Introduction à la gestion de risque sur

la cyber sécurité Mr Diop

Ingénieur en Réseaux
Système et sécurité
Spécialité : SMSI
Programme
du cours
1 Les fondements

2 Risques Cybersécurité

3 Gestion des Risques

4 Enjeux de la sécurité sur les nouvelles

technologie (Cloud, Big Data, BYOD)

5 Introduction à l’Audit SI
1

Les fondements
 Fondements

Le risque est la combinaison de probabilité d’évènement et de sa conséquence.20

Cette définition est généralement étendue et on définit un risque à l’aide de ce que l’on nomme «
Risques
l’équation du risque » :
RISQUE = MENACE * VULNÉRABILITÉ * IMPACT

La gestion des risques informatiques est l'application des principes de gestion des
risques à une organisation informatique afin de gérer les risques associés au terrain.
Gestion de
risques
La gestion des risques informatiques vise à gérer les risques liés à la propriété,
l'implication, le fonctionnement, l'influence, l'adoption et l'utilisation des technologies de
l'information dans le cadre d'une grande entreprise.
 Fondements
Les Principes fondamentaux de la sécurité de l’information

1 Disponibilité: propriété d'être accessible et utilisable à la demande par une entité autorisée

2 Intégrité: propriété d'exactitude et de complétude

3 Confidentialité: propriété selon laquelle l'information n'est pas diffusée ni divulguée à des personnes,
des entités ou des processus non autorisés
 Fondements
Type de risques

Humain Juridique Technique

L’ouverture des applications informatiques par

Les risques humains sont les plus
le web et la multiplication des messages Les risques techniques sont tout simplement
importants, même s’ils sont le plus souvent
électroniques augmentent les risques juridiques ceux liés aux défauts et pannes inévitables
ignorés ou minimisés. Ils concernent les
liés à l'usage des technologies de l'information que connaissent tous les systèmes matériels
utilisateurs mais également les
et logiciels.
informaticiens eux-mêmes.
 Risques Cyber
Une cyber-attaque est une atteinte à des systèmes informatiques réalisée dans un but malveillant.
Elle cible différents dispositifs informatiques

Il existe quatre types de risques cyber aux conséquences diverses, affectant

directement ou indirectement les particuliers, les administrations et les entreprises :

l’atteinte à l’image le sabotage

la cybercriminalité l’espionnage
 Risques Cyber
Attaque par hameçonnage (« phishing ») : Attaque par rançongiciel (« ransomware ») :

L’objectif : Opérer une usurpation d’identité afin d’obtenir des L’objectif : crypter des données puis demander à leur
renseignements personnels et des identifiants bancaires pour en propriétaire d'envoyer de l'argent en échange de la clé qui
faire un usage criminel. permettra de les décrypter

Attaque par déni de service (ddos) Attaque par « défiguration » (« defacement »)

L’objectif : rendre le site, et donc le service attendu, indisponible. L’objectif : modifier l’apparence ou le contenu d’un site, et donc
altérer l’intégrité des pages.
 Risques Cyber
ATTAQUE PAR POINT D’EAU ATTAQUE PAR HAMEÇONNAGE CIBLÉ
(WATERING HOLE): (SPEARPHISHING):
Objectif : infiltrer discrètement les ordinateurs de personnels Objectif : infiltrer le système d’information d’une organisation
œuvrant dans un secteur d’activité ou une organisation ciblée pour d’un secteur d’activité ciblé.
récupérer des données.

Le sabotage informatique est le fait de rendre inopérant tout ou partie d’un système
d’information d’une organisation via une attaque informatique.
 Exercice
Faire correspondre les attaques aux atteintes :
les atteintes à la disponibilité :
les atteintes à la confidentialité :
les atteintes à l’intégrité :
Attaque par rançongiciel (« ransomware ») :
Attaque par hameçonnage (« phishing ») :
Attaque par « défiguration » (« defacement »)
Attaque par déni de service (ddos)
ATTAQUE PAR HAMEÇONNAGE CIBLÉ
(SPEARPHISHING):
ATTAQUE PAR POINT D’EAU
(WATERING HOLE):
Attaque pour sabotage
 Gestion des Risques
Les mesures de sécurité informatique se construisent au départ d'une gestion des risques, pour laquelle il
existe plusieurs approches possibles. Elles se résument toutes à quelques aspects essentiels.
Un risque est la potentialité d'une menace donnée d'exploiter une vulnérabilité d'une entité et donc d'occasionner
un dommage à l'entreprise.

La gestion des risques consiste : à identifier les risques (menaces, potentialité, probabilité de survenance);

à les évaluer selon des critères propres à chaque entreprise, tenant compte
tant des faiblesses des protections (exposition aux risques, vulnérabilités) ainsi
que des conséquences potentielles pour l'entreprise (impact, enjeu).

le lancement d'une nouvelle application

La gestion des risques doit être un processus permanent. La réévaluation la modification dans la configuration des réseaux
des risques doit intervenir en temps opportun : de manière périodique ou
lors d’événements tels que :
la réorganisation d'un département

la mutation de responsables

Tout ceci va donc requérir une méthode de « gestion du changement » adéquate.

 Gestion de Risques
La gestion des risques, « dans son plus simple appareil », se compose de trois blocs interdépendants. Nous distinguons
l’organisation cible de l’étude, définie par ses assets et ses besoins de sécurité, puis les risques pesant sur ces assets et enfin les
mesures prises ayant pour but de traiter les risques et donc d’assurer un certain niveau de sécurité.

Les concepts de la gestion des risques

 Gestion des Risques
Les assets sont définis comme étant l’ensemble des biens, actifs, ressources ayant de la valeur pour
l’organisme et nécessaires à son bon fonctionnement. On distingue ici les assets du niveau business des
assets liés au SI.
• Du côté des assets business, on retrouve principalement des informations (par exemple des numéros
de carte bancaire) et des processus (comme la gestion des transactions ou l’administration des
comptes).
• On retrouve dans les assets système les éléments techniques, tels les matériels, les logiciels et les
réseaux, mais aussi l’environnement du système informatique, comme les utilisateurs ou les
bâtiments. C’est cet ensemble qui forme le SI.
Le but de la gestion des risques est donc d’assurer la sécurité des assets, sécurité exprimée la plupart du
temps en termes de confidentialité, intégrité et disponibilité, constituant les objectifs de sécurité.
 Gestion des Risques
La première étape d’une démarche de gestion des risques
consiste à l’identification du domaine et des assets.
Dans cette partie, il est question de prendre connaissance
avec l’organisation, son environnement, son SI et de
déterminer précisément les limites du système sur lequel
va porter l’étude de gestion des risques.

La détermination des objectifs de sécurité vise à spécifier les

besoins en termes de confidentialité, intégrité et disponibilité
des assets, en particulier au niveau business.

L’analyse des risques constitue le cœur de la démarche de gestion

des risques. Elle a pour finalité l’identification et l’estimation de
chaque composante du risque (menace/vulnérabilité/impact), afin
d’évaluer le risque et d’apprécier son niveau, dans le but de
prendre des mesures adéquates (parfois, cette étape est également
appelée « appréciation du risque »).
Processus Gestion des risques
 Gestion des Risques

Pour l’estimation des risques, il est possible en théorie de les quantifier à l’aide de distributions de
probabilités sur les menaces et les vulnérabilités, ainsi qu’en estimant les coûts occasionnés par les
impacts.
En pratique, il se révèle difficile de donner des valeurs absolues et on se contente bien souvent
d’une échelle de valeurs relatives, par exemple, allant de 1 à 4. Cette estimation permet de faire un
choix, représenté sur la figure ci-dessous, dans le traitement du risque, avant de passer à la
détermination des exigences de sécurité.
Gestion des Risques
Les différentes zones de risque

D’une manière générale, on considère que :

Les risques ayant une occurrence et un impact faible sont négligeables.

Les risques ayant une forte occurrence et un impact important ne

doivent pas exister, autrement une remise en cause des activités de
l’entreprise est nécessaire (on évite le risque, avoidance en anglais)

Les risques ayant une occurrence forte et un impact faible sont acceptés,
leur coût est généralement inclus dans les coûts opérationnels de
l’organisation (acceptation du risque).

Les risques ayant une occurrence faible et un impact lourd sont à

transférer. Ils peuvent être couverts par une assurance ou un tiers
(transfert du risque).

Enfin, les autres risques, en général majoritaires, sont traités au cas par
cas et sont au centre du processus de gestion des risques ; l’objectif,
étant de diminuer les risques en les rapprochant au maximum de
l’origine de l’axe (mitigation du risque à l’aide de contrôles).
 Gestion des Risques

Une fois l’analyse des risques effectuée, la définition des exigences de sécurité permettra de
réduire les risques identifiés.
Le dernier niveau de raffinement est constitué par la sélection des contrôles (ou
contremesures) de sécurité. Les contrôles sont l’instanciation des exigences de bas
niveau pour le système cible étudié. Ici sont définis les choix techniques des solutions
de sécurité, influencés par le système déjà en place, les compétences disponibles, les
coûts de mise en œuvre.

Une fois les contrôles sélectionnés, il reste alors à les implémenter dans le SI et à
éventuellement les tester et les évaluer. Il subsiste alors indéniablement une part de
risques traités partiellement ou non, qui constitue ce que l’on appelle le risque résiduel.
 Gestion des Risques
Identifier les biens à
Risque 1
protéger

Niveau de risque
Risque 2
Gravité
Risque 3
Seuil de prise
Menaces
en compte du
Probabilité Risque 4 risque
d’occurrence
Risque 5

Définition objectifs Contre-mesure(s)

Plan d’actions de SSI
Risque 1 sécurité technique(s) que l’entreprise va
Niveau de risque

Définition objectifs
devoir mettre en œuvre
Contre-mesure(s)
Risque 2 sécurité technique(s) pour protéger son S.I.
Définition objectifs Contre-mesure(s)
Risque 3 sécurité organisationnelle(s)

Risque 4
Risque 5
 Gestion des Risques
▪ Surveillance et réexamen des risques

Selon l’ISO 27000, la surveillance est la détermination du statut d’un système, d’un processus ou d’une
activité. Pour déterminer le statut, il peut s’avérer nécessaire de vérifier, de superviser ou d’observer de
manière critique.

Il convient de surveiller et d’examiner régulièrement les risques et leur surveillance pour s’assurer que:
1. Les hypothèses concernant les risques sont toujours valides
2. Les hypothèses sur lesquelles repose l’évaluation des risques sont toujours valides
3. Les résultats prévus sont sur le point d’être atteints
4. Les résultats de l’évaluation des risques sont en accord avec l’expérience réelle
5. Les technique d’évaluation des risques sont correctement appliquées
6. Les traitement des risques sont efficaces
 Gestion des Risques
Surveillance et réexamen des facteurs risques
Les risques ne sont pas statiques. Les menaces, les vulnérabilités, la vraisemblance ou les conséquences peuvent
changer brutalement sans aucune indication préalable.

Par conséquent, une surveillance constante est nécessaire pour détecter ces changements. Cette surveillance peut être
assurée par des services externes qui fournissent des informations relatives à de nouvelles menaces ou vulnérabilités

Il convient que les organismes s'assurent que les éléments suivants sont constamment surveillés:

— les nouveaux actifs ayant été inclus dans le domaine d'application de la gestion des risques;
— les modifications nécessaires des valeurs des actifs, en raison par exemple des modifications des exigences métier;
— les nouvelles menaces susceptibles d'être actives à la fois à l'intérieur et à l'extérieur de l'organisme et qui n'ont pas été
appréciées;
— la possibilité que des vulnérabilités nouvelles ou accrues puissent permettre aux menaces de les exploiter;
— les vulnérabilités identifiées pour déterminer celles qui deviennent exposées à des menaces nouvelles ou qui
réapparaissent;
— l'augmentation de l'impact ou des conséquences de menaces, vulnérabilités et risques agrégés appréciés entraînant un
niveau de risque inacceptable;
— les incidents liés à la sécurité de l'information.
 Gestion des Risques
▪ Surveillance et réexamen de la gestion des risques

Une surveillance et un réexamen continus sont essentiels pour établir les résultats de l’évaluation
et du traitement des risques.

Les plans de surveillance des risques devraient demeurer pertinents et approprié aux
circonstances

▪ Amélioration continue de la gestion des risques

L’amélioration continue est un processus visant à accroitre l’efficacité et l’efficience de l’organisme pour
atteindre ses politiques et ses objectifs.
 Gestion de Risques
Résumé
Les diverses approches méthodologiques de gestion des risques se doivent toutes d’aborder les étapes suivantes :
• identification des risques, par raisonnement, imagination et simulation de scénarios ;
• évaluation des conséquences financières et non financières des sinistres ;
• détermination de la capacité financière de l’entreprise ainsi que de ses objectifs généraux ;
• répartition des risques en risques majeurs et mineurs ; - évaluation du niveau de sécurité existant (audit) ;
• examen des mesures envisageables pour :
• éliminer les risques, si possible (élimination) ;
• réduire la probabilité de survenance (prévention) ;
• limiter l’amplitude (protection) ;
• étude du plan de survie réalisable pour réagir vis-à-vis des risques majeurs ;
• arbitrage pour les risques majeurs entre :
• Le plan de survie réalisable ;
• Les mesures de prévention possibles ;
• La remise en cause éventuelle des objectifs généraux ;
• équilibrage pour les risques mineurs des mesures en fonction des contraintes de l’entreprise et de leur rapport
qualité/coût ;
• recours à l’assurance pour :
- financer le plan de survie ;
- transférer les risques résiduels ;
formalisation des mesures ci-dessus sous forme d’un plan pour l’amélioration de la sécurité pour les années à venir.
 Gestion des Risques
Exemples de contrôles
Politique de sécurité, procédure de secours, Politique,
sensibilisation… procédures

Sécurité
Gardiens, verrous, contrôle d’accès… physique

DMZ
Pare-feu, VPN, Zone démilitarisée…

Réseau
Interne
Sous-réseau, NIDS, VLAN…

Machine
Antivirus, Correctifs de sécurité, HIDS, Authentification

Contrôle des entrées, test d’intrusion, Application

communication (https, ssh…), traçabilité…
Donnée
Chiffrement, mots de passe, droit d’accès par fichier/répertoire
 Gestion des Risques
Interdépendance du traitement des risques

Le traitement d’une catégorie de risques aura souvent des répercussions sur celui des autres catégories.
Les mesures de prévention mises en œuvre pour un type de risque peuvent avoir des effets bénéfiques pour d’autres.

Par exemple, la conservation de copies de sécurité en divers endroits extérieurs à l’entreprise pour se protéger contre les conséquences
d’un incendie permettra également de maîtriser une neutralisation provoquée par une attaque extérieure, voire une occupation de
l’entreprise.

Inversement, les mesures prises pour limiter certains risques peuvent en aggraver d’autres.

La protection contre l’intrusion tend à réduire le nombre des accès, tandis que l’évacuation du personnel en cas
d’incendie demande leur multiplication. Corollairement, la multiplication des endroits de conservation des copies
de sécurité accroît les risques d’accès non autorisés à celles-ci
 Gestion des Risques
Cartographie des risques

Risque Vulnérabilité Menace Gravité Occurrences Impact Contrôles

Gravité: 1 à 4
Occurrence : 1 à 4(Rare, Occasionnel, Probable, Fréquent)
Impact : léger, moyen, élevé, Très élevé
 Gestion des Risques
Une analyse de risque peut être assez complexe et nécessite rigueur et méthode, il faut notamment
trouver le bon niveau abstraction.

Voici 3 exemples de méthodes d’analyses de risque compatibles avec les lignes directrices de l’ISO
27005 :

EBIOS : Expression des Besoins et Identification des Objectifs de Sécurité

développée par le Club EBIOS auquel participe l’ANSSI, l’Agence nationale de la sécurité des
systèmes d’information

MEHARI : MEthode Harmonisée d'Analyse de Risques

développée par le CLUSIF, Club de la Sécurité de l’Information Français

OCTAVE : Operationally Critical Threat, Asset, and Vulnerability Evaluation

développée par l’Université de Carnegie Mellon.
 Cloud
Le recours à des services type Cloud pose de nouvelles problématiques que l’entreprise se doit de
résoudre, notamment :

Le choix d’un fournisseur

Est-ce que le fournisseur dispose de certification relatives à l’hébergement (Exemple : SAS 70 II)?
Est-ce que le fournisseur est agréé par une autorité nationale?

Le stockage
A qui appartiennent légalement les données lorsqu’elles sont hébergées ?
Quelles sont les mesures de protection des données stockées?
Les systèmes sont-ils mutualisés avec d’autres clients ou nous sont-ils dédiés ?
Qui doit fournir les clés cryptographiques ?
Comment les données sont-elles sauvegardées, redondées ?

Le transport des données

Qui fournit l’infrastructure de transport?
quels sont les mécanismes de sécurité en place?

Fin de contrat : réversibilité

Que deviennent les données lorsque le contrat expire ? Comment sont-elles restituées au client,
supprimées du Cloud et qu’advient-il des données sauvegardées sur bande ?
 Big Data
« Big Data » recouvre l’exploitation des données massives impossibles à manipuler avec les outils classiques comme les bases de
données.
Le « Big Data » comme outil de sécurité :
Modélisation des comportements et détection des anomalies sur la base de corrélation des données issues du trafic réseau ;
Détection possible des attaques persistantes avancées (APT) ;
Meilleure efficacité des outils tels que des SIEM, IDS, ou IPS ;
Surveillance du trafic réseau pour identifier des botnets.

Le « Big Data » représente un enjeu pour la sécurité des S.I. :

La source de données doit être fiable, et intègre (comme dans toute collecte d’information) ;
L’anonymisation des données manipulées représente une véritable difficulté compte tenu de leur volume important ;
La localisation des données car le « big data » est souvent exploité dans le « cloud » et les réglementations applicables ;
La protection de données exploitées est importante et le chiffrement peut être difficile à assurer. Un vol de données aura une
ampleur beaucoup plus importante
 BYOD

Focus sur le smartphone personnel (ou la tablette personnelle) :

• Il nous accompagne au travail, lors de nos déplacements ;

• On le connecte à notre PC de bureau pour le recharger en USB ;
• Il remplace souvent notre téléphone professionnel, peut-être moins performant ou restreint en terme de fonctionnalités ;
• Pour des raisons de facilité, on y configure notre messagerie professionnelle, nos contacts, notre emploi du temps… autant
d’informations qui peuvent potentiellement être sensibles pour l’entreprise.

La frontière entre nos informations privées et nos informations professionnelles devient donc très floue ;

Dès que les informations sont stockées sur un smartphone personnel, l’entreprise en perd la maitrise (l’équipement ne lui appartient pas, elle
ne peut pas imposer ses règles…).
Questions