LIVRE II

SECURITY AND RISK MANAGEMENT

I. SECURITY AND RISK MANAGEMENT

I.1. INTRODUCTION
La quête de la sécurité informatique absolue demeure une illusion. Quels que soient
les moyens déployés pour protéger un Système d'Information (SI), l'existence
même de risques persiste, prêts à se manifester sous diverses formes de menaces.
C'est pourquoi il est essentiel de reconnaître que le risque est un compagnon
constant du SI, intrinsèquement lié à son fonctionnement. Cette section s'attache à
établir les fondements de la gestion des risques, tout en explorant les domaines
connexes qui façonnent le paysage de la sécurité informatique. Nous examinerons
les objectifs de la sécurité de l'information, nous plongerons dans la compréhension
des menaces courantes et nous décortiquerons les motivations qui animent les
attaquants. En comprenant ces éléments fondamentaux, nous pourrons mieux
appréhender la complexité de la sécurité informatique et nous préparer à y faire
face de manière proactive.
I.2. Gouvernance de la Sécurité de l’Information
Il est communément admis que la sécurité de l'information dépasse largement la
simple mise en place de mesures technologiques telles que les pares-feux, les
algorithmes de chiffrement ou les logiciels antivirus. Ces éléments, bien que
cruciaux, sont inefficaces si la sécurité n'est pas envisagée dès les premières phases
de la conception, puis intégrée de manière stratégique dans l'ensemble de
l'organisation. C'est précisément là que réside l'importance de la gouvernance de la
sécurité de l'information. En déployant une approche globale, cette gouvernance
élabore des stratégies visant à gérer les risques et à garantir la réalisation des
objectifs de sécurité à tous les niveaux de l'entreprise.
1. Elaboration des politiques de sécurité
Les politiques de sécurité constituent les éléments fondamentaux de la gouvernance
de la sécurité. Elles définissent les objectifs à atteindre en termes de sécurité,
énoncent les procédures à suivre pour les réaliser, ainsi que les contrôles
nécessaires pour garantir un niveau de risque minimal. Une politique de sécurité
doit être validée par la haute direction et diffusée à l'ensemble du personnel, car au
sein d'une entreprise, elle revêt un caractère impératif similaire à celui de la loi. La
mise en place d'une politique de sécurité est un processus critique qui doit prendre
en compte toutes les parties prenantes de l'entreprise. En effet, l'atteinte des
objectifs de sécurité ne doit en aucun cas entraver les objectifs commerciaux de
l'entreprise. Ainsi, elle est le fruit de plusieurs étapes, notamment :

1. Identification des besoins et des objectifs : Cette étape implique une évaluation
approfondie des besoins en matière de sécurité, en tenant compte des actifs
critiques de l'entreprise, des menaces potentielles et des exigences réglementaires.
2. Consultation des parties prenantes : Il est crucial d'impliquer toutes les parties
prenantes, y compris la direction, les responsables informatiques, les employés et
les départements clés, pour garantir que les politiques de sécurité répondent aux
besoins et aux réalités de l'entreprise.
3. Formulation des objectifs et des principes directeurs : À cette étape, les
objectifs spécifiques de la politique de sécurité sont définis, ainsi que les principes
directeurs qui guideront sa mise en œuvre. Il peut s'agir de garantir la
confidentialité des données, d'assurer l'intégrité des systèmes, ou encore de
promouvoir une culture de la sécurité au sein de l'entreprise.
4. Rédaction et validation : Les politiques de sécurité sont rédigées de manière
claire et concise, en veillant à ce qu'elles soient compréhensibles par tous les
membres de l'organisation. Elles doivent ensuite être examinées et validées par la
haute direction avant leur diffusion.
5. Diffusion et sensibilisation : Une fois approuvées, les politiques de sécurité
doivent être largement diffusées à l'ensemble du personnel. Des sessions de
sensibilisation peuvent également être organisées pour expliquer les principes et les
exigences de la politique de sécurité.
2. Procédures de sécurité
Les procédures de sécurité sont des dérivés directs des politiques de sécurité. Une
procédure se caractérise souvent par son aspect pas-à-pas, c'est-à-dire qu'elle doit
décrire précisément les étapes à suivre pour mener à bien une activité de sécurité
donnée, telles que le changement d'un mot de passe ou l'ajout d'un nouvel
utilisateur. Une procédure correctement documentée doit être attribuée à des
individus spécifiques qui auront des responsabilités et des rôles définis dans leur
mise en œuvre. De plus les éléments suivants doivent être prise en compte :
1. Révision et mise à jour : Les procédures de sécurité doivent être régulièrement
révisées et mises à jour pour refléter les changements dans l'environnement
informatique de l'entreprise, tels que l'ajout de nouvelles technologies ou
l'évolution des menaces.
2. Approbation et validation : Avant d'être mises en œuvre, les procédures de
sécurité doivent être approuvées par les parties prenantes appropriées, telles que la
direction, les responsables informatiques et les responsables des opérations.
3. Formation et sensibilisation : Il est essentiel de fournir une formation adéquate
aux personnes chargées de mettre en œuvre les procédures de sécurité, ainsi qu'à
l'ensemble du personnel pour s'assurer de leur compréhension et de leur conformité.
4. Documentation et archivage : Les procédures de sécurité doivent être
soigneusement documentées et archivées dans un emplacement sécurisé et
accessible pour référence future et pour des raisons de conformité réglementaire.
5. Évaluation de l'efficacité : Il est important d'évaluer régulièrement l'efficacité
des procédures de sécurité pour identifier les lacunes et les possibilités
d'amélioration continue.
3. Rôles et responsabilité
Dans le cadre de la gouvernance de la sécurité de l'information, il est impératif de
définir clairement les rôles et les responsabilités associés. Cela garantit une
répartition efficace des tâches et une supervision adéquate des activités liées à la
sécurité.
Tout d'abord, le Directeur des Systèmes d'Information (DSI) joue un rôle central
dans la gouvernance de la sécurité de l'information. Sa responsabilité principale est
de superviser l'ensemble des systèmes d'information de l'entreprise, y compris leur
sécurité. Le DSI est chargé de définir la stratégie globale de sécurité informatique,
en alignant les objectifs de sécurité sur les objectifs commerciaux de l'entreprise. Il
veille également à ce que les ressources nécessaires soient allouées à la mise en
œuvre des mesures de sécurité appropriées.
Ensuite, le Responsable de la Sécurité des Systèmes d'Information (RSSI)
occupe une place cruciale dans l'organigramme de la sécurité informatique. Bien
que dans certaines structures organisationnelles, le RSSI puisse être placé sous la
supervision du DSI, il est généralement recommandé qu'il exerce ses fonctions de
manière indépendante. Le rôle du RSSI consiste à élaborer et à mettre en œuvre des
politiques et des procédures de sécurité, à évaluer les risques potentiels, à
superviser les activités de détection et de réponse aux incidents, ainsi qu'à assurer la
sensibilisation et la formation du personnel en matière de sécurité.
En plus de ces rôles clés, d'autres parties prenantes peuvent être impliquées dans la
gouvernance de la sécurité de l'information, telles que les responsables des
départements opérationnels, les responsables de la conformité réglementaire et les
auditeurs internes ou externes. La collaboration entre ces différentes parties est
essentielle pour garantir une approche holistique et efficace de la sécurité de
l'information.

I.3. Contrôle d’accès

Les contrôles d'accès représentent un pilier fondamental de la sécurité
informatique, agissant comme des gardiens qui régulent l'accès aux systèmes
d'information. Leur rôle est crucial car ils permettent de restreindre l'accès aux
zones sensibles uniquement aux personnes autorisées, minimisant ainsi les risques
de compromission de données et d'infractions à la sécurité. Il en existe plusieurs
que l’on peut regrouper dans deux grands types :
1. Les contrôles d’accès physique
Les contrôles d'accès physiques offrent une protection tangible grâce à des
dispositifs concrets. Parmi ceux-ci, on trouve notamment :
- Les barrières physiques qui restreignent l'accès à des zones sensibles.
- Les systèmes de « mantrap » qui permettent l'accès à une seule personne à la
fois dans des zones restreintes.
- Les badges d'accès qui permettent l'identification et l'autorisation des
individus à entrer dans des locaux sécurisés.
- Et bien d'autres dispositifs encore.

2. Les contrôles d’accès technico-logique

En revanche, les contrôles d'accès technico-logiques reposent sur des éléments

logiciels et divers moyens techniques, dont :
- Les listes de contrôle d'accès (ACL) qui spécifient les autorisations d'accès
pour différents utilisateurs ou groupes.
 - Les pares-feux, qui filtrent le trafic réseau pour protéger les systèmes contre
les menaces externes et internes.
- Les systèmes de détection d'intrusion (IDS) et de prévention d'intrusion (IPS)
qui surveillent et bloquent les activités suspectes sur les réseaux.
Combiner les deux types de contrôles d'accès est essentiel pour garantir une
sécurité globale, car cela permet de protéger à la fois les infrastructures physiques
et les données numériques contre les menaces.
I.4. Analyse des risques
L'analyse des risques constitue une étape essentielle dans la gestion efficace de la
sécurité informatique au sein d'une organisation. Son objectif est de fournir les
éléments nécessaires pour identifier, évaluer et atténuer les risques potentiels qui
menacent la confidentialité, l'intégrité et la disponibilité des informations critiques.
Cette partie du cours vise à équiper les étudiants des compétences et des
connaissances requises pour mener une analyse de risque approfondie et
stratégique, garantissant ainsi une prise de décision éclairée en matière de sécurité.

Figure 1 Cylcle de gestion des risques

1. Identification des risques

L'identification des risques est une étape cruciale dans la gestion de la sécurité
informatique d'une organisation. Elle permet de repérer et de comprendre les
menaces potentielles qui pourraient compromettre la sécurité des systèmes, des
données et des opérations. Voici quelques raisons pour lesquelles l'identification
des risques est si importante :

1. Anticipation des menaces : En identifiant les risques potentiels, une

organisation peut anticiper les menaces émergentes et les attaques potentielles
contre ses systèmes. Cela lui permet de se préparer adéquatement en mettant en
place des mesures de sécurité appropriées pour prévenir les incidents de sécurité.
2. Priorisation des actions : En comprenant les risques auxquels elle est
confrontée, une organisation peut établir des priorités en matière de sécurité et
allouer ses ressources de manière efficace pour traiter les risques les plus critiques
en premier, minimisant ainsi les impacts potentiels sur ses activités.
3. Élaboration de stratégies de gestion des risques : L'identification des risques
fournit les informations nécessaires pour élaborer des stratégies de gestion des
risques adaptées aux besoins et aux objectifs de l'organisation. Ces stratégies
peuvent inclure des mesures préventives, des plans d'intervention en cas d'incident
et des mécanismes de récupération des données en cas de sinistre.
4. Conformité aux réglementations : De nombreuses réglementations et normes
en matière de sécurité informatique exigent que les organisations identifient et
évaluent régulièrement les risques pour garantir leur conformité. L'identification
des risques est donc essentielle pour répondre à ces exigences réglementaires et
éviter les sanctions potentielles.

Maintenant, en ce qui concerne les techniques et méthodes d'identification des

risques, voici quelques-unes des approches les plus couramment utilisées :

1. Analyse documentaire : Cette méthode implique l'examen des documents

existants tels que les politiques de sécurité, les rapports d'incidents passés et les
audits de sécurité pour identifier les risques potentiels.
2. Entrevues et groupes de discussion : Les entretiens avec les parties prenantes
internes et externes de l'organisation, ainsi que les groupes de discussion,
permettent de recueillir des informations sur les risques perçus et les scénarios
potentiels d'attaques ou d'incidents.
3. Analyse de scénarios : Cette technique consiste à envisager divers scénarios
d'attaques ou de sinistres et à évaluer leur impact potentiel sur l'organisation. Cela
permet d'identifier les risques associés à chaque scénario et de prendre des mesures
préventives appropriées.
4. Analyse des données de sécurité : L'examen des journaux d'activité, des
rapports de sécurité et des alertes de sécurité permet d'identifier les tendances, les
motifs d'attaques et les vulnérabilités potentielles dans les systèmes informatiques
de l'organisation.
5. Évaluation des actifs : L'évaluation des actifs informatiques de l'organisation, y
compris les données sensibles, les systèmes critiques et les infrastructures réseau,
permet d'identifier les risques associés à chaque actif et de prioriser les efforts de
sécurité en conséquence.
En utilisant ces techniques et méthodes d'identification des risques de manière
holistique, une organisation peut obtenir une vue d'ensemble complète de son
paysage de sécurité et prendre des décisions éclairées pour renforcer sa posture de
sécurité globale.

2. Evaluation des risques

Une fois les risques identifiés, il est important de pouvoir évaluer l’impact de ces
risques sur le système. Cela peut se faire au travers de diverses méthodes.

- Analyse qualitative des risques

L'analyse qualitative des risques s'appuie sur l'expertise et le jugement
d'experts pour évaluer les risques. Cette approche permet de prendre en
compte des facteurs difficilement quantifiables, tels que l'impact d'une
perte de réputation ou la probabilité d'une cyberattaque sophistiquée.
- Analyse quantitative des risques
L'évaluation quantitative des risques est basée sur des calculs numériques,
tels que des valeurs monétaires.
Lorsqu'une évaluation quantitative des risques est souhaitable, le praticien
du risque peut chercher à approximer la probabilité à l'aide de données
 empiriques ou historiques pour calculer une probabilité moyenne sur
l'ensemble d'une population.
- Analyse semi-quantitative
L'évaluation semi-quantitative des risques combine la valeur de
l'évaluation qualitative et quantitative des risques

3. Traitement du risque
Il existe 4 méthodes de traitement du risque :
• L’acceptation ; qui consiste à ne rien faire bien qu’étant pleinement conscient
du risque encouru ;
• L’évitement ou arrêt de l’activité, qui préconise l’extinction de la raison du
risque ;
• Le transfert ou partage. Ici l’entité, par le mécanisme contractuel, s’assure de
l’intervention d’un tiers pour l’aider le moment échéant à faire face à
l’impact ;
• La réduction ou mitigation. Elle se matérialise par le déploiement de contre-
mesure ou l’amélioration de mécanisme de contrôle déjà en place pour agir
soit sur la vulnérabilité, soit sur la menace, ou encore sur l’impact ou une
combinaison des trois.

I.5. Loi et régulation

La sécurisation des données et des systèmes informatiques est une préoccupation
majeure pour les entreprises à l'échelle mondiale. Pour garantir une protection
adéquate, les politiques internes des entreprises doivent être alignées sur les lois et
réglementations en vigueur dans les pays où elles opèrent. Ces règlements peuvent
être classés en deux grandes catégories : les lois internationales et les lois
nationales.
1. Lois internationales
- Convention de Budapest
- Convention de Malabo
2. Lois nationales
- La loi de 2010 sur la cybersécurité et la lutte contre la cybercriminalité
 - La loi de 2010 sur les communications électroniques
- La loi de 2010 sur le commerce en ligne
- La loi sur la protection des enfants en ligne

I.6. Sécurité de tierces parties

Les tierces parties, désignent toutes les entités externes à l'entreprise qui ont un lien
ou un rôle à jouer dans son fonctionnement. Ces entités peuvent être des sous-
traitants ou des prestataires de services tels que les services de nettoyage ou de
gardiennage. Bien qu'externes à l'entreprise, leur présence est souvent
indispensable au bon déroulement des activités. Cependant, cette relation introduit
des risques supplémentaires pour la sécurité de l'information. En effet, ces tierces
parties ne sont généralement pas soumises aux mêmes règles et contrôles que les
employés internes, ce qui peut créer des vulnérabilités potentielles dans le système
d'information. Ainsi, la sécurisation des relations avec les tierces parties revêt une
importance capitale dans la protection des données et des systèmes d'information de
l'entreprise.
1. Responsabilité de la gestion des risques liés aux tierces parties
La gestion des risques liés aux tierces parties est principalement la responsabilité
des équipes de gestion des risques au sein de l'entreprise. Cependant, cette
responsabilité ne se limite pas uniquement à ces équipes. Une fois que les mesures
de sécurité ont été définies et diffusées, il incombe également à chaque employé ou
contractant de s'engager à réduire au maximum les risques associés aux tierces
parties. Cela implique une sensibilisation continue à la sécurité informatique, la
formation sur les politiques et les procédures de sécurité, ainsi que la vigilance dans
les interactions avec les tierces parties. En outre, les employés et les contractants
doivent signaler tout incident de sécurité ou toute activité suspecte liée aux tierces
parties aux équipes de gestion des risques pour une action immédiate. En adoptant
une approche collective et collaborative, l'ensemble de l'organisation peut
contribuer à atténuer les risques et à renforcer la sécurité dans ses relations avec les
tierces parties.
2. Cadre de la gestion des risques liés aux tierces parties
Il existe divers cadres pour la gestion des risques liés aux tierces parties. Par
exemple, la norme ISO/IEC 27001:2022 propose un cadre dédié à cet aspect,
présenté dans l'annexe A.15 - Relations avec les fournisseurs. Ce cadre permet
d'intégrer la gestion des risques au sein du système de gestion de la sécurité de
l'information (SGSI). Les principes généraux qu'elle encourage à mettre en œuvre
incluent :
- Évaluation des risques associés aux tierces parties.
- Établissement de politiques de sécurité spécifiques pour les relations avec les
fournisseurs.
- Contrôle et surveillance des fournisseurs pour assurer leur conformité aux
exigences de sécurité.
- Gestion des accès et des autorisations accordées aux tierces parties.
- Mise en place de mécanismes de gestion des incidents de sécurité impliquant des
fournisseurs.
- Révision régulière des relations avec les fournisseurs pour s'assurer de leur
adéquation avec les objectifs de sécurité de l'organisation.

De même, la norme ISO/IEC 27036-1:2021, intitulée Cybersécurité - Relations

avec les fournisseurs, offre un guide pour aider les organisations à sécuriser leurs
systèmes et leurs données dans le cadre de leurs relations avec les fournisseurs. Elle
recommande notamment :

- L'identification et l'évaluation des risques liés aux fournisseurs.

- La définition de critères de sélection des fournisseurs basés sur des critères de
sécurité.
- L'inclusion de clauses de sécurité dans les contrats avec les fournisseurs pour
garantir la protection des données et des systèmes.
- La mise en œuvre de mesures de surveillance continue pour évaluer la
performance et la conformité des fournisseurs en matière de sécurité.
- L'établissement de plans de continuité d'activité et de plans de réponse aux
incidents en collaboration avec les fournisseurs pour garantir une réponse efficace
en cas d'urgence.
En intégrant ces principes dans leur approche de gestion des risques liés aux tierces
parties, les organisations peuvent renforcer leur posture de sécurité et réduire les
risques associés à leurs relations avec les fournisseurs.
I.7. Ethique et déontologie
L'éthique et la déontologie sont des piliers fondamentaux pour tout professionnel de
la sécurité informatique, car ils guident ses actions et décisions tout en maintenant
une ligne claire entre ce qui est juste et ce qui ne l'est pas. Ces principes découlent
de l'engagement à respecter les normes éthiques établies ainsi que les obligations
professionnelles définies dans les contrats et politiques. Nous pouvons décliner en
quelques points le respect de l’éthique et de la déontologie :
- Confidentialité : Il est impératif de préserver la confidentialité des informations
obtenues auprès d'une entreprise, qu'il s'agisse de données sensibles, de stratégies
de sécurité ou de toute autre information confidentielle.

- Respect des délais : Il est essentiel de respecter les délais convenus dans le cadre
des engagements professionnels. Cela démontre le professionnalisme et le sérieux
dans l'exécution des tâches.

- Respect du périmètre défini : Il est nécessaire de respecter scrupuleusement les

limites définies dans le cadre des projets ou des missions confiées, en évitant tout
dépassement injustifié qui pourrait compromettre la confiance et l'intégrité
professionnelle.

- Respect des coûts prévisionnels : Il est primordial de respecter les estimations

budgétaires établies, en fournissant des services de qualité conforme aux attentes
du client sans dépasser les coûts prévus.

- Juste rémunération en fonction des compétences : Il est légitime de demander

une rémunération équitable en fonction des compétences et de l'expertise fournies.
Cela reflète la valeur du travail effectué et contribue à maintenir l'équité dans les
relations professionnelles.
 I.8. Type d’attaquants
En sécurité informatique, les attaquants peuvent être catégorisés en deux grands
groupes : les attaquants externes et les attaquants internes.

- Les attaquants externes peuvent inclure des pirates informatiques motivés par
diverses raisons telles que l'appât du gain financier, des motivations politiques ou
idéologiques, ou encore le désir de notoriété. Ils peuvent également être des acteurs
mandatés par des concurrents commerciaux ou des agences gouvernementales
engagées dans des opérations de cyberespionnage ou de sabotage.

- Les attaquants internes, quant à eux, englobent une gamme d'individus allant
des employés malveillants cherchant à nuire à leur employeur pour diverses raisons
personnelles ou financières, aux employés mécontents ou cherchant à se venger en
exploitant leur accès privilégié aux systèmes et données de l'entreprise.

Il est important de reconnaître que les ressources humaines représentent une grande
menace pour la sécurité informatique, car elles peuvent souvent contourner les
mesures de sécurité technologiques en place. Par conséquent, la sécurité doit être
intégrée dans l'ensemble du processus, depuis le recrutement et l'intégration des
employés dans l'entreprise jusqu'à leur départ, qu'il s'agisse d'une démission ou d'un
licenciement, afin de minimiser les risques potentiels associés aux attaquants
internes.
I.9. Evaluation des acquis

- Définir : menace, vulnérabilité, impact, risque

- Lister les parties tierces de l’ENSPY et établissez des scénarios de

risques liés à ceux-ci et des moyens de mitigation

- Lister les contrôles d’accès à implémenter dans un centre de recherche

militaire

I.10. TP
Présentation en groupe de 3 sur les différentes lois suscitées