LES RISQUES ET LA

GESTION DES RISQUES

Institut des Sciences Appliquées ISA

Option: Génie Informatique
Période: Semestre 5
Les Risques
Qu’est-ce que le risque ?

De manière générale, sans être nécessairement appliqué au domaine

de la sécurité de l’information, un risque est une probabilité
d’apparition d’une menace qui, face à l’exploitabilité d’une
vulnérabilité, peut potentiellement entraîner un impact sur un actif
informationnel (actif ou information). (Source : Norme ISO/IEC 27005).
Autre definition du risque

On appelle risque le produit d'un aléa (événement susceptible de

porter atteinte aux personnes, aux biens et/ou à l'environnement) et
d'un enjeu (personnes, biens ou environnement) susceptible de subir
des dommages et des préjudices.

RISQUE = MENACE * VULNÉRABILITÉ * IMPACT

Les origines des risques informatiques
 Les origines des risques informatiques

Les risques trouvent leurs origines dans :

1. Les causes accidentelles

2. Les erreurs

3. La malveillance
 1- Les risques accidentels
Risques matériels:

C’est la destruction totale ou partielle d’un ou plusieurs composants d’un système

d’information (matériel informatique ou de communication, supports de données,
environnement tels que locaux, conditionnement d’air, alimentation électrique,
installation téléphonique, ...) suite à des événements comme un choc, la coupure
de câbles électriques ou téléphoniques, l’incendie, l’inondation, la foudre, la
tempête,...etc.
 1- Les risques accidentels

Pannes et dysfonctionnement de matériel ou de logiciel de base:

 Défaillances de matériel ou de logiciels de base

 L’impossibilité d’accéder au réseau Internet

 Interruptions dues à des pannes d’origines externes à l’entreprise

(réseau téléphonique, coupure d’électricité générale …)
 2- Les erreurs
Erreurs de saisie, de transmission et d’utilisation de l’information

• Elles sont à l’origine d’un nombre élevé de problèmes et de pertes pouvant être
importantes.

• La transmission de données, qu’elle se fasse par transport de supports ou par

télécommunications, est sujette à altération de données ou détournements, sans
compter les transmissions des mauvais fichiers.

• La transmission de données, qu’elle se fasse par transport de supports ou par

télécommunications, est sujette à altération de données ou détournements, sans
 2- Les erreurs
Erreurs de saisie, de transmission et d’utilisation de l’information

Il faut alors prévoir:

• des contrôles de robustesse (limite d’un champ de saisie évitant un

débordement dans les champs suivants),

• des filets de sécurité (« une date d’expiration » qui suspend automatiquement

un utilisateur dont le contrat se termine à une date précise)
 2- Les erreurs
Erreurs de conception et de réalisation

Certains logiciels conçus et réalisés présentent des risques à causes de:

 Documentation inexistante
 Auteurs non disponibles pour assurer la maintenance
 Qualité de programmation médiocre
 Programmes complexes ou les bibliothèques utilisées remplies d’erreurs
 Conception de firewall ne pouvant rien filtré …
 3- La malveillance

Les actes de malveillances sont des actes criminels sanctionnés

pénalement par la loi .
Vol et sabotage de matériel
• Vol de matériels informatiques tels que les ordinateurs, serveurs de
données, les smartphones surtout lorsque ceux-ci contiennent des
données confidentielles (mot de passe, informations sensibles,…),
• Le sabotage va de l’endommagement d’un appareil isolé aux attentats
 3- La malveillance

Fraudes

Les fraudes informatiques conduisent à des détournements de biens et

de fonds. Elles peuvent également avoir pour conséquence le sabotage
du fonctionnement.
 3- La malveillance
Sabotage immatériel

Le sabotage immatériel concerne l’altération ou la destruction, totale ou

partielle, des données, des programmes ou de leurs sauvegardes. Ses
conséquences peuvent être aussi graves et parfois même davantage que
celles d’un sinistre matériel, car il peut provoquer des destructions en
profondeur et avoir pour effet de neutraliser pendant un temps long le
fonctionnement du système informatique.
 3- La malveillance
Sabotage immatériel
• la modification non autorisée de programmes ;
• le cheval de Troie qui est une partie de programme pernicieuse ajoutée à un autre programme dont le comportement
externe paraît normal;
• les bombes logiques, qui sortent leurs effets destructeurs de données ou de programmes lors de la réalisation d’un
événement
• les virus et vers, fortement médiatisés, qui agissent comme des bombes logiques mais qui ont, en outre, la faculté de
se reproduire et faire perdurer les infections
• Les logiciels espions (« spyware »). Lorsqu'un utilisateur consulte licitement des sites Internet, il peut lire une page
intéressante, mais qui cache des parties malveillantes permettant à ces dangereux logiciels espions de s'installer dans
le poste de travail et de migrer sur le réseau interne tout en communiquant des informations-clés vers l'extérieur.
 3- La malveillance
Sabotage immatériel: les nouvelles formes d’actes malveillants:

• Le déni de service, qui se traduit par l’indisponibilité d’un site web. Il se provoque en
inondant et en saturant le serveur ou le réseau par une masse énorme de messages
rendant impossible l'accès normal aux ressources;
• Le remplacement de la page d'accueil d’un site web par un renvoi automatique sur le
site d'un concurrent ou sur un site à caractère adulte ;
• Le renvoi de la page d’accueil vers celle d’un site qui y ressemble très fortement, mais
qui est en fait celui d’une organisation malveillante, qui tentera ainsi de voler
des données personnelles (données d’identité de l’utilisateur, données relatives à des
comptes bancaires ou à des cartes de crédit, mots de passe, etc.) ;
• la modification des prix du catalogue d'une entreprise de vente exclusivement par
Internet ;
• la modification de l'adresse e-mail pour les commandes sur Internet et son
remplacement par l'adresse du concurrent ;
• le dépôt, dans la boîte d'envoi du système de messagerie d'un service Relations
publiques d'un message annonçant l'ouverture d'une instruction judiciaire à l'encontre
de l'entreprise. Le message devait être envoyé aux agences de presse ;
• Le blocage du central téléphonique (ordinateur) empêchant toutes les communications
téléphoniques intérieures et extérieures.
 3- La malveillance

Indiscrétion, détournement d’informations

Il s’agit d’actes qui ont pour effet que des personnes non autorisées ont accès aux
informations maintenues par le système informatique.

Détournement de logiciels
La copie de logiciels pour PC est une activité qui bat toujours son plein nonobstant les
succès récents de poursuites judiciaires engagées contre les pirates et la diminution de
l’attrait du copiage résultant des baisses de prix consenties par les éditeurs de logiciels
Les conséquences des risques informatiques
 Les conséquences des risques informatiques
Les pertes directes

Les pertes directes matérielles Les pertes directes immatérielles

• équipements informatiques ; • le contenu des logiciels ;

• équipements télématiques ; • le contenu des données
• environnement (électricité, eau,
climatisation, ...) ;
• Bâtiments, logiciels, données.
 Les conséquences des risques informatiques
Les pertes indirectes
Les pertes indirectes matérielles Les pertes indirectes immatérielles
• les frais de reconstitution de données • l’atteinte à l’image de marque (et
et d’archives donc le risque de fuite de la clientèle,
• les frais financiers ;
etc.)
• les intérêts sur comptes à recevoir ; • la perte de marchés potentiels ;
• les pertes d’exploitation ; • l’affaiblissement de la capacité
• le manque à gagner (reconstitution du
concurrentielle ;
bénéfice normal en l’absence de • le retard technologique.
sinistre) ;
• la perte de matières périssables ; -les
frais d’étude et d’expertise ;
La gestion des risques
 La gestion des risques
La gestion des risques est définie comme l’ensemble des activités
coordonnées visant à diriger et piloter un organisme vis-à-vis du risque. On
dégage en général trois finalités à la gestion des risques pour les SI :

1. Améliorer la sécurisation des systèmes d’information.

2. Justifier le budget alloué à la sécurisation du système d’information.

3. Prouver la crédibilité du système d’information à l’aide des analyses

effectuées.
Les concepts de la gestion des risques
Les concepts de la gestion des risques
Pour bien comprendre la notion de risque, il est important de se pencher sur
chacune de composantes qui definissent le risque:
• La menace: la source du risque, est l’attaque possible d’un élément dangereux
pour les assets. C’est l’agent responsable du risque.
• La vulnérabilité est la caractéristique d’un asset constituant une faiblesse ou
une faille au regard de la sécurité.
• L’impact représente la conséquence du risque sur l’organisme et ses objectifs.
La menace et la vulnérabilité, représentant la cause du risque, peuvent être
qualifiées en termes de potentialité.
L’impact peut, quant à lui, être qualifié en termes de niveau de sévérité.
Processus de gestion des risques
Etablissement du contexte
Il s’agit de déterminer:
 Organisation de la gestion des risques: La gestion des risques se fait dans le cadre
d’ateliers de travail animés par le responsable organisationnel de la sécurité de
l’information (ROSI) ou son représentant, éventuellement le conseiller organisationnel en
sécurité de l’information (COSI). Plusieurs intervenants peuvent y participer, notamment
les détenteurs des actifs étudiés et d’autres intervenants qui auront pour tâche de rendre
disponible l'information relative à leur domaine d’activité respectif
 Champ d’application et portée: On procède à la définition du champ d’application et de la
portée du PGRSI afin d’assurer que les actifs visés sont pris en compte dans l’appréciation
du risque
 Facteurs d’évaluation des risques: Les critères d’impact des risques (degré de dommage),
atteinte à la disponibilité, l’intégrité ou la confidentialité; Les seuils de tolérance aux
risques
Identification du risque

L’identification des risques se fait selon cinq activités complémentaires:

1. l’identification des actifs informationnels;

2. l’identification des menaces;

3. l’identification des mesures de sécurité existantes;

4. l’identification des vulnérabilités;

5. l’identification des impacts.

Identification du risque

1. Identification des actifs:

Les actifs comprennent les serveurs, les coordonnées des clients, les
documents sensibles des partenaires, les secrets commerciaux, etc…

Il s’agit des: logiciels, matériels, données, utilisateurs, architecture et

topologie réseaux, flux d’information …
Identification du risque

2. Identification des ménaces:

Il s’agit d’identifier les types de menaces: catastrophes naturelles,

Défaillance du système, Interférence humaine accidentelle, Humains
malveillants …
Identification du risque

3. Identification des vulnérabilités:

Effectuer des tests sur le système informatique contribue également à
identifier les vulnérabilités. Les tests peuvent inclure :
 Procédures de tests et d’évaluation de la sécurité informatique (ST&E)
 Techniques de tests de pénétration
 Outils d’analyse automatisée des vulnérabilités
Identification du risque
4. Identification ou évaluation des impacts potentiels:
Une analyse d’impact doit inclure les facteurs suivants :

 La mission du système, y compris les processus mis en œuvre par le

système

 La criticité du système, déterminée par sa valeur et celle des données

pour l’organisation

 La sensibilité du système et de ses données

Identification du risque
5. Identification et classification des risques de sécurité existants:
Pour chaque couple menace/vulnérabilité, déterminez le niveau de risque pour le
système informatique, d’après les facteurs suivants :
 La probabilité que la menace exploite la vulnérabilité
 L’impact de l’exploitation de la vulnérabilité par la menace
 L’adéquation des contrôles de sécurité existants ou planifiés visant à supprimer
ou à réduire les risques pour le système informatique
La matrice des risques est un outil très utile pour estimer les risques selon ces
critères. Une forte probabilité de menace correspond à une note de 1,0 ; une
probabilité moyenne à 0,5 et une probabilité faible à 0,1
Analyse des risques

L’analyse des risques constitue le coeur de la démarche de gestion des

risques. Elle a pour finalité l’identification et l’estimation de chaque
composante du risque(menace/vulnérabilité/impact), afin d’évaluer le
risque et d’apprécier son niveau, dans le but de prendre des mesures
adéquates (parfois, cette étape est également appelée «appréciation
du risque »).
 D’une manière générale, on considère que :
 Les risques ayant une occurrence et un impact
faible sont négligeables.
 Les risques ayant une forte occurrence et un
impact important ne doivent pas exister, autrement
une remise en cause des activités de l’entreprise
est nécessaire (on évite le risque, avoidance en
anglais)
 Les risques ayant une occurrence forte et un
impact faible sont acceptés, leur coût est
généralement inclus dans les coûts opérationnels
de l’organisation (acceptation du risque).
 Les risques ayant une occurrence faible et un
impact lourd sont à transférer. Ils peuvent être
couverts par une assurance ou un tiers (transfert du
risque).
 Enfin, les autres risques, en général majoritaires,
sont traités au cas par cas et sont au centre du
processus de gestion des risques ; l’objectif, étant
de diminuer les risques en les rapprochant au
maximum de l’origine de l’axe (mitigation du
Les différentes zones de risque risqueà l’aide de contrôles).
Evaluation ou estimation des risques

L’évaluation peut être quantitative ou qualitative

 L’évaluation quantitative nécessite de disposer de statistiques et de

chiffres concrets pour effectuer un calcul de coûts ou de dommages.

 Lorsqu’on ne dispose pas de chiffres ou de statistiques, l’évaluation

qualitative peut être employée. Celle-ci permet de déterminer un
ordre d’importance du risque.
Grille de mesure des risques (ISO/IEC 27005):
Evaluation ou estimation des risques
Dans ce cas, l’importance de chaque risque est évaluée en fonction d’une estimation de la
probabilité d’apparition des menaces (qui déclencheront le risque) et en fonction de la gravité de
l’impact si le risque se concrétise.

Exemple 1 : Une organisation pourrait évaluer à 6 sur 8 l’impact d’un risque d’intrusion de
l’extérieur (au moyen d'Internet) qui utiliserait une vulnérabilité non identifiée et qui aurait un
impact destructif sur une base de données. La probabilité d’apparition de cette menace pourrait
être moyenne et la gravité de l’impact peut être très élevée. La mesure de ce risque est 6.

Exemple 2 : La divulgation volontaire d’information sensible peut être évaluée à 3 si la probabilité

de survenance d’un tel événement est basse et que la gravité de l’impact est moyenne.
Evaluation ou estimation des risques
Notion de Risques inhérents – Risques résiduels
Evaluation du dispositif de contrôle interne
Traitement des risques

Les traitements possibles sont de 4 types:

 Acceptation,

 Évitement,

 Transfert,

 Atténuation.
Traitement des risques : Acceptation
L’acceptation du risque consiste à prendre le risque, sans mettre de
mesures particulières en place soit parce que le niveau de risque est
acceptable, soit parce que les conséquences ne sont pas critiques. Par
exemple, le fait de remplacer une gestion papier par l’utilisation d’une
base de données engendre globalement un risque acceptable; il faut
néanmoins vérifier ce que contient cette base de données pour
s'assurer de ne pas prendre d’autres risques en effectuant ce
remplacement.
Traitement des risques : Evitement
L’évitement du risque consiste à refuser de prendre le risque. Il sera
alors nécessaire soit d’éviter les conditions d’apparition du risque, soit
d’éviter une activité qui pourrait faire apparaître le risque. Par exemple,
s’il existe un risque de divulgation d’information numérique lorsqu’un
équipement donné est connecté à un réseau, un organisme peut
refuser de prendre ce risque en évitant de connecter cet équipement à
son réseau
Traitement des risques : Transfert
Le transfert du risque consiste à faire prendre le risque éventuel par
une tierce partie jugée plus apte à en assurer le traitement, notamment
par le biais d’un contrat. Pour ne pas aggraver la situation ou engendrer
davantage de risques, une analyse approfondie du sous-traitant (niveau
de compétence, services offerts, etc.) et du contexte général du
transfert de risque est nécessaire. Dans cette situation, des clauses
précises doivent être clairement définies au contrat.
Traitement des risques : Atténuation
L’atténuation du risque consiste à diminuer un risque, par la sélection et la mise en place de
mesures de sécurité ou de contrôles de sécurité (termes équivalents). En général, les mesures de
sécurité peuvent fournir plusieurs types de protection, telles la surveillance, la détection, la
prévention, la sensibilisation, la dissuasion, l’atténuation des impacts, la correction et la
récupération. La sélection de ces mesures de sécurité doit tenir compte de plusieurs facteurs,
notamment :

 des seuils de tolérance aux risques, définis lors de l’établissement du contexte;

 des exigences légales, réglementaires et contractuelles;

 des coûts liés à l’acquisition, l’exploitation et la maintenance des mesures par rapport à la valeur
des actifs protégés.
Mise en place des mesures de sécurité
La mise en place des mesures de sécurité doit se faire de façon à éviter l’apparition de
nouveaux risques. Elle nécessite, notamment, l’instauration de nouveaux contrôles et de
nouvelles procédures à suivre, si l'on veut exploiter les mesures de façon optimale. Des
procédures en cas d’incidents de sécurité liés aux mesures mises en place doivent
également être définies. Il convient, au besoin, de mettre en œuvre des programmes de
formation et de sensibilisation pour s’assurer d’une bonne compréhension des nouvelles
procédures de la part du personnel concerné. Par exemple, pour réduire le risque résiduel
lié à l’indisponibilité des serveurs d’une organisation en raison d'une coupure de courant, il
a été décidé d’installer un système auxiliaire d’alimentation électrique. Des contrôles
doivent être mis en place pour éviter que ce système d'appoint ne soit indisponible à son
tour.
Communication des risques
Le but de cette activité est de tirer profit, de manière officielle, de
l’expérience acquise dans la gestion des risques de sécurité de
l’information. La communication des risques consiste à échanger
l’information sur les risques, notamment à propos de leur existence,
leur probabilité d’apparition, leur gravité, etc.
Revue des risques
Les risques ne sont pas statiques. Ils évoluent, tout comme les menaces, les
vulnérabilités, la probabilité de leur apparition et leurs impacts. Une revue des
risques sur une base régulière est donc nécessaire afin d’inclure, s’il y a lieu, les
nouveaux risques, de s’assurer qu’aucun risque n’est négligé ou sous-estimé et que
le contexte, les résultats de l’analyse des risques de même que les traitements des
risques restent adaptés aux circonstances actuelles. La revue des risques s’effectue
au niveau des facteurs de risques (valeurs des actifs, menaces, vulnérabilités,
impacts et probabilité d’apparition) et de la gestion des risques (contexte, analyse
des risques, traitement des risques et mise en place des mesures de sécurité).
Amélioration de la gestion des risques
Dans un contexte d’amélioration continue, la gestion des risques se
réalise en plusieurs itérations. Celles-ci dépendent du nombre d’actifs
informationnels visés, de la finesse des analyses précédentes et des
besoins en matière de sécurité de l’information. Ainsi, il est possible
qu’une nouvelle itération fasse ressortir de nouveaux risques,
notamment ceux qui ont été identifiés, mais qui n'ont pas été traités,
ou ceux découlant de la revue des risques et du suivi des risques
résiduels.