Académique Documents
Professionnel Documents
Culture Documents
E x t r a i ts du livre 54 €
1 avis
Introduction
Dans ce chapitre, nous ferons une analyse de risques d’une entreprise fictive en suivant les chapitres du
livre les uns après les autres. Gardons toutefois en mémoire que les chapitres sur la communication et
sur la surveillance et la revue des risques sont des processus transverses qui ont cours tout au long de
l’analyse.
Contexte
Comme nous l’avons évoqué dans le chapitre Établissement du contexte, cette partie est très
importante. En effet, une bonne compréhension de l’entreprise, de ses objectifs et de ses valeurs est
primordiale si l’on souhaite réaliser une analyse de risques la plus complète possible. Nous entamerons
donc ce chapitre par une découverte de la société que nous devons auditer.
Claude Martin a créé sa société SecHost en 2010 en France, à Paris. C’est une société d’hébergement
et d’infogérance informatique, qui comporte aujourd’hui 30 employés. Les données sont stockées dans
deux Datacenter différents, un à Nanterre, l’autre à Saint-Denis. Les bureaux quant à eux se situent
dans le cinquième arrondissement de Paris.
Le directeur souhaite élargir ses activités en essayant de toucher le secteur de la santé. Pour ce faire,
l’entreprise SecHost doit se certifier HDS (hébergement des données de santé) et donc répondre aux
exigences d’ISO 27001. Cette norme prévoyant un cadre et un processus pour gérer les risques, il a été
décidé de respecter ISO 27005.
1. Le contexte externe
La société SecHost est, comme précisé dans la section précédente, soumise à différentes lois et
réglementations :
Le règlement général sur la protection des données (RGPD) car elle aspire à héberger des
données de santé.
L’obtention de la certification hébergeur de données de santé (HDS) pour la même raison.
L’obtention de la certification ISO 27001, qui comprend une grande part...
Identification du risque
1. Les entretiens
Nous utiliserons la méthode des entretiens qui seront retranscrits ici sous forme de questions/réponses.
Nous ne noterons ici qu’une partie d’entre eux, car ils peuvent être très longs et très complets.
1. Évaluation de la vraisemblance
La probabilité qu’un évènement se produise est estimée en confrontant la vulnérabilité et la menace.
Pour nous aider lors de cette estimation, nous pouvons nous servir de l’échelle que nous avons créée
dans le chapitre Analyse et évaluation du risque.
1 - Bas Le service doit être à Intégrité altérée légèrement Légère perte de confiance
nouveau disponible dans
les deux semaines
C I D
C I D
Réseaux Écoute...
Traitement du risque
En évaluant les risques, nous avons obtenu une note pour chacun des scénarios identifiés. Cela nous
permet de les classer du risque le plus élevé au plus faible et de définir quel sera leur traitement. Nous
choisirons dans les quatre options disponibles comme vu dans le chapitre Traitement et acceptation des
risques, à savoir la réduction, l’évitement, le transfert et l’acceptation du risque.
Le plan d’actions
Scénario : Vol de documents confidentiels
Risque : 7
Priorité : Très haute
Traitement : Réduction
Mesure : Augmenter le contrôle d’accès aux données
Ressources requises : 35 h pour revoir l’attribution des droits d’accès
Responsable : Équipe infrastructure
Dates : 01/01/2023 - 25/01/2023
Maintien en condition opérationnelle/suivi : 5 h de revue partielle des accès par trimestre et 10 h de
revue complète des accès par an
Scénario : Abus de droits via des failles logicielles
Risque : 6
Priorité : Très haute
Traitement : Transfert
Mesure : Tester les logiciels et corriger les failles
Ressources requises : Faire appel à une société externe pour réaliser ces opérations
Responsable : RSSI
Dates : 01/01/2023 - 01/04/2023
Maintien en condition opérationnelle/suivi : Tests et corrections tout au long de l’année
Scénario : Abus de droits dus au manque de verrouillage automatique de session
Risque : 6
Priorité : Très haute
Traitement : Réduction
Mesure : Mettre en place un verrouillage automatique de session sur les machines
Ressources requises : 3 h pour créer la GPO et la pousser sur les machines
Responsable : Équipe infrastructure
Dates : 02/01/2023 - 03/01/2023
Maintien en condition opérationnelle/suivi : N/A
Scénario : Détournement du pare-feu par un pirate informatique
Risque : 5
Priorité : Haute
Traitement : Réduction
Mesure : Amélioration des règles de sécurité du pare-feu
Ressources requises : 10 h d’audit des règles et 10 h de correction
Responsable : Équipe infrastructure
Dates : 01/02/2023 - 01/03/2023
Maintien en condition opérationnelle/suivi : 2 h de revue mensuelle et 5 h de revue...
Le risque résiduel
Une fois le plan d’actions réalisé, il convient de calculer le risque résiduel. Pour rappel, il se calcule de
cette façon :
Abus de droits via des failles 6 Tester les logiciels et corriger les 2
logicielles failles
Poussière...
Tous les scénarios de risque sont alors dans les critères d’acceptabilités, sauf le premier, « vol de
documents confidentiels ». Cependant, la direction choisit d’accepter tout de même ce risque pour ne
pas bloquer le business, et il conviendra lors de la prochaine itération de réduire à nouveau ce risque.
Comme décrit dans le chapitre Surveillance et revue des risques, il conviendra d’identifier les
nouveaux risques.
Conclusion
L’analyse de risques menée ici chez SecHost s’inscrit dans une démarche de certification ISO 27001 et
HDS. Elle a permis à la société d’identifier plusieurs risques et de mettre au point un plan d’actions qui
permettra de réduire ces risques et ainsi gagner en maturité en matière de sécurité de l’information.
Méthodes