Cours MIAGE 1

Sécurité Informatique
MIAGE 2022/2023

Enseignant Associé
Pierre PEP
Ing. Info

Pierre PEP, Ing Info 1

 PLAN DU COURS

Chapitre 1: Introduction à la Sécurité Informatique

Chapitre 2: Principe de Sécurité
Chapitre 3: Sécurité et Criminalité Informatique
Chapitre 4: Stratégie de Sécurité
Chapitre 5: Gouvernance et Politique de Sécurité

Chapitre 6: Gestion de Risques

Pierre PEP, Ing Info 2

 BIBLIOGRAPHIE

 SécuritéInformatique, Ethical Hacking, Apprendre

L'attaque Pour Mieux Se Défendre. Editions ENI - Octobre 2009.

 Sécurité Informatique, Principes et Méthodes à

l’usages des DSI, RSSI et administrateurs (Auteurs :
Laurent Bloch,Christophe Wolfhugel). Edition Eyrolles. 2 edition.
ème

 Sécurité Opérationnelle, Conseils pratiques pour

sécuriser le SI (Alexandre Fernandez-Toro) . Edition Eyrolles.

Pierre PEP, Ing Info 3

 Plan Chapitre 6
 Introduction
 Gestion de risque
 Gestion de risques des SI
 La Méthode EBIOS
 La Méthode MEHARI
 La Méthode OCTAVE
 La Série ISO 2700x

Pierre PEP, Ing Info 4

 Chapitre 6 : Gestion de Risques
1. Introduction
Fondements de la gestion du risque des S.I
(D’après Nicolas Mayer & Jean-Philippe Humbert):
 Au sein des entreprises, la sécurité des systèmes d’information est de plus
en plus abordée à l’aide d’approches basées sur les risques.
 La notion de gestion des risques a été étendue à d’autres domaines,
notamment l’environnement, la gestion de projet, le marketing et les
assurances.
 Le métier du responsable de la sécurité des SI s’étend de plus en plus à
celui de gestionnaire du risque
 De telles études prospectives réduisent de manière considérable les pertes
liées aux faiblesses de sécurité des systèmes d’information.

Pierre PEP, Ing Info 5

 Chapitre 6 : Gestion de Risques
1. La Norme ISO

 La gestion des risques est définie par l’ISO comme étant l’ensemble des
activités coordonnées visant à diriger et piloter un organisme vis-à-vis du
risque.
 Les trois finalités de la gestion des risques pour les SI sont:

 Améliorer la sécurisation des systèmes d’information.

 Justifier le budget alloué à la sécurisation du système
d’information.
 Prouver la crédibilité du système d’information à l’aide des
analyses effectuées.

Pierre PEP, Ing Info 6

Chapitre 6 : Gestion de Risques
1. La Norme ISO

Pierre PEP, Ing Info 7

 Chapitre 6 : Gestion de Risques
1. La Norme ISO
Documentation générale de la série:

Pierre PEP, Ing Info 8

 Chapitre 6 : Gestion de risques
2. Gestion de risques
1) Définitions
 Un risque est la combinaison de la probabilité d’un évènement et de ses
impacts. Un risque exprime la probabilité qu’un valeur soit perdue en fonction
d’une vulnérabilités liée à une menace :

 La terminologie liée au risque distingue l’analyse, l’évaluation, l’appréciation,

le traitement et la gestion du risque :
- Analyse du risque : Exploitation systématique d’ information pour fixer les
sources afin de pourvoir estimer le risque.
- Evaluation du risque – c’est le processus de comparaison du risque estimé
avec des critères de risque donnés pour identifier l’ importance du risque.
- Appréciation du risque – Processus d’analyse et d’ évaluation du risque.
- Traitement du risque – Processus de sélection et implémentation des mesures
visant à modifier le risque.
- Gestion du risque – activités coordonnées visant à conduire et à piloter une
organisation vis-à-vis des risques.

Pierre PEP, Ing Info 9

 Chapitre 6 : Gestion de risques
2. Gestion de risques
2) Principes de gestion

 Les éléments d’ une démarche de gestion du risque informationnel sont :

- Identification des actifs en correspondance avec les critères de sécurité.
- Appréciation de vulnérabilités en relation avec les actifs à protéger.
- Appréciation des menaces (identification de l’origine(motivation, capacité à
se réaliser) et amplificateurs des menaces).
- Appréciation du risque (illustration par une matrice des probabilités et
des impacts).
- Identification des contre-mesures (qui tiennent compte de trois types
d’acteurs que sont les processus, la technologie et les utilisateurs).

Pierre PEP, Ing Info 10

 Chapitre 6 : Gestion de Risques
3. Typologie de risques
De nombreux types de risques existent, ainsi que diverses classifications en
catégories et sous-catégories, qui sont propres à chaque domaine d'activité
et / ou profession.

 Selon leur natures, on peut avoir trois catégories:

• Risques externes, liés à l’environnement de l’entreprise, son

activité, son marché, ses concurrents, les réglementations, etc.
• Risques internes, liés à l’organisation de l’entreprise, son
management, ses processus, etc.
• Risques de pilotage, liés aux informations nécessaires pour
prendre les bonnes décisions : Analyse et rendement financiers,
tableaux de bord, etc.

Pierre PEP, Ing Info 11

 Chapitre 6 : Gestion de Risques
4. Classification de risques
La perception du risque est un phénomène subjectif, fortement lié à la façon
qu'ont les organisations pour appréhender une situation dans un
environnement donné.

 La typologie n’est qu’une des étapes de l’analyse du risque. Elle permet de

classer les risques en classes homogènes, pour mieux guider leur analyse.

 On peut classer un risque dans l’une des cinq grandes familles suivantes:

 Risque organisationnel,
 Risque technique,
 Risque financier,
 Risque humain,
 Risque juridique.

Pierre PEP, Ing Info 12

 Chapitre 6 : Gestion de Risques
5. Gestion de Risques des SI
 Traitez et acceptez les risques SI
 Après l’appréciation des risques vient logiquement leur traitement...
N’hésitez pas à revoir les concepts clés de l’identification des risques de la
partie 2 avant d’attaquer votre lecture. En effet, l’appréciation des risques
constitue une étape charnière devant être répétée de manière itérative
jusqu’à l’obtention du niveau d’informations nécessaire au traitement.

 Le traitement du risque se définit comme la sélection et l’application de

mesures visant à modifier (ou non…) le risque à traiter.

 Identifiez les options de traitement des risques

 Il existe 4 traitements possibles. Il est important de toujours s’assurer que
les traitements suggérés respectent les principes de sécurité de l’entreprise
définis dans la Politique de sécurité des systèmes d’information (PSSI).

 Chaque option de traitement du risque est décrite et illustrée ci-dessous. 

Pierre PEP, Ing Info 13

 Chapitre 6 : Gestion de Risques
5. Gestion de Risques des SI
 La réduction du risque  

 La réduction du risque vise à mettre en place des mesures qui minimisent

soit la probabilité d’occurrence, soit les impacts, voire les deux (souvenez-
vous, on définit un risque comme la multiplication  entre sa probabilité
d’occurrence et les impacts engendrés).

 Ces mesures peuvent être de tout ordre. Citons au minimum la correction,

la prévention, la détection et la sensibilisation. Les mesures sélectionnées
doivent être priorisées et partagées à l’ensemble des parties prenantes de
l’analyse.

 Exemple de l'assureur CAMASSUR: un traitement par réduction consiste en la

mise en place de mesures pour sécuriser les serveurs hébergeant les contrats
(chiffrement, gestion des autorisations) ou encore la vérification des nouvelles
recrues pour éviter l’espionnage industriel (prise de références, signature d’un
engagement de confidentialité).
Pierre PEP, Ing Info 14
 Chapitre 6 : Gestion de Risques
5. Gestion de Risques des SI
 La norme ISO 27002 fournit une liste de mesures de sécurité pouvant
servir de lignes directrices pour réduire un risque SI.
 Le maintien du risque 

 Le maintien du risque vise à l’accepter en l’état, car le seuil d’acceptation

du risque n’est pas dépassé. Cette décision doit être validée et justifiée par
la direction.
 La raison sous-jacente réside souvent en un rapport bénéfices/coûts
déséquilibré d’un point de vue financier. Dans ce cas, la direction doit
décrire le seuil à partir duquel le risque ne sera plus acceptable et devra
être soumis à un autre traitement.

 Exemple de l'assureur CAMASSUR : un traitement par maintien vise à accepter

(par la direction) en l’état le risque de vol d’informations confidentielles, car le
rapport bénéfices/coûts n’est pas suffisant au regard de la santé financière de
l’entreprise. Toutefois, le risque devra être traité autrement dans le cas où les
dommages engendrés par le vol d’information atteindrait 5 % du chiffre d’affaires.
Pierre PEP, Ing Info 15
 Chapitre 6 : Gestion de Risques
5. Gestion de Risques des SI
 Le refus du risque
 Le refus du risque vise à l’éviter en l’annulant totalement
(suppression de l’activité sur laquelle porte le risque,
décommissionnement d’une application, etc.).
 Ce traitement est plutôt radical et n’est donc pas toujours
applicable. Il touche principalement les risques majeurs qui
peuvent être supprimés sans impacter de façon significative
l’activité de l’organisme.
 Exemple de l'assureur CAMASSUR: un traitement par refus vise à
cesser l’activité de tarification des contrats, ce qui n’est pas
envisageable pour notre assureur “CAMASSUR”, qui devrait alors
interrompre le cœur de son activité. 
Pierre PEP, Ing Info 16
 Chapitre 6 : Gestion de Risques
5. Gestion de Risques des SI
 Le partage du risque 
 Le partage du risque vise à alléger les responsabilités de l’organisme en les
confiant à des parties externes.
 Deux possibilités sont alors envisageables :
 Confier l’actif touché par le risque à un tiers spécialisé possédant les
ressources et les compétences nécessaires pour porter la responsabilité de
sa protection. Attention, dans ce cas précis, ce traitement devra être encadré
par un contrat qui vous permettra d'exiger un certain nombre de mesures
de sécurité à mettre en place par le tiers, et d'obtenir le droit de le faire
auditer pour vérifier.
 Souscrire à une assurance couvrant l’actif sur le risque en question.
 Exemple de l'assureur CAMASSUR: enfin, un traitement par partage vise à
externaliser l’activité de tarification des contrats chez une partie externe spécialisée
dans le domaine. Mistral peut alors continuer son activité sans porter la
responsabilité du risque. 
 NB : les 04 solutions de traitement ne sont pas toujours applicables à un même risque.
Pierre PEP, Ing Info 17
 Chapitre 6 : Gestion de Risques
5. Gestion de Risques des SI
 Mettre en place le Plan de Traitement

 Pour ne pas tomber dans le “y’a qu’à, faut qu’on”, abordons

désormais  la mise en œuvre effective du traitement du risque au
travers d’un Plan de Traitement.

 Le plan de traitement, c'est un document qui liste, priorise et

planifie les actions pour traiter le risque. Il décrit également les
ressources requises à la mise en place des actions ainsi que les prises
de responsabilité des parties prenantes. 

 Le plan de traitement peut prendre la forme d’un tableau. Reprenons

l’exemple de la réduction du risque de vol d’informations confidentielles
(exemple : modèles de tarification des contrats) de notre assureur
“CAMASSUR” :

Pierre PEP, Ing Info 18

 Chapitre 6 : Gestion de Risques
5. Gestion de Risques des SI
 Mettre en place le Plan de Traitement

ACTION PRIORITE DEADLINE RESSOURCES ROLES

Chiffrer les disques Haute Court terme * Logiciel de * Administrateur IT :
hébergeant les modèles de (d’ici 3 mois) chiffrement sélection et mise en place
tarification du logiciel de chiffrement 
* DSI : validation du
logiciel choisi

Définir, documenter et Moyenne Moyen terme * Outil de gestion des * Administrateur IT :

communiquer un processus (d’ici 6 mois) droits d’accès sélection, mise en place et
de gestion des droits d’accès documentation du
aux modèles de tarification processus de gestion des
droits d’accès
*DSI : validation du
processus

Vérification du passé Basse  Long terme * NA * Recruteurs: définition

professionnel des nouvelles (d’ici 12 mois) d’actions de vérification
recrues des passés professionnels
des personnes recrutées

Pierre PEP, Ing Info 19

 Chapitre 6 : Gestion de Risques
5. Gestion de Risques des SI
 Identifiez les risques résiduels

  Un risque traité se transforme en risque résiduel (on comprend bien

la notion de résidu sous-entendue dans son appellation, c’est-à-dire
“qui reste”). Ce risque doit alors être estimé, documenté et accepté
par la direction.

 Dans le cas où ce risque n’est pas accepté, une seconde itération de

traitement doit alors être déclenchée. Une nouvelle étape de
qualification pour mieux préciser les enjeux et objectifs est souvent
inévitable.

 Passons désormais un peu plus de temps sur le sujet sensible de

l’acceptation des risques. Lorsque vous acceptez un risque, vous
engagez votre expertise et prenez “un pari” pour l’entreprise. L’idée
est que la cote de ce pari soit à votre avantage.
Pierre PEP, Ing Info 20
 Chapitre 6 : Gestion de Risques
5. Gestion de Risques des SI
 Identifiez les risques résiduels

 Ayez conscience que lorsque vous décidez de maintenir un risque (qu’il soit
résiduel ou initial), votre décision est influencée par plusieurs facteurs. Le plus
prédominant demeure la nature humaine et ses travers connus de tous : la
surestimation des capacités (vous croyez dur comme fer en vos compétences pour
éviter le  risque), l’impatience (vous ne pouvez pas attendre d’estimer les effets
éventuels du traitement du risque) ou encore l’appât du gain (la fin justifie les
moyens).

 C’est pourquoi il faut fonder, tant que faire se peut, votre raisonnement sur des faits
concrets inhibant toute part de subjectivité. Mais oui, je parle bien des critères
d’acceptation du risque.

 La direction, souvent sponsor des projets d’analyse des risques SI, a un rôle majeur
dans l’acceptation des risques résiduels et du plan de traitement. Étant porteuse des
ambitions et de la stratégie de l’entreprise, elle a un droit de regard prépondérant et
est plus à même d’en assumer les responsabilités.
Pierre PEP, Ing Info 21
 Merci de votre
attention !!

Des questions ?

Pierre PEP, Ing Info 22