Sécurité Informatique

EFREI 2023-2024

TP02 : Analyse des Risque

Présentation :
s
Cet atelier a pour but de faire une analyse des risques.

Les objectifs de TP sont les suivants :

• Décrire le déroulement de l’analyse.

Etude des cas : Faire l'analyse de risque d'une activité des vêtements via Internet.

Sujet : Madame Flore a créé son entreprise pour revendre des vêtements de seconde main qu'elle
achète sur les différentes applications ou dans les vide-greniers. Elle utilise son garage comme un
lieu de stockage. Elle a créé un site de vente en ligne sur internet avec un nom de domaine
(secondemain.com).
Madame Flore veut réussir son projet mais elle n’a pas des connaissances dans le domaine
informatique. Elle fait alors appel à vous pour l'aider à définir quel sont les nouveaux risques à
prendre en compte et comment traiter ces risques.

Rappels de méthodologie :
Vous procéderez par étapes en suivant la méthodologie habituelle :
• Définition du contexte
• Description des menaces
• Évaluation des risques
• Traitement du risque

Nous utiliserons les métriques suivantes.

Définition des besoins de sécurité :
Disponibilité Intégrité Confidentialité
0 Aucun Aucun Public
1 Long terme Détectable Restreint
2 Moyen terme Maîtrisé Confidentiel partenaires
3 Court terme X Confidentiel interne
4 Très court terme Intègre Secret

Métriques des risques :

Gravité Vraisemblance
0 Sans gravité Improbable

Zeineb Tayachi
Sécurité Informatique

EFREI 2023-2024

1 Perturbe l'activité Peu de chance de se

produire
2 Rend l'activité difficile Est déjà arrivé plusieurs
fois
3 Rend l'activité très difficile Arrive régulièrement
4 Remet en question l'activité Arrivera à coup sûr

Dans ces deux tableaux, on choisit des métriques :

• avec une valeur « 0 », pour indiquer, lors du traitement, si on arrive à annuler un des
facteurs
• avec une échelle positive paire (1 à 4), pour éviter l'effet « je ne sais pas ». En effet,
dans une échelle impaire, comme 1-5, par défaut, les utilisateurs mettront 3 quand ils
ne savent pas. Là, ils doivent au moins choisir.

Evaluation du risque :

4 0 3 3 3 3
3 0 1 2 2 3
Gravité

2 0 1 1 2 2
1 0 1 1 1 1
0 0 0 0 0 0
0 1 2 3 4
Vraisemblance

Hypothèses et consignes :
• Nous négligerons la partie de description de l'organisation (Mme. Flore travaille toute
seule).
• On considérera qu’il n'y a pas de mesure de sécurité existante.
• Imaginez quelques contraintes externes qui sont imposées à Mme. Flore.
• Nous négligerons volontairement les sources de menaces naturelles.
• Pour les biens essentiels nous prendrons le bien essentiel: vendre les vêtements sur
Internet. Découpez ce bien essentiel en sous-activités.
• Définissez les différents biens support attachés à ce bien essentiel.
• Justifier (à part) les valeurs de gravité et vraisemblance
• Pour chaque risque, proposez des moyens de traitement du risque (au moins 2 par
risque).
• Pour les mesures de réduction du risque
o donnez en l'argumentant de nouvelles valeurs de gravité et de vraisemblance
o calculez la nouvelle valeur de risque
o estimez le coût de la mesure en question suivant une échelle allant de € (peu
cher) à €€€
o estimez la difficulté de mise en place de la mesure, suivant une échelle croissante
allant de # à ###
Zeineb Tayachi
Sécurité Informatique

EFREI 2023-2024

o dites en conséquence si vous appliquez la mesure ou non.

Zeineb Tayachi