Programme

1
2
3
 Concept de risque

- Outcome : un résultat est l'impact de l'événement un résultat indésirable (divulgation d'in-

formations sensibles)

- Probability : la mesure est la pierre angulaire de toute évaluation des risques, mesurer la
probabilité qu'un événement (menace) futur se produise;
Ex: Quelle est la probabilité que des pirates puissent obtenir un accès non autorisé aux données
sensibles
Concept de risque
 Concept de risque

- Le risque s'articule autour de trois concepts importants : les menaces, les vulnérabilités et
l'impact
• La menace est une action négative
• Les vulnérabilités sont des faiblesses qui augmentent la probabilité de réussite de la menace
• L'impact est le résultat tel qu'une perte
 Concept de risque

Exercice
Dans un collège, un utilisateur ayant accès aux informations d’un étudiant qui a laissé
son mot de passe écrit sur papier. Que peut-il arriver? Quel est l'impact ?
 Concept de risque

Exercice
- Lors de la préparation de l'examen d'entrée dans une certaine institution, les examens
ont été divulgués. Quel est l'impact si cette fuite s'est produite six mois avant le concours
d'entrée ? Et si cela arrivait dans les 48 heures avant l'examen d'entrée ?
- La perception et l'évaluation d'un risque est quelque chose de très subjectif, lié à la façon dont une
personne perçoit une situation
- La perception du risque ne correspond pas toujours à la réalité
- Malgré le fait qu'un voyage par avion est le moyen de transport le plus sûr, de nombreuses personnes
continuent à avoir une perception opposée
 Identifier les menaces

- Utiliser un catalogue de menaces standard:

° ISO27005
° NIST SP800-30
° OWASP
° BITS
 Identifier les vulnérabilités

- Qui pourraient être exploitées par les menaces identifiées

- Source d’identification des vulnérabiltés:
° des rapports de tests d'intrusion
° évaluations de risques antérieures
° des évaluations de vulnérabilité
° des données d'incident de sécurité
° rapports d'audit tiers ou internes
 Risque lié aux actifs d’information

Risque:
- C’est la possibilité que des menaces exploitent les vulnérabilités d’un actif
- C’est l’effet de l’incertitude sur les objectifs de sécurité de l’information
13
14
15
16
- deux notions fondamentales de la méthode EBIOS RM :

Cycle opérationnel : a pour mission de prendre en compte les différentes menaces et vulnérabilités pouvant

affecter nos valeurs métier

 un cycle stratégique revisitant les scénarios stratégiques

 un cycle opérationnel revisitant les scénarios opérationnels (incidents de sécurité survenus, apparition de nouvelles

vulnérabilités, …)

17
18
1b. définir le périmètre métier et technique de l’objet étudié
 1b. définir le périmètre métier et technique de l’objet étudié
Identifier les valeurs métiers

• Qui peut être jugé comme essentiel:

- les informations vitales pour l’exercice de la mission
- les informations personnelles
- les informations des orientations stratégiques
- les informations secrètes
- les informations coûteuses, dont la collecte, le stockage, le traitement ou la transmission
nécessitent un délai important

• Être limités au périmètre de l’étude