Livres et vidéosLa norme ISO 27005Analyse et évaluation du risque

Imprimé
E x t r a i ts du livre 54 €

La norme ISO 27005

Ajouter au panier
Gestion des risques liés à la sécurité de l'information
Jean-Charles PONS
Toute reproduction de ces
commerciales, est
Tous droits rese

1 avis

Revenir à la page d'achat du livre

Analyse et évaluation du risque

Introduction
Ce chapitre nous aidera à appréhender le processus d’analyse du risque en évaluant les conséquences
et la probabilité du risque, permettant d’en identifier le niveau.

Méthodologies d’analyse du risque

Deux approches différentes existent en matière d’analyse du risque :

L’approche qualitative
L’approche quantitative

1. Approche qualitative
L’approche qualitative est une approche subjective basée sur l’interprétation et la perception des parties
prenantes, elle nécessite de récolter une grande quantité de données pour obtenir des résultats. De
manière générale, elle est plutôt utilisée dans les projets de grande envergure. Elle repose sur une
échelle de qualificatifs donnant un ordre de grandeur des conséquences potentielles ainsi que leurs
probabilités (par exemple : faible, moyen, fort…).
On préférera l’analyse qualitative dans un premier temps pour épurer le projet et obtenir rapidement un
état des lieux du niveau de risque et ainsi identifier les risques majeurs. Elle peut également être choisie
par défaut, par manque d’informations permettant la réalisation d’une analyse quantitative.
Elle a pour avantage d’être facilement compréhensible par toutes les parties prenantes mais est en
revanche dépendante du caractère subjectif de l’échelle sur laquelle elle se base. L’approche qualitative
permet de répondre à la question : quel est le niveau de conformité de l’organisation en matière de
politique de sécurité ?
On peut par exemple dire qu’une organisation possède un « fort » niveau de conformité, qu’en découle
donc un risque « faible ».
Par exemple, une entreprise voit son serveur de messagerie tomber en panne. Aucune information sur
le prix de la machine, de la main-d’œuvre...

Ceci est un extrait du livre.

Acheter le livre Je m'abonne
Pour poursuivre votre lecture...

Évaluation des conséquences

 Entrées Actions Sorties

Une liste des scénarios d’incidents
pertinents identifiés, y compris
l’identification des menaces, des
vulnérabilités, des actifs affectés,
des conséquences sur les actifs et
les processus métier.
L’impact commercial sur Une liste des conséquences
l’organisation, qui peut résulter évaluées d’un scénario d’incident
d’incidents de sécurité de exprimées en termes d’actifs et de
l’information possibles ou réels, doit critères d’impact.
être évalué, en tenant compte des
conséquences d’une violation de la
sécurité de l’information telles que la
perte de confidentialité, d’intégrité ou
de disponibilité des actifs.

L’évaluation des conséquences consiste à mesurer les effets d’un évènement non désiré sur les critères
de sécurité de l’information, qui sont : l’intégrité, la disponibilité et la confidentialité. Pour ce faire, nous
aurons besoin des critères d’impact et de la valorisation des actifs que nous avons identifiés auparavant
lors de l’identification des risques.
Cette évaluation peut être déterminée par une analyse d’impact sur les affaires (Business impact
analysis, ou BIA en anglais).
Cette étude permet d’identifier les processus critiques d’une organisation et ainsi mettre en place des
stratégies de reprise. Elle ne doit pas être confondue avec une évaluation de risques. Le BIA s’effectue
en amont pour quantifier et anticiper les possibles risques financiers, techniques, humains ou naturels.
En détail...

Ceci est un extrait du livre.

Acheter le livre Je m'abonne
Pour poursuivre votre lecture...

Évaluation de la vraisemblance d’un incident

Entrées Actions Sorties

Une liste des scénarios d’incidents La probabilité des scénarios Probabilité des scénarios d’incidents
pertinents identifiés, y compris d’incident doit être évaluée. (quantitatifs ou qualitatifs).
l’identification des menaces, des
actifs affectés, des vulnérabilités
exploitées et des conséquences sur
les actifs et les processus métier. En
outre, des listes de tous les
contrôles existants et prévus, leur
efficacité, leur mise en œuvre et leur
état d’utilisation.

La probabilité se définit par la chance que quelque chose se produise.

ISO/IEC 27005, clause 8.3.3 : Évaluation de la probabilité d’un incident.

Après avoir identifié les scénarios d’incident, il est nécessaire d’évaluer la probabilité que
chaque scénario et impact se produise, en utilisant des techniques d’analyse qualitative ou
quantitative. Il faudra tenir compte de la fréquence à laquelle les menaces se produisent et de la
facilité avec laquelle les vulnérabilités peuvent être exploitées. Cependant, il doit être réaliste
d’estimer la probabilité d’un incident de sécurité sur un actif au vu des menaces et vulnérabilités
dominantes, des impacts associés à l’actif et des contrôles actuellement mis en place.

ISO 31000, clause 3.7 : Probabilité

Note 1 à l’article : Dans la terminologie de la gestion des risques, le mot « probabilité » est utilisé
pour désigner la chance que quelque chose se produise, qu’elle soit définie, mesurée...

Ceci est un extrait du livre.

Acheter le livre Je m'abonne
Pour poursuivre votre lecture...

Détermination d’un niveau de risque

 Entrées Actions Sorties

Une liste de scénarios d’incident Le niveau de risque doit être Une liste de risques avec des
avec leurs conséquences liées aux déterminé pour tous les scénarios niveaux de valeur attribués.
actifs et aux processus métier et leur d’incident pertinents.
probabilité (quantitative ou
qualitative).

Le niveau du risque est la combinaison de la probabilité qu’un incident se produise, et les conséquences
liées à cet incident. Ainsi, l’utilisation d’une matrice d’évaluation du risque permet d’identifier le niveau du
risque par scénario.
La matrice d’évaluation du risque se présente sous forme d’un tableau à double entrée reprenant la
probabilité et les conséquences d’un incident. On obtient ainsi un support facile à lire et à interpréter, qui
peut s’ajuster au besoin.

Ainsi, un scénario d’incident ayant une probabilité de se réaliser notée « Haut » et ayant une
conséquence notée « Bas » sera évalué à 4/8. Le risque sera donc moyen.
En revanche, un scénario d’incident ayant une probabilité de se réaliser notée « Moyen » et ayant une
conséquence notée « Très Haut » sera évalué à 6/8. Le risque sera donc haut.
Il est à noter que ce n’est pas la seule façon de déterminer le niveau d’un risque. Plusieurs méthodes
existent, qui peuvent être utilisées de manière indépendante ou concomitante. Si l’organisation possède
des informations concernant des incidents...

Ceci est un extrait du livre.

Acheter le livre Je m'abonne
Pour poursuivre votre lecture...

Évaluation du risque
Entrées Actions Sorties

Une liste des risques avec des Le niveau des risques doit être Une liste de risques hiérarchisés
niveaux de valeur attribués et des comparé aux critères d’évaluation selon des critères d’évaluation des
critères d’évaluation des risques. des risques et aux critères risques en relation avec les
d’acceptation des risques. scénarios d’incidents qui conduisent
à ces risques.

Lors de l’évaluation du risque, nous confronterons les risques identifiés dans les chapitres précédents
aux critères d’évaluation des risques. Cela nous permettra de classer ces risques par importance et de
nous aider dans la prise de décision lorsqu’il s’agira de les traiter.
Le gestionnaire de risque doit alors dans cette phase :

s’assurer que les risques identifiés sont pertinents ;

s’assurer que les critères d’évaluation sont pertinents ;
s’assurer des obligations qui doivent être prises en compte (légales, réglementaires,
contractuelles…) ;
prioriser les risques.

À ce stade où on en sait beaucoup plus sur les risques liés à l’organisation, les critères d’évaluation et le
contexte doivent être réexaminés.
La priorisation des risques s’effectue via la valeur des actifs, des menaces et des vulnérabilités. Un
risque ayant un impact plus fort sur l’entreprise sera priorisé, de même s’il est plus faible mais impacte
un service primordial et non secondaire de l’organisation. Aussi, certains critères qui sont définis dans la
stratégie de gestion de la sécurité doivent être pris en compte, ils aideront...

Ceci est un extrait du livre.

Acheter le livre Je m'abonne
Pour poursuivre votre lecture...

Évaluation quantitative du risque

Cette section permet de comprendre le concept de ROSI (Return On Security Investment), de savoir
calculer les pertes annuelles prévues (en anglais « ALE », Annual Loss Expectancy), et la valeur d’un
contrôle de sécurité.

1. Concept de ROSI
Le calcul classique de ROI (retour sur investissement) ne peut pas s’appliquer à la sécurité. En effet,
investir dans la sécurité de son entreprise ne signifie pas faire des bénéfices, mais plutôt réduire les
pertes potentielles. Il s’agit donc de réduire les risques et ainsi calculer combien de pertes ont pu être
évitées grâce aux investissements.
Le concept ROSI (Return On Security Investment) est le retour sur investissement, mais dédié à la
sécurité. Ce concept est dérivé du ROI et souvent confondu avec celui-ci. Il définit le retour sur
investissement d’une mission de sécurité par rapport à son coût total, sur une période donnée. Toutefois,
cette notion de retour sur investissement du concept ROSI est souvent liée à celle nommée « Payback
Period » dite du point de retour. C’est la date à partir de laquelle la plus-value dépasse l’investissement
qu’a engagé une organisation pour sa sécurité. En somme, ROSI représente le gain financier qu’apporte
ce genre de mission, souvent très coûteuse. De plus en plus, on peut observer qu’il permet aussi de
quantifier la valeur ajoutée en matière de système de sécurité aussi bien que financier.
C’est un calcul primordial pour confirmer l’importance de la gestion du risque. En effet, si
l’investissement peut faire...