l existe peu de données statistiques relatives aux pertes engendrées par des

sinistres
informatiques. La réticence des entreprises à déclarer les sinistres dont elles
sont
victimes tient à diverses causes :
- craintes d’effets sur l’image de marque de l’entreprise ;
- non-couverture par un contrat d’assurance ;
- peu d’espoir d’obtenir réparation des dommages subis ;
- impossibilité de remédier rapidement aux défaillances dans certains cas;
- désagréments causés par l’enquête ;
- identification et condamnation de l’auteur d’actes malveillants incertaine.
Néanmoins, le Club de la Sécurité Informatique Belge a mené en 1998 et en 2004 des
enquêtes de grande envergure auprès des entreprises belges, portant respectivement
sur 680 et 550 entreprises. Les rapports de ces enquêtes publiés par le CLUSIB
contiennent une grande richesse de données relatives aux mesures de protection
mises
en œuvre par nos entreprises, de même qu’aux incidents de sécurité dont elles ont
été
victimes.
5. LA GESTION DES RISQUES
Les mesures de sécurité informatique se construisent au départ d'une gestion des
risques, pour laquelle il existe plusieurs approches possibles. Elles se résument
toutes à
quelques aspects essentiels.
Un risque est la potentialité d'une menace donnée d'exploiter une vulnérabilité
d'une
entité et donc d'occasionner un dommage à l'entreprise.
La gestion des risques consiste :
− à identifier les risques (menaces, potentialité, probabilité de survenance) ;
− à les évaluer selon des critères propres à chaque entreprise, tenant compte tant
des faiblesses des protections (exposition aux risques, vulnérabilités) ainsi que
des conséquences potentielles pour l'entreprise (impact, enjeu).
Cet examen tiendra compte de la capacité de l’entreprise à réagir en cas d’impact,
capacité qu’il faudra qualifier avec la plus grande objectivité.
Il faut ensuite définir les moyens de protection adéquats, modulés selon une
analyse
coûts/bénéfices. Certains risques peuvent être transférés en les couvrant par
exemple
par des assurances ou en sous-traitant certaines applications.
En toutes circonstances, il est essentiel que toutes les parties concernées par les
risques contribuent activement à l'évaluation de ces derniers, notamment par
l'identification des menaces potentielles ou en évaluant les conséquences
possibles. EnRISQUES INFORMATIQUES : Maîtriser ou périr 16 de 37
CLUSIB : Club de la Sécurité Informatique Belge 2006
particulier, chaque constat de faiblesse en sécurité informatique doit être signalé
en vue
de l'étudier de manière adéquate et de prendre les éventuelles mesures nécessaires.
La gestion des risques doit être un processus permanent. La réévaluation des
risques
doit intervenir en temps opportun : de manière périodique ou lors d’événements tels
que
le lancement d'une nouvelle application, la modification dans la configuration des
réseaux, la réorganisation d'un département, la mutation de responsables, etc. Tout
ceci
va donc requérir une méthode de « gestion du changement » adéquate.