NOTION DE RISQUES, MENACES ET IMPACTS

INTRODUCTION
La recherche du gain par production de biens et services poussent les entreprises de nos
jours à traiter d’énormes quantités de données critiques, constituant son capital et son patrimoine.
Celles-ci ; partant de leur collecte à leur redistribution sont sujettes à de nombreux risques et
menaces que l’audit informatique se propose d’identifier et d’évaluer afin de minimiser les impacts
qu’une donnée corrompue par exemple pourrait avoir sur le fonctionnement de ladite entreprise et
ses affiliés. De ce fait, quels peuvent être les risques et menaces auxquels sont sujet le système
d’information d’entreprise et leurs impacts sur celui-ci ? La réponse à cette interrogation dans la
suite de notre travail nous obligera tout d’abord à définir les termes clés du projet, le contexte dans
lequel il se situe, ses objectifs et enfin la liste plus ou moins exhaustive des potentiels risques et
menaces pouvant impacter un système d’information d’entreprise.

GROUPE 4 : AUDIT INFORMATIQUE, SR3B 1

Institut Africain d’Informatique, Centre d’Excellence Technologique Paul Biya
 NOTION DE RISQUES, MENACES ET IMPACTS

I. DEFINITION DES TERMES DU PROJET

De prime à bord il nous faudrait apporter une définition à chacun des différents termes.
Notion : Connaissance élémentaire et sommaire que l’on a d’une chose, d’un sujet.
Risque : est la possibilité qu’un évènement considéré comme mal ou dommage se produise ;

Menace : est tout indice laissant prévoir un danger potentiel.

Impact : est la conséquence d’un risque non négligeable sur une activité donnée.

Risque majeure : est un événement incertain dont les effets négatifs sont considérables et dont la
réalisation est souvent faiblement probable.

Système d’information : ensemble de ressources humaines, matérielles et logicielles permettant

la collecte, le traitement, le stockage et la redistribution des informations.

Vulnérabilité : est toute faiblesse au niveau d’un système d’information permettant à un attaquant
de porter atteinte à l’intégrité de ses données.

II. CONTEXTE ET OBJECTIFS DU PROJET

1. Contexte
Toute entreprise comportant un système d’informations en leur sein pour le stockage, le
traitement et la distribution des données devant servir à son bon fonctionnement se voit vulnérable
à des attaques externes pouvant le fragiliser ou détruire en masse ses données. L’audit de celui-ci
permettra de dénicher les risques et menaces auxquels sont soumis les données de ces systèmes
d’information ainsi que les impacts que ceux-ci pourraient avoir sur ses données. C’est dans le
contexte d’énumérer et de catégoriser ces risques et menaces et leurs impacts sur ces données
d’entreprise là que s’inscrit ce projet ayant plusieurs objectifs.

2. Objectifs
Il s’agit ici de ressortir les buts précis devant cadrer le présent travail qui sont entre autres :
 L’énumération catégorisée des risques et menaces sur le plan humain, logiciel, et
matériel ;
 L’évaluation de leurs impacts sur le système d’information d’entreprise ;

GROUPE 4 : AUDIT INFORMATIQUE, SR3B 2

Institut Africain d’Informatique, Centre d’Excellence Technologique Paul Biya
 NOTION DE RISQUES, MENACES ET IMPACTS

III. METHODOLOGIE
Cette partie concerne le corps de notre travail et doit ressortir les grands titres suscités dans
notre problématique. C’est ainsi que nous aborderons les notions de risques en ressortant ses
grandes catégories ainsi que celles des menaces et enfin leurs impacts sur les données du système
d’informations.

1. Notion de risques
b. Types de risques
Dans le cadre des risques auxquels peuvent être soumit le système d’information d’entreprise
on en distingue plusieurs, notamment :

 Les risques Naturels : Ce sont les risques liés aux différents phénomènes naturels.
Dans ce lot nous pouvons avoir comme exemple des risques liés aux phénomènes
climatiques et météorologiques (tempêtes, inondations, cyclones, éruptions
volcaniques…)
 Les risques humains : qui ont trait au fautes pouvant être commises par des Hommes
comme. Ils se distinguent au nombre de 02 :
 Intentionnels : Vol, fraude…
 Non intentionnels : Erreur de manipulation, maladie, accidents de
bureaux…
 Les risques matériels : qui représentent les risques auxquels peuvent faire face le matériel
d’entreprise. Ils sont divisés en 02 types
 Intentionnels : Sabotage du matériel
 Non intentionnels : Environnement dans lequel il se trouve
 Les risques logiciels : qui sont liés aux évènements négatifs pouvant impacter les logiciels
d’entreprise : Contrefaçon, Craquage, DDoS, Non disponibilité…

La courbe de Farmer ci-dessous représente la fréquence des risques en fonction de leur l

GROUPE 4 : AUDIT INFORMATIQUE, SR3B 3

Institut Africain d’Informatique, Centre d’Excellence Technologique Paul Biya
 NOTION DE RISQUES, MENACES ET IMPACTS

2. Critères d’évaluation du risque

L'ingénieur nucléaire britannique Farmer a réalisé une courbe (appelée courbe ou diagramme
de Farmer) qui met en relation par une courbe décroissante la fréquence et la gravité des accidents :
les plus fréquents sont les moins graves. Toutefois, comme il a été dit, cette relation inverse n'est
pas universelle.

Figure 1: courbe de Farmer (source : http://ressources.unit.eu/cours/cyberrisques/etage_2/co/Module_Etage_2_7.html)

La courbe se découpe en domaines qui peuvent être illustrés sur l'exemple des accidents
routiers.

 Domaine 1 : Événements à fréquence très élevée et de faible gravité qui sont

typiquement du domaine du risque individuel : accidents de voiture avec dégâts
matériels uniquement ou sinon ceux humains négligeables.

GROUPE 4 : AUDIT INFORMATIQUE, SR3B 4

Institut Africain d’Informatique, Centre d’Excellence Technologique Paul Biya
 NOTION DE RISQUES, MENACES ET IMPACTS

 Domaine 2 : Événements à fréquence moyenne et de gravité importante : accidents

impliquant des victimes, plusieurs milliers de morts et blessés par an, mais on reste dans
l'ordre du risque individuel.
 Domaine 3 : Événements à fréquence faible et d'extrême gravité, comme l'accident de
car à Beaune, en juillet 1982, qui a fait 53 victimes, ou certains grands carambolages
historiques ; alors on entre dans le risque collectif, ce qui n'est tout de même pas le
risque majeur, car celui-ci demanderait encore un changement de taille.

1. Notion de menaces
a. Types de menaces
Comme définir plutôt, une menace est tout indice laissant penser à une attaque ou une
possibilité d’attaque. On retrouve plusieurs types de menaces parmi lesquelles :

 Les virus : Un virus est un programme informatique écrit dans le but de se propager dans
d’autres ordinateurs en infectant un programme légitime. Certains de ces virus sont
totalement inoffensifs (très rares), d’autres peuvent détruire irrémédiablement l’ordinateur
ce qui est tout aussi rare.
 Les coupures intempestives de lumière : elles impacteront le matériel dans la mesure où
une surtension au retour de l’énergie électrique pourrait causer un dommage sur ce matériel
s’il n’est pas puissant.
 Les chevaux de Troie : Un cheval de Troie est un type de logiciel malveillant. Le plus
souvent, un tel programme exécute des actions nuisibles à l’utilisateur. Ce n’est pas un virus
car il ne se réplique pas lui-même. Cependant, il peut être apparu en même temps qu’un
virus qui aurait installé lui-même le cheval de Troie. Le plus souvent, un cheval de Troie
ouvre une porte dérobée dans votre ordinateur. De ce fait, un pirate informatique peut à tout
moment prendre le contrôle de l’ordinateur à distance et en faire ce qu’il veut.
 Les logiciels espions : Appelé en anglais spyware, ou en français espiogiciel, ou plus
rarement espiogiciel, un logiciel espion a pour but de collecter des informations contenues
dans votre ordinateur qu’il s’agisse des sites sur lesquels vous allez, et toutes autres

GROUPE 4 : AUDIT INFORMATIQUE, SR3B 5

Institut Africain d’Informatique, Centre d’Excellence Technologique Paul Biya
 NOTION DE RISQUES, MENACES ET IMPACTS

informations que les concepteurs jugeraient intéressantes). Les logiciels espions

accompagnent souvent les logiciels gratuits et sont souvent installés à l’insu des utilisateurs.

 Les rootkits : Les rootkits modifient le comportement de votre système d’exploitation

(Windows, Linux, …) afin de cacher les opérations malveillantes effectuées par les chevaux
de Troie et les autres cochonneries du Web qui seraient dans votre ordinateur. Ce qui les
rend indétectables par des méthodes classiques et difficilement supprimables.

Nous pouvons retrouver dans le tableau ci-dessous une liste de risques et menaces pouvons
endommager le système d’informations d’entreprise suivant ses principales fonctions ainsi que
leurs impacts sur celui-ci

GROUPE 4 : AUDIT INFORMATIQUE, SR3B 6

Institut Africain d’Informatique, Centre d’Excellence Technologique Paul Biya
 NOTION DE RISQUES, MENACES ET IMPACTS

Atteintes Risques Priorité du Menaces Impacts

risque
Fonctions
 Poursuites
Intentionnels Fraude, vol ELEVEE  Salaire judiciaires
insuffisant  Licenciement
 Salaire irrégulier d’employés
COLLECTE  Baisse du rendement
 Visites de l‘entreprise
Non intentio. Erreur de MOYEN intempestives  Faillite de
man.  Envirron. Bruyant l’entreprise
 Travail sous
pression
Présence de  Baisse du
DDOS ELEVEE nombreuses requêtes rendement de
TRAITEMENT sur le serveur l‘entreprise
 Perte de clients
Craquage MOYEN Gratuité  Poursuites
judiciaires en cas
de vol de données
clients

GROUPE 4 : AUDIT INFORMATIQUE, SR3B 7

Institut Africain d’Informatique, Centre d’Excellence Technologique Paul Biya
 NOTION DE RISQUES, MENACES ET IMPACTS

Piratage ELEVEE Virus, chevaux de  Perte de clients

Troie, rootkit  Baisse du
rendement
 Mécontentement  Baisse du
des employés rendement
Intentionnels Sabotage du ELEVEE  Licenciement  Perte de capital
matériel averti  Perte de clients
d’employé

STOCKAGE  Environnement
sal, non  Perte de clients
climatisé suite au
Non intentio. Surchauffe du MOYEN  Mauvaise disfonctionnement
matériel qualité du d’appareils
matériel  Baisse du
 Coupure rendement
intempestives de
lumière
 Perte de clients

GROUPE 4 : AUDIT INFORMATIQUE, SR3B 8

Institut Africain d’Informatique, Centre d’Excellence Technologique Paul Biya
 NOTION DE RISQUES, MENACES ET IMPACTS

Inondations, Tempêtes MOYEN  Environnement  Baisse du

rendement
 Faillite de
l’entreprise
 Non intégrité des
Sniffing ELEVEE Mauvaise configuration données
d’un équipement réseau  Répudiation des
DIFFUSION données

Vol de données ELEVEE rootkit  Non

confidentialité des
données

GROUPE 4 : AUDIT INFORMATIQUE, SR3B 9

Institut Africain d’Informatique, Centre d’Excellence Technologique Paul Biya
 NOTION DE RISQUES, MENACES ET IMPACTS

IV. CAS PRATIQUE

Soit la société de providing cloud dénommée Networld implantée dans un secteur populeux du
quartier Ekounou, à Yaoundé, souvent sujet à des inondations et coupures intempestives de
lumière. Celle-ci offre des espaces de stockage en ligne à leurs clients et affiliés moyennant des
prix onéreux mais dérisoires car devant entretenir leurs matériels… Cette entreprise dispose d’un
personnel de 03 personnes hors mis le Conseil d’administration qui n’est pas très régulièrement et
assez payé selon leurs convenances et charges.

Ils connaissent des difficultés dans la redistribution des données stockées dans leurs serveurs
et n’assure pas une confidentialité intégrale de celles-ci dans leurs équipements du fait de la
défaillance de leur pare-feu et passerelle pour le filtrage des requêtes entrantes et sortantes.

Quels peuvent être les risques et menaces pouvant impacter gravement leur activité ?

Soit le tableau ci-dessous récapitulant la liste des risques et menaces auxquels ils peuvent faire
face ainsi que leurs impacts sur leur système d’informations.

Ressources Menaces Priorité Risques Impacts

potentielleme s
nt atteintes
- Coupure - Indisponibili
d’énergie Elevée té des - Faillite de
électrique services l’entreprise
- Virus Elevée clients - Baisse du
Serveurs du (applications rendement
Datacenter , données…) de
- Destruction l’entreprise
- Inondations Elevée
de données - Perte de
utilisateurs clientèle

GROUPE 4 : AUDIT INFORMATIQUE, SR3B 10

Institut Africain d’Informatique, Centre d’Excellence Technologique Paul Biya
 NOTION DE RISQUES, MENACES ET IMPACTS

- Vol de
données des - Baisse du
- Chevaux de Moyen employés e rendement
Troie clients de de
Ordinateurs - Défaillance l’entreprise l’entreprise
du système de - Le hacking - Perte de
sécurité clients
- Installation - Poursuites
d’autres judiciaires
- Rootkits Moyen programmes - Faillite de
malveillants l’entreprise

- Faillite de
l’entreprise
- Poussière/bo Elevée - Maladie - Licencieme
Humains ue nt
- Salaire non Elevée - Fraude d’employés
réguliers, - Baisse du
insuffisants rendement
de
l’entreprise

GROUPE 4 : AUDIT INFORMATIQUE, SR3B 11

Institut Africain d’Informatique, Centre d’Excellence Technologique Paul Biya
 NOTION DE RISQUES, MENACES ET IMPACTS

CONCLUSION
Parvenus au terme de notre travail, il était question d’apporter des éléments de réponses
aux types de risques que peuvent encourir un système d’informations et donc une entreprise. Il en
ressort qu’ils en sont nombreux allant du risque de sabotage du matériel au risque de piratage de
logiciels tous deux causés par des menaces non négligeables et donc impératives à solutionner pour
éviter une quelquonque faillite de la structure raison pour laquelle l’audit du système
d’informations d’entreprise reste et demeure une tache à faire régulièrement pour écarter toute
éventualité de non disponibilité, non intégrité et non confidentialité des données de celui-ci. Dès
lors, qu’en est-il des normes et référentiels à respecter pour se faire ?

GROUPE 4 : AUDIT INFORMATIQUE, SR3B 12

Institut Africain d’Informatique, Centre d’Excellence Technologique Paul Biya
 NOTION DE RISQUES, MENACES ET IMPACTS

TABLES DE MATIERES
INTRODUCTION ............................................................................................................................ 1

I. DEFINITION DES TERMES DU PROJET ......................................................................... 2

II. CONTEXTE ET OBJECTIFS DU PROJET ..................................................................... 2

1. Contexte ............................................................................................................................. 2

2. Objectifs............................................................................................................................. 2

III. METHODOLOGIE ............................................................................................................... 3

1. Notion de risques ............................................................................................................... 3

b. Types de risques ............................................................................................................. 3

2. Critères d’évaluation du risque .......................................................................................... 4

1. Notion de menaces............................................................................................................. 5

a. Types de menaces .......................................................................................................... 5

IV. CAS PRATIQUE ............................................................................................................. 10

CONCLUSION .............................................................................................................................. 12

TABLES DE MATIERES ............................................................................................................. 13

GROUPE 4 : AUDIT INFORMATIQUE, SR3B 13

Institut Africain d’Informatique, Centre d’Excellence Technologique Paul Biya
 NOTION DE RISQUES, MENACES ET IMPACTS

GROUPE 4 : AUDIT INFORMATIQUE, SR3B 14

Institut Africain d’Informatique, Centre d’Excellence Technologique Paul Biya