MODULE N°4 : GESTION DES RISQUES

MÉTHODOLOGIE - ANALYSE DE RISQUES

ÉTAT DES LIEUX – CLUSIF 2014
DÉMARCHE – DÉFINITIONS - ILLUSTRATIONS
MÉTHODES D’ANALYSE DE RISQUES
PRÉSENTATION DE LA NORME ISO/IEC 27005

111 PRONETIS©2022 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

 Source ANSSI

Principes généraux de la gestion des risques

Cinématique du processus
de gestion des risques
• Un risque sur une activité correspond à la survenance d’un événement empêchant
l’atteinte des objectifs liés à cette activité
• Risque = Menace X Actif X Vulnérabilité Comprendre le
• La gestion des risques est un processus itératif permettant de réduire l’impact et/ou la contexte
probabilité des événements pesant sur une organisation

Communiquer
• Gouvernance : méthode d’analyse de risques, etc.
• Organisation : direction des risques, direction de l’audit & du contrôle interne, DSI, etc..

Suivre
• Outils : inventaire d’actifs, portfolio des risques, plan de traitement des risques (PTR), etc. Analyser les risques

• L’analyse des risques est un outil de pilotage qui alimente le processus de gestion des
risques
• Elle permet de justifier les plans d’actions et les budgets
Décider et traiter les
risques
L’analyse des risques est la clé de voûte du processus de gestion des risques

Quelle méthode d’analyse de risques choisir ?

• Plus de 200 méthodes sont référencées, dont un grand nombre sont obsolètes ou
confidentielles
• Les plus utilisées s’appuient sur des bases de connaissances prédéfinies (EBIOS Risk
Manager) avec des listes de vulnérabilités, de menaces…
• La plupart des méthodes présentent des inconvénients similaires
• Leur manque d’adaptabilité au contexte et aux besoins
• Leur mise en œuvre souvent lourde et difficile

Privilégier une adaptation pragmatique des méthodes du marché en les adaptant au contexte et aux besoins
112
 Source ANSSI

Démarche type d’une analyse de risques de sécurité SI

1 2 3
Étude du contexte
Étude des menaces
et expression des Cartographie des risques
et des vulnérabilités
besoins de sécurité

• Analyse du contexte • Sélection d’une liste de • Identification des scénarios de

menaces pertinentes dans le risques
• Identification des éléments
contexte
essentiels / actifs • Évaluation de la probabilité
• Étude des vulnérabilités d’occurrence des scénarios
• Expression des besoins de
pouvant être exploitées par ces
sécurité (classification) • Évaluation des impacts en cas
menaces
d’occurrence des scénarios

En collaboration avec… En collaboration avec… En collaboration avec…

Métiers DSI Direction Générale

Pilotes de processus, Directions métiers, Représentants MOE, représentants AMOA, Présentation et validation des résultats aux
etc. responsables exploitation, etc. membres du comité de direction

Cette démarche peut être appliquée pour l’analyse d’autres types de risques, avec quelques adaptations

113
 Source ANSSI

La sûreté de fonctionnement, une spécificité des systèmes industriels

La sûreté de fonctionnement consiste à maitriser les risques industriels, d’une part les défaillances des
systèmes industriels et d’une autre part les erreurs et les défaillances humaines, pour éviter ou minimiser
les conséquences sur les personnes, les biens, la productivité ou encore l’environnement.
Celle-ci est souvent confondue à tort avec la cybersécurité bien que les enjeux, la nature des menaces et la
gestion des risques associées soient différentes.

Des enjeux différents

⁄ fiabilité, disponibilité, maintenabilité et sécurité pour la sûreté de fonctionnement
⁄ disponibilité, intégrité, confidentialité et traçabilité pour la cybersécurité

Nature des menaces

⁄ accidentelles, aléatoires et statistiquement prévisibles pour la sûreté de fonctionnement
⁄ malveillantes, ciblées et imprévisibles pour la cybersécurité

Gestion des risques

⁄ Management du risque basée sur une approche essentiellement quantitative, plutôt déterministe avec gestion de
l’incertitude (calcul de probabilités, recours aux statistiques, etc.)pour la sûreté de fonctionnement
⁄ Management du risque basée sur une approche essentiellement qualitative, plutôt subjective (estimation d’expert
selon le contexte, retours d’expérience, base d’incidents, etc.)pour la cybersécurité

L’approche sûreté n’est pas suffisante pour faire face à toutes les « menaces ». La sûreté de
fonctionnement a donc besoin de la cybersécurité. De nombreux travaux en sont en cours pour
intégrer la cybersécurité dans les exigences de sûreté de fonctionnement.
 QU’EST-CE QU’UN RISQUE ?

116 PRONETIS©2022 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

 QU’EST-CE QU’UN RISQUE ?

117 PRONETIS©2022 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

 QU’EST-CE QU’UN RISQUE ?

118 PRONETIS©2022 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

 QU’EST-CE QU’UN RISQUE ?

119 PRONETIS©2022 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

 QU’EST-CE QU’UN RISQUE ?

120 PRONETIS©2022 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

 QU’EST-CE QU’UN RISQUE ?

121 PRONETIS©2022 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

 QU’EST-CE QU’UN RISQUE ?

122 PRONETIS©2022 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

 DÉFINITIONS : NIVEAU DE RISQUES

123 PRONETIS©2022 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

 MÉTRIQUE GRAVITÉ (IMPACTS) – ILLUSTRATION INDUSTRIE
La gravité est l’estimation de la hauteur des effets d’un événement redouté ou d’un risque. La gravité (ou impact)
représente l’ampleur d’un risque. Elle dépend essentiellement des DICP et du caractère préjudiciable des
impacts potentiels.
Niveau de Gravité (exemple dans le monde de la santé)

Niveau Valeur Impacts humains Impacts environnementaux Impacts consécutifs à l'arrêt du service rendu

Dépassement d’une norme de rejet

Accident déclaré avec arrêt exigeant déclaration aux autorités mais
1 Mineure Impacts lourds sur 1 000 personnes.
ou traitement médical. sans conséquence pour
l’environnement

Impacts lourds sur 100 000 personnes.

2 Significative Invalidité permanente Pollution modérée limitée au site Perturbation de l’économie régionale. Perte
temporaire d’infrastructure majeure.

Impacts lourds sur 100 000 personnes.

Pollution significative ou externe
3 Importante Un décès Perturbation de l’économie régionale. Perte
au site. Évacuation de personne
temporaire d’infrastructure majeure.

Pollution majeure avec conséquences

Impacts lourds sur 10 000 000 de personnes.
4 Critique Plusieurs décès environnementales durables externes au
Perte définitive d’une infrastructure critique
site

Les impacts dépendent très largement du secteur concerné. C’est pourquoi il

pourra
125 être nécessairePRONETIS©2022
de préciser les grilles
- Philippe par- Droits
Prestigiacomo secteur.
d'utilisation ou de reproduction réservés
MÉTRIQUE GRAVITÉ (IMPACTS) – ILLUSTRATION SANTÉ
Atteinte à l‘Image
Qualité de prise en
Gravité (Impact) Organisation Pertes Financières Engagement de
charge
Responsabilité

Visible uniquement
Sans effet sur l’état du Sans effet sur les
1 Mineure
patient processus de l’activité
Sans impact financier en interne
Divulgation limitée

Impact sur la santé Fonctionnement

Réclamations ou plaintes de patients
augmentant la durée processus perturbé – Pertes financières < 1%
2 Significative
d’hospitalisation ou de ré indisponibilité des du budget global
signalant un dysfonctionnement
grave – visible par peu de patients
hospitalisation ressources

Réclamations ou plaintes de patients

Aggravation de l’état de Arrêt temporaire de liés au non respect des bonnes
Pertes financières <
3 Importante santé - chance limitée l’activité, fermeture
5% du budget global
pratiques de prise en charge -
pour une victime partielle débouchant sur une sanction
disciplinaire – visible au niveau local

Visible par un nombre important de

Perte de chance pour un Arrêt prolongé de l’activité, patients / niveau régional ou national
Pertes financières >
4 Critique patient, décès, effet fermeture de
10% du budget global
- Plainte de victimes débouchant sur
irréversible sur la santé l’établissement la condamnation civile ou pénale
d'un responsable

126 PRONETIS©2022 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

 MÉTRIQUE VRAISEMBLANCE

La vraisemblance est l’estimation de la possibilité qu’une menace se produise

La vraisemblance traduit la faisabilité d’un risque. Elle dépend essentiellement des vulnérabilités
des supports face aux menaces et des capacités des sources de risques à les exploiter.

Echelle de vraisemblance

Niveau Valeur Description

Théoriquement possible mais jamais rencontré dans l’établissement ou réalisable dans des conditions très
1 Exceptionnel
difficiles; événement très rare s’il s’agit d’un accident ( une fois sur plusieurs dizaines d’années)

Déjà rencontré une ou plusieurs fois (moins d’une fois par an) ou réalisable dans des conditions difficiles ou
2 Peu probable
malveillance présentant peu d’intérêt

Rencontré assez fréquemment, réalisable avec des moyens limités en cas de malveillance ou de probabilité très
3 Plausible
plausible pour un incident involontaire (au moins une fois par an)

Cas systématique ou fréquent (plusieurs fois par an), réalisable facilement, avec un intérêt évident en cas de
4 Quasi certain
malveillance

127 PRONETIS©2022 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

 NIVEAU DE RISQUE
Gravité

4
Critique

Importante 3

Significative
2
Mineure
1

1 2 3 4 Vraisemblance
Exceptionnel Peu probable Plausible Quasi-certain

Echelle de niveaux de risque

Niveau Valeur Description
les personnes concernées pourraient connaître des désagréments significatifs, qu’elles pourront surmonter
1 Limité malgré quelques difficultés (frais supplémentaires, refus d’accès à des prestations commerciales, peur,
incompréhension, stress, affection physique mineure…).
les personnes concernées pourraient connaître des conséquences significatives, qu’elles devraient pouvoir
2 Modéré surmonter, mais avec de sérieuses difficultés (détournements d’argent, interdiction bancaire, dégradation de
biens, perte d’emploi, assignation en justice, aggravation de l’état de santé…).
les personnes concernées pourraient connaître des conséquences significatives, voire irrémédiables, qu’elles
3 Fort pourraient ne pas surmonter (péril financier tel que des dettes importantes ou une impossibilité de travailler,
128 PRONETIS©2022
affection psychologique - Philippe
ou physique dePrestigiacomo
longue durée,-décès…).
Droits d'utilisation ou de reproduction réservés
129 PRONETIS©2022 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
 CRITERES DIC (DISPONIBILITE, INTEGRITE, CONFIDENTIALITÉ)

 Disponibilité (D) : La disponibilité des SI permet de garantir en permanence la

communication et l’échange des données


 Intégrité (I) : L’intégrité est l’objectif d’exactitude et de fiabilité des données et

des traitements. Les SI doivent garantir que les informations sont identiques et
inaltérables dans le temps et l’espace et certifier leur exhaustivité, leur validité et
leur cohérence.

 Confidentialité (C) : La confidentialité permet de réserver l’accès aux données aux

seules personnes autorisées.

130 PRONETIS©2022 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

MÉTRIQUES : DISPONIBILITÉ – INTÉGRITÉ - CONFIDENTIALITÉ
Disponibilité
Valeur Description
1 Un arrêt max de 72 heures
2 Un arrêt max de 24 heures
3 Un arrêt max de 12 heures
4 Un arrêt max de 4 heures

Intégrité
Valeur Description
1 Un perte d’intégrité des informations ou des fonctions n’a pas de conséquence significative
2 Un perte d’intégrité des informations ou des fonctions est dommageable (saisies supplémentaires, délais) -
Quelques erreurs sont tolérées.
3 Une perte d’intégrité des informations ou des fonctions est grave, portant atteinte aux intérêts d’un client,
ou entraînant des pertes financières limitée - Très peu d’erreurs sont tolérées.
4 Une perte d’intégrité des informations ou des fonctions est très grave - Aucune erreur n’est tolérée.

Confidentialité
Valeur Description
1 Une perte de confidentialité des informations n’a pas de conséquence significative – info publique
2 Une perte de confidentialité des informations est dommageable – accès protégé
3 Une perte de confidentialité des informations est grave – accès restreint - info nominative
4 Une perte de confidentialité des informations est très grave - secret médical est renforcé

131 PRONETIS©2022 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

 PRINCIPES FONDAMENTAUX DE LA SÉCURITÉ

132 PRONETIS©2022 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

 DÉFINITIONS
 Menace: attaque possible d'un individu ou d'un élément naturel sur des biens (ici, des informations) entraînant des
conséquences potentielles négatives. Elle est souvent caractérisée par une expertise de l'attaquant, ses ressources
disponibles et sa motivation.
Exemple: un développeur modifie le code source en vue de détournement de fonds (grande expertise et forte motivation si les flux
financiers sont importants), vol d'un ordinateur portable lors d'un déplacement (peu d'expertise nécessaire),...

 Vulnérabilité: caractéristique d'une entité qui peut constituer une faiblesse ou une faille au regard de la sécurité de
l'information. Ces vulnérabilités peuvent être organisationnelle (ex: pas de politique de sécurité), humaine (ex: pas
de formation des personnels), logicielles ou matérielles (ex: utilisation de produits peu fiables ou non testés),...
Exemple: les fichiers sur les ordinateurs portables ne sont pas chiffrés.

 Impact: conséquence sur l'organisme de la réalisation d'une menace. L'impact peut être exprimé financièrement, ou
dans une échelle qui dépend du contexte
 Impact financier ou pertes financières
 Impact sur la production
 Impact sur l’image de marque et les responsabilités (juridique) : engagement de responsabilités
 Impact sur l’organisation de l’établissement (désorganisation …)

133 PRONETIS©2022 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

 SYNTHESE

137 PRONETIS©2022 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

 TRAITEMENT DU RISQUE

 Traitement du risque: processus de sélection et de mise en œuvre visant à

modifier le risque, ce qui signifie une réduction du risque, un transfert du
risque ou une prise de risque.

 Réduction du risque: processus visant à minimiser les conséquences négatives et

les opportunités d’une menace.

 Partage du risque: partage avec une autre partie de la charge de la perte d’un
risque particulier (souscription d’assurance par exemple)

 Evitement du risque : refus du risque en agissant sur la cause ou les conséquences

 Acceptation du risque: décision d’accepter un risque traité selon les critères de

risques

138 PRONETIS©2022 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

 UTILISATION DE WOOCLAP

 Sondage à partir d’un navigateur Web ou d’une App (smart phone)

1. Aller sur https://www.wooclap.com/
2. Rentrer le code donné par le formateur

CODE A SAISIR : ORXLEE

139 PRONETIS©2022 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

 RÉSUMÉ DU MODULE

Gestion des
risques

Définitions, Norme
métriques et ISO/IEC
illustrations 27005

Méthodes
d’analyse de
risques

140 PRONETIS©2022 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés