Vous êtes sur la page 1sur 24

Chapitre 2: Suite

Menaces, Vulnérabilités
et analyse de risque
analyse de risque
Définitions Risque
• A un effet sur la mission de l’entreprise, qui
dépends à la fois de la vraisemblance de, la
menace et de son impacte sur ses actifs et ses
ressources.
Risque informatique :
• Le risque informatique peut être désigné́ comme
le risque métier associé à l'utilisation, la
possession, l'exploitation, l'implication,
l'influence et l'adoption de l'informatique dans
une organisation
Exemples des risques :
1. Risque lié à la disponibilité
2. Risque lié à l’intégrité
3. Risque lié à la confidentialité
Concepts de gestion de risque :
La gestion des risques, « dans son plus simple appareil »,
se compose de trois blocs interdépendants.
• Nous distinguons l’organisation cible de l’étude, définie
par :

- Ses Assets (Patrimone) et ses besoins de sécurité́,

- Puis les risques pesant sur ces Assets

- Et enfin les mesures prises ayant pour but de traiter


les risques et donc d’assurer un certain niveau de
sécurité́.
Figure : concept de gestion des risques
Cycle de vie de gestion de risque :

Une telle opération de gestion des risques doit


passer par 3 axes majeurs :

1. Estimation des risques


2. Réduction des risques
3. Evaluation des risques
ANALYSE DU RISQUE
A) Introduction
Définir les besoins c’est :
- Déterminer les actifs à protéger ( quelles sont
leurs valeurs, leurs criticités, et leurs propriétés)
- Déterminer les menaces représentant des risques (
quels sont acteurs-attaqueurs, leurs motivation et
leurs moyens)
- Déterminer les objectifs à atteindre ( quels sont
les propriétés des actifs à protéger)

10
 proposer une solution : Déterminer les contres
mesures à mettre en place

 Evaluer les risques résiduels :


- Déterminer quelles sont les vulnérabilités
toujours présentes
- Déterminer les impactes sur les objectifs initiaux

11
SCHEMA de L’ANALYSE DE RISQUE

12
B) L’Objectif : Permettre à une organisation d’accomplir
sa mission par :

1- Avoir une meilleure protection des systèmes qui


conservent, traitent et transmettent les
informations essentielles pour le bon déroulement
de ces systèmes.

2- Prendre de meilleures décisions basées sur des faits


tangibles et mesurables (investissement en
équipements, personnel et formation)

13
Objectif de la méthodologie d’analyse
de risque NIST (800-30) :

 Décrire une méthodologie permettant de


réaliser une analyse de risques pour des
systèmes tenant en compte de leur cycle de
développement
NIST (800-30) : trois étapes générales
NIST (800-30) : neuf étapes
spécifiques pour l’évaluation du risque
NIST (800-30) : neuf étapes spécifiques
pour l’évaluation du risque
18
19
20
21
22
Source Motivation Actions
Pirate (hacker, cracker)  Callenge  Piratage
 Ego  Ingénierie sociale
 Rébellion
Criminel informatique  Destruction d’info  Ingénierie sociale
 Divulgation d’info  Interception d’info
 Altération d’info  Intrusion de syst
Gain monétaire  Chantage informatiq
 Cambriolage
 Mystification
(spoofing)
Terroriste  Destruction  Bombe / Terrorisme
 Revanche  Guerre de l’info
 Idéologie  Attaque de système
(DDoS)
 Intrusion de syst
Source Motivation Actions

Espionnage industriel  Avantage compétitif  Ingénierie sociale


 Appât du gain  Intrusion de système
 Vol d’information
Employé  Curiosité  Code malveillant
 Malformé  Ego  Cheval de Troie,
Négligeant  Renseignement Bombe logique
 Malveillant  Appât du gain Accès à l’information
 Malhonnête  Revanche privée
 Congédié  Non- intentionnel  Utilisation
et omission d’ordinateur abusive
 Fraude et vol
 Vente d’info
personnel
 Sabotage de système
 Intrusion de système