Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque...

234
INTRODUCTION À LA GESTION DE RISQUE INFORMATIONNEL PAR MARC-ANDRÉ LÉGER C R H O M A Centre de recherche Hochelaga-Maisonneuve Centre de recherche Hochelaga-Maisonneuve

Transcript of Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque...

Page 1: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

INTRODUCTION À LA GESTION DE RISQUE INFORMATIONNEL

P A R M A R C - A N D R É L É G E R

C R H O M ACentre de recherche Hochelaga-Maisonneuve

C e n t r e d e r e c h e r c h e H o c h e l a g a - M a i s o n n e u v e

Page 2: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Introduction à la gestion de risque informationnel

par marc-André Léger1691, boul Pie-IX, Montréal, Québec, Canada, H1V 2C3

http://www.leger.ca

[email protected]

Livre électronique : isbn 978-2-9813728-1-9

Version imprimée: isbn 978-2-9813728-2-6

publié le 1er mars 2013

Dépôt légal - Bibliothèque et Archives nationales du Québec, 2013

Dépôt légal - Bibliothèque et Archives Canada, 2013

!

!2

Page 3: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Table des matières

!

!3

Page 4: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Chapitre 1: La sécurité 8 Informatique ou informationnel ? 11 Mise en oeuvre sur le terrain 15 Le risque 23 La gestion de risque 27 Exercice à réaliser en classe 36 Questions de révision 38 Bibliographie de ce chapitre 45

Chapitre 2: La gestion de risque informationnel 46 La perception 51 Le changement 55 Questions de révision 61 Bibliographie 67

Chapitre 3: L’aléa 68 Les menaces pouvant causer des dommages matériels 70 Les menaces pouvant causer des dommages immatériels 72 Hackers 79 Aléas dans les projets TI 81 Aléas en impartition 84 Aléas en infonuagique 86 Sources d’aléas potentiels en infonuagique 87 Exercice à faire en classe 89 Bibliographie 98

Chapitre 4: Les vulnérabilités 99 Questions de révision 108

Chapitre 5: L’impact 112 Externalisation 119 Assurance 120 Exercices à réaliser en classe 121 Questions de révision 124 Bibliographie 128

Chapitre 6: La norme ISO 27005 129 Les domaines de la norme 132 Les critères de base d’ISO 27005 134

!

!4

Page 5: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Les critères d’acceptation des risques d’ISO 27005 136 L’organisation de gestion de risque informationnel 138 L’évaluation des risques: 140 L’identification des actifs informationnels 142 L’identification des contrôles existants 145 L’identification des conséquences 148 Les méthodes de mesure du risque selon ISO 27005 150 L’estimation qualitative du risque 150 L’estimation quantitative du risque 151 L’évaluation des conséquences 152 L’évaluation de la probabilité de réalisation des incidents 154 Estimation du niveau de risque 156 L’évaluation du risque 156

Chapitre 7: Les méthodologies d’analyse de risque 159 Comprendre ce qu’est une méthodologie. 160 La validité interne et externe 162 La mesure des variables 163 Les échelles de mesure 165 L'échantillonnage 167 OCTAVE 168 MÉHARI 172 Les éléments de MÉHARI 173 EBIOS 176 L’établissement du contexte 177 L’appréciation des risques 177 Le traitement des risques 179 La validation du traitement des risques 179 La communication et la concertation relatives aux risques 179 La surveillance et la revue des risques 181 Une démarche itérative en cinq modules 181 Module 1 – Étude du contexte 181 Module 2 – Étude des événements redoutés 182 Module 4 – Étude des risques 183

!

!5

Page 6: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Module 5 – Étude des mesures de sécurité 183 Questions de révision 184

Chapitre 8: Le processus IPM 190 Avant de débuter l’analyse 191 Phase 1: identification et évaluation des scénarios de risque 193 Création des portfolios de risque 209 Proposition et approbation du plan directeur 212 Mise en oeuvre du plan directeur 212 Sélection d’un portfolio 212 Proposition et approbation du plan directeur de gestion du risque informationnel213Mise en oeuvre du plan directeur 213 Exercice en classe 214 Questions de révision 218

Bibliographie 223

!

!6

Page 7: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Introduction

Ce livre porte sur la gestion du risque informationnel, c’est-à-dire sur la gestion des

risques associés à la gestion des informations dans les organisations. Nul ne douteront que

les organisations modernes nécessitent de grande quantités d’informations pour créer et

maintenir un avantage compétitif. Aujourd’hui, cette gestion de l’information nécessite

l’utilisation par les organisations d’une multitude de technologies de l’information et de la

communication, les TIC. L’utilisation de technologies complexes et hétérogènes, comme les

TIC, créent des risques que les organisations doivent maîtriser. De plus, l’accès à

l’information et la connaissance qu’elle transporte, par des utilisateurs autorisés, au

moment opportun et dans divers lieux, est critique au fonctionnement efficace des

organisations en ces temps de globalisation. C’est ce qui rend un livre comme celui-ci

essentiel à tous les gestionnaires, les responsables des TIC, les équipes techniques et

l’ensemble de ceux qui évoluent dans l’écosystème informationnel de l’organisation.

Du matériel multimédia et des vidéos accompagne ce livre via le lien internet suivant:

http://crhoma.org/blogue/materiel/

!

I n t r o d u c t i o n à l a g e s t i o n d e r i s q u e i n f o r m a t i o n n e l

p a r M a r c - A n d r é L é g e r

Page 8: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses
Page 9: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Introduction à la gestion de risque informationnel

Chapitre 1: La sécurité

L’organisation qui souhaite gérer ses risques informationnels le fait souvent dans une

optique de sécurité, qu’il s’agisse de sécurité informatique ou sécurité de l’information. Il

est donc utile de débuter par une définition de ce qu’est la sécurité.

Cette définition générale est applicable dans plusieurs contexte. Par exemple, un individu

se sentira en sécurité s’il perçoit qu’il n’est pas en présence de risques qu’il considère

inacceptables ou qu’un danger est imminent. S’il souhaite traverser la rue,

un risque inacceptable pour un individu serait une automobile qui arrive dans sa

direction. Dans ce cas il ne traversera pas la rue, il attendra que la l’automobile ai passé et

que la situation soit devenue sécuritaire. Ainsi la notion de sécurité est indissociable de

celle du risque.

D’une certaine façon la sécurité est le contraire du risque, il y a de la sécurité quand il n’y a

pas de risque inacceptable. De même, plus le risque est acceptable et plus la sécurité est

élevé. Il y a plusieurs éléments importants à cette définition:

• La sécurité est un concept gradué;• La sécurité comporte une dimension subjective; et• L’acceptabilité du risque varie selon le contexte.

!

!8

La sécurité désigne un état de fait, l’absence de risque inacceptables.

Page 10: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Chapitre 1

La sécurité est un concept gradué

C’est-à-dire que l’on peut être plus ou moins en sécurité, dépendant de l’intensité

du risque auquel nous faisons face, et à l’étendue des intérêts visés. Il n’existe aucun seuil

métaphysique au-delà duquel nous entrons dans un état de sécurité, et en deçà duquel on

peut dire que la sécurité manque.

La sécurité comporte une dimension subjective

La sécurité est un sentiment qui, au même titre que la confiance, varie en fonction des

individus, des communautés et du contexte. Le sentiment de sécurité, c’est-à-dire, le

sentiment que nos intérêts les plus fondamentaux ne sont pas menacés par des agents

disposés à poser des gestes susceptibles de nous être préjudiciables, fait que nous n’avons

pas à faire des investissements de ressources matérielles ou psychologiques démesurées

pour protéger ces intérêts, que nous pouvons au contraire investir ces ressources dans des

activités productives. Ce sentiment est intimement lié à la prévisibilité. Le sentiment de

sécurité n’exige pas que nous soyons à l’abri de tout risque inacceptable, mais plutôt que

ceux auxquels nous faisons face se situent à l’intérieur d’un cadre de règles et de pratiques

auxquels nous consentons. Le sentiment de sécurité peut être influencé par des biais

variés. Ces biais, s’ils sont avérés, causeront un décalage entre la situation réelle et la

situation perçue de sécurité ou d’insécurité.

!

!9

Page 11: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Introduction à la gestion de risque informationnel

L’acceptabilité du risque varie selon le contexte

Ce qui est acceptable ou inacceptable pour un individu, à un moment donné, dans un

contexte donné peut varier.

Cette tolérance à l’acceptabilité peut varier dans le temps et selon le contexte. Par exemple,

il est possible de tolérer un risque si les bénéfices envisagés par une activité, même à court

terme, sont perçus comme étant suffisamment élevés pour justifier les possibles résultats

non désirables.

!

!1 0

Un fumeur qui, par habitude ou par addiction, considère le tabagisme comme un risque acceptable.

Un individu de 24 ans qui s’adonne dans ses loisirs à un sport extrême, par

exemple la parachutisme depuis un immeuble ou un pont (base jumping),

dont il retire un plaisir apporté par une surdose d’adrénaline, considère l’exercice de ce sport comme un risque acceptable. À 50 ans, il est

moins certain qu’il pratiquerait ce sport.

Page 12: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Chapitre 1

Informatique ou informationnel ?

L’informatique, dans ce livre, réfère aux technologies utilisées: les ordinateurs,

périphériques et autres éléments techniques qui sont utilisés en TIC. L’informatique est le

support physique à l’information sous une forme numérique.

!

En considérant que ce qui contribue le plus à la création d’un avantage compétitif d’une

organisation c’est l’information et non l’informatique, l’accent de ce livre est sur

l’informationnel. Nous parlerons donc de sécurité de l’information et de risque

informationnel. Quand nous parlerons de mesures particulières qui ont pour but de

permettre de réduire, contrôler ou mitiger les risques, alors nous entrerons dans la sécurité

informatique, c’est-à-dire associé à des TIC.

La sécurité de l’information est une sous-catégorie de la sécurité de façon générale telle

que nous l’avons présenté précédemment. Elle est définie comme l’ensemble des actions et

des procédures conçues pour prévenir, avec un niveau de certitude démontrable, la

divulgation, le transfert, la modification ou la destruction non autorisée, volontaire ou

accidentelle des informations détenues par une organisation. L’ensemble des ces

L’informationnel est en relation aux informations, c’est-à-dire aux

données structurées, qui sont emmagasinées, manipulés et transmises

en utilisant des outils informatiques.

!

!11

Page 13: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Introduction à la gestion de risque informationnel

informations forment le patrimoine informationnel de l’organisation. Par

patrimoine informationnel, nous entendons les données, informations, ressources

informationnelles, actifs informationnels et l’ensemble des TIC qui sont utilisés durant le

cycle de vie de l’information. 

Les principaux objectifs de la sécurité de l’information sont :

• la confidentialité des données,• l’intégrité des données,• la disponibilité des données,

Ces objectifs varient selon les situations, les contextes et le temps. Les objectifs de sécurité

proviennent de différentes sources:

• besoins d'affaires,• analyse de risque,• politiques de sécurité,• recueils de pratiques exemplaires,• obligations légales ou contractuelles,• lois et règlements, accords internationaux,• codes d'éthique, de déontologie ou de gouvernance,• normes locales, sectorielles, nationales ou internationales.

Ce sont ces sources des objectifs de sécurité de l’information qui doivent être identifiées

afin définir les objectifs et les besoins de sécurité de l’information (confidentialité,

intégrité, disponibilité, etc.) qui seront utilisés en gestion de risque informationnel.

!

!1 2

Page 14: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Chapitre 1

Par exemple, dans le contexte d’un organisation dans le domaine de la santé au Québec

(Canada), nous identifions des objectifs de gestion de risque informationnels qui peuvent

être catégorisés selon les multiples éléments suivants:

• Confidentialité des données cliniques obtenues d’un patient par un professionnel de la santé;

• Intégrité des données cliniques afin de s’assurer qu’elles ne sont pas altérés;• Disponibilité des données au moment opportun pour le bien-être des patients;• Non-répudiation de l’accès et de l’utilisation des données par les professionnels de

la santé;• Respect de l’intégrité des individus et de leur dossier clinique, par exemple en

exigeant un consentement libre et éclairé lors de la saisie des données et de leur utilisation;

• Transparence dans l’utilisation des données cliniques, par exemple en interdisant le transfert des données d’un patient à un tiers qui les utiliserait à des fins de publicité ou de vente de médicaments;

• Mise en oeuvre du principe de prudence.

En plus d’aider l’organisation à atteindre ses objectifs, la sécurité de l’information est

nécessaire parce que la technologie appliquée à l’information crée des risques. Des

composants logicielles peuvent comporter des failles ou des bogues. Les composantes

matérielles peuvent être défectueuses, souffrir de bris ou s’user.

Globalement, l’information pourrait être indûment communiqué (sa confidentialité

pourrait être compromise), modifié de manière inappropriée (son intégrité peut être

compromise), détruite ou perdue (sa disponibilité pourrait être compromise). Cette

!

!1 3

Page 15: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Introduction à la gestion de risque informationnel

compromission des données pourra causer une réduction de l’avantage compétitif que

l’organisation espérait obtenir des TIC, tel que des pertes économiques au propriétaire de

l’information, qu’elles soient avérées ou non. La perte pourrait être directe (par la

réduction de la valeur de l’actif d’information lui-même) ou indirecte (par le biais

d’interruption de service, des dommages à la réputation, la perte d’un avantage

concurrentiel, la responsabilité juridique, etc.).

!

!1 4

Page 16: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Chapitre 1

Mise en oeuvre sur le terrain

Nous proposons la mise en oeuvre de la sécurité de l’information sur le terrain en utilisant

le modèle des trois P (Prévention, protection, punition) de mise en oeuvre de la sécurité de

l’information. Ce modèle est structuré selon 3 axes:

• la prévention: des mesures de prévention seront mise en oeuvre dans l’organisation. Par exemple, une politique de sécurité, un processus formel d’analyse de risque, des audits TI annuels et un programme de sensibilisation des employés et de formation des ressources informatiques.

• la protection: la mise en oeuvre d’actions de mitigation de risque ou l’allocation des rôles et des responsabilités en matière de gestion de risque à des individus dans l’organisation et la mise en oeuvre de processus de gestion des incidents, de recouvrement en cas de sinistres et de continuité des affaires.

• la punition: il sera nécessaire de prévoir des actions punitives en cas de non respect ou de contournement volontaires des deux premiers axes.

!

!1 5

3PPrévention

Protection

Punition

Page 17: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Introduction à la gestion de risque informationnel

La politique de sécurité

Sur le terrain, la mise en oeuvre de la sécurité de l’information débute par l’élaboration

d’une politique de sécurité qui s’intègre dans le premier P: la prévention. Cette politique

décrit ce qui est autorisé et ce qui est interdit. La politique de sécurité de l’information

devrait mettre en évidence la valeur de l’information et la mesure dans laquelle on en a

besoin, ainsi que l’importance de la sécurité de l’information pour l’organisation. Elle

devrait identifier les exigences minimales au plan de la conformité et des règlements en

matière de sécurité.

La politique de sécurité inclut des éléments tels que: la politique de gestion des risques, la

catégorisation et l’étiquetage d’information, la sécurité du personnel et matérielle, les

exigences juridiques et contractuelles, l’élaboration et le fonctionnement des systèmes, la

planification de la poursuite des activités, la production de rapports sur les incidents et les

exigences d’intervention, l’application de mesures en cas de violation et la sensibilisation à

la sécurité et la formation.

La politique peut tenir compte de tout système d’information critique ou des exigences

pertinentes. Elle doit cependant identifier les besoins en matière de sécurité de

l’information développée en fonction des sept objectifs mentionnés précédemment. Il est

nécessaire que soient assigné les rôles et les responsabilités en matière de sécurité de

l’information et la distribution des responsabilités dans la structure organisationnelle.

Dans les organisations qui effectuent des projets de développement, il faut inclure la

sécurité de l’information dans le développement de systèmes d’information et dans les

!

!1 6

Page 18: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Chapitre 1

processus de mise en place ou d’achats de systèmes d’information. De plus la politique

devrait au minimum :

• définir les règles et les procédures en matière de sécurité de l’information;• définir les procédures pour l’identification de la nature sensible et la classification

de l’information;• identifier la stratégie de gestion du risque;• définir les besoins en matière de continuité des affaires;• définir des normes de gestion des ressources humaines;• prévoir des plans de sensibilisation des employés et de formation continue en

matière de sécurité de l’information;• encadrer les obligations légales;• identifier les règles de la gestion de l’impartition et des tiers; et• définir la stratégie de gestion des incidents.

!

!1 7

Page 19: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Introduction à la gestion de risque informationnel

Mise en oeuvre de la politique

Une fois qu’une politique de sécurité de l’information a été définie, la tâche suivante

consiste à appliquer la politique. Pour ce faire, l’organisation déploie un mélange de

processus d’affaires et de mécanismes techniques. Ce sont ces mécanismes de sécurité de

l’information qui forment la sécurité informatique.

Ces processus et mécanismes entrent dans six catégories:

• Les mesures de prévention, tels que la sensibilisations de ses employés et la formation de son personnel technique.

• Les mesures de protection, ce qui consiste à mettre en place des processus d’affaires et des mécanismes techniques qui visent à prévenir que des aléas se produisent, à réduire la probabilité qu’ils se produisent ou à minimiser leur impact.

• Les mesures de détection qui servent à alerter l’organisation quand des aléas surviennent afin qu’elle puisse prendre des actions afin de minimiser leur impact sur l’organisation.

• Les processus et mesures de réponse face aux conséquences d’aléas afin d’optimiser le retour à état d’équilibre. Des processus de réponses peuvent aussi inclurent des mesures punitives selon le troisième P: punition (réprimandes ou renvoi d’employés), criminelles (référé du dossier à des forces policières) ou légales (poursuites).

• Les mesures d’assurance afin de valider l’efficacité et le bon fonctionnement de la protection, de détection et les mesures d’intervention.

• L’audit pour déterminer l’efficacité des processus et des mesures.

!

!1 8

Page 20: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Chapitre 1

Création d’un comité de sécurité

Il est recommandé de créer un comité de sécurité de l’information pour assister

l’organisation dans l’élaboration de sa politique de sécurité et pour l’ensemble des

activités de gestion du risque informationnel. Le comité devrait comprendre de quatre (4)

à sept (7) membres et devrait comprendre :

• un membre identifié comme chef de projet;• le principal responsable de la sécurité s’il y en a un;• des représentants du groupe ayant la responsabilité opérationnelle et budgétaire

des TIC;• des représentants des responsables de l’exécution de la mission de l’organisation;• un représentant des ressources humaines; et• un conseiller juridique.

Des accommodements sont nécessaire selon la taille de l’organisation.

Dans un premier temps le chef de projet devrait être identifié. Celui-ci pourra prendre en

charge le suivi des différentes étapes de la méthodologie, dont la création du comité de

sécurité de l’information. Il pourra documenter les règles de fonctionnement du comité et

s’assurer de conserver des minutes des rencontres. Les membres du comité pourront varier

selon les besoins de l’organisation et les priorités des gestionnaires de l’organisation. La

structure et le modus operandi du comité de sécurité de l’information devraient tenir

compte de cette possibilité.

!

!1 9

Page 21: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Introduction à la gestion de risque informationnel

Les objectifs de sécurité

L’organisation devra définir ses objectifs de sécurité, les exprimer en terme de besoins

spécifiques (confidentialité,intégrité ,disponibilité, etc.) et faire un inventaire des éléments

de son patrimoine informationnel. Entre autre, cela lui permettra d’identifier les éléments

à risque qui sont plus prioritaires auxquels les efforts de gestion de risque devront

s’attaquer en premier. Il est proposé de rencontrer les ayants cause de la sécurité, c’est-à-

dire les membres de l’organisation qui ont un rôle à jouer da la sécurité de l’information,

les propriétaire des actifs informationnels et les gestionnaires de l’organisation pour

valider avec eux les besoins de sécurité.

!

!2 0

Obligations légales et contractuelles

Objectifs d’affairesNormes et pratiques

exemplaires

Objectifs de sécurité

Politique de sécurité

Page 22: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Chapitre 1

Amélioration continue

Évidemment, le travail n’est jamais terminé. La sécurité de l’information doit appliquer les

principes d’amélioration continue. La définition de la politique, la protection, et les tâches

de vérification sont effectuées maintes et maintes fois, et les leçons apprises à chaque fois à

travers le cycle sont appliquées lors du prochain cycle.

"

!

!2 1

Page 23: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Introduction à la gestion de risque informationnel

Principe de prudence

La sécurité de l’information doit appliquer le principe de prudence. En cas de doutes sur

l’importance relative d’un actif informationnel, sur l’importance des dommages, sur la

probabilité de réalisation d’un aléa ou en cas d’incertitude quant aux résultats, les

individus impliqués en gestion de risque informationnel devraient choisir la décision sage,

vertueuse et prudente afin de minimiser les risques. Ils devraient diligemment chercher à

obtenir suffisamment d’informations pour prendre une décision éclairée. Ceci ne signifie

pas qu’il est préférable de ne pas prendre de décision, ce qui peut être pire. Mais dans le

doute, le gestionnaire devrait agir en bon père de famille.

!

!2 2

Page 24: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Chapitre 1

Le risque

Nous avons mentionné que la sécurité est définie par l’absence de risque inacceptables. De

plus, la mise en oeuvre de la sécurité de l’information, qui débute par la politique de

sécurité de l’information et l’identification des objectifs de sécurité, doit s’appuyer sur

l’identification du risque et la détermination de ce qui est acceptable et, plus précisément,

non-acceptable dans un contexte organisationnel particulier. Il est important de

comprendre ce que signifie le risque en général et le risque informationnel plus

précisément.

Il n’y a pas une seule définition du risque. Une recherche sur Google avec les

mots risque ou risk propose plus de 800 000 000 résultats. Il ressort d’une analyse de la

littérature scientifique sur le risque que beaucoup de ce qui a été écrit sur ce sujet est basé

sur des données anecdotiques et sur des études limitées à un aspect ou un domaine

particulier. Dans cette section, nous présentons les principales définitions du risque qui

sont utile pour la compréhension des concepts présentés. Notre objectif est de présenter au

lecteur les éléments d’une définition contextuelle du risque appliqué à la sécurité de

l’information qui permettra d’identifier les variables qui pourrons être utilisés pour la

gestion du risque informationnel.

Le risque est un construit social, il dépend de celui qui le perçoit, de la nature du risque et

du domaine dans lequel on s’intéresse au risque. Selon les différentes sources que l’on

retrouve, le mot risque tire ses origines de plusieurs sources, entre autres:

!

!2 3

Page 25: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Introduction à la gestion de risque informationnel

• du terme italien (Moyen âge) risco signifiant rocher escarpé, ou écueil, utilisé par les premières compagnies d’assurance pour désigner le péril couru en mer,

• du latin resecum signifiant coupant et • du mot arabe rizq.

Le risque réfère à des situations par lesquelles un individu assigne des probabilités

mathématiques aux événements aléatoires auxquels il fait face.

!

Le risque est présent même si cette assignation est subjective et utilise des échelles

nominative (par exemple bas, moyen ou élevé). Le risque est aussi défini comme une

variation possible des résultats sur une période déterminé dans une situation donnée. On

retrouve dans le risque une notion implicite de discontinuité, de désastres, de surprise,

d’inconnu ou même d’ignorance.

Le risque est souvent défini comme une combinaison de la probabilité d’occurrence d’un

dommage et de sa gravité. Cette définition est valable seulement dans les cas ou nous

disposons de données probantes suffisantes, par exemple si nous disposons de données

historiques suffisantes, qui permettent de démontrer que les probabilités d'occurrence

d’aléas comparables sont distribué également dans le temps. Dans cette situation, il s’agira

Je lance un dé normal, doté de 6 faces. Si je souhaite obtenir le 3, je peux

pense qu’il y a une chance sur six que cela se produise. Je peux donc

estimer le risque que cela ne se produise pas à 5/6.

!

!2 4

Page 26: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Chapitre 1

de risque objectif, lorsque la variation existe dans la nature et est la même pour tous les

individus dans une situation identique. Le risque objectif se différencie du risque subjectif,

c’est-à-dire lorsqu’il y a estimation du risque objectif par un individu.

!

!2 5

Page 27: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Introduction à la gestion de risque informationnel

Ce qui n’est pas du risque

Quand on ne peut exprimer l’aléatoire par des probabilités, mêmes subjectives, on doit

plutôt parler d’incertitude. Il est important de distinguer ces deux termes, risque et

incertitude. Car, bien qu’on puisse espérer gérer le risque, il est impossible de gérer

l’incertitude.

!

Le mot risque est généralement utilisé lorsqu’il existe au moins la possibilité de

conséquences négatives d’un aléa, tel qu’une réduction de l’avantage compétitif attendu

(conséquence négative) d’un processus d’affaire ou d’un système d’information après une

intrusion par un cybercriminel ou hacker (l’aléa). S’il ne s’agit que de conséquences

probables positives, on parlera plutôt de possibilités. La gestion de possibilités ne fera pas

appel à des mesures de mitigation de risque, on accueillera favorablement le

bénéfice inattendu ou inespéré. Ainsi, la gestion des possibilités positives n’est pas de la

gestion de risque.

De même, si un résultat est inévitable on utilisera le terme certitude: la mort éventuelle de

tout organisme vivant est une certitude. On pourra la retarder, mais pas l’éviter. Nul ne

peut gérer la certitude, on peux s’y préparer et, dans les meilleurs cas, retarder l’inévitable.

L’incertitude n’est pas du risque: on ne peut l’exprimer par des probabilités.

!

!2 6

Page 28: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Chapitre 1

La gestion de risque

L’idée moderne que le risque peut être géré peut être compris comme une conséquence à

long terme d’un désastre naturel qui s’est produit à Lisbonne, au Portugal, en 1755,

combiné à la découverte des probabilités par Blaise Pascal et à d’autres avancées en

mathématiques d’abord et en sciences de la gestion ensuite. Le désastre de Lisbonne

marque un point tournant dans le monde occidental moderne de la vision de l’aléa comme

un acte divin, tel qu’illustré par un poème de Voltaire, vers une approche rationnelle qui

peut être soumise à un traitement scientifique. C’est la réponse de Rousseau à Voltaire qui

sème le germe de gestion du risque:

“Serait-ce à dire que l’ordre du monde doit changer selon nos caprices, que la nature doit être

soumise à nos lois, et que pour lui interdire un tremblement de terre en quelque lieu, nous

n’avons qu’à y bâtir une ville?”

La gestion est la mise en œuvre de moyens humains et matériels d’une organisation pour

atteindre des objectifs préalablement fixés. La croissance des bureaucraties

professionnelles dans nos sociétés a transformé les organisations en une puissante

machine de gestion dont les opérations visent l’efficacité et la prévisibilité dans l’atteinte

de ses objectifs.

Dans une organisation du secteur privé, l’efficacité est mesuré avec des variables de nature

pécuniaire ou mesurés en part de marché. Dans le cas d’un organisation du secteur public,

l’efficacité peut être mesuré par une livraison efficiente de services à la population. Par

!

!2 7

Page 29: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Introduction à la gestion de risque informationnel

exemple, dans une organisation publique du secteur de la santé, telle qu’elles existent au

Québec, l’efficacité peut être mesurée par une amélioration de la qualité de vie, la

réduction de la morbidité ou de la mortalité dans une population cible de la zone

d’activité de celle-ci.

La machine de gestion d’une organisation s’exprime par des actes visant une

transformation du monde réel par le travail, la médiation ou l’instrumentation. La gestion

du risque est nécessaire parce les organisations doivent identifier ce qui est prévisible afin

d’assurer leur pérennité et identifier les actions susceptibles de produire des résultats qui

réduisent son efficacité, qui vont à l’encontre de l’atteinte de ses objectifs ou qui

produisent des résultats négatifs.

L’organisation doit identifier les risques les plus significatifs pour elle. Ainsi,

la gestion de risque est l’une des composantes d’une gestion prudente et diligente. C’est-à-

dire que, sachant qu’il existe la possibilité qu’ils se produisent des aléas susceptible de

réduire l’utilité espérée ou de nuire à l’atteinte efficace des objectifs, le gestionnaire, en tant

qu’acteur individuel vertueux, doit tenir compte du risque. De plus, la saine gouvernance

d’une organisation, par exemple dans le cadre normatif de gouvernance tel que ISO 38500,

la conformité à des cadres de gestion, tel que COBIT ou ISO 27001, requiert la mise en

oeuvre d’un programme de gestion de risque formalisé.

Fondamentalement, la gestion du risque est accomplie par des activités d’identification (I)

et d’évaluation des scénarios de risque (les combinaisons d’élément à risque, aléas et de

vulnérabilités susceptible de causer des dommages), de la priorisation (P) de ces scénarios

!

!2 8

Page 30: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Chapitre 1

(en fonction de l’importance des dommages ou de la réduction de l’Utilité espérée (μ) au

delà de l’appétence au risque de l’organisation) et des actions de mobilisation (M) de ses

ressources humaines et financières pour un traitement approprié du risque: le processus

IPM qui sera traité plus en détails plus loin. 

Ces actions

de

mobilisation

vont généralement prendre les formes suivantes:

• Ignorer le risque : l’organisation peut décider consciemment d’ignorer le risque.• Éviter le risque : l’organisation pourra décider de ne pas poursuivre une

opportunité car elle considère que le risque ne vaut pas la chandelle.• Accepter le risque : l’organisation détermine que le risque associé à un scénario

donnée est acceptable pour l’organisation compte tenu de ses contraintes, des ses objectifs d’affaires ou de sa résilience.

!

!2 9

IPMIdentification

Priorisation

Mobilisation

Page 31: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Introduction à la gestion de risque informationnel

• Mitiger le risque par la mise en oeuvre de mécanismes de protection, de détection ou de réponse: par exemple par la mise en place d’un pare- feu, une organisation réduira la menace d’intrusion de son réseau informatique via l’Internet.

• Transférer le risque : une organisation pourrait décider de prendre une police d’assurance qui couvre un risque précis, une organisation pourrait aussi transférer le risque, contractuellement, à un tiers ou l’externaliser via d’autres mécanismes.

Les actions de mobilisation (Ω) seront diverses et nombreuses en fonction des différents

risques auxquels fait face l’organisation. L’ensemble des actions de mobilisation (Ω),

pour une période de temps (∆t) défini à priori dans un espace (s) donné, formeront le

portfolio de mesures (φ) composé des actions de mobilisation individuelles (Ωn). La

gestion de risque est discuté avec plus de détails dans le chapitre suivant.

En risque informationnel, l’adjectif informationnel fait référence à l’information.

Notamment, le risque informationnel s’intéresse aux risques relatifs à la sélection, la mise

en forme, le transfert et l’utilisation de l’information dans un contexte

organisationnel. Le risque informationnel est le risque, c’est-à-dire la possibilité de

dommages, de conséquences négatives ou de résultat (outcomes) indésirables, associé à la

sélection, la mise en forme, le transfert et l’utilisation de l’information.

Par exemple, la possibilité que de l’information transmise via un réseau de

télécommunications par des employés de l’organisation soit indûment communiqué,

modifié, détruite ou perdue, causant des pertes directe ou indirecte à l’organisation

constitue un risque.

!

!3 0

Page 32: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Chapitre 1

!

Nous utilisons le triangle du risque, présenté ci-dessus, comme cadre de référence pour

comprendre le risque informationnel.

Aléa ou menace

Vulné

rabi l

i té(s

Dommage ou impact

Risque (E,t,s)

!

!3 1

Page 33: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Introduction à la gestion de risque informationnel

Ce que le triangle du risque illustre est que pour que le risque existe, trois composantes

doivent co-exister pour un élément à risque donné (E) ayant une valeur pour

l’organisation, son utilité espérée µ(x), dans un temps (t) et un espace (s) donné:

• un aléa (A), qui peut être assimilé à une menace;• une vulnérabilité (ψ) que l’aléa (A) pourra exploiter,• un dommage (δ), aussi nommé impact, qui résultera de l’exploitation de la

vulnérabilité (ψ) par l’aléa (A).

Si l’un de ces éléments manque, il ne peut y avoir de risque. En s’appuyant sur le triangle

du risque, nous utilisons la définition suivante pour le risque:

Le risque est la réduction de l’utilité espérée (μ) d’un élément à risque (E) par un aléa

(A) dans un espace défini (s) et une intervalle de temps précis (∆t), compte tenu de sa

résilience (θ).

!

!3 2

Page 34: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Chapitre 1

Définitions importantes

Élément à risque (E): élément (actif, processus, système, etc.) ou ensemble d’éléments

ayant une Utilité espérée (μ) pendant une période de temps (∆t) dans un espace (s) donné.

L’élément à risque (E) a une valeur intrinsèque (par exemple sa valeur de remplacement)

et une Utilité espérée (par exemple, sa contribution aux bénéfices de l’organisation).

Aléa (A): événement réel, envisagé ou perçu, ou séquence d’événements résultant de

l’exploitation d’une vulnérabilité (ψ) d’un élément à risque (E) pouvant causer un

dommage (δ) pendant une période de temps (∆t) dans un espace (s) donné. L’aléa peut

être causé par une menace (m).

Vulnérabilité (ψ): fragilité (relative) d’un élément à risque (E) à un aléa (A)

Dommage : Impact réel, envisagé ou perçu. Réduction de l’Utilité espérée (μ) d’un élément

à risque (E) par un aléa (A)

Résilience (θ): capacité d’un élément à risque (E) de passer au travers un aléa (A) en

minimisant le dommage (δ), d’utiliser l’adversité comme catalyseur d’amélioration ou de

tolérer une variabilité de l’Utilité espérée (μ). Le niveau de maturité est lié à la résilience.

Temps (∆t) : intervalle de temps, définie à priori

Espace (s) : espace délimité

Utilité espérée (μ(x)): un gain, une amélioration d’une position ou un bénéfice espéré par

un élément à risque (E) x, après une période de temps (∆t) défini à priori dans un espace

!

!3 3

Page 35: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Introduction à la gestion de risque informationnel

(s) donné. L’Utilité espérée est fonction de la valeur pour l’organisation V(x) de l’élément

à risque x.

!

La formule ci-haut présente le risque théorique (R) comme une fonction d’un élément à

risque (E), ayant une utilité espérée pour une organisation (μ), d’un aléa et d’une

vulnérabilité dans un contexte limité sans le temps et l’espace, et une fonction inverse de la

résilience.

!

!3 4

Page 36: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Chapitre 1

!

!3 5

Page 37: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Introduction à la gestion de risque informationnel

Exercice à réaliser en classe

En équipe de deux (2) ou trois (3) étudiants, identifier un éléments à risque du patrimoine

informationnel de l’organisation d’un des étudiants et deux aléas réels (des événements

qui sont survenus dans le passé) qui ont compromis l’élément à risque choisi. Pour chaque

aléa choisi répondre aux questions.

Elément à risque: ___________________________________________

Aléa 1: ____________________________________________________

Quelle est la vulnérabilité qui fut exploité ?

Quels furent les dommages ?

Quand et où s’est-il produit ?

!

!3 6

Page 38: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Chapitre 1

Aléa 2: ____________________________________________________

Quelle est la vulnérabilité qui fut exploité ?

Quels furent les dommages ?

Quand et où s’est-il produit ?

Par la suite, une discussion a lieu avec l’ensemble des étudiants et le professeur sur le

triangle du risque et sur la nécessité d’être en présence des trois composantes du triangle

présentes dans un temps et un espace délimité pour qu’un risque potentiel existe

!

!3 7

Page 39: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Introduction à la gestion de risque informationnel

Questions de révision

1) Indiquez si l’énoncé suivant est vrai (V) ou faux (F):

_____ : La sécurité désigne l’absence de risque inacceptables._____ : La sécurité est le contraire du risque._____ : La sécurité est un concept gradué_____ : La sécurité est un concept absolu._____ : Il existe un seuil métaphysique au-delà duquel nous entrons dans un état de sécurité._____ : Il n’existe pas de seuil en deçà duquel on peut dire que la sécurité manque._____ : La sécurité comporte ensuite une dimension proprement subjective._____ : La sécurité ne varie pas en fonction des individus et des communautés._____ : Le sentiment de sécurité est intimement lié à la prévisibilité._____ : Le sentiment de sécurité n’exige pas que nous soyons à l’abri de tout risque inacceptable.

!

!3 8

Page 40: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Chapitre 1

2) Apparier le bon terme avec la description qui lui convient le mieux:

A. certitude

B. incertitude

C. possibilités

D. risque

_____ : Les conséquences probables sont négatives_____ : les conséquences probables sont impossible à déterminer_____ : Les conséquences probables sont positives_____ : Le résultat est inévitable_____ : Il y a réduction de l’Utilité espérée

!

!3 9

Page 41: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Introduction à la gestion de risque informationnel

3) Indiquez si l’énoncé suivant est vrai (V) ou faux (F):

_____ : Il y a une seule définition du risque._____ : Les définition du risque sont basé sur des données anecdotiques_____ : La définition du risque permet d’identifier les variables à utiliser._____ : Le risque n’est pas un construit social._____ : Le risque dépend de celui qui le perçoit,_____ : Le risque dépend de la nature du risque et du domaine._____ : Le mot risque tire ses origines du terme risco_____ : Le mot risque tire ses origines du latin resecum_____ : Le mot risque tire ses origines du mot arabe rizq._____ : Le risque est une combinaison de la probabilité d’occurrence d’un dommage et de sa gravité._____ : Le risque réfère à des situations par lesquelles le décideur assigne des probabilités mathématiques aux événements aléatoires._____ : Le risque est une variation dans les résultats qui peuvent survenir sur une période déterminé dans une situation donnée._____ : Dans le risque, il n’y a pas de notion de discontinuité._____ : Le risque est subjectif lorsque la variation existe dans la nature et est la même pour tous les individus dans une situation identique._____ : Le risque objectif lorsqu’il y a estimation du risque objectif par un individu.

!

!4 0

Page 42: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Chapitre 1

4) Apparier le bon terme avec la description qui lui convient le mieux:

A. Aléa

B. Dommage

C. Élément à risque

D. Résilience

E. Utilité espérée

F. Vulnérabilité

1._____ : Bénéfice espéré par un élément à risque après une période de temps défini à

priori dans un espace donné.

2._____ : Capacité d’un élément à risque de passer au travers un aléa en minimisant le

dommage.

3._____ : Capacité d’un élément à risque d’utiliser l’adversité comme catalyseur

d’amélioration.

4._____ : Capacité d’un élément à risque de tolérer une variabilité de l’Utilité espérée.

5._____ : Élément (actif, processus, système, etc.) ou ensemble d’éléments ayant une Utilité

espérée (μ) pendant une période de temps (∆t) dans un espace (s) donné. L’élément

à risque (E) a une valeur intrinsèque (par exemple sa valeur de remplacement) et une

Utilité espérée (par exemple, sa contribution aux bénéfices de l’organisation).

!

!4 1

Page 43: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Introduction à la gestion de risque informationnel

6._____ : Événement réel, envisagé ou perçu résultant de l’exploitation d’une vulnérabilité

d’un élément à risque pouvant causer un dommage.

7._____ : Fragilité d’un élément à risque à un aléa.

8._____ : Impact réel, envisagé ou perçu.

9._____ : Réduction de l’Utilité espérée d’un élément à risque par un aléa.

10._____ : Séquence d’événements résultant de l’exploitation d’une vulnérabilité d’un

élément à risque pouvant causer un dommage.

11._____ : Un gain, une amélioration d’une position après une période de temps défini à

priori dans un espace donné.

!

!4 2

Page 44: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Chapitre 1

5) Apparier le bon terme avec la description qui lui convient le mieux:

• A. Accepter

• B. Éviter

• C. Ignorer

• D. Mitiger

• E. Transférer

1. _____ : L’organisation mets en oeuvre de mécanismes de protection anti-virus.

2. _____ : L’organisation imparti ses TI.

3. _____ : L’organisation ne fait rien car elle ignore que le risque existe.

4. _____ : L’organisation décide de ne pas poursuivre une opportunité.

5. _____ : L’organisation mets en oeuvre de mécanismes de détection des intrusions.

6. _____ : L’organisation détermine que le risque est acceptable et ne prends aucunes

mesures particulières.

7. _____ : L’organisation mets en oeuvre des mécanismes de réponse automatiques à

des attaques à son réseau informatique via l’Internet.

!

!4 3

Page 45: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Introduction à la gestion de risque informationnel

8. _____ : L’organisation mets en oeuvre de mécanismes de prise de copies de

sauvegarde automatiques.

9. _____ : L’organisation prends une ’assurance qui couvre les risques informationnels

10. _____ : L’organisation passe à une architecture infonuagique (cloud computing).

!

!4 4

Page 46: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Chapitre 1

Bibliographie de ce chapitre

Blakley, B., McDermott, E., Geer, D. (2001), Session 5: less is more: Information security is

information risk management, Proceedings of the 2001 workshop on New security

paradigms, September 2001

Lagadec, P. (2003), Risques, Crises et Gouvernance: ruptures d’horizons, ruptures de

paradigmes, Réalités Industrielles, Annales des Mines, numéro spécial: “Sciences et génie

des activités à risques”, Mai 2003, pages 5-11

Guide ISO 73, Management du risque — Vocabulaire, International Standards

Organisation, 25 p.

Stoneburner, G., Goguen, A., Feringa, A. (2002), Risk Management Guide for Information

Technology Systems, Recommendations of the National Institute of Standards and

Technology, Special Publication 800-30, NIST, July 2002, 55 p.

!

!4 5

Page 47: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Introduction à la gestion de risque informationnel

Chapitre 2: La gestion de risque informationnel

Fondamentalement, tout individu est un expert du risque. Notre expertise individuelle est

basée sur nos expériences quotidiennes et notre capacité à apprendre de ces expériences.

Le risque est un phénomène naturel qui est présent partout. Les individus y sont

confrontés tout au long de leur vie. Chez les humains, les réflexes naturels de la peur et de

l’anxiété, sont un indicateur de la présence d’un risque inopiné. Dans le cas de l’Homme

c’est une question de survie qui a emmené le développement d’un sens naturel

d’identification du risque. Cette habilité intrinsèque est inscrite dans son code génétique,

développé et affiné de génération en génération par le principe de sélection naturelle

depuis que le genre humain apparut.

!

Déjà à l’ère préhistorique, les individus qui avaient le plus d'habiletés à

identifier les risques ont survécus et, fort probablement, se sont

multipliés. Ceux avec le moins d'habiletés sont morts, possiblement

victimes d’un prédateur et n’ont pas eu de progéniture.

I n t r o d u c t i o n à l a g e s t i o n d e r i s q u e i n f o r m a t i o n n e l

Page 48: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Chapitre 2

Pour une organisation, il n’y a pas de mécanismes naturels pour identifier la présence

du risque, encore moins pour alerter l’organisation d’un danger ou prendre des actions

défensives par rapport à une situation à risque, comme la peur engendre des réactions

instinctives et des mécanismes de protection chez l’humain. L’organisation doit faire le

choix de créer et de mettre en oeuvre ces mécanismes.

Tel que mentionné au chapitre 1, la gestion du risque est accomplie par un processus IPM:

• I: identification et d’évaluation des scénarios de risque;• P: priorisation des scénarios;• M: mobilisation de ses ressources pour un traitement approprié du risque.

Nous devons d’abord comprendre ce qu’est un scénario de risque. Nous avons mentionné,

au chapitre précédent que, pour que le risque existe, trois composantes doivent co-exister

pour un élément à risque donné (E), dans un temps (t) et un espace (s) donné:

• la présence réelle, probable ou perçue d’un aléa (A);• l’existence d’une vulnérabilité (ψ) que l’aléa pourra exploiter; et• un dommage (δ), qui résultera de cette exploitation.

Nous définissons donc un scénario de risque comme la description de l’aléa (A) et des

événements ou séquences d’événements, des actions, des décisions et des facteurs

connexes qui ont rendu possible l’exploitation d’une vulnérabilité (ψ) dont le résultat est

un dommage (δ), c’est à dire la réduction de l’utilité espérée (μ), d’un élément à risque(E).

Dit plus simplement, c’est l’histoire de ce qui peut arriver ou qui est arrivé, des causes,

!

!4 7

Page 49: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

La gestion de risque informationnel

d’un incident envisagé. Dans ce livre, nous utiliserons le symbole Ζn(A,ψ,δ) pour

identifier les scénarios de risque, ou n est un numéro identifiant le scénario.

Dans la phase d’identification et d’évaluation des scénarios de risque (les combinaisons

d’élément à risque, aléas et de vulnérabilités susceptible de causer des dommages)

l’organisation cherchera à:

• Identifier ou concevoir les scénarios à envisager dans l’analyse de risque• Prévoir les conséquences, les dommages et les réduction de l’Utilité espérée,

possibles de chaque scénario envisagé et évaluer, objectivement et subjectivement, leur possibilité de se réaliser.

Dans la phase de priorisation des scénarios l’organisation cherchera à:

• Identifier les variables susceptibles d’influencer l’Utilité espérée et ajuster en fonction des contextes,

• Évaluer les probabilités à assigner aux contextes retenus

Finalement, dans la phase de mobilisation, l’organisation:

• Appliquera une stratégie décisionnelle.

!

!4 8

Page 50: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Chapitre 2

Dans la phase de mobilisation les actions retenues après l’application des stratégies

décisionnelles seront mises en oeuvre, généralement sous la forme de projets, en tenant

compte des aspects reliés à la gestion du changement dont nous avons discutés

précédemment. L’ensemble des actions de mobilisation (Ω), pour une période de temps

(∆t) défini à priori dans un espace (s) donné, formeront le portfolio de mesures (φ)

composé des actions de mobilisation individuelles (Ωn). 

Ces actions de mobilisation vont généralement prendre les formes suivantes:

• Éviter le risque : l’organisation pourra décider de ne pas poursuivre une opportunité car elle considère que le risque ne vaut pas la chandelle.

• Accepter le risque : l’organisation détermine que le risque associé à une situation donnée est acceptable pour l’organisation compte tenu de ses contraintes, des ses objectifs d’affaires ou de sa résilience.

• Mitiger le risque : par la mise en oeuvre de mécanismes de protection, de détection ou de réponse, par exemple par la mise en place d’un pare-feu, une organisation réduira la menace d’intrusion de son réseau informatique via l’Internet.

• Transférer le risque : une organisation pourrait décider de prendre une police d’assurance qui couvre un risque précis, une organisation pourrait aussi transférer le risque, contractuellement, à un tiers ou l’externaliser via d’autres mécanismes.

• Ignorer le risque : l’organisation peut décider consciemment ou inconsciemment d’ignorer le risque.

!

!4 9

Page 51: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

La gestion de risque informationnel

Les principales stratégies décisionnelles sur le risque sont :

• N’admettre que les scénarios non dominées: dans une décision régie par le principe d’admissibilité, ne sont admissibles que les scénarios qui ne sont pas dominés par d’autres. On dit qu’un scénario n’est pas dominé par un autre scénario si l’Utilité espérée de ce dernier est supérieure dans un contexte au moins et inférieure dans aucuns.

• Maximaliser l’Utilité espérée minimum: on considère l’Utilité espérée la moins avantageuse de chaque scénario et on sélectionne le scénario qui présente le minimum le moins bas. C’est un façon de mettre les choses au pire et de limiter les dégâts.

• Maximaliser l’Utilité espérée moyenne: on considère l’Utilité espérée moyenne de chaque scénario et on choisit l’utilité moyenne la plus élevée.

• Maximaliser l’Utilité espérée dans le contexte le plus probable: le décideur fait l’hypothèse qu’il se trouve dans le contexte le plus probable et choisi le scénario qui offre l’utilité la plus grande dans ce cas.

• Maximaliser l’Utilité espérée: Cette stratégie consiste à prendre pour chaque scénario l’Utilité espérée moyenne et à choisir le scénario offrant la plus grande Utilité espérée.

• Minimiser le regret maximum: Pour chaque scénario on identifie le regret maximum et on choisi le scénario qui représente le regret maximum le plus bas. C’est la logique de « si j’avais su, qu’aurais-je dû faire ». Un regret peut se manifester ex post dans la mesure où la décision adoptée ne s’avère pas forcément la meilleure dans le contexte où je me trouve finalement

!

!5 0

Page 52: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Chapitre 2

La perception

Fondamentalement, il y a deux approches qui sont utilisées pour obtenir des données qui

peuvent être utilisés en gestion de risque: l’approche scientifique et l’approche non

scientifique.

• L’approche scientifique permettra de quantifier le risque, en s’appuyant sur des principes scientifiques, des paradigmes analytiques et des données probantes qui peuvent provenir des données historique de l’organisation ou d’organisations similaires. L’approche scientifique s’opère dans un paradigme rationaliste et s’intéressera à des aspects de scientificité des mesures, de rigueur méthodologique, de fidélité et de validité qui seront présentés de façon plus détaillée au chapitre 7.

• L’approche non scientifique se fondera sur l’expérience et l’intuition.

Les partisans des deux approches ont leur propre notion de l’objectivité au sujet du risque.

Il y a des similitudes dans la façon dont ils arrivent à leurs décisions: les deux feront appel

au dialogue et à la comparaison avec leurs pairs, afin d’arriver à un accord entre eux ou

par consensus sur ce qu’est ce qui est la réalité objective. Cependant, il existe des

différences entre l’approche rationnelle scientifique et l’approche non scientifique. Cette

différence est très apparente dans dans le traitement du risque, les actions de mobilisation

et les décisions.

Par exemple, les chances de gagner à la loterie 6/49 au Québec sont mathématiquement

très faibles, de l’ordre de 1/13 983 816. La décision rationnelle serait de ne pas acheter de

!

!5 1

Page 53: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

La gestion de risque informationnel

billet, minimisant la perte. Pourtant des millions de personnes chaque semaine achètent

des billets dans l’espoir de devenir millionnaire.

En plus du choix de l’approche (scientifique ou non scientifique), la prise de décisions

impliquant le risque subit l’influence de facteurs socio-culturels. Lorsqu’un individu

estime la probabilité et la crédibilité qu’un aléa se produise, il est biaisé par des hypothèses

sociales et culturelles. Selon le contexte social dans lequel les normes et les expériences de

l’individu se construisent,son appétit et sa tolérance au risque varie. Ses notions

de risque acceptable diffèrent grandement de celles des autres: ses expériences, son

éducation, ses croyances et d’autres facteurs culturels, au sens ethnologique du terme,

créent des filtres à travers lesquels il voit le monde. Des variations de sa perception sont

introduites dues à l’appartenance à différents groupes socio-culturels. 

Mêmes les professionnels de la gestion des risques sont sujets aux influences de la société

et des groupes socio-culturels dont ils sont issus. Pour ces raisons, le risque doit être

compris comme une construction culturelle. Cependant, ces facteurs socio-culturels ne

sont qu’une part de l’équation. La propension aux risques, qui est une volonté des

individus à prendre ou à éviter les risques, a un impact sur la construction du risque chez

les individus et la prise de décisions impliquant le risque.

Si un individu particulier a une aversion au risque, c’est-à-dire s’il n’aime pas s’exposer

aux risques, il sera plus probable qu’il soit plus pessimiste sur les résultats. Il surestimera

la réduction de l’utilité espérée (μ), la perte possible, et évitera de s’engager dans une

action ou un projet nécessitant la prise de risque. Au contraire, l’individu qui a une

!

!5 2

Page 54: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Chapitre 2

propension au risque, c’est-à-dire qu’il accueille la prise de risques, s’exposera

au risque avec une vision plus optimiste des résultats attendus. Il sous-estimera la

réduction de l’utilité espérée (μ), la perte.

L’aversion ou la propension au risque d’un individu aura un influence sur sur la prise de

décisions impliquant le risque. D’autres facteurs peuvent aussi influencer l’individu

impliqué dans des décisions impliquant le risque. Nous avons mentionné précédemment

que l’approche non scientifique se fonde sur l’expérience et l’intuition. Il est important de

comprendre qu’il existe deux façons d’obtenir de l’information sur le monde qui nous

entoure :

• directement perçu par les sens (par exemple on peut toucher, sentir, voir, entendre, etc.);

• par intuition qui amène du contenu de l’inconscient au conscient (par exemple la mémoire de connaissances acquises).

La psychologie cognitive enseigne que cette information, bien qu’elle soit exacte du point

de vue de l’individu comme acteur particulier, est sujette à des biais, entre autres :

• Les paralogismes (erreurs de raisonnement) formels et informels• La dissonance cognitive• Les heuristiques de jugement• Les limites de la vigilance

Un autre facteur qui aura une influence est le langage utilisé pour communiquer sur les

risques. Le choix des mots a un effet sur la perception du risque des individus, plus

!

!5 3

Page 55: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

La gestion de risque informationnel

précisément sur la manière dont les individus évaluent de façon asymétrique leurs

perspectives de perte et de gain. Comme l’explique le théorie des perspectives (Prospect

Theory), le cadrage du problème, la façon dont il est présenté et la mise en situation sont

tous des éléments qui influent la construction du risque, la prise de décision et les

résultats. Le point de référence adopté par les individus afin d’estimer les situations

à risque affecte la prise de risque.

Le résultats de ces éléments, le choix de l’approche, les aspects culturels, la propension aux

risques, et le langage, auront un impact sur le comportement des individus dont il

résultera une sous-estimation ou une surévaluation de la probabilité de réalisation d’aléas,

des dommages et de la vulnérabilité d’un élément à risque à ceux-ci. L’estimation

subjective, non scientifique, passe par le prisme des individus. Elle ne peut se conformer

adéquatement aux besoins des organisations en matière de gestion de risque. Cependant

elle ne peut être complètement mise de côté, car il est difficile d’éliminer l’aspect subjectif

de certaines décisions. De plus, il n’est pas toujours possible d’obtenir des sources fiables

de données probantes couvrant tout les risques potentiels. Finalement, la complexité de

l’écosystème organisationnel rends difficile une vue de la situation dans sa totalité. Les

organisations devraient opter pour une approche scientifique de gestion des risques, mais

il est presque impossible de le faire complètement.

Ainsi, il est nécessaire de mettre en place des mécanismes pour limiter l’impact de la

subjectivité inhérente aux approches non scientifiques et aux biais qui les accompagnes.

!

!5 4

Page 56: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Chapitre 2

Le changement

L’histoire des civilisation est celle d’une continuité de changements. Le changement

continu est normal. Ce qui est anormal est de tenter de contrôler et restreindre le

changement, ce que de nombreuses organisations tentent de faire. La mobilisation

de ressources pour un traitement approprié du risque est une source importante de

changement. Elle est une des composantes de la gestion de risque. Il est essentiel d’aborder

les principaux concepts du changement avant d’aborder en plus de détails

la gestion de risque. Une compréhension des enjeux de la gestion du changement

augmentera le succès des efforts de gestion de risque et en particulier aux mesures de

mitigation du risque.

Les changements dans une organisation suivent des processus d’acculturation et

d’assimilation similaire à ceux qu’observera l’ethnologue. Ces migrations culturelles se

font par diffusion inter-culturelle entre les individus, groupes et structures de

l’organisation. Dans le processus de changement des dysfonctions entre les structures

formelles, illustrée par l’organigramme hiérarchique, les valeurs culturelles et les

représentations symboliques de l’organisation apparaîtrons. Chacune des composantes de

l’organisation (individus, stratégies, processus, systèmes, etc.) sont soumise à des

pressions auxquelles elles réagiront par des mécanismes différents d’adaptation et

d’intégration. Il en résultera un état de tension, de dissonance ou de désynchronisation

organisationnelle.

!

!5 5

Page 57: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

La gestion de risque informationnel

Il est nécessaire de prévoir des processus et des mécanismes de gestion du changement

que l’organisation pourra mettre en oeuvre lorsque se développe ces désynchronisations.

Si elle ne le fait pas, il pourra en résulter le rejet de la nouvelle façon de faire, un rejet du

changement proposé. En gestion de risque, ce rejet réduira l’efficacité des actions

entreprises pour gérer le risque.

Il est essentiel de connaître les cinq phases du changement afin de les reconnaître sur le

terrain et de mettre en oeuvre à priori des mesures, des méthodes ou des processus

de gestion afin de limiter ou de contrôler leur impacts sur l’organisation.

Le processus de changement s’opère en cinq (5) phases:

• Le refus• La résistance• La décompensation• La résignation• L’intégration

Lorsqu’un changement qui ne correspond pas aux aspirations d’un individu est annoncé,

la première phase observable est celle du refus de comprendre. Dans un premier temps,

par réflexe naturel, l’individu ne comprend pas ce qu’on lui dit. La relation affective de

l’individu avec ce que l’on souhaite changer conditionne l’ampleur et la durée de cette

phase. Celui qui introduit le changement est tenté d’établir un lien entre le refus de

comprendre et l’intelligence de son interlocuteur, ce qui aggrave la situation. La phase de

!

!5 6

Page 58: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Chapitre 2

refus de comprendre peut être brève. Cependant, dans le cas de changements majeurs, elle

peut prendre des proportions considérables.

La seconde phase est la résistance au changement. Entre la moitié et le trois-quart des

projets de changement organisationnels échouent à la phase de résistance au changement.

Malgré cela, cette phase est souvent minimisé dans la planification des projets de nature

technologique. La résistance au changement est souvent un frein majeur dans la mise en

oeuvre de nouveaux moyens de gestion et dans de nombreux projets de gestion de la

qualité, qui ont des similitudes avec les de gestion de risque. Dans un contexte

organisationnel, la résistance au changement est généralement perçue comme un frein au

progrès, surtout du point de vue de ceux qui initient le changement. Assimilée à une

vision passéiste, anti-progressiste et excessivement conformiste voire réactionnaire, elle est

pourtant naturelle, innée, et elle peut même être utile et nécessaire. 

L’utilité de la résistance au changement repose sur quatre éléments :

• D’un point de vue psychologique, la résistance nous permet de réaliser le changement. En verbalisant nos arguments, nous pouvons exorciser le sentiment de frustration qui nous étreint. En fait, la résistance nous permet d’évacuer notre stress, d’objectiver notre réalité et celle qui nous est imposée.

• D’un point de vue opérationnel, tout changement annoncé n’est pas nécessairement le meilleur possible. Tout changement annoncé peut, le plus souvent, être amélioré dans la forme et sur le fond. Le cas échéant, la résistance à travers l’argumentation permet d’améliorer le changement ou d’en montrer les limites.

!

!5 7

Page 59: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

La gestion de risque informationnel

• D’un point de vue éthique, certains changements tentent de se faire au mépris des valeurs ou des croyances d’un individu ou d’un groupe. La résistance permettra de faire échec à ces changements. Elle est une protection contre l’abusif, l’arbitraire, l’inconséquence et l’irresponsabilité.

• D’un point de vue humain, elle permet de réguler les risques d’abus de pouvoir.

La résistance se manifeste principalement sous quatre formes :

• L’inertie,• l’argumentation,• la révolte et• le sabotage.

Ces quatre expressions alternent au cours de la phase de résistance. Le choix de la forme

de résistance est dicté autant par l’individu que par l’environnement. Les résistances ne

comportent bien sûr pas toutes l’ensemble des expressions. L’argumentation, néanmoins,

est toujours présente.

La troisième phase du changement est la décompensation. Elle se caractérise par

l’abandon de la résistance sous toutes ses formes. Lorsque la résistance contre un

changement en contradiction avec les aspirations est sans effet, les individus

décompensent: ils se sentent las, incompris ou non reconnus. Plus la résistance fut forte,

plus la décompensation est grande, à la mesure de l’impact du changement et de son

importance. Elle présente les symptômes de la dépression. La décompensation s’opère par

rapport aux repères internes. Plus l’individu et sentimental et émotif, plus la

décompensation est évidente. Au contraire, plus il est réfléchi, moins elle est

!

!5 8

Page 60: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Chapitre 2

observable. La décompensation peut durer quelques minutes ou plusieurs années. Les

deux facteurs-clés de la durée et de l’intensité de la décompensation sont d’une part la

distance affective par rapport à l’objet du changement, et d’autre part le niveau de stress

lié à l’accumulation des changements.

La quatrième phase est la résignation. La résignation est souvent la phase la plus longue

dans un processus individuel de changement, car elle correspond à l’acceptation du

changement proposé. Lorsque l’individu entre dans cette phase, il fait contre mauvaise

fortune bon coeur. S’il accepte le changement, il ne pourra se défendre contre la nostalgie

du passé et de l’ancienne réalité, partagés entre le désir d’échapper au stress lié au

changement et ses instincts de conservation. Dans cette phase, l’individu rationalise son

acceptation du changement sans enthousiasme. Il aura des bouffées de tristesse qui

alimentent sa nostalgie. Cette nostalgie est le meilleur indice de sa résignation au présent.

La résignation permet d’achever le travail de deuil lors d’un changement individuel. La

résignation cède finalement la place à l’intégration, parfois graduellement, parfois

brutalement.

La cinquième et dernière phase du changement est l’intégration. L’intégration d’un

changement, c’est son acceptation totale dans la réalité présente et virtuelle. 

Distinguons deux niveaux d’intégration:

• l’intégration conceptuelle et • l’intégration comportementale. 

!

!5 9

Page 61: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

La gestion de risque informationnel

L’intégration du changement s’accompagne le plus souvent d’un enthousiasme recouvré,

d’une énergie positive tournée vers l’action, d’un sentiment de bien-être, voire de sérénité.

La nostalgie du passé tend à disparaître, le deuil est fait et le processus de changement est

complété avec succès.

!

!6 0

Page 62: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Chapitre 2

Questions de révision

1) Indiquez si l’énoncé suivant est vrai (V) ou faux (F) ?

1. _____ : L’expertise individuelle du risque est basée sur nos expériences

quotidiennes.

2. _____ : L’expertise individuelle du risque est basée sur notre incapacité à apprendre

de nos expériences.

3. _____ : Dans les organisations, les réflexes naturels de la peur et de l’anxiété, sont

un indicateur de la présence d’un risque inopiné.

4. _____ : Dans le cas de l’Homme c’est une question de survie qui a emmené le

développement d’un sens naturel d’identification du risque, la peur.

5. _____ : Pour une organisation, il n’y a pas de mécanismes naturels possible pour

identifier la présence du risque ou d’un danger.

!

!6 1

Page 63: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

La gestion de risque informationnel

2) Indiquez si l’énoncé proposé s’applique à l’approche scientifique (S) , à l’approche non

scientifique (N) ou aux deux (2) approches de gestion de risque.

1. _____ : S’opère dans un paradigme rationaliste.

2. _____ : Permet de quantifier le risque en s’appuyant sur des paradigmes

analytiques.

3. _____ : Se fonde sur l’expérience et l’intuition.

4. _____ : Permettra de quantifier le risque en s’appuyant sur des données probantes.

5. _____ : Fait appel au dialogue et à la comparaison avec les pairs.

6. _____ : Permet de quantifier le risque en s’appuyant sur des données historique.

7. _____ : S’intéresse à des aspects de scientificité des mesures.

8. _____ : S’intéresse à des aspects de rigueur méthodologique.

9. _____ : S’intéresse à des aspects de fidélité et de validité (interne et externe).

10. _____ : Recherche le consensus sur ce qu’est ce qui est la réalité objective.

3) Apparier le bon terme avec la description qui lui convient le mieux:

• A. Décompensation

!

!6 2

Page 64: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Chapitre 2

• B. Intégration

• C. Refus de comprendre

• D. Résignation

• E. Résistance au changement

1. _____ : C’est la première phase du changement.

2. _____ : C’est la seconde phase du changement.

3. _____ : C’est la troisième phase du changement.

4. _____ : Cette phase est la quatrième phase du changement.

5. _____ : Cette phase est la cinquième phase du changement.

6. _____ : Cette phase présente les symptômes de la dépression : fatigue, idées noires,

tristesse, etc.

7. _____ : Se produit lorsqu’un changement qui ne correspond pas aux aspirations

d’un individu est annoncé.

8. _____ : Cette phase permet d’achever le travail de deuil lors d’un changement

individuel.

9. _____ : Entre la moitié et le trois-quart des projets de changement organisationnels

échouent à cette phase.

!

!6 3

Page 65: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

La gestion de risque informationnel

10. _____ : Cette phase est la dernière phase du changement.

11. _____ : Dans un contexte organisationnel, cette phase est généralement perçue

comme un frein au progrès, surtout du point de vue de ceux qui initient le changement.

12. _____ : Cette phase est naturelle, innée et peut même être utile et nécessaire.

13. _____ : Cette phase se produit lorsque la résistance contre un changement en

contradiction avec les aspirations est sans effet

14. _____ : Lors de cette phase les individus se sentent las, incompris ou non reconnus.

15. _____ : Plus la résistance fut forte, plus cette phase est grande, à la mesure de

l’impact affectif du changement et de som importance.

16. _____ : Plus l’individu et sentimental et émotif, plus cette phase est évidente. Au

contraire, plus il est réfléchi, moins elle est observable.

17. _____ : Cette phase peut durer quelques minutes ou plusieurs années. Les deux

facteurs-clés de la durée et de l’intensité de cette phase sont d’une part la distance affective

par rapport à l’objet du changement, et d’autre part le niveau de stress lié à l’accumulation

des changements.

18. _____ : Cette phase est souvent la phase la plus longue dans un processus

individuel de changement, car elle correspond à l’acceptation du changement proposé.

!

!6 4

Page 66: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Chapitre 2

19. _____ : Lorsque l’individu entre dans cette phase, il fait contre mauvaise fortune

bon coeur.

20. _____ : Dans cette phase, l’individu rationalise son acceptation du changement.

21. _____ : Cette phase cède finalement la place à l’intégration, parfois graduellement,

parfois brutalement.

22. _____ : Cette phase est l’acceptation du changement dans la réalité présente et

virtuelle.

23. _____ : Cette phase est souvent minimisé dans la planification des projets de nature

technologique.

24. _____ : Cette phase s’accompagne le plus souvent d’un enthousiasme recouvré,

d’une énergie positive tournée vers l’action, d’un sentiment de bien-être, voire de sérénité.

25. _____ : Cette phase est aussi appelé la phase de déni

!

!6 5

Page 67: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

La gestion de risque informationnel

4) Mettre la stratégie avec la définition qui lui corresponds le mieux:

A. Minimiser le regret maximum

B. Maximaliser l’Utilité espérée minimum

C. Maximaliser l’Utilité espérée

D. Maximaliser l’Utilité espérée moyenne

E. Maximaliser l’Utilité espérée dans le contexte le plus probable

F. N’admettre que les scénarios non dominées

1. _____ : Ne sont admissibles que les scénarios qui ne sont pas dominés par d’autres.

2. _____ : L’on considère l’Utilité espérée moyenne de chaque scénario et on choisit

l’utilité moyenne la plus élevée.

3. _____ : Le décideur fait l’hypothèse qu’il se trouve dans le contexte le plus probable

et choisi le scénario qui offre l’utilité la plus grande dans ce cas.

4. _____ : Consiste à prendre pour chaque scénario l’Utilité espérée moyenne et à

choisir le scénario offrant la plus grande Utilité espérée.

_____ : Pour chaque scénario on identifie le regret maximum et on choisi le scénario qui

représente le regret maximum le plus bas.

!

!6 6

Page 68: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Chapitre 2

Bibliographie

Beucher, S., Reghezza, M., (2004) Les risques (CAPES Agrégation), Bréal

Carton, GD. (2004) Éloge du changement : méthodes et outils pour réussir un changement 

individuel et professionnel, 2 édition, Éditions Village Mondial, Paris

Costermans, J. (1998) Les activités cognitives, raisonnement, décision et résolution de

problèmes, édition DeBoeck Université, France

Douglas, M., Wildavsky, A. (1984), Risk and Culture, cité dans Beucher et Reghezza (2004)

Kahneman, D., Tversky, A. (1979) Prospect theory: An analysis of decision under

risk, Econometrica, 47, 263-291.

!

!6 7

Page 69: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Introduction à la gestion de risque informationnel

Chapitre 3: L’aléa

L’aléa pouvant être causé par une menace, il est important de comprendre l’identification

des menaces. Il faut cependant préciser que la menace unique n’est pas nécessairement la

cause d’un aléa, l’aléa peut aussi être causé par un ensemble de facteurs ou par une

séquence d’événements qui incluent une menace.

Dans la création de scénarios de risque, ce sont les participants au processus de création

des scénarios dans l’organisation qui devraient identifier les menaces qui seront

envisagées. Les menaces envisagées serviront à identifier les scénarios envisagés dans

l’analyse de risque, à prévoir les dommages possibles de chaque scénario envisagé et à

évaluer leur possibilité de se réaliser.

Le processus d’identification des menaces peut s’appuyer sur plusieurs sources, selon que

l’approche de gestion de risque est scientifique ou non-scientifique. Dans une approche

scientifique, la tenue d’un registre des incidents est une des principales sources

d’information pour le processus d’identification des menaces.

I n t r o d u c t i o n à l a g e s t i o n d e r i s q u e i n f o r m a t i o n n e l

Page 70: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Chapitre 3

Comme l’approche non scientifique se fonde sur l’expérience et l’intuition, elle fera appel à

des sources telles que:

• L’historique récente de l’organisation,• Des menaces qui ont créé des aléas dans des organisations similaires,• L’expérience des participants,• Les tendances de l’industrie,

L’organisation pourra aussi utiliser des sources trouvées sur internet, tels que des bases de

données, des associations professionnelles ou des articles.

Sans surprises, cette approche hautement subjective sera fortement teinté par les biais de

ceux qui font le travail. Afin d’encadrer la subjectivité, une liste de départ, formée de

menaces génériques et d’une système de catégorisation des menaces dans le contexte de la

gestion du risque informationnel est présenté. Cette liste devrait être enrichi par une revue

de littérature, des recherches en ligne et la création de scénarios de risque avec les parties

prenantes de l’organisation. Elle sera finalement validée auprès de participants dans

l’organisation.

Nous proposons une liste des menaces comme point de départ aux discussions. Dans cette

liste, les menaces ont été classées en deux catégories ceux pouvant causer des dommages

matériels et ceux causant des dommages immatériels.

!

!6 9

Page 71: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

L’aléa

Les menaces pouvant causer des dommages matériels

La catégorie des dommages matériels comprend les dommages matériels ou physiques

aux divers éléments des systèmes d’information d’une organisation. Ces atteintes ne

représentent qu’un faible pourcentage des sinistres informatiques. Les pertes associées à

ces dommages sont évaluées en fonction de la valeur de remplacement. De façon générale,

ces menaces peuvent causer la modification ou la destruction non autorisée, volontaire ou

accidentelle des données, ressources informationnelles, actifs informationnels ou systèmes

d’information d’une organisation.

Phénomènes accidentels

Les phénomènes accidentels identifient les évènements causés par l’environnement

technique des systèmes d’information. Ceux-ci incluent des évènements naturels dont les

conséquences sont aisément identifiables. Nous proposons ceux-ci :

!

!7 0

Page 72: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Chapitre 3

Vandalisme

Le vandalisme identifie des situations par lesquelles une ou plusieurs personnes

détruisent sciemment ou subtilisent un système d’information. Parmi les différentes

catégories de menaces associées au vandalisme, nous proposons celles-ci :

Menace Exemple

Bris accidentel Le bris d’un appareil.

Panne Panne de courant causé par une

tempête de neige.

Accident Un véhicule qui roule sur une

route voisine de l’immeuble entre

en collision avec celui-ci.

Incendie Un incendie causé par un

problème électrique dans

l’immeuble.

Inondation Une crue des eaux d’une rivière

avoisinante.

!

!7 1

Page 73: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

L’aléa

Les menaces pouvant causer des dommages immatériels

La catégorie des dommages immatériels comprend des menaces qui, si elles survenaient,

pourraient causer des dommages aux données, programmes, logiciels contenus dans un

système d’information. Ces atteintes représentent le plus grand nombre des sinistres

informatiques. L’évaluation des pertes associées à des dommages immatériels est difficile à

évaluer. De façon générale, ces menaces pourraient causer la divulgation, le transfert, la

modification ou la destruction non autorisée, volontaire ou accidentelle de données ou

d’actifs informationnels de l’organisation.

Erreur

L’erreur est l’acte involontaire d’un membre de l’organisation ou d’un utilisateur légitime

d’un système d’information à la suite d’une mauvaise manipulation. Il en résulte des

Menace Exemple

Vol Le vol d’équipements informatiques

durant une fin de semaine.

Incendie Un incendie criminel causé lors

d’une manifestation ou une grève.

Sabotage Des dommages causés par des

terroriste ou des activistes lors d’une

manifestation.

!

!7 2

Page 74: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Chapitre 3

dommages immatériels comme la perte d’un fichier, la mauvaise exécution d’un

programme ou l’exécution d’une commande destructrice. Ces phénomènes peuvent

aboutir à des pertes très importantes pour l’organisation. Nous proposons celles-ci :

La fraude

La fraude représente une partie importante des sinistres informatiques. Il s’agit le plus

souvent de virements bancaires frauduleux ou du vol de fichiers contenant des numéros

de cartes de crédits. Ces actes peuvent être l’œuvre de tiers mais sont souvent le fait de

membres d’une organisation. Nous proposons ceux-ci :

Menace Exemple

Erreur de

manipulation

Le vol d’équipements

informatiques durant une fin de

semaine.

Erreur de

manipulation

Un incendie criminel causé lors

d’une manifestation ou une grève.

Sabotage Des dommages causés par des

terroriste ou des activistes lors

d’une manifestation.

!

!7 3

Page 75: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

L’aléa

Menace Exemple

Virement

frauduleux

Un employé transfert de l’argent

du compte de l’organisation à un

compte personnel.

Détournement Un employé modifie un système

de vente en ligne pour que les

paiements, ou une fraction de

ceux-ci, soient effectués dans un

compte dont il est le propriétaire.

Espionnage Un agent externe à l’organisation

écoute les transmissions sur le

réseau afin de transmettre des

secrets commerciaux à un tiers.

Vol d’identité Une personne non-autorisée utilise

des informations contenues dans

nos bases de données internes

acquises malicieusement pour

usurper l'identité d’un de nos

clients i=ou d’un de nos employés.

!

!7 4

Page 76: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Chapitre 3

Les cybercrime

Les cybercrimes, des infractions commises au moyen d’un ordinateur et de réseaux

informatiques. Selon les données du ministère de la Sécurité publique, compilées à partir

des statistiques annuelles des enquêtes menées par les différents corps de police de la

province.ont  connu une hausse vertigineuse de 70 % au Québec, en 2010. Le Ministère

dénombre pas moins de 1270 crimes comportant l’utilisation d’un ordinateur ou

d’Internet, en 2010, soit 520 de plus que l’année précédente. Les données indiquent des

hausses marquées des enquêtes sur des cas de fraudes électroniques, de possession ou de

distribution de pornographie juvénile et de leurre d’un mineur à des fins d’ordre sexuel. Il

s’agit d’une réalité à contre-courant de la baisse globale de 4,8 % du nombre de crimes (370

052) perpétrés au total, au Québec, durant 2010, par rapport à 2009. Nous avons donc

apporté une attention particulière à cette catégorie de menace. Nous avons regroupé sous

le nom de cybercrimes les fraudes informatiques réalisées par l’intermédiaire des systèmes

d’informations ou de réseaux de télécommunications, tel que le réseau Internet. C’est

l’intrusion illégale d’un tiers à l’intérieur d’un système d’information, d’une base de

données afin de les manipuler, les altérer ou en tirer profit. Nous proposons ceux-ci :

!

!7 5

Page 77: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

L’aléa

Menace Exemple

Écoute

(Keylogging)

Les clients d’une banque reçoivent des courriels de la banque. Il

s'agissait d'une proposition d'installation d'un logiciel de lutte

contre le courrier indésirable contenant un cheval de Troie qui

affiche un message invitant le client à saisir à nouveau ses données

d'accès. Le keylogger, intégré au cheval de Troie, enregistre les

données saisies et les transmets à l'individu mal intentionné à

l'origine de l'attaque.

Écoute réseau

(Sniffer)

Un sniffer est un formidable outil permettant d'étudier le trafic

d'un réseau. Il sert généralement aux administrateurs pour

diagnostiquer les problèmes sur leur réseau ainsi que pour

connaître le trafic qui y circule. sniffer peut servir à une personne

malveillante ayant un accès physique au réseau pour collecter des

informations. Ce risque est encore plus important sur les réseaux

sans fils car il est difficile de confiner les ondes hertziennes dans un

périmètre délimité, si bien que des personnes malveillantes

peuvent écouter le trafic en étant simplement dans le voisinage.

Virus

!

!7 6

Page 78: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Chapitre 3

Virus Le virus Conficker est un ver découvert en novembre 2008. Une

fois installé sur un ordinateur Windows, il désactive certaines

fonctions (mises à jours, centre de sécurité). Il se connecte seul à

des serveurs distants pour recevoir des ordres et transmettre des

informations et surtout installer d’autres logiciels malveillants sur

les ordinateurs infectés. Il ne cesse d’évoluer et à partir de sa

version C il est capable de se mettre à jour. Jusque là, rien de très

dangereux en soit. Mais à partir de sa version E, il tente d’installer

un spambot ainsi qu’un rogue. Une analogie a souvent été faite

entre ce virus et le virus du sida : il bloque les défenses internes et

laisse d’autres virus tuer la victime. Le nombre de PC infectés par

ce virus n’est pas certain, mais la société F-SECURE a avancé le

nombre de 9 millions. Ce ver devait lancer une attaque gigantesque

le 1er avril 2009 qui n’eut pas lieu.

Attaques ciblées En mars 2013, la société Spamhaus fut victime d’une attaque ciblée

par déni de service distribuée record, atteignant 300 Gbps.

Spamhaus, un site qui s'est illustré en luttant contre le spam et les

pirates, s’est attiré les foudres des hacjers après avoir critiqué les

pratiques laxistes de l'hébergeur hollandais Cyberbunker.

Prise de contrôle

Cyber squattage

!

!7 7

Page 79: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

L’aléa

Cyber sabotage

Cyber activisme

Cyber terrorisme

!

!7 8

Page 80: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Chapitre 3

Hackers

Nous identifions comme hackers des individus qui se considèrent comme tels ou qui font

partie d’un groupe plus ou moins formel d’individus qui sont impliqués, sciemment ou

non, dans des activités en tant que membre de cette communauté. L’appartenance à ce

groupe et l’acceptation par groupe de ses membres amène les membres à commettre des

actes d’intrusion dans des systèmes d’information et d’en divulguer les méthodes et les

résultats avec les autres membres du groupe. Certains participent dans un esprit

d’apprentissage des technologies en toute légalité, par exemple dans un cadre scolaire.

D’autres commettent des cybercrimes avec des objectifs pécuniaires ou idéologiques.

Ils ont leur propre périodiques (notamment 2600 et Phrack), leurs conférences, leurs codes

secrets et leurs stars, comme Kevin Mitnick. Plusieurs études nous donnent les principales

caractéristiques de ces groupes de Hackers :

• Les membres ont un haut niveau de compétence informatique;• Un désir de secret et d’anonymat;• Un besoin de se valoriser dans le groupe en divulguant leurs exploits;• Ce sont des groupes aux frontières et au membership fluide;• Dominés par les hommes de race caucasienne, célibataires, âgés entre 12 et 30 ans

et ayant terminé leurs études secondaires;• Ils ont un ensemble de valeurs et de motivations similaires.

!

!7 9

Page 81: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

L’aléa

Nous classons les membres de ces groupes sur une échelle de cinq niveaux, représentés

dans le tableau ci-dessous :

Les hackers sont regroupés en divers sous-groupes selon des centres d’intérêts, les

crackers (piratage de logiciels), les phreakers (appels téléphoniques), les whitehats 

(experts en sécurité informatique) et plusieurs autres.

Niveau caractéristiques

Novice C’est le hacker le moins expérimenté. Ses

activités se limitent à de petits méfaits.

Étudiant Il s’agit d’étudiants qui trouvent leurs

travaux scolaires ennuyeux. Ils explorent les

ordinateurs au lieu de faire leurs travaux.

Touriste Le touriste recherche l’aventure.

Crasher Le crasher est un destructeur intentionnel.

Criminel Les criminels sont les plus rares, ce sont ceux

qui profitent de leurs activités.

!

!8 0

Page 82: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Chapitre 3

Aléas dans les projets TI

Selon le Project Management Institute, la gestion de projets est l’art de diriger et de

coordonner des ressources humaines et matérielles tout au long de la vie d’un projet en

utilisant des techniques de gestion modernes pour atteindre des objectifs prédéfinis

d’envergure, de coût, de temps, de qualité et de satisfaction des participants.

Plusieurs problèmes peuvent survenir dans des projets pour produire des aléas. Nous en

présentons ci-dessous un échantillon. Cette liste pourra servir comme point de départ

pour la création de scénarios de risque. Les dommages, en cours de projet, seront en

relation aux coûts ou aux délais.

• Problèmes de personnelLe personnel clé ne sera pas disponible en cas de besoin au moment opportun.Les compétences clés ne seront pas disponibles en cas de besoin.Le personnel clé quittera au cours du projet.Les sous-traitants sous-performent et ne parviennent pas à répondre à leurs missions.

• Problèmes d’équipementLe matériel requis n’est pas livré à temps.L’accès à l’environnement de développement sera limité.L’équipement tombe en panne.

• Problèmes du clientLes ressources du client ne sont pas disponibles au moment opportun.

!

!8 1

Page 83: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

L’aléa

Le client ne sera pas en mesure de prendre des décisions en temps opportun.Les produits livrables ne seront pas examinés selon l’échéancier prévu.Le personnel qui a la connaissance des besoins du client sera remplacé par d’autres qui sont moins qualifiés.Un manque d’expérience avec le projet du client se traduira par des retards ou pourra porter atteinte à la relation.Des conflits au sein de l’organisation du client quant à l’opportunité ou la faisabilité du projet.Un manque de lignes claires de responsabilité et de l’escalade va interférer avec le problème à résoudre.Les bénéfices n’ont pas été quantifiés.Les attentes du client pour l’application dépasse les capacités de la technologie.

• Problèmes de portéeUn manque de clarté dans la définition de la portée et des objectifs se traduira par des changements fréquents et nombreux du périmètre du projet.Un manque de clarté dans la définition de la portée se traduira par des conflits dans le champ d’application.La portée des changements introduits se fait à l’insu de la gestion de projet.Un manque de critères d’acceptation clairement définis entraînera un retard dans l’acceptation.Une estimation hâtive ou qui n’a pas été validé entraînera un plan de projet qui ne sera pas atteint.

• Risques technologiquesLa technologie aura des limitations techniques ou des performances qui mettent en danger la projet.

!

!8 2

Page 84: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Chapitre 3

La technologie des composants ne pas être facilement intégrés.La technologie n’est pas prouvée et ne répond pas aux exigences des clients et des projets.La technologie est nouvelle et mal comprise par l’équipe du projet et mettra en placeretards

• Problèmes de livraisonLe temps de réponse du système ne sera pas suffisant.Les besoins en capacité du système dépasseront la capacité disponible.Le système ne parviendra pas à satisfaire aux exigences fonctionnelles.

• Problèmes physiquesLe bureau sera endommagé par un incendie, une inondation ou autre catastrophe.Un virus informatique peut infecter l’environnement de développement ou d’un système opérationnel.L’équipe n’est pas co-localisé, ce qui va nuire à la communication et d’introduire des erreurs.Un membre de l’équipe va voler du matériel de projet confidentiel et mettre à la disposition des concurrents de ce client.

• Problèmes de gestionLa relative inexpérience du gestionnaire de projet se traduira par des dérapages budgétaires ou calendaires.Les gestionnaires jugent que le projet devrait avoir une priorité plus faible.

!

!8 3

Page 85: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

L’aléa

Aléas en impartition

L’impartition des ressources informationnelles d’une organisation peut être définie comme

une relation contractuelle par laquelle un client délègue à un fournisseur la responsabilité

d’une ou plusieurs activités de gestion de ses actifs informationnels pour une durée

définie à priori. L’étendue de cette délégation peut varier entre la sous-traitance et le

partenariat. Celle-ci peut prendre la forme de partenariat, d’un programme

d’investissement ou d’un programme de rémunération lié à la performance.

Liste d’aléas potentiels en situation d’impartition

• Manque d’expertise du client avec l’impartition• Manque d’expérience du fournisseur avec l’activité impartie• Manque d’expérience du client avec l’activité impartie• Difficulté à mesurer l’activité impartie• Stabilité financière du fournisseur• Taille du fournisseur• Interdépendance des activités imparties avec des activités non-imparties• Problèmes de mesure• Complexité des travaux• Incertitude face aux besoins d’affaires• Incertitude de l’environnement légal• Proximité des compétences de base• Envergure du contrat• Discontinuité technologique• Manque d’adéquation culturelle client-fournisseur

!

!8 4

Page 86: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Chapitre 3

• Envergure du contrat• Spécificité des actifs• Nombre restreint de fournisseurs

!

!8 5

Page 87: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

L’aléa

Aléas en infonuagique

L’infonuagique est la prestation de services informatiques sur Internet. Les services

d’infonuagique permettent aux personnes et aux entreprises d’utiliser les logiciels et le

matériel gérés par des tierces parties à partir de lieux éloignés. Parmi les exemples de

services d’infonuagique, on compte le stockage des fichiers en ligne, les réseaux sociaux, le

courriel Web et les applications d’entreprise en ligne. Le modèle d’infonuagique permet

d’accéder à des données et à des ressources informatiques partout où est offerte une

connexion réseau. L’infonuagique donne accès à un bassin commun de ressources, y

compris de l’espace de stockage de données, des réseaux, des centres de traitement et des

applications spécialisées pour les entreprises et les particuliers.

!

!8 6

Page 88: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Chapitre 3

Sources d’aléas potentiels en infonuagique

• Coupures du réseau• Pertes de trafic• Problèmes de gestion du réseau (congestion / connexion / usage non-optimal, etc)• Interception du code source de l’application• Erreur du panneau de configuration administrateur• Employés malicieux• Pertes de performance dues à l’utilisation des ressources du contrôleur (CP)• Surcharge du système, impossibilité d’augmenter la capacité• Compromision du logiciel de gestion ou du système d’exploitation• Ingéniérie sociale• Fuite de données en amont ou en aval, intra-nuage• Compromission de l’interface de gestion• Problèmes d’authentification des utilisateurs et des identités• Déni de service• Déni de service distribué• Déni de service chez un partenaire• Balayages ou tentatives d’identification de ports réseaux malicieux ou non-

authorisée.• Trafic réseau altéré• Escalation des privilèges• Vol d’équipement informatique• Compromision ou bris du système de comptabilité ou de facturation de

l’utilisation des services• Replay

!

!8 7

Page 89: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

L’aléa

• Problèmes de compartisation• Indisponibilité de services• Fuite de données• Altération des données• Perte ou compromission des journaux d’utilisation• Perte ou compromission des journaux de sécurité• Interception de données durant la migration ou la mise à jour• Désastres (naturels)• Accès non autorisé aux locaux du fournisseur d’infonuagique• Vol des copies de sauvegarde• Perte des clef d’encryption• Destruction de données• Perte de gouvernance ou de contrôle• SLA incomplet (Indicateurs de performance mal définis)• Faillite du fournisseur ou d’un partenaire• Acquisition ou transfert de propriété du fournisseur d’infonuagique• Responsabilité en relation aux lois et règlements• Conflit entre les exigences légales et les besoins de protection des renseignements

personnels• Conflit entre les directives locales et régionales

!

!8 8

Page 90: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Chapitre 3

Exercice à faire en classe

Premièrement, identifiez cinq (5) sources d’information que vous pouvez utiliser pour

créer une liste de menaces pour votre organisation.

_________________________

_________________________

_________________________

_________________________

_________________________

!

!8 9

Page 91: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

L’aléa

Ensuite, à partir des cinq sources que vous avez identifiées, élaborez une liste de dix (10)

menaces qui devraient être considérés dans le cadre de l’élaboration de scénarios de

risques.

_________________________________________________

_________________________________________________

_________________________________________________

_________________________________________________

_________________________________________________

_________________________________________________

_________________________________________________

_________________________________________________

_________________________________________________

_________________________________________________

!

!9 0

Page 92: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Chapitre 3

Questions de révision

1) Complétez les phrases avec le terme qui convient le mieux :

A. aléa

B. dommage

C. élément à risque

D. menace

E. risque

F. scénario de risque

G. séquence d’événements

H. vulnérabilité

I. impact

1. __________ existe lorsqu’un aléa et une vulnérabilité co-existent pour __________

donné, dans un temps et un espace donné.

2. Un __________ est défini comme la description de __________ et des événements ou

séquences d’événements, des actions, des décisions et des facteurs connexes qui ont rendu

possible l’exploitation de __________ dont le résultat est __________.

3. L’aléa peut être causé par __________

4. __________ unique n’est pas nécessairement la cause d’un aléa, l’aléa peut aussi être

causé par un ensemble de facteurs ou par __________ qui incluent __________.

!

!9 1

Page 93: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

L’aléa

2) Placez la menace dans la catégorie la plus appropriée:

M. les menaces pouvant causer des dommages matériels;

I. les menaces causant des dommages immatériels.

1. ___: Accident industriel

2. ___: Activisme

3. ___: Bris accidentels

4. ___: Cheval de Troie

5. ___: Cyber sabotage

6. ___: Dommages collatéraux (guerre)

7. ___: Erreur

8. ___: Erreur de programmation

9. ___: Espionnage industriel

10. ___: Incendie

11. ___: Panne de courant

12. ___: Prise de contrôle

!

!9 2

Page 94: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Chapitre 3

13. ___: Vandalisme

14. ___: Virus

15. ___: Écoute réseau (Sniffer)

!

!9 3

Page 95: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

L’aléa

3) Identifiez deux (2) conséquences ou dommages probables pour chacune des menaces

identifiées:

A. Accès non autorisé aux données

B. Atteinte à la réputation de l’organisation

C. Blessures ou Pertes de vie humaines

D. Copies de données

E. Dépôt ou transfert de fonds

F. Destruction de données

G. Destruction de la salle informatique

H. Détournement de biens

I. Devient une plate-forme de lancement pour de nouvelles attaques

J. Divulgation de données ou d’informations

K. Divulgation d’informations sur l’infrastructure

L. Dommages ou destruction physique des systèmes d’informations et des

infrastructures

M. Dommages ou destruction physique d’infrastructures critiques

N. Données erronées

O. Indisponibilité du système d’information

P. Indisponibilité de données

Q. Modification des données

R. Perte économique

S. Ralentissement des traitements

!

!9 4

Page 96: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Chapitre 3

1. ___  ___: Accident périphérique

2. ___  ___: Attaques ciblées distribuées

3. ___  ___: Champs électromagnétiques

4. ___  ___: Cyber-activisme

5. ___  ___: Désastre environnemental

6. ___  ___: Déraillement de train

7. ___  ___: Erreur de manipulation

8. ___  ___: Erreur volontaire dans l’entrée des données

9. ___  ___: Fraude

10. ___  ___: Panne accidentelle

11. ___  ___: Pointes de courant

12. ___  ___: Terrorisme

13. ___  ___: Virement frauduleux

14. ___  ___: Vol d’identité

15. ___  ___: Hackers

!

!9 5

Page 97: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

L’aléa

!

!9 6

Page 98: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Chapitre 3

4) Pour chacune des menaces, identifiez une source de données scientifiques et de données

non scientifiques permettant d’évaluer la probabilité que cette menace puisse exploiter une

vulnérabilité d’un élément à risque:

1. Activisme

2. Espionnage industriel

3. Panne de courant

4. Vandalisme

5. Virus

!

!9 7

Page 99: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

L’aléa

Bibliographie

Denning, D. (2000) Cyberterrorism, Global Dialogue, Autumn, Aout 2000

Denning, D. (2000) Hacktivism: An Emerging Threat to Diplomacy, Foreign Service

Journal, September 2000.

Jordan, T. (1998) A sociology of hackers, The sociological review, pp. 757-780

Smith, A., Rupp W. (2002), Issues in cybersecurity; understanding the potential risks

associated with hackers/crackers, Journal of Information Management & Computer

Security, Volume 10 Number 4, Pages 178-183

!

!9 8

Page 100: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses
Page 101: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Introduction à la gestion de risque informationnel

Chapitre 4: Les vulnérabilités

Tel que mentionné, la gestion du risque est accomplie par un processus IPM dont le

premier élément, I, correspond à l’identification et l’évaluation des scénarios de

risque. Pour que le risque existe lorsque trois composantes co-existent pour un élément à

risque (E) dont la vulnérabilité (ψ). Au chapitre précédent, nous avons présenté les

menaces et les aléas, dans ce chapitre nous présentons les vulnérabilités.

Une vulnérabilité est un état dans un système d’information qui, s’il était exploité,

permet :

• de divulguer des données (atteinte aux objectifs de confidentialité);• de modifier des données (atteinte aux objectifs d’intégrité);• de nuire à la disponibilité des données;• de nuire aux autres objectifs de sécurités.

Une vulnérabilité technologique est une vulnérabilité dont l’origine ou la nature est

directement relié aux éléments technologiques d’un système d’information (systèmes

d’exploitations, logiciels, processeurs, équipements périphériques, interfaces d’entrée ou

de sortie, etc.).

L’organisation doit tenter d’identifier les vulnérabilités qui sont présentes et qui affectent

son patrimoine informationnel. Afin de limiter la subjectivité qui peut affecter le processus

d’identification des vulnérabilités comme c’est le cas pour l’identification des menaces au

chapitre précédent, il est suggéré de mettre en place un processus systématique

!

!9 9

Page 102: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Chapitre 4

d’identification des vulnérabilités. Ce processus d’identification s’appuiera sur plusieurs

sources d’information et, en partie, sur l’utilisation de logiciels d’identification des

vulnérabilités technologique réseau, tels que les NVAS, présenté un peu plus loin.

Une liste de départ, formée des vulnérabilités susceptible d’affecter les éléments

technologique de l’organisation sera développé en fonction de l’architecture technologique

en place. Cette liste devrait être enrichi par une revue de littérature, des recherches en

ligne et la création de scénarios de risque avec les parties prenantes de l’organisation. Elle

sera finalement validée auprès de participants dans l’organisation.

Les principales bases de données et d’information sur les vulnérabilités sont:

• Le CWE (common weakness enumeration) du MITRE: http://cwe.mitre.org/• Security focus et BugTrack de Symantec: http://www.securityfocus.com/

Une fois les vulnérabilités identifiés, il est nécessaire de les catégoriser.La catégorisation

des vulnérabilités sera utile lors de la priorisation des risques. Elle permettra aussi de

simplifier le processus d’analyse de risque par la mise en commun de vulnérabilités

similaires ou qui affectent des actifs informationnels communs. À cette fin, nous suggérons

d’utiliser le modèle CVE du MITRE.

Le Common Vulnerabilities and Exposures ou CVE est un dictionnaire des informations

publiques relatives aux vulnérabilités de sécurité. Le dictionnaire est géré par l’organisme

MITRE, soutenu par le Département de la Sécurité intérieure des États-Unis.

!

!1 0 0

Page 103: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Introduction à la gestion de risque informationnel

Les identifiants CVE sont des références de la forme CVE-AAAA-NNNN (AAAA est

l’année de publication et NNNN un numéro incrémenté). Le contenu du dictionnaire CVE

peut être obtenu sur internet en différent formats. Cette liste contient une description de la

vulnérabilité concernée, ainsi qu’un ensemble d’hyperliens qui permettent d’obtenir plus

d’informations sur celles-ci.

De nombreux produits de sécurité qui traitent de vulnérabilités utilisent le système de

catégorisation CVE du MITRE :

• les services d’information sur les vulnérabilités,• les systèmes de détection d’intrusion,• les systèmes de prévention d’intrusion,• les logiciels d’analyse de vulnérabilités,• les outils de gestion de parc informatique.

Afin que ces produits utilisent avec rigueur les identifiants CVE, le MITRE a mis en place

une procédure de compatibilité CVE qui impose notamment :

• un affichage des identifiants CVE (CVE Output),• une fonctionnalité de recherche parmi les identifiants CVE (CVE Searchable),• une procédure de mise à jour de la base de données (Mapping),• une aide sur les concepts relatifs à CVE (Documentation).

!

!1 0 1

Page 104: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Chapitre 4

Une fois catégorisé la sévérité des vulnérabilités doit être évaluée. Les niveaux suivants

peuvent être utilisés:

• Très élevée: fournit une cible très attrayante pour les menaces potentielles, et le niveau de dissuasion et / ou de défense fournis par les mesures de mitigation du risque existantes sont insuffisantes.

• Haute: fournit une cible attrayante et / ou le niveau de dissuasion et / ou de défense fournis par les mesures existantes sont insuffisantes.

• Modéré: fournit une cible potentielle et / ou le niveau de dissuasion et / ou de défense fournis par les mesures existantes est marginalement adéquat.

• Basse: fournit une cible possible et / ou le niveau de dissuasion et / ou de défense fournis par les mesures existantes sont adéquates.

Les NVAS, ou Network Vulnerability Assessment Software, sont des logiciels spécialisés

dans la découverte et l’identification de vulnérabilités technologiques en réseau. Ces

logiciels signale les vulnérabilités potentielles ou avérées des systèmes d’informations

testées en les comparant à une base de données, un peu comme le fait un logiciel anti-

virus. Ces logiciels peuvent aussi utiliser des séquences, des scripts, qui permettent de

simuler des tentatives d’exploitation de vulnérabilités connues.

Les vulnérabilités qui peuvent être identifiés inclut, entre autres :

• les services permettant la prise de contrôle à distance d’un ordinateur,• l’accès à des données,• les erreurs de configuration,• les mise à jour (patchs) de sécurité non appliqués,

!

!1 0 2

Page 105: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Introduction à la gestion de risque informationnel

• les mots de passe faibles, les mots de passe par défaut, les mots de passe communs, et l’absence de mots de passe sur certains comptes,

• les attaques sur les mots de passe à l’aide d’un dictionnaire,• les services à risque tel que TelNet,• les dénis de service.

Les principales fonctionnalités requises d’un NVAS:• Une base de données des vulnérabilités complète• Une base de données des vulnérabilités maintenue à jour• Un minimum de faux diagnostics• L’habilité à conserver de multiples analyses• L’habilité à effectuer des analyses de tendances• Donne des informations claires et concises pour éliminer les vulnérabilités

trouvées ou en mitiger le risque.

Les principales catégories d’outils qui offrent des fonctionnalité de NVAS sont:

• Scanner de vulnérabilités, par exemple OpenVAS, GFI Languard, COPS, SATAN• Les logiciels d’administration à distance, par exemple Back Orifice, NetBus,

Backdoor-G, ces logiciels permettent de faire des tests afin de vérifier la présence de vulnérabilités

• Les scanners de ports IP, par exemple NMAP, Ncat, Strobe, NTSnif, ces logiciels identifient les ports IP ouverts sur un ordinateur; il est cependant nécessaire de faire des recherches pour identifier la correspondance de pets et de vulnérabilités

• Les analyseurs de protocoles, par exemple Wireshark; ces logiciels prudent êtres utilisés pour identifier une vulnérabilité

!

!1 0 3

Page 106: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Chapitre 4

• Les logiciels de découverte de mots de passe, par exemple l0ftcrack, John thé Ripper; ces logiciels permettent de vérifier si des mots de passe simple ou facile à trouver sont utilisés

Le NVAS le plus connu est Nessus. Tenable Network Security, Inc. est le créateur et

l’éditeur du scanner de vulnérabilité Nessus. En plus d’améliorer constamment le moteur

Nessus, Tenable écrit la plupart des plugins disponibles pour le scanner, ainsi que des

contrôles de conformité et de nombreuses  stratégies de vérification. À partir de Nessus

4.4, la gestion d’utilisateur du serveur Nessus est assurée par une interface sur le Web et il

n’est plus nécessaire d’utiliser un client Nessus autonome. Le client Nessus  autonome

pourra toujours se connecter et gérer le scanner, mais il ne sera pas mis à jour.Nessus est

disponible et fonctionne sur de nombreux systèmes d’exploitation et plateformes

informatiques dont Windows, Mac et Linux.

Tenable recommande une mémoire minimale de 2 Go pour utiliser Nessus. Pour effectuer

des scans plus importants de plusieurs réseaux, une mémoire d’au moins 3 Go est

 recommandée, mais jusqu’à 4 Go peuvent être nécessaires. Un processeur Pentium 3

fonctionnant à 2 GHz ou plus est recommandé. Sur Mac OS X, un processeur Intel dual

core fonctionnant à 2 Go ou plus est recommandé. Nessus peut être exécuté sous une

instance de VMware.

De nombreuses vulnérabilités nouvelles sont publiées quotidiennement par les vendeurs,

les chercheurs et autres sources. Tenable s’efforce de tester et de mettre à disposition dès

que possible des contrôles pour les vulnérabilités récemment publiées, en général dans un

!

!1 0 4

Page 107: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Introduction à la gestion de risque informationnel

délai de 24 heures après divulgation. Le contrôle pour une vulnérabilité spécifique

s’appelle un plugin dans le logiciel Nessus, nous le traduisons par module. La liste

complète de tous les modules de Nessus est disponible sur http://www.nessus.org/

plugins/index.php?view=all. Tenable distribue les mises à jours de ses modules selon

deux modes : ProfessionalFeed (service de mise à jour payant pour les professionnels) et

HomeFeed (service de mise à jour gratuit). Les modules sont téléchargés directement

depuis Tenable par un processus automatisé dans Nessus. Nessus vérifie les signatures

numériques de tous les téléchargements de modules pour valider l’intégrité des fichiers.

Pour les installations Nessus sans accès à Internet, il existe un processus de mise à jour

hors ligne qui peut être utilisé pour s’assurer que le scanner reste actualisé.

Pour déterminer le service de mise à jours de Nessus qui conviennent à un environnement

donné, il faut prendre en compte les points suivants :

• Si vous utilisez Nessus chez soi à des fins non professionnelles, vous pouvez souscrire au HomeFeed. Les nouveaux modules pour les vulnérabilités de sécurité les plus récentes sont immédiatement fournis aux utilisateurs du HomeFeed. L’utilisation du HomeFeed est gratuite mais nécessite l’acceptation d’une licence d’utilisation. Le code d’activation est envoyé aux utilisateurs pendant le processus d’enregistrement lors de la configuration de Nessus pour obtenir les mises à jour. Les utilisateurs du HomeFeed ne reçoivent pas d’accès au portail d’assistance de Tenable, aux contrôles de conformité ou aux stratégies de vérification de contenu.

• Si vous utilisez Nessus à des fins commerciales (par exemple en cabinet de conseil), dans un environnement d’affaires gouvernemental, vous devez acheter le ProfessionalFeed. Les nouveaux plugins pour les vulnérabilités de sécurité plus

!

!1 0 5

Page 108: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Chapitre 4

récentes sont immédiatement fournis aux utilisateurs du ProfessionalFeed. Les clients de SecurityCenter sont enregistrés automatiquement pour souscrire au ProfessionalFeed et n’ont pas besoin d’acheter des feeds additionnels, sauf s’ils ont un scanner Nessus qui n’est pas géré par SecurityCenter.

Tenable propose une assistance commerciale, depuis le Portail d’assistance de Tenable

ou par email, pour les clients du ProfessionalFeed qui utilisent Nessus 4. Le

ProfessionalFeed comprend également des contrôles de conformité de l’hôte pour Unix et

Windows qui sont très utiles lors d’audits de conformité.

Vous pouvez acheter le ProfessionalFeed sur la boutique en ligne de Tenable, sur https://

store.tenable.com/, ou par commande auprès des partenaires ProfessionalFeed autorisés.

Vous recevrez alors un code d’activation de Tenable. Ce code devra être utilisé lors de la

configuration de la copie de Nessus pour les mises à jour.

Les résultats de Nessus sont présentés dans un rapport. Ce rapport décrit les vulnérabilités

découvertes et fournis des pistes de solution pour les résoudre. Il est cependant nécessaire

d’identifier si les vulnérabilités identifiées sont de véritables vulnérabilités dans le

contexte de l’organisation dans laquelle l’analyse est effectuée. Ensuite, il faut déterminer

si un risque existe dans chacun des cas. C’est-à-dire, déterminer s’il existe un aléa et des

dommages qui correspondent à la vulnérabilité dans un temps et un espace déterminé.

L’exercice proposé est l’analyse de vulnérabilités avec l’aide du logiciel NESSUS. Pour

réaliser cet exercice les étudiants doivent utiliser un ordinateur de type Intel munis du

système d’exploitation Windows ou du système d’exploitation Mac OS/X. Le logiciel peut

!

!1 0 6

Page 109: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Introduction à la gestion de risque informationnel

être téléchargé sur le site internet de Tenable: http://www.tenable.com/products/nessus.

La documents pour l’installation et l’utilisation du logiciel sont disponibles en français sur

le même site: http://www.tenable.com/products/nessus/documentation#french.

!

!1 0 7

Page 110: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Chapitre 4

Questions de révision

1) Complétez les phrases avec les termes qui convient le mieux :

• A. aléa

• B. dommage

• C. élément à risque

• D. menace

• E. risque

• F. scénario de risque

• G.séquence d’événements

• H. vulnérabilité

• I: impact

1. Dans la création de __________, ce sont les participants au processus de création des

scénarios dans l’organisation qui devraient identifier __________ qui seront envisagées.

2. Les __________ envisagés serviront à identifier les __________ envisagés dans

l’analyse de risque, à prévoir __________ possibles de chaque __________ envisagé et à

évaluer leur possibilité de se réaliser.

!

!1 0 8

Page 111: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Introduction à la gestion de risque informationnel

2) Quelles sont les principales fonctionnalités requises d’un NVAS? (identifiez-en 5)

1. ___________________________________

2. ___________________________________

3. ___________________________________

4. ___________________________________

5. ___________________________________

3) Apparier la définition avec le terme qui convient le mieux :

• A. Scanner de vulnérabilités

• B. Les logiciels d’administration à distance

• C. Les scanners de ports IP

• D. Les analyseurs de protocoles

• E. Les logiciels de découverte de mots de passe

1. _____: ces logiciels permettent de faire des tests afin de vérifier la présence de

vulnérabilités

2. _____: ces logiciels identifient les ports IP ouverts sur un ordinateur

!

!1 0 9

Page 112: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Chapitre 4

3. _____: ces logiciels prudent êtres utilisés pour identifier une vulnérabilité

4. _____: ces logiciels permettent de vérifier si des mots de passe simple ou facile à

trouver sont utilisés

Vous avez utilisé un NVAS et un Port Scanner pour effectuer une analyse d’une portion de

votre réseau. Sur un ordinateur (adresse ip = 10.49.32.101), il a trouvé les ports suivants

ouverts:

unknown (17/udp)

ftp (21/tcp)

telnet (23/tcp)

www (80/tcp)

snmp (161/udp)

unknown (515/tcp)

Service ipp (631/tcp)

unknown (9100/tcp)

À partir de ces informations, répondez aux questions suivantes individuellement. Ensuite,

regroupez vous en groupe de 4 étudiants pour comparer vos réponses.

!

!11 0

Page 113: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Introduction à la gestion de risque informationnel

De quel type d’ordinateur s’agit-il probablement, un serveur, un poste de travail d’un

utilisateur ou un service réseau?

Quelles informations particulières vous sont fournies sur les ports 515, 631 et 9100 ?

Comment pouvez-vous confirmer ces informations ?

Est-ce que cet appareil est vulnérable ?

S’il est vulnérable, quelles sont les menaces qui pourraient exploiter ces vulnérabilités ?

Myerson, J. M. (2002), Identifying enterprise networkvulnerabilities. International Journal

of Network Management, 12: 135–144.

Nessus.org

!

!111

Page 114: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses
Page 115: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Introduction à la gestion de risque informationnel

Chapitre 5: L’impact

Le mot impact désigne les conséquences réelles, envisagées ou perçues d’un aléa (A), d’un

événement, d’un processus ou d’une activité rendu possible par l’exploitation d’une

vulnérabilité (ψ). En gestion, l’impact concerne les effets sur l’organisation, notamment sur

les niveaux de services, les concurrents, le marché et les clients. On distingue les effets ou

conséquences attendus et les effets inattendus d’un événement sur un projet, un actif

informationnel ou sur l’environnement, et qui peut influer sur l’atteinte des objectifs

organisationnels.

En gestion de risque informationnel, l’impact correspond aux dommages (δ) ou aux effets

négatifs de l’exploitation d’une vulnérabilité (ψ) par un aléa (A) pour un élément à risque

donné (E), dans un temps (t) et un espace (s) donné: c’est-à-dire les pertes financières, la

réduction de l’utilité et plus généralement l’impact sur les objectifs informationnels

fondamentaux de l’organisation (confidentialité, intégrité, disponibilité, etc.). Ils ne sont

pas nécessairement traduisibles en termes financiers. Les dommages aux objectifs

informationnels incluent:

• accès non autorisé aux données• destruction de données• divulgation de données ou d’informations• indisponibilité du système d’information

!

!11 2

Page 116: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Chapitre 5

Dans le cadre d’une analyse de risque en utilisant une approche par scénarios, il est

nécessaire d’identifier les dommages directs résultants de la réalisation du scénario. Ces

dommages directs peuvent inclurent:

• le coût de remplacement des équipement endommagés, volés ou perdus• le coût de remise en états des équipements et périphériques• les coûts de main d’oeuvre pour l’installation de système d’exploitation, logiciels

et la configuration de ceux-ci, le temps de recouvrement des données• les pertes en temps de travail des utilisateurs d’un système d’information• les pertes pour l’organisation dues au vol d’identité, de données ou aux

informations financières• d’autres coûts associés

De plus, il peut être nécessaire de déterminer les dommages indirects résultants de la

réalisation d’un scénario de risque. Ces dommages indirects peuvent inclurent:

• une atteinte à l’intégrité physique d’une personne• un préjudice physiologique ou fonctionnel• les préjudices moraux, comme l’atteinte à l’honneur, à la réputation et au crédit de

la personne• les préjudices moraux particuliers à la personne physique, tels que le pretium

doloris (le prix de la douleur). Par exemple :• les souffrances physiques endurées par la victime d’un dommage corporel• le préjudice d’affection lié à la souffrance morale causée par le décès d’un proche,

voire par la perte d’un animal• le préjudice sexuel,

!

!11 3

Page 117: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Introduction à la gestion de risque informationnel

• le préjudice esthétique• le préjudice d’agrément (comme la perte ou la diminution de la pratique d’une

activité par rapport à la pratique faite avant la survenue de l’accident)• les pertes en temps des clients d’un système d’information• les pertes pour les clients de l’organisation dues au vol d’identité, de données ou

aux informations financières• d’autres coûts associés

L’estimation, objective ou subjective, de ces dommages peut provenir de différentes

sources selon l’approche (scientifique ou non-scientifique) et le niveau de maturité de

l’organisation.

Pascal et de Fermat, au 17ème siècle, associaient au risque son espérance mathématique,

en additionnant chacun des dommages possibles d’un aléa pondéré par la probabilité

qu’ils se matérialise. Ainsi, dans leurs prises de décision, les individus étaient censés ne

tenir compte que de la moyenne des dommages d’un aléa et préférer ceux donnant une

espérance de gain supérieure.

Cependant, ce critère d’espérance de résultat ne met pas en évidence le fait qu’un

individu, indépendamment de la moyenne d’un aléa, peut ne pas aimer le risque qui y est

associé.

Ce constat a donné naissance au 18ème siècle à la théorie de l’utilité espérée (aussi appelé

utilité espérée ou expected utility theory) développée par Bernoulli. Suivant cette théorie,

chaque résultat n’est plus utilisé comme tel mais est transformé en utilité par une fonction.

!

!11 4

Page 118: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Chapitre 5

Cette fonction d’utilité sera concave si on veut représenter les préférences d’un individu

manifestant une aversion au risque, linéaire si on veut représenter celles d’un individu

neutre vis-à-vis du risque et convexe si on veut représenter celles d’un individu

manifestant une propension au risque.

Selon la théorie de l’utilité espérée, le risque est un critère de décision dans un univers

 incertain qui reflète les désirs par rapport à plusieurs options. 

L’utilité espérée s’applique à une prise de décision dans différentes situations:

Dans un univers risqué, lorsque l’individu sait quels évènements peuvent se réaliser dans

le futur et connaît la distribution de probabilité d’occurrence de chacun d’eux, il peut alors

calculer une espérance mathématique, somme des résultats possibles pondérés chacun par

leur probabilité.

Dans un univers incertain quand l’individu sait quels évènements peuvent se réaliser dans

le futur mais pas leur probabilité d’occurrence, il élaborera des probabilités subjectives

qu’il estime dans un intervalle de probabilités en référence à d’autres évènements.

Dans un univers indéterminé, quand l’individu ignore les évènements possibles et leur

probabilité.

Dans le cadre de situations à risque, l’individu qui suit un processus de décision rationnel,

va assigner une valeur d’utilité à chaque niveau de richesse possible. Par exemple, dans le

!

!11 5

Page 119: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Introduction à la gestion de risque informationnel

domaine de la santé, on peut comparer ces niveaux de richesse aux différents états de

santé possibles. 

L’utilité totale est la somme du produit de la désirabilité et de la probabilité de chaque

résultat :

Utilité = Σ Pb(i) x μ(conséquence i)

• n : nombre de conséquences potentielles• Pb(i) : probabilité d’occurrence de la conséquence i• μ(conséquence i) : désirabilité de la conséquence i

Dans cette formalisation mathématique du problème de décision, le risque est introduit

artificiellement sous la forme d’un évènement aléatoire (loterie, jeu), dont les résultats

possibles et les probabilités sont connus. L’individu (aussi appelé l’agent), comme joueur

rationnel, confronté à différentes loteries, cherche la maximisation d’une utilité espérée

(μ) en multipliant la probabilité d’occurrence de la conséquence (i) de l’aléa par le résultat.

L’utilité totale de chacun des ensembles de résultats d’une action est la représentation

numérique de l’attitude individuelle globale pour une action donnée. Les choix

individuels par rapport à plusieurs alternatives peuvent être prédits à partir de l’attitude

d’une personne vis à vis du risque, qui décrit la forme de la fonction d’utilité. Elle lui

permet de calculer et d’ordonner de façon cohérente, selon des règles de combinaison

spécifiques, l’utilité de chaque option. L’alternative offrant la plus grande utilité est

généralement considérée comme la meilleure option. Les préférences reflètent un lien

!

!11 6

Page 120: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Chapitre 5

entre l’utilité espérée et les caractéristiques de l’évènement. La théorie de l’utilité mesure

ainsi le risque à partir des préférences de l’individu, l’appétence au risque.

La formalisation d’un indicateur local d’aversion au risque présuppose l’existence

d’individus averses au risque et d’autres ayant une propension au risque. L’aversion au

risque ou la propension à prendre des risques se réfère à l’incurvation de la fonction

d’utilité (concave, linéaire ou convexe). L’attitude envers le risque est un continuum de

l’aversion au risque à la recherche de risque et est généralement considéré comme un trait

de personnalité. Le risque dépend donc de l’aversion pour le risque, correspondant à des

propriétés particulières des préférences de l’individu.

La théorie de l’utilité espérée s’appuie sur une rationalité probabiliste de l’individu. Elle

considère que le sujet rationnel et conscient prend ses décisions de manière à maximiser

une fonction d’utilité sous contraintes (temps/budget), en mobilisant l’information

(connaissance des probabilités des états possibles). Le problème de décision se structure

autour de l’identification du risque, des alternatives possibles et de leurs conséquences et

aussi de l’évaluation des différentes conséquences de chaque action (en termes de

désirabilité et de probabilité). Le critère de décision est celui de la maximisation de l’utilité

espérée. La théorie de l’Utilité espérée fournit un cadre pour comprendre, dans une

perspective scientifique, le choix rationnel individuel face à des situations risquées.

L’individu est supposé fonder sa prise de décision après évaluation d’un risque quantitatif

global selon une rationalité utilitariste et probabiliste individuelle. Cette théorie normative

décrit comment les gens devraient procéder quand ils prennent leurs décisions. Il y a

!

!11 7

Page 121: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Introduction à la gestion de risque informationnel

évidemment des écarts en la théorie et le comportement réel d’individus normaux, qui ne

sont pas entièrement rationnels, du moins en apparence.

Certaines hypothèses de ces modèles économiques ont été réfutés empiriquement. De

nombreux chercheurs en psychologie et sociologie ont mis en évidence l’existence de

paradoxes. Dans les conditions expérimentales de laboratoire, les sujets ne prennent pas

leurs décisions conformément à la théorie et n’agissent pas toujours dans un intérêt

personnel. Ces travaux ont montré les limites du modèle standard en économie et ont

contribué à modérer l’hypothèse selon laquelle l’individu choisit entre plusieurs

alternatives en maximisant l’utilité espérée.

Ainsi, dans le contexte de l’analyse de risque informationnel, l’utilité espérée influera sur

l’impact en l’augmentant, dans le cas d’une organisation démontrant une aversion au

risque et le diminuera dans le cas d’une organisation démontrant une propension au

risque. Le résultat sera un impact pondéré an fonction de l’appétence au risque de

l’organisation.

La présence du risque engendre un besoin de se protéger contre celui-ci. Cette protection

n’implique pas nécessairement la présence d’un tiers pour se prémunir contre d’éventuels

dommages. L’organisation peut accepter le risque, si elle a des réserves budgétaires

suffisantes, ou elle peut considérer des stratégies d’évitement ou de mitigation du risque.

Le transfert du risque vers un tiers sera par contre indispensable en cas de désir de

transfert du risque ou pour certaines activités de mitigation. Nous analysons dans cette

!

!11 8

Page 122: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Chapitre 5

section des instruments permettant de aux organisation de se prémunir contre les risques

en les transférant vers des tiers.

Externalisation

L’externalisation, du point de vue économique, est un accord passé entre une organisation

et un tiers pour la prise en charge, l’exploitation, la gestion et l’amélioration d’une activité:

de fonctions entières de l’organisation (ex. : informatique, nettoyage, ressources humaines,

paie, facturation, comptabilité, marketing et communication) ;

d’infrastructures (ex. : système d’informations, systèmes de sécurité de l’information,

réseaux ou télécommunications) ;

de processus opérationnels (ex. : production industrielle, exploitation d’un réseau de

télécommunications, logistique, transports).

Ce processus permet à l’organisation qui externalise de se recentrer sur ses domaines

d’expertise, ses spécialités, et sa valeur ajoutée. L’externalisation repose en termes

juridiques sur un contrat à durée fixe portant sur le transfert de toute ou partie de la

fonction, du service et/ou de l’infrastructure ou du processus opérationnel de

l’organisation entre l’organisation propriétaire et un opérateur. Les clauses de retour ou de

réversibilité sont la clef d’une externalisation réussie. Ce contrat peut inclure un transfert

!

!11 9

Page 123: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Introduction à la gestion de risque informationnel

d’actifs et de personnel. Le client se concentre sur la définition des résultats à atteindre,

laissant au prestataire la responsabilité de les livrer.

Assurance

Un contrat d’assurance couvre, moyennant le versement préalable d’une prime, un

individu contre les dommages financiers résultant d’un aléa. Ce contrat permet à

l’individu assuré de partager le risque encouru avec l’assureur. La modélisation des

comportements de demande d’assurance montre que si la prime d’assurance demandée

par l’assureur est égale à la valeur attendue de la perte, un individu qui démontre une

aversion au risque optera pour une couverture totale du risque. Un individu qui a une

aversion au risque préférera un contrat qui, à prime d’assurance égale, proposera à

l’individu le versement d’une franchise en cas de sinistre plutôt que le paiement d’une co-

assurance par laquelle l’individu prend à sa charge une proportion prédéfinie de la perte.

Une analyse plus générale de la demande d’assurance considère les biens remplaçables

comme un cas particulier des bien considérés comme irremplaçables. Leur analyse

confirme qu’un individu manifestant de l’aversion au risque s’assurera totalement contre

la perte d’un bien remplaçable si la prime d’assurance est actuarielle. Par contre, si le bien

pour lequel on s’assure est considéré comme irremplaçable, l’individu ne se couvrira pas

totalement.

!

!1 2 0

Page 124: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Chapitre 5

Exercices à réaliser en classe

1) On propose à un individu l’achat d’un billet de loterie dont les probabilités de gains

de10$ et 0$ sont les mêmes. La fonction d’utilité élémentaire de l’agent est μ(w0,w1) = w0

+ √w1, où w0 et w1 sont ses revenus avant et après le tirage de la loterie. Les revenus

initiaux de l’agent sont w0 = 10 et w1 = 4. Sur la base de cet énoncé, répondez aux

questions et ensuite discutez de vos réponses en classe.

En supposant que le prix p de la loterie est payé avant le tirage de celle-ci, quel est le prix

maximum que l’individu est prêt à payer pour son billet ?

Si on suppose que le prix est payé après le tirage de la loterie, quel sera le nouveau prix

maximum p que l’individu sera prêt à payer pour son billet.

!

!1 2 1

Page 125: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Introduction à la gestion de risque informationnel

2) Deux individus sont arrêtés par des policiers qui les soupçonnent d’avoir commis un

vol à main armée d’une banque. Lors du vol, un employé de la banque fut blessé par balle.

Ils sont emprisonnés dans des cellules séparées. La police fait à chacun des deux le même

marché:

« On te propose de dénoncer ton complice. Si tu le dénonces et qu’il te dénonce aussi, vous

aurez une réduction de la peine d’un an tous les deux. Si tu le dénonces et que ton

complice te couvre, tu auras une réduction de ta peine de 5 ans, mais ton complice tirera le

maximum de 10 ans. Mais si vous vous couvrez mutuellement, vous aurez tous les deux

une réduction de peine de 3 ans. »

Imaginez-vous que vous êtes l’un des individus arrêtés, que devrez vous faire: couvrir

votre complice (donc coopérer avec lui) ou le trahir ?

Pourquoi ? (justifiez votre réponse avec un arbre de décision)

!

!1 2 2

Page 126: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Chapitre 5

3) Divisez la classe en deux groupes ( groupe 1 et groupe 2). Chacun des groupes doit

effectuer un choix entre deux alternatives, sans connaitre les alternatives offertes à l’autre

groupe. Les choix sont basé sur l’énoncé suivant:

Imaginez que le Québec se prépare contre la dissémination d’un virus asiatique

jusqu’alors inconnu, dont on s’attend à ce qu’il fasse 600 morts. Deux programmes

alternatifs contre ce virus sont proposés.

Le groupe 1 doit choisir entre le programme A ou le programme B :

si le programme A est adopté, 200 personnes survivront

si le programme B est adopté, il y a une probabilité de 1/3 que les 600 individus seront

sauvés, et 2/3 qu’aucun individu ne sera sauvé.

Le groupe 2 doit choisir entre le programme C ou le programme D :

si le programme C est adopté, 400 personnes mourront

si le programme D est adopté, il y a une probabilité de 1/3 qu’aucun individu ne mourra,

et 2/3 que tous les individus mourront.

Discutez et justifiez vos réponses

!

!1 2 3

Page 127: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Introduction à la gestion de risque informationnel

Questions de révision

1) Complétez avec les termes qui convient le mieux :

• A. aléa

• B. dommage

• C. élément à risque

• D. menace

• E. risque

• F. scénario de risque

• G.séquence d’événements

• H. vulnérabilité

• I: impact

• J: conséquences

• K: objectifs organisationnels

• L: inattendus

• M: externalisation

!

!1 2 4

Page 128: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Chapitre 5

• N: assurance

1. Le mot __________ désigne les __________ réelles, envisagées ou perçues d’un

__________, d’un événement, d’un processus ou d’une activité rendu possible par

l’exploitation d’une __________.

2. En gestion, __________ concerne les effets sur l’organisation, notamment sur les

niveaux de services, les concurrents, le marché et les clients.

3. On distingue les effets ou __________ attendus et les effets __________ d’un

événement sur un projet, un actif informationnel ou sur l’environnement, et qui peut

influer sur l’atteinte des __________.

4. __________, du point de vue économique, est un accord passé entre une

organisation et un tiers pour la prise en charge, l’exploitation, la gestion et l’amélioration

d’une activité.

5.  __________ repose en termes juridiques sur un contrat à durée fixe portant sur le

transfert de toute ou partie de la fonction, du service et/ou de l’infrastructure ou du

processus opérationnel de l’organisation entre l’organisation propriétaire et un opérateur.

6. Un contrat __________ couvre, moyennant le versement préalable d’une prime, un

individu contre les dommages financiers résultant d’un aléa.

7. La modélisation des comportements de demande __________ montre que si la

prime d’assurance demandée par l’assureur est égale à la valeur attendue de la perte, un

!

!1 2 5

Page 129: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Introduction à la gestion de risque informationnel

individu qui démontre une __________ au risque optera pour une couverture totale du

risque.

2)  Complétez les phrases avec les termes qui convient le mieux :

• A. aversion

• B. concave

• C. convexe

• D. linéaire

• E. neutre

• F. propension

• G. risque

• H. scénario de risque

• I: fonction d’utilité

1. La fonction d’utilité sera __________ si on veut représenter les préférences d’un

individu manifestant une aversion au __________.

2. La fonction d’utilité sera __________ si on veut représenter celles d’un individu

neutre vis-à-vis du __________.

!

!1 2 6

Page 130: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Chapitre 5

3. La fonction d’utilité sera __________ si on veut représenter celles d’un individu

manifestant une propension au __________.

4. La __________ sera concave si on veut représenter les préférences d’un individu

manifestant une __________ au risque.

5. La __________ sera linéaire si on veut représenter celles d’un individu

__________ vis-à-vis du risque.

6. La __________ sera convexe si on veut représenter celles d’un individu manifestant

une __________ au risque.

!

!1 2 7

Page 131: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Introduction à la gestion de risque informationnel

Bibliographie

Philippe BERNARD, P. (2007) Exercices sur la décision dans l’incertain, Ingénierie

Economique et Financière Paris-Dauphine, Octobre 2007 http://www.master272.com/

micro3/exlic2-07.pdf

Kahneman, D., Tversky A. (1979) Prospect theory : an analysis of decision under risk,

Econometrica, 47, 263–291

!

!1 2 8

Page 132: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses
Page 133: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Introduction à la gestion de risque informationnel

Chapitre 6: La norme ISO 27005

L’ISO, principale organisation internationale de normalisation internationale, a élaboré

plus de 18 500 normes internationales sur des sujets très variés dans de nombreux

domaines. Environs 1100 nouvelles normes ISO sont publiées à chaque année, ce qui en

fait une des organisations de normalisation les plus actives dans le monde. Tout l’éventail

des domaines techniques figure dans la liste de normes internationales de l’ISO qui est

disponible en ligne et regroupe le catalogue des normes publiées par l’ISO ainsi que le

programme technique de l’ISO pour les projets de normes: http://www.iso.org .

Les normes de l’ISO sont créés selon une approche par consensus. Il est important de

réaliser que le processus d’élaboration de normes par consensus, réalisé avec la

participation de bénévoles, a ses limites. Bien que la recherche du consensus encourage la

démocratisation du processus, elle cause des effets pervers. D’une certaine façon, une

norme par consensus ne peut être que le dénominateur commun à l’ensemble des

participants à son élaboration, c’est-à-dire le meilleurs compromis sur lequel tout les pays

participants sont en mesure de s’entendre sur le sujet traité. Pis encore, la qualité et la

disponibilité des intervenants qui participent à l’élaboration d’une norme particulière ont

un lien direct avec la qualité du résultat. De même, il est possible que des groupes intérêts

particuliers ou des intérêts financiers viennent influencer le processus, en particulier

!

!1 2 9

Page 134: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Chapitre 6

quand il y a des enjeux de vente de produits ou de services à la clef, comme c’est le cas

avec la norme présenté dans ce chapitre, la norme ISO 27005.

Dans le cas de normes dans le secteur des TIC, l’ISO travaille en étroite collaboration avec

la CEI afin de publier des normes ISO/CEI. La Commission électrotechnique

internationale (CEI) ou International Electrotechnical Commission (IEC) en anglais, est

l'organisation internationale de normalisation chargée des domaines de l'électricité, de

l'électronique et des techniques connexes (voir http://www.iec.ch/ ).

La norme ISO/CEI 27005:2008 a été publié en 2008 et révisée en 2011. Elle fut créé par le

JTC1/SC27, le sous-comité 27 du comité technique conjoint numéro 1 de l’ISO et de la CEI.

Le SC27, Techniques de sécurité des technologies de l’information, est structuré en cinq (5)

groupes de travail ou Working group (WG). Le WG1 du JTC1/SC27 est le groupe

responsable de l’élaboration de la norme ISO 27005 à l’intérieur du SC27.

• JTC 1/SC 27/WG 1 Systèmes de management de la sécurité de l’information• JTC 1/SC 27/WG 2 Cryptographie et mécanismes de sécurité• JTC 1/SC 27/WG 3 Critères d’évaluation de la sécurité• JTC 1/SC 27/WG 4 Contrôles et services de sécurité• JTC 1/SC 27/WG 5 Gestion d’identité et technologies de domaine privé

L’ISO 27005, qui n’a pas de mécanismes de certification, fournit des lignes directrices

relatives à la gestion des risques informationnels. Elle vient en appui aux concepts

généraux énoncés dans l’ISO 27001 et aux autres normes de la famille ISO 27000. Elle est

conçue pour aider à la mise en place de la sécurité de l’information basée sur une

!

!1 3 0

Page 135: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Introduction à la gestion de risque informationnel

approche formelle de gestion des risques. Il est important de connaître les concepts, les

modèles, les processus et les terminologies décrites dans l’ISO 27001 et l’ISO 27002 afin de

bien comprendre l’ISO 27005. L’ISO 27005 est applicable à tous types d’organisations, les

entreprises commerciales, les agences gouvernementales, les organisations à but non

lucratif, qui ont l’intention de gérer des risques susceptibles de compromettre la sécurité

des informations de l’organisation. Le schéma ci bas présente les principales étapes de la

norme.

Il est important de bien comprendre que la norme ISO 27005 n’est pas une méthodologie

de gestion de risque. Elle donne un cadre normatif qui pourra être utilisé pour

l’élaboration ou la validation de méthodologies de gestion de risque informationnel,

comme c’est le cas avec l’approche présentée dans ce livre, qui se conforme à ISO 27005. La

norme ISO 27005 a pour but d’aider à mettre en œuvre un système de management (ou de

gestion) de la sécurité de l’information (SMSI) selon la norme ISO 27001, qui est fondée sur

une approche de gestion du risque. Pour comprendre cette norme internationale, il est

important de connaître les concepts, modèles, processus et termes exposés dans le système

de gestion ISO 27001 et damns le cadre normatif ISO 27002, Code de bonne pratique pour

la gestion de la sécurité de l’information, qui décrit des mesures de sécurité de

l’information. Toutefois, l’ISO 27005 ne donne aucune méthodologie spécifique pour la

gestion du risque en sécurité de l’information. Il appartient à l’organisation de définir son

!

!1 3 1

Page 136: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Chapitre 6

approche, selon par exemple le domaine d’application du SMSI, en fonction du contexte

de gestion du risque ou du secteur d’activité.

Les domaines de la norme

La norme ISO 27005 détaille le processus de gestion de risque dans les chapitres 6 à 12. Elle

est complétée de 6 annexes, de A à F, qui fournissent des informations additionnelles

nécessaires à la mise en œuvre de la méthode.

• Chapitre 6 : le processus de gestion de risque est expliqué dans son ensemble• Chapitre 7 : établir le contexte de l’analyse des risques• Chapitre 8 : définition de l’appréciation des risques• Chapitre 9 : quatre choix du traitement du risque sont proposés• Chapitre 10 : acceptation du risque• Chapitre 11 : communication du risque• Chapitre 12 : surveillance et réexamen des risques

Les principaux éléments des chapitres 7 et 8 sont présentés dans les sections suivantes.

Le point de départ de la gestion de risque informationnel dans l’organisation selon ISO

27005 est l’établissement du contexte de l’analyse de risque. Pour cela, l’analyste de risque

fait appel à toutes les sources d’informations pertinentes disponibles sur l’organisation

afin de définir:

• les critères de base de la gestion de risque informationnel,• la portée et les limites de l’analyse et

!

!1 3 2

Page 137: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Introduction à la gestion de risque informationnel

• la structure appropriée de gestion de risque informationnel.

Le guide de mise en oeuvre de la norme mentionne qu’il est essentiel de déterminer

l’objectif principal de la gestion de risque informationnel parce que cela affecte l’ensemble

du processus de gestion de risque. Cet objectif principal peut être:

• De soutenir un système de gestion (ou management dans la traduction Française du terme anglais) de la sécurité de l’information, le SMSI.

• La conformité juridique et une démonstration de diligence raisonnable.• La mise en oeuvre d’un plan de continuité des affaires.• La mise en oeuvre d’un plan de réponse aux incidents• L’identification d’exigences de sécurité de l’information pour un actif

informationnel particulier.

!

!1 3 3

Page 138: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Chapitre 6

Les critères de base d’ISO 27005

Selon la portée et les objectifs de la gestion de risque des approches différentes peuvent

être mises en oeuvre. L’approche pourrait également être différente pour chaque itération

dans une stratégie de gestion de risque continue que ce soit sur une base trimestrielle,

annuelle ou autre. Cette approche sera choisie ou élaborée en relation à des critères

d’évaluation, d’impact ou d’acceptation des risques. En outre, l’organisation doit évaluer

si les ressources nécessaires sont disponibles pour:

• Effectuer une évaluation des risques et établir un plan de traitement des risques.• Définir et mettre en œuvre des politiques, procédures et contrôles de gestion • Surveiller les processus de gestion de risque informationnel.

La norme ISO 27005 suggère de se référer à l’article 5.2.1 de la norme ISO 27001 concernant

les ressources nécessaires pour la mise en œuvre et le fonctionnement d’un SMSI. Cet

article de la norme ISO 27001 fourni peu de détails additionnels et donne plutôt une liste

plus exhaustive des ressources nécessaires.

Ensuite, des critères d’évaluation doivent être mis au point pour évaluer le risque

informationnel de l’organisation en tenant compte des points suivants:

• La valeur stratégique de l’information.• La criticité des actifs informationnels en cause.• Les obligations juridiques, réglementaires et contractuelles.• L’importance de la disponibilité, la confidentialité et l’intégrité.

!

!1 3 4

Page 139: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Introduction à la gestion de risque informationnel

• Les attentes des parties prenantes, les atteintes à la réputation et les impacts potentiels sur l’achalandage.

• En outre, les critères d’évaluation du risque peuvent être utilisé pour spécifier les priorités de traitement des risques. Par la suite, des critères d’impact devrait être développés et précisés en termes d’importance des dommages, des coûts ou des pertes occasionnés par un aléa compte tenu des informations suivantes:

• La catégorisation de l’actif informationnel affecté.• Les atteintes à la sécurité des informations (par exemple la perte de la

confidentialité).• La perte de valeur commerciale et financière.• La perturbation des plans et l’ajout de délais.• L’atteinte à la réputation.• Une violations des exigences légales, réglementaires ou contractuelles.

!

!1 3 5

Page 140: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Chapitre 6

Les critères d’acceptation des risques d’ISO 27005

Selon ISO 27005, des critères précis d’acceptation des risques devrait être élaboré. Les

critères d’acceptation des risques dépendent souvent des politiques de l’organisation, ses

buts, ses objectifs et des intérêts des parties prenantes. L’organisation doit définir ses

propres barèmes pour les niveaux d’acceptation des risques. Les éléments suivants

doivent être pris en compte dans l’élaboration des critères d’acceptation des risques:

Ils peuvent inclure des seuils multiples, avec un niveau cible souhaité et des règles pour

les cadres supérieurs qui identifient dans quelles circonstances ils peuvent accepter des

risques supérieurs.

Ils peuvent être exprimés comme le rapport entre l’utilité espérée et le risque évalué.

Différents critères d’acceptation peuvent s’appliquer à différentes catégories de risques.

Par exemple, les risques qui pourraient résulter du non-respect des règlements ou de lois

peuvent être évités, alors que l’acceptation des risques élevés peuvent être acceptés pour

rencontrer une exigence contractuelle.

Ils peuvent inclure des exigences pour un traitement supplémentaire Par exemple, un

risque peut être acceptée que s’il y a approbation et engagement de prendre des mesures

pour le réduire à un niveau acceptable dans un délai défini.

Les critères d’acceptation des risques peuvent varier en fonction de la durée du risque. Par

exemple, le risque peut être associée à une activité temporaire ou à court terme.

!

!1 3 6

Page 141: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Introduction à la gestion de risque informationnel

Les critères d’acceptation des risques devraient tenir compte tenir des éléments suivants:

• Les besoins d’affaires.• Les aspects juridiques et réglementaires.• Les modes de production.• Les technologie utilisées.• Les contraintes financières.• Les facteurs sociaux et humains.

Les critères d’acceptation des risques correspondent à des critères pour accepter les risques

et identifier le niveau de risque acceptable, tel que spécifiés à l’article 4.2.1 d’ISO 27001 et à

l’annexe A de la norme ISO 27005.

Le champ d’application et les limites organisationnelles des activités de gestion de risque

L’organisation doit définir le champ d’action et les limites de la gestion de risque

informationnel. Le champ d’action du processus de gestion de risque informationnel doit

être défini afin d’assurer que tous les actifs informationnels soient pris en compte dans

l’évaluation des risques. En outre, des seuils de tolérance et des limites doivent être

clairement identifiée pour répondre aux risques supérieurs à ces limites.

Des information sur l’organisation doit être recueillies afin de déterminer l’environnement

dans laquelle elle opère et le contexte organisationnel du processus de gestion de risque

informationnel. Lors de la définition du champs d’action et des limites, l’organisation

devrait considérer les informations suivantes:

!

!1 3 7

Page 142: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Chapitre 6

• Les objectifs d’affaires, les stratégies et les politiques• Les processus d’affaires• La structure organisationnelle• Les exigences légales, réglementaires et contractuelles applicables• La politique de sécurité de l’information• L’approche globale de gestion de risque• Les actifs informationnels• Les sites et les contraintes géographiques caractéristiques de l’organisation• Les attentes des parties prenantes• L’environnement socio-culturel• Les échange d’informations et de données

En outre, l’organisation doit fournir une justification de ce qui sera inclus et exclus du

périmètre d’application de la gestion de risque informationnel.  La portée de gestion des

risques peut être une application informatique, l’infrastructure informatique, un

processus, ou une partie d’une organisation. La portée et les limites de la gestion des

risques sécurité de l’information est liée à la portée et les limites du SMSI, tel que défini à

l’article 4.2.1 de la norme ISO 27001. De plus amples informations sont fournies à l’annexe

A de la norme ISO 27005.

L’organisation de gestion de risque informationnel

L’allocation des responsabilités pour le processus de gestion de risque informationnel doit

être mis en place et maintenu dans la structure organisationnelle de l’organisation, c’est ce

!

!1 3 8

Page 143: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Introduction à la gestion de risque informationnel

qu’ISO 27005 défini comme l’organisation de la gestion de risque informationnel. Les

principaux rôles et responsabilités de l’organisation de gestion de risque informationnel

d’ISO 27005 sont:

• Le développement de processus de gestion de risque informationnels adapté à l’organisation.

• L’identification et analyse des parties prenantes.• La définition des rôles et responsabilités de toutes les parties à la fois internes et

externes à l’organisation.• La mise en place des relations nécessaires entre l’organisation et les parties

prenantes, ainsi que les liens avec les autres fonctions de gestion de risque (par exemple la gestion du risque opérationnel ou financier).

• Les liens avec les autres projets pertinents ou activités de l’organisation.• La définition des processus décisionnels.• La spécification des registres requis.

Cette organisation de gestion de risque informationnel doit être approuvé par les

gestionnaires compétents de l’organisation. L’article 5.2.1 de la norme ISO 27001 exige de

la détermination et la fourniture des ressources nécessaires pour établir, mettre en œuvre,

exploiter, surveiller, réviser, maintenir et améliorer un SMSI. La mise en oeuvre d’une

organisation de gestion de risque informationnel peut être considérée comme l’une des

éléments requis pour la conformité à la norme ISO 27001.

!

!1 3 9

Page 144: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Chapitre 6

L’évaluation du risque informationnel selon la norme ISO 27005 débute avec les critères de

base, le champs d’application, les limites et l’organisation du processus de sécurité de

l’information de gestion des risques mis en place, tels que présentés à la section

précédente. À partir de ces intrants, les risques doivent être identifiés, quantifiés ou

déterminés qualitativement et ensuite priorisés par rapport aux critères d’évaluation des

risques et aux objectifs organisationnels.

La mise en oeuvre de l’évaluation du risque informationnel doit prendre en considération

la définition du risque de la norme ISO 27005:

Un risque est une combinaison des conséquences qui découleraient de la survenance d’un

événement indésirable et la probabilité de la survenance de l’événement.

L’évaluation des risques quantifie ou détermine qualitativement le risque et permet aux

gestionnaires de hiérarchiser les risques selon leur gravité, réelle ou perçue, ou selon

d’autres critères. Outre l’évaluation du risque comme tel, l’évaluation des risques

comprend l’analyse des risques qui demande d’identifier et d’estimer les risques. Ces

activités correspondent aux étapes d’identification (I) et de priorisation (p) du processus

IPM.

L’évaluation des risques:

• identifie et détermine la valeur des actifs informationnels,

!

!1 4 0

Page 145: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Introduction à la gestion de risque informationnel

• identifie les menaces et les vulnérabilités applicables qui existent ou pourrait exister,

• identifie les contrôles existants et leur effet sur le risque identifié, • détermine les conséquences potentielles et, finalement, • priorise les risques dérivés et les classe en relation aux critères d’évaluation. 

L’évaluation des risques est souvent réalisée en plusieurs itérations. Tout d’abord, une

évaluation de haut niveau est effectuée pour identifier les risques potentiellement élevés

qui justifient une évaluation plus poussée. La prochaine itération peut permettre l’examen

approfondi des risques potentiellement élevés révélés dans l’itération initiale. Lorsque les

informations sont insuffisantes pour évaluer le risque, des analyses plus détaillées sont

menées sur des parties limités ou en utilisant une approche différente. Il appartient à

l’organisation de choisir sa propre approche d’évaluation des risques basée sur les objectifs

d’évaluation des risques. Le résultat souhaité est une liste de risques évalués et priorisés

selon les critères déterminés.

Des éléments additionnels sur les approches d’évaluation de risque informationnel

peuvent être trouvés dans l’annexe E de la norme ISO 27005.

L’identification des risques consiste à déterminer ce qui pourrait arriver à provoquer une

perte potentielle, et à mieux comprendre comment, où et pourquoi la perte qui pourrait se

produire. Les étapes décrites dans les paragraphes suivants devraient permettre de

recueillir des données nécessaires pour l’activité d’estimation du risque.

!

!1 4 1

Page 146: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Chapitre 6

L’identification des actifs informationnels

Les actifs informationnels, leur propriétaires et leur valeur doivent être identifiés. Pour

l’identification des actifs, il convient de garder à l’esprit qu’un système d’information se

compose de plus que de matériel et de logiciel. L’identification des actifs doit être effectuée

à un niveau approprié de détail qui fournit suffisamment d’informations pour l’évaluation

des risques. Le niveau de détail utilisé pour l’identification des actifs va influencer la

valeur globale de l’information recueillie au cours de l’évaluation des risques. Le niveau

sera affinée lors d’itérations futures de l’évaluation des risques.

Un propriétaire d’actif informationnel, devrait être déterminé pour chaque actif, afin

d’assigner la responsabilité et la reddition de comptes de l’actif. Le propriétaire de l’actif

peut ne posséder les droits de propriété de l’actif, mais il a la responsabilité de sa

production, son développement, sa maintenance, son utilisation ou sa sécurité. Le

propriétaire d’actif informationnel, est souvent la personne la plus appropriée pour

déterminer la valeur de l’actif pour l’organisation.

La limite critique est le périmètre des actifs informationnels de l’organisation géré par le

processus de gestion de risque informationnel.

Un inventaire du patrimoine informationnel, partiel ou complet selon les limites de

l’évaluation, composée d’une liste d’actifs physique (serveurs et équipements réseau par

exemple), d’actifs immatériels (logiciels et données) et une liste des processus d’affaires

liés aux actifs et de leur pertinence est le principal résultat du processus d’identification

!

!1 4 2

Page 147: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Introduction à la gestion de risque informationnel

des actifs. Plus d’informations sur l’identification et l’évaluation des actifs liés à la sécurité

des informations peuvent être trouvées dans l’annexe B d’ISO 27005.

L’identification des menaces

Les menaces et leurs sources devraient être identifiées, tel que mentionné dans la norme

ISO 27001. Le résultat de l’identification des menaces est une liste des menaces catégorisée

ainsi que leur source. Les information sur les menaces proviennent de plusieurs sources,

tels que les incidents passés, les propriétaires d’actifs, les utilisateurs et d’autres sources, y

compris les catalogues des menaces externes.

Une menace a le potentiel de nuire aux actifs informationnels tels que des informations,

des processus et des systèmes et aux organisations. Les menaces peuvent être d’origine

naturelle ou humaine, et pourrait être accidentelle ou délibérée. La source des menace

doivent être identifiés. Une menace peut venir de l’intérieur ou à l’extérieur de

l’organisation. Les menaces doivent être identifiés de façon générique et par type (par

exemple des actions non autorisées, des dommages physiques, des défaillances

techniques), puis le cas échéant les menaces individuelles au sein de la classe générique

identifié. Cela signifie qu’aucune menace est négligé, y compris celles qui sont

inattendues. Certaines de ces menaces peuvent affecter plus d’un actif

informationnel. Dans ce cas, elles peuvent causer des impacts différents selon les actifs

touchés.

!

!1 4 3

Page 148: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Chapitre 6

Les informations nécessaires à l’identification des menaces et l’estimation de leur

probabilité d’occurrence peuvent être obtenus auprès des propriétaires d’actifs

informationnels, des utilisateurs, du personnel des ressources humaines, de gestion des

installations et des spécialistes en sécurité de l’information, d’experts en sécurité physique,

du service juridique et d’autres organisations y compris les corps policiers, les autorités

météorologiques, les compagnies d’assurance et les autorités gouvernementales. Les

aspects environnementaux et socioculturels doivent également être pris en considération.

L’expérience des employés d’incidents et d’évaluations des menace antérieures doivent

être considérées dans l’évaluation. Il pourrait s’avérer intéressant de consulter les

catalogues ou registre de menaces, qui peuvent être spécifique à une organisation, une

entreprise ou une industrie, pour créer une liste de menaces génériques, le cas

échéant. Des catalogues des menaces et des statistiques sont produits par des organismes

de l’industrie, des gouvernements, des compagnies d’assurance et de d’autres sources.

Lors de l’utilisation des catalogues, des menaces ou des résultats de l’évaluation des

menaces antérieures, il faut être conscient qu’il y a une évolution continuelle des menaces

pertinentes, surtout si l’environnement d’affaires ou l’environnement des systèmes

d’information change. Plus d’informations sur les types de menaces peuvent être trouvées

dans l’annexe C de la norme ISO 27005.

!

!1 4 4

Page 149: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Introduction à la gestion de risque informationnel

L’identification des contrôles existants

L'identification des contrôles existants a pour point de départ la documentation des

contrôles et de traitement des risques. Le guide d’application précise que l’identification

des contrôles devraient être faite pour éviter des travaux et des coûts inutiles, entre autres

par la duplication des contrôles. En outre, tout en identifiant les contrôles existants, une

vérification doit être effectuée pour s’assurer que les contrôles fonctionnent correctement.

L’utilisation des rapports d’audit existants devrait réduire le temps consacré à cette

tâche. Si un contrôle ne fonctionne pas tel que prévu, cela peut entraîner des vulnérabilités

susceptibles d’être exploité par une menace. 

L’organisation devrait envisager la possibilité qu’un contrôle ou une stratégie de

traitement de risque échoue. Dans ce cas, des contrôles complémentaires sont nécessaires

pour efficacement faire face au risque identifié. Dans un SMSI, cela est pris en charge par

la mesure de l’efficacité du contrôle. Une façon d’en estimer l’efficacité consiste à voir:

• Comment le contrôle réduit la probabilité de la menace;• L’impact du contrôle sur la facilité d’exploitation de la vulnérabilité;• L’effet du contrôle sur les dommages causés par l’aléa. 

Un examens des rapports d’audit fournit également des informations sur l’efficacité des

contrôles existants. Les contrôles planifiés doivent être considérés de la même manière que

ceux déjà en place.

!

!1 4 5

Page 150: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Chapitre 6

Un contrôle existant ou planifiée pourrait être identifié comme étant inefficace, insuffisant

ou injustifié. S’il est injustifié ou insuffisant, le contrôle doit être vérifiée pour déterminer

s’il doit être enlevé, remplacé par un contrôle plus approprié ou s’il doit rester en place,

par exemple, pour des raisons de coût. Pour l’identification des contrôles existants ou

prévus, les activités suivantes peuvent être utiles:

L’examen des informations sur les contrôles (par exemple, des plans de mise en œuvre

risque de traitement). Si les processus de gestion de la sécurité des informations sont bien

documentés tous les contrôles existants ou prévus et l’état de leur mise en œuvre devrait

être disponible;

La vérification avec les responsables de la sécurité de l’information (par exemple chef de la

sécurité de l’information, gestionnaire) et les utilisateurs quant aux contrôles qui sont

vraiment mis en œuvre;

Procéder à un examen sur place des contrôles physiques, en comparant celles mises en

œuvre avec les contrôles qui devraient être en place, et en vérifiant celles mises en œuvre

quant à savoir si elles fonctionnent correctement et efficacement, ou

Revoir les résultats des audits internes

Le résultat est une liste de tous les contrôles existants et prévus, leur mise en œuvre et état.

L’identification des vulnérabilités

!

!1 4 6

Page 151: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Introduction à la gestion de risque informationnel

À partir de la liste de menaces catégorisée, créé lors de l’étape d’identification des

menaces, de la liste des actifs informationnels et de celle des contrôles existants, l’étape

d’identification des vulnérabilités cherche à identifier les vulnérabilités qui peuvent être

exploitées par des menaces qui sont susceptibles de causer des dommages aux biens ou à

l’organisation. Ceci est fait afin de produire une liste de vulnérabilités catégorisée par

actifs, par menaces et par contrôles et une liste des vulnérabilités qui n’est pas associé à

des menace identifiés.

Le guide d’application de la norme mentionne que les vulnérabilités peuvent être

identifiés dans:

• L’organisation• Les processus et les procédures• La gestion des routines• Le personnel• L’environnement physique• La configuration d’un système d’information• Les dépendance à l’égard du matériel, logiciel ou matériel de communication sur

les parties externes

La présence d’une vulnérabilité ne signifie pas qu’il existe un risque informationnel

comme tel, il doit y avoir une menace pour l’exploiter. Une vulnérabilité qui n’a pas de

menace correspondante ne requiers pas nécessairement la mise en œuvre d’un contrôle. La

vulnérabilité devrait être reconnue et surveillée, en particulier pour savoir s’il y a des

changements pour les changements. 

!

!1 4 7

Page 152: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Chapitre 6

Il est important de noter qu’un contrôle en place de manière incorrecte, qui ne fonctionne

pas adéquatement ou qui est utilisé incorrectement pourrait être lui-même une

vulnérabilité. Un contrôle peut être efficace ou inefficace en fonction de l’environnement

dans lequel elle opère. Inversement, une menace qui n’a pas une vulnérabilité

correspondante ne peut pas entraîner un risque. Les vulnérabilités peuvent être liés aux

propriétés de l’actif qui peut être utilisé dans un but autre que celui prévu lorsque l’actif a

été acquis ou créé.Aussi, les vulnérabilités provenant de sources différentes doivent être

envisagées. Des exemples de vulnérabilités et des méthodes pour l’évaluation des

vulnérabilités peuvent être trouvées dans l’annexe D de la norme ISO 27005.

L’identification des conséquences

L’identification des conséquences est réalisée à partir de l’inventaire du patrimoine

informationnel (équipements, processus d’affaires, etc.) des menaces et des vulnérabilités.

Cette étape a pour objectif d’identifier les conséquences, telles que les pertes de

confidentialité, d’intégrité et de disponibilité, peuvent avoir sur les actifs informationnels

afin de produire une liste de scénarios d’incidents et leurs conséquences liées à des actifs et

des processus d’affaires. Une conséquence peut être une perte d’efficacité, des conditions

d’exploitation défavorables, la perte d’opportunités d’affaires, un atteinte à la réputation,

des dommages ou tout résultat défavorable pour l’organisation.

Lors de cette activité l’organisation cherche à identifier les impacts, les dommages ou les

conséquences négatives pour l’organisation qui pourrait résulter d’un incident, décrit dans

!

!1 4 8

Page 153: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Introduction à la gestion de risque informationnel

un scénario d’incident. Un scénario d’incident est la description de l’exploitation par une

menace d’une vulnérabilité, ou d’un ensemble de vulnérabilités, en relation à un ou

plusieurs actifs informationnels lors d’un incident de sécurité de l’information tel que

décrit au chapitre 13 de la norme ISO 27002. Les conséquences des scénarios d’incidents

doivent être déterminés en tenant compte des critères d’impact définis au cours de

l’identification du contexte. Les conséquences peuvent affecter un ou plusieurs actifs

informationnels ou une partie d’un actif informationnel. Ainsi, la valeur ou l’utilité d’un

actifs informationnel peut être affecté par des pertes financières ou par des conséquences

commerciales (pertes de réputation, perte de parts de marché, etc.) si ces actifs sont

endommagés ou compromis. Les conséquences peuvent être de nature temporaire ou

permanente, par exemple dans le cas de la destruction d’un actif informationnel. La norme

ISO 27001 décrit l’apparition de scénarios d’incidents comme des failles de sécurité.

Sans s’y limiter, les organisations devraient identifier les conséquences opérationnelles des

scénarios d’incidents suivants:

• Les enquêtes, le temps de réparation et le temps perdu• Les pertes d’opportunités• Les atteintes à la santé et à la sécurité• Le coût des compétences spécifiques pour réparer les dommages à la réputation et

l’achalandage.

Des détails additionnels sur l’évaluation des vulnérabilités techniques peuvent être

trouvées dans l’annexe B.3 de la norme ISO 27005 qui porte sur l’évaluation des

conséquences.

!

!1 4 9

Page 154: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Chapitre 6

Les méthodes de mesure du risque selon ISO 27005

La méthode de mesure du risque informationnel peut être quantitative, qualitative ou une

combinaison de ces deux approches, selon les circonstances. Dans la pratique, l’estimation

qualitative est souvent utilisé en premier pour obtenir une indication générale du niveau

de risque et révéler les risques majeurs. Plus tard, il peut être nécessaire de procéder à une

analyse de risque plus spécifique ou quantitative pour les risques majeurs. Selon la norme

ISO 27005, il est généralement moins complexe et moins coûteux de réaliser des mesures

qualitative que des mesures quantitative.

La méthode d’analyse devraient être compatibles avec les critères d’évaluation des risques

élaborées dans le cadre de l’établissement du contexte. L’analyse des risques peut être

réalisée à divers degrés de détail, selon la criticité des actifs, l’étendue des vulnérabilités

connues et les incidents antérieurs. 

L’estimation qualitative du risque

La mesure qualitative utilise une échelle de qualification des attributs pour décrire

l’ampleur des conséquences potentielles (par exemple: faible, moyen et élevé) et la

probabilité que ces conséquences se produisent (par exemple: incertain, peu probable,

probable, très probable, certain). Un avantage de la mesure qualitative est que les échelles

de mesure utilisées sont comprises facilement par tous le personnel concerné. Le principal

inconvénient est la subjectivité inhérente à la mesure indirecte.

!

!1 5 0

Page 155: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Introduction à la gestion de risque informationnel

Les échelles qualitatives peuvent être adaptées ou ajustées en fonction des circonstances.

Des descriptions différentes peuvent être utilisées pour différents risques. En particulier, la

mesure qualitative peut être utilisée dans les circonstances suivantes:

• Pour l’identification initiale des risques qui nécessitent une analyse plus détaillée;• Lorsque ce genre d’analyse est approprié pour la prise de décision;• Lorsque les données ou les ressources sont insuffisantes pour une estimation

quantitative.

L’analyse qualitative doit utiliser des informations factuelles et des données probante

lorsqu’elles sont disponibles.

L’estimation quantitative du risque

La mesure quantitative utilise une échelle avec des valeurs numériques plutôt que les

échelles descriptives utilisées dans l’estimation qualitative. La mesure quantitative des

conséquences et des probabilités peut être réalisée en utilisant des données provenant

d’une variété de sources. La qualité de l’analyse dépend de la précision des métriques et la

validité des modèles utilisés. L’estimation quantitative dans la plupart des cas utilise des

données d’incidents historiques, qui peuvent être liée directement aux objectifs de sécurité

de l’information et aux préoccupations de l’organisation. Un inconvénient est le manque

de données sur ces nouveaux risques ou des faiblesses de sécurité de l’information. Un

inconvénient significatif de l’approche quantitative survient lorsque des données

probantes ne sont disponibles, créant ainsi une illusion de la valeur et l’exactitude de

!

!1 5 1

Page 156: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Chapitre 6

l’évaluation des risques. La façon dont les conséquences et la probabilité sont exprimés et

les moyens par lesquels ils sont combinés pour fournir un niveau de risque varie selon le

type de risque et de la finalité de l’évaluation de risque.

L’évaluation des conséquences

L’évaluation des conséquences utilise les scénarios d’incidents, l’identification des

menaces, des vulnérabilités, des actifs concernés, des conséquences sur les actifs et les

processus d’affaires, afin de produire une liste de conséquences évaluées d’un scénario

d’incident exprimé à l’égard de l’actif et les critères d’impact. Les conséquences pour

l’organisation qui pourraient résulter incidents de sécurité réels ou probables doivent être

évalués en tenant compte des conséquences d’une violation de la sécurité de l’information

tels que la perte de la confidentialité, l’intégrité ou la disponibilité des actifs. Le guide

d’application de la norme mentionne qu’après avoir identifié tous les actifs

informationnels dans le périmètre de l’analyse de risque, les valeurs attribuées à ces actifs

devraient être prises en compte lors de l’évaluation des conséquences. La perte pour

l’organisation résultant des conséquences d’un incident peut être exprimé de façon

qualitative et quantitative. D’autres méthodes d’attribution d’une valeur monétaire aux

conséquences peut fournir davantage d’informations pour la prise de décision. 

L’évaluation des actifs informationnels débute avec la catégorisation des actifs

informationnels en fonction de leur criticité et en termes de l’importance relative des actifs

!

!1 5 2

Page 157: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Introduction à la gestion de risque informationnel

informationnels à la réalisation des objectifs de l’organisation. L’évaluation est ensuite

déterminée en utilisant deux mesures:

• La valeur de remplacement de l’actif informationnel: le coût du nettoyage, le remplacement et la récupération de l’information (si possible), et

• Les conséquences commerciales de la perte ou de la compromission de l’actif informationnel, telles que la perte de clientèle et les conséquences légales ou réglementaires de la divulgation, la modification, la non-disponibilité et / ou la destruction des renseignements et autres informations.

Cette évaluation peut être déterminée à partir d’une analyse d’impact sur les affaires

(Business Impact Analysis). La valeur, déterminée par la conséquence pour les entreprises,

est généralement beaucoup plus élevé que le coût de remplacement simple, en fonction de

l’importance de l’actif pour l’organisation dans l’atteindre de ses objectifs d’affaires.

L’évaluation des actifs est un facteur clé dans l’évaluation d’impact d’un scénario

d’incident, parce que l’incident peut affecter plus d’un atout (par exemple les actifs à

charge), ou seulement une partie d’un actif. Différentes menaces et les vulnérabilités aura

des impacts différents sur l’actif, telles que la perte de confidentialité, l’intégrité ou la

disponibilité. L’évaluation des conséquences est donc liée à la valorisation des actifs sur la

base de l’analyse d’impact d’affaires.

Les conséquences ou impacts sur l’entreprise peut être déterminée par la modélisation des

résultats d’un événement ou série d’événements, ou par extrapolation à partir des études

expérimentales ou des données passées. Les conséquences peuvent être exprimés en

!

!1 5 3

Page 158: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Chapitre 6

termes de critères d’impact monétaire, technique, humain ou d’autres critères pertinents

pour l’organisation. Dans certains cas, plus d’une valeur numérique est nécessaire pour

préciser les conséquences pour différents moments, lieux, groupes ou situations. Les

conséquences dans le temps doivent être mesurés avec la même approche utilisée pour la

probabilité de la menace et la vulnérabilité. Une cohérence doit être maintenu dans

l’approche (qualitative ou quantitative). Plus d’informations à la fois sur l’évaluation des

actifs et évaluation de l’impact peut être trouvée dans l’annexe B de la norme ISO 27005.

L’évaluation de la probabilité de réalisation des incidents

L’évaluation de la probabilité de réalisation des incidents a pour objectif la détermination

de la probabilité de réalisation des scénarios, tel que défini à l’article 4.2.1 de la norme ISO

27001. Elle est produite à partir de la liste des scénarios d’incidents identifiés pertinents,

comprenant l’identification des menaces, des actifs affectés, les vulnérabilités exploitées et

les conséquences sur les actifs et les processus d’affaires. En outre, des listes de tous les

contrôles existants et prévus, leur efficacité, la mise en œuvre et l’état d’utilisation.

Le guide d’application de la norme mentionne qu’après avoir identifié les scénarios

d’incidents, il est nécessaire d’évaluer la probabilité de chaque scénario et l’impact se

produise, en utilisant des techniques d’estimation qualitative ou quantitative. Cela devrait

prendre en compte de la façon dont souvent les menaces se produisent et la facilité avec

laquelle les vulnérabilités peuvent être exploitées, compte tenu:

!

!1 5 4

Page 159: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Introduction à la gestion de risque informationnel

• De l’expérience et des données historiques applicables pour la probabilité des menaces

• De la motivation et des capacités des sources des menaces délibérées, qui va changer au fil du temps et des ressources disponibles, ainsi que de la perception de l’attractivité et la vulnérabilité des actifs pour un éventuel attaquant

• Des facteurs géographiques (par exemple la proximité de produits chimiques ou des installations pétrolières), de conditions météorologiques extrêmes, et des facteurs qui pourraient influer sur les erreurs humaines et fonctionnement du matériel, pour les menaces de nature accidentelles.

• Des vulnérabilités individuelles ou combinées.• Des contrôles existants et dans quelle mesure ils réduisent les vulnérabilités.

Par exemple, un système d’information peut avoir une vulnérabilité aux menaces

d’usurpation de l’identité d’un utilisateur et d’utilisation abusive des ressources

informatiques. La vulnérabilité de l’usurpation de l’identité des utilisateurs peut être élevé

en raison de faiblesses dans les processus d’authentification des utilisateurs. D’autre part,

la probabilité d’une mauvaise utilisation des ressources peut être faible, malgré les

faiblesses d’authentification des utilisateurs, parce que les moyens de détourner les

ressources sont multiples et pas limités à des questions d’authentification.

Selon les niveau de détail requis ou les besoins de l’organisations, les actifs pourraient être

regroupés ou isolés. Par exemple, différents sites géographiques, la nature des menaces

pesant sur les mêmes types d’actifs peut changer, ou l’efficacité des contrôles existants

peuvent varier.

!

!1 5 5

Page 160: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Chapitre 6

Estimation du niveau de risque

Selon ISO 27005, et tel que défini à l’article 4.2.1 de la norme ISO 27001, le niveau de risque

doit être évalué pour tous les scénarios d’incidents pertinents afin de produire une liste de

risques avec des mesures (qualitatives ou quantitative) de la valeur des conséquences dans

le contexte de l’analyse de risque. Ceci est réalisé à partir de la liste de scénarios

d’incidents et des conséquences liées aux actifs informationnels et leur probabilité de

réalisation (quantitative ou qualitative).

 L’estimation du risque repose sur les conséquences évaluées et la probabilité. C‘est-à-dire

que selon ISO 27005, le risque estimé est une combinaison de la probabilité de la

réalisation d’un scénario d’incident et de ses conséquences. Ces estimations peuvent être

quantitatives ou qualitatives. En outre, l’organisation peut envisager de coûts-avantages,

les préoccupations des parties prenantes, et d’autres variables, en fonction de l’évaluation

des risques. Des exemples de différentes méthodes d’estimation des risques

informationnels de sécurité ou d’approches peuvent être trouvées dans l’annexe E de la

norme ISO 27005.

L’évaluation du risque

L’évaluation du risque est réalisés à partir des résultats de l’estimation de risque. Selon

ISO 27005, et tel que défini à l’article 4.2.1 de la norme ISO 27001, le niveau de risque

devrait être comparé aux critères d’évaluation des risques et aux critères d’acceptation des

!

!1 5 6

Page 161: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Introduction à la gestion de risque informationnel

risques déterminés lors de l’établissement du contexte. Ces décisions et le contexte devrait

être réexaminée de façon plus détaillée à ce stade où on en sait davantage sur les risques

particuliers identifiés.

Pour évaluer les risques afin de produire une liste de risques hiérarchisés, les organisations

devraient comparer les risques estimés (en utilisant des méthodes ou des approches

mentionnées à l’annexe E de la norme ISO 27005) avec les critères d’évaluation des risques

définis lors de la mise en place le contexte. Ces critères d’évaluation doivent être

compatibles avec le contexte, prendre en compte les objectifs de l’organisation et les points

de vues des diverses parties prenantes. L’évaluation des risques devrait être basées sur le

niveau de risque acceptable pour l’organisation. Toutefois, les conséquences, la probabilité

et le degré de confiance dans l’identification des risques et l’analyse doit être

acceptable. L’agrégation des multiples risques faibles ou moyennes peut entraîner des

risques plus élevés et doivent être traités en conséquence.

Les considérations doivent inclure:

• Les besoins en matière de sécurité de l’information;• L’importance d’un processus d’affaires ou d’une activité soutenue par un actif

informationnel ou un ensemble d’actifs.

L’évaluation des risques utilise la compréhension du risque obtenue par l’analyse des

risques pour prendre des décisions sur les actions futures. Les décisions devraient inclure

les priorités pour le traitement des risques ou si une activité doit être entreprise. Au cours

!

!1 5 7

Page 162: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Chapitre 6

de la phase d’évaluation des risques, contractuelles, les exigences légales et réglementaires

sont des facteurs qui devraient être prises en compte en plus des risques estimés.

!

!1 5 8

Page 163: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Introduction à la gestion de risque informationnel

Chapitre 7: Les méthodologies d’analyse de risque

Un des outils dans l’arsenal du praticien de la sécurité de l’information et des

organisations qui souhaitent mettre en oeuvre un processus de gestion du risque

informationnel est la méthodologie d’analyse de risque. De nombreuses méthodologies

existent sur le marché, certaines gratuitement, d’autres à un coût non négligeable. Dans

certains cas, des organisations créées des méthodologies d’analyse de risque afin de

répondre à leurs besoins et tenir compte de contraintes particulières. Chacune de ces

méthodologies peut s’avérer un outil efficace lorsqu’elles sont utilisées diligemment dans

un contexte bien déterminé. Cependant, comme tout outil, elles ont des limites. Elles ont

une utilité propre, souvent dans un contexte organisationnel particulier ou un domaine

d’activité limité (Banques, ministère).

Comme d’autres méthodologies de recherche, les méthodologies d’analyse de risque

cherchent à mesurer des concepts. Dans ce cas précis, les méthodologies cherchent à

mesurer le risque informationnel, par l’intermédiaire de variables (comme la menace ou

l’impact) selon des échelles de mesure (par exemple : bas, moyen, élevé). Plusieurs des

concepts mesurés ne peuvent être mesurés directement (par exemple comme lire la

température sur un thermomètre) mais indirectement, en demandant à quelqu’un

I n t r o d u c t i o n à l a g e s t i o n d e r i s q u e i n f o r m a t i o n n e l

Page 164: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Chapitre 7

d’indiquer quelle est son estimation de la valeur de la mesure de la variable attribuée au

concept. Ainsi comme toute méthodologie, la méthodologie d’analyse de risque

informationnel doit tenir compte de plusieurs sources d’erreur ou de biais, soit en relation

à la sélection des individus qui donnent les réponses, de l’interprétation à donner aux

réponses, du type de mesures utilisées, de l’analyse (explicative ou statistique) ou de

l’interprétation des résultats.

Dans le domaine de la médecine, il est nécessaire de déterminer le risque associé à

l’introduction de protocoles de soins ou de nouveaux médicaments. Pour des raisons

historiques et éthiques, le domaine de la médecine a systématisé l’utilisation de

méthodologies. Plusieurs études ont été réalisées sur les sources d’erreurs et de biais, ainsi

que les moyens à mettre en oeuvre pour limiter leur impact. Le but étant de s’assurer que

les résultats d’une étude soient fidèles à la réalité tout en étant rigoureux sur le plan

scientifique. L’hypothèse sous-jacente à la présentation de ces critères étant qu’ils sont

aussi pertinents aux méthodologies d’analyse de risque sur lesquelles se basent les

organisations pour prendre des décisions.

Comprendre ce qu’est une méthodologie.

La méthodologie est une sorte de coffre à outils à l’usage des chercheurs, ceux qui

cherchent à répondre à une question. Dans ce coffre chaque outil, l’ouvrier retrouvera un

processus, une technique ou une technologie appropriée à résoudre une énigme

particulière ou à déterminer la valeur d’une variable particulière. Lorsque l’on travaille

!

!1 6 0

Page 165: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Introduction à la gestion de risque informationnel

dans un domaine, une méthodologie permet d’établir une suite d’actions à effectuer, de

questions à se poser, de choix à faire, qui permet de mener de manière plus efficace une

étude ou la résolution d’un problème. C’est un des éléments qui font la différence entre un

art et une profession.

En recherche, la méthodologie est cette systématisation de l’étude, indépendamment du

sujet de l’étude lui-même. C’est ce qui permet d’obtenir des résultats qui ont une

scientificité démontrable, qui peuvent être reproduits ou vérifiés par des individus

extérieurs à l’étude.

Dans le domaine d’application qui nous intéresse dans ce livre, une méthodologie

d’analyse de risque informationnel propose une série d’activités et d’outils permettant

d’analyser le risque informationnel dans un contexte précis et à un moment précis.

En recherche scientifique différentes qualités sont requises d’une méthodologie, en

particulier:

• La crédibilité: Les résultats de l’analyse des données recueillies reflètent l’expérience des participants ou le contexte avec crédibilité.

• L’authenticité: La perspective émique (intérieure des participants) présentée dans les résultats de l’analyse démontre une conscience des différences subtiles d’opinion de tous les participants.

• L’intégrité: L’analyse reflète une validation de la validité répétitive et récursive associée à une présentation simple.

• Le réalisme: Des descriptions riches et respectant la réalité sont illustrées clairement et avec verve dans les résultats.

!

!1 6 1

Page 166: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Chapitre 7

• La créativité: Des méthodes d’organisation, de présentation et d’analyse des données créative sont incorporées à l’étude.

• L’exhaustivité: Les conclusions de l’étude couvrent l’ensemble des questions posées au départ de façon exhaustive.

• La congruence: Le processus et les résultats sont congruents, vont de pair les uns avec les autres et ne s’inscrivent pas dans un autre contexte que celui de la situation étudiée.

• La sensibilité: L’étude a été faite en tenant compte de la nature humaine et du contexte socioculturel de l’organisation étudiée.

Exprimé simplement, c’est important d’utiliser une méthodologie de qualité en analyse du

risque informationnel pour les raisons suivantes:

• Le processus doit être indépendant de ceux qui le réalisent• Les résultats de l’analyse doivent être représentatif de la réalité• Les résultats sont utilisés pour prendre des décisions.

La validité interne et externe

La validité interne fait référence à l’exactitude des résultats. Il y a validité interne lorsqu’il

y a concordance entre les données et leur interprétation. Une étude peut être considérée

pour sa validité interne, c’est-à-dire qu’elle est vraie pour la population à l’étude, c’est-à-

dire que les résultats de l’étude correspondent à ce qui a été étudié pour ces individus à ce

!

!1 6 2

Page 167: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Introduction à la gestion de risque informationnel

moment dans le temps. Sans contrôles formels et sans faire une étude approfondie, il est

impossible d’évaluer la validité internet de toutes les méthodologies à l’étude.

Quant à la validité externe, qui réfère à la généralisabilité des résultats (permets d’en tirer

des conclusions impartiales au sujet d’une population cible plus grande que l’ensemble

des sujets), cet aspect de la validité n’est important qu’en ce qui concerne une population

cible externe particulière, ce qui est moins critique pour les petites organisations compte

tenu de l’utilisation limitée, mais plus significative aux grandes organisations. Par

exemple, les résultats d’une analyse de risque menée avec sept participants dans une unité

d’affaires peuvent être généralisés à l’ensemble de l’organisation (la population cible étant

formée de toute l’organisation et ;la population disponible formée de sept individus). Ici

aussi, sans contrôles formels et sans faire une étude approfondie, il est impossible

d’évaluer la validité externe.

La mesure des variables

Un premier problème porte sur la mesure des variables que l’on cherche à étudier lors

d’une analyse de risque. La mesure est l’attribution de nombres à des objets, à des

événements ou à des individus selon des règles préétablies dans le but de déterminer la

valeur d’un attribut donné. En recherche, une variable est un concept auquel une mesure

peut être déterminée. Elle correspond à une qualité (p. ex. petit, grand) ou à un caractère

(p. ex. grandeur, âge) qui sont prêts à un élément (personnes, événements) faisant objet

d’une recherche et auquel une valeur est attribuée. Les variables sont reliées aux concepts

!

!1 6 3

Page 168: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Chapitre 7

théoriques au moyen de définitions opérationnelles servant à mesurer des concepts et

peuvent être classées de différentes façons selon les rôles qu’elles remplissent dans une

recherche. La mesure est l’attribution de nombres à des objets, à des événements ou à des

individus selon des règles préétablies dans le but de déterminer la valeur d’un attribut

donné.

Une partie du risque informationnel peut être mesuré objectivement sur la base de

données historique d’une organisation: le risque informationnel objectif. Cependant, peu

d’organisations disposent d’une quantité de données objectives fiables sur une période

suffisante pour les utiliser efficacement. Il est important de noter qu’il y a dans cette partie

du risque, une problématique de distribution des probabilités qui demande

éclaircissement. Si l’on peut assigner un risque potentiel sur la base de probabilités de

réalisation d’événements futurs, on assume que ces événements sont distribués

normalement lors d’un très grand nombre d’observations. Cet à priori est très discutable

sans une base de connaissances suffisante et un grand nombre d’observations.

Tout ce qui ne peut pas être mesuré objectivement doit l’être subjectivement. Ainsi, tout ce

qui n’est pas du risque objectif est dans le camp du risque informationnel subjectif. Toute

approche méthodologique cherchant à déterminer quelle est la situation d’une

organisation en matière de gestion de risque informationnel subjectif, doit intégrer des

façons d’identifier les attentes de l’organisation (valeurs et croyances) par les individus qui

la composent et par les documents disponibles, sorte d’artéfacts. D’un point de vue

méthodologique, une approche qualitative est plus à même de décrire le phénomène du

!

!1 6 4

Page 169: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Introduction à la gestion de risque informationnel

risque informationnel dans son contexte particulier compte tenu de l’état actuel des

connaissances et du niveau de maturité de la plupart des organisations face à cette

problématique. Les contrôles méthodologiques sont donc requis afin de s’assurer de la

congruence des résultats d’une analyse de risque avec la réalité de l’organisation étudiée.

Si l’on ne pouvait garantir la validité des résultats, on ouvre la porte à des critiques sur les

résultats et sur les recommandations éventuelles suite à une étude.

Les échelles de mesure

L’on distingue les mesures discrètes (des catégories) des mesures continues. La mesure

continue utilise des valeurs numériques selon des règles de mesure (quantité, longueur,

température). Elle permet de déterminer si une caractéristique est présente et, si oui, à

quel degré. Les échelles de mesure sont habituellement classées en quatre catégories, telles

que présentées ci-dessous par ordre croissant de précision et de complexité.

Les échelle nominales qui classe les objets dans de catégories. Dans ces échelles les

nombres sont sans valeur numérique. Lorsqu’une échelle nominale est utilisée, des tests

non paramétriques et des statistiques descriptives peuvent être utilisés. Par exemple: Sexe

masculin ou féminin, race, religion.

Les échelle ordinale permet de classer les objets par ordre de grandeur. Dans ces échelles,

les nombres indiquent des rangs et non des quantités. Les échelles ordinales permettent

l’utilisation de statistiques descriptives. Les échelles ordinales peuvent permettre

!

!1 6 5

Page 170: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Chapitre 7

l’utilisation statistique s’il existe un continuum sous-jacent d’intervalles, comme dans les

échelles de Likert. Par exemple: Niveaux d’exposition bas, moyen ou élevé.

Échelle à intervalles Les intervalles entre les nombres sont égaux. Les nombres peuvent

être additionnés ou soustraits. Les nombres ne sont pas absolus, car le zéro est arbitraire.

Permets un grand nombre d’opérations statistiques. Par exemple: La température mesurée

en degrés Celsius.

Échelle à proportions L’échelle a un zéro absolu. Les nombres représentent des quantités

réelles et il possible d’exécuter sur elles toutes les opérations mathématiques. Par exemple:

La température mesurée en degrés Kelvin, le poids, la taille, le revenu.

Il est critique de s’assurer qu’une rigueur scientifique est présente dans toute analyse de

risque. Certaines méthodes utilisent des données qualitatives auxquelles sont assignées

des valeurs numériques sur lesquelles une analyse statistique est effectuée. Si en plus ces

valeurs assignées sont utilisées dans des calculs mathématiques, c’est plutôt douteux. Le

passage d’une donnée qualitative à une donnée quantitative ne peut se faire sans qu’il soit

appuyé par un cadre rigoureux qui doit être vérifié rigoureusement. Sinon, quelle

signification donner aux résultats ? Quelle est leur précision ?

La majorité des méthodologies analysées utilisent des échelles ordinales et des échelles à

intervalles. Ce type d’échelle de mesure n’est pas approprié pour des opérations

mathématiques complexes, mais peut faire l’objet d’analyse statistique. Le problème est

que certaines de celles-ci effectuent des opérations mathématiques complexes qui ne sont

!

!1 6 6

Page 171: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Introduction à la gestion de risque informationnel

pas appropriées compte tenu de l’échelle de mesure. Certaines semblent disposer de

contrôles méthodologiques pour dominer la situation. Octave est le seul qui utilise une

échelle à proportion permettant une utilisation optimale des données.

L'échantillonnage

Il est essentiel de se questionner sur l’échantillonnage en analyse de risque. Si l’on

rencontre un nombre limité de membres d’une organisation pour obtenir des informations

permettant d’assigner des valeurs à des variables, il est essentiel que ces personnes

fournissent des réponses qui sont en mesure de fournir un portrait réel et complet de la

situation: l’échantillon doit être représentatif de la population qu’il représente. Toutes les

méthodologies ont un échantillon non probabiliste déterminé par choix raisonné. Ce qui

signifie que, dans chaque cas, les individus qui participent à l’étude sont choisis par les

individus qui font l’analyse de risque. Ainsi, de nombreux biais de sélections sont

introduits, en fonction de relations de pouvoir, de disponibilité, de priorités

organisationnelles et individuelles, etc. Ainsi, toutes les méthodologies semblent disposer

d’un échantillon sont on ne peut déterminer la représentativité. Il est donc incertain que

l’ensemble de la situation, tel qu’elle existe dans la réalité, ne puisse s’exprimer dans les

résultats de l’analyse de risque. De même, il n’y a aucun contrôle de la saturation afin de

s’assurer que tout ce qui est à dire sur la situation sous analyse soit dit par les individus

qui sont inclus dans l’échantillon.

!

!1 6 7

Page 172: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Chapitre 7

OCTAVE

L’acronyme OCTAVE signifie Operationally Critical Threat, Asset, and Vulnerability

Evaluation. Il s’agit d’une suite d’outils, de techniques et méthodes créés pour l’évaluation

des risques basée sur la sécurité de l’information stratégique et la planification.

Le cadre conceptuel qui a formé la base d’OCTAVE a été publié par le Software

Engineering Institute (SEI) de Carnegie Mellon University en 1999. Ces concepts ont été

formalisés dans les critères d’OCTAVE, publié en 2001. Le SEI a développé la méthode

OCTAVE dans le but d’appliquer le cadre conceptuel OCTAVE à des problématiques de

conformité de la sécurité du département américain de la Défense (DoD) et pour aider les

organisation à mettre en oeuvre la Health Insurance Portability and Accountability

Act (HIPPA),  une loi Américaine facilitant et régulant l’échange de données entre les

acteurs de la santé sur le territoire des États-Unis d’Amérique. La méthode OCTAVE fut

publiée en Septembre 2001. OCTAVE et sa version OCTAVE-S sont largement référencées

par la communauté internationale du domaine de la sécurité de l’information. Entre Juin

2003 et Juin 2005, la méthode OCTAVE a été téléchargé plus de 9 600 fois. Au cours de

cette même période, OCTAVE-S a été téléchargé plus de 4 700 fois. Les utilisateurs

potentiels incluent des entreprises privées (50%), des particuliers (15%), des établissements

universitaires (15%) et des organismes gouvernementaux (10%). En moyenne, le site Web

OCTAVE reçoit 5 000 visiteurs par mois.

Les méthodes OCTAVE

!

!1 6 8

Page 173: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Introduction à la gestion de risque informationnel

Il y a trois méthodes OCTAVE:

la méthode originale OCTAVE

Une version pour les petites organisations, OCTAVE-S

l’approche simplifiée OCTAVE-Allegro

Ces méthodes sont fondées sur les critères OCTAVE, une approche normalisée pour une

évaluation de la sécurité des informations axé sur le risque et les pratiques

exemplaires. Les critères OCTAVE établissent les principes fondamentaux et les attributs

de la gestion de risque qui sont utilisés par les méthodes OCTAVE.

L’approche OCTAVE est:

autogéré: des petites équipes de l’organisation, à travers les unités d’affaires et du

département de l’informatique, travaillent ensemble pour répondre aux besoins de

sécurité de l’organisation.

flexible: chaque méthode peut être adaptée à la culture et au niveau de maturité de

l’organisation.

évolué: propose une approche axé sur la gestion des risques pour améliorer la sécurité et

aborde la technologie dans un contexte d’affaires.

L’approche OCTAVE utilise une évaluation des risques fondée sur les actifs

informationnels. Le risque est examiné sur la base des vulnérabilités organisationnelles et

!

!1 6 9

Page 174: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Chapitre 7

technologiques qui menacent un groupe d’actifs critiques à la mission de l’organisation.

Elle aborde les questions suivantes:

Quels sont les actifs ayant besoin d’une protection ?

Quel est le niveau de protection nécessaire ?

Comment l’actif pourrait être compromis ?

Quel est l’impact si la protection échoue ?

Les 3 phases d’OCTAVE

Il y a plusieurs éléments clés qui doivent être liées au contexte de l’organisation pour

appliquer efficacement la méthodologie OCTAVE. La méthodologie peut nécessiter

l’adaptation des éléments clés pour un ajustement approprié:

Le catalogue des pratiques de sécurité utilisées pour évaluer le risque doit tenir compte

des pratiques de sécurité réglementaires et acceptée pour le domaine organisationnel.

La façon dont les informations sont recueillies pour l’évaluation des risques doit s’inscrire

dans le contexte organisationnel.

Les documents produits doivent être rédigés pour les décideurs de l’organisation en

utilisant le niveau de détail approprié et spécifique au contexte.

Les menaces considérées dans les étapes de l’analyse doivent être compatibles avec ceux

considérés comme pertinents pour l’organisation.

!

!1 7 0

Page 175: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Introduction à la gestion de risque informationnel

Les critères d’évaluation utilisés pour évaluer l’impact des risques sur l’organisation et de

hiérarchiser les risques doivent être fondés sur des mesures organisationnelles.

En outre, lors de l’application de la méthodologie OCTAVE dans une organisation, les

considérations suivantes sont essentielles pour intégrer le contexte organisationnel dans

l’approche OCTAVE:

L’équipe d’analyse devrait inclure des personnes familières avec l’organisation et

l’approche OCTAVE. Les ressources externes peuvent être la source la plus appropriée

OCTAVE si les ressources internes ne sont pas déjà formés. Cependant, adapter la

méthodologie nécessite la participation de ressources organisationnelles.

Les sources d’information inclus dans l’évaluation n’ont pas besoin d’être exhaustive, mais

ils doivent fournir un contexte relativement complet. Ils devraient représenter une

connaissance suffisante de l’organisation, les domaines spécifiques d’organisation retenus

pour l’analyse, et les actifs informationnels choisis pour l’analyse critique.

La gestion de la sécurité de l’information est un sous-ensemble des risques

organisationnels, et l’organisation peut bénéficier d’efforts coordonnés d’évaluation et de

gestion de risques.

Pour plus d’information:

• Site OCTAVE

• Formation OCTAVE

!

!1 7 1

Page 176: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Chapitre 7

MÉHARI

La méthode MÉHARI, la MÉthode Harmonisée d’Analyse du Risque Informatique, est

issue des travaux de Jean-Philippe Jouas et de Albert Harari, lorsqu’ils étaient à l’emploi

de Bull. À l’époque, Jean-Phillipe Jouas était Directeur de la sécurité du Groupe Bull et

Albert Harari était responsable des méthodes au sein de cette Direction. Leurs travaux

initiaux furent consolidés par la commission Méthodes du Clusif, le Club de la Sécurité

des Systèmes d’Information Français.

Albert Harari avait développé Melisa pour la DCN, la Direction des Constructions

Navales de la Délégation Générale pour l’Armement de la République Française. La

méthode Melisa proposait une certaine vision des risques, avec des paramètres

d’évaluation relativement simples et adaptés à la cible visée. Son utilisation dans un

contexte industriel et dans une société multinationale a conduit Jouas et Harari à faire

évoluer cette base pour définir un modèle du risque complet et une métrique associée. Les

résultats de ces travaux furent publiés en 1992. C’est en incorporant les bases de

connaissances de la méthode Marion, développés depuis 1984, aux travaux de Jouas et

Harari que s’est construit progressivement un ensemble d’outils de management de la

sécurité qui sont devenus MÉHARI.

!

!1 7 2

Page 177: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Introduction à la gestion de risque informationnel

MÉHARI est présenté comme une boîte à outils de laquelle les spécialistes pourront tirer,

en fonction des besoins et des circonstances, des solutions au problème de management de

la sécurité.

Les éléments de MÉHARI

L’ensemble méthodologique MÉHARI comprend des guides, des bases de connaissances

et des processus d’évaluation quantitatives :

Des guides :

• Guide de classification des ressources sensibles• Guide d’audit des services de sécurité• Guide d’analyse de risque• Guide d’élaboration d’objectifs de sécurité

Des bases de connaissances :

• Base des services de sécurité• Base d’audit des services de sécurité• Base de scénarios de risque• Base d’analyse des scénarios de risque en fonction des services de sécurité effectifs• Base d’analyse des scénarios de risque par évaluation directe des facteurs de

risque

Des processus d’évaluation quantitative :

!

!1 7 3

Page 178: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Chapitre 7

• Moteur d’évaluation de la qualité des services de sécurité• Moteur d’évaluation des facteurs de risque• Moteurs d’évaluation de la potentialité et de l’impact d’un scénario de risque• Moteur d’évaluation de la gravité d’un risque

Le guide d’analyse de risque de MÉHARI est destiné au Responsable de la Sécurité des

Systèmes d’Informations (RSSI), aux membres de son équipe et aux responsables

opérationnels qui peuvent être amenés à faire régulièrement de telles analyses.

Le guide traite les points suivants :

• Les objectifs et limites de l’analyse de risque• L’élaboration des référentiels servant de bases à la métrique de risque• Le choix des scénarios de risque adaptés au contexte et à l’entreprise

Les processus et les méthodes d’évaluations : approche analytique des facteurs de risque

par les services de sécurité et approche globale de ces facteurs.

Les acteurs et intervenants de l’analyse, expert et groupe de pilotage : rôles et modes de

travail.

La base des scénarios de risques de MÉHARI contient un ensemble de scénarios de risque

classés par familles de conséquences.

Pour chaque scénario sont décrits :

!

!1 7 4

Page 179: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Introduction à la gestion de risque informationnel

• Le type général de conséquence et le type de ressource atteinte par le scénario. La base standard actuelle comporte 12 familles de scénarios classés en fonction des conséquences et des types de ressource atteinte.

• Le type de vulnérabilité exploitée.• Le type d’acteur ou l’origine du scénario.• Une indication synthétique indiquant s’il s’agit d’une atteinte à la Disponibilité, à

l’Intégrité ou la Confidentialité de la ressource.• Une indication synthétique indiquant s’il s’agit d’un accident, d’une erreur ou

d’une malveillance.

Le schéma ci-dessus reprend l’ensemble des éléments de MÉHARI qui interviendront dans

une démarche complète d’élaboration de plans de sécurité. L’ensemble de la démarche est

structuré pour différencier les étapes fondamentales et structurantes qui seront franchies

lors de l’élaboration de plans au sein d’entités autonomes. Les premières ont pour objet

l’établissement d’un plan stratégique, les secondes celui de plans opérationnels.

Pour plus d’informations sur MÉHARI: http://www.clusif.asso.fr/fr/production/

mehari/

!

!1 7 5

Page 180: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Chapitre 7

EBIOS

Créée en 1995 par l’Agence nationale de la sécurité des systèmes d’information de France

(ANSSI) et régulièrement mise à jour, la méthode EBIOS (Expression des Besoins et

Identification des Objectifs de Sécurité) permet d’apprécier et de traiter les risques relatifs

à la sécurité des systèmes d’information. Elle permet aussi de communiquer à leur sujet au

sein de l’organisme et vis-à-vis de ses partenaires, constituant ainsi un outil complet de

gestion des risques informationnels. L’ANSSI et le Club EBIOS ont publiés en 2010 une

nouvelle version de la méthode EBIOS pour prendre en compte les retours d’expérience

reçus depuis la création de la méthode, les évolutions normatives et les changements

réglementaires. Selon ses créateurs, cette nouvelle version de la méthode, plus simple et

plus claire que la précédente, offre la possibilité d’élaborer et d’assurer le suivi d’un plan

d’actions relevant de la sécurité des systèmes d’information. Elle est assortie d’une base de

connaissances, le référentiel général de sécurité, enrichie d’exemples concrets permettant

d’élaborer des scénarios de risque pertinents.

La méthode EBIOS permet d’apprécier et de traiter les risques. Elle fournit également tous

les éléments nécessaires à la communication au sein de l’organisme et vis-à-vis de ses

partenaires, ainsi qu’à la validation du traitement des risques. Elle constitue de ce fait un

outil complet de gestion des risques.

!

!1 7 6

Page 181: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Introduction à la gestion de risque informationnel

L’établissement du contexte

Un contexte bien défini permet de gérer les risques de manière parfaitement appropriée, et

ainsi de réduire les coûts à ce qui est nécessaire et suffisant au regard de la réalité du sujet

étudié.

Pour ce faire, il est essentiel d’appréhender les éléments à prendre en compte dans la

réflexion :

• le cadre mis en place pour gérer les risques ;• les critères à prendre en considération (comment estimer, évaluer et valider le

traitement des risques) ;• la description du périmètre de l’étude et de son environnement (contexte externe

et interne, contraintes, recensement des biens et de leurs interactions…).

La méthode EBIOS permet d’aborder tous ces points selon le degré de connaissance que

l’on a du sujet étudié. Il sera ensuite possible de l’enrichir, de l’affiner et de l’améliorer à

mesure que la connaissance du sujet s’améliore.

L’appréciation des risques

Selon EBIOS, il y a risque de sécurité de l’information dès lors qu’on a conjointement :

• une source de menace• une menace• une vulnérabilité

!

!1 7 7

Page 182: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Chapitre 7

• un impact.

On peut ainsi comprendre qu’il n’y a plus de risque si l’un de ces facteurs manque. Or, il

est extrêmement difficile, voire dangereux, d’affirmer avec certitude qu’un des facteurs est

absent. Par ailleurs, chacun des facteurs peut contribuer à de nombreux risques différents,

qui peuvent eux- mêmes s’enchaîner et se combiner en scénarios plus complexes, mais

tout autant réalistes.

On va donc étudier chacun de ces facteurs, de la manière la plus large possible. On pourra

alors mettre en évidence les facteurs importants, comprendre comment ils peuvent se

combiner, estimer et évaluer (hiérarchiser) les risques. Le principal enjeu reste, par

conséquent, de réussir à obtenir les informations nécessaires qui puissent être considérées

comme fiables. C’est la raison pour laquelle il est extrêmement important de veiller à ce

que ces informations soient obtenues de manière à limiter les biais et à ce que la démarche

soit reproductible.

Pour ce faire, la méthode EBIOS se focalise tout d’abord sur les événements redoutés

(sources de menaces, besoins de sécurité et impacts engendrés en cas de non respect de ces

besoins), puis sur les différents scénarios de menaces qui peuvent les provoquer (sources

de menaces, menaces et vulnérabilités). Les risques peuvent alors être identifiés en

combinant les événements redoutés et les scénarios de menaces, puis estimés et évalués

afin d’obtenir une liste hiérarchisée selon leur importance.

!

!1 7 8

Page 183: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Introduction à la gestion de risque informationnel

Le traitement des risques

Les risques appréciés permettent de prendre des décisions objectives en vue de les

maintenir à un niveau acceptable, compte-tenu des spécificités du contexte.

Pour ce faire, EBIOS permet de choisir le traitement des risques appréciés au travers des

objectifs de sécurité : il est ainsi possible, pour tout ou partie de chaque risque, de le

réduire, de le transférer (partage des pertes), de l’éviter (se mettre en situation où le risque

n’existe pas) ou de le prendre (sans rien faire). Des mesures de sécurité peuvent alors être

proposées et négociées afin de satisfaire ces objectifs.

La validation du traitement des risques

La manière dont les risques ont été gérés et les risques résiduels subsistants à l’issue du

traitement doivent être validés, si possible formellement, par une autorité responsable du

périmètre de l’étude. Cette validation, généralement appelé homologation de sécurité, se

fait sur la base d’un dossier dont les éléments sont issus de l’étude réalisée.

La communication et la concertation relatives aux risques

Obtenir des informations pertinentes, présenter des résultats, faire prendre des décisions,

valider les choix effectués, sensibiliser aux risques et aux mesures de sécurité à appliquer,

!

!1 7 9

Page 184: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Chapitre 7

correspondent à des activités de communication qui sont réalisées auparavant, pendant et

après l’étude des risques.

Ce processus de communication et concertation relatives aux risques est un facteur crucial

de la réussite de la gestion des risques. Si celle-ci est bien menée, et ce, de manière adaptée

à la culture de l’organisme, elle contribue à l’implication, à la responsabilisation et à la

sensibilisation des acteurs. Elle crée en outre une synergie autour de la sécurité de

l’information, ce qui favorise grandement le développement d’une véritable culture de

sécurité et du risque au sein de l’organisme.

L’implication des acteurs dans le processus de gestion des risques est nécessaire pour

définir le contexte de manière appropriée, s’assurer de la bonne compréhension et prise en

compte des intérêts des acteurs, rassembler différents domaines d’expertise pour identifier

et analyser les risques, s’assurer de la bonne prise en compte des différents points de vue

dans l’évaluation des risques, faciliter l’identification appropriée des risques, l’application

et la prise en charge sécurisée d’un plan de traitement.

EBIOS propose ainsi des actions de communication à réaliser dans chaque activité de la

démarche.

!

!1 8 0

Page 185: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Introduction à la gestion de risque informationnel

La surveillance et la revue des risques

Le cadre mis en place pour gérer les risques, ainsi que les résultats obtenus, doivent être

pertinents et tenus à jour afin de prendre en compte les évolutions du contexte et les

améliorations précédemment identifiées.

Pour ce faire, la méthode EBIOS prévoit les principaux éléments à surveiller lors de la

réalisation de chaque activité et lors de toute évolution du contexte afin de garantir de

bons résultats et de les améliorer en continu.

Une démarche itérative en cinq modules

La méthode formalise une démarche de gestion des risques découpée en cinq modules

représentés sur la figure suivante :

La démarche est dite itérative. En effet, il sera fait plusieurs fois appel à chaque module

afin d’en améliorer progressivement le contenu, et la démarche globale sera également

affinée et tenue à jour de manière continue.

Module 1 – Étude du contexte

À l’issue du premier module, qui s’inscrit dans l’établissement du contexte, le cadre de la

gestion des risques, les métriques et le périmètre de l’étude sont parfaitement connus ; les

!

!1 8 1

Page 186: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Chapitre 7

biens essentiels, les biens supports sur lesquels ils reposent et les paramètres à prendre en

compte dans le traitement des risques sont identifiés.

Module 2 – Étude des événements redoutés

Le second module contribue à l’appréciation des risques. Il permet d’identifier et d’estimer

les besoins de sécurité des biens essentiels (en termes de disponibilité, d’intégrité, de

confidentialité…), ainsi que tous les impacts (sur les missions, sur la sécurité des

personnes, financiers, juridiques, sur l’image, sur l’environnement, sur les tiers et autres…)

en cas de non respect de ces besoins et les sources de menaces (humaines,

environnementales, internes, externes, accidentelles, délibérées…) susceptibles d’en être à

l’origine, ce qui permet de formuler les événements redoutés.

Module 3 – Étude des scénarios de menaces

Le troisième module s’inscrit aussi dans le cadre de l’appréciation des risques. Il consiste à

identifier et estimer les scénarios qui peuvent engendrer les événements redoutés, et ainsi

composer des risques. Pour ce faire, sont étudiées les menaces que les sources de menaces

peuvent générer et les vulnérabilités exploitables.

!

!1 8 2

Page 187: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Introduction à la gestion de risque informationnel

Module 4 – Étude des risques

Le quatrième module met en évidence les risques pesant sur l’organisme en confrontant

les événements redoutés aux scénarios de menaces. Il décrit également comment estimer et

évaluer ces risques, et enfin comment identifier les objectifs de sécurité qu’il faudra

atteindre pour les traiter.

Module 5 – Étude des mesures de sécurité

Le cinquième et dernier module s’inscrit dans le cadre du traitement des risques. Il

explique comment spécifier les mesures de sécurité à mettre en œuvre, comment planifier

la mise en œuvre de ces mesures et comment valider le traitement des risques et les

risques résiduels.

!

!1 8 3

Page 188: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Chapitre 7

Questions de révision

1) Qui a créé la méthodologie Octave ?

A. le Software Engineering Institute (SEI) de Carnegie Mellon University

B. Jean-Philippe Jouas, Albert Harari et la commission Méthodes du Clusif, le Club

de la Sécurité des Systèmes d’Information Français.

C. l’Agence nationale de la sécurité des systèmes d’information de France (ANSSI)

et le club EBIOS

2) Quels sont les cinq modules d’ÉBIOS, dans l’ordre:

1. Étude du contexte2. Étude des événements redoutés3. Étude des mesures de sécurité4. Étude des risques5. Étude des scénarios de menaces

!

!1 8 4

Page 189: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Introduction à la gestion de risque informationnel

3)  Apparier le bon terme avec la description qui lui convient le mieux:

A. Authenticité

B. Congruence

C. Créativité

D. Crédibilité

E. Criticité

F. Intégrité

G. Exhaustivité

H. Explicité

I. Sensibilité

1.__________: Les résultats de l’analyse des données recueillies reflètent l’expérience des participants ou le contexte avec crédibilité.2.__________: La perspective émique (intérieure des participants) présentée dans les résultats de l’analyse démontre une conscience des différences subtiles d’opinion de tous les participants.3.__________: Le processus d’analyse des données recueillies et des résultats montre des signes d’évaluation du niveau de criticité.4.__________: L’analyse reflète une validation de la validité répétitive et récursive associée à une présentation simple.5.__________: Les décisions et interprétations méthodologiques de même que les positions particulières de ceux qui réalisent l’étude (l’enquêteur) sont considérées.6.__________: Des descriptions riches et respectant la réalité sont illustrées clairement et avec verve dans les résultats.7.__________: Des méthodes d’organisation, de présentation et d’analyse des données créative sont incorporées à l’étude.

!

!1 8 5

Page 190: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Chapitre 7

8.__________: Les conclusions de l’étude couvrent l’ensemble des questions posées au départ de façon exhaustive.9.__________: Le processus et les résultats sont congruents, vont de pair les uns avec les autres et ne s’inscrivent pas dans un autre contexte que celui de la situation étudiée.10.__________: L’étude a été faite en tenant compte de la nature humaine et du contexte socioculturel de l’organisation étudiée.

4) Apparier le type d’échelle de mesure avec la mesure:

• A. Échelle à intervales

• B. Échelle nominale

• C. Échelle ordinale

• D. Échelle ordinale avec continuum sous-jacent

• E. Échelle à proportions

1. la grandeur d’un enfant mesurée en centimètres

2. la température mesurés en degrés Kelvin

3. la température mesurés en degrés Celsius

4. la couleur des cheveux des étudiants dans la classe

!

!1 8 6

Page 191: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Introduction à la gestion de risque informationnel

5. le niveau de scolarité des étudiants du secondaire qui appliquent dans un

programme collégial

6. les échelles à curseur utilisés dans l’approche par scénarios CIGALE

7. le niveau de confidentialité d’un actif informationnel mesuré avec des chifres de 1 à

4

8. le niveau de disponibilité d’un actif informationnel mesuré avec les valeurs bas,

moyen, élevé et critique

9. votre appréciation de ce cours sur une échelle de 1 à 10 ou 1 signifie très faible et 10

signifie très élevée

!

!1 8 7

Page 192: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Chapitre 7

5) Apparier le bon terme à la définition la plus appropriée:

• Mesure

• Méthodologie

• Validité interne

• Validité externe

• Variable

1. __________: Permet d’établir une suite d’actions à effectuer, de questions à se poser,

de choix à faire, qui permet de mener de manière plus efficace une étude ou la résolution

d’un problème.

2. __________: L’attribution de nombres à des objets, à des événements ou à des

individus selon des règles préétablies dans le but de déterminer la valeur d’un attribut

donné.

3. __________: Un concept auquel une mesure peut être déterminée.

4. __________: Les résultats de l’étude correspondent à ce qui a été étudié pour ces

individus à ce moment dans le temps.

__________: Une science de la méthode, une méta méthode, une méthode des méthodes,

une sorte de coffre à outils.

!

!1 8 8

Page 193: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Introduction à la gestion de risque informationnel

6) Selon EBIOS, il y a risque de sécurité de l’information dès lors qu’on a conjointement :

A) une source de menace, une vulnérabilité et un impact

B) une menace, une vulnérabilité et un impact

une vulnérabilité et un impact

D) une source de menace, une menace, une vulnérabilité et un impact

!

!1 8 9

Page 194: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses
Page 195: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Introduction à la gestion de risque informationnel

Chapitre 8: Le processus IPM

Tel que mentionné aux chapitres 1 et 2 , la gestion du risque est accomplie par un

processus IPM. L’identification (I) et la priorisation (P) sont des processus d’analyse de

risque. La troisième phase, la mobilisation, est la mise en oeuvre des décisions des phases

d’identification (I) et de priorisation (P). Les premières actions à prendre sont dans la

phase d'identification (I). Ces tâches sont réalisées lors de l’analyse de risque. Dans ce

chapitre nous présentons une méthodologies d’analyse de risque informationnel par

scénarios qui fut développée dans le cadre d’un projet de recherche réalisé à la Faculté de

Médecine et des sciences de la santé de l’Université de Sherbrooke entre 2005 et 2011. La

méthodologie est utilisée pour l’analyse de risque informationnel dans des organisations

publiques du secteur de la santé. Cette méthodologie est principalement utilisée à des fins

d’enseignement dans le cadre de la formation de gestionnaires de risque informationnels.

Comme pour tout processus d’analyse de risque, le principal bénéfice organisationnel de

son utilisation dans un autre contexte que celui pour laquelle elle fut produite provient de

l’amélioration de la maturité organisationnelle résultant de l’introspection et de la

réflexion sur le risque.

!

!1 9 0

Page 196: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Chapitre 8

Avant de débuter l’analyse

Avant de débuter l’analyse de risque, il est nécessaire d’identifier l’analyste qui sera

responsable de réaliser l’étude. L’analyse sera le responsable d’accomplir l’étude, de créer

les documents, de communiquer avec les participants et de faire la gestion de projet. Ainsi,

l’analyse de risque est gérée comme un projet en utilisant des techniques de gestion de

projet, qui ne sont pas abordées dans ce livre.

Par la suite, l’analyste pourra débuter par l’identification de l’organisation et la définition

des objectifs en matière de sécurité de l’information. Cela est réalisé par les étapes

suivantes:

1. Inventaire des actifs informationnels: Avant de débuter, il est nécessaire

d’effectuer un inventaire du patrimoine informationnel de l’organisation. Cette

étape n’est pas intégré dans la méthode comme telle parce que de nombreuses

organisations réalisent cet inventaire dans d’autres processus, par exemple à

des fins de gestion de l’information ou des systèmes d’informations. Il s’agit

donc de faire une liste des actifs informationnels individuels (donnée,

processus, système d’information, autres) qui sont utilisés par l’organisations.

2. Catégorisation des actifs informationnels: Les actifs informationnels doivent

faire l’objet d’une catégorisation, ce qui n’est pas défini dans ce livre. Un

exemple de catégorisation dans le domaine de la santé est disponible en ligne

dans un document du MSSS , disponible sur leur site internet. La catégorisation

!

!1 9 1

Page 197: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Introduction à la gestion de risque informationnel

devrait se faire en utilisant  une échelle de mesure approprié en fonction des

objectifs de sécurité de l’organisation. Au minimum, il est recommandé de

définir l’actif informationnel en fonction de ses attributs de disponibilité,

d’intégrité et de confidentialité (DIC) en utilisant une échelle ordinale nominale

(par exemple: bas, moyen, élevé).

3. Mise en place du comité de gouvernance du risque:  Afin de réussir la

définition des objectifs, l’analyse de risque et éventuellement la mise en oeuvre

de son plan d’action pour gérer efficacement le risque, une organisation doit

mettre en place un comité de gouvernance du risque. Ce comité de gestion aura

pour principale taches de suivre l’évolution du risque et de s’assurer de la mise

en oeuvre des mesures de mitigation du risque, qui sera effectué par le comité

de projet. L’encadré de la page suivante propose un exemple de la composition

d’un comité de gouvernance.

4. Mise en place du comité de projet: Une fois l’analyse de risque complété, afin

de réussir la mise en oeuvre des mesures de mitigation du risque et des actions

connexes, l’organisation devra mettre en place un comité de projet. Les

membres du comité de projet peuvent être les mêmes que le comité de

gouvernance de projets avec l’ajout d’un chef de projet d’expérience et de

personnel informatique formé sur les mesures de mitigation retenues.

5. Création et approbation du plan de projet: Afin de mener à bien l’élaboration

d’un plan directeur en matière de gestion du risque informationnel (GRI),

!

!1 9 2

Page 198: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Chapitre 8

l’organisation devrait gérer cet exercice comme un projet. De cette façon, il est

possible de mettre à profit l’expertise et les techniques de gestion de projet afin

de maximiser les chances de succès.

Une fois ces premières étapes complétées, la phase d’identification et d’évaluation des

scénarios de risque peut débuter.

Phase 1: identification et évaluation des scénarios de risque

Dans la phase d’identification et d’évaluation des scénarios de risque, il est d’abord

nécessaire de documenter l’organisation et ses objectifs de sécurité. Cela peut être réalisé

par les étapes suivantes:

6. Identification de l’organisation: Lors de cette étape, l’objectif est de

documenter l’organisation dans laquelle l’analyse de risque est réalisée, sa

structure, sa culture, ses objectifs et les individus clef en relation aux actifs

informationnels qui seront inclus dans l’analyse de risque.

7. Détermination des cadre de gestion: Cette étape consiste à identifier les cadres

de gestions de risque informationnel, normalisés et autres, que l’organisation

souhaite utiliser pour la gestion de son patrimoine informationnels. Lors de

cette étape, l’utilisation des cadres de gestions normalisés, tel que ISO 27002, est

recommandé.

!

!1 9 3

Page 199: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Introduction à la gestion de risque informationnel

8. État de la situation actuelle: Cette étape consiste à identifier, en relation aux

mesures de mitigation du risque associé à chacun des cadre de gestions

normalisés que l’organisation souhaite mettre en place ou qui sont déjà en

place, l’état (en place ou proposé), le coût (argent et en ressources humaines ou

en effort, mesure en équivalent d’un individu travaillant à temps plein), les

contrôles de gestions qui permette de s’assurer de l’efficacité de la mesure de

mitigation du risque et de faire des vérifications (audits) et de l’efficacité

présumée de la mesure. Il est aussi possible de joindre des notes sur la mesure

de mitigation du risque ou sur sa mise en oeuvre, ainsi que d’attacher des

pièces jointes, tels des diagrammes de réseau, des documents PDF ou d’autres

documents utilise pour la compréhension des utilisateurs, des gestionnaires ou,

éventuellement, des vérificateurs.

9. Création du catalogue de mesures de mitigation du risque: Le catalogue de

mesures de mitigation du risque est une liste, ou un répertoire, des mesures de

mitigation de risque qui sont susceptible de correspondre aux différents risques

informationnels et aux cadre de gestions qui ont été incorporés dans une étude.

Cette liste devrait être créé et maintenue par des experts en gestion de risque

informationnel. Dans une grande organisation, tel que le MSSS ou une ASSS,

une liste régionale ou nationale devrait être envisagé.

Par la suite, il est possible d’identifier ou concevoir les scénarios à envisager dans l’analyse

de risque. Cela débute par la création des scénarios avec la collaboration des individus

!

!1 9 4

Page 200: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Chapitre 8

concernés par l’élément à risque qui fait l’objet de l’étude. Cela peut être réalisé sous la

responsabilité de l’analyste par les étapes suivantes:

10. Focus group ou brainstorming: l’une ou l’autre de deux techniques de collecte

de données sont proposées pour obtenir les données brutes nécessaires pour

l’analyse de risque: le focus group ou le brainstorming (vf.: remue-méninges).

Ces techniques de collecte de données sont susceptible de permettre

l’identification initiale des scénarios qui seront utilisés dans la suite de l’analyse

de risque. L’analyste devra préparer du matériel pour initier les discussions lors

des rencontres, s’assurer de prévoir des méthodes de collecte des données et

planifier la disponibilité de locaux appropriés pour les rencontres.

11. Identifier les participants: il est proposé d’inclure de 4 à 7 personnes.

le principal responsable du patrimoine informationnel de l’organisation, des actifs informationnels ou de l’élément à risque qui fait l’objet de l’analyse de risque,un représentant du groupe responsable de la gestion des ressources financières,un représentant du groupe responsable du service des ressources humaines,un représentant du groupe responsable des principales lignes d’affaires de l’organisation (un représentant par ligne d’affaires est souhaitable),selon la culture de l’organisation, d’autres individus peuvent êtres ajoutés (informatique, sécurité physique, santé et sécurité au travail, etc.).

!

!1 9 5

Page 201: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Introduction à la gestion de risque informationnel

12. Expliquer le processus aux participants: dans le cadre d’une rencontre de

groupe, il est nécessaire d’expliquer aux participant les principales étapes du

processus d’analyse de risque, les objectifs de l’analyse en cours et l’échéancier

proposé.

13. Identification des objectifs de sécurité avec les participants: lors de la

rencontre initiale de collecte de données pour la création des scénarios, il est

nécessaire d’identifier les objectifs de l’organisation en matière de sécurité de

l’information. Ces objectifs sont exprimés via les besoins en matière de

confidentialité, intégrité, disponibilité. etc. L’analyste pourra utiliser une liste de

menaces ou les résultats de l’analyse de vulnérabilités pour favoriser la

discussion et l’émergence de scénarios lors des focus group.

14. Identification de l’appétence au risque: Il est nécessaire d’identifier

l’appétence au risque de l’organisation pour ajuster les dommages et l’utilité

pour obtenir l’Utilité espérée telle que perçue par l’organisation. L’échelle à

curseur peut être utilisée pour évaluer l’appétence au risque. La valeur neutre

est 1, une valeur de plus de 1 est utilisé pour indiquer l’aversion au risque, en

augmentant l’Utilité espérée de l’élément à risque. une valeur entre 0,01 et 0,99

représente une propension au risque, par une diminution de l’Utilité espérée.

!

!1 9 6

Page 202: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Chapitre 8

!

15. Identification de trente (30) scénarios: il s’agit d’identifier les scénarios de

risque de façon sommaire. Le scénario de risque Ζn(A,ψ,δ), ou n est un nombre

entier séquentiel, incluent une description sommaire de l’aléa (A) et des

événements ou séquences d’événements, des actions, des décisions et des

facteurs connexes qui ont rendu possible l’exploitation d’une vulnérabilité

(ψ) dont le résultat est un dommage (δ). Ces description sommaires sont

enrichies lors de la prochaine étape.

Une fois les trente scénarios identifiées et décrits sommairement lors de la rencontre avec

les participants, l’analyse devra effectuer un travail d’analyse et de documentation des

scénarios. À cette fin, il est proposé d’utiliser le formulaire de documentation des scénarios

de risque informationnel ou l’outil disponible en ligne.

16. Analyse et de documentation des scénarios: l’objectif de ce travail d’analyse et

de documentation et d’amener un plus grand niveau de détail.

!

!1 9 7

Page 203: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Introduction à la gestion de risque informationnel

À cette fin, il est proposé d’utiliser le formulaire disponible à la fin de cette section de ce

chapitre. Le formulaire est aussi disponible sur interNet. Les informations minimales

nécessaires sont décrites ci-dessous:

• Nom du scénario: un nom qui décrit le scénario. Par exemple, un scénario de risque portant sur le vol d’identité d’un client de l’organisation pourrait se nommer vol d’identité.

• Nom de l’organisme: le nom de l’organisation pour laquelle le scénario est créé.• Date de création du scénario: la date de création du scénario.• Ayants cause: les individus impliqués dans le scénario, qui devraient inclure les

propriétaires des actifs informationnels en cause et ceux qui sont impliqués dans les processus d’affaires reliés aux actifs.

• Description du scénario de risque ou de l’aléa: description détaillée de l’aléa (A) et des événements ou séquences d’événements, des actions, des décisions et des facteurs connexes qui ont rendu possible l’exploitation d’une vulnérabilité (ψ) dont le résultat est un dommage (δ). Il s’agit de décrire avec plus de détails ce qui sera développé avec les participants lors de l’étape précédente.

• Vulnérabilité: description de la vulnérabilité, faille ou faiblesse qui rend ce scénario possible.

• Données historiques: documentation des données historiques disponibles sur des situations similaire à ce qui est décrit dans le scénario et des sources de ces données, par exemple un registre des incidents ou des rapports de support à la clientèle.

• Cible de ce scénario: disponibilité, intégrité, continuité, autre.• Impacts de la réalisation du scénario: descriptions des impacts et des dommages

qui résulteraient de la réalisation de l’aléa qui est décru dans le scénario.

!

!1 9 8

Page 204: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Chapitre 8

• Mesures de mitigation en place ou envisagées: description des mesures de mitigation du risque qui sont envisagées.

• Contrôles de gestion en place ou proposés: description des contrôles de gestion en place ou proposés.

• Historique des modifications du scénario: suivi des changements fait au document décrivant le scénario.

Il est probable, une fois les scénarios détaillés, que les similitudes entre certain des

scénarios permettre d’en réduire le nombre en combinat les scénarios similaires. En

général, il est fréquent de réduire de 30 à 25 scénarios par la combinaison de scénarios

similaires. Ensuite, l’analyse devra rencontrer les participants individuellement afin de

valider les scénarios détaillés. Il pour être nécessaire d’y faire des ajustements selon les

commentaires des participants.

17. Rencontres individuelles: lors des rencontres l’analyse devra aussi évaluer,

avec les participants, la probabilité de la réalisation d’un scénario. Pour cela, il

utilisera des échelles à curseur pour évaluer les dommages et la probabilité de

réalisation des scénarios. Les échelles à curseur sont imprimées et distribuées

aux participant.

Pour faire la lecture des résultats, il est suggéré de les imprimer pour que la longueur soit

de 25cm, le curseur est positionné par les participants. Le résultat est la mesure en cm

multipliée par 4, pour un maximum de 100, qui corresponds à 100% ou 1. Par exemple, un

curseur à 10cm = 40% ou 0,40.

!

!1 9 9

Page 205: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Introduction à la gestion de risque informationnel

L’évaluation de la probabilité de réalisation des scénarios peut aussi se faire lors d’une

rencontre de groupe. Dans ce cas, la valeur utilisé devra résulter du consensus des

participants à la rencontre. Il est aussi possible d’utiliser un tableau blanc ou un autre

moyen avec les participants. L’essentiel est de laisser les participant indiquer le niveau

estimé en fonction de l’élément évalué, sur une ligne continue entre la plus bas et le plus

élevé.

!

L’échelle à curseur présentée est utilisé pour l’évaluation de la probabilité de réalisation du

scénario présenté.  Les valeurs attribué à cette variable sont entre 0,01 et 0,99, soit entre 1%

(faible) et 99% (forte). La valeur centrale, neutre ou moyenne est situé au centre de l’échelle

de mesure qui représente 0,5, ou 50%.

Une fois la probabilité de réalisation estimée, il est ensuite possible d’évaluer l’impact de la

réalisation du scénario. Si des sources de données probantes ou historiques sont

disponibles, ce sont ces données qui devraient être privilégiés. Autrement, l’échelle à

!

!2 0 0

Page 206: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Chapitre 8

curseur peut être utilisée. L’échelle à curseur présentée est utilisé pour l’évaluation de

l’impact du scénario présenté. Les valeurs attribué à cette variable sont entre 0,01 et 0,99,

soit entre 1% (faible) et 99% (forte). La valeur centrale, neutre ou moyenne est situé au

centre de l’échelle de mesure qui représente 0,5, ou 50%.

!

Finalement, le niveau de résilience individuelle ou organisationnelle vis à vis du scénario

proposé peut être évalué.

!

!2 0 1

Page 207: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Introduction à la gestion de risque informationnel

!

Ici encore, l’échelle à curseur peut être utilisée. L’échelle à curseur présentée est utilisé

pour l’évaluation de l’impact du scénario présenté. Les valeurs attribué à cette variable

sont entre 0,01 et 0,99, soit entre 1% (faible) et 99% (forte). La valeur centrale, neutre ou

moyenne est situé au centre de l’échelle de mesure qui représente 0,5, ou 50%.

18. Analyse des résultats: une fois les données obtenues des participants lors des

rencontres individuelles, il est possible d’analyser les résultats afin d’identifier

s’il y a des corrélations. Dans le cas de divergences majeures, les résultats sont

présentés aux participants lors d’une rencontre de projet.

Un exemple de l’application de ces calculs avec un scénario hypothétique est présenté ici.

!

!2 0 2

Page 208: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Chapitre 8

!

L’estimation du risque informationnel est réalisé en utilisant les données obtenue lors de la

validation des scénarios de risque. L’objectif est de créer un indice qui permet de comparer

les différents risques qui composent l’ensemble du risque évalué. Idéalement, cet indice

peut s’exprimer en argent, dans le cas ou l’utilité attendue peut être évalué en valeurs

monétaires, mais ce n’est pas une nécessité.

Les données suivantes sont utilisées:

• L’utilité d’une élément à risque y (μ(y)): peut être exprimé en valeur monétaire si c’est possible de l’estimer ou par une valeur relative sur une échelle de 0 à 100 obtenue par l’utilisation du curseur.

• La probabilité de réalisation de l’aléa x (Pb(x)): exprimé par une valeur relative sur une échelle de 0 à 1. Une probabilité de 1 est égale à 100%. La valeur est obtenue par l’utilisation du curseur.

!

!2 0 3

Page 209: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Introduction à la gestion de risque informationnel

• La somme de la probabilité des dix scénarios retenus, sr, ce qui permet de ramener la somme des scénarios = 1 (ΣPb(sr))

• La vulnérabilité de l’élément à risque E à l’aléa x (ψ(E,x)): exprimé par une valeur relative sur une échelle de 0 ou 1. La valeur de 1 signifie que l’élément à risque est vulnérable et de 0, s’il ne l’est pas

• Les dommages, l’impact ou la réduction de l’Utilité espérée de l’élément à risque y par l’aléa x (δ(x)): peut être exprimé en valeur monétaire si c’est possible de l’estimer ou par une valeur relative sur une échelle de 0 à 1 obtenue par l’utilisation du curseur.

• Les mesures de mitigation en place: il est nécessaire d’identifier les mesures de mitigation en place lors des rencontres dans l’organisation ou en obtenant l’information des responsables des TI. 

• Les mesures de mitigation envisagées: les mesures de mitigation envisagées peuvent être identifiées lors des rencontres dans l’organisation et avec les responsables des TI. En plus, des mesures de mitigation envisagées peuvent provenir de recommandations de professionnels de la sécurité de l’information, de consultants, de recherches, de cadres de gestion, de normes ou de d’autres sources.

• La résilience de l’organisation étudiée o à l’aléa x θ(o,x): exprimé par une valeur relative sur une échelle de 0 à 1. Une résilience de 1 est égale à 100%. La valeur est obtenue par l’utilisation du curseur lors des rencontres individuelles ou de groupe.

• L’appétence de l’organisation (α(o)): exprimé par une valeur relative sur une échelle de 0 à 1.5. Elle est cependant mesurée avec l’échelle à curseur de 0 à 1, ce qui oblige à un ajustement (de +0.5) Une appétence de 1 représente la neutralité face au risque. Une organisation qui veut prendre des risques (risk seeking) aura une valeur ajustée entre 0 et 1. Une organisation qui a une aversion au risque (risk

!

!2 0 4

Page 210: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Chapitre 8

averse) aura une valeur entre 1 et 1.5. Une valeur de 1.5 signifie une grande aversion au risque par l’augmentation de la valeur perçue (utilité espérée) ou de la participation aux objectifs informationnels de l’actif informationnel (l’utilité). La valeur est obtenue par l’utilisation du curseur lors de la rencontre initiale.

Le calcul de risque utilise la formule suivante:

!

• α(o): appétence de l’organisation étudiée o• ψ(E,x): vulnérabilité de l’élément à risque E à l’aléa x, avec des valeurs possibles

de 1, si l’élément à risque est vulnérable et de 0, s’il ne l’est pas• δ(x): dommage, ou réduction de l’Utilité espérée de l’élément à risque y par l’aléa

x• θ(o,x): résilience de l’organisation étudiée o à l’aléa x• μ(y): utilité d’une élément à risque y• Pb(x): probabilité de réalisation de l’aléa x• ΣPb(sr): somme de la probabilité des dix scénarios retenus, sr, ce qui permet de

ramener la somme des scénarios = 1

!

!2 0 5

Page 211: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Introduction à la gestion de risque informationnel

L’exemple présenté précédemment est explicité ici:

!

!

!2 0 6

Page 212: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Chapitre 8

19. Compilation des résultats: Ensuite, il est nécessaire de compiler les résultats

dans un tableau ou, mieux encore, dans un chiffrier (Excel). Les résultats de

toutes les rencontres sont présentés aux participants dans le cadre d’une

rencontre de projet.

Scéna

rio

Utilité Appét

ence

Dom

mages

Pb

réalisa

tion

Résili

ence

Indice de

Risque

Z001 100000 0.52 0.43 0.31 0.25 23 853.68

Z002 100000 0.52 0.8 0.25 0.25 35 789.47

Z003 100000 0.52 0.5 0.01 0.8 279.61

Z004 100000 0.52 0.9 0.01 0.3 1 342.11

Z005 100000 0.52 0.5 0.5 0.2 55 921.05

Z006 100000 0.52 0.3 0.1 0.3 4 473.68

Z007 100000 0.52 0.9 0.1 0.5 8 052.63

Z008 100000 0.52 0.5 0.8 0.3 59 649.12

Z009 100000 0.52 0.2 0.1 0.5 1 789.47

Z010 100000 0.52 0.1 0.1 0.8 559.21

Total Pb: Total:

!

!2 0 7

Page 213: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Introduction à la gestion de risque informationnel

Dans la phase de mobilisation les actions retenues après l’application des stratégies

décisionnelles seront mises en oeuvre, généralement sous la forme de projets, en tenant

compte des aspects reliés à la gestion du changement dont nous avons discutés

précédemment. 

Scén

ario

Indice

de

risque

Mesu

res de

mitig

ation

Réduction

des

dommages

Réduction

de la Pb

de

réalisation

Risque

mitigé

Risque

résiduel

Z001 23 853.68 20,000 $ 0.9 0.9 19 321.48 4 532.20

Z002 35 789.47 91,000 $ 0.3 0.5 23 263.16 12 526.32

Z003 279.61 0 $ 0.99 0.5 16.84 0.08

Z004 1 342.11 2,000 $ 0.9 0.5 15 436.43 812.44

Z005 55 921.05 10,000 $ 0.9 0.5 643 184.38 33 851.81

Z006 4 473.68 2,000 $ 0.9 0.5 51 454.75 2 708.14

Z007 8 052.63 20,000 $ 0.9 0.5 92 618.55 4 874.66

Z008 59 649.12 10,000 $ 0.5 0.5 541 628.95 180 542.98

Z009 1 789.47 2,000 $ 0.9 0.5 20 581.90 1 083.26

Z010 559.21 2,000 $ 0.9 0.5 6 431.84 338.52

!

!2 0 8

Page 214: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Chapitre 8

L’ensemble des actions de mobilisation (Ω), pour une période de temps (∆t) défini à priori

dans un espace (s) donné, formeront le portfolio de mesures (φ) composé des actions de

mobilisation individuelles (Ωn). Ces actions de mobilisation vont généralement prendre

les formes suivantes:

• Ignorer le risque : l’organisation peut décider consciemment d’ignorer le risque.• Éviter le risque : l’organisation pourra décider de ne pas poursuivre une

opportunité car elle considère que le risque ne vaut pas la chandelle.• Accepter le risque : l’organisation détermine que le risque associé à une situation

donnée est acceptable pour l’organisation compte tenu de ses contraintes, des ses objectifs d’affaires ou de sa capacité de résilience.

• Mitiger le risque : par la mise en oeuvre de mécanismes de protection, de détection ou de réponse, par exemple par la mise en place d’un pare-feu, une organisation réduira la menace d’intrusion de son réseau informatique via l’Internet.

• Transférer le risque : une organisation pourrait décider de prendre une police d’assurance qui couvre un risque précis, une organisation pourrait aussi transférer le risque à un tiers ou l’externaliser via d’autres mécanismes.

Création des portfolios de risque

20. Les portfolios sont créé en combinant différents scénarios de risque ensemble.

Par exemple, dans le portfolio A deux scénarios Z002 et Z003, peuvent se

combiner pour créer un portfolio de risque.

!

!2 0 9

Page 215: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Introduction à la gestion de risque informationnel

Sélection d’un portfolio

21. Une fois les différents portfolios identifiés, le comité de projet pourra choisir le

portfolio qui représente la capacité de l’organisation de réaliser des projets

durant la prochaine année ou la prochaine période budgétaire. Les actions de

mitigation de risque des scénarios retenus dans le portfolio servirons à

l’élaboration du projet de plan directeur.

Dans l’exemple présenté à la page suivante:

• le portfolio A est composé des scénarios Z002 et Z003. • le portfolio B est composé des scénarios Z001, Z002, Z006, Z008 et Z009.• le portfolio C est composé des scénarios Z001, Z002, Z003, Z005 et Z008.• le portfolio D est composé de tout les scénarios.

!

!2 1 0

Page 216: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Chapitre 8

A B C D

Z001 x x x

Z002 x x x x

Z003 x x x

Z004 x

Z005 x x

Z006 x x

Z007 x

Z008 x x x

Z009 x x

Z010 x

Risque 35 806 857 643 1 458 868 1 655 208

Mitigation 91 000 125 000 131 000 159 000

Mitigé 23 280 656 250 1 227 414 1 413 938

Résiduel 12 526 201 392 231 453.39 241 270

Efficacité 65 % 77 % 84 % 85 %

!

!2 11

Page 217: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Introduction à la gestion de risque informationnel

La composition des portfolio doit permettre de présenter des options au comité de

gouvernance du risque. Les portfolios doivent prendre en compte les objectifs de

gouvernance du risque et les budgets disponible pour gérer le risque. Le portfolio retenu

servira à créer l’ébauche du plan directeur. Plus clairement, ce sont les mesures de

mitigation du risque associés au scénario retenu qui composeront le plan directeur.

Proposition et approbation du plan directeur

22. Une fois le projet de plan directeur réalisé, il sera soumis au comité de

gouvernance du risque qui pourra le modifier et ensuite procéder à son

approbation.

Mise en oeuvre du plan directeur

Une fois le plan approuvé par le comité de gouvernance, la mise en oeuvre des actions de

mitigation de risque sera réalisés dans un approche par projets par des équipes

compétentes.

Sélection d’un portfolio

Une fois les différents portfolios identifiés, le comité de projet pourra choisir le portfolio

qui représente la capacité de l’organisation de réaliser des projets durant la prochaine

!

!2 1 2

Page 218: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Chapitre 8

année ou la prochaine période budgétaire. Les actions de mitigation de risque des

scénarios retenus dans le portfolio servirons à l’élaboration du projet de plan directeur.

Proposition et approbation du plan directeur de gestion du risque

informationnel

Une fois le projet de plan directeur réalisé, il sera soumis au comité de gouvernance du

risque qui pourra le modifier et ensuite procéder à son approbation.

Mise en oeuvre du plan directeur

Une fois le plan approuvé par le comité de gouvernance, la mise en oeuvre des actions de

mitigation de risque sera réalisés dans un approche par projets par des équipes

compétentes.

!

!2 1 3

Page 219: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Introduction à la gestion de risque informationnel

Exercice en classe

La firme informatique ABC Québec inc. a signé un contrat d’impartition de services TI de

10 ans avec Hydro-Québec (HQ). Comme expert en gestion de risque informationnel

d’HQ, vos patrons vous demandent de faire une analyse de risque. Indiquez, documentez

et justifiez 3 scénarios de risque potentiel susceptible de causer des dommages dans le cas

de cette situation d’impartition.

Scénario 1:

• Quel élément est à risque • Quel est l’aléa ?• Quelle est la vulnérabilité qui peut être exploitée ?• Quels sont les dommages envisagés?• Quand et où ?

Scénario 2:

Quel élément est à risque ?

Quel est l’aléa ?

Quelle est la vulnérabilité qui peut être exploitée ?

!

!2 1 4

Page 220: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Chapitre 8

Quels sont les dommages envisagés?

Quand et où ?

Scénario 3:

Quel élément est à risque ?

Quel est l’aléa ?

Quelle est la vulnérabilité qui peut être exploitée ?

Quels sont les dommages envisagés?

Quand et où ?

!

!2 1 5

Page 221: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Introduction à la gestion de risque informationnel

Ensuite, complétez le tableau suivant, en assumant que l’organisation a une appétence au risque neutre et un niveau de résilience moyen.

Ensuite :

Etfinalement:

Scénario

Utilité Appétence

Dommages

Pb réalisati

on

Résilience

Risque

123

Total:

Scénario

Risque Mesures de

mitigation de

risque

Réduction des Domma

ges

Réduction de la

Pb réalisati

on

Risque mitigé

Risque résiduel

Z001Z002Z003

Total:

!

!2 1 6

Page 222: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Chapitre 8

Scénario

Mesures de

mitigation

Risque résiduel A B C D

Z001 50 000Z002 25 000Z003 20 000

Risque :Mesures de mitigation :

Risque mitigé :Risque résiduel :

Efficacité :

!

!2 1 7

Page 223: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Introduction à la gestion de risque informationnel

Questions de révision

1) Indiquez si l’énoncé suivant est vrai (V) ou faux (F) ?

_____: L’identification (I) et la priorisation (P) sont des processus d’analyse de risque.

_____: La mobilisation (m), est la mise en oeuvre des décisions de la phases

d’identification (I) seulement.

_____: En général, il est commun de permettre de réduire de 30 à 25 ou 26 scénarios par la

combinaison de scénarios similaires.

_____: Les portfolios de risque utilisent toutes les mesures de mitigation de risque pour

élaborer le plan directeur.

_____ : il sera nécessaires de prévoir des actions punitives en cas de respect des deux

premiers axes (prévention et protection).

!

!2 1 8

Page 224: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Chapitre 8

2) Complétez les phrases avec les termes qui convient le mieux :

A. prévention

B. protection

C. punition

1. Un processus formel d’analyse de risque  est une mesure de __________.2. En cas de contournement volontaires  l’organisation devrait mettre en place des

mesures de __________.3. Une politique de sécurité est une mesure de __________.4. Des audits TI annuels sont  est une mesure de __________.5. Un programme de sensibilisation des employés et de formation des ressources

informatiques  est une mesure de __________.6. La mise en oeuvre d’actions de mitigation de risque  est une mesure de __________.7. L’allocations des rôles et des responsabilités en matière de gestion à des individus

dans l’organisation  est une mesure de __________.8. La mise en oeuvre de processus de gestion des incidents, de recouvrement en cas de

sinistres et de continuité des affaires sont des mesures de __________.9. En cas de non respect l’organisation devrait mettre en place des mesures de

__________.10. Le premier des trois axes du modèles des 3P de la sécurité de l’information est la

mise en oeuvre de mesures de __________ dans l’organisation.3) En considérant les valeurs suivantes, estimez le risque et indiquez vos calculs:

• α(o): 0,75• ψ(E,x): 1• δ(x): 0,36• θ(o,x): 0,3• μ(y): 700 000$

!

!2 1 9

Page 225: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Introduction à la gestion de risque informationnel

• Pb(x): 0,43• ΣPb(sr): 1

Compléter l’analyse de risque suivante:

!

!2 2 0

Page 226: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Chapitre 8

4) Étude de cas: analyse de risque en situation d’impartition et d’infonuagique.

Un centre de santé, le CSSS Métro Longueuil, a un seul point de service situé à la station

de métro Longueuil-Université de Sherbrooke. Il emploi 300 personnes, principalement

des professionnels de la santé et dessert une clientèle de 50 000 résidents situé à proximité.

Le CSSS étudie actuellement deux possibilités pour ses besoins en TI:

• option 1: de convertir toutes ses applications en infonuagique avec Google Apps, son courriel sur GMail et ses serveurs de données sur Google Docs.

• option 2: d’impartir tous ses systèmes, ses logiciels et ses serveurs chez CGI

Vous êtes consulté en tant qu’expert en gestion de risque par le CSSS. On vous pose les

questions suivantes (vous devez justifier vos réponses):

1. Quels sont les principaux risques dans ces deux options ?2. Quels sont les risques inacceptables ?3. Quel est l’option qui compte le plus bas niveau de risque ?4. Quelles sont les mesures de mitigation de risque qui pourrait être mise en place

dans chacune des options ?5. Quelle est votre recommandation à l’organisation ?

!

!2 2 1

Page 227: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Introduction à la gestion de risque informationnel

6) La firme informatique ABC Canada a signé un contrat d’impartition de services TI de 5

ans avec une grande institution coopérative qui comte 6000000 de membres, ses clients, et

un actif global de 174 milliards de dollars. Elle regroupe un réseau de coopératives de

services financiers, les caisses, de même qu'une vingtaine de sociétés filiales, notamment

en assurances de personnes et de dommages, en valeurs mobilières, en capital de risque et

en gestion d'actifs.

Vous avez été mandaté comme expert en gestion de risque informationnel par l’institution

financière. Indiquez, documentez et justifiez 5 scénarios de risque potentiels susceptible de

causer des dommages dans le cas de cette situation d’impartition. Pour chaque scénario

identifiez:

1. Quel élément est à risque ?2. Quel est l’aléa ?3. Quelle est la vulnérabilité qui peut être exploité ?4. Quels sont les dommages envisagés?5. Quand et où ?

!

!2 2 2

Page 228: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses
Page 229: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Introduction à la gestion de risque informationnel

Bibliographie

Aamodt, A.M. (1991). Ethnography and epistemology, Dans Morse (Ed.), Qualitative Nursing Research: a

contemporary dialogue, pp 40-53, Newbury Park: Sage

Abravanel, H., Allaire, Y., Firisirotu, M.E., Hobbs, B., Poupart, R., Simard, J-J. (1988), La culture

organisationnelle: aspects théoriques, pratiques et méthodologiques, éditions Gaëtan Morin, Canada

Alberts, C.J. (1999), Octave Framework version 1.0, technical report, Carnegie Mellon University, révisé en

2001

AMA – Association médicale mondiale (2004), DÉCLARATION D’HELSINKI DE L’ASSOCIATION

MÉDICALE MONDIALE, Principes éthiques applicables aux recherches médicales sur des sujets

humains, Helsinki, Juin 1964 et amendés en 1975, 1983, 1989, 1996, 2000, 2002 et 2004

Anderson JG (2002) Security of the distributed electronic patient record: a case-based approach to

identifying policy issues, International Journal of Medical Informatics, pages 111–118 

Association of American Medical Colleges (2002) Information Technology Enabling Clinical Research,

Findings and Recommendations from a Conference Sponsored by the Association of American Medical

Colleges with Funding from the National Science Foundation

Baillargeon, Normand (2006), Petit cours d’autodéfence intellectuelle, Éditions Lux, Montréal 

Barber, B (1998) Patient data and security: an overview, international journal of medical informatics, no 49,

pages 19-30

Bakker, Ab (2004) Access to EHR and access control at a moment in the past: a discussion of the need and

an exploration of the consequences, International Journal of Medical Informatics

!

!2 2 3

Page 230: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Chapitre 7

Beucher, S., Reghezza, M., (2004) Les risques (CAPES Agrégation), Bréal

Blakley, B., McDermott, E., Geer, D.(2001), Session 5: less is more: Information security is information risk

management, Proceedings of the 2001 workshop on New security paradigms

Blobel, Bernd (2000) Advanced toolkits for EPR security, International journal of medical informatics, no 60,

pages 169-175

CIHR (Canadian Institutes of Health Research) (2002) Secondary use of personal information in health

research: Case studies, Canadian Institute of Health Research

Clusif, Club de la sécurité des informations français (2000) MÉHARI

Cooper, M.D. (2000) Towards a model of safety culture. Safety Science, 36: p. 111 – 136

Costermans, J. (1998) Les activités cognitives, raisonnement, décision et résolution de problèmes, édition

DeBoeck Université, France

Cox, S. and R. Flin (1998) Safety culture: philosopher’s stone or a man of straw?, Work & Stress, 12(3): p.

189-201.

Dejours, C. (1995), Le facteur humain, Presses Universitaires de France.

Douglas, M., Wildavsky, A. (1984), Risk and Culture, cité dans Beucher, S., Reghezza, M., (2004) Les risques

(CAPES Agrégation), Bréal

Dumont, H. (2002). L’éthique de la recherche, Éditions des presses de l’Université de Montréal, Montréal,

Québec

Festinger, L. (1957) A theory of cognitive dissonance, Stanford University Press, Stanford, USA

Fortin, C., Rousseau, R. (1992), Psychologie Cognitive: une approche de traitement de l’information,

Presses de l’Université du Québec, Québec, Canada

!

!2 2 4

Page 231: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Introduction à la gestion de risque informationnel

Fortin, M.-F., Côté, J., Filion, F. (2006). Fondements et étapes du processus de recherche, Chelière Éducation,

Montréal (Québec), 485 pages

Gauthier, B. (2003). Recherche sociale : de la problématique à la collecte de données, 4ième édition, Presses

de l’Université du Québec

Gravley, D. (2001), Risk, Hazard and Disaster, University of Cantenbury, New Zeland

Guldenmund, F.W. (2000) The nature of safety culture: a review of theory and research. Safety Science, 34:

p. 215 – 257.

Hammersley, M., Atkinson, P. (1983) Ethnography, principles in practice, London, New York: Tavistock

Hatcher, M. (1998) Decision-Making With and Without Information Technology in Acute Care Hospitals:

Survey in the United States, Journal of Medical Systems, Vol. 22, No. 6

Hillson, D. (1999) Risk Management for the new millenium, Symposium conference paper

Hillson, D. (2003) What is risk ?, results from a survey exploring definitions

International Standards Organisation (1999) Guide 51 security aspects, Guidelines for their inclusion in

standards, International Standards Organization

International Standards Organisation (2002) Guide 73, Management du risque, Vocabulaire, Principes

directeurs pour l’utilisation dans les normes, International Standards Organization

International Standards Organisation (2005), ISO17799, Code of practice for Information security

Janczewski, Lech, and Shi, Frank Xinli (2002) Development of Information Security Baselines for

Healthcare Information Systems in New Zealand, Computers & Security, Volume 21, Issue 2, 3 pages

172-192

!

!2 2 5

Page 232: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Chapitre 7

Jung, C.G. (1971) Psychological Types, Routledge & Kegan Paul, London, UK (Collected Works of C.G. Jung,

Vol. 6).

Kahneman, D., Tversky, A. (1979) Prospect theory: An analysis of decision under risk, Econometrica, 47,

263-291.

Keil, M., Wallace, L., Turk, D., Dixon-Randall, G., Nulden, U. (2000) An investigation of risk perception and

risk propensity on the decision to continue a software development project, The Journal of Systems and

Software, pages 145-157

Kerkri, E. M. Quantin, C., Allaert F.A., Cottin, Y., Charve, P.H., Jouanot, F., Yétongnon, K., An Approach for

Integrating Heterogeneous Information Sources in a Medical Data Warehouse, Journal of Medical

Systems, Vol. 25, No. 3, 2001 

Keynes. J.M. (1937) The General Theory of Employment, Quarterly Journal of Economics, Vol. 51, p.209-23.

Knight, Frank H. (1921) Risk, Uncertainty, and Profit, Boston, MA: Hart, Schaffner & Marx; Houghton

Mifflin Company

Lagadec, P. (2003) Risques, Crises et Gouvernance: ruptures d’horizons, ruptures de paradigmes, Réalités

Industrielles, Annales des Mines, numéro spécial: “Sciences et génie des activités à risques”, Mai 2003, pages

5-11

Laperrière, A. (2001). Les critères de scientificité des méthodes qualitatives, dans Poupart et als, La

recherche qualitative, Enjeux épistémologiques et méthodologiques, Gaêtan Morin Éditeur, Canada, p.

366-389

Ledbetter, Craig S., Morgan, Matthew W., Toward Best Practice: Leveraging the Electronic Patient Record

as a Clinical Data Warehouse, JOURNAL OF HEALTHCARE INFORMATION MANAGEMENT, vol. 15, no.

2, summer 2001  

!

!2 2 6

Page 233: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Introduction à la gestion de risque informationnel

Léger, Marc-André (2003), Un processus d’analyse des vulnérabilités technologiques comme mesure de

protection contre les cyber-attaques, Rapport d’activité de synthèse, Présenté comme exigence partielle de

la Maîtrise en informatique de gestion, Juin 2003.

Léger, Marc-André (2004), Méthodologie de gestion du risque en matière de sécurité de

l’information, Éditions Fortier Communications, Montréal, en révision, ISBN 2-9808504-0-3, 2004

Loper, Dr. D. Kall, Profiling Hackers: Beyond Psychology, Presented at the Annual Meeting of the American

Society of Criminology, San Francisco, California, USA, November 15, 2000

Miller, Gerald C., Ph.D., Data warehousing and information management strategies in the clinical

immunology laboratory, Clinical and Applied Immunology Reviews, 2002 

Pidgeon, N., Safety culture: key theoretical issues. Work & Stress, 1998. 12(3): p. 202 – 216.

Richter, A., Koch, C., Integration, differentiation and ambiguity in safety cultures, Safety Science, vol 42,

2004, pages 703–722

Schein, E.H. (1992) Organisational culture and leadership, San Francisco, Jossey-Bass  

Schumacher, H. J., Ghosh, S., A fundamental framework for network security, Journal of Network and

Computer Applications, 1997, pages 305–322

Scott-Morton M., The Corporation of the 1990s: Information Technology an Organisational

Transformation, Oxford University Press, 1991

Shortreed, J., Hicks, J., Craig, L. (2003) Basic Frameworks for Risk Management, Final Report, Prepared for

The Ontario Ministry of the Environment, Network for Environmental Risk Assessment and Management,

March 28, 2003

Smith, E. Eloff, J.H.P., Security in health-care information systems – current trends, International journal of

medical informatics, no 54, 1999, pages 33-54

!

!2 2 7

Page 234: Introduction à la gestion de risque -la-gestion-de-risque.pdfIntroduction à la gestion de risque informationnel Chapitre 1: La sécurité L’organisation qui souhaite gérer ses

Chapitre 7

Stoneburner, G., Goguen, A., Feringa, A. (2002) NIST Special Publication 800-30 Risk Management Guide

for Information Technology Systems, National institute of science and technology, USA

Taversky, A., & Kahneman, D. (1992) Advances in prospect theory: Cumulative representation of

uncertainty, Journal of Risk and Uncertainty, 5, pp. 297–323

von Neumann, J. and Morgenstern, O. (1944) Theory of Games and Economic Behavior, Princeton

University Press.

Watkins, Michael D., Bazerman, Max H., Predictable Surprises: The Disasters You Should Have Seen

Coming, Harvard Business review Online, 2003

Whittemore, R., Chase, S., Mandle, C. (2001) Validity in Qualitative Research, Qualitative Health Research,

Vol 11 No 4, pages 522-537

!

!2 2 8