Académique Documents
Professionnel Documents
Culture Documents
2 Risques Cybersécurité
5 Introduction à l’Audit SI
1
Les fondements
Fondements
Cette définition est généralement étendue et on définit un risque à l’aide de ce que l’on nomme «
Risques
l’équation du risque » :
RISQUE = MENACE * VULNÉRABILITÉ * IMPACT
La gestion des risques informatiques est l'application des principes de gestion des
risques à une organisation informatique afin de gérer les risques associés au terrain.
Gestion de
risques
La gestion des risques informatiques vise à gérer les risques liés à la propriété,
l'implication, le fonctionnement, l'influence, l'adoption et l'utilisation des technologies de
l'information dans le cadre d'une grande entreprise.
Fondements
Les Principes fondamentaux de la sécurité de l’information
1 Disponibilité: propriété d'être accessible et utilisable à la demande par une entité autorisée
3 Confidentialité: propriété selon laquelle l'information n'est pas diffusée ni divulguée à des personnes,
des entités ou des processus non autorisés
Fondements
Type de risques
la cybercriminalité l’espionnage
Risques Cyber
Attaque par hameçonnage (« phishing ») : Attaque par rançongiciel (« ransomware ») :
L’objectif : Opérer une usurpation d’identité afin d’obtenir des L’objectif : crypter des données puis demander à leur
renseignements personnels et des identifiants bancaires pour en propriétaire d'envoyer de l'argent en échange de la clé qui
faire un usage criminel. permettra de les décrypter
L’objectif : rendre le site, et donc le service attendu, indisponible. L’objectif : modifier l’apparence ou le contenu d’un site, et donc
altérer l’intégrité des pages.
Risques Cyber
ATTAQUE PAR POINT D’EAU ATTAQUE PAR HAMEÇONNAGE CIBLÉ
(WATERING HOLE): (SPEARPHISHING):
Objectif : infiltrer discrètement les ordinateurs de personnels Objectif : infiltrer le système d’information d’une organisation
œuvrant dans un secteur d’activité ou une organisation ciblée pour d’un secteur d’activité ciblé.
récupérer des données.
Le sabotage informatique est le fait de rendre inopérant tout ou partie d’un système
d’information d’une organisation via une attaque informatique.
Exercice
Faire correspondre les attaques aux atteintes :
La gestion des risques consiste : à identifier les risques (menaces, potentialité, probabilité de survenance);
à les évaluer selon des critères propres à chaque entreprise, tenant compte
tant des faiblesses des protections (exposition aux risques, vulnérabilités) ainsi
que des conséquences potentielles pour l'entreprise (impact, enjeu).
La gestion des risques doit être un processus permanent. La réévaluation la modification dans la configuration des réseaux
des risques doit intervenir en temps opportun : de manière périodique ou
lors d’événements tels que :
la réorganisation d'un département
la mutation de responsables
Pour l’estimation des risques, il est possible en théorie de les quantifier à l’aide de distributions de
probabilités sur les menaces et les vulnérabilités, ainsi qu’en estimant les coûts occasionnés par les
impacts.
En pratique, il se révèle difficile de donner des valeurs absolues et on se contente bien souvent
d’une échelle de valeurs relatives, par exemple, allant de 1 à 4. Cette estimation permet de faire un
choix, représenté sur la figure ci-dessous, dans le traitement du risque, avant de passer à la
détermination des exigences de sécurité.
Gestion des Risques
Les différentes zones de risque
Les risques ayant une occurrence forte et un impact faible sont acceptés,
leur coût est généralement inclus dans les coûts opérationnels de
l’organisation (acceptation du risque).
Enfin, les autres risques, en général majoritaires, sont traités au cas par
cas et sont au centre du processus de gestion des risques ; l’objectif,
étant de diminuer les risques en les rapprochant au maximum de
l’origine de l’axe (mitigation du risque à l’aide de contrôles).
Gestion des Risques
Une fois l’analyse des risques effectuée, la définition des exigences de sécurité permettra de
réduire les risques identifiés.
Le dernier niveau de raffinement est constitué par la sélection des contrôles (ou
contremesures) de sécurité. Les contrôles sont l’instanciation des exigences de bas
niveau pour le système cible étudié. Ici sont définis les choix techniques des solutions
de sécurité, influencés par le système déjà en place, les compétences disponibles, les
coûts de mise en œuvre.
Une fois les contrôles sélectionnés, il reste alors à les implémenter dans le SI et à
éventuellement les tester et les évaluer. Il subsiste alors indéniablement une part de
risques traités partiellement ou non, qui constitue ce que l’on appelle le risque résiduel.
Gestion des Risques
Identifier les biens à
Risque 1
protéger
Niveau de risque
Risque 2
Gravité
Risque 3
Seuil de prise
Menaces
en compte du
Probabilité Risque 4 risque
d’occurrence
Risque 5
Définition objectifs
devoir mettre en œuvre
Contre-mesure(s)
Risque 2 sécurité technique(s) pour protéger son S.I.
Définition objectifs Contre-mesure(s)
Risque 3 sécurité organisationnelle(s)
Risque 4
Risque 5
Gestion des Risques
▪ Surveillance et réexamen des risques
Selon l’ISO 27000, la surveillance est la détermination du statut d’un système, d’un processus ou d’une
activité. Pour déterminer le statut, il peut s’avérer nécessaire de vérifier, de superviser ou d’observer de
manière critique.
Il convient de surveiller et d’examiner régulièrement les risques et leur surveillance pour s’assurer que:
1. Les hypothèses concernant les risques sont toujours valides
2. Les hypothèses sur lesquelles repose l’évaluation des risques sont toujours valides
3. Les résultats prévus sont sur le point d’être atteints
4. Les résultats de l’évaluation des risques sont en accord avec l’expérience réelle
5. Les technique d’évaluation des risques sont correctement appliquées
6. Les traitement des risques sont efficaces
Gestion des Risques
Surveillance et réexamen des facteurs risques
Les risques ne sont pas statiques. Les menaces, les vulnérabilités, la vraisemblance ou les conséquences peuvent
changer brutalement sans aucune indication préalable.
Par conséquent, une surveillance constante est nécessaire pour détecter ces changements. Cette surveillance peut être
assurée par des services externes qui fournissent des informations relatives à de nouvelles menaces ou vulnérabilités
Il convient que les organismes s'assurent que les éléments suivants sont constamment surveillés:
— les nouveaux actifs ayant été inclus dans le domaine d'application de la gestion des risques;
— les modifications nécessaires des valeurs des actifs, en raison par exemple des modifications des exigences métier;
— les nouvelles menaces susceptibles d'être actives à la fois à l'intérieur et à l'extérieur de l'organisme et qui n'ont pas été
appréciées;
— la possibilité que des vulnérabilités nouvelles ou accrues puissent permettre aux menaces de les exploiter;
— les vulnérabilités identifiées pour déterminer celles qui deviennent exposées à des menaces nouvelles ou qui
réapparaissent;
— l'augmentation de l'impact ou des conséquences de menaces, vulnérabilités et risques agrégés appréciés entraînant un
niveau de risque inacceptable;
— les incidents liés à la sécurité de l'information.
Gestion des Risques
▪ Surveillance et réexamen de la gestion des risques
Une surveillance et un réexamen continus sont essentiels pour établir les résultats de l’évaluation
et du traitement des risques.
Les plans de surveillance des risques devraient demeurer pertinents et approprié aux
circonstances
L’amélioration continue est un processus visant à accroitre l’efficacité et l’efficience de l’organisme pour
atteindre ses politiques et ses objectifs.
Gestion de Risques
Résumé
Les diverses approches méthodologiques de gestion des risques se doivent toutes d’aborder les étapes suivantes :
• identification des risques, par raisonnement, imagination et simulation de scénarios ;
• évaluation des conséquences financières et non financières des sinistres ;
• détermination de la capacité financière de l’entreprise ainsi que de ses objectifs généraux ;
• répartition des risques en risques majeurs et mineurs ; - évaluation du niveau de sécurité existant (audit) ;
• examen des mesures envisageables pour :
• éliminer les risques, si possible (élimination) ;
• réduire la probabilité de survenance (prévention) ;
• limiter l’amplitude (protection) ;
• étude du plan de survie réalisable pour réagir vis-à-vis des risques majeurs ;
• arbitrage pour les risques majeurs entre :
• Le plan de survie réalisable ;
• Les mesures de prévention possibles ;
• La remise en cause éventuelle des objectifs généraux ;
• équilibrage pour les risques mineurs des mesures en fonction des contraintes de l’entreprise et de leur rapport
qualité/coût ;
• recours à l’assurance pour :
- financer le plan de survie ;
- transférer les risques résiduels ;
formalisation des mesures ci-dessus sous forme d’un plan pour l’amélioration de la sécurité pour les années à venir.
Gestion des Risques
Exemples de contrôles
Politique de sécurité, procédure de secours, Politique,
sensibilisation… procédures
Sécurité
Gardiens, verrous, contrôle d’accès… physique
DMZ
Pare-feu, VPN, Zone démilitarisée…
Réseau
Interne
Sous-réseau, NIDS, VLAN…
Machine
Antivirus, Correctifs de sécurité, HIDS, Authentification
Le traitement d’une catégorie de risques aura souvent des répercussions sur celui des autres catégories.
Les mesures de prévention mises en œuvre pour un type de risque peuvent avoir des effets bénéfiques pour d’autres.
Par exemple, la conservation de copies de sécurité en divers endroits extérieurs à l’entreprise pour se protéger contre les conséquences
d’un incendie permettra également de maîtriser une neutralisation provoquée par une attaque extérieure, voire une occupation de
l’entreprise.
Inversement, les mesures prises pour limiter certains risques peuvent en aggraver d’autres.
La protection contre l’intrusion tend à réduire le nombre des accès, tandis que l’évacuation du personnel en cas
d’incendie demande leur multiplication. Corollairement, la multiplication des endroits de conservation des copies
de sécurité accroît les risques d’accès non autorisés à celles-ci
Gestion des Risques
Cartographie des risques
Gravité: 1 à 4
Occurrence : 1 à 4(Rare, Occasionnel, Probable, Fréquent)
Impact : léger, moyen, élevé, Très élevé
Gestion des Risques
Une analyse de risque peut être assez complexe et nécessite rigueur et méthode, il faut notamment
trouver le bon niveau abstraction.
Voici 3 exemples de méthodes d’analyses de risque compatibles avec les lignes directrices de l’ISO
27005 :
Le stockage
A qui appartiennent légalement les données lorsqu’elles sont hébergées ?
Quelles sont les mesures de protection des données stockées?
Les systèmes sont-ils mutualisés avec d’autres clients ou nous sont-ils dédiés ?
Qui doit fournir les clés cryptographiques ?
Comment les données sont-elles sauvegardées, redondées ?
La frontière entre nos informations privées et nos informations professionnelles devient donc très floue ;
Dès que les informations sont stockées sur un smartphone personnel, l’entreprise en perd la maitrise (l’équipement ne lui appartient pas, elle
ne peut pas imposer ses règles…).
Questions