Memoire Maimouna Fin 01122022

SYSTÈMES D’INFORMATIONS
SÉCURITÉ
THÈME
MISE EN PLACE D’UN PROGRAMME DE GESTION DES RISQUES

INFORMATIQUES SELON LA NORME ISO/IEC 27005 : CAS DE LA BHS
Sous la direction de :

M. DRAME El Hadji Mouhamadou Lamine Présenté et soutenu par :
Enseignant à l’ESMT Mme. DIA Maimouna
M. GUEYE Youssou
Responsable de la sécurité du système
d’information de la Banque de l’Habitat du
Sénégal (BHS)
Promotion 2020 - 2022

Décembre 2022
A la mémoire de
Tous ceux qui ont contribué à notre éducation, à notre formation et à notre réussite et qui ne
sont plus là malheureusement :
 BA Amadou Saïdou
 KANE Aminata
Un hommage particulier à Pierre DEMBELE, mon binôme, qui a marqué mon passage à
l’ESMT de par sa bienveillance, sa gentillesse, ses précieux conseils et encouragements.
Qu’Allah SWT accueille leurs âmes dans son paradis céleste. Amine.
DEDICACE
Louange à Allah, Le Tout Puissant, qui m’a permis d’achever ce travail et de vivre ce jour
tant attendu.
Je dédie ce mémoire à mes parents, pour l'amour qu'ils m'ont toujours donné, leurs
encouragements et toute l'aide qu'ils m'ont apportée durant mes études.
Aucun mot, aucune dédicace ne pourrait exprimer mon respect, ma considération, et mon
amour pour les sacrifices qu'ils ont consentis pour mon instruction et mon bien-être. Trouvez
ici, cher père et chère mère, dans ce modeste travail, le fruit de tant de dévouements et de
sacrifices ainsi que l'expression de ma gratitude et de mon profond amour. Puisse Dieu vous
accorder santé, bonheur, prospérité et longue vie afin que je puisse, un jour, combler de joie
vos vieux jours.
À mes frères et sœurs, Fatoumata, Ciré, Mouhamed, je vous dédie ce travail pour tous les
sacrifices consentis tout au long de mes années d'études.
À ma petite sœur Bator, aucune dédicace ne peut exprimer ma profonde affection et ma

gratitude de t’avoir comme sœur. Tu comptes énormément pour moi, tu es la sœur qui assure
son rôle comme il faut, je n’oublierais jamais ton encouragement et ton soutien le long de ce
mémoire, je t’estime beaucoup et je t’aime beaucoup. Je te souhaite beaucoup de succès, de
prospérité et une vie pleine de bonheur.
À ma meilleure amie, Seynabou Satou SARR, merci de toujours être présente pour moi, d’être
à l’écoute, je te souhaite beaucoup de réussites.
Que Dieu vous apporte le bonheur, la santé et vous offre un avenir plein de succès.
REMERCIEMENTS
Après avoir rendu grâce à Dieu et prié sur le prophète (PSL),
Je voudrais tout d’abord adresser toute ma reconnaissance à mes directeurs de mémoire :
-Monsieur DRAMÉ El Hadji Mouhamadou Lamine pour sa disponibilité, sa réactivité, sa

patience ainsi que ses précieux conseils et enseignements.
-Monsieur GUEYE Youssou, pour son accueil, le temps passé ensemble et le partage de ses
connaissances. Grâce aussi à sa confiance, j’ai pu m’accomplir totalement dans mes missions,
et surtout ses judicieux conseils, qui ont contribué à alimenter ma réflexion.
Je tiens également à témoigner ma gratitude à Mlle GBENOU Amarya, assistante de

Monsieur GUEYE, qui n’a ménagé aucun effort pour l’aboutissement de ce travail de
recherche, ainsi qu’à Monsieur NDIAYE Momar, mon tonton, pour ses précieux conseils et
tout le soutien apporté tout au long de la rédaction de ce mémoire.
Je ne saurais terminer sans exprimer ma profonde gratitude à l’ensemble de l’équipe DSI de la

Banque de l’Habitat du Sénégal ainsi qu’au corps professoral de l’ESMT pour leur
professionnalisme, leur rigueur et leur savoir-faire.
AVANT-PROPOS
L’ESMT est une institution multinationale qui a pour vocation de former des diplômés en
licence et master professionnels ainsi que des ingénieurs dans les domaines techniques et
managériaux des télécommunications. Elle accueille en formation initiale ou continue des
stagiaires qui proviennent de l’ensemble des pays francophones d’Afrique, recrutés au niveau
des universités ou directement chez les opérateurs de télécommunications. L'enseignement est
composé de cours théoriques et de stages en entreprise afin de permettre aux étudiants de se
familiariser avec l'environnement qui sera le leur après la formation.
Pour l’obtention du Master en sécurité des systèmes d’information, l’ESMT exige aux
étudiants la rédaction et la soutenance d’un mémoire de fin de cycle. C’est dans ce cadre qu’a
été élaboré ce document qui a pour sujet : Mise en place d’un programme de gestion des
risques de sécurité de l’information selon la norme ISO/IEC 27005 : cas de la BHS.
Ce sujet a pour but d’offrir aux dirigeants et responsables informatiques de la Banque de

l’Habitat du Sénégal une vision globale des risques pesants sur le système d’information. Il
participera à une meilleure sécurisation du système et à l’élaboration du plan de continuité
d’activité. En effet, La sécurité du système d'information d'une entreprise est un requis
important pour la poursuite de ses activités. Qu'il s'agisse de la dégradation de son image de
marque, du vol de ses secrets de fabrication ou de la perte de ses données clients ; une
catastrophe informatique a toujours des conséquences fâcheuses pouvant aller jusqu'au dépôt
de bilan.
Ce document constitue mon second travail de recherche académique. Cependant, il est à̀

signaler que lors de l’élaboration de celui-ci, j’ai rencontré des difficultés, principalement
liées à la confidentialité des informations bancaires de la BHS.
SIGLES
AMDEC: Analyse des Modes de Défaillances, de leurs Effets et de leur Criticité.

ANSI : American National Standards Institute
ANSSI : Agence nationale de la sécurité des systèmes d'information
BHS : Banque de l’Habitat du Sénégal
CEI: Commission Électrotechnique Internationale
CLUSIF : Club de la sécurité de l'information français
COBIT: Control Objectives for Information and related Technology
DICT : Disponibilité Intégrité Confidentialité Traçabilité
EBIOS : Expression des Besoins et Identification des Objectifs de Sécurité
FCFA : Franc de la Communauté Financière Africaine
IBM : International Business Machines
IEC : International Electrotechnical Commission
ISO : Organisation internationale de normalisation
ITIL: Information Technology Infrastructure Library
ITSec : Information Technology Security Evaluation Criteria
MEHARI: Méthode Harmonisée d'Analyse des Risques
NRMM : Normes, Référentiels, Méthodes et Modèles
OCTAVE : Operationally Critical Threat, Asset, and Vulnerability Evaluation
OFIJ : Organisation interne, Financier, Image, Juridique
OHLM : Office des Habitations à Loyer Modéré
PCA : Plan de continuité d’activité
PCI DSS : Payment Card Industry Data Security Standard
PDCA : Plan Do Check Act
PME: Petites et Moyennes Entreprises
PMI : Petites et Moyennes Industries
RSSI : Responsable de la Sécurité du Système d’Information
SGDN: Secrétariat Général de la Défense Nationale
SI : Système d’information
SICAP : Société Immobilière du Cap-Vert
SEI : Software Engineering Institute
SMSI : Système de management de la sécurité de l'information
SSI: Sécurité des Systèmes d’Information
TIC : Technologies de l’Information et de la Communication
LISTE DES TABLEAUX
Tableau 1 : Produits et services proposés par la BHS……………………………………….…4

Tableau 2 : Liste des actionnaires de la BHS au 17 Septembre 2018………………………….6
Tableau 3 : Rôles et responsabilités de l’équipe projet……………………………………….45
Tableau 4 : Probabilité d’occurrence du risque………………………………………………46
Tableau 5 : Échelle des impacts sécurité (DICT) …………………………………………….47
Tableau 6 : Échelle des impacts métiers (OFIJ) ………………………………………………
48
Tableau 7 : Échelle du risque brut…………………………………………………………….49
Tableau 8 : Échelle du risque net…………………………………..
………………………….49
Tableau 9 : Interprétation de la valeur du risque net………………………………………….49
LISTE DES FIGURES
Figure 1: Organigramme de la BHS ……………………………………………………..……5

Figure 2: Méthodologie EBIOS…………………………………………………………..…..22
Figure 3: Méthodologie OCTAVE…………………………………………………………...23
Figure 4: Méthodologie MEHARI…………………………………..………………………..24
Figure 5: Principales méthodes d’analyse des risques………………………………………..25
Figure 6 : Comparaison des méthodes OCTAVE, MEHARI et EBIOS……………………...26
Figure 7: Liens entre ISO 27001, ISO 27005 et ISO
31000 ………………………………….28
Figure 8: Illustration du processus de gestion des risques en sécurité de l’information………
34
Figure 9: Exemple d’échelle d’évaluation qualitative du risque………………………………
39
Figure 10: Illustration de la démarche itérative………………………...
……………………..58
LISTE DES CAPTURES
Capture 1: Classification des actifs…………………………………………………..……….51

Capture 2:Composantes de la cartographie des risques………………………………………53
Capture 3: Cartographie des risques……………………..……………………..…………….56
Capture 4 : Composantes du tableur de traitement des risques……………………..………...57
Capture 5: Traitement des risques……………………..……………………..……………….59
Capture 6: Plan de traitement des risques……………………..……………………..……….59
Capture 7: Surveillance et revue des risques de l’année 2022 ……………………..………...61
Capture 8: Évolution du nombre de risques……………………..……………………..…….61
Capture 9: Répartition initiale des risques……………………..……………………..………62
Capture 10: Répartition des risques après traitement……………………..…………………62
Capture 11: Cartographie des risques (1) ……………………..……………………..…….….C
Capture 12: Cartographie des risques (2) ……………………..……………………..…….….D
Capture 13: Cartographie des risques (3) ……………………..……………………..….…….E
Capture 14: Traitement des risques (1) ……………………..……………….……..…….……F
Capture 15: Traitement des risques (2) ……………………..……………………...…………G
Capture 16: Traitement des risques (3) ……………………..……………………..………….H
Capture 17: Plan de traitement des risques (1) ……………………..…………………….. ….I
SOMMAIRE
INTRODUCTION.............................................................................................................1
CHAPITRE 1 : PRESENTATION GENERALE..............................................................2
1.1 PRÉSENTATION DE LA STRUCTURE D’ACCUEIL...............................................................................2

1.2 PRÉSENTATION DU SUJET..................................................................................................................7
CHAPITRE 2 : GÉNÉRALITÉS SUR LA SÉCURITÉ DE L’INFORMATION.............9
2.1 TERMES ET DÉFINITIONS...................................................................................................................9

2.2 LES CRITÈRES DE LA SÉCURITÉ DES SYSTÈMES D’INFORMATIONS...............................................10
2.3 CADRE NORMATIF DE MANAGEMENT DE LA SÉCURITÉ DES SYSTÈMES D’INFORMATIONS.........12
2.4 LES TYPES DE MENACES.................................................................................................................13
CHAPITRE 3 : LA GESTION DES RISQUES...............................................................17
3.1 MOTIVATIONS DE LA GESTION DES RISQUES.................................................................................17

3.2 AVANTAGES DE LA GESTION DES RISQUES.....................................................................................19
3.3 LES RÉFÉRENTIELS DE GESTION DES RISQUES...............................................................................20
CHAPITRE 4 : LA NORME ISO/IEC 27005 :2018............................................................30
4.1 PRÉSENTATION DE LA NORME......................................................................................................30
4.2 STRUCTURE DE LA NORME..............................................................................................................31
4.3 PROCESSUS DE GESTION DES RISQUES SELON ISO 27005.............................................................33
CHAPITRE 5 : MISE EN ŒUVRE .....................................................................................43
5.1 ÉTABLISSEMENT DU CONTEXTE......................................................................................................43

5.2 APPRÉCIATION DES RISQUES………………………………………………………..………….50
5.3 TRAITEMENT DES RISQUES………………………………………………………………...57
5.4 COMMUNICATION RELATIVE AUX RISQUES…………………………………………..60
5.5 SURVEILLANCE ET RÉEXAMEN DES RISQUES………………………………................60
CONCLUSION...................................................................................................................................61
INTRODUCTION
Ces dernières années, le pouls économique de l’Afrique s’est accéléré, impulsant au

continent une nouvelle dynamique de croissance. Parmi les mutations les plus spectaculaires
observées, le secteur bancaire est sans doute l’un de ceux qui ont connu les plus importantes
transformations. Les banques ont toujours été exposées à des risques tels que les fraudes et les
erreurs, mais, leur importance et la rapidité avec laquelle ils peuvent survenir se sont accrus
de manière fulgurante avec l’évolution de la technologie et l’augmentation de la surface
d’attaque sur les systèmes d’informations. Chaque nouvelle application bancaire constitue une
potentielle porte d’entrée pour les pirates. On comprend donc que la sécurité de
l’information est devenue un enjeu majeur pour le secteur banquier et financier.
Pour mener à bien ses activités, la Banque de l’Habitat du Sénégal (BHS) à l’image des autres
banques doit disposer d’un système d’information fiable, performant pour répondre aux
besoins du marché et atteindre ses objectifs stratégiques, mais également sécurisé
conformément aux exigences réglementaires et normes du secteur.
Dans ce sens, elle s’est inscrite dans une dynamique de maitrise de l’ensemble des risques
opérationnels, en particulier de la sécurité de l’information induits par l’évolution
technologique permanente et les processus de transformation digitale.
Cette dynamique nécessite la mise en place d’un programme de gestion des risques de
sécurité de l’information suivant les meilleures pratiques du secteur.
C’est dans ce cadre que la Banque de l’Habitat du Sénégal (BHS) a entamé le projet de mise
en place d’un programme de gestion des risques de sécurité de l’information selon la norme
ISO/IEC 27005 qui constitue le sujet de notre mémoire.
Le présent document s’articule autour de 5 chapitres dont le premier porte sur la présentation
de notre structure d’accueil et de notre sujet. Le second abordera la sécurité de l’information
dans son ensemble. Le troisième, quant à lui, se focalisera sur la gestion des risques. Le
quatrième portera sur la norme ISO/IEC 27005 relative à la gestion du risque en sécurité de
l’information. Enfin, le cinquième consistera en la mise en œuvre du programme de gestion
des risques liés à la sécurité de l’information de la BHS.
CHAPITRE 1 : PRESENTATION GENERALE
Dans ce chapitre, nous présentons notre structure d’accueil qui est la BHS (Banque de
l’Habitat du Sénégal) et également notre sujet.
1.1 Présentation de la structure d’accueil
1.1.1 Historique
Créée en 1979 sur l’initiative du gouvernement du Sénégal, la BHS apparait comme

l’un des instruments de la politique de l'habitat du Sénégal dans un environnement de
raréfaction des ressources pour le logement social. En effet, la SICAP (Société Immobilière
du Cap-Vert) et l’OHLM (Office des Habitations à Loyer Modéré), principaux leviers de la
politique de l’État en matière d’habitat depuis l’indépendance, ont vu leurs actions
s’essouffler, aggravant ainsi la crise du logement social. Les réalisations nouvelles peinent à
combler les besoins d’une population de plus en plus urbanisée. C’est l’affaiblissement de ces
organismes, en partie, qui a poussé l’état du Sénégal à créer la Banque de l’Habitat.
La BHS a acquis lors des 5 dernières décennies une véritable expertise dans la production et
la gestion des crédits immobiliers. Cette expérience lui permet aujourd’hui de se prévaloir
d’une part de marché domestique de 70%. Depuis sa création, la Banque l’Habitat du Sénégal
a financé de très nombreux projets immobiliers pour les promoteurs, pour les coopératives
d’habitat et pour les particuliers. Ses financements concernent essentiellement des habitats
sociaux et de moyen standing. Tout au long de ses 43 années d’existence, la BHS s’est
renforcée et a acquis un savoir-faire robuste dans le financement d’un secteur considéré
comme très risqué par les autres banques de la place. Ses premiers clients étaient des
fonctionnaires de l’État (gendarmes, enseignants, policiers, douaniers etc.).
La Banque de l’Habitat du Sénégal a financé plus de 200 000 logements sociaux, devenant
ainsi une structure financière spécialisée. Elle dispose aujourd’hui de la crédibilité suffisante
pour inspirer confiance, rechercher et lever les ressources nécessaires au financement de
l’offre de logement et de la demande de crédits logement des particuliers. Son but est de
favoriser le développement de l'habitat social par la mise en place d’un système de
financement adéquat au profit des promoteurs immobiliers, des coopératives d’habitat et des
particuliers.
La BHS a expérimenté plusieurs formes de structuration financière des crédits immobiliers.
Par exemple, elle a mis en place une nouvelle forme de crédit aux promoteurs et aux
coopératives qui consiste à réaliser et à commercialiser un programme par tranches
successives.
Ce mécanisme dit du « crédit revolving », qui limite le besoin de financement, est la base du
succès de plusieurs projets pour les promoteurs et coopératives. En outre, l’institution a
facilité l’accès au logement en pleine propriété de plusieurs milliers de Sénégalais. Dans ce
rôle de leader national et sous-régional, BHS a aidé à la mise en place d’autres Banques de
l’Habitat, notamment au Mali, en Côte d’Ivoire, en Guinée, au Bénin et en République
Démocratique du Congo, en leur apportant conseil et assistance technique.
Elle a par ailleurs mis en place un réseau international de collecte d’épargne, couvrant la
quasi-totalité des pays d’émigration des sénégalais (France, Italie, Espagne, Etats-Unis,
Gabon, Côte-d’Ivoire etc.)
La BHS a été aussi un acteur de premier plan dans le financement de l’habitat dans les
nouveaux pôles urbains, notamment celui de Diamniadio. Elle se prépare aussi à jouer les
premiers rôles dans le programme des 100000 logements.
1.1.2 Missions
La BHS est devenue une banque universelle en profitant de la libéralisation de

l’activité de banque au Sénégal. Elle offre à ses clients divers produits selon leurs besoins, par
le biais de 25 agences réparties sur le territoire national, ainsi que via ses succursales et
bureaux de représentation situés à étrangers. Ces produits sont :
PRODUITS/SERVICES DESCRIPTION CIBLE
Cartes bancaires Visa électron, Visa Gold, Mastercard, Tout client et en particulier
carte prépayée les clients étrangers ou
voyageurs
Mobile Banking, e-Banking Pour consultation de compte et recevoir

les mouvements de comptes Tout client qui le désire
-Compte d’épargne logement (l’épargne. Tout client futur acquéreur

Comptes d’épargne Est constituée pour bénéficier d’un taux de logement
bonifié de prêt immobilier)
-Compte d’épargne normal

Tout client
Comptes de dépôt à Terme Placement fixe ou renouvelable Entreprises, institutions

généralement à taux nul pour obtention financières, coopératives
des prêts immobiliers à taux bonifiés d’habitats etc.
pour personnel
Comptes chèques
Particulier Compte courant Clients particuliers
Compte bancaire permettant de

Fonctionnaires/Salariés domicilier leurs salaires et bénéficier de Clients particuliers
prêts bancaires
Crédits
Court terme Découverts, crédits événementiels. Tout client
Crédits à la consommation de biens

durables tels que les appareils ménagers,
les véhicules...
Moyen terme Tout client
Crédits pour promoteurs afin de réaliser
et de commercialiser leurs produits
Crédits immobiliers pour acquisition ou

transformation de logement (social ou
Long terme de moyen standing) Tout acquéreur de résidence
principale
Tableau 1 : Produits et services proposés par la BHS

1.1.3 Organisation et structure actionnariale
L’organigramme de la BHS se présente comme suit :
Figure 1 : Organigramme de la BHS
Depuis 2016, la BHS a entamé une réorganisation structurelle. Une décentralisation du de

décision a été mise en place par la création de nouvelles directions. Cette réorganisation a
permis de redistribuer les responsabilités entre les cadres expérimentés qui se sont déployés
de façon horizontale et/ou verticale dans la hiérarchie de la banque.
Structure actionnariale
Le capital social de la Banque de l’Habitat du Sénégal est de 10.500.000.000 FCFA

divisé en 1.050.000 actions. La valeur nominale de l’action est de 10.000 FCFA. BHS compte
73 actionnaires parmi lesquels l’État, qui a la plus grande part (17,74%), mais sans être
l’actionnaire majoritaire. Les autres actionnaires sont des institutions sociales, des assurances,
des banques, des sociétés publiques et privées et enfin des particuliers. La structure du capital
est la suivante :
LISTE DES ACTIONNAIRES DE LA BANQUE DE L’HABITAT DU SENEGAL AU

17 SEPTEMBRE 2018
ACTIONNAIRES MONTANT FCFA
PART DU CAPITAL
État du Sénégal 1 863 020 000
17,74%
Banques Locales 1 545 300 000
14,72%
Compagnies d’Assurances 1 135 710 000
10,82%
Caisse de Sécurité Sociale 827 200 000
7,87%
IPRES 772 660 000
7,35%
Holding KEBE 455 000 000
4,33%
SNHLM 272 700 000
2,60%
SICAP 272 000 000
2,59%
Personnel BHS 500 000 000
4,76%
Divers 2 855 710 000
27,22%
TOTAL ACTIONS 10 500 000 000
100%
Tableau 2 : Liste des actionnaires de la BHS au 17 Septembre 2018

1.2 Présentation du sujet
1.2.1 Contexte et problématique
Le secteur bancaire africain a été, au cours de la dernière décennie, l’un des plus
dynamiques du monde. Comme toute organisation, les banques produisent de l’information,
celle-ci circule partout que ce soit de manière formelle ou informelle, elle est techniquement
protégée et contrôlée pour en limiter l’accès ou alors expressément divulguée pour des soucis
liés à̀ la transparence ou à la réputation. L’information a de la valeur et sa gestion demande
des efforts en termes de temps et d’argent. Avec l’adoption croissante des technologies de
l’information et de la communication ainsi que la variété des supports, le flux d’échange
informationnel s’est accru au point qu’il n’est pas évident de tout contrôler.
Le système d’information constituant le cœur même de l’activité d’une banque, maîtriser les

risques qui lui sont liés est primordial pour son bon fonctionnement. En effet, le moindre
incident pourrait avoir des conséquences critiques pour la structure, aussi bien du point de vue
financier que réputationnel, entre autres.
Il existe des normes et référentiels établis par des organes habilités afin d’assurer une sécurité
adéquate de l’information parmi lesquelles ISO/IEC 27005 qui constituera le référentiel de
notre projet de mise en place d’un programme de gestion des risques informatiques.
Il s’agit donc de répondre aux questions suivantes :
Quels sont les principaux risques auxquels la banque est confrontée ? Quels pourraient être
leur impact ? Quelle est le traitement adéquat pour chacun de ces risques ?
1.2.2 Objectifs
1.2.2.1 Objectif général
L’objectif général de notre mémoire est la mise en place d’un programme de gestion des
risques liés à la sécurité de l’information, basé sur la norme ISO/IEC 27005 au sein de la
Banque de l’Habitat du Sénégal.
1.2.2.2 Objectifs spécifiques
Afin d’atteindre notre objectif général, nous nous sommes fixés des objectifs spécifiques qui
sont, entre autres :
-réaliser une analyse du système afin de dégager tous les risques présents et les évaluer
selon des critères bien définis
-apporter la réponse adéquate à ces risques
-établir une cartographie des risques
1.2.3 Choix et intérêt du sujet
Nous avons choisi ce sujet en raison de l’intérêt que nous portons à la gestion des risques,
mais également car il constitue un apport considérable pour notre plan de carrière.
1.2.4 Méthodologie
L’approche adoptée pour atteindre nos objectifs repose principalement sur la

documentation relative à la gestion des risque plus précisément la norme ISO 27005.
Nous nous appuierons également sur l’expérience et les connaissances acquises au sein de la
Banque de l’Habitat du Sénégal dans le cadre de notre stage.
Au cours de ce chapitre, nous avons présenté la Banque de l’Habitat du Sénégal ainsi que
notre sujet à travers la problématique, les objectifs et la méthodologie choisie. Nous allons à
présent traiter les généralités sur la sécurité de l’information.
CHAPITRE 2 : GÉNÉRALITÉS SUR LA SÉCURITÉ DE
L’INFORMATION
Ce second chapitre porte sur les généralités liées à la sécurité de l’information que
nous traiterons en définissant les termes de bases, puis les critères avant de passer au cadre
normatif.
Il est nécessaire de préciser qu’il est ici question de sécurité de l’information au sens large du
terme, c’est-à-dire que nous ne parlerons pas seulement de sécurité informatique. Nous nous
intéressons à l’information sous toutes ses formes, indépendamment de son support (logiciel,
matériel, papier, humain…).
2.1 Termes et définitions
Sécurité de l’information : Protection de la confidentialité, de l’intégrité et de la

disponibilité de l’information (ISO/IEC 27000 article 3.28). [B1]
Note: En outre, d’autres propriétés, comme l’authenticité (ISO/IEC 27000 article 3.6),
l’imputabilité, la non-répudiation (ISO/IEC 27000 article 3.48) et la fiabilité (ISO/IEC 27000
article 3.55) peuvent également être concernées.
Système d’information : C’est l’ensemble organisé de ressources (matériel, logiciel,

personnel, données, procédures) permettant d'acquérir, traiter, stocker, communiquer des
informations (sous forme de données, textes, images, sons, etc…) dans des organisations.
Ensemble d’applications, services, actifs informationnels ou autres composants permettant de
gérer l’information (ISO/IEC 27000 article 3.35).
Sécurité du système d’information : La sécurité des systèmes d’information (SSI) est

l’ensemble des moyens techniques, organisationnels, juridiques et humains nécessaires à la
mise en place de moyens visant à empêcher l'utilisation non-autorisée, le mauvais usage, la
modification ou le détournement du système d'information. En d’autres mots, c’est l’ensemble
des moyens mis en œuvre pour réduire la vulnérabilité d’un système informatique contre les
menaces accidentelles ou intentionnelles auxquelles il peut être confronté.
Actif : un actif désigne tout élément ayant de la valeur pour l'organisme et nécessitant, par
conséquent une protection (ISO/IEC 27005 article 8.2.2).
Le risque : effet de l’incertitude sur l’atteinte des objectifs (ISO 31000 2.1). [B3]
Note : Un effet est un écart, positif et/ou négatif, par rapport à une attente.
Risque : combinaison de la probabilité d'un événement et de ses conséquences (ISO/CEI

27000:2009(F) 2.34)
Le risque lié à la sécurité de l'information est la possibilité qu'une menace donnée exploite
une vulnérabilité d'un actif ou d'un groupe d'actifs et nuise donc à l'organisation. (ISO/CEI
27000:2009(F) 2.24).
Gérer les risques de sécurité des SI c’est anticiper le futur concernant les évènements pouvant
porter atteinte à la Disponibilité, l’Intégrité, la Confidentialité, et la Preuve sur des actifs
informationnels entrainant des conséquences négatives sur l’organisme.
Exemples de risques : incendie - inondation - piratage informatique - virus informatique - vol

d'équipement.
La menace : C’est la cause potentielle d’un incident qui peut engendrer des dommages à un
système ou une organisation (ISO/CEI 27000:2009(F) 2.45).
Exemples de menaces : Infection virale - Incendie - Espionnage - Saturation du SI -

Corruption de données - Abus de droit (habilitation).
Une vulnérabilité : Faiblesse d’un actif (ou d’une mesure de sécurité) qui peut être exploitée
par une menace (ISO/CEI 27000:2009(F) 2.46).
Exemples de vulnérabilité : Présence d’un site en zone inondable - Absence de mises à jour de
sécurité - Politique de mot de passe faible - Absence de procédure - Absence de
sensibilisation du personnel.
Risque lié à la sécurité de l'information: possibilité qu'une menace donnée exploite une
vulnérabilité d'un actif ou d'un groupe d'actifs et nuise donc à l'organisation. (ISO/CEI
27000:2009(F) 2.24)
2.2 Les critères de la sécurité des systèmes d’informations
Les solutions de sécurité mises en place afin d’assurer la sécurité du système

d’information bancaire doivent contribuer à satisfaire les critères suivants:
 La Disponibilité ;
 L’Intégrité ;
 La Confidentialité ;
 La traçabilité.
2.2.1 La confidentialité
La confidentialité vise à empêcher tout accès non autorisé à des informations

sensibles. De tels accès peuvent être intentionnels, par exemple un intrus pénétrant dans le
réseau et lisant des informations, ou non intentionnels, du fait de la négligence ou de
l’incompétence des personnes qui manipulent les informations. Les deux principaux moyens
de garantir la confidentialité sont le chiffrement et le contrôle d’accès.
2.2.2 Intégrité
L’intégrité comprend trois objectifs qui contribuent à la sécurité des données :
-empêcher la modification des informations par des utilisateurs non autorisés
-empêcher la modification non autorisée ou involontaire des informations par des utilisateurs
autorisés
-préserver une cohérence interne et externe :
Diverses méthodes de chiffrement peuvent contribuer à assurer l’intégrité en confirmant

qu’un message n’a pas été modifié pendant sa transmission. Une modification peut rendre un
message inintelligible ou, pire encore, inexact. Si un message est altéré, le système de
chiffrement doit comporter un mécanisme indiquant que le message a été corrompu ou
modifié. L’intégrité peut également être vérifiée à l’aide d’un algorithme de hachage.
2.2.3 Disponibilité
La disponibilité garantit que les utilisateurs autorisés d’un système ont un accès rapide
et ininterrompu aux informations contenues dans ce système, ainsi qu’au réseau. Les
méthodes permettant d’assurer la disponibilité sont, entre autres, la répartition équitable, la
haute disponibilité, la redondance, la tolérance aux pannes.
2.2.4 Traçabilité
La traçabilité consiste à ce que chacune des étapes de traitement de l’information

(collecte, uniformisation, calcul, extraction, modification, suppression…) s’accompagne de
l’enregistrement de la source de l’information facilitant ainsi la remontée de la piste d’audit et
de l’identifiant de l’utilisateur à l’origine de l’action facilitant la mise en lumière ultérieure
des responsabilités. La traçabilité est un moyen complémentaire aux méthodes habituelles
contribuant à la protection de l’intégrité des données du système d’information. La traçabilité
va de pair avec la sécurisation des accès aux données et aux processus à l’aide d’identifiants
et de la séparation des pouvoirs. La traçabilité est un allié fort lors de la recherche de fraude.
En effet, la détection des transactions litigieuses en fonction d’indicateurs (issus des règles
fonctionnement du système d’information) mettra en évidence leurs auteurs. Il en est de
même avec les erreurs, le traçage du processus décisionnel ressortant automatiquement le
responsable. L’accès aux données (saisie, modification, effacement…) génère
l’enregistrement de l’identifiant de l’utilisateur et l’horodatage de l’évènement dans un
journal (ou log).
2.3 Cadre normatif de management de la sécurité des systèmes d’informations
Les Normes, Référentiels, Méthodes et Modèles (NRMM) permettent d’optimiser les

coûts et les délais dans les entreprises tout en offrant une bonne qualité de service.
2.3.1 Norme
Document de référence sur un domaine de large intérêt donné en accord avec la

réglementation nationale ou internationale. Elle spécifie les exigences (normatif) ou les lignes
directrices (informatif). Les certifications aux normes sont pour des entreprises dans bien des
cas. Elle répond généralement aux questions « Quoi » et « Pourquoi ».
Exemples de norme : ISO 9001:2000, ISO 14001:2004, ISO/IEC 27001, PCI DSS, etc.
2.3.2 Référentiel
C’est un standard (« best practice » du métier) reconnu par des professionnels du domaine, et
qui se réfère souvent à une norme. Les certifications aux référentiels sont généralement pour
des personnes.
Exemples de référentiel : ITIL v2, v3 ; COBIT ; Zachman
2.3.3 Méthodologie
C’est un ensemble ordonné de règles, de principes, de phases et d’étapes permettant

d’atteindre un objectif souhaité, à travers une structure formalisée et rigoureuse. Elle dépend
d’outils comme les logiciels et questionnaires. Elle répond généralement à la question
«Comment faire».
2.3.4 Méthode
Ensemble de démarches formalisées selon des principes, dans le but d’acquérir un savoir-faire
conforme aux objectifs attendus. La méthode est utilisée à travers l’entreprise ou une partie de
l’entreprise.
Exemples de méthode : AMDEC, Kaizen.
2.4 Les types de menaces
......Toute organisation produit de l’information, celle-ci circule partout que ce soit de manière
formelle ou informelle, elle est techniquement protégée et contrôlée pour en limiter l’accès ou
alors expressément divulguée pour des soucis liés à la transparence ou à la réputation.
L’information a de la valeur et sa gestion demande des efforts de temps et d’argent. Pour
mener à bien cette mission, il est primordial d’identifier les menaces pesants sur les systémes
d’informations bancaire.
-La compromission d’informations : Une compromission d’information est une attaque

délibérée et non autorisée sur les systèmes de communication ou de traitement des
informations qui contiennent des données confidentielles. Au sein des banques , ces
compromissions mettent les titulaires à risque que leurs données personnelles soient utilisées
frauduleusement. Ces attaques sont lancées avec une intention malveillante et peuvent
entraîner des dommages ou la perturbation de l'ensemble du système d’information.
L'ouverture de compte en ligne et la gestion des opérations financières depuis un espace
personnel sont deux services ayant augmenté les risques de compromission d’informations.
L'hameçonnage est la pratique la plus répandue de cybercriminalité habituellement effectuée
par courrier électronique ou messagerie instantanée ; il s'agit de fournir des liens ou des
instructions aiguillant le destinataire du message vers un site Web frauduleux ressemblant à
s'y méprendre au site légitime. L'utilisateur saisit sans se méfier ses informations personnelles
(nom d'utilisateur, code, numéro de carte de crédit/numéro de compte…) qui sont alors
recueillies par le pirate. Les escroqueries par hameçonnage touchent particulièrement les
clients. Cependant, les employés de la banque ne sont pas en reste. Les pirates ciblant tout
appareil pouvant être manipulé pour accéder au réseau, ces points d’extrémité constituent des
« portes d’entrée » idéales et créent une base d’attaque informatique pour d’autres activités
illicites.
La compromission d’informations peut également être due à d’autres facteurs tels que :
-l’interception de signaux d’interférences compromettants
-l’espionnage à distance
-l’écoute
-le vol de support ou de documents
-le vol de matériel
-le piégage de logiciel ou de matériel
-etc.
Les conséquences de la compromission d’informations peuvent vraiment être désastreuses

pour les banques.
Une fois que les pirates parviennent à mettre la main sur les données confidentielles des
banques, ces dernières sont souvent confrontées à divers types de chantage. Les pertes et
dommages fréquents qui peuvent en résulter sont :
-la réalisation de fausses transactions financières,
-le vol d'informations confidentielles,
-l'usurpation d'identité,
-l'atteinte à la réputation de la banque
-etc.
-Les défaillances techniques : il s’agit d’une incapacité momentanée, d’un défaut de

fonctionnement d’une partie du système d’information. Ce sont généralement des pannes ou
dysfoncntionnnement du matériel, la saturation du système d’information…
-La compromission des fonctions : c’est le fait de s'immiscer sans titre dans l'exercice d'une
fonction qui n’est pas la notre. Elle regroupe donc l’abus et l’usurpation de droits, le
reniement d’actions, entre autres. L’attaquant peut avoir plusieurs motivations (argent,
rebellion, défi…).
À ces menaces s’ajoutent les dommages physiques, les catastrophes naturelles, les
mouvements d’humeur des employés et tant d’autres menaces pouvant affecter les banques.
Toutes ces menaces pesant sur les systèmes d’information de la banque ont pour principales
conséquences :
-des pertes financières car ayant un impact sur la disponibilité et l’intégrité des
informations et services
-une dégradation de l’image de la banque et donc une perte de sa part de marché
-des plaintes des clients
-la banque, elle même victime peut être sanctionnée conformément à l’article 12 de
l’instruction n° 009-06-2015 du 15 juin 2015 relative aux dispositifs de securite des
systemes d'information des bureaux d'information sur le credit. Cet article stipule que
« Les manquements aux obligations liées à la sécurité des systèmes d'information sont
sanctionnés, conformément aux dispositions de la loi uniforme portant réglementation
des Bureaux d'Information sur le Crédit dans les Etats membres de l'UMOA, sans
préjudice des dispositions législatives et réglementaires en vigueur dans l'Etat membre
d'implantation de l'Union. ».
Il peut s’agir de sanctions juridiques (avertissement, blâme, suspension ou interdiction

de tout ou une partie des opérations, retrait d’agrèment ou d’autorisation…) ou
d’amende pouvant atteindre des centaines de millions de FCFA. [W3]
Au vu de ces menaces et de leurs conséquences, il est indispensable que les banques adoptent
une démarche proactive leur permettant d'identifier les menaces potentielles ainsi que les
zones de vulnérabilité existant au sein de leur système d’information.
Ce second chapitre nous a permis de traiter des généralités de la sécurité des systèmes
d’informations. Le prochain portera sur la gestion des risques.
CHAPITRE 3 : LA GESTION DES RISQUES
Ce troisième chapitre porte sur l’une des branches incontournables de la sécurité, la

gestion des risques. Les normes qui sont liées à cette dernière seront également traités.
3.1 Motivations de la gestion des risques
L'adoption croissante des technologies de l’information et de la communication (TIC)

améliore la productivité des banques et leur permet d’offrir de meilleurs services, d’améliorer
leur efficacité et leur agilité. Toutefois, l’évolution rapide de ces technologies a pour
contrepartie l’augmentation des risques liés aux systèmes d’information (risques liés à la
manipulation, au stockage, à la transmission des données, etc.). L’activité bancaire étant
essentiellement basée sur les systèmes d’informations, il est primordial de gérer les risques
inhérents à l’exploitation de ces derniers.
La gestion des risques est définie par l’ISO 31000 comme l’ensemble des activités
coordonnées visant à diriger et piloter un organisme vis-à-vis du risque. Nous dégageons
quatre finalités à la gestion des risques pour les systèmes d’informations :
 Améliorer la sécurisation des systèmes d’information.
Le processus de gestion des risques implique l’identification des risques liés aux activités
de l’entreprise, l’analyse de ces risques et l’évaluation des probabilités qu’ils se
produisent. Ces différentes étapes conduisent à la mise en place d’une stratégie de gestion
adaptée ainsi que le contrôle de l’efficacité des mesures de gestion des risques, et donc
d’une augmentation de la sécurité du système d’informations.
 Justifier le budget alloué à la sécurisation du système d’information.
La sécurisation du système d’information requiert un budget qui n’est pas toujours

compréhensible/évident pour les autres entités. Or, les outils de surveillance, les scanners
de vulnérabilités, la mise en place de mesures de sécurité ont un coût non négligeable.
La gestion des risques, de par son volet évaluation, permet d’avoir une approximation des
pertes pouvant être causés par un risque non pris en charge, une attaque sur le système
d’information. En comparant le coût de la prévention à celui des pertes possibles, il
devient évident d’investir sur la sécurisation des systèmes d’informations. [B4]
 Prouver la crédibilité du système d’information à l’aide des analyses effectuées.
Nous avons l’exemple de l’audit de sécurité qui permet de déterminer des failles potentielles
sans prédire si celles-ci sont réellement exploitables. Il existe aussi la méthode du pentesting,
également appelé test d’intrusion qui est une technique de piratage éthique consistant à tester
la vulnérabilité d’un système informatique en détectant les failles susceptibles d’être
exploitées par un hacker ou un logiciel malveillant.
 Être en phase avec la réglementation
Le secteur bancaire africain est un secteur très fortement réglementé. Dans le domaine de la
gestion des risques, nous pouvons citer la réglementation Bâle qui est un ensemble de
recommandations et normes pour mieux appréhender les risques au sein des banques. [B5]
Il y a également la circulaire numéro 4 de la BCEAO relative à la gestion des risques dans les
établissements de crédit et les compagnies financières de l'UMOA. Ces réglementations
stipulent que les organes de gouvernance des banques doivent :
-mettre en place une fonction gestion des risques couvrant tous les risques significatifs, à
l'échelle de l'établissement et disposant d'attributions distinctes de celles des unités
opérationnelles ;
-exercer pleinement les responsabilités qui leur sont dévolues en matière de risque,
conformément aux dispositions énoncées dans la Circulaire relative à la gouvernance des
établissements de crédit et des compagnies financières de l'UMOA. (Article 4 de la circulaire
N°04-2017/CB/C). [B6]
Ce dispositif de gestion des risques doit être dynamique et proportionnel à la taille de la

structure. La circulaire numéro 4 exige également la réalisation d’une cartographie des risques
afin d’assurer une bonne gestion et un suivi adéquat des risques.
Ces différents points prouvent que la gestion des risques n’est pas seulement une nécessité
mais une exigence pour toute structure bancaire.
3.2 Avantages de la gestion des risques
Durant les vingt-cinq dernières années, l'intérêt pour la sécurité lors du développement
et l'exploitation des systèmes d’informations n'a cessé de croître. Les méthodes de gestion des
risques de sécurité sont des outils méthodologiques, qui aident les organisations à prendre des
décisions rationnelles sur la sécurité de leur système d’informations.
Une gouvernance centrée sur le risque permet aux dirigeants de l’entreprise d’utiliser
la gestion du risque informatique comme un levier de résilience, mais aussi comme un
bouclier de protection de la technologie et de l’infrastructure physique, et donc au final,
comme un facteur de dynamisation de la croissance (IBM, 2008).
La gestion des risques permet aux banques d’avoir une certaine stabilité. En effet, en ayant
une vision sur les différentes vulnérabilités et menaces du système d’informations, les
responsables ont la possibilité de réduire, supprimer ou transférer les risques, évitant ainsi des
attaques sur le système. Cette stabilité est très importante car elle permettra de rassurer les
clients et investisseurs.
En plus de la stabilité, la gestion des risques intervient dans la prise de décision. Lors de
l’élaboration d’un projet, les décisionnaires attendront du responsable des risques une étude
approfondie sur la faisabilité dudit projet et les risques encourus sur le système d’information
pour le réaliser. En fonction des résultats obtenus, le projet pourra être validé, modifié ou
abandonné.
En outre, la politique de sécurité indique l’ensemble des mesures à prendre, des structures à
définir et l’organisation à mettre en place afin :
 D’empêcher (ou au moins freiner) la détérioration, l’utilisation anormale ou la

pénétration des systèmes et réseaux ;
 De détecter toute atteinte, malveillante ou non, à l’intégrité, la disponibilité et la
confidentialité des informations ;
 D’intervenir afin d’en limiter les conséquences et le cas échéant, pour suivre l’auteur
du délit.
En réduisant les situations critiques, la gestion des risques permet de préserver la continuité de
l’activité et par effet de levier, d’augmenter la disponibilité des ressources de l’entreprise. Une
étude récente montre que les entreprises qui font preuve de maturité et d’équilibre dans leurs
gestions des risques informatiques rencontrent peu d’incidents, tout en obtenant des
performances opérationnelles informatiques et métier meilleures que leurs concurrentes. Et
l’équilibre est ici capital. Elles sont également plus performantes et démontrent une
organisation plus agile, et peuvent exploiter la gestion des risques pour promouvoir de
meilleures pratiques de gestion IT.
3.3 Les référentiels de gestion des risques
La gestion des risques s’appuie sur différentes stratégies d’analyse. Il existe plus de 200
méthodes pour le management et l’appréciation des risques. Il est loisible à chaque
organisation de choisir celle qui correspond le mieux à son contexte et à son environnement.
Dans ce travail de recherche, nous avons choisi trois méthodes qui couvrent différentes
perspectives dans la gestion des risques: EBIOS, OCTAVE et MEHARI. En effet, EBIOS est
une méthode assez reconnue et fait référence dans le domaine de la gestion des risques des
systèmes d’information. La méthode OCTAVE s’oriente vers la gestion des risques portant
sur les systèmes opérationnels (information, systèmes, logiciel, matériel, personnes) qui ont
un effet immédiat sur l'organisme. Le domaine visé par MÉHARI est celui de la sécurité de
l’information, englobant les systèmes informatisés mais aussi l’information sous toutes ses
formes, numériques, analogiques, écrites, etc. Dans ce domaine, l’objectif de MÉHARI n’est
pas seulement d’identifier les situations de risque et d’en apprécier le niveau, mais de mettre
en évidence les mesures permettant de ramener les risques à un niveau acceptable. Au-delà de
la nature des mesures à mettre en œuvre, MÉHARI s’attache en outre à en définir le niveau de
qualité et d’efficacité requis.
3.3.1 EBIOS : Expression des Besoins et Identification des Objectifs de Sécurité
EBIOS est une méthode développée et maintenue par l’ANSSI (Agence Nationale de la
Sécurité des Systèmes d'Information) du secrétariat général de la défense nationale française
(SGDN). La méthode consiste à̀ formaliser les objectifs et les exigences de sécurité adaptés au
contexte du système étudié. Cette méthode vise la sécurisation des ‘gros’ systèmes
d’information et s’appuie sur le standard ITsec. EBIOS permet d'apprécier les risques
numériques, d'identifier les mesures de sécurité à mettre en œuvre pour les maitriser puis de
valider le niveau de risque acceptable et de s'inscrire à plus long terme dans une démarche
d'amélioration continue.
Elle permet également de faire émerger les ressources et arguments utiles à la communication
et à la prise de décision au sein de l'organisation et vis-à-vis de ses partenaires.
La démarche de la méthode comprend cinq modules :
 Étude du contexte
 Étude des évènements redoutés
 Étude des scénarios de menace
 Étude des risques
 Détermination des mesures de sécurité
Les avantages de la méthode sont multiples :
 EBIOS supporte efficacement l’ensemble des actions, notamment la définition du
périmètre, l’appréciation des risques et la spécification du traitement des risques.
 EBIOS contribue à l’élaboration du plan de traitement des risques d’un schéma

directeur, des politiques de sécurité et des tableaux de bord.
 EBIOS présente des bases de connaissance intégrées ainsi qu'un logiciel libre qui
fournissent un support rapide et efficace.
Toutefois, la méthode reste assez cloisonnée. La mise en œuvre des étapes telles
qu’elles sont conçues réduit la flexibilité de cette méthode et complique son
application dans certains domaines.
Figure 2: Méthodologie EBIOS
3.3.2 OCTAVE: Operationally Critical Threat, Asset, and Vulnerability

Evaluation
La méthode OCTAVE, développée au SEI (Software Engineering Institute) à l’université

Carnegie Mellon fournit un moyen de traitement des risques en couvrant à la fois les
dimensions organisationnels et techniques. La méthode est conçue pour être menée par le
personnel de l’organisation sans faire appel à̀ des consultants externes : elle est auto-dirigée.
Cette méthode présente trois variantes : OCTAVE qui vise les grandes organisations,
OCTAVE-S qui est la version réduite visant les PME/PMI et OCTAVE Allegro qui se
focalise principalement sur le stockage, le transport, la gestion de l’information et les risques
associés. OCTAVE se concentre sur l’évaluation des vulnérabilités et des menaces qui
touchent les biens critiques ayant un effet immédiat sur l'organisation. Trois phases sont au
cœur de la méthode. La méthode OCTAVE représente une approche structurée et
systématique pour l’identification et la réduction des risques. Elle repose sur des séances de
brainstorming et sur le travail d’équipe.
En plus de la documentation complète qu’elle fournit pour l’identification des biens à

protéger, des menaces et des risques, la méthode OCTAVE est accompagnée d’un catalogue
de bonne pratique de sécurité. Ce catalogue peut être utilisé à deux stades de la démarche :
lors de l’évaluation des mesures de sécurité mises en place et au moment de la mise en œuvre
de la stratégie de protection. De plus, ce catalogue inclut des pratiques stratégiques et
opérationnelles. L’inconvénient de la méthode est qu’elle se concentre sur la sécurisation des
actifs opérationnels. En effet, les biens à protéger sont classes en cinq catégories :
l’information, les systèmes, les applications logicielles, les équipements matériels, le
personnel de l’organisation.[W2]
Figure 3: Méthodologie OCTAVE

3.3.3 MEHARI: méthode harmonisée d’analyse des risques
MEHARI est une méthode de gestion de risque associée à la sécurité de l'information d'une
entreprise de petite ou moyenne envergure. Elle a été développée initialement par le CLUSIF
en France.
L'objectif premier de MEHARI est de fournir une méthode d'analyse et de gestion des risques
affectant la sécurité de l'information, une méthode conforme aux exigences de la norme
ISO/IEC 27005 :2011, avec l'ensemble des outils et moyens requis pour sa mise en œuvre. A
cet objectif premier s'ajoutent deux objectifs complémentaires :
-Permettre une analyse directe et individualisée de situations de risque décrites par des
scénarios de risque.
-Fournir une gamme complète d'outils adaptée à la gestion à court, moyen et long terme, de la
sécurité, quelle que soit la maturité de l'organisme en matière de sécurité et quelques soient
les types d'actions envisagés. [B7]
Figure 4: Méthodologie MEHARI

Le tableau suivant liste les principales normes utilisées provenant des organismes de
normalisation internationaux ainsi que celles soutenues par le secteur privé ou associatif :
Figure 5: Principales méthodes d’analyse des risques
Figure 6 : Comparaison des méthodes OCTAVE, MEHARI et EBIOS
3.4 Normes associées à la gestion des risques

Dans cette partie nous abordons les réglementations touchant les risques informationnels du
point de vue des normes et des lois.
Il y a deux types de normes : « de jure » et « de facto »:
-les normes « de jure» sont celles publiées par des organismes de normalisation reconnus, tels
que l'Organisation internationale pour Standardisation (ISO), American National Standards
Institute (ANSI) etc.
- Les normes « de facto » ne sont pas des normes formelles mais sont considérées par
beaucoup comme si elles l'étaient. Elles peuvent se manifester par une utilisation populaire
(par exemple Windows dans la décennie 2001- 2010) ou peuvent être publiées par d'autres
organismes, ou par les organismes de normalisation sans avoir le statut formel d'un « standard
» (tel certains rapports techniques publiés par l'ISO).
Plusieurs de ces normes traitent la gestion des risques.
- La norme ISO/IEC 31000 relative à la gestion des risques
ISO 31000 est une norme internationale générique qui fournit des lignes directrices sur la
façon d'organiser la gestion des risques dans les organisations. La norme ne se concentre pas
uniquement sur les risques liés à la sécurité de l'information ; elle peut être utilisée pour tout
type de risques, y compris la continuité des activités, le marché, la monnaie, le crédit, les
opérations et autres. ISO 31000 fournit un glossaire détaillé des termes de gestion des risques,
explique les principes de base de la gestion des risques et fournit un cadre général comprenant
un cycle PDCA (planification, mise en œuvre, surveillance et amélioration,
Plan/Do/Check/Act) pour la gestion des risques. Selon l'ISO 31000, les organisations
déterminent généralement le contexte et gèrent le risque en l'identifiant, en l' analysant et en
évaluant par la suite si le risque doit être modifié par une approche stratégique afin de se
conformer à ses critères de risque. Tout au long de ce processus, ces organisations doivent
communiquer et consulter les parties prenantes, tout en surveillant et en analysant de manière
critique le risque et les contrôles qui le modifient, afin de s'assurer qu'aucune approche
supplémentaire de gestion des risques ne sera nécessaire. Cependant, étant applicable à tout
type d'organisation et à tout type de risque, il ne fournit pas de méthodologie spécifique pour,
par exemple, la gestion des risques liés à la sécurité de l'information. [W5]
-la norme ISO/IEC 27001 relative aux exigences des systèmes de management, est, elle aussi,
une norme internationale. Elle décrit les mesures nécessaires à la mise en place d’un SMSI.
Mais si elle fixe l’objectif à atteindre, elle ne préconise pas comment, concrètement, il
convient de déployer ces mesures. La gestion de la sécurité de l'information dans l'ISO 27001
est alignée sur l'ISO 31000 (Clause 6.1.3 de la norme ISO 27001). [B2]
- la norme ISO/IEC 27005
La norme ISO 27005 relative à la gestion des risques liés à la sécurité de l’information décrit
les grandes lignes d’une gestion des risques dans le contexte d’un système d’information :
définition du contexte d’analyse, identification et évaluation des risques encourus, possibilités
de traitement ou d’acceptation de ces derniers. Elle introduit un processus d’appréciation des
risques conforme à l’ISO 31000, sans pour autant proposer de méthode au sens strict. C’est
donc une adaptation de la norme ISO/IEC 31000 au domaine de la sécurité de l’information.
Les évaluations des risques sont l'une des parties les plus importantes de la conformité à la
norme ISO 27001 et ISO 27005 donne des conseils sur l'identification, l'évaluation,
l'évaluation et le traitement des vulnérabilités en matière de sécurité de l'information. Ces
procédures sont essentielles pour un système de gestion de la sécurité de l'information ISO
27001. [B7]
On constate donc que ces trois normes sont étroitement liées et quelque peu complémentaires
car la mise en œuvre d’un programme de gestion des risques conforme à ISO 27005 permet
d’avoir un SMSI plus résilient.
Figure 7: Liens entre ISO 27001, ISO 27005 et ISO 31000 [B8]
Dans ce chapitre, nous avons abordé la gestion des risques, ses motivations et avantages. Puis
nous avons présenté les référentiels de gestion des risques ainsi que les normes en lien avec
cette branche de la sécurité informatique.
CHAPITRE 4 : LA NORME ISO/IEC 27005 :2018
Notre étude portera sur la version publiée en 2018 de la norme ISO 27005. Il est important de
noter qu’une version plus récente a été publiée en Octobre 2022, après le début de notre
travail de recherche, raison pour laquelle elle n’a pas été prise en compte.
4.1 Présentation de la norme
La sécurité des systèmes d'information est un enjeu majeur pour les entreprises. Elle n'est
aujourd'hui plus exclusivement du ressort des informaticiens mais intègre également des
moyens organisationnels, juridiques et humains afin de prévenir l'utilisation non autorisée, le
mauvais usage, la modification ou encore le détournement d'informations sensibles et/ou
confidentielles. Une démarche par les risques, techniques et non techniques, apparaît de fait
naturelle et efficace en vue de sécuriser les systèmes d'information.
La norme ISO/IEC 27005 est une norme internationale concernant la sécurité de l'information
publiée conjointement par l'Organisation internationale de normalisation (ISO) et la
Commission électrotechnique internationale (CEI). Il s'agit d'un recueil de lignes directrices
traitant spécifiquement de la gestion des risques dans le contexte de la sécurité des systèmes
d'information. Elle fait l'objet d'une certification et vient en complément du SMSI ISO/CEI
27001. [W1]
L’ISO/IEC 27005 a été rédigée pour la première fois en 2008, revisitée en 2011, ensuite en
2018 puis en 2022. Dans le but de créer un SMSI efficace, elle se compose des grandes lignes
de la gestion de risques. Construite en cohérence avec le couple de standards ISO/CEI
27001 et ISO/CEI 27002 et reprenant le vocabulaire définit dans ISO/CEI 27000, la norme
ISO/CEI 27005 peut néanmoins être utilisée de manière autonome dans différentes situations.
La norme ISO/CEI 27005 utilise comme nombre de systèmes de management, la logique
d'amélioration continue PDCA (Plan, Do, Check, Act), sous la forme suivante :
 Plan : Identification des risques, évaluation des risques et définition des actions de
réduction des risques,
 Do : Exécution de ces actions,
 Check : Contrôle du résultat,
 Act : Révision de la politique de traitement des risques selon les résultats obtenus.
Le processus de management du risque proposé par ISO 27005 est applicable à tous types
d'organisations (par exemple les entreprises commerciales, les agences gouvernementales, les
organisations à but non lucratif) qui ont l'intention de gérer des risques susceptibles de
compromettre la sécurité des informations de l'organisation.
Il est important de noter que le référentiel ISO 27005 ne fournit pas une liste d’exigences mais
des recommandations pour la mise en œuvre d’un processus de gestion des risques en sécurité
de l’information. Elle constitue donc un guide de mise en œuvre et donne des lignes
directrices qu’il convient de suivre, d’adapter et parfois d’ignorer dans la conception, le
développement et l’exploitation de son système de gestion de risque. [W4]
4.2 Structure de la norme
La norme ISO/IEC 27005 reprend le vocabulaire de la norme ISO 27000 et est composée de
77 pages réparties en 12 chapitres qui sont complétés par 6 annexes de référence A à F,
nécessaires à la mise en œuvre de la méthode.
 Le chapitre 1 décrit le domaine d’application de la norme

 Le chapitre 2 décline les références normatives
 Le chapitre 3 définit les termes importants dans le cadre de la gestion des risques
 Le chapitre 4 décrit la structure de la norme elle-même
 Le chapitre 5 fait une présentation générale du processus de gestion des risques en
sécurité de l’information
 Le chapitre 6 explique le processus de gestion de risque dans son ensemble et la
manière dont il se positionne dans un cycle PDCA.
 Le chapitre 7 précise l’établissement du contexte, afin que l’on spécifie son périmètre
de l’appréciation des risques, que l’on établisse tous les critères de base, que l’on
décrive son environnement, et organise ses processus.
 Le chapitre 8 définit l’appréciation des risques, qui se décompose en l’analyse des
risques et l’évaluation des risques.
o Le paragraphe 8.2 définit l’analyse de risques, qui consiste, d’une part, à
identifier et valoriser ses actifs sensibles, identifier les menaces et les
vulnérabilités, ainsi que les mesures de sécurité existantes, et, d’autre part, à
estimer la probabilité d’occurrence des risques identifiés, quantifier les
conséquences potentielles, au final, calculer le risque.
L’estimation des risques peut être qualitative ou/et quantitative. La norme

n’impose aucune méthode de calcul particulière et en propose 3 en annexe.
o Le paragraphe 8.3 décrit l’évaluation des risques afin de prioritiser et

ordonnancer les risques par rapport aux critères d’évaluation des risques. Ces
critères préalablement établis par les objectifs de sécurité imposés par les
métiers de l’organisme et identifiés par les parties prenantes permettent de
déterminer le seuil au-delà duquel le risque devra être traité.
 Le chapitre 9 spécifie le traitement du risque. Les quatre choix du traitement du risque
sont :
o Le refus ou évitement : le risque est trop élevé, il n’y a pas de mesure de
sécurité réaliste pour le réduire, l’activité est supprimée ;
o Le transfert vers un assureur ou un sous-traitant qui saura mieux le gérer ;
o La réduction par l’application des mesures de sécurité ;
o Et la prise de risque : le risque est accepté tel quel sans qu’aucune action soit
prise.
A ce stade, la norme demande d’intégrer les coûts notamment dans le choix des
mesures de sécurité.
 Le chapitre 10 détermine l’acceptation du risque. Il faut calculer le risque résiduel qui

sera obtenu une fois que le traitement du risque sera mis en œuvre. La direction
générale doit accepter les risques résiduels, donc accepter le plan de traitement du
risque dans son ensemble. Cette décision est formellement documentée et enregistrée,
et si par exemple des contraintes de budget ou de temps ne permettent pas à la
direction de déployer, c’est elle qui en prend la responsabilité, pas la RSSI.
 Le chapitre 11 décrit la communication du risque. Cette communication est un partage
régulier d’informations entre le gestionnaire des risques SSI (en général, le RSSI), les
décisionnaires, et les parties prenantes concernant la gestion du risque. Ses buts sont
de donner confiance à la direction générale et aux parties prenantes, collectionner les
informations concernant les risques encourus, faire connaître les plans de traitement
du risque, obtenir le support et les moyens pour la mise en œuvre du traitement du
risque, impliquer la responsabilité des décisionnaires, améliorer les compétences de
gestion du risque, et sensibiliser l’organisme à la prévention du risque.
 Le chapitre 12 décrit la surveillance et le réexamen des risques. La surveillance
constante du processus de gestion des risques est nécessaire pour s’assurer que le
processus reste pertinent et adapté aux objectifs de sécurité des métiers de
l’organisme, que chaque risque traité n’est pas surestimé ou sous-estimé, et que ses
coûts de gestion sont adaptés à la dimension du risque et aux besoins de sécurité. Il
faut aussi identifier les changements nécessitant une réévaluation du risque ainsi que
les nouvelles menaces et vulnérabilités.
 L’annexe A liste toutes les contraintes qui peuvent affecter votre processus de gestion
des risques.
 L’annexe B aide à identifier et valoriser les actifs à considérer dans son appréciation
des risques, et aide à estimer les impacts.
 L’annexe C répertorie les menaces classées par type : dommages physiques, pertes de
service essentiel, altération d’informations, etc. La liste n’est cependant pas
exhaustive.
 L’annexe D liste les vulnérabilités, les moyens de recherche de vulnérabilités et des
exemples de menaces qui pourraient exploiter ces vulnérabilités.
 L’annexe E décrit trois méthodes de calcul de risque, qui permettent de réaliser
l’appréciation des risques, dans l’activité estimation des risques. Les méthodes
estiment l’impact potentiel d’un risque par rapport à la valeur de l’actif, à la facilité
d’exploitation des vulnérabilités par les menaces, à la probabilité d’occurrence, etc.
 L’annexe F précise toutes les contraintes à intégrer lors de la réduction des risques,
notamment lorsque l’on sélectionne des dispositifs de sécurité.
4.3 Processus de gestion des risques selon ISO 27005
La norme ISO 27005 propose un processus de gestion des risques illustré dans le schéma
suivant :
Figure 8: Illustration du processus de gestion des risques en sécurité de l’information
4.3.1 Etablissement du contexte
L’établissement du contexte permet de répondre aux questions suivantes : pourquoi fait-on

cette étude ? Sur quoi porte-elle ? Et comment vas t-on mesurer ?
Le contexte peut concerner un ensemble très large ou très resserré: tout un système
d'informations ou juste un sous-composant du SI. Cette étape permet également de décliner
l’ensemble des contraintes pouvant impacter sur l’étude.
Il s’agit donc d’énoncer clairement ses objectifs, définir les paramètres internes et externes à
prendre en compte dans la gestion du risque et déterminer le domaine d'application et les
critères de risque pour la suite du processus. Les facteurs d’évaluation des risques doivent être
définis pour déterminer les priorités du traitement des risques associés à un actif. Selon le
domaine d’application et les objectifs de la gestion des risques, différents facteurs peuvent
s’appliquer. Les critères d’impact des risques sont définis en fonction du degré de dommages
ou des coûts engendrés par une concrétisation d’un risque lié à la sécurité de l’information.
Ces critères d’impact sont à surveiller et à contrôler par l’organisation et permettent d’évaluer
le niveau de gravité des risques. À titre d’exemple, les critères suivants peuvent être
considérés :
-l’atteinte à la disponibilité, à la confidentialité et à l’intégrité de l’information;
-la perte d’activités, de services ou de valeur financière;
-le non-respect des exigences légales et réglementaires;
Il convient que l’organisme définisse également les seuils de tolérance aux risques, afin de
prendre une décision éclairée en ce qui a trait à l’acceptation d’un risque. Ces seuils de
tolérance sont multiples et dépendent souvent des politiques, des objectifs et des intérêts des
parties prenantes de l’organisation.
4.3.2 Appréciation des risques
L’appréciation des risques permet d’identifier et de classer les risques selon la priorité de
traitement qui leur sera accordée. Cette étape regroupe :
-l’identification du risque, qui consiste à déterminer une liste de risques (pour un actif
informationnel donné en fonction des critères définis précédemment);
-L’analyse des risques
-l’évaluation du risque, qui permet de mesurer l’importance des risques et, par conséquent, de
déterminer, pour chaque actif, une liste de risques triée par ordre d’importance.
4.3.2.1 Identification des risques
À partir des critères de base prédéfinis, l’étape d’identification des risques permet de produire
une liste de risques potentiels à évaluer pour chaque actif informationnel étudié, tout en se
demandant comment, où et quand ces risques peuvent survenir.
L’identification des risques se fait selon cinq activités complémentaires :
-l’identification des actifs: Un actif représente tout élément contenant de l'information ayant
de la valeur pour l’organisation et qui, par conséquent, nécessite une protection. Il est
important de fixer des limites quant au niveau de détail des actifs à identifier, tout en
s’assurant d’avoir suffisamment d’information pour apprécier les risques associés. Ce niveau
de détail ou de granularité peut être affiné au cours du processus ou lors des itérations
ultérieures.
Les propriétaires des actifs doivent également être identifiés, car ils sont souvent les
personnes les plus aptes à déterminer la valeur des actifs que l’organisation détient. Certains
éléments d'information supplémentaires comme, entre autres, la localisation (physique et
logique), les composantes liées à l’actif, les utilisateurs, peuvent être identifiés pour faciliter
l’évaluation du risque.
-l’identification des menaces : Les actifs précédemment identifiés sont exposés à des
menaces qui sont susceptibles de les endommager et qui peuvent, dans certains cas, rendre un
service essentiel indisponible. Ces menaces peuvent survenir autant de l’intérieur que de
l’extérieur de l’organisation. Il est donc important de les identifier afin de prévoir ou de
mettre en place les mesures adéquates.
Selon le contexte organisationnel étudié, il existe plusieurs types de menaces que l’on peut
considérer. Citons, par exemple, les menaces de type :
 dommage physique (incendie, dégât d’eau, etc.);

 catastrophe naturelle (inondation, séisme, etc.);
 défaillance technique ( dysfonctionnement d’un logiciel, saturation du système, etc.);
 compromission d’information (vol de matériel ou d’information, espionnage à
distance, etc.);
L'information permettant d’identifier les menaces peut souvent être obtenue auprès du
propriétaire de l’actif, des utilisateurs et d'autres intervenants dans des domaines connexes à la
sécurité de l’information. La connaissance des incidents antérieurs, les registres de menaces
antérieures (s’ils existent), de même que l’expérience obtenue dans le passé en matière
d’appréciation des menaces sont également des sources d’information non négligeables pour
aider à l’identification des menaces actuelles et émergentes.
-l’identification des mesures de sécurité existantes : L’identification des mesures de
sécurité existantes permet d’évaluer le niveau de protection de l’organisation face aux
menaces.
Une évaluation de ces mesures est également nécessaire afin de garantir que celles-ci
fonctionnent correctement dans le contexte actuel. En effet, si une mesure de sécurité est
dysfonctionnelle, des vulnérabilités peuvent être engendrées et exploitées. Dans un tel cas, il
est important d’identifier les mesures complémentaires à mettre en place.
Plusieurs activités peuvent aider à l’identification des mesures de sécurité existantes,

notamment :
 la consultation des documents internes relatifs aux mesures de sécurité (p. ex. le plan
de mise en œuvre du traitement des risques, les rapports d’état de situation en
sécurité, la description détaillée des processus de l’organisation, etc.);
 la consultation des utilisateurs ainsi que des responsables des opérations, de la
sécurité de l’information, de la sécurité physique, des systèmes d’information, etc.
Ces intervenants sont les mieux placés pour signaler quelles mesures de sécurité sont
réellement mises en œuvre et si elles fonctionnent;
 l’analyse des résultats des audits de sécurité. Un audit de sécurité permet de

déterminer, pour un ensemble de mesures de sécurité, si elles sont appropriées,
suffisantes et efficaces.
- l’identification des vulnérabilités : L’absence de mesures de sécurité ou encore une

mesure dysfonctionnelle, inefficace, mal implantée ou utilisée de manière incorrecte peuvent
constituer des vulnérabilités. Ces vulnérabilités sont alors susceptibles d’être exploitées par
des menaces visant à endommager les actifs informationnels et, conséquemment, à nuire à
l’organisme.
Il existe plusieurs types de vulnérabilités qui peuvent être exploitées. Citons, notamment,
celles de type :
 matériel (mauvaise installation du matériel, absence de programme de remplacement,

etc.);
 logiciel (attribution erronée des droits d’accès, réglage incorrect des paramètres, etc.);
 réseau (voies de communication non protégées, connexion au réseau public non
protégé, etc.);
 personnel (formation et sensibilisation insuffisantes, absence de personnel, etc.);
 site (réseau électrique instable, accès physique peu sécurisé, etc.);
 organisme (absence de politique relative à l’utilisation des courriels, accord de service
absent ou insuffisant, etc.).
Plusieurs activités proactives telles que les tests d’intrusions, les revues de code et l’utilisation
d’outils d’analyse de failles de sécurité peuvent aider à identifier les vulnérabilités. Il est à
noter que les résultats de ces activités sont parfois erronés, en raison du contexte dans lequel
les tests ont été réalisés ou du moment précis de leur réalisation. D’autres méthodes
complémentaires telles que les entretiens avec les utilisateurs, les inspections et l’analyse des
documents liés aux incidents survenus peuvent alors être utilisées.
-l’identification des impacts : L’identification des impacts permet de déterminer les

dommages ou les pertes, sur le plan de la disponibilité, de l’intégrité et de la confidentialité,
quant aux actifs identifiés. Un impact survient lorsqu’une menace exploite une vulnérabilité
ou un ensemble de vulnérabilités découlant de mesures de sécurité inadéquates. Identifier un
impact revient à identifier le risque ou scénario de risque qui est la combinaison de tous ces
éléments. Les types d’impacts peuvent se résumer de la manière suivante :
 le temps nécessaire à une réparation;

 le temps de travail perdu ou la perte d’une opportunité;
 les problématiques concernant la santé et la protection des biens et des personnes;
 les coûts et les connaissances nécessaires à une réparation éventuelle;
 l’atteinte à l’image de marque.
Il est à noter que, selon la méthodologie choisie, ces activités peuvent être effectuées dans un
ordre différent.
4.3.2.2 Analyse des risques
L'analyse du risque fournit des données pour évaluer les risques et prendre la décision de les
traiter ou non, et permet de choisir les stratégies et méthodes de traitement les plus
appropriées.
Cette étape passe par :
-le choix d’une méthodologie.
-l’appréciation des conséquences et de la vraisemblance des scénarios.

-l’estimation du niveau des risques.
4.3.2.3 Évaluation des risques
L'évaluation ou estimation des risques consiste à attribuer une valeur à chaque scénario de
risque identifié. Cette évaluation peut être quantitative ou qualitative.
L’évaluation quantitative nécessite de disposer de statistiques et de chiffres concrets pour

effectuer un calcul de coûts ou de dommages.
Lorsqu’on ne dispose pas de chiffres ou de statistiques, l’évaluation qualitative peut être

employée. Celle- ci permet de déterminer un ordre d’importance du risque. La figure suivante
en donne un exemple (tiré de la norme ISO/IEC 27005) :
Figure 9: Exemple d’échelle d’évaluation qualitative du risque
Dans ce cas, l’importance de chaque risque est évaluée en fonction d’une estimation de la
probabilité d’apparition des menaces (qui déclencheront le risque) et en fonction de la gravité
de l’impact si le risque se concrétise.
4.3.3 Traitement des risques
Durant cette phase, la structure doit se donner des objectifs de sécurité informatique en
fonction de l’étape précédente. Ces objectifs permettent de dresser un cahier des charges,
lequel doit aider à imaginer des mesures de traitement des risques cyber.
La méthode de conceptualisation de ces mesures proposée par ISO 27005 consiste à

confronter le risque à son coût de traitement. Quatre possibilités se dégagent alors :
-refus ou évitement : trop grave, le cyberisque doit à tout prix être évité. La structure renonce
ainsi, par exemple, à continuer l’activité susceptible de le provoquer ;
-transfert : l'organisation partage le risque avec un tiers - assurance ou sous-traitant en
cybersécurité - capable de la protéger du risque, au moins financièrement ;
-réduction : on imagine des mesures pour réduire l’impact ou l’éventualité du risque, et le

rendre ainsi plus tolérable ;
-conservation : le risque est supportable, on choisit de ne pas adresser le risque, jugé trop peu
menaçant.
Chaque option sous-tend un risque résiduel, qui doit systématiquement être évalué. Lorsque
ce dernier n’est pas pas tolérables, il faudra générer un nouveau traitement du risque et
apprécier l'efficacité de ce traitement. L’équipe fera autannt d’itérations que nécessaires pour
atteindre un niveau satisfaisant aux critéres d’acceptation des risques.
4.3.4 Acceptation des risques
Le but de cette étape est de s’assurer de la cohérence du plan de traitement des risques, avant
sa mise en œuvre. La validation permet une acceptation officielle des mesures proposées,
conformément aux critères de base définis.
Les mesures proposées seront notamment acceptées si les risques résiduels qui en découlent
ne dépassent pas les seuils de tolérance fixés par l’organisation. Dans le cas contraire,
l’organisation peut néanmoins décider d’accepter une mesure comportant des risques
résiduels qui dépassent le seuil de tolérance, si les bénéfices associés sont très avantageux.
Une révision des seuils de tolérance est parfois nécessaire s’ils sont inadaptés. Les décisions
de traitement non conformes doivent être commentées et justifiées.
À l’issue de cette étape, le plan est soumis à l’approbation de la haute direction.
4.3.5 Communication relative aux risques
Le but de cette phase est de tirer profit, de manière officielle, de l’expérience acquise dans la
gestion des risques de sécurité de l’information.
La communication des risques consiste à échanger l’information sur les risques, notamment à
propos de leur existence, leur probabilité d’apparition, leur gravité, etc.
Elle doit se faire en l’interne et, dans certains cas, entre plusieurs organismes. L’information
communiquée peut être considérée comme étant confidentielle et doit donc être traitée avec
les précautions nécessaires.
Par exemple, le fait de communiquer, au sein de l’organisme, les risques liés à l’emploi de
messageries externes (p. ex. Yahoo, Google, etc.) lors de l’envoi de courriels permet de
sensibiliser les employés aux dangers et aux conséquences liés à cette utilisation non
recommandée en milieu de travail (p. ex. risque de fuite d’information, interception illicite
des messages, etc.).
4.3.6 Surveillance et réexamen des risques
Les risques ne sont pas statiques. Ils évoluent, tout comme les menaces, les vulnérabilités, la
probabilité de leur apparition et leurs impacts. Une revue des risques sur une base régulière
est donc nécessaire afin d’inclure, s’il y a lieu, les nouveaux risques, de s’assurer qu’aucun
risque n’est négligé ou sous- estimé et que le contexte, les résultats de l’analyse des risques de
même que les traitements des risques restent adaptés aux circonstances actuelles.
La revue des risques s’effectue au niveau des facteurs de risques (valeurs des actifs, menaces,
vulnérabilités, impacts et probabilité d’apparition) et de la gestion des risques (contexte,
analyse des risques, traitement des risques et mise en place des mesures de sécurité).
L’objectif de cette revue est le suivant :
Pour les facteurs de risques :
 identifier les changements qui surviennent dans l’organisation (par exemple, une
réorganisation peut changer l’efficacité d’un contrôle précédemment mis en place);
 identifier les risques considérés comme étant faibles, mais qui pourraient évoluer vers
un niveau élevé (par exemple, autrefois, une fuite d’information pouvait provenir
presque exclusivement du personnel, mais aujourd’hui, elle peut provenir de
l’extérieur);
 identifier les nouvelles menaces (par exemple, l’utilisation de nouvelles technologies
peut permettre des actions qui n’étaient pas possibles auparavant et qui sont donc non
contrôlées).
Pour la gestion des risques :
 évaluer la pertinence des risques et leur adéquation avec les traitements (par exemple :
A-t-on toujours besoin d’un pare-feu ou les nouvelles mesures mises en place par de
tierces parties ont- elles une influence sur notre sécurité?);
 évaluer la disponibilité de l’information nécessaire à la gestion des risques (par
exemple : Cette information est-elle stockée en lieu sûr? Est-elle corrigée? Est-elle à
jour?);
 identifier de nouveaux risques ou la prédominance d’anciens risques résiduels.
Ce chapitre nous a permis d’apporter un éclaircissement par rapport à la norme ISO 27005
et au processus qu’elle propose. Ainsi dans le chapitre suivant, nous procéderons à
l’application de ce processus à notre cas, celui de la Banque de l’Habitat du Sénégal.
CHAPITRE 5 : MISE EN ŒUVRE DU PROGRAMME DE GESTION
DES RISQUES DE LA BHS
5.1 Établissement du contexte
5.1.1 Considérations générales
La Banque de l’Habitat du Sénégal (BHS) est une société anonyme avec conseil
d’administration, au capital de dix milliards cinq cents millions (10.500.000.000) de francs
CFA. Créée en 1979 par l’État du Sénégal, elle a démarré ses activités en mars 1980 avec
comme domaine d'activité principal le financement de l'immobilier, en accession à la
propriété, avec une priorité pour le logement social.
En démarrant ses activités en 1980 sur un seul site, la BHS se focalisait sur un seul produit : le
financement des promoteurs et des acquéreurs d’habitats sociaux comme résidence principale,
dans un environnement de fortes tensions foncières. Aujourd’hui, elle est leader en ce qui
concerne la mise en place de prêts immobiliers avec une part de marché de 70%. En parallèle,
profitant de la libéralisation de l’activité bancaire au Sénégal, BHS a entrepris une évolution
de son modèle d’affaires afin de devenir à terme une banque universelle. La BHS compte
aujourd’hui dans son portefeuille de clients des particuliers du secteur parapublic, des agents
du secteur public ou privé, des promoteurs et des coopératives. Elle offre à ses clients tous les
produits de base d’une banque classique: comptes courants, comptes d’épargne, dépôts à
terme, crédits court, moyen et long termes, opérations sur devises, virements interbancaires et
transferts internationaux, cartes bancaires, mobile Banking, e-Banking…
Elle a donc pour mission de favoriser le développement de l'habitat social par la mise en place
d’un système de financement adéquat au profit des promoteurs immobiliers, des coopératives
d’habitat et des particuliers.
La Banque de l’Habitat du Sénégal fonctionne selon/présente une structure divisionnaire avec

un effectif de 343 agents réparti dans un réseau de 25 agences réparties sur le territoire
national et des filiales à l’international (Paris et États Unis). Ce réseau est en constante
expansion afin de rapprocher la banque de ses clients en améliorant l’accessibilité, la
communication et la rapidité dans la prise de décision
Au niveau de la banque, l’information a une valeur de travail, une valeur légale,

contractuelle, corroborative et a un niveau de confidentialité variable.
Les documents sont traités différemment selon ces critères. L’information est l’actif essentiel
et ne doit pas être disséminée, elle a un coût. Les moyens investis sont énormes en termes de
personnes, informatique ou contrôles. La loi et les règlements doivent être respectés et
l’information doit être juste. Pour mener à bien ses activités et être en règle, la Banque de
l’Habitat du Sénégal doit disposer d’un système d’information fiable, performant pour
répondre aux besoins du marché et atteindre ses objectifs stratégiques, mais également
sécurisé conformément aux exigences réglementaires et normes du secteur.
Dans ce sens, elle s’est inscrite dans une dynamique de maitrise de l’ensemble des risques
informatiques induits par l’évolution technologique permanente et le processus de
transformation digitale en cours.
Elle s’est ainsi lancée dans un projet de mise en place d’un programme de gestion des risques
informatiques selon version 2018 de la norme ISO/IEC 27005 afin d’atteindre les objectifs
suivants :
-La conformité avec les lois et réglementations
-Avoir les prérequis pour la mise en place d’un plan de continuité d’activité et de réponse aux
incidents
-Avoir une meilleure visibilité et une maitrise sur ses risques
Cette dynamique nécessite la mise en place d’un programme de gestion des risques
informatiques suivant la norme de référence en matière de gestion des risques liés à
l’information, ISO 27005. Ce programme couvrira l’ensemble du système d’information de la
BHS.
5.1.2 Domaine d’application et limites du programme
Pour notre projet, le choix du périmètre d’étude est porté sur l’ensemble du système
d’information de la banque de l’habitat du Sénégal. Cependant, pour des raisons de sécurité
liées à la confidentialité des informations internes à la banque, les travaux effectués ainsi que
les résultats obtenus dans le cadre de ce travail n'ont pas été entièrement exposés dans le
présent rapport.
Selon ISO/IEC 27005, les organismes sont tenus de déterminer et maintenir l’organisation et
les responsabilités relatives au processus de gestion du risque en sécurité de l’information.
Les principaux rôles et responsabilités de cette organisation sont les suivants :
– l’élaboration du processus de gestion du risque en sécurité de l’information adapté à

l’organisme,
– l’identification et analyse des parties prenantes,
– la définition des rôles et des responsabilités de toutes les parties, à la fois internes et
externes à l’organisme,
– l’établissement des relations entre l’organisme et les parties prenantes, des interfaces avec
les fonctions de gestion de risque de haut niveau de l’organisme (par exemple, gestion du
risque opérationnel) ainsi que des interfaces avec d’autres projets ou activités, si cela est
pertinent,
– La détermination des processus d’escalade,
– La spécification des différents livrables à conserver.
Il convient que cette forme organisationnelle soit approuvée par les dirigeants concernés au
sein de l’organisme.
Pour notre projet, les rôles et responsabilités sont répartis comme suit :
Tableau 3 : Rôles et responsabilités de l’équipe projet
Rôles et responsabilités Directeur RSSI Service

informatique
Définir le cadre de la gestion des risques A R I
Préparer les critères de base A R/A R/I/A
Identifier les biens I R R
Identifier les menaces et vulnérabilités I R R
Apprécier les risques I R
Formaliser les mesures de sécurité à mettre A R C
en œuvre
Mettre en œuvre les mesures de sécurité I R,I R,C
"R" = Responsable de la mise en œuvre de l’activité,
"A" = Autorité légitime pour approuver l’activité,
"C" = Consulté pour obtenir les informations nécessaires à l’activité,

"I" = Informé des résultats de l’activité.
5.1.3 Critères d’évaluation
Les critères et échelles suivantes ont été choisi en concertation avec les entités concernées en
fonction de facteurs internes et externes, ainsi que des objectifs visés par ce projet.
Tableau 4 : Probabilité d’occurrence du risque
Échelle Description Score
(> 50% sur 1 an)

Très
Probable Plus d’une chance sur deux que le risque se concrétise dans l’année. Le 4
risque survient au moins une fois tous les 2 ans.
(10 à 50% sur 1 an)
Probable Entre une chance sur 10 et une chance sur 2 que le risque se concrétise 3
dans l’année. Le risque survient en moyenne tous les 2 à 10 ans
(1 à 10% sur 1 an)
Possible Le risque a entre 1 et 10% de chance de se produire dans l’année. Le 2

risque survient en moyenne une fois tous les 10 à 100 ans
(<1%) sur 1 an)

Peu
Moins d'une chance sur 100 de voir le risque se concrétiser dans 1
Probable
l'année
Tableau 5 : Échelle des impacts sécurité (DICT)
Tableau 6 : Échelle des impacts métiers (OFIJ)
Tableau 7 : Échelle du risque brut
Tableau 8 : Échelle du risque net
Tableau 9 : Interprétation de la valeur du risque net
Le seuil d’acceptation du risque est fixée à la valeur 9.
52
5.2 Appréciation des risques
L’idenfication des risques est l’étape fondamentale car permettant de déterminer les
événements susceptibles de se produire occasionnant une perte.
Notre démarche sera la suivante : dans un premier temps, nous réaliserons le classement des
actifs suivi de l’analyse du risque à travers une cartographie des risques. Après cela, le
traitement des risques sera présenté grâce à un tableur des risques avant de passer à la
communication et la revue des risques.
5.2.1 Identification et classement des actifs
Un actif désigne tout élément ayant de la valeur pour l’organisme et nécessitant, par
conséquent, une protection. Dans un premier temps, la liste des actifs est établie par l’équipe
de la direction des services informatiques et complétée grâce à des entretiens avec des
employés à des postes stratégiques. Il est important de lister tous les actifs et d’en regrouper
certains au besoin en fonction de plusieurs critères tels que leurs fonctions, leur nature…
On distingue deux types d’actifs :
-les actifs primordiaux (informations, processus et activités métier), ce sont les plus
importants à prendre en compte lors de l’analyse des risques. Ils sont classés en deux
sous-catégories :
 les processus (ou sous processus) et activités métier : ce sont les processus dont
la perte ou la dégradation rend impossible la réalisation de la mission de
l'organisme ou qui, s’ils sont modifiés, peuvent considérablement affecter
l’accomplissement de la mission de l’organisme. À ceux-ci, s’ajoutent les
processus qui sont nécessaires à l'organisme pour être conforme aux exigences
contractuelles, légales ou règlementaires
 les informations primordiales qui regroupent les informations vitales pour

l’exercice de la mission l’organisme, les données considérées personnelles par
la commission des données personnelles,
-les actifs en support (sur lesquels reposent les actifs primordiaux du domaine
d'application: matériel, logiciels, réseau, personnel, site, structure de l’organisme)
53
Ensuite, ces actifs sont classés selon plusieurs critères. Nous avons ici choisi de les classer
comme ci-dessous :
Capture 1: Classification des actifs (1)
54
Capture 1: Classification des actifs (2)
Nous avons dénombré 134 actifs dont 121 actifs supports et 13 primordiaux. Ces actifs ont
été classé en 8 catégories :
-Serveurs physiques
-Serveurs virtuels
-Applications
-Équipements réseaux (Switchs, routeurs, antennes, box wifi)
55
-Personnel
-Données de cartes
-Processus
-Locaux (site)
Après classification des actifs, nous passons à la réalisation d’une cartographie des risques qui
couvriva l’identification, l’analyse et l’évaluation des risques.
5.2.2 Analyse des risques
L’approche choisi étant celle basée sur les scénarios de risques, nous allons donc après avoir
recensé les actifs, identifier et analyser les risques pouvant affecter ces différents actifs.
Nous avons choisie de faire une cartographie des risques conformément à l’article 9 de la
circulaire numéro 4 émise par la BCEAO. Elle permettra d’ avoir une vue plus optimale et
globale sur les différents scénarios de risques et leurs différents facteurs et conséquences. Elle
sera renseigné grâce aux critères précedemment définis, aux informations obtenues par des
entretiens et grâce à des calculs.
Nous créons et remplissons donc une macro Excel avec les colonnes suivantes :
Capture 2: Composantes de la cartographie des risques
-scénario de risque : il s’agit de faire une brève description du scénario de risque.
56
-référence : un code de référencement est donnée au scénario en fonction du type de risque,
par exemple pour un risque de compromission de fonctions, nous aurons le code
COMPINF01.
-actifs concernés : nous recensons les différents actifs pouvants êtres affectés si le scénario de
risque se réalise.
-vulnérabilités : L’identification des vulnérabilités est réalisée grâce à des entretiens et

séances de brainstorming principalement pour ce qui concerne les vulnérabilités
organisationnelles (mauvaise gestion des droits d’accès ou pratiques du personnel).
Concernant les vulnérabilités techniques, il existe un ensemble d’outils de test, d’audit et de
scanneurs de vulnérabilités. Dans notre cas, par soucis de sécurité, nous nous sommes basés
sur des entretiens avec les responsables de la sécurité de l’information.
-potentialité d’occurrence : c’est la probabilité d’occurrence du risque, la valeur est définie

par les propriétaires des actifs ainsi que les responsables de la sécurité du systèmee
d’information.
-conséquences : il s’agit d’une description des effets du risque sur le système d’information.
-impact sécurité (disponibilité, intégrité, confidentialité, auditabilité) : pour chaque critère,

une valeur est affecté, cette dernière peut être nulle car un risque n’a pas forcément d’impact
sur tous les critères. Pour certains scénarios, seule la confidentialité de l’actif sera affecté,
pour d’autres les quatres critères, et ainsi de suite.
-score impact sécurité (DICA) : il correspond ici à la moyenne arrondie des valeurs des
impacts de sécurité.
-impact métier (organisation interne, financier, image, juridique) : comme pour l’impact
sécurité, une valeur est affectée à chaque critère.
-score impact métier (OFIJ) : il correspond à la moyenne arrondie des valeurs des impacts
métiers.
-sévérité : la sévérité correspond ici à la moyenne arrondie des scores impacts métiers et
sécurité. Cependant, l’impact sécurité étant plus important au vu de nos objectifs, ce dernier
sera pondéré à la valeur 3, tandis que le score impact métier sera pondéré à 1.
Sévérité= (score impact métier + 3*score impact sécurité)/2
57
-valeur du risque brut : elle est déterminé par la combinaison de la probabilité et de la
sévérité.
Risque brut= probabilité x sévérité
-mesures existantes : il s’agit ici de recenser les différentes mesure de sécurité afférents au
scénario de risque indépendamment de leur état de déploiement. Nous les avons recueillis
grâce à des revues documentaires et des entretiens avec les responsables de la sécurité du
système d’information ainsi que les propriétaires des actifs.
-degré de maitrise du risque : il est estimé par les parties prenantes en fonction du degré
d’efficacité des mesures existantes.
-risque net :il correspond à la combinaison du risque net et du degré de maitrise du risque.
Après avoir rempli le tableau, des codes couleurs sont appliqués aux cellules correspondant
aux valeurs du risque net, en se basant sur le tableau d’interprétation du risque net. Cela
permet d’avoir une idée sur l’importance du risque.
Ce travail nous a permis d’identifier 66 risques parmis lesquels 22 sont des risques faibles, 8
des risques significatifs, 29 des risques critiques et 7 des risques très critiques. L’objectif de la
phase suivante, à savoir la phase de traitement de ces risques sera de définir un traitement
adéquat à chaque risque.
58
Capture 3 : Cartographie des risques
59
5.3 Traitement des risques
Connaissant le niveau de risque de chaque scénario de risque ainsi que le degré de
maitrise et les mesures existantes, il faut décider de la manière dont les risques vont être
traités. Quatre options sont possibles :
-réduire qui consiste à modifier le risque en mettant en place un contrôle pour réduire la
probabilité qu'il se produise ou limiter son impact.
-éviter le risque en cessant toute activité qui lui est lié. Cette réponse est appropriée si le
risque est trop important pour être géré par un contrôle de sécurité.
-transférer le risque à un tiers en confiant les contrôles de sécurité à une autre organisation ou
en souscrivant une assurance afin de disposer des fonds nécessaires pour réagir de manière
appropriée en cas de catastrophe.
-conserver : cela signifie que la banque accepte le risque et estime que le coût de son
traitement est supérieur aux dommages qu'il pourrait causer.
Nous avons choisi d’illustrer le traitement du risque à travers une cartographie avec les
paramètres suivants :
Capture 4 : Composantes du tableur de traitement des risques
L’onglet risque résiduel actuel est renseigné en se basant sur l’appréciation des risques
précédemment réalisé. L’option de traitement correspond à la décision prise par le comité.
Ensuite, en fonction de l’option choisi (réduire, éviter, transférer ou accepter), la cellule des
mesures de traitement du risque est renseignée. En effet, toute option choisie est accompagné
des mesures de mise en œuvre pratiques.
57
Ces actions à poser influent sur les paramètres tels que la probabilité et la sévérité. On
renseignera donc ces dernières en fonction du niveau de risque ciblé par les mesures de
traitement du risque.
L’efficacité ciblée du DMR correspond au degré de maitrise du risque que l’on devrait
atteindre après avoir effectué les mesures prises pour le traitement du risque. Le degré de
maitrise du risque ayant changé, le risque résiduel évolue à son tour. Ce dernier est apprécié à
avant que l’on ne décidé du traitement à appliquer par la suite sur ce risque résiduel cible. Il se
peut que ce dernier ne soit pas satisfaisant, une nouvelle itération sera donc faite jusqu’à
obtention d’un niveau satisfaisant ou modification des critères et seuils, cela dépendra du
comité décisionnaire : c’est la phase d’acceptation du risque.
Figure 10: Illustration de la démarche itérative
58
Un aperçu des résultats obtenus du traitement des risques est illustré sur la capture suivante :
Capture 5 : Traitement des risques
Un tableau de plan de traitement des risques est également réalisé afin de faciliter le suivi et la
réalisation des mesures prises. Pour chaque risque, les actions à poser ainsi que le/les
responsable/s sont inscrits, en plus de la date limite d’exécution et de l’état d’avancement :
Capture 6: Plan de traitement des risques
59
5.4 Communication relative aux risques
Après avoir établi le plan traitement du risque, la communication doit être établie de
manière à ce que chaque employé ait conscience de ses responsabilités et de ce qui est attendu
de lui. Il est nécessaire de tenir un registre de la manière dont les risque sont traités et
informer toute personne susceptible d'en être affectée. Par exemple, si une réduction sur le
risque de détournement de certains documents sensibles est faite en appliquant des contrôles
d'accès, il faut en informer les employés concernés.
Ce qui est important, c’est que la communication soit capable de transmettre un résumé clair
de la philosophie de gestion des risques pour l’entreprise et pour chaque membre de
l’organisation dans le cadre du programme de management des risques. Cela peut être
accompli avec l’utilisation de divers médias. La banque peut choisir d’utiliser des manuels,
des notes de service, des vidéos, conférences ou des présentations. Tout cela doit faire partie
de la communication interne mais aussi de la communication externe à double sens entre
l’entreprise, ses clients, ses fournisseurs et l’ensemble des acteurs pouvant avoir un rôle à
jouer dans l’atteinte des objectifs de la banque.
5.5 Surveillance et réexamen des risques

Les risques ne sont pas statiques. Les menaces, les vulnérabilités, la vraisemblance ou
les conséquences peuvent changer brutalement sans aucune indication préalable. Par
conséquent, une surveillance constante est nécessaire pour détecter ces changements (les
nouveaux actifs ayant été inclus dans le domaine d’application de la gestion du risque, les
nouvelles menaces et vulnérabilités susceptibles d’être actives à la fois à l’intérieur et à
l’extérieur de l’organisme et qui n’ont pas été appréciées, les incidents liés à la sécurité de
l’information, etc.).
Une surveillance et un réexamen permanents sont nécessaires pour garantir que le contexte,
les résultats de l’appréciation et du traitement du risque, ainsi que les plans de gestion, restent
adaptés aux circonstances.
60
Nous la réalisons, tout comme pour l’appréciation et le traitement des risques, sous forme de
tableau Excel :
Capture 7: Surveillance et revue des risques de l’année 2022
Dans ce dernier chapitre, nous avons expliqué et appliqué notre démarche de mise en place
d’un programme de gestion des risques basée sur la version 2018 de la norme ISO 27005 pour
la Banque de l’Habitat du Sénégal. Ce travail a permis réduire drastiquement les niveaux de
risques, les résultats obtenus ont été résumés dans le tableau suivant qui facilitera grandement
le suivi au niveau des instances décisionnaires et qui démontre l’utilité et l’importance de la
mise en place d’un programme de gestion des risques :
Capture 8: Évolution du nombre de risques
61
Capture 9: Répartition initiale des risques
Capture 10: Répartition des risques après traitement
Tout au long de ce présent chapitre, nous avons mis en place un programme de gestion des
risques avec des outils et représentations permettant à l’opérationnel tout comme au
décisionnaire d’avoir une idée sur l’état actuel des risques menaçant la banque de l’habitat du
Sénégal.
62
CONCLUSION
La protection du système d’information est au cœur des préoccupations de la banque de

l’habitat du Sénégal car les technologies de l’information sont en constante évolution et le
volume d’information produite, enregistrée et échangée à chaque année s'accroît de plus en
plus. C’est en relation directe avec cette évolution que la gestion des risques est devenue une
pratique incontournable en matière de gouvernance de la sécurité de l’information. Elle ne
doit pas être perçue comme une contrainte, mais comme un défi qu’il faut constamment
relever. Ainsi, l’objectif de notre travail était de répondre aux questions : Quels sont les
principaux risques auxquels la banque est confrontée ? Quels pourraient être leur impact ?
Quelle est le traitement adéquat pour chacun de ces risques ?
En réponse à̀ ces interrogations, nous avons dans un premier temps étudié la gestion des
risques puis développé la démarche proposée par la norme ISO 27005 avant de présenter
notre travail de mise en place d’un programme de gestion des risques toujours basé sur la
norme ISO 27005.
La BHS est consciente de l’importance d’une bonne gestion des risques de sécurité de
l’information; toutefois, les résultats de cette étude indiquent que des efforts doivent encore
être consentis quant à la sécurisation de son système d’information.
Comme dans toute œuvre scientifique, des difficultés ont été rencontrées à plusieurs étapes au
cours de l’élaboration de ce mémoire et dont les plus importantes sont liées à la collecte des
informations et au caractère sensible des résultats obtenus qui n’ont pas pu être restitués
totalement dans ce document.
En continuité de notre analyse, il serait intéressant de se pencher sur l’élaboration d’un plan
de continuité et de reprise des activités de la BHS
63
BIBLIOGRAPHIE
[B1] ISO/IEC 27005, Technologies de l'information — Techniques de sécurité — Gestion du

risque en sécurité de l'information, 2018.
[B2] ISO/IEC 27001, Technologies de l’information— Techniques de sécurité— Systèmes de

management de la sécurité de l’information— Exigences, 2018..
[B3] ISO 31000, Management du risque-Lignes directrices, 2018.
[B4] Institut de l’audit interne, Étude du Processus de Management et de Cartographie des

Risques, Paris, IFACI, 2003, 90 PAGES.
[B5] BCEAO, Recueil des textes légaux et réglementaires régissant l’activité bancaire et
financière dans l’Union Monétaire Ouest Africaine Volume 1 : textes de base et d’application,
2016, 175 pages
[B6] BCEAO, Recueil des textes légaux et réglementaires régissant l’activité bancaire et
financière dans l’Union Monétaire Ouest Africaine Volume 1 : textes de base et d’application,
2016, 175 pages.
[B7] M. BEHLOULI, Mémoire de fin d’étude en Master SSI sur le thème : « Planification
d’un Système de Management de la Sécurité de l’Information selon la famille des normes ISO
2700X» , Université Saad Dahlab, année universitaire : 2018/2019, 87 pages.
[B8] M. Elhadji Mouhamadou Lamine DRAME, Cours de gestion des risques et plan de
continuité des activités de l’ESMT, Année universitaire 2021-2022, 69 pages.
A
WEBOGRAPHIE
[W1] https://www.c-risk.com/fr/blog/iso-27005/, consulté le 12/09/2022 à 13:48 :

informations sur la présentation de la norme ISO 27005.
[W2] https://dumas.ccsd.cnrs.fr/dumas-00530237/document , consulté le 03/09/2022 à 09:33 :

informations sur la méthodologie OCTAVE.
[W3], https://www.bceao.int/sites/default/files/2017-11/ch3chapitre_3_-
_reglementation_relative_au_systeme_de_partage_d_information_sur_le_credit.pdf, consulté
le 12/09/2022 à 19:09 : informations relative aux exigences de la BCEAO pour les systèmes
d’informations.
[W4]
http://pfmh.uvt.rnu.tn/276/1/Mise_en_oeuvre_d’un_système_de_management_de_la_sécurité
_de_l’information_(SMSI)_au_sein_de_l’Ambassade_du_Royaume_du_Maroc_à_Tunis.pdf,
consulté le 4/10/2022 à 10:21 : informations relatives aux liens entre les normes ISO 27005 et
ISO 27001.
[W5] https://help.highbond.com/helpdocs/highbond/fr/Content/strategy/assessment/
assessing_risk.htm, consulté le 23/10/2022 à 11:45 : informations relatives à la norme ISO
31000.
B
ANNEXE
Annexe 1 : Cartographie des risques
Capture 11: Cartographie des risques (1)
C
D
E
Annexe 2 : Traitement des risques
Capture 14: Traitement des risques (1)
F
G
H
Annexe 3 : Plan de traitement des risques
Capture 17: Plan de traitement des risques (1)
I
TABLE DES MATIERES
INTRODUCTION
CHAPITRE 1 : PRESENTATION GENERALE.................................................................. 2
1.1 PRÉSENTATION DE LA STRUCTURE D’ACCUEIL..................................................................2

1.1.1 Historique………………………………………………………………………..2
1.1.2 Missions……………………………………………………………..…………...3
1.1.3 Organisation et structure actionnariale…………………………………….....5
1.2 PRÉSENTATION DU SUJET....................................................................................................7
1.2.1 Contexte et problématique……………………………………………………..7
1.2.2 Objectifs………………………………………………………………...…….....7
1.2.2.1 Objectif général……………………………………………………….7
1.2.2.2 Objectifs spécifiques…………………………………………………..8
1.2.3 Choix et intérêt du sujet………………………………………………………..8
1.2.4 Méthodologie…………………………………………………………………....8
CHAPITRE 2 : GÉNÉRALITÉS SUR LA SÉCURITÉ DE L’INFORMATION..............9
2.1 TERMES ET DÉFINITIONS.....................................................................................................9

2.2 LES CRITÈRES DE LA SÉCURITÉ DES SYSTÈMES D’INFORMATIONS.................................10
2.2.1 La confidentialité………………………………………………………………11
2.2.2 L'intégrité………………………………………………………………………11
2.2.3 La disponibilité………………………………………………………...………11
2.2.4 La traçabilité…………………………………………………………………...11
2.3 CADRE NORMATIF DE MANAGEMENT DE LA SSI.............................................................12
2.4 LES TYPES DE MENACES...................................................................................................13
CHAPITRE 3 : LA GESTION DES RISQUES...................................................................17
3.1 MOTIVATIONS DE LA GESTION DES RISQUES....................................................................17

3.2 AVANTAGES DE LA GESTION DES RISQUES.......................................................................19
J
3.3 LES RÉFÉRENTIELS DE GESTION DES RISQUES.................................................................20
3.3.1 EBIOS..………..……………..……………..……………..……………..……. 19
3.3.2 OCTAVE.………..……………..……………..……………..……………..…..21
3.3.3 MEHARI ………………………………………………..……………………..23
3.4 NORMES ASSOCIÉES À LA GESTION DES RISQUES………………………...…25
CHAPITRE 4 : LA NORME ISO/IEC 27005 :2018............................................................30
4.1 PRÉSENTATION DE LA NORME................................................................................30
4.2 STRUCTURE DE LA NORME................................................................................................31
4.3 PROCESSUS DE GESTION DES RISQUES SELON ISO 27005...............................................33

4.3.1 Établissement du contexte ……………………………………………………33
4.3.2 Appréciation des risques ……………………………………………….……..34
4.3.2.1 Identification des risques …………………………………………...34
4.3.2.2 Analyse des risques ………………………………………….…...….37
4.3.2.3 Évaluation des risques ………………………………………….......38
4.3.3 Traitement des risques ………………………………………………………..38
4.3.4 Acceptation des risques …………………………………………………….…39
4.3.5 Communication relative aux risques ………………………………………...39
4.3.6 Surveillance et réexamen des risques ………………………………….…….40
CHAPITRE 5 : MISE EN ŒUVRE DU PROGRAMME...................................................43
5.1 ÉTABLISSEMENT DU CONTEXTE........................................................................................43

5.1.1 Considérations générales ……………………………………………………..42
5.1.2 Domaine d’application et limites du programme …………………………..43
5.1.3 Critères d’évaluation …………………………………………………………45
5.2 APPRÉCIATION DES RISQUES……………………………………………………49
5.2.1 Identification et classement des actifs…………………………………;……49
5.2.2 Analyse des risques……………………………………………………………51
5.3 TRAITEMENT DES RISQUES……………………………………………………....55
K
5.4 COMMUNICATION RELATIVE AUX RISQUES…………………………………58
5.5 SURVEILLANCE ET RÉEXAMEN DES RISQUES……………………………….58
CONCLUSION....................................................................................................................... 63
BIBLIOGRAPHIE…………………………………………………………………………...A
WEBOGRAPHIE…………………………………………………………………………….B
ANNEXE………………………………………………………………………………….…..C
L
École Supérieure Multinationale des Télécommunications
Mémoire de fin de formation pour l’obtention du diplôme
de Master 2 en Sécurité des Systèmes d’Information
Rédigé par : Mlle DIA Maïmouna
Thème : Mise en place d’un programme de gestion des risques informatiques selon la norme
ISO/IEC 27005 : cas de la BHS
Sous la supervision de : M. DRAME El Hadji M. Lamine, Enseignant vacataire à l’ESMT

& M. GUEYE Youssou, responsable de la sécurité du système
d’information à la BHS
Les banques sont des institutions financières où le risque est omniprésent. Le moindre
incident pourrait paralyser une bonne partie des activités de la banque et donc impacter
financièrement ou encore sur la réputation de la banque. Ceci est dû à la nature même de leurs
activités. En effet, les données bancaires sont devenues l’une des cibles préférées des
cybercriminels de par leur potentiel.
Les responsables de la sécurité doivent donc être en mesure d’anticiper et d’évaluer l’impact
des évolutions sur leur activité en mettant en place une politique d’analyse des risques et un
plan d’action pour les contrer. L’objectif de notre travail est de mettre en place un programme
de gestion des risques informatiques qui permettra à la banque de mieux gérer ses risques car
ayant désormais une vue plus globale sur ces derniers. Cette capacité de la BHS à maîtriser
ses risques potentiels constituera à long terme un avantage concurrentiel. La norme ISO/IEC
27005 ayant été choisi pour ce projet, nous nous sommes documentés et avons mené des
entretiens avec les entités concernées avant de proposer une solution en phase avec la norme
de référence.
La réalisation de ce travail de recherche pour le mémoire nous a permis de comprendre

l’enjeu qui se trouve dans une gestion des risques efficace plus particulièrement dans le
secteur bancaire africain, mais également de mieux comprendre la norme ISO/IEC 27005 et
d’être en mesure de l’appliquer dans plusieurs domaines.

Memoire Maimouna Fin 01122022

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Memoire Maimouna Fin 01122022

Transféré par

Droits d'auteur :

Formats disponibles

SYSTÈMES D’INFORMATIONS

MISE EN PLACE D’UN PROGRAMME DE GESTION DES RISQUES

Sous la direction de :

Enseignant à l’ESMT Mme. DIA Maimouna

Promotion 2020 - 2022

À ma petite sœur Bator, aucune dédicace ne peut exprimer ma profonde affection et ma

Après avoir rendu grâce à Dieu et prié sur le prophète (PSL),

Je voudrais tout d’abord adresser toute ma reconnaissance à mes directeurs de mémoire :

-Monsieur DRAMÉ El Hadji Mouhamadou Lamine pour sa disponibilité, sa réactivité, sa

Je tiens également à témoigner ma gratitude à Mlle GBENOU Amarya, assistante de

Je ne saurais terminer sans exprimer ma profonde gratitude à l’ensemble de l’équipe DSI de la

Ce sujet a pour but d’offrir aux dirigeants et responsables informatiques de la Banque de

Ce document constitue mon second travail de recherche académique. Cependant, il est à̀

AMDEC: Analyse des Modes de Défaillances, de leurs Effets et de leur Criticité.

Tableau 1 : Produits et services proposés par la BHS……………………………………….…4

Figure 1: Organigramme de la BHS ……………………………………………………..……5

Capture 1: Classification des actifs…………………………………………………..……….51

CHAPITRE 1 : PRESENTATION GENERALE..............................................................2

1.1 PRÉSENTATION DE LA STRUCTURE D’ACCUEIL...............................................................................2

CHAPITRE 2 : GÉNÉRALITÉS SUR LA SÉCURITÉ DE L’INFORMATION.............9

2.1 TERMES ET DÉFINITIONS...................................................................................................................9

CHAPITRE 3 : LA GESTION DES RISQUES...............................................................17

3.1 MOTIVATIONS DE LA GESTION DES RISQUES.................................................................................17

CHAPITRE 4 : LA NORME ISO/IEC 27005 :2018............................................................30

4.1 PRÉSENTATION DE LA NORME......................................................................................................30

4.2 STRUCTURE DE LA NORME..............................................................................................................31

4.3 PROCESSUS DE GESTION DES RISQUES SELON ISO 27005.............................................................33

CHAPITRE 5 : MISE EN ŒUVRE .....................................................................................43

5.1 ÉTABLISSEMENT DU CONTEXTE......................................................................................................43

Ces dernières années, le pouls économique de l’Afrique s’est accéléré, impulsant au

1.1 Présentation de la structure d’accueil

Créée en 1979 sur l’initiative du gouvernement du Sénégal, la BHS apparait comme

La BHS est devenue une banque universelle en profitant de la libéralisation de

Mobile Banking, e-Banking Pour consultation de compte et recevoir

-Compte d’épargne logement (l’épargne. Tout client futur acquéreur

-Compte d’épargne normal

Comptes de dépôt à Terme Placement fixe ou renouvelable Entreprises, institutions

Particulier Compte courant Clients particuliers

Compte bancaire permettant de

Crédits à la consommation de biens

Crédits immobiliers pour acquisition ou

Tableau 1 : Produits et services proposés par la BHS

L’organigramme de la BHS se présente comme suit :

Figure 1 : Organigramme de la BHS

Depuis 2016, la BHS a entamé une réorganisation structurelle. Une décentralisation du de

Le capital social de la Banque de l’Habitat du Sénégal est de 10.500.000.000 FCFA

LISTE DES ACTIONNAIRES DE LA BANQUE DE L’HABITAT DU SENEGAL AU

Tableau 2 : Liste des actionnaires de la BHS au 17 Septembre 2018

1.2.1 Contexte et problématique

Le système d’information constituant le cœur même de l’activité d’une banque, maîtriser les

Il s’agit donc de répondre aux questions suivantes :

1.2.2.1 Objectif général

1.2.3 Choix et intérêt du sujet

L’approche adoptée pour atteindre nos objectifs repose principalement sur la

2.1 Termes et définitions

Sécurité de l’information : Protection de la confidentialité, de l’intégrité et de la

Système d’information : C’est l’ensemble organisé de ressources (matériel, logiciel,

Sécurité du système d’information : La sécurité des systèmes d’information (SSI) est

Risque : combinaison de la probabilité d'un événement et de ses conséquences (ISO/CEI

Exemples de risques : incendie - inondation - piratage informatique - virus informatique - vol

Exemples de menaces : Infection virale - Incendie - Espionnage - Saturation du SI -

2.2 Les critères de la sécurité des systèmes d’informations

Les solutions de sécurité mises en place afin d’assurer la sécurité du système