Académique Documents
Professionnel Documents
Culture Documents
LOI DE MURPHY
Tout ce qui peut bien… ou mal tourner
© Clusif 2022
2
INTRODUCTION
Les analyses de risques appliquées à la sécurité des SI, apparues en même temps que les SI eux-mêmes, sont maintenant de plus
en plus répandues, que ce soit dans les entreprises privées ou dans les organismes publics. Un grand nombre de méthodologies
(gratuites ou payantes) existent, de même que des outils plus ou moins sophistiqués. De plus en plus de normes et de règlements
nationaux ou sectoriels encadrent et/ou imposent la pratique de ces analyses.
Pour connaitre ces différentes méthodes, ainsi que leurs principes, avantages et inconvénients, se reporter au document du
Clusif : « Analyse de risques en pratique ».
On pourrait donc penser que la réalisation d’analyses de risques SSI est devenue un exercice simple et maitrisé.
Malheureusement, il n’en est rien, et le but de ce document est d’exposer – de façon légèrement humoristique, néanmoins
réaliste – un certain nombre d’écueils rencontrés par toutes les entreprises dans leurs activités d’analyse de risques de sécurité.
Nous avons structuré ce document en plusieurs parties, correspondant aux divers temps des analyses de risques : stratégie,
organisation, méthode, analyse des composantes des risques, résultats.
Dans chaque partie, nous citons les dysfonctionnements les plus courants, en les illustrant par le titre d’un film et une histoire
vécue, puis nous exposons de façon très synthétique le rappel des bonnes pratiques. A ce propos, nous tenons à remercier tous
les RSSI, Risk Managers et consultants qui nous ont aidés à enrichir ce document avec des anecdotes réelles.
Et comme il faut aussi parfois voir le verre à moitié plein, certaines anecdotes ne sont pas des écueils mais des success stories !
© Clusif 2022
3
THÈMES
Stratégie p. 4
Organisation p. 6
Loi de Murphy
Tout corps plongé dans une Méthode p. 12
baignoire déclenche
systématiquement la sonnerie
du téléphone Analyse des composantes des risques p. 21
Résultats p. 28
Actions et réactions p. 32
© Clusif 2022
4
STRATEGIE
© Clusif 2022
2021 : L’ODYSSÉE DE 5
L’ANALYSE DE RISQUES
Comment se lancer dans
l’aventure des analyses de
risque ? Pour quelles raisons ?
De quelle façon ?
Histoire vécue
Conclusion
Dans une entreprise du secteur de la Recherche, des
analyses de risques sur la sécurité des SI sont faites Réaliser des analyses de risques est une
chaque année. Cependant, étant commanditées tantôt odyssée au long cours, qui nécessite une
par la Direction Générale, par la Direction de l’Audit et
vision, une approche, une stratégie.
des Risques, par le RSSI ou par la DSI, les périmètres et
les méthodes ne sont jamais les mêmes, laissant des Il faut être conscient des raisons pour
zones d’exclusion et produisant des redondances dans lesquelles on doit ou veut faire des
les résultats. analyses de risques, identifier leur
attendu précis.
Cette approche déstructurée produit un grand
nombre de plans d’actions… jamais totalement mis
en place ensuite.
© Clusif 2022
6
ORGANISATION
© Clusif 2022
7
L’importance d’avoir un
coordinateur et un sponsor
Success story
Conclusion
L’assureur d’une entreprise plasturgique possédant
plusieurs usines en France avait exigé qu’elle réalise un Le sponsor est indispensable pour piloter
plan de continuité global de ses activités et installations, l’avion, donner l’impulsion et apporter sa
sous peine d’augmenter fortement ses cotisations. Le connaissance des enjeux de l’entreprise.
sujet a été étudié par le comité de direction qui a désigné
un sponsor (le directeur industriel) et un chef de projet Il doit être rattaché à la Direction, et dans
(le responsable Qualité). l'idéal membre du comité de direction
Une analyse de risques totale a d’abord été réalisée,
à la fois sur les SI et sur les autres ressources
matérielles (bâtiments, machines, matières…), ce qui
a permis de prendre un grand nombre de mesures
préventives, informatiques et techniques, et de
réduire la surface du plan de continuité. Le projet a
été long, mais très fructueux. Par la suite, le
processus est devenu récurrent.
© Clusif 2022
8
© Clusif 2022
9
APOCALYPSE NOW
© Clusif 2022
11
LES BISOUNOURS
MÉTHODE
Star Wars p. 13
Sully p. 14
Bienvenue chez les Ch’tis p. 15
Hibernatus p. 16
Jurassic Park p. 17
La guerre des clones p. 18
Inception p. 19
Titanic p. 20
© Clusif 2022
13
STAR WARS
© Clusif 2022
14
SULLY
Dans les années 1990, les premières analyses de risques Quand la « règle du jeu » de l’analyse de
appliquées à la SSI réalisées par une entreprise risques est complexe ou défaillante, il est
pharmaceutique (avec une méthode reconnue)
conduisaient à multiplier les ateliers et interviews, avec tout de même possible d’obtenir des
beaucoup de doublons et de perte de temps. résultats utiles. A condition que les
Cependant, elles réussissaient à produire tout de « joueurs » participent activement, soient
même des résultats, car le RSSI qui les coordonnait motivés et méthodiques.
était méthodique.
© Clusif 2022
BIENVENUE CHEZ LES CH’TIS 15
Histoire vécue
Conclusion
Dans un site d’une entreprise industrielle certifiée ISO
27001, le nouveau RSSI devait mettre à jour les
Il est primordial d’employer un
analyses de risques précédentes avant l’audit d’entretien
annuel. Voulant comprendre les termes employés (ex. : langage commun clairement défini
biens essentiels / actifs / ressources), il fait une lors d’une analyse de risques, sous
recherche dans les principales normes et méthodes,
peine de ne pas se comprendre. Mais
retrouve les définitions exactes, les présente au reste de
l’équipe pour améliorer la compréhension. ce n’est pas une finalité.
Malheureusement, l’auditeur qui vient effectuer l’audit
d’entretien annuel a une préférence pour les termes et
Il suffit de faire un glossaire.
définitions de la méthode EBIOS RM, assez différents, et
qui utilisent certains mots dans un autre sens.
© Clusif 2022
16
HIBERNATUS
© Clusif 2022
17
JURASSIC PARK
© Clusif 2022
18
© Clusif 2022
19
INCEPTION
© Clusif 2022
20
TITANIC
Quand le scénario-catastrophe
écarté dès le début … est celui qui
se réalise…et qu’ il n’y a pas de
canots de sauvetage Histoire vécue Conclusion
Dans une entreprise dont la spécialité est d’installer des Lors du choix des menaces considérées, il
réseaux de fibres optiques pour des opérateurs, un grand
ne faut pas écarter trop vite celles dont la
projet de réalisation du plan de continuité a été lancé.
Lors de l’analyse de risques, le scénario de pandémie a
probabilité semble très faible. En effet, les
été rejeté par la Direction dès le début, car « ce n’était probabilités reposent sur des statistiques
jamais arrivé». Le risque n’est pas apparu dans les de sinistralité, mais ces dernières n’ont pas
conclusions de l’étude, et n’a donc pas été traité. Deux encore un historique suffisamment long
ans plus tard, la crise sanitaire du Covid-19 a frappé le pour être fiables.
monde… et cette entreprise.
Il y a eu beaucoup d’interruptions de
Une menace non étudiée sera moins bien
fonctionnement, de dysfonctionnements, de parée en cas d'occurence.
blocages. Si on regarde les statistiques, on s’aperçoit
que les pandémies frappent en réalité tous les 50
ans.
© Clusif 2022
ANALYSE DES COMPOSANTES DES 21
RISQUES
©Clusif 2022
LES AVENTURIERS DE 22
L’ARCHE PERDUE
L’importance de communiquer
Histoire vécue Conclusion
Dans une grande entreprise du secteur médical, au tout La grande difficulté des analyses de risques
début de l’instauration de son SMSI, les analyses de réside dans la mise en présence de profils
risques étaient coordonnées par la RSSI. Elle interrogeait très différents, et dans la communication
les différents services un par un, pour étudier leurs entre eux. Il est important d’identifier et de
vulnérabilités, et constatait souvent des divergences réunir dans la même salle les bons
dans les réponses selon la personne ou le service
interlocuteurs, les vrais « sachants », afin de
questionné. Après quelques mois, elle a fini par organiser
des groupes de travail transverses entre plusieurs
faire énoncer l’état des lieux réel.
services, afin de confronter les réponses et essayer
d’obtenir un état des lieux réel.
Si les sujets évoqués portent des germes de
discorde (la sécurité du réseau, des salles
Elle a constaté alors que les vrais « sachants » informatiques, …), l’importance de la
n’avaient pas toujours été identifiés au début, ou communication est encore plus grande pour
que certains services n’avaient pas connaissance de dépasser les conflits et les non-dits.
la réalité détaillée des moyens de sécurité.
© Clusif 2022
24
LA VÉRITÉ SI JE MENS
OSS 117
©Clusif 2022
26
© Clusif 2022
27
© Clusif 2022
28
RÉSULTATS
© Clusif 2022
29
© Clusif 2022
30
© Clusif 2022
31
SPY GAMES
© Clusif 2022
32
ACTIONS ET RÉACTIONS
© Clusif 2022
33
© Clusif 2022
ON NE MEURT QU’UNE FOIS 34
© Clusif 2022
36
© Clusif 2022
37
REMERCIEMENTS
Le Clusif remercie très chaleureusement :