Académique Documents
Professionnel Documents
Culture Documents
SÉCURITÉ
THÈME
M. GUEYE Youssou
Responsable de la sécurité du système
d’information de la Banque de l’Habitat du
Sénégal (BHS)
Tous ceux qui ont contribué à notre éducation, à notre formation et à notre réussite et qui ne
sont plus là malheureusement :
BA Amadou Saïdou
KANE Aminata
Un hommage particulier à Pierre DEMBELE, mon binôme, qui a marqué mon passage à
l’ESMT de par sa bienveillance, sa gentillesse, ses précieux conseils et encouragements.
Qu’Allah SWT accueille leurs âmes dans son paradis céleste. Amine.
DEDICACE
Louange à Allah, Le Tout Puissant, qui m’a permis d’achever ce travail et de vivre ce jour
tant attendu.
Je dédie ce mémoire à mes parents, pour l'amour qu'ils m'ont toujours donné, leurs
encouragements et toute l'aide qu'ils m'ont apportée durant mes études.
Aucun mot, aucune dédicace ne pourrait exprimer mon respect, ma considération, et mon
amour pour les sacrifices qu'ils ont consentis pour mon instruction et mon bien-être. Trouvez
ici, cher père et chère mère, dans ce modeste travail, le fruit de tant de dévouements et de
sacrifices ainsi que l'expression de ma gratitude et de mon profond amour. Puisse Dieu vous
accorder santé, bonheur, prospérité et longue vie afin que je puisse, un jour, combler de joie
vos vieux jours.
À mes frères et sœurs, Fatoumata, Ciré, Mouhamed, je vous dédie ce travail pour tous les
sacrifices consentis tout au long de mes années d'études.
À ma meilleure amie, Seynabou Satou SARR, merci de toujours être présente pour moi, d’être
à l’écoute, je te souhaite beaucoup de réussites.
Que Dieu vous apporte le bonheur, la santé et vous offre un avenir plein de succès.
REMERCIEMENTS
-Monsieur GUEYE Youssou, pour son accueil, le temps passé ensemble et le partage de ses
connaissances. Grâce aussi à sa confiance, j’ai pu m’accomplir totalement dans mes missions,
et surtout ses judicieux conseils, qui ont contribué à alimenter ma réflexion.
L’ESMT est une institution multinationale qui a pour vocation de former des diplômés en
licence et master professionnels ainsi que des ingénieurs dans les domaines techniques et
managériaux des télécommunications. Elle accueille en formation initiale ou continue des
stagiaires qui proviennent de l’ensemble des pays francophones d’Afrique, recrutés au niveau
des universités ou directement chez les opérateurs de télécommunications. L'enseignement est
composé de cours théoriques et de stages en entreprise afin de permettre aux étudiants de se
familiariser avec l'environnement qui sera le leur après la formation.
Pour l’obtention du Master en sécurité des systèmes d’information, l’ESMT exige aux
étudiants la rédaction et la soutenance d’un mémoire de fin de cycle. C’est dans ce cadre qu’a
été élaboré ce document qui a pour sujet : Mise en place d’un programme de gestion des
risques de sécurité de l’information selon la norme ISO/IEC 27005 : cas de la BHS.
SOMMAIRE
INTRODUCTION.............................................................................................................1
Pour mener à bien ses activités, la Banque de l’Habitat du Sénégal (BHS) à l’image des autres
banques doit disposer d’un système d’information fiable, performant pour répondre aux
besoins du marché et atteindre ses objectifs stratégiques, mais également sécurisé
conformément aux exigences réglementaires et normes du secteur.
Dans ce sens, elle s’est inscrite dans une dynamique de maitrise de l’ensemble des risques
opérationnels, en particulier de la sécurité de l’information induits par l’évolution
technologique permanente et les processus de transformation digitale.
Cette dynamique nécessite la mise en place d’un programme de gestion des risques de
sécurité de l’information suivant les meilleures pratiques du secteur.
C’est dans ce cadre que la Banque de l’Habitat du Sénégal (BHS) a entamé le projet de mise
en place d’un programme de gestion des risques de sécurité de l’information selon la norme
ISO/IEC 27005 qui constitue le sujet de notre mémoire.
Le présent document s’articule autour de 5 chapitres dont le premier porte sur la présentation
de notre structure d’accueil et de notre sujet. Le second abordera la sécurité de l’information
dans son ensemble. Le troisième, quant à lui, se focalisera sur la gestion des risques. Le
quatrième portera sur la norme ISO/IEC 27005 relative à la gestion du risque en sécurité de
l’information. Enfin, le cinquième consistera en la mise en œuvre du programme de gestion
des risques liés à la sécurité de l’information de la BHS.
CHAPITRE 1 : PRESENTATION GENERALE
Dans ce chapitre, nous présentons notre structure d’accueil qui est la BHS (Banque de
l’Habitat du Sénégal) et également notre sujet.
1.1.1 Historique
1.1.2 Missions
Cartes bancaires Visa électron, Visa Gold, Mastercard, Tout client et en particulier
carte prépayée les clients étrangers ou
voyageurs
Le secteur bancaire africain a été, au cours de la dernière décennie, l’un des plus
dynamiques du monde. Comme toute organisation, les banques produisent de l’information,
celle-ci circule partout que ce soit de manière formelle ou informelle, elle est techniquement
protégée et contrôlée pour en limiter l’accès ou alors expressément divulguée pour des soucis
liés à̀ la transparence ou à la réputation. L’information a de la valeur et sa gestion demande
des efforts en termes de temps et d’argent. Avec l’adoption croissante des technologies de
l’information et de la communication ainsi que la variété des supports, le flux d’échange
informationnel s’est accru au point qu’il n’est pas évident de tout contrôler.
Il existe des normes et référentiels établis par des organes habilités afin d’assurer une sécurité
adéquate de l’information parmi lesquelles ISO/IEC 27005 qui constituera le référentiel de
notre projet de mise en place d’un programme de gestion des risques informatiques.
Quels sont les principaux risques auxquels la banque est confrontée ? Quels pourraient être
leur impact ? Quelle est le traitement adéquat pour chacun de ces risques ?
1.2.2 Objectifs
L’objectif général de notre mémoire est la mise en place d’un programme de gestion des
risques liés à la sécurité de l’information, basé sur la norme ISO/IEC 27005 au sein de la
Banque de l’Habitat du Sénégal.
1.2.2.2 Objectifs spécifiques
Afin d’atteindre notre objectif général, nous nous sommes fixés des objectifs spécifiques qui
sont, entre autres :
-réaliser une analyse du système afin de dégager tous les risques présents et les évaluer
selon des critères bien définis
-apporter la réponse adéquate à ces risques
-établir une cartographie des risques
Nous avons choisi ce sujet en raison de l’intérêt que nous portons à la gestion des risques,
mais également car il constitue un apport considérable pour notre plan de carrière.
1.2.4 Méthodologie
Au cours de ce chapitre, nous avons présenté la Banque de l’Habitat du Sénégal ainsi que
notre sujet à travers la problématique, les objectifs et la méthodologie choisie. Nous allons à
présent traiter les généralités sur la sécurité de l’information.
CHAPITRE 2 : GÉNÉRALITÉS SUR LA SÉCURITÉ DE
L’INFORMATION
Ce second chapitre porte sur les généralités liées à la sécurité de l’information que
nous traiterons en définissant les termes de bases, puis les critères avant de passer au cadre
normatif.
Il est nécessaire de préciser qu’il est ici question de sécurité de l’information au sens large du
terme, c’est-à-dire que nous ne parlerons pas seulement de sécurité informatique. Nous nous
intéressons à l’information sous toutes ses formes, indépendamment de son support (logiciel,
matériel, papier, humain…).
Actif : un actif désigne tout élément ayant de la valeur pour l'organisme et nécessitant, par
conséquent une protection (ISO/IEC 27005 article 8.2.2).
Le risque : effet de l’incertitude sur l’atteinte des objectifs (ISO 31000 2.1). [B3]
Note : Un effet est un écart, positif et/ou négatif, par rapport à une attente.
Le risque lié à la sécurité de l'information est la possibilité qu'une menace donnée exploite
une vulnérabilité d'un actif ou d'un groupe d'actifs et nuise donc à l'organisation. (ISO/CEI
27000:2009(F) 2.24).
Gérer les risques de sécurité des SI c’est anticiper le futur concernant les évènements pouvant
porter atteinte à la Disponibilité, l’Intégrité, la Confidentialité, et la Preuve sur des actifs
informationnels entrainant des conséquences négatives sur l’organisme.
La menace : C’est la cause potentielle d’un incident qui peut engendrer des dommages à un
système ou une organisation (ISO/CEI 27000:2009(F) 2.45).
Une vulnérabilité : Faiblesse d’un actif (ou d’une mesure de sécurité) qui peut être exploitée
par une menace (ISO/CEI 27000:2009(F) 2.46).
Exemples de vulnérabilité : Présence d’un site en zone inondable - Absence de mises à jour de
sécurité - Politique de mot de passe faible - Absence de procédure - Absence de
sensibilisation du personnel.
Risque lié à la sécurité de l'information: possibilité qu'une menace donnée exploite une
vulnérabilité d'un actif ou d'un groupe d'actifs et nuise donc à l'organisation. (ISO/CEI
27000:2009(F) 2.24)
La Disponibilité ;
L’Intégrité ;
La Confidentialité ;
La traçabilité.
2.2.1 La confidentialité
2.2.2 Intégrité
-empêcher la modification non autorisée ou involontaire des informations par des utilisateurs
autorisés
2.2.3 Disponibilité
La disponibilité garantit que les utilisateurs autorisés d’un système ont un accès rapide
et ininterrompu aux informations contenues dans ce système, ainsi qu’au réseau. Les
méthodes permettant d’assurer la disponibilité sont, entre autres, la répartition équitable, la
haute disponibilité, la redondance, la tolérance aux pannes.
2.2.4 Traçabilité
2.3.1 Norme
Exemples de norme : ISO 9001:2000, ISO 14001:2004, ISO/IEC 27001, PCI DSS, etc.
2.3.2 Référentiel
C’est un standard (« best practice » du métier) reconnu par des professionnels du domaine, et
qui se réfère souvent à une norme. Les certifications aux référentiels sont généralement pour
des personnes.
2.3.3 Méthodologie
2.3.4 Méthode
Ensemble de démarches formalisées selon des principes, dans le but d’acquérir un savoir-faire
conforme aux objectifs attendus. La méthode est utilisée à travers l’entreprise ou une partie de
l’entreprise.
......Toute organisation produit de l’information, celle-ci circule partout que ce soit de manière
formelle ou informelle, elle est techniquement protégée et contrôlée pour en limiter l’accès ou
alors expressément divulguée pour des soucis liés à la transparence ou à la réputation.
L’information a de la valeur et sa gestion demande des efforts de temps et d’argent. Pour
mener à bien cette mission, il est primordial d’identifier les menaces pesants sur les systémes
d’informations bancaire.
La compromission d’informations peut également être due à d’autres facteurs tels que :
-l’espionnage à distance
-l’écoute
-etc.
-l'usurpation d'identité,
-etc.
-La compromission des fonctions : c’est le fait de s'immiscer sans titre dans l'exercice d'une
fonction qui n’est pas la notre. Elle regroupe donc l’abus et l’usurpation de droits, le
reniement d’actions, entre autres. L’attaquant peut avoir plusieurs motivations (argent,
rebellion, défi…).
À ces menaces s’ajoutent les dommages physiques, les catastrophes naturelles, les
mouvements d’humeur des employés et tant d’autres menaces pouvant affecter les banques.
Toutes ces menaces pesant sur les systèmes d’information de la banque ont pour principales
conséquences :
-des pertes financières car ayant un impact sur la disponibilité et l’intégrité des
informations et services
-la banque, elle même victime peut être sanctionnée conformément à l’article 12 de
l’instruction n° 009-06-2015 du 15 juin 2015 relative aux dispositifs de securite des
systemes d'information des bureaux d'information sur le credit. Cet article stipule que
« Les manquements aux obligations liées à la sécurité des systèmes d'information sont
sanctionnés, conformément aux dispositions de la loi uniforme portant réglementation
des Bureaux d'Information sur le Crédit dans les Etats membres de l'UMOA, sans
préjudice des dispositions législatives et réglementaires en vigueur dans l'Etat membre
d'implantation de l'Union. ».
Au vu de ces menaces et de leurs conséquences, il est indispensable que les banques adoptent
une démarche proactive leur permettant d'identifier les menaces potentielles ainsi que les
zones de vulnérabilité existant au sein de leur système d’information.
Ce second chapitre nous a permis de traiter des généralités de la sécurité des systèmes
d’informations. Le prochain portera sur la gestion des risques.
CHAPITRE 3 : LA GESTION DES RISQUES
La gestion des risques est définie par l’ISO 31000 comme l’ensemble des activités
coordonnées visant à diriger et piloter un organisme vis-à-vis du risque. Nous dégageons
quatre finalités à la gestion des risques pour les systèmes d’informations :
Le processus de gestion des risques implique l’identification des risques liés aux activités
de l’entreprise, l’analyse de ces risques et l’évaluation des probabilités qu’ils se
produisent. Ces différentes étapes conduisent à la mise en place d’une stratégie de gestion
adaptée ainsi que le contrôle de l’efficacité des mesures de gestion des risques, et donc
d’une augmentation de la sécurité du système d’informations.
La gestion des risques, de par son volet évaluation, permet d’avoir une approximation des
pertes pouvant être causés par un risque non pris en charge, une attaque sur le système
d’information. En comparant le coût de la prévention à celui des pertes possibles, il
devient évident d’investir sur la sécurisation des systèmes d’informations. [B4]
Prouver la crédibilité du système d’information à l’aide des analyses effectuées.
Nous avons l’exemple de l’audit de sécurité qui permet de déterminer des failles potentielles
sans prédire si celles-ci sont réellement exploitables. Il existe aussi la méthode du pentesting,
également appelé test d’intrusion qui est une technique de piratage éthique consistant à tester
la vulnérabilité d’un système informatique en détectant les failles susceptibles d’être
exploitées par un hacker ou un logiciel malveillant.
Le secteur bancaire africain est un secteur très fortement réglementé. Dans le domaine de la
gestion des risques, nous pouvons citer la réglementation Bâle qui est un ensemble de
recommandations et normes pour mieux appréhender les risques au sein des banques. [B5]
Il y a également la circulaire numéro 4 de la BCEAO relative à la gestion des risques dans les
établissements de crédit et les compagnies financières de l'UMOA. Ces réglementations
stipulent que les organes de gouvernance des banques doivent :
-mettre en place une fonction gestion des risques couvrant tous les risques significatifs, à
l'échelle de l'établissement et disposant d'attributions distinctes de celles des unités
opérationnelles ;
-exercer pleinement les responsabilités qui leur sont dévolues en matière de risque,
conformément aux dispositions énoncées dans la Circulaire relative à la gouvernance des
établissements de crédit et des compagnies financières de l'UMOA. (Article 4 de la circulaire
N°04-2017/CB/C). [B6]
Ces différents points prouvent que la gestion des risques n’est pas seulement une nécessité
mais une exigence pour toute structure bancaire.
3.2 Avantages de la gestion des risques
Durant les vingt-cinq dernières années, l'intérêt pour la sécurité lors du développement
et l'exploitation des systèmes d’informations n'a cessé de croître. Les méthodes de gestion des
risques de sécurité sont des outils méthodologiques, qui aident les organisations à prendre des
décisions rationnelles sur la sécurité de leur système d’informations.
Une gouvernance centrée sur le risque permet aux dirigeants de l’entreprise d’utiliser
la gestion du risque informatique comme un levier de résilience, mais aussi comme un
bouclier de protection de la technologie et de l’infrastructure physique, et donc au final,
comme un facteur de dynamisation de la croissance (IBM, 2008).
La gestion des risques permet aux banques d’avoir une certaine stabilité. En effet, en ayant
une vision sur les différentes vulnérabilités et menaces du système d’informations, les
responsables ont la possibilité de réduire, supprimer ou transférer les risques, évitant ainsi des
attaques sur le système. Cette stabilité est très importante car elle permettra de rassurer les
clients et investisseurs.
En plus de la stabilité, la gestion des risques intervient dans la prise de décision. Lors de
l’élaboration d’un projet, les décisionnaires attendront du responsable des risques une étude
approfondie sur la faisabilité dudit projet et les risques encourus sur le système d’information
pour le réaliser. En fonction des résultats obtenus, le projet pourra être validé, modifié ou
abandonné.
En outre, la politique de sécurité indique l’ensemble des mesures à prendre, des structures à
définir et l’organisation à mettre en place afin :
La gestion des risques s’appuie sur différentes stratégies d’analyse. Il existe plus de 200
méthodes pour le management et l’appréciation des risques. Il est loisible à chaque
organisation de choisir celle qui correspond le mieux à son contexte et à son environnement.
Dans ce travail de recherche, nous avons choisi trois méthodes qui couvrent différentes
perspectives dans la gestion des risques: EBIOS, OCTAVE et MEHARI. En effet, EBIOS est
une méthode assez reconnue et fait référence dans le domaine de la gestion des risques des
systèmes d’information. La méthode OCTAVE s’oriente vers la gestion des risques portant
sur les systèmes opérationnels (information, systèmes, logiciel, matériel, personnes) qui ont
un effet immédiat sur l'organisme. Le domaine visé par MÉHARI est celui de la sécurité de
l’information, englobant les systèmes informatisés mais aussi l’information sous toutes ses
formes, numériques, analogiques, écrites, etc. Dans ce domaine, l’objectif de MÉHARI n’est
pas seulement d’identifier les situations de risque et d’en apprécier le niveau, mais de mettre
en évidence les mesures permettant de ramener les risques à un niveau acceptable. Au-delà de
la nature des mesures à mettre en œuvre, MÉHARI s’attache en outre à en définir le niveau de
qualité et d’efficacité requis.
EBIOS est une méthode développée et maintenue par l’ANSSI (Agence Nationale de la
Sécurité des Systèmes d'Information) du secrétariat général de la défense nationale française
(SGDN). La méthode consiste à̀ formaliser les objectifs et les exigences de sécurité adaptés au
contexte du système étudié. Cette méthode vise la sécurisation des ‘gros’ systèmes
d’information et s’appuie sur le standard ITsec. EBIOS permet d'apprécier les risques
numériques, d'identifier les mesures de sécurité à mettre en œuvre pour les maitriser puis de
valider le niveau de risque acceptable et de s'inscrire à plus long terme dans une démarche
d'amélioration continue.
Elle permet également de faire émerger les ressources et arguments utiles à la communication
et à la prise de décision au sein de l'organisation et vis-à-vis de ses partenaires.
Étude du contexte
Étude des évènements redoutés
Étude des scénarios de menace
Étude des risques
Détermination des mesures de sécurité
Toutefois, la méthode reste assez cloisonnée. La mise en œuvre des étapes telles
qu’elles sont conçues réduit la flexibilité de cette méthode et complique son
application dans certains domaines.
Figure 2: Méthodologie EBIOS
MEHARI est une méthode de gestion de risque associée à la sécurité de l'information d'une
entreprise de petite ou moyenne envergure. Elle a été développée initialement par le CLUSIF
en France.
L'objectif premier de MEHARI est de fournir une méthode d'analyse et de gestion des risques
affectant la sécurité de l'information, une méthode conforme aux exigences de la norme
ISO/IEC 27005 :2011, avec l'ensemble des outils et moyens requis pour sa mise en œuvre. A
cet objectif premier s'ajoutent deux objectifs complémentaires :
-Permettre une analyse directe et individualisée de situations de risque décrites par des
scénarios de risque.
-Fournir une gamme complète d'outils adaptée à la gestion à court, moyen et long terme, de la
sécurité, quelle que soit la maturité de l'organisme en matière de sécurité et quelques soient
les types d'actions envisagés. [B7]
ISO 31000 est une norme internationale générique qui fournit des lignes directrices sur la
façon d'organiser la gestion des risques dans les organisations. La norme ne se concentre pas
uniquement sur les risques liés à la sécurité de l'information ; elle peut être utilisée pour tout
type de risques, y compris la continuité des activités, le marché, la monnaie, le crédit, les
opérations et autres. ISO 31000 fournit un glossaire détaillé des termes de gestion des risques,
explique les principes de base de la gestion des risques et fournit un cadre général comprenant
un cycle PDCA (planification, mise en œuvre, surveillance et amélioration,
Plan/Do/Check/Act) pour la gestion des risques. Selon l'ISO 31000, les organisations
déterminent généralement le contexte et gèrent le risque en l'identifiant, en l' analysant et en
évaluant par la suite si le risque doit être modifié par une approche stratégique afin de se
conformer à ses critères de risque. Tout au long de ce processus, ces organisations doivent
communiquer et consulter les parties prenantes, tout en surveillant et en analysant de manière
critique le risque et les contrôles qui le modifient, afin de s'assurer qu'aucune approche
supplémentaire de gestion des risques ne sera nécessaire. Cependant, étant applicable à tout
type d'organisation et à tout type de risque, il ne fournit pas de méthodologie spécifique pour,
par exemple, la gestion des risques liés à la sécurité de l'information. [W5]
-la norme ISO/IEC 27001 relative aux exigences des systèmes de management, est, elle aussi,
une norme internationale. Elle décrit les mesures nécessaires à la mise en place d’un SMSI.
Mais si elle fixe l’objectif à atteindre, elle ne préconise pas comment, concrètement, il
convient de déployer ces mesures. La gestion de la sécurité de l'information dans l'ISO 27001
est alignée sur l'ISO 31000 (Clause 6.1.3 de la norme ISO 27001). [B2]
La norme ISO 27005 relative à la gestion des risques liés à la sécurité de l’information décrit
les grandes lignes d’une gestion des risques dans le contexte d’un système d’information :
définition du contexte d’analyse, identification et évaluation des risques encourus, possibilités
de traitement ou d’acceptation de ces derniers. Elle introduit un processus d’appréciation des
risques conforme à l’ISO 31000, sans pour autant proposer de méthode au sens strict. C’est
donc une adaptation de la norme ISO/IEC 31000 au domaine de la sécurité de l’information.
Les évaluations des risques sont l'une des parties les plus importantes de la conformité à la
norme ISO 27001 et ISO 27005 donne des conseils sur l'identification, l'évaluation,
l'évaluation et le traitement des vulnérabilités en matière de sécurité de l'information. Ces
procédures sont essentielles pour un système de gestion de la sécurité de l'information ISO
27001. [B7]
On constate donc que ces trois normes sont étroitement liées et quelque peu complémentaires
car la mise en œuvre d’un programme de gestion des risques conforme à ISO 27005 permet
d’avoir un SMSI plus résilient.
Figure 7: Liens entre ISO 27001, ISO 27005 et ISO 31000 [B8]
Dans ce chapitre, nous avons abordé la gestion des risques, ses motivations et avantages. Puis
nous avons présenté les référentiels de gestion des risques ainsi que les normes en lien avec
cette branche de la sécurité informatique.
CHAPITRE 4 : LA NORME ISO/IEC 27005 :2018
Notre étude portera sur la version publiée en 2018 de la norme ISO 27005. Il est important de
noter qu’une version plus récente a été publiée en Octobre 2022, après le début de notre
travail de recherche, raison pour laquelle elle n’a pas été prise en compte.
La sécurité des systèmes d'information est un enjeu majeur pour les entreprises. Elle n'est
aujourd'hui plus exclusivement du ressort des informaticiens mais intègre également des
moyens organisationnels, juridiques et humains afin de prévenir l'utilisation non autorisée, le
mauvais usage, la modification ou encore le détournement d'informations sensibles et/ou
confidentielles. Une démarche par les risques, techniques et non techniques, apparaît de fait
naturelle et efficace en vue de sécuriser les systèmes d'information.
La norme ISO/IEC 27005 est une norme internationale concernant la sécurité de l'information
publiée conjointement par l'Organisation internationale de normalisation (ISO) et la
Commission électrotechnique internationale (CEI). Il s'agit d'un recueil de lignes directrices
traitant spécifiquement de la gestion des risques dans le contexte de la sécurité des systèmes
d'information. Elle fait l'objet d'une certification et vient en complément du SMSI ISO/CEI
27001. [W1]
L’ISO/IEC 27005 a été rédigée pour la première fois en 2008, revisitée en 2011, ensuite en
2018 puis en 2022. Dans le but de créer un SMSI efficace, elle se compose des grandes lignes
de la gestion de risques. Construite en cohérence avec le couple de standards ISO/CEI
27001 et ISO/CEI 27002 et reprenant le vocabulaire définit dans ISO/CEI 27000, la norme
ISO/CEI 27005 peut néanmoins être utilisée de manière autonome dans différentes situations.
La norme ISO/CEI 27005 utilise comme nombre de systèmes de management, la logique
d'amélioration continue PDCA (Plan, Do, Check, Act), sous la forme suivante :
Plan : Identification des risques, évaluation des risques et définition des actions de
réduction des risques,
Do : Exécution de ces actions,
Check : Contrôle du résultat,
Act : Révision de la politique de traitement des risques selon les résultats obtenus.
Le processus de management du risque proposé par ISO 27005 est applicable à tous types
d'organisations (par exemple les entreprises commerciales, les agences gouvernementales, les
organisations à but non lucratif) qui ont l'intention de gérer des risques susceptibles de
compromettre la sécurité des informations de l'organisation.
Il est important de noter que le référentiel ISO 27005 ne fournit pas une liste d’exigences mais
des recommandations pour la mise en œuvre d’un processus de gestion des risques en sécurité
de l’information. Elle constitue donc un guide de mise en œuvre et donne des lignes
directrices qu’il convient de suivre, d’adapter et parfois d’ignorer dans la conception, le
développement et l’exploitation de son système de gestion de risque. [W4]
La norme ISO/IEC 27005 reprend le vocabulaire de la norme ISO 27000 et est composée de
77 pages réparties en 12 chapitres qui sont complétés par 6 annexes de référence A à F,
nécessaires à la mise en œuvre de la méthode.
A ce stade, la norme demande d’intégrer les coûts notamment dans le choix des
mesures de sécurité.
La norme ISO 27005 propose un processus de gestion des risques illustré dans le schéma
suivant :
Figure 8: Illustration du processus de gestion des risques en sécurité de l’information
Le contexte peut concerner un ensemble très large ou très resserré: tout un système
d'informations ou juste un sous-composant du SI. Cette étape permet également de décliner
l’ensemble des contraintes pouvant impacter sur l’étude.
Il s’agit donc d’énoncer clairement ses objectifs, définir les paramètres internes et externes à
prendre en compte dans la gestion du risque et déterminer le domaine d'application et les
critères de risque pour la suite du processus. Les facteurs d’évaluation des risques doivent être
définis pour déterminer les priorités du traitement des risques associés à un actif. Selon le
domaine d’application et les objectifs de la gestion des risques, différents facteurs peuvent
s’appliquer. Les critères d’impact des risques sont définis en fonction du degré de dommages
ou des coûts engendrés par une concrétisation d’un risque lié à la sécurité de l’information.
Ces critères d’impact sont à surveiller et à contrôler par l’organisation et permettent d’évaluer
le niveau de gravité des risques. À titre d’exemple, les critères suivants peuvent être
considérés :
Il convient que l’organisme définisse également les seuils de tolérance aux risques, afin de
prendre une décision éclairée en ce qui a trait à l’acceptation d’un risque. Ces seuils de
tolérance sont multiples et dépendent souvent des politiques, des objectifs et des intérêts des
parties prenantes de l’organisation.
L’appréciation des risques permet d’identifier et de classer les risques selon la priorité de
traitement qui leur sera accordée. Cette étape regroupe :
-l’identification du risque, qui consiste à déterminer une liste de risques (pour un actif
informationnel donné en fonction des critères définis précédemment);
-l’évaluation du risque, qui permet de mesurer l’importance des risques et, par conséquent, de
déterminer, pour chaque actif, une liste de risques triée par ordre d’importance.
À partir des critères de base prédéfinis, l’étape d’identification des risques permet de produire
une liste de risques potentiels à évaluer pour chaque actif informationnel étudié, tout en se
demandant comment, où et quand ces risques peuvent survenir.
L’identification des risques se fait selon cinq activités complémentaires :
-l’identification des actifs: Un actif représente tout élément contenant de l'information ayant
de la valeur pour l’organisation et qui, par conséquent, nécessite une protection. Il est
important de fixer des limites quant au niveau de détail des actifs à identifier, tout en
s’assurant d’avoir suffisamment d’information pour apprécier les risques associés. Ce niveau
de détail ou de granularité peut être affiné au cours du processus ou lors des itérations
ultérieures.
Les propriétaires des actifs doivent également être identifiés, car ils sont souvent les
personnes les plus aptes à déterminer la valeur des actifs que l’organisation détient. Certains
éléments d'information supplémentaires comme, entre autres, la localisation (physique et
logique), les composantes liées à l’actif, les utilisateurs, peuvent être identifiés pour faciliter
l’évaluation du risque.
-l’identification des menaces : Les actifs précédemment identifiés sont exposés à des
menaces qui sont susceptibles de les endommager et qui peuvent, dans certains cas, rendre un
service essentiel indisponible. Ces menaces peuvent survenir autant de l’intérieur que de
l’extérieur de l’organisation. Il est donc important de les identifier afin de prévoir ou de
mettre en place les mesures adéquates.
Selon le contexte organisationnel étudié, il existe plusieurs types de menaces que l’on peut
considérer. Citons, par exemple, les menaces de type :
L'information permettant d’identifier les menaces peut souvent être obtenue auprès du
propriétaire de l’actif, des utilisateurs et d'autres intervenants dans des domaines connexes à la
sécurité de l’information. La connaissance des incidents antérieurs, les registres de menaces
antérieures (s’ils existent), de même que l’expérience obtenue dans le passé en matière
d’appréciation des menaces sont également des sources d’information non négligeables pour
aider à l’identification des menaces actuelles et émergentes.
-l’identification des mesures de sécurité existantes : L’identification des mesures de
sécurité existantes permet d’évaluer le niveau de protection de l’organisation face aux
menaces.
Une évaluation de ces mesures est également nécessaire afin de garantir que celles-ci
fonctionnent correctement dans le contexte actuel. En effet, si une mesure de sécurité est
dysfonctionnelle, des vulnérabilités peuvent être engendrées et exploitées. Dans un tel cas, il
est important d’identifier les mesures complémentaires à mettre en place.
la consultation des documents internes relatifs aux mesures de sécurité (p. ex. le plan
de mise en œuvre du traitement des risques, les rapports d’état de situation en
sécurité, la description détaillée des processus de l’organisation, etc.);
la consultation des utilisateurs ainsi que des responsables des opérations, de la
sécurité de l’information, de la sécurité physique, des systèmes d’information, etc.
Ces intervenants sont les mieux placés pour signaler quelles mesures de sécurité sont
réellement mises en œuvre et si elles fonctionnent;
Il existe plusieurs types de vulnérabilités qui peuvent être exploitées. Citons, notamment,
celles de type :
Plusieurs activités proactives telles que les tests d’intrusions, les revues de code et l’utilisation
d’outils d’analyse de failles de sécurité peuvent aider à identifier les vulnérabilités. Il est à
noter que les résultats de ces activités sont parfois erronés, en raison du contexte dans lequel
les tests ont été réalisés ou du moment précis de leur réalisation. D’autres méthodes
complémentaires telles que les entretiens avec les utilisateurs, les inspections et l’analyse des
documents liés aux incidents survenus peuvent alors être utilisées.
Il est à noter que, selon la méthodologie choisie, ces activités peuvent être effectuées dans un
ordre différent.
L'analyse du risque fournit des données pour évaluer les risques et prendre la décision de les
traiter ou non, et permet de choisir les stratégies et méthodes de traitement les plus
appropriées.
L'évaluation ou estimation des risques consiste à attribuer une valeur à chaque scénario de
risque identifié. Cette évaluation peut être quantitative ou qualitative.
Dans ce cas, l’importance de chaque risque est évaluée en fonction d’une estimation de la
probabilité d’apparition des menaces (qui déclencheront le risque) et en fonction de la gravité
de l’impact si le risque se concrétise.
Durant cette phase, la structure doit se donner des objectifs de sécurité informatique en
fonction de l’étape précédente. Ces objectifs permettent de dresser un cahier des charges,
lequel doit aider à imaginer des mesures de traitement des risques cyber.
-refus ou évitement : trop grave, le cyberisque doit à tout prix être évité. La structure renonce
ainsi, par exemple, à continuer l’activité susceptible de le provoquer ;
-transfert : l'organisation partage le risque avec un tiers - assurance ou sous-traitant en
cybersécurité - capable de la protéger du risque, au moins financièrement ;
-conservation : le risque est supportable, on choisit de ne pas adresser le risque, jugé trop peu
menaçant.
Chaque option sous-tend un risque résiduel, qui doit systématiquement être évalué. Lorsque
ce dernier n’est pas pas tolérables, il faudra générer un nouveau traitement du risque et
apprécier l'efficacité de ce traitement. L’équipe fera autannt d’itérations que nécessaires pour
atteindre un niveau satisfaisant aux critéres d’acceptation des risques.
Le but de cette étape est de s’assurer de la cohérence du plan de traitement des risques, avant
sa mise en œuvre. La validation permet une acceptation officielle des mesures proposées,
conformément aux critères de base définis.
Les mesures proposées seront notamment acceptées si les risques résiduels qui en découlent
ne dépassent pas les seuils de tolérance fixés par l’organisation. Dans le cas contraire,
l’organisation peut néanmoins décider d’accepter une mesure comportant des risques
résiduels qui dépassent le seuil de tolérance, si les bénéfices associés sont très avantageux.
Une révision des seuils de tolérance est parfois nécessaire s’ils sont inadaptés. Les décisions
de traitement non conformes doivent être commentées et justifiées.
Le but de cette phase est de tirer profit, de manière officielle, de l’expérience acquise dans la
gestion des risques de sécurité de l’information.
La communication des risques consiste à échanger l’information sur les risques, notamment à
propos de leur existence, leur probabilité d’apparition, leur gravité, etc.
Elle doit se faire en l’interne et, dans certains cas, entre plusieurs organismes. L’information
communiquée peut être considérée comme étant confidentielle et doit donc être traitée avec
les précautions nécessaires.
Par exemple, le fait de communiquer, au sein de l’organisme, les risques liés à l’emploi de
messageries externes (p. ex. Yahoo, Google, etc.) lors de l’envoi de courriels permet de
sensibiliser les employés aux dangers et aux conséquences liés à cette utilisation non
recommandée en milieu de travail (p. ex. risque de fuite d’information, interception illicite
des messages, etc.).
Les risques ne sont pas statiques. Ils évoluent, tout comme les menaces, les vulnérabilités, la
probabilité de leur apparition et leurs impacts. Une revue des risques sur une base régulière
est donc nécessaire afin d’inclure, s’il y a lieu, les nouveaux risques, de s’assurer qu’aucun
risque n’est négligé ou sous- estimé et que le contexte, les résultats de l’analyse des risques de
même que les traitements des risques restent adaptés aux circonstances actuelles.
La revue des risques s’effectue au niveau des facteurs de risques (valeurs des actifs, menaces,
vulnérabilités, impacts et probabilité d’apparition) et de la gestion des risques (contexte,
analyse des risques, traitement des risques et mise en place des mesures de sécurité).
identifier les changements qui surviennent dans l’organisation (par exemple, une
réorganisation peut changer l’efficacité d’un contrôle précédemment mis en place);
identifier les risques considérés comme étant faibles, mais qui pourraient évoluer vers
un niveau élevé (par exemple, autrefois, une fuite d’information pouvait provenir
presque exclusivement du personnel, mais aujourd’hui, elle peut provenir de
l’extérieur);
identifier les nouvelles menaces (par exemple, l’utilisation de nouvelles technologies
peut permettre des actions qui n’étaient pas possibles auparavant et qui sont donc non
contrôlées).
Pour la gestion des risques :
évaluer la pertinence des risques et leur adéquation avec les traitements (par exemple :
A-t-on toujours besoin d’un pare-feu ou les nouvelles mesures mises en place par de
tierces parties ont- elles une influence sur notre sécurité?);
évaluer la disponibilité de l’information nécessaire à la gestion des risques (par
exemple : Cette information est-elle stockée en lieu sûr? Est-elle corrigée? Est-elle à
jour?);
identifier de nouveaux risques ou la prédominance d’anciens risques résiduels.
Ce chapitre nous a permis d’apporter un éclaircissement par rapport à la norme ISO 27005
et au processus qu’elle propose. Ainsi dans le chapitre suivant, nous procéderons à
l’application de ce processus à notre cas, celui de la Banque de l’Habitat du Sénégal.
CHAPITRE 5 : MISE EN ŒUVRE DU PROGRAMME DE GESTION
DES RISQUES DE LA BHS
La Banque de l’Habitat du Sénégal (BHS) est une société anonyme avec conseil
d’administration, au capital de dix milliards cinq cents millions (10.500.000.000) de francs
CFA. Créée en 1979 par l’État du Sénégal, elle a démarré ses activités en mars 1980 avec
comme domaine d'activité principal le financement de l'immobilier, en accession à la
propriété, avec une priorité pour le logement social.
En démarrant ses activités en 1980 sur un seul site, la BHS se focalisait sur un seul produit : le
financement des promoteurs et des acquéreurs d’habitats sociaux comme résidence principale,
dans un environnement de fortes tensions foncières. Aujourd’hui, elle est leader en ce qui
concerne la mise en place de prêts immobiliers avec une part de marché de 70%. En parallèle,
profitant de la libéralisation de l’activité bancaire au Sénégal, BHS a entrepris une évolution
de son modèle d’affaires afin de devenir à terme une banque universelle. La BHS compte
aujourd’hui dans son portefeuille de clients des particuliers du secteur parapublic, des agents
du secteur public ou privé, des promoteurs et des coopératives. Elle offre à ses clients tous les
produits de base d’une banque classique: comptes courants, comptes d’épargne, dépôts à
terme, crédits court, moyen et long termes, opérations sur devises, virements interbancaires et
transferts internationaux, cartes bancaires, mobile Banking, e-Banking…
Elle a donc pour mission de favoriser le développement de l'habitat social par la mise en place
d’un système de financement adéquat au profit des promoteurs immobiliers, des coopératives
d’habitat et des particuliers.
Dans ce sens, elle s’est inscrite dans une dynamique de maitrise de l’ensemble des risques
informatiques induits par l’évolution technologique permanente et le processus de
transformation digitale en cours.
Elle s’est ainsi lancée dans un projet de mise en place d’un programme de gestion des risques
informatiques selon version 2018 de la norme ISO/IEC 27005 afin d’atteindre les objectifs
suivants :
-Avoir les prérequis pour la mise en place d’un plan de continuité d’activité et de réponse aux
incidents
Cette dynamique nécessite la mise en place d’un programme de gestion des risques
informatiques suivant la norme de référence en matière de gestion des risques liés à
l’information, ISO 27005. Ce programme couvrira l’ensemble du système d’information de la
BHS.
Pour notre projet, le choix du périmètre d’étude est porté sur l’ensemble du système
d’information de la banque de l’habitat du Sénégal. Cependant, pour des raisons de sécurité
liées à la confidentialité des informations internes à la banque, les travaux effectués ainsi que
les résultats obtenus dans le cadre de ce travail n'ont pas été entièrement exposés dans le
présent rapport.
Selon ISO/IEC 27005, les organismes sont tenus de déterminer et maintenir l’organisation et
les responsabilités relatives au processus de gestion du risque en sécurité de l’information.
Les principaux rôles et responsabilités de cette organisation sont les suivants :
– la définition des rôles et des responsabilités de toutes les parties, à la fois internes et
externes à l’organisme,
– l’établissement des relations entre l’organisme et les parties prenantes, des interfaces avec
les fonctions de gestion de risque de haut niveau de l’organisme (par exemple, gestion du
risque opérationnel) ainsi que des interfaces avec d’autres projets ou activités, si cela est
pertinent,
Il convient que cette forme organisationnelle soit approuvée par les dirigeants concernés au
sein de l’organisme.
Pour notre projet, les rôles et responsabilités sont répartis comme suit :
Les critères et échelles suivantes ont été choisi en concertation avec les entités concernées en
fonction de facteurs internes et externes, ainsi que des objectifs visés par ce projet.
Probable Entre une chance sur 10 et une chance sur 2 que le risque se concrétise 3
dans l’année. Le risque survient en moyenne tous les 2 à 10 ans
52
5.2 Appréciation des risques
L’idenfication des risques est l’étape fondamentale car permettant de déterminer les
événements susceptibles de se produire occasionnant une perte.
Notre démarche sera la suivante : dans un premier temps, nous réaliserons le classement des
actifs suivi de l’analyse du risque à travers une cartographie des risques. Après cela, le
traitement des risques sera présenté grâce à un tableur des risques avant de passer à la
communication et la revue des risques.
Un actif désigne tout élément ayant de la valeur pour l’organisme et nécessitant, par
conséquent, une protection. Dans un premier temps, la liste des actifs est établie par l’équipe
de la direction des services informatiques et complétée grâce à des entretiens avec des
employés à des postes stratégiques. Il est important de lister tous les actifs et d’en regrouper
certains au besoin en fonction de plusieurs critères tels que leurs fonctions, leur nature…
-les actifs primordiaux (informations, processus et activités métier), ce sont les plus
importants à prendre en compte lors de l’analyse des risques. Ils sont classés en deux
sous-catégories :
les processus (ou sous processus) et activités métier : ce sont les processus dont
la perte ou la dégradation rend impossible la réalisation de la mission de
l'organisme ou qui, s’ils sont modifiés, peuvent considérablement affecter
l’accomplissement de la mission de l’organisme. À ceux-ci, s’ajoutent les
processus qui sont nécessaires à l'organisme pour être conforme aux exigences
contractuelles, légales ou règlementaires
-les actifs en support (sur lesquels reposent les actifs primordiaux du domaine
d'application: matériel, logiciels, réseau, personnel, site, structure de l’organisme)
53
Ensuite, ces actifs sont classés selon plusieurs critères. Nous avons ici choisi de les classer
comme ci-dessous :
54
Capture 1: Classification des actifs (2)
Nous avons dénombré 134 actifs dont 121 actifs supports et 13 primordiaux. Ces actifs ont
été classé en 8 catégories :
-Serveurs physiques
-Serveurs virtuels
-Applications
55
-Personnel
-Données de cartes
-Processus
-Locaux (site)
Après classification des actifs, nous passons à la réalisation d’une cartographie des risques qui
couvriva l’identification, l’analyse et l’évaluation des risques.
L’approche choisi étant celle basée sur les scénarios de risques, nous allons donc après avoir
recensé les actifs, identifier et analyser les risques pouvant affecter ces différents actifs.
Nous avons choisie de faire une cartographie des risques conformément à l’article 9 de la
circulaire numéro 4 émise par la BCEAO. Elle permettra d’ avoir une vue plus optimale et
globale sur les différents scénarios de risques et leurs différents facteurs et conséquences. Elle
sera renseigné grâce aux critères précedemment définis, aux informations obtenues par des
entretiens et grâce à des calculs.
Nous créons et remplissons donc une macro Excel avec les colonnes suivantes :
56
-référence : un code de référencement est donnée au scénario en fonction du type de risque,
par exemple pour un risque de compromission de fonctions, nous aurons le code
COMPINF01.
-actifs concernés : nous recensons les différents actifs pouvants êtres affectés si le scénario de
risque se réalise.
-conséquences : il s’agit d’une description des effets du risque sur le système d’information.
-score impact sécurité (DICA) : il correspond ici à la moyenne arrondie des valeurs des
impacts de sécurité.
-impact métier (organisation interne, financier, image, juridique) : comme pour l’impact
sécurité, une valeur est affectée à chaque critère.
-score impact métier (OFIJ) : il correspond à la moyenne arrondie des valeurs des impacts
métiers.
-sévérité : la sévérité correspond ici à la moyenne arrondie des scores impacts métiers et
sécurité. Cependant, l’impact sécurité étant plus important au vu de nos objectifs, ce dernier
sera pondéré à la valeur 3, tandis que le score impact métier sera pondéré à 1.
57
-valeur du risque brut : elle est déterminé par la combinaison de la probabilité et de la
sévérité.
-mesures existantes : il s’agit ici de recenser les différentes mesure de sécurité afférents au
scénario de risque indépendamment de leur état de déploiement. Nous les avons recueillis
grâce à des revues documentaires et des entretiens avec les responsables de la sécurité du
système d’information ainsi que les propriétaires des actifs.
-degré de maitrise du risque : il est estimé par les parties prenantes en fonction du degré
d’efficacité des mesures existantes.
Après avoir rempli le tableau, des codes couleurs sont appliqués aux cellules correspondant
aux valeurs du risque net, en se basant sur le tableau d’interprétation du risque net. Cela
permet d’avoir une idée sur l’importance du risque.
Ce travail nous a permis d’identifier 66 risques parmis lesquels 22 sont des risques faibles, 8
des risques significatifs, 29 des risques critiques et 7 des risques très critiques. L’objectif de la
phase suivante, à savoir la phase de traitement de ces risques sera de définir un traitement
adéquat à chaque risque.
58
Capture 3 : Cartographie des risques
59
5.3 Traitement des risques
Connaissant le niveau de risque de chaque scénario de risque ainsi que le degré de
maitrise et les mesures existantes, il faut décider de la manière dont les risques vont être
traités. Quatre options sont possibles :
-réduire qui consiste à modifier le risque en mettant en place un contrôle pour réduire la
probabilité qu'il se produise ou limiter son impact.
-éviter le risque en cessant toute activité qui lui est lié. Cette réponse est appropriée si le
risque est trop important pour être géré par un contrôle de sécurité.
-transférer le risque à un tiers en confiant les contrôles de sécurité à une autre organisation ou
en souscrivant une assurance afin de disposer des fonds nécessaires pour réagir de manière
appropriée en cas de catastrophe.
-conserver : cela signifie que la banque accepte le risque et estime que le coût de son
traitement est supérieur aux dommages qu'il pourrait causer.
Nous avons choisi d’illustrer le traitement du risque à travers une cartographie avec les
paramètres suivants :
L’onglet risque résiduel actuel est renseigné en se basant sur l’appréciation des risques
précédemment réalisé. L’option de traitement correspond à la décision prise par le comité.
Ensuite, en fonction de l’option choisi (réduire, éviter, transférer ou accepter), la cellule des
mesures de traitement du risque est renseignée. En effet, toute option choisie est accompagné
des mesures de mise en œuvre pratiques.
57
Ces actions à poser influent sur les paramètres tels que la probabilité et la sévérité. On
renseignera donc ces dernières en fonction du niveau de risque ciblé par les mesures de
traitement du risque.
L’efficacité ciblée du DMR correspond au degré de maitrise du risque que l’on devrait
atteindre après avoir effectué les mesures prises pour le traitement du risque. Le degré de
maitrise du risque ayant changé, le risque résiduel évolue à son tour. Ce dernier est apprécié à
avant que l’on ne décidé du traitement à appliquer par la suite sur ce risque résiduel cible. Il se
peut que ce dernier ne soit pas satisfaisant, une nouvelle itération sera donc faite jusqu’à
obtention d’un niveau satisfaisant ou modification des critères et seuils, cela dépendra du
comité décisionnaire : c’est la phase d’acceptation du risque.
58
Un aperçu des résultats obtenus du traitement des risques est illustré sur la capture suivante :
Un tableau de plan de traitement des risques est également réalisé afin de faciliter le suivi et la
réalisation des mesures prises. Pour chaque risque, les actions à poser ainsi que le/les
responsable/s sont inscrits, en plus de la date limite d’exécution et de l’état d’avancement :
59
5.4 Communication relative aux risques
Après avoir établi le plan traitement du risque, la communication doit être établie de
manière à ce que chaque employé ait conscience de ses responsabilités et de ce qui est attendu
de lui. Il est nécessaire de tenir un registre de la manière dont les risque sont traités et
informer toute personne susceptible d'en être affectée. Par exemple, si une réduction sur le
risque de détournement de certains documents sensibles est faite en appliquant des contrôles
d'accès, il faut en informer les employés concernés.
Ce qui est important, c’est que la communication soit capable de transmettre un résumé clair
de la philosophie de gestion des risques pour l’entreprise et pour chaque membre de
l’organisation dans le cadre du programme de management des risques. Cela peut être
accompli avec l’utilisation de divers médias. La banque peut choisir d’utiliser des manuels,
des notes de service, des vidéos, conférences ou des présentations. Tout cela doit faire partie
de la communication interne mais aussi de la communication externe à double sens entre
l’entreprise, ses clients, ses fournisseurs et l’ensemble des acteurs pouvant avoir un rôle à
jouer dans l’atteinte des objectifs de la banque.
Une surveillance et un réexamen permanents sont nécessaires pour garantir que le contexte,
les résultats de l’appréciation et du traitement du risque, ainsi que les plans de gestion, restent
adaptés aux circonstances.
60
Nous la réalisons, tout comme pour l’appréciation et le traitement des risques, sous forme de
tableau Excel :
Dans ce dernier chapitre, nous avons expliqué et appliqué notre démarche de mise en place
d’un programme de gestion des risques basée sur la version 2018 de la norme ISO 27005 pour
la Banque de l’Habitat du Sénégal. Ce travail a permis réduire drastiquement les niveaux de
risques, les résultats obtenus ont été résumés dans le tableau suivant qui facilitera grandement
le suivi au niveau des instances décisionnaires et qui démontre l’utilité et l’importance de la
mise en place d’un programme de gestion des risques :
61
Capture 9: Répartition initiale des risques
Tout au long de ce présent chapitre, nous avons mis en place un programme de gestion des
risques avec des outils et représentations permettant à l’opérationnel tout comme au
décisionnaire d’avoir une idée sur l’état actuel des risques menaçant la banque de l’habitat du
Sénégal.
62
CONCLUSION
En réponse à̀ ces interrogations, nous avons dans un premier temps étudié la gestion des
risques puis développé la démarche proposée par la norme ISO 27005 avant de présenter
notre travail de mise en place d’un programme de gestion des risques toujours basé sur la
norme ISO 27005.
La BHS est consciente de l’importance d’une bonne gestion des risques de sécurité de
l’information; toutefois, les résultats de cette étude indiquent que des efforts doivent encore
être consentis quant à la sécurisation de son système d’information.
Comme dans toute œuvre scientifique, des difficultés ont été rencontrées à plusieurs étapes au
cours de l’élaboration de ce mémoire et dont les plus importantes sont liées à la collecte des
informations et au caractère sensible des résultats obtenus qui n’ont pas pu être restitués
totalement dans ce document.
En continuité de notre analyse, il serait intéressant de se pencher sur l’élaboration d’un plan
de continuité et de reprise des activités de la BHS
63
BIBLIOGRAPHIE
[B5] BCEAO, Recueil des textes légaux et réglementaires régissant l’activité bancaire et
financière dans l’Union Monétaire Ouest Africaine Volume 1 : textes de base et d’application,
2016, 175 pages
[B6] BCEAO, Recueil des textes légaux et réglementaires régissant l’activité bancaire et
financière dans l’Union Monétaire Ouest Africaine Volume 1 : textes de base et d’application,
2016, 175 pages.
[B7] M. BEHLOULI, Mémoire de fin d’étude en Master SSI sur le thème : « Planification
d’un Système de Management de la Sécurité de l’Information selon la famille des normes ISO
2700X» , Université Saad Dahlab, année universitaire : 2018/2019, 87 pages.
[B8] M. Elhadji Mouhamadou Lamine DRAME, Cours de gestion des risques et plan de
continuité des activités de l’ESMT, Année universitaire 2021-2022, 69 pages.
A
WEBOGRAPHIE
[W3], https://www.bceao.int/sites/default/files/2017-11/ch3chapitre_3_-
_reglementation_relative_au_systeme_de_partage_d_information_sur_le_credit.pdf, consulté
le 12/09/2022 à 19:09 : informations relative aux exigences de la BCEAO pour les systèmes
d’informations.
[W4]
http://pfmh.uvt.rnu.tn/276/1/Mise_en_oeuvre_d’un_système_de_management_de_la_sécurité
_de_l’information_(SMSI)_au_sein_de_l’Ambassade_du_Royaume_du_Maroc_à_Tunis.pdf,
consulté le 4/10/2022 à 10:21 : informations relatives aux liens entre les normes ISO 27005 et
ISO 27001.
[W5] https://help.highbond.com/helpdocs/highbond/fr/Content/strategy/assessment/
assessing_risk.htm, consulté le 23/10/2022 à 11:45 : informations relatives à la norme ISO
31000.
B
ANNEXE
C
Capture 12: Cartographie des risques (2)
D
Capture 13: Cartographie des risques (3)
E
Annexe 2 : Traitement des risques
F
Capture 15: Traitement des risques (2)
G
Capture 16: Traitement des risques (3)
H
Annexe 3 : Plan de traitement des risques
I
TABLE DES MATIERES
INTRODUCTION
J
3.3 LES RÉFÉRENTIELS DE GESTION DES RISQUES.................................................................20
3.3.1 EBIOS..………..……………..……………..……………..……………..……. 19
3.3.2 OCTAVE.………..……………..……………..……………..……………..…..21
3.3.3 MEHARI ………………………………………………..……………………..23
CONCLUSION....................................................................................................................... 63
BIBLIOGRAPHIE…………………………………………………………………………...A
WEBOGRAPHIE…………………………………………………………………………….B
ANNEXE………………………………………………………………………………….…..C
L
École Supérieure Multinationale des Télécommunications
Thème : Mise en place d’un programme de gestion des risques informatiques selon la norme
ISO/IEC 27005 : cas de la BHS
Les banques sont des institutions financières où le risque est omniprésent. Le moindre
incident pourrait paralyser une bonne partie des activités de la banque et donc impacter
financièrement ou encore sur la réputation de la banque. Ceci est dû à la nature même de leurs
activités. En effet, les données bancaires sont devenues l’une des cibles préférées des
cybercriminels de par leur potentiel.
Les responsables de la sécurité doivent donc être en mesure d’anticiper et d’évaluer l’impact
des évolutions sur leur activité en mettant en place une politique d’analyse des risques et un
plan d’action pour les contrer. L’objectif de notre travail est de mettre en place un programme
de gestion des risques informatiques qui permettra à la banque de mieux gérer ses risques car
ayant désormais une vue plus globale sur ces derniers. Cette capacité de la BHS à maîtriser
ses risques potentiels constituera à long terme un avantage concurrentiel. La norme ISO/IEC
27005 ayant été choisi pour ce projet, nous nous sommes documentés et avons mené des
entretiens avec les entités concernées avant de proposer une solution en phase avec la norme
de référence.