oprationnel de
rversibilit sont la clef dune externalisation russie.Ce contrat peut inclure un transfert
!
!1 1 9
Introduction la gestion de risque informationnel
Assurance
individu contre les dommages financiers rsultant dun ala. Ce contrat permet
lindividu assur de partager le risque encouru avec lassureur.La modlisation des
par lassureur est gale la valeur attendue de la perte, un individu qui dmontre une
aversion au risque optera pour une couverture totale du risque.Un individu qui a une
lindividu le versement dune franchise en cas de sinistre plutt que le paiement dune co-
assurance par laquelle lindividu prend sa charge une proportion prdfinie de la perte.
comme un cas particulier des bien considrs comme irremplaables. Leur analyse
pour lequel on sassure est considr comme irremplaable, lindividu ne se couvrira pas
totalement.
!
!1 2 0
Chapitre 5
1) On propose un individu lachat dun billet de loterie dont les probabilits de gains
de10$ et 0$ sont les mmes. La fonction dutilit lmentaire de lagent est #(w0,w1) = w0
+ w1, o w0 et w1 sont ses revenus avant et aprs le tirage de la loterie. Les revenus
En supposant que le prixpde la loterie est pay avant le tirage de celle-ci, quel est le prix
Si on suppose que le prix est pay aprs le tirage de la loterie, quel sera le nouveau prix
!
!1 2 1
Introduction la gestion de risque informationnel
2) Deux individus sont arrts par des policiers qui les souponnent davoir commis un
vol main arme dune banque. Lors du vol, un employ de la banque fut bless par balle.
Ils sont emprisonns dans des cellules spares. La police fait chacun des deux le mme
march:
aurez une rduction de la peine dun an tous les deux. Si tu le dnonces et que ton
complice te couvre, tu auras une rduction de ta peine de 5 ans, mais ton complice tirera le
maximum de 10 ans. Mais si vous vous couvrez mutuellement, vous aurez tous les deux
Imaginez-vous que vous tes lun des individus arrts, que devrez vous faire: couvrir
!
!1 2 2
Chapitre 5
3) Divisez la classe en deux groupes ( groupe 1 et groupe 2). Chacun des groupes doit
effectuer un choix entre deux alternatives, sans connaitre les alternatives offertes lautre
jusqualors inconnu, dont on sattend ce quil fasse 600 morts. Deux programmes
si le programme B est adopt, il y a une probabilit de 1/3 que les 600individus seront
!
!1 2 3
Introduction la gestion de risque informationnel
Questions de rvision
A. ala
B. dommage
C. lment risque
D. menace
E. risque
F. scnario de risque
G.squence dvnements
H. vulnrabilit
I: impact
J: consquences
K:objectifs organisationnels
L:inattendus
M:externalisation
!
!1 2 4
Chapitre 5
N: assurance
__________, dun vnement, dun processus ou dune activit rendu possible par
2. En gestion, __________ concerne les effets sur lorganisation, notamment sur les
dune activit.
5. __________ repose en termes juridiques sur un contrat dure fixe portant sur le
prime dassurance demande par lassureur est gale la valeur attendue de la perte, un
!
!1 2 5
Introduction la gestion de risque informationnel
individu qui dmontre une __________ au risque optera pour une couverture totale du
risque.
A. aversion
B. concave
C. convexe
D. linaire
E. neutre
F. propension
G. risque
H. scnario de risque
I:fonction dutilit
!
!1 2 6
Chapitre 5
__________vis--vis du risque.
!
!1 2 7
Introduction la gestion de risque informationnel
Bibliographie
micro3/exlic2-07.pdf
!
!1 2 8
Introduction la gestion de risque informationnel
plus de 18500 normes internationales sur des sujets trs varis dans de nombreux
domaines. Environs 1100 nouvelles normes ISO sont publies chaque anne, ce qui en
fait une des organisations de normalisation les plus actives dans le monde. Tout lventail
des domaines techniques figure dans la liste de normes internationales de lISO qui est
disponible en ligne et regroupe le catalogue des normes publies par lISO ainsi que le
Les normes de lISO sont crs selon une approche par consensus. Il est important de
dmocratisation du processus, elle cause des effets pervers. Dune certaine faon, une
norme par consensus ne peut tre que le dnominateur commun lensemble des
participants son laboration, cest--dire le meilleurs compromis sur lequel tout les pays
participants sont en mesure de sentendre sur le sujet trait. Pis encore, la qualit et la
disponibilit des intervenants qui participent llaboration dune norme particulire ont
un lien direct avec la qualit du rsultat. De mme, il est possible que des groupes intrts
!
!1 2 9
Chapitre 6
quand il y a des enjeux de vente de produits ou de services la clef, comme cest le cas
Dans le cas de normes dans le secteur des TIC, lISO travaille en troite collaboration avec
La norme ISO/CEI 27005:2008 a t publi en 2008 et rvise en 2011. Elle fut cr par le
LISO 27005, qui na pas de mcanismes de certification, fournit des lignes directrices
relatives la gestion des risques informationnels. Elle vient en appui aux concepts
gnraux noncs dans lISO 27001 et aux autres normes de la famille ISO 27000. Elle est
conue pour aider la mise en place de la scurit de linformation base sur une
!
!1 3 0
Introduction la gestion de risque informationnel
approche formelle de gestion des risques. Il est important de connatre les concepts, les
modles, les processus et les terminologies dcrites dans lISO 27001 et lISO 27002 afin de
bien comprendre lISO 27005. LISO 27005 est applicable tous types dorganisations, les
lucratif, qui ont lintention de grer des risques susceptibles de compromettre la scurit
norme.
Il est important de bien comprendre que la norme ISO 27005 nest pas une mthodologie
de gestion de risque. Elle donne un cadre normatif qui pourra tre utilis pour
comme cest le cas avec lapproche prsente dans ce livre, qui se conforme ISO 27005. La
norme ISO 27005 a pour but daider mettre en uvre un systme de management (ou de
gestion) de la scurit de linformation (SMSI) selon la norme ISO 27001, qui est fonde sur
une approche de gestion du risque. Pour comprendre cette norme internationale, il est
important de connatre les concepts, modles, processus et termes exposs dans le systme
de gestion ISO 27001 et damns le cadre normatif ISO 27002,Code de bonne pratique pour
la gestion de la scurit de linformation, qui dcrit des mesures de scurit de
!
!1 3 1
Chapitre 6
La norme ISO 27005 dtaille le processus de gestion de risque dans les chapitres 6 12. Elle
Les principaux lments des chapitres 7 et 8 sont prsents dans les sections suivantes.
27005 est ltablissement du contexte de lanalyse de risque. Pour cela, lanalyste de risque
fait appel toutes les sources dinformations pertinentes disponibles sur lorganisation
afin de dfinir:
!
!1 3 2
Introduction la gestion de risque informationnel
lobjectif principal de la gestion de risque informationnel parce que cela affecte lensemble
!
!1 3 3
Chapitre 6
Selon la porte et les objectifs de la gestion de risque des approches diffrentes peuvent
tre mises en oeuvre.Lapproche pourrait galement tre diffrente pour chaque itration
dans une stratgie de gestion de risque continue que ce soit sur une base trimestrielle,
annuelle ou autre. Cette approche sera choisie ou labore en relation des critres
Effectuer une valuation des risques et tablir un plan de traitement des risques.
Dfinir et mettre en uvre des politiques, procdures et contrles de gestion
Surveiller les processus de gestion de risque informationnel.
La norme ISO 27005 suggre de se rfrer larticle 5.2.1 dela norme ISO 27001 concernant
les ressources ncessaires pour la mise en uvre et le fonctionnement dun SMSI. Cet
article de la norme ISO 27001 fourni peu de dtails additionnels et donne plutt une liste
Ensuite, des critres dvaluation doivent tre mis au point pour valuer le risque
informationnel de lorganisation en tenant compte des points suivants:
!
!1 3 4
Introduction la gestion de risque informationnel
Les attentes des parties prenantes, les atteintes la rputation et les impacts
potentiels sur lachalandage.
En outre, les critres dvaluation du risque peuvent tre utilis pour spcifier les
priorits de traitement des risques.Par la suite, des critres dimpact devrait tre
dvelopps et prciss en termes dimportance des dommages, des cots ou des
pertes occasionns par un ala compte tenu des informations suivantes:
La catgorisation de lactif informationnel affect.
Les atteintes la scurit des informations (par exemple la perte de la
confidentialit).
La perte de valeur commerciale et financire.
La perturbation des plans et lajout de dlais.
Latteinte la rputation.
Une violations des exigences lgales, rglementaires ou contractuelles.
!
!1 3 5
Chapitre 6
Selon ISO 27005, des critres prcis dacceptation des risques devrait tre labor. Les
critres dacceptation des risques dpendent souvent des politiques de lorganisation, ses
buts, ses objectifs et des intrts des parties prenantes.Lorganisation doit dfinir ses
propres barmes pour les niveaux dacceptation des risques.Les lments suivants
doivent tre pris en compte dans llaboration des critres dacceptation des risques:
Ils peuvent inclure des seuils multiples, avec un niveau cible souhait et des rgles pour
les cadres suprieurs qui identifient dans quelles circonstances ils peuvent accepter des
risques suprieurs.
Ils peuvent tre exprims comme le rapport entre lutilit espre et le risque valu.
Par exemple, les risques qui pourraient rsulter du non-respect des rglements ou de lois
peuvent tre vits, alors que lacceptation des risques levs peuvent tre accepts pour
Ils peuvent inclure des exigences pour un traitement supplmentaire Par exemple, un
risque peut tre accepte que sil y a approbation et engagement de prendre des mesures
Les critres dacceptation des risques peuvent varier en fonction de la dure du risque. Par
exemple, le risque peut tre associe une activit temporaire ou court terme.
!
!1 3 6
Introduction la gestion de risque informationnel
Les critres dacceptation des risques devraient tenir compte tenir des lments suivants:
Les critres dacceptation des risques correspondent des critres pour accepter les risques
et identifier le niveau de risque acceptable, tel que spcifis larticle 4.2.1 dISO 27001 et
tre dfini afin dassurer que tous les actifs informationnels soient pris en compte dans
lvaluation des risques.En outre, des seuils de tolrance et des limites doivent tre
Des information sur lorganisation doit tre recueillies afin de dterminer lenvironnement
!
!1 3 7
Chapitre 6
En outre, lorganisation doit fournir une justification de ce qui sera inclus et exclus du
processus, ou une partie dune organisation.La porte et les limites de la gestion des
risques scurit de linformation est lie la porte et les limites du SMSI, tel que dfini
larticle 4.2.1 de la norme ISO 27001.De plus amples informations sont fournies lannexe
!
!1 3 8
Introduction la gestion de risque informationnel
Cette organisation de gestion de risque informationnel doit tre approuv par les
organisation de gestion de risque informationnel peut tre considre comme lune des
!
!1 3 9
Chapitre 6
Lvaluation du risque informationnel selon la norme ISO 27005 dbute avec les critres de
linformation de gestion des risques mis en place, tels que prsents la section
prcdente. partir de ces intrants, les risques doivent tre identifis, quantifis ou
dtermins qualitativement et ensuite prioriss par rapport aux critres dvaluation des
Un risque est une combinaison des consquences qui dcouleraient de la survenance dun
gestionnaires de hirarchiser les risques selon leur gravit, relle ou perue, ou selon
dautres critres. Outre lvaluation du risque comme tel, lvaluation des risques
comprend lanalyse des risques qui demande didentifier et destimer les risques. Ces
IPM.
!
!1 4 0
Introduction la gestion de risque informationnel
Lvaluation des risques est souvent ralise en plusieurs itrations.Tout dabord, une
valuation de haut niveau est effectue pour identifier les risques potentiellement levs
qui justifient une valuation plus pousse.La prochaine itration peut permettre lexamen
approfondi des risques potentiellement levs rvls dans litration initiale.Lorsque les
informations sont insuffisantes pour valuer le risque, des analyses plus dtailles sont
menes sur des parties limits ou en utilisant une approche diffrente. Il appartient
lorganisation de choisir sa propre approche dvaluation des risques base sur les objectifs
dvaluation des risques. Le rsultat souhait est une liste de risques valus et prioriss
Lidentification des risques consiste dterminer ce qui pourrait arriver provoquer une
perte potentielle, et mieux comprendre comment, o et pourquoi la perte qui pourrait se
!
!1 4 1
Chapitre 6
Les actifs informationnels, leur propritaires et leur valeur doivent tre identifis. Pour
compose de plus que de matriel et de logiciel. Lidentification des actifs doit tre effectue
des risques.Le niveau de dtail utilis pour lidentification des actifs va influencer la
valeur globale de linformation recueillie au cours de lvaluation des risques.Le niveau
Un propritaire dactif informationnel, devrait tre dtermin pour chaque actif, afin
lvaluation, compose dune liste dactifs physique (serveurs et quipements rseau par
exemple), dactifs immatriels (logiciels et donnes) et une liste des processus daffaires
lis aux actifs et de leur pertinence est le principal rsultat du processus didentification
!
!1 4 2
Introduction la gestion de risque informationnel
des actifs.Plus dinformations sur lidentification et lvaluation des actifs lis la scurit
Les menaces et leurs sources devraient tre identifies, tel que mentionn dans la norme
ISO 27001. Le rsultat de lidentification des menaces est une liste des menaces catgorise
ainsi que leur source. Lesinformation sur les menaces proviennent de plusieurs sources,
tels que les incidents passs, les propritaires dactifs, les utilisateurs et dautres sources, y
Une menace a le potentiel de nuire aux actifs informationnels tels que des informations,
des processus et des systmes et aux organisations.Les menaces peuvent tre dorigine
lorganisation. Les menaces doivent tre identifis de faon gnrique et par type (par
exemple des actions non autorises, des dommages physiques, des dfaillances
techniques), puis le cas chant les menaces individuelles au sein de la classe gnrique
identifi.Cela signifie quaucune menace est nglig, y compris celles qui sont
inattendues.Certaines de ces menaces peuvent affecter plus dun actif
informationnel.Dans ce cas, elles peuvent causer des impacts diffrents selon les actifs
touchs.
!
!1 4 3
Chapitre 6
du service juridique et dautres organisations y compris les corps policiers, les autorits
catalogues ou registre de menaces, qui peuvent tre spcifique une organisation, une
entreprise ou une industrie, pour crer une liste de menaces gnriques, le cas
chant.Des catalogues des menaces et des statistiques sont produits par des organismes
Lors de lutilisation des catalogues, des menaces ou des rsultats de lvaluation des
menaces antrieures, il faut tre conscient quil y a une volution continuelle des menaces
dinformation change.Plus dinformations sur les types de menaces peuvent tre trouves
dans lannexe C de la norme ISO 27005.
!
!1 4 4
Introduction la gestion de risque informationnel
des contrles devraient tre faite pour viter des travaux et des cots inutiles, entre autres
par la duplication des contrles.En outre, tout en identifiant les contrles existants, une
vrification doit tre effectue pour sassurer que les contrles fonctionnent correctement.
Lutilisation des rapports daudit existants devrait rduire le temps consacr cette
tche.Si un contrle ne fonctionne pas tel que prvu, cela peut entraner des vulnrabilits
traitement de risque choue. Dans ce cas, des contrles complmentaires sont ncessaires
pour efficacement faire face au risque identifi.Dans un SMSI, cela est pris en charge par
la mesure de lefficacit du contrle. Une faon den estimer lefficacit consiste voir:
Un examens des rapports daudit fournit galement des informations sur lefficacit des
contrles existants. Les contrles planifis doivent tre considrs de la mme manire que
ceux dj en place.
!
!1 4 5
Chapitre 6
Un contrle existant ou planifie pourrait tre identifi comme tant inefficace, insuffisant
ou injustifi.Sil est injustifi ou insuffisant, le contrle doit tre vrifie pour dterminer
sil doit tre enlev, remplac par un contrle plus appropri ou sil doit rester en place,
par exemple, pour des raisons de cot. Pour lidentification des contrles existants ou
Lexamen des informations sur les contrles (par exemple, des plans de mise en uvre
risque de traitement).Si les processus de gestion de la scurit des informations sont bien
documents tous les contrles existants ou prvus et ltat de leur mise en uvre devrait
tre disponible;
scurit de linformation, gestionnaire) et les utilisateurs quant aux contrles qui sont
Procder un examen sur place des contrles physiques, en comparant celles mises en
uvre avec les contrles qui devraient tre en place, et en vrifiant celles mises en uvre
Le rsultat est une liste de tous les contrles existants et prvus, leur mise en uvre et tat.
!
!1 4 6
Introduction la gestion de risque informationnel
menaces, de la liste des actifs informationnels et de celle des contrles existants, ltape
didentification des vulnrabilits cherche identifier les vulnrabilits qui peuvent tre
exploites par des menaces qui sont susceptibles de causer des dommages aux biens ou
lorganisation. Ceci est fait afin de produire une liste de vulnrabilits catgorise par
actifs, par menaces et par contrles et une liste des vulnrabilits qui nest pas associ
identifis dans:
Lorganisation
Les processus et les procdures
La gestion des routines
Le personnel
Lenvironnement physique
La configuration dun systme dinformation
Les dpendance lgard du matriel, logiciel ou matriel de communication sur
les parties externes
comme tel, il doit y avoir une menace pour lexploiter.Une vulnrabilit qui na pas de
vulnrabilit devrait tre reconnue et surveille, en particulier pour savoir sil y a des
!
!1 4 7
Chapitre 6
Il est important de noter quun contrle en place de manire incorrecte, qui ne fonctionne
pas adquatement ou qui est utilis incorrectement pourrait tre lui-mme une
dans lequel elle opre.Inversement, une menace qui na pas une vulnrabilit
correspondante ne peut pas entraner un risque. Les vulnrabilits peuvent tre lis aux
proprits de lactif qui peut tre utilis dans un but autre que celui prvu lorsque lactif a
Cette tape a pour objectif didentifier les consquences, telles que les pertes de
afin de produire une liste de scnarios dincidents et leurs consquences lies des actifs et
des processus daffaires. Une consquence peut tre une perte defficacit, des conditions
dexploitation dfavorables, la perte dopportunits daffaires, un atteinte la rputation,
Lors de cette activit lorganisation cherche identifier les impacts, les dommages ou les
consquences ngatives pour lorganisation qui pourrait rsulter dun incident, dcrit dans
!
!1 4 8
Introduction la gestion de risque informationnel
plusieurs actifs informationnels lors dun incident de scurit de linformation tel que
doivent tre dtermins en tenant compte des critres dimpact dfinis au cours de
commerciales (pertes de rputation, perte de parts de march, etc.) si ces actifs sont
permanente, par exemple dans le cas de la destruction dun actif informationnel.La norme
ISO 27001 dcrit lapparition de scnarios dincidents comme des failles de scurit.
Sans sy limiter, les organisations devraient identifier les consquences oprationnelles des
Des dtails additionnels sur lvaluation des vulnrabilits techniques peuvent tre
trouves dans lannexe B.3 de la norme ISO 27005 qui porte sur lvaluation des
consquences.
!
!1 4 9
Chapitre 6
qualitative est souvent utilis en premier pour obtenir une indication gnrale du niveau
de risque et rvler les risques majeurs.Plus tard, il peut tre ncessaire de procder une
analyse de risque plus spcifique ou quantitative pour les risques majeurs. Selon la norme
ISO 27005, il est gnralement moins complexe et moins coteux de raliser des mesures
La mthode danalyse devraient tre compatibles avec les critres dvaluation des risques
labores dans le cadre de ltablissement du contexte. Lanalyse des risques peut tre
ralise divers degrs de dtail, selon la criticit des actifs, ltendue des vulnrabilits
La mesure qualitative utilise une chelle de qualification des attributs pour dcrire
probable, trs probable, certain).Un avantage de la mesure qualitative est que les chelles
de mesure utilises sont comprises facilement par tous le personnel concern. Le principal
!
!1 5 0
Introduction la gestion de risque informationnel
Les chelles qualitatives peuvent tre adaptes ou ajustes en fonction des circonstances.
Des descriptions diffrentes peuvent tre utilises pour diffrents risques.En particulier, la
Pour lidentification initiale des risques qui ncessitent une analyse plus dtaille;
Lorsque ce genre danalyse est appropri pour la prise de dcision;
Lorsque les donnes ou les ressources sont insuffisantes pour une estimation
quantitative.
Lanalyse qualitative doit utiliser des informations factuelles et des donnes probante
La mesure quantitative utilise une chelle avec des valeurs numriques plutt que les
consquences et des probabilits peut tre ralise en utilisant des donnes provenant
validit des modles utiliss.Lestimation quantitative dans la plupart des cas utilise des
donnes dincidents historiques, qui peuvent tre lie directement aux objectifs de scurit
!
!1 5 1
Chapitre 6
lvaluation des risques. La faon dont les consquences et la probabilit sont exprims et
les moyens par lesquels ils sont combins pour fournir un niveau de risque varie selon le
processus daffaires, afin de produire une liste de consquences values dun scnario
dincident exprim lgard de lactif et les critres dimpact. Les consquences pour
lorganisation qui pourraient rsulter incidents de scurit rels ou probables doivent tre
informationnels dans le primtre de lanalyse de risque, les valeurs attribues ces actifs
devraient tre prises en compte lors de lvaluation des consquences.La perte pour
lorganisation rsultant des consquences dun incident peut tre exprim de faon
!
!1 5 2
Introduction la gestion de risque informationnel
Cette valuation peut tre dtermine partir dune analyse dimpact sur les affaires
(Business Impact Analysis).La valeur, dtermine par la consquence pour les entreprises,
est gnralement beaucoup plus lev que le cot de remplacement simple, en fonction de
Lvaluation des actifs est un facteur cl dans lvaluation dimpact dun scnario
dincident, parce que lincident peut affecter plus dun atout (par exemple les actifs
charge), ou seulement une partie dun actif.Diffrentes menaces et les vulnrabilits aura
des impacts diffrents sur lactif, telles que la perte de confidentialit, lintgrit ou la
disponibilit. Lvaluation des consquences est donc lie la valorisation des actifs sur la
Les consquences ou impacts sur lentreprise peut tre dtermine par la modlisation des
rsultats dun vnement ou srie dvnements, ou par extrapolation partir des tudes
!
!1 5 3
Chapitre 6
pour lorganisation.Dans certains cas, plus dune valeur numrique est ncessaire pour
prciser les consquences pour diffrents moments, lieux, groupes ou situations. Les
consquences dans le temps doivent tre mesurs avec la mme approche utilise pour la
actifs et valuation de limpact peut tre trouve dans lannexe B de la norme ISO 27005.
de la probabilit de ralisation des scnarios, tel que dfini larticle 4.2.1 de la norme ISO
27001. Elle est produite partir de la liste des scnarios dincidents identifis pertinents,
comprenant lidentification des menaces, des actifs affects, les vulnrabilits exploites et
les consquences sur les actifs et les processus daffaires.En outre, des listes de tous les
prendre en compte de la faon dont souvent les menaces se produisent et la facilit avec
!
!1 5 4
Introduction la gestion de risque informationnel
Par exemple, un systme dinformation peut avoir une vulnrabilit aux menaces
la probabilit dune mauvaise utilisation des ressources peut tre faible, malgr les
faiblesses dauthentification des utilisateurs, parce que les moyens de dtourner les
Selon les niveau de dtail requis ou les besoins de lorganisations, les actifs pourraient tre
regroups ou isols. Par exemple, diffrents sites gographiques, la nature des menaces
pesant sur les mmes types dactifs peut changer, ou lefficacit des contrles existants
peuvent varier.
!
!1 5 5
Chapitre 6
Selon ISO 27005, et tel que dfini larticle 4.2.1 de la norme ISO 27001, le niveau de risque
doit tre valu pour tous les scnarios dincidents pertinents afin de produire une liste de
risques avec des mesures (qualitatives ou quantitative) de la valeur des consquences dans
que selon ISO 27005, le risque estim est une combinaison de la probabilit de la
ralisation dun scnario dincident et de ses consquences. Ces estimations peuvent tre
Lvaluation du risque
Lvaluation du risque est raliss partir des rsultats de lestimation de risque. Selon
ISO 27005, et tel que dfini larticle 4.2.1 de la norme ISO 27001, le niveau de risque
devrait tre compar aux critres dvaluation des risques et aux critres dacceptation des
!
!1 5 6
Introduction la gestion de risque informationnel
tre rexamine de faon plus dtaille ce stade o on en sait davantage sur les risques
particuliers identifis.
Pour valuer les risques afin de produire une liste de risques hirarchiss, les organisations
devraient comparer les risques estims (en utilisant des mthodes ou des approches
mentionnes lannexe E dela norme ISO 27005) avec les critres dvaluation des risques
dfinis lors de la mise en place le contexte. Ces critres dvaluation doivent tre
compatibles avec le contexte, prendre en compte les objectifs de lorganisation et les points
de vues des diverses parties prenantes. Lvaluation des risques devrait tre bases sur le
Lvaluation des risques utilise la comprhension du risque obtenue par lanalyse des
risques pour prendre des dcisions sur les actions futures.Les dcisions devraient inclure
les priorits pour le traitement des risques ou si une activit doit tre entreprise. Au cours
!
!1 5 7
Chapitre 6
sont des facteurs qui devraient tre prises en compte en plus des risques estims.
!
!1 5 8
Introduction la gestion de risque informationnel
existent sur le march, certaines gratuitement, dautres un cot non ngligeable. Dans
certains cas, des organisations cres des mthodologies danalyse de risque afin de
mthodologies peut savrer un outil efficace lorsquelles sont utilises diligemment dans
un contexte bien dtermin. Cependant, comme tout outil, elles ont des limites. Elles ont
cherchent mesurer des concepts. Dans ce cas prcis, les mthodologies cherchent
limpact) selon des chelles de mesure (par exemple : bas, moyen, lev). Plusieurs des
concepts mesurs ne peuvent tre mesurs directement (par exemple comme lire la
informationnel doit tenir compte de plusieurs sources derreur ou de biais, soit en relation
la slection des individus qui donnent les rponses, de linterprtation donner aux
mthodologies. Plusieurs tudes ont t ralises sur les sources derreurs et de biais, ainsi
que les moyens mettre en oeuvre pour limiter leur impact. Le but tant de sassurer que
les rsultats dune tude soient fidles la ralit tout en tant rigoureux sur le plan
aussi pertinents aux mthodologies danalyse de risque sur lesquelles se basent les
La mthodologie est une sorte de coffre outils lusage des chercheurs, ceux qui
cherchent rpondre une question. Dans ce coffre chaque outil, louvrier retrouvera un
!
!1 6 0
Introduction la gestion de risque informationnel
dans un domaine, une mthodologie permet dtablir une suite dactions effectuer, de
questions se poser, de choix faire, qui permet de mener de manire plus efficace une
tude ou la rsolution dun problme. Cest un des lments qui font la diffrence entre un
sujet de ltude lui-mme. Cest cequi permet dobtenir des rsultats qui ont une
scientificit dmontrable, qui peuvent tre reproduits ou vrifis par des individus
extrieurs ltude.
Dans le domaine dapplication qui nous intresse dans ce livre, une mthodologie
particulier:
!
!1 6 1
Chapitre 7
La validit interne fait rfrence lexactitude des rsultats. Il y a validit interne lorsquil
y a concordance entre les donnes et leur interprtation. Une tude peut tre considre
pour sa validit interne, cest--dire quelle est vraie pour la population ltude, cest--
dire que les rsultats de ltude correspondent ce qui a t tudi pour ces individus ce
!
!1 6 2
Introduction la gestion de risque informationnel
moment dans le temps. Sans contrles formels et sans faire une tude approfondie, il est
Quant la validit externe, qui rfre la gnralisabilit des rsultats (permets den tirer
des conclusions impartiales au sujet dune population cible plus grande que lensemble
des sujets), cet aspect de la validit nest important quen ce qui concerne une population
cible externe particulire, ce qui est moins critique pour les petites organisations compte
tenu de lutilisation limite, mais plus significative aux grandes organisations. Par
exemple, les rsultats dune analyse de risque mene avec sept participants dans une unit
daffaires peuvent tre gnraliss lensemble de lorganisation (la population cible tant
forme de toute lorganisation et ;la population disponible forme de sept individus). Ici
aussi, sans contrles formels et sans faire une tude approfondie, il est impossible
Un premier problme porte sur la mesure des variables que lon cherche tudier lors
dune analyse de risque. La mesure est lattribution de nombres des objets, des
vnements ou des individus selon des rgles prtablies dans le but de dterminer la
valeur dun attribut donn. En recherche, une variable est un concept auquel une mesure
peut tre dtermine. Elle correspond une qualit (p. ex. petit, grand) ou un caractre
(p. ex. grandeur, ge) qui sont prts un lment (personnes, vnements) faisant objet
dune recherche et auquel une valeur est attribue. Les variables sont relies aux concepts
!
!1 6 3
Chapitre 7
peuvent tre classes de diffrentes faons selon les rles quelles remplissent dans une
recherche. La mesure est lattribution de nombres des objets, des vnements ou des
individus selon des rgles prtablies dans le but de dterminer la valeur dun attribut
donn.
Une partie du risque informationnel peut tre mesur objectivement sur la base de
donnes historique dune organisation: le risque informationnel objectif. Cependant, peu
dorganisations disposent dune quantit de donnes objectives fiables sur une priode
suffisante pour les utiliser efficacement. Il est important de noter quil y a dans cette partie
normalement lors dun trs grand nombre dobservations. Cet priori est trs discutable
Tout ce qui ne peut pas tre mesur objectivement doit ltre subjectivement. Ainsi, tout ce
qui nest pas du risque objectif est dans le camp du risque informationnel subjectif. Toute
faons didentifier les attentes de lorganisation (valeurs et croyances) par les individus qui
la composent et par les documents disponibles, sorte dartfacts. Dun point de vue
!
!1 6 4
Introduction la gestion de risque informationnel
risque informationnel dans son contexte particulier compte tenu de ltat actuel des
congruence des rsultats dune analyse de risque avec la ralit de lorganisation tudie.
Si lon ne pouvait garantir la validit des rsultats, on ouvre la porte des critiques sur les
Lon distingue les mesures discrtes (des catgories) des mesures continues. La mesure
continue utilise des valeurs numriques selon des rgles de mesure (quantit, longueur,
temprature). Elle permet de dterminer si une caractristique est prsente et, si oui,
queldegr. Les chelles de mesure sont habituellement classes en quatre catgories, telles
Les chelle nominales qui classe les objets dans de catgories. Dans ces chelles les
nombres sont sans valeur numrique. Lorsquune chelle nominale est utilise, des tests
non paramtriques et des statistiques descriptives peuvent tre utiliss. Par exemple: Sexe
masculin ou fminin, race, religion.
Les chelle ordinale permet de classer les objets par ordre de grandeur. Dans ces chelles,
les nombres indiquent des rangs et non des quantits. Les chelles ordinales permettent
!
!1 6 5
Chapitre 7
lutilisation statistique sil existe un continuum sous-jacent dintervalles, comme dans les
chelle intervalles Les intervalles entre les nombres sont gaux. Les nombres peuvent
tre additionns ou soustraits. Les nombres ne sont pas absolus, car le zro est arbitraire.
en degrs Celsius.
chelle proportions Lchelle a un zro absolu. Les nombres reprsentent des quantits
relles et il possible dexcuter sur elles toutes les oprations mathmatiques. Par exemple:
Il est critique de sassurer quune rigueur scientifique est prsente dans toute analyse de
risque. Certaines mthodes utilisent des donnes qualitatives auxquelles sont assignes
des valeurs numriques sur lesquelles une analyse statistique est effectue. Si en plus ces
valeurs assignes sont utilises dans des calculs mathmatiques, cest plutt douteux. Le
passage dune donne qualitative une donne quantitative ne peut se faire sans quil soit
appuy par un cadre rigoureux qui doit tre vrifi rigoureusement. Sinon, quelle
La majorit des mthodologies analyses utilisent des chelles ordinales et des chelles
intervalles. Ce type dchelle de mesure nest pas appropri pour des oprations
mathmatiques complexes, mais peut faire lobjet danalyse statistique. Le problme est
que certaines de celles-ci effectuent des oprations mathmatiques complexes qui ne sont
!
!1 6 6
Introduction la gestion de risque informationnel
contrles mthodologiques pour dominer la situation. Octave est le seul qui utilise une
L'chantillonnage
permettant dassigner des valeurs des variables, il est essentiel que ces personnes
fournissent des rponses qui sont en mesure de fournir un portrait rel et complet de la
situation: lchantillon doit tre reprsentatif de la population quil reprsente. Toutes les
mthodologies ont un chantillon non probabiliste dtermin par choix raisonn. Ce qui
signifie que, dans chaque cas, les individus qui participent ltude sont choisis par les
individus qui font lanalyse de risque. Ainsi, de nombreux biais de slections sont
dun chantillon sont on ne peut dterminer la reprsentativit. Il est donc incertain que
lensemble de la situation, tel quelle existe dans la ralit, ne puisse sexprimer dans les
rsultats de lanalyse de risque. De mme, il ny a aucun contrle de la saturation afin de
sassurer que tout ce qui est dire sur la situation sous analyse soit dit par les individus
!
!1 6 7
Chapitre 7
OCTAVE
Evaluation. Il sagit dune suite doutils, de techniques et mthodes crs pour lvaluation
Act(HIPPA), une loi Amricaine facilitant et rgulant lchange de donnes entre les
acteurs de la sant sur le territoire des tats-Unis dAmrique.La mthode OCTAVE fut
2003 et Juin 2005, la mthode OCTAVE a t tlcharg plus de 9 600 fois.Au cours de
!
!1 6 8
Introduction la gestion de risque informationnel
Ces mthodes sont fondes sur les critres OCTAVE, une approche normalise pour une
valuation de la scurit des informations ax sur le risque et les pratiques
scurit de lorganisation.
lorganisation.
!
!1 6 9
Chapitre 7
Il y a plusieurs lments cls qui doivent tre lies au contexte de lorganisation pour
Le catalogue des pratiques de scurit utilises pour valuer le risque doit tenir compte
La faon dont les informations sont recueillies pour lvaluation des risques doit sinscrire
Les documents produits doivent tre rdigs pour les dcideurs de lorganisation en
Les menaces considres dans les tapes de lanalyse doivent tre compatibles avec ceux
!
!1 7 0
Introduction la gestion de risque informationnel
Les critres dvaluation utiliss pour valuer limpact des risques sur lorganisation et de
hirarchiser les risques doivent tre fonds sur des mesures organisationnelles.
lapproche OCTAVE:
Les sources dinformation inclus dans lvaluation nont pas besoin dtre exhaustive, mais
gestion de risques.
Site OCTAVE
Formation OCTAVE
!
!1 7 1
Chapitre 7
MHARI
issue des travaux de Jean-Philippe Jouas et de Albert Harari, lorsquils taient lemploi
Albert Harari avait dvelopp Melisa pour la DCN, la Direction des Constructions
mthode Melisa proposait une certaine vision des risques, avec des paramtres
contexte industriel et dans une socit multinationale a conduit Jouas et Harari faire
voluer cette base pour dfinir un modle du risque complet et une mtrique associe.Les
!
!1 7 2
Introduction la gestion de risque informationnel
MHARI est prsent comme une bote outils de laquelle les spcialistes pourront tirer,
la scurit.
Des guides :
!
!1 7 3
Chapitre 7
Les processus et les mthodes dvaluations : approche analytique des facteurs de risque
travail.
!
!1 7 4
Introduction la gestion de risque informationnel
Le schma ci-dessus reprend lensemble des lments de MHARI qui interviendront dans
structur pour diffrencier les tapes fondamentales et structurantes qui seront franchies
lors de llaboration de plans au sein dentits autonomes.Les premires ont pour objet
mehari/
!
!1 7 5
Chapitre 7
EBIOS
Cre en 1995 par lAgence nationale de la scurit des systmes dinformation de France
Identification des Objectifs de Scurit) permet dapprcier et de traiter les risques relatifs
la scurit des systmes dinformation. Elle permet aussi de communiquer leur sujet au
nouvelle version de la mthode EBIOS pour prendre en compte les retours dexprience
rglementaires. Selon ses crateurs, cette nouvelle version de la mthode, plus simple et
plus claire que la prcdente, offre la possibilit dlaborer et dassurer le suivi dun plan
dactions relevant de la scurit des systmes dinformation.Elle est assortie dune base de
La mthode EBIOS permet dapprcier et de traiter les risques. Elle fournit galement tous
les lments ncessaires la communication au sein de lorganisme et vis--vis de ses
!
!1 7 6
Introduction la gestion de risque informationnel
Ltablissement du contexte
Un contexte bien dfini permet de grer les risques de manire parfaitement approprie, et
ainsi de rduire les cots ce qui est ncessaire et suffisant au regard de la ralit du sujet
tudi.
Pour ce faire, il est essentiel dapprhender les lments prendre en compte dans la
rflexion :
La mthode EBIOS permet daborder tous ces points selon le degr de connaissance que
!
!1 7 7
Chapitre 7
un impact.
On peut ainsi comprendre quil ny a plus de risque si lun de ces facteurs manque. Or, il
est extrmement difficile, voire dangereux, daffirmer avec certitude quun des facteurs est
absent. Par ailleurs, chacun des facteurs peut contribuer de nombreux risques diffrents,
qui peuvent eux- mmes senchaner et se combiner en scnarios plus complexes, mais
On va donc tudier chacun de ces facteurs, de la manire la plus large possible. On pourra
alors mettre en vidence les facteurs importants, comprendre comment ils peuvent se
combiner, estimer et valuer (hirarchiser) les risques. Le principal enjeu reste, par
consquent, de russir obtenir les informations ncessaires qui puissent tre considres
comme fiables. Cest la raison pour laquelle il est extrmement important de veiller ce
que ces informations soient obtenues de manire limiter les biais et ce que la dmarche
soit reproductible.
Pour ce faire, la mthode EBIOS se focalise tout dabord sur les vnements redouts
(sources de menaces, besoins de scurit et impacts engendrs en cas de non respect de ces
besoins), puis sur les diffrents scnarios de menaces qui peuvent les provoquer (sources
combinant les vnements redouts et les scnarios de menaces, puis estims et valus
!
!1 7 8
Introduction la gestion de risque informationnel
Les risques apprcis permettent de prendre des dcisions objectives en vue de les
Pour ce faire, EBIOS permet de choisir le traitement des risques apprcis au travers des
objectifs de scurit : il est ainsi possible, pour tout ou partie de chaque risque, de le
rduire, de le transfrer (partage des pertes), de lviter (se mettre en situation o le risque
nexiste pas) ou de le prendre (sans rien faire). Des mesures de scurit peuvent alors tre
La manire dont les risques ont t grs et les risques rsiduels subsistants lissue du
traitement doivent tre valids, si possible formellement, par une autorit responsable du
fait sur la base dun dossier dont les lments sont issus de ltude ralise.
Obtenir des informations pertinentes, prsenter des rsultats, faire prendre des dcisions,
valider les choix effectus, sensibiliser aux risques et aux mesures de scurit appliquer,
!
!1 7 9
Chapitre 7
de la russite de la gestion des risques. Si celle-ci est bien mene, et ce, de manire adapte
sensibilisation des acteurs. Elle cre en outre une synergie autour de la scurit de
linformation, ce qui favorise grandement le dveloppement dune vritable culture de
Limplication des acteurs dans le processus de gestion des risques est ncessaire pour
compte des intrts des acteurs, rassembler diffrents domaines dexpertise pour identifier
et analyser les risques, sassurer de la bonne prise en compte des diffrents points de vue
dans lvaluation des risques, faciliter lidentification approprie des risques, lapplication
EBIOS propose ainsi des actions de communication raliser dans chaque activit de la
dmarche.
!
!1 8 0
Introduction la gestion de risque informationnel
Le cadre mis en place pour grer les risques, ainsi que les rsultats obtenus, doivent tre
pertinents et tenus jour afin de prendre en compte les volutions du contexte et les
Pour ce faire, la mthode EBIOS prvoit les principaux lments surveiller lors de la
La mthode formalise une dmarche de gestion des risques dcoupe en cinq modules
La dmarche est dite itrative. En effet, il sera fait plusieurs fois appel chaque module
gestion des risques, les mtriques et le primtre de ltude sont parfaitement connus ; les
!
!1 8 1
Chapitre 7
biens essentiels, les biens supports sur lesquels ils reposent et les paramtres prendre en
les besoins de scurit des biens essentiels (en termes de disponibilit, dintgrit, de
confidentialit), ainsi que tous les impacts (sur les missions, sur la scurit des
personnes, financiers, juridiques, sur limage, sur lenvironnement, sur les tiers et autres)
Le troisime module sinscrit aussi dans le cadre de lapprciation des risques. Il consiste
identifier et estimer les scnarios qui peuvent engendrer les vnements redouts, et ainsi
composer des risques. Pour ce faire, sont tudies les menaces que les sources de menaces
!
!1 8 2
Introduction la gestion de risque informationnel
Le quatrime module met en vidence les risques pesant sur lorganisme en confrontant
les vnements redouts aux scnarios de menaces. Il dcrit galement comment estimer et
valuer ces risques, et enfin comment identifier les objectifs de scurit quil faudra
explique comment spcifier les mesures de scurit mettre en uvre, comment planifier
la mise en uvre de ces mesures et comment valider le traitement des risques et les
risques rsiduels.
!
!1 8 3
Chapitre 7
Questions de rvision
1. tude du contexte
2. tude des vnements redouts
3. tude des mesures de scurit
4. tude des risques
5. tude des scnarios de menaces
!
!1 8 4
Introduction la gestion de risque informationnel
A. Authenticit
B. Congruence
C. Crativit
D. Crdibilit
E. Criticit
F. Intgrit
G. Exhaustivit
H. Explicit
I. Sensibilit
!
!1 8 5
Chapitre 7
A. chelle intervales
B. chelle nominale
C. chelle ordinale
E. chelle proportions
!
!1 8 6
Introduction la gestion de risque informationnel
programme collgial
8. le niveau de disponibilit dun actif informationnel mesur avec les valeurs bas,
moyen, lev et critique
!
!1 8 7
Chapitre 7
Mesure
Mthodologie
Validit interne
Validit externe
Variable
de choix faire, qui permet de mener de manire plus efficace une tude ou la rsolution
dun problme.
individus selon des rgles prtablies dans le but de dterminer la valeur dun attribut
donn.
__________: Une science de la mthode, une mta mthode, une mthode des mthodes,
!
!1 8 8
Introduction la gestion de risque informationnel
!
!1 8 9
Introduction la gestion de risque informationnel
Tel que mentionn aux chapitres 1 et 2 , la gestion du risque est accomplie par un
processus IPM. Lidentification (I) et la priorisation (P) sont des processus danalyse de
risque. La troisime phase, la mobilisation, est la mise en oeuvre des dcisions des phases
didentification (I) et de priorisation (P). Les premires actions prendre sont dans la
phase d'identification (I). Ces tches sont ralises lors de lanalyse de risque. Dans ce
scnarios qui fut dveloppe dans le cadre dun projet de recherche ralis la Facult de
mthodologie est utilise pour lanalyse de risque informationnel dans des organisations
publiques du secteur de la sant. Cette mthodologie est principalement utilise des fins
son utilisation dans un autre contexte que celui pour laquelle elle fut produite provient de
!
!1 9 0
Chapitre 8
Avant de dbuter lanalyse de risque, il est ncessaire didentifier lanalyste qui sera
les documents, de communiquer avec les participants et de faire la gestion de projet. Ainsi,
lanalyse de risque est gre comme un projet en utilisant des techniques de gestion de
des objectifs en matire de scurit de linformation. Cela est ralis par les tapes
suivantes:
tape nest pas intgr dans la mthode comme telle parce que de nombreuses
faire lobjet dune catgorisation, ce qui nest pas dfini dans ce livre. Un
!
!1 9 1
Introduction la gestion de risque informationnel
de son plan daction pour grer efficacement le risque, une organisation doit
en oeuvre des mesures de mitigation du risque, qui sera effectu par le comit
!
!1 9 2
Chapitre 8
lorganisation devrait grer cet exercice comme un projet. De cette faon, il est
Une fois ces premires tapes compltes, la phase didentification et dvaluation des
structure, sa culture, ses objectifs et les individus clef en relation aux actifs
cette tape, lutilisation des cadres de gestions normaliss, tel que ISO 27002, est
recommand.
!
!1 9 3
Introduction la gestion de risque informationnel
pices jointes, tels des diagrammes de rseau, des documents PDF ou dautres
informationnels et aux cadre de gestions qui ont t incorpors dans une tude.
Cette liste devrait tre cr et maintenue par des experts en gestion de risque
informationnel. Dans une grande organisation, tel que le MSSS ou une ASSS,
Par la suite, il est possible didentifier ou concevoir les scnarios envisager dans lanalyse
de risque. Cela dbute par lacration des scnarios avec la collaboration des individus
!
!1 9 4
Chapitre 8
concerns par llment risque qui fait lobjet de ltude. Cela peut tre ralis sous la
de donnes sont proposes pour obtenir les donnes brutes ncessaires pour
de risque. Lanalyste devra prparer du matriel pour initier les discussions lors
!
!1 9 5
Introduction la gestion de risque informationnel
propos.
est 1, une valeur de plus de 1 est utilis pour indiquer laversion au risque, en
augmentant lUtilit espre de llment risque. une valeur entre 0,01 et 0,99
reprsente une propension au risque, par une diminution de lUtilit espre.
!
!1 9 6
Chapitre 8
Une fois les trente scnarios identifies et dcrits sommairement lors de la rencontre avec
scnarios. cette fin, il est propos dutiliserle formulaire de documentation des scnarios
!
!1 9 7
Introduction la gestion de risque informationnel
cette fin, il est propos dutiliser le formulaire disponible la fin de cette section de ce
chapitre.Le formulaire est aussi disponible sur interNet. Les informations minimales
!
!1 9 8
Chapitre 8
Il est probable, une fois les scnarios dtaills, que les similitudes entre certain des
scnarios permettre den rduire le nombre en combinat les scnarios similaires. En
valider les scnarios dtaills. Il pour tre ncessaire dy faire des ajustements selon les
17. Rencontres individuelles: lors des rencontres lanalyse devra aussi valuer,
aux participant.
Pour faire la lecture des rsultats, il est suggr de les imprimer pour que la longueur soit
de 25cm, le curseur est positionn par les participants. Le rsultat est la mesure en cm
multiplie par 4, pour un maximum de 100, qui corresponds 100% ou 1. Par exemple, un
!
!1 9 9
Introduction la gestion de risque informationnel
Lvaluation de la probabilit de ralisation des scnarios peut aussi se faire lors dune
rencontre de groupe. Dans ce cas, la valeur utilis devra rsulter du consensus des
moyen avec les participants. Lessentiel est de laisser les participant indiquer le niveau
estim en fonction de llment valu, sur une ligne continue entre la plus bas et le plus
lev.
scnario prsent. Les valeurs attribu cette variable sont entre 0,01 et 0,99, soit entre 1%
(faible) et 99% (forte). La valeur centrale, neutre ou moyenne est situ au centre de lchelle
de mesure qui reprsente 0,5, ou 50%.
Une fois la probabilit de ralisation estime, il est ensuite possible dvaluer limpact de la
!
!2 0 0
Chapitre 8
curseur peut tre utilise.Lchelle curseur prsente est utilis pour lvaluation de
limpact du scnario prsent.Les valeurs attribu cette variable sont entre 0,01 et 0,99,
soit entre 1% (faible) et 99% (forte). La valeur centrale, neutre ou moyenne est situ au
!
!2 0 1
Introduction la gestion de risque informationnel
Ici encore, lchelle curseur peut tre utilise.Lchelle curseur prsente est utilis
sont entre 0,01 et 0,99, soit entre 1% (faible) et 99% (forte). La valeur centrale, neutre ou
moyenne est situ au centre de lchelle de mesure qui reprsente 0,5, ou 50%.
18. Analyse des rsultats: une fois les donnes obtenues des participants lors des
sil y a des corrlations. Dans le cas de divergences majeures, les rsultats sont
!
!2 0 2
Chapitre 8
Lestimation du risque informationnel est ralis en utilisant les donnes obtenue lors de la
validation des scnarios de risque. Lobjectif est de crer un indice qui permet de comparer
les diffrents risques qui composent lensemble du risque valu. Idalement, cet indice
peut sexprimer en argent, dans le cas ou lutilit attendue peut tre valu en valeurs
Lutilit dune lment risque y (#(y)): peut tre exprim en valeur montaire si
cest possible de lestimer ou par une valeur relative sur une chelle de 0 100
obtenue par lutilisation du curseur.
La probabilit de ralisation de lala x (Pb(x)): exprim par une valeur relative sur
une chelle de 0 1. Une probabilit de 1 est gale 100%. La valeur est obtenue
par lutilisation du curseur.
!
!2 0 3
Introduction la gestion de risque informationnel
La somme de la probabilit des dix scnarios retenus, sr, ce qui permet de ramener
la somme des scnarios = 1 (Pb(sr))
La vulnrabilit de llment risque E lala x ((E,x)): exprim par une valeur
relative sur une chelle de 0 ou 1. La valeur de 1 signifie que llment risque est
vulnrable et de 0, sil ne lest pas
Les dommages, limpact ou la rduction de lUtilit espre de llment risque y
par lala x ((x)): peut tre exprim en valeur montaire si cest possible de
lestimer ou par une valeur relative sur une chelle de 0 1 obtenue par
lutilisation du curseur.
Les mesures de mitigation en place: il est ncessaire didentifier les mesures de
mitigation en place lors des rencontres dans lorganisation ou en obtenant
linformation des responsables des TI.
Les mesures de mitigation envisages: les mesures de mitigation envisages
peuvent tre identifies lors des rencontres dans lorganisation et avec les
responsables des TI.En plus, des mesures de mitigation envisages peuvent
provenir de recommandations de professionnels de la scurit de linformation, de
consultants, de recherches, de cadres de gestion, de normes ou de dautres sources.
La rsilience de lorganisation tudie o lala x (o,x): exprim par une valeur
relative sur une chelle de 0 1. Une rsilience de 1 est gale 100%. La valeur est
obtenue par lutilisation du curseur lors des rencontres individuelles ou de
groupe.
Lapptence de lorganisation ((o)): exprim par une valeur relative sur une
chelle de 0 1.5. Elle est cependant mesure avec lchelle curseur de 0 1, ce
qui oblige un ajustement (de +0.5) Une apptence de 1 reprsente la neutralit
face au risque. Une organisation qui veut prendre des risques (risk seeking) aura
une valeur ajuste entre 0 et 1. Une organisation qui a une aversion au risque (risk
!
!2 0 4
Chapitre 8
averse) aura une valeur entre 1 et 1.5. Une valeur de 1.5 signifie une grande
aversion au risque par laugmentation de la valeur perue (utilit espre) ou de la
participation aux objectifs informationnels de lactif informationnel (lutilit). La
valeur est obtenue par lutilisation du curseur lors de la rencontre initiale.
!
!2 0 5
Introduction la gestion de risque informationnel
!
!2 0 6
Chapitre 8
19. Compilation des rsultats: Ensuite, il est ncessaire de compiler les rsultats
dans un tableau ou, mieux encore, dans un chiffrier (Excel). Les rsultats de
toutes les rencontres sont prsents aux participants dans le cadre dune
rencontre de projet.
tion
!
!2 0 7
Introduction la gestion de risque informationnel
Dans la phase de mobilisation les actions retenues aprs lapplication des stratgies
compte des aspects relis la gestion du changement dont nous avons discuts
prcdemment.
!
!2 0 8
Chapitre 8
Lensemble des actions de mobilisation ($), pourune priode de temps (t) dfini priori
dans un espace (s) donn, formeront le portfolio de mesures () compos des actions de
!
!2 0 9
Introduction la gestion de risque informationnel
21. Une fois les diffrents portfolios identifis, le comit de projet pourra choisir le
!
!2 1 0
Chapitre 8
A B C D
Z001 x x x
Z002 x x x x
Z003 x x x
Z004 x
Z005 x x
Z006 x x
Z007 x
Z008 x x x
Z009 x x
Z010 x
Risque 35806 857643 1458868 1655208
!
!2 11
Introduction la gestion de risque informationnel
gouvernance du risque et les budgets disponible pour grer le risque. Le portfolio retenu
servira crer lbauche du plan directeur. Plus clairement, ce sont les mesures de
22. Une fois le projet de plan directeur ralis, il sera soumis au comit de
approbation.
Une fois le plan approuv par le comit de gouvernance, la mise en oeuvre des actions de
mitigation de risque sera raliss dans un approche par projets par des quipes
comptentes.
Une fois les diffrents portfolios identifis, le comit de projet pourra choisir le portfolio
!
!2 1 2
Chapitre 8
informationnel
Une fois le projet de plan directeur ralis, il sera soumis au comit de gouvernance du
risque qui pourra le modifier et ensuite procder son approbation.
Une fois le plan approuv par le comit de gouvernance, la mise en oeuvre des actions de
mitigation de risque sera raliss dans un approche par projets par des quipes
comptentes.
!
!2 1 3
Introduction la gestion de risque informationnel
Exercice en classe
dHQ, vos patrons vous demandent de faire une analyse de risque. Indiquez, documentez
et justifiez 3 scnarios de risque potentiel susceptible de causer des dommages dans le cas
Scnario 1:
Scnario 2:
!
!2 1 4
Chapitre 8
Quand et o ?
Scnario 3:
Quand et o ?
!
!2 1 5
Introduction la gestion de risque informationnel
Ensuite, compltez le tableau suivant, en assumant que lorganisation a une apptence au risque
neutre et un niveau de rsilience moyen.
Ensuite :
Et finalement :
!
!2 1 6
Chapitre 8
!
!2 1 7
Introduction la gestion de risque informationnel
Questions de rvision
_____: Lidentification (I) et la priorisation (P) sont des processus danalyse de risque.
_____: Les portfolios de risque utilisent toutes les mesures de mitigation de risque pour
_____ :il sera ncessaires de prvoir des actions punitives en cas de respect des deux
!
!2 1 8
Chapitre 8
A. prvention
B. protection
C. punition
!
!2 1 9
Introduction la gestion de risque informationnel
Pb(x): 0,43
Pb(sr): 1
!
!2 2 0
Chapitre 8
Un centre de sant, le CSSS Mtro Longueuil, a un seul point de service situ la station
des professionnels de la sant et dessert une clientle de 50 000 rsidents situ proximit.
Vous tes consult en tant quexpert en gestion de risque par le CSSS. On vous pose les
!
!2 2 1
Introduction la gestion de risque informationnel
ans avec une grande institution cooprative qui comte 6000000 de membres, ses clients, et
services financiers, les caisses, de mme qu'une vingtaine de socits filiales, notamment
en gestion d'actifs.
Vous avez t mandat comme expert en gestion de risque informationnel par linstitution
causer des dommages dans le cas de cette situation dimpartition. Pour chaque scnario
identifiez:
!
!2 2 2
Introduction la gestion de risque informationnel
Bibliographie
Aamodt, A.M. (1991).Ethnography and epistemology, Dans Morse (Ed.), Qualitative Nursing Research: a
contemporary dialogue, pp 40-53, Newbury Park: Sage
Abravanel, H., Allaire, Y., Firisirotu, M.E., Hobbs, B., Poupart, R., Simard, J-J. (1988),La culture
organisationnelle: aspects thoriques, pratiques et mthodologiques, ditions Gatan Morin, Canada
Alberts, C.J. (1999),Octave Framework version 1.0, technical report, Carnegie Mellon University, rvis en
2001
Baillargeon, Normand (2006), Petit cours dautodfence intellectuelle, ditions Lux, Montral
Barber, B (1998)Patient data and security: an overview, international journal of medical informatics, no 49,
pages 19-30
Bakker, Ab (2004)Access to EHR and access control at a moment in the past: a discussion of the need and
an exploration of the consequences, International Journal of Medical Informatics
!
!2 2 3
Chapitre 7
Blakley, B., McDermott, E., Geer, D.(2001),Session 5: less is more: Information security is information risk
management, Proceedings of the 2001 workshop on New security paradigms
Blobel, Bernd (2000)Advanced toolkits for EPR security, International journal of medical informatics, no 60,
pages 169-175
CIHR (Canadian Institutes of Health Research) (2002)Secondary use of personal information in health
research: Case studies, Canadian Institute of Health Research
Cox, S. and R. Flin (1998)Safety culture: philosophers stone or a man of straw?,Work & Stress,12(3): p.
189-201.
Douglas, M., Wildavsky, A. (1984),Risk and Culture, cit dans Beucher, S., Reghezza, M., (2004)Les risques
(CAPES Agrgation),Bral
Festinger, L. (1957)A theory of cognitive dissonance, Stanford University Press, Stanford, USA
Fortin, C., Rousseau, R. (1992), Psychologie Cognitive: une approche de traitement de linformation,
Presses de lUniversit du Qubec, Qubec, Canada
!
!2 2 4
Introduction la gestion de risque informationnel
Fortin, M.-F., Ct, J., Filion, F. (2006).Fondements et tapes du processus de recherche, Chelire ducation,
Montral (Qubec), 485 pages
Guldenmund, F.W. (2000)The nature of safety culture: a review of theory and research. Safety Science, 34:
p. 215 257.
Hammersley, M., Atkinson, P. (1983)Ethnography, principles in practice, London, New York: Tavistock
Hatcher, M. (1998)Decision-Making With and Without Information Technology in Acute Care Hospitals:
Survey in the United States, Journal of Medical Systems, Vol. 22, No. 6
International Standards Organisation (1999)Guide 51 security aspects, Guidelines for their inclusion in
standards, International Standards Organization
Janczewski, Lech, and Shi, Frank Xinli (2002)Development of Information Security Baselines for
Healthcare Information Systems in New Zealand,Computers & Security, Volume 21, Issue 2, 3 pages
172-192
!
!2 2 5
Chapitre 7
Jung, C.G. (1971)Psychological Types, Routledge & Kegan Paul, London, UK (Collected Works of C.G. Jung,
Vol. 6).
Kahneman, D., Tversky, A. (1979)Prospect theory: An analysis of decision under risk,Econometrica, 47,
263-291.
Keil, M., Wallace, L., Turk, D., Dixon-Randall, G., Nulden, U. (2000)An investigation of risk perception and
risk propensity on the decision to continue a software development project, The Journal of Systems and
Software, pages 145-157
Kerkri, E. M. Quantin, C., Allaert F.A., Cottin, Y., Charve, P.H., Jouanot, F., Ytongnon, K.,An Approach for
Integrating Heterogeneous Information Sources in a Medical Data Warehouse, Journal of Medical
Systems, Vol. 25, No. 3, 2001
Keynes. J.M. (1937)The General Theory of Employment, Quarterly Journal of Economics, Vol. 51, p.209-23.
Knight, Frank H. (1921)Risk, Uncertainty, and Profit, Boston, MA: Hart, Schaffner & Marx; Houghton
Mifflin Company
Laperrire, A. (2001).Les critres de scientificit des mthodes qualitatives, dans Poupart et als, La
recherche qualitative, Enjeux pistmologiques et mthodologiques, Gatan Morin diteur, Canada, p.
366-389
Ledbetter, Craig S., Morgan, Matthew W.,Toward Best Practice: Leveraging the Electronic Patient Record
as a Clinical Data Warehouse, JOURNAL OF HEALTHCARE INFORMATION MANAGEMENT, vol. 15, no.
2, summer 2001
!
!2 2 6
Introduction la gestion de risque informationnel
Lger, Marc-Andr (2003),Un processus danalyse des vulnrabilits technologiques comme mesure de
protection contre les cyber-attaques, Rapport dactivit de synthse, Prsent comme exigence partielle de
la Matrise en informatique de gestion, Juin 2003.
Loper, Dr. D. Kall,Profiling Hackers: Beyond Psychology, Presented at the Annual Meeting of the American
Society of Criminology, San Francisco, California, USA, November 15, 2000
Miller, Gerald C., Ph.D., Datawarehousing and information management strategies in the clinical
immunology laboratory, Clinical and Applied Immunology Reviews, 2002
Pidgeon, N.,Safety culture: key theoretical issues.Work & Stress, 1998.12(3): p. 202 216.
Richter, A., Koch, C.,Integration, differentiation and ambiguity in safety cultures, Safety Science, vol 42,
2004, pages 703722
Schumacher, H. J., Ghosh, S.,A fundamental framework for network security, Journal of Network and
Computer Applications, 1997, pages 305322
Shortreed, J., Hicks, J., Craig, L. (2003)Basic Frameworks for Risk Management, Final Report, Prepared for
The Ontario Ministry of the Environment, Network for Environmental Risk Assessment and Management,
March 28, 2003
Smith, E. Eloff, J.H.P.,Security in health-care information systems current trends, International journal of
medical informatics, no 54, 1999, pages 33-54
!
!2 2 7
Chapitre 7
Stoneburner, G., Goguen, A., Feringa, A. (2002)NIST Special Publication 800-30 Risk Management Guide
for Information Technology Systems,National institute of science and technology, USA
von Neumann, J. and Morgenstern, O. (1944)Theory of Games and Economic Behavior, Princeton
University Press.
Watkins, Michael D., Bazerman, Max H.,Predictable Surprises: The Disasters You Should Have Seen
Coming, Harvard Business review Online, 2003
Whittemore, R., Chase, S., Mandle, C. (2001)Validity in Qualitative Research, Qualitative Health Research,
Vol 11 No 4, pages522-537
!
!2 2 8