Analyse de risques

Serveur web intranet

CTIRAA
 Présentation de l'entreprise

Centre Traitement Informatique

Rhône Alpes Auvergne

Clients :
CPAM
DRSM
UGECAM

L'organisme en chiffre :
 5 517 761 Assurés
 8 291 395 Bénéficiaires
 88 725 Praticiens
 3 731 Etablissements
 207 753 199 Décomptes traités en 2010 (Soit 817 926 traités par jour ouvré)
 9 170 128 810€ payés en 2010 (Soit 36 102 869€ payé par jour ouvré)
 Pourquoi ?
Niveau du risque

Risque à traiter

Niveau d’acceptation du risque

Risque accepté

RISQUE = MENACE * IMPACT * VULNERABILITE

 Comment ?

associé
Actif Propriétaire

vise présente

Menace Vulnérabilité

exploite

Actifs primordiaux : Critères de sécurité :

Processus et activités métier  Disponibilité
Actifs supports :  Intégrité
Matériel, logiciel, réseau…
 Confidentialité
 La démarche

Etablissement du contexte

Appréciation du risque

Analyse du risque

Identification du risque

Estimation du risque
Surveillance
Communication du risque Et
Réexamen du risque
Evaluation du risque

Appréciation satisfaisante NON

OUI

Traitement du risque

Traitement satisfaisant NON

OUI

Norme iso 27005 Acceptation du risque

Itération finale, première itération ou itérations ultérieures

 Etablissement du contexte
Etablissement du contexte

Appréciation du risque

Analyse du risque

Identification du risque

Critères d’acceptation :

Aspects commerciaux & marketing

Estimation du risque
Surveillance
Communication
Aspects légaux du risque
et réglementaires Et
Réexamen du risque
Evaluation du risque
Aspects financiers
Point de décision relatif au risque n°1

Aspects opérationnels & Aspects technologiques

NON
Appréciation satisfaisante

OUI
Aspects sociaux et humanitaires
Traitement du risque

Point de décision relatif au risque n°2

Traitement satisfaisant
NON

OUI

Acceptation du risque
Itération finale, première itération ou itérations ultérieures
 Etablissement du contexte
Evaluation des impacts Niveaux de risque

Inactivité < 1 heure

Risque négligeable
Pas d’atteinte image de marque
Architecture du service intranet du CTIRAA
Inactivité > 1 heure
Atteinte modérée image de marque Risque faible
Contentieux limité
Organisation interne
Inactivité > 1 jour
Atteinte image de marque Risque moyen
GRC
Risque juridique
Portail Gestion demandes
Inactivité > 1 semaineet incidents
Clients Atteinte image de marque
Intranet Risques juridique - financier Contentieux important
Risque élevé
Contrat de service
Risques sociaux
Accès aux applications métiers

....
 Analyse du risque
Etablissement du contexte

Appréciation du risque

Actifs primordiaux : Analyse du risque

Identification du risque
Processus « GRC » : gestion incident et demande région

Processus « contrat de Estimation

servicedu»risque
: régional
Surveillance
Communication du risque Et
Processus « remontés au DPS » : national Réexamen du risque
Evaluation du risque

Actifs supports : Point de décision relatif au risque n°1

Appréciation satisfaisante NON

Matériel, logiciel , réseau … (serveur,

OUI
salle machine…)
Traitement du risque

Point de décision relatif au risque n°2

Traitement satisfaisant
NON

OUI

Acceptation du risque
Itération finale, première itération ou itérations ultérieures
 Evaluation du risque
Processus GRC Etablissement du contexte

Valorisation Appréciation
brute du risque simplifiée
Actif Valorisation simplifiée Menace Niveau Vulnérabilité Niveau
D I C
Analyse du risque Déni de service 3 TCP Flooding 2
Portail intranet frontal 4 1 1 2
Remote command 2 URL mal formé 1
Identification Intrusion physique
du risque 1 Salle mutualisée 1
Salle serveur 4 2 2 3
Niveau de risque
ER = (niveau = valorisation
menace simplifiée * ER
+ niveau vulnérabilité) –1 Incendie 2 Bâtiment réhabilité 2
BD utilisateurs SQL injection 1 BD type SQL 3
3 4 4 4
Compromission 1 Man in the middle 2

Valorisation Exposition Niveau de

Actif Estimation du
Menace risque
Niveau Vulnérabilité Niveau
simplifiée risque risque
Déni de service 3 TCP Flooding 2 Surveillance
4 8
Portail
Niveau du risque 2
intranet frontal
Communication Remote command 2 URL mal formé 1 Et 2 4
Perte de Perte deIntrusion physique
Perte de 1 Salle mutualisée 1 1 risque 3
de Salle serveur 3 intégrité Impact sur Réexamen
l’organisme du
confidentialité disponibilité
Incendie 2 Bâtiment réhabilité 2 3 9
perte
Evaluation du 1risque BD type SQL
SQL injection 3 3 12
0 BD utilisateurs
Niveau Pas de perte 4Pas de perte de laPas
Caractéristiques Niveau
de perte Caractéristiques
menace Pas d’impactFacilité d’exploitation
Compromission 1 Man in the middle 2 1 4
1 Non classifié faible Perte 10heure très bas Faible, peuMesures
d’impact en place et efficaces
1 improbable
Point de décision relatif au risque n°1
Appréciation satisfaisante NON
Moyen, impact réel et significatif, gestion au cas par cas –
2 Restreint moyen Perte >11 heure moyen conflitMesures
amiable inadaptées ou inefficaces
2 Moyens limités et accessible au public
3 confidentiel élevé Perte >2 1 jour élevé Élevé, atteinte image – gestion
Idemcontentieux
1 + insuffisantes
OUI
3 Peut survenir sans moyen et connaissances
H24 7j/7 sans spécifiques
4 secret essentiel 3
interruption
Majeur + perte financière
très élevé Pas de +mesures
risque juridique
ou mesures obsolètes

Echelle
Echelle menaces
niveau
Traitement du risque
de perte
Niveau d’acceptation ciblé  6 Echelle des vulnérabilités
Point de décision relatif au risque n°2
Traitement satisfaisant
NON

OUI

Acceptation du risque
Itération finale, première itération ou itérations ultérieures
Traitement et acceptation du risque
Niveau du risque

Etablissement du contexte
SQL injection
Risque à traiter
Appréciation du risque
Incendie
Analyse du risque
Déni de service
Identification du risque
Niveau d’acceptation du risque
6

Estimation du risque Risque accepté

Surveillance
Communication du risque Et
Réexamen du risque
Evaluation du risque

Point de décision relatif au risque n°1

NON
Appréciation satisfaisante
Niveau
Actif Menace
de risque
OUI de service
Déni 8
Portail intranet frontal
Remote command 4
Intrusion
Traitement du risque physique 3
Salle serveur
Incendie 9
SQL injection 12
BD utilisateurs
Point de décision relatif au risque n°2
Traitement satisfaisant
Compromission
NON 4

OUI

Acceptation du risque
Itération finale, première itération ou itérations ultérieures
 Traitement et acceptation du risque

Traitement

Réduction Acceptation Evitement Transfert

risque risque risque risque

Risque résiduel
PSSI
27002

Niveau Type de Délai de mise

Actif Menace Mesures de sécurité
de risque traitement en oeuvre
Déni de service 8 Réduction 8.2.2 contrôle d’accès au réseau A planifier
Portail intranet frontal
Remote command 4 Acceptation ----------------- -----------------
Intrusion physique 3 Acceptation ----------------- -----------------
Salle serveur
Incendie 9 Réduction/Transfert 6.2.3 Sécurité incendie A planifier
SQL injection 12 Réduction 9.1.1 Achat/développement logiciel A planifier
BD utilisateurs
Compromission 4 Acceptation ----------------- -----------------
Communication, surveillance et réexamen du risque

Etablissement du contexte

Appréciation du risque

Analyse du risque

Identification du risque

Estimation du risque
Surveillance
Communication du risque Et
Réexamen du risque
Evaluation du risque

Point de décision relatif au risque n°1

Appréciation satisfaisante NON

OUI Processus SMSI

Traitement du risque

Point de décision relatif au risque n°2

Traitement satisfaisant
NON

OUI

Acceptation du risque
Itération finale, première itération ou itérations ultérieures
Questions