- Concepts et mthodes Rvision 1 du 28 janvier 2009
Espace Mthodes
CLUB DE LA SECURITE DE LINFORMATION FRANAIS 30, rue Pierre Smard, 75009 PARIS Tl. : +33 1 53 25 08 80 Fax : +33 1 53 25 08 88 e-mail : clusif@clusif.asso.fr Web : http://www.clusif.asso.fr
Gestion des risques CLUSIF 2008/2009 3 Table des Matires 1 Introduction .............................................................................. 6 2 Rsum.................................................................................... 7 2.1 Identification des situations de risque ........................................ 7 2.2 Options dans le mode de gestion des risques ................................ 7 2.3 Options doutillages et de bases de connaissances.......................... 7 3 Principes gnraux et dfinitions du risque ......................................... 8 3.1 Concepts de base................................................................. 8 3.1.1 Les actifs ................................................................................8 3.1.2 La dgradation subie par un actif....................................................9 3.1.3 Les consquences subies par lentit ...............................................9 3.1.4 La cause, non certaine, de la dgradation subie par un actif ...................9 3.1.5 La notion de menace ................................................................ 10 3.1.6 La notion de vulnrabilit........................................................... 10 3.2 Dfinition du risque ............................................................. 11 3.2.1 Le risque dfini par lensemble actif, menace ou actif, menace, vulnrabilits exploites .......................................................... 12 3.2.2 Le risque dfini par un scnario.................................................... 12 4 Options fondamentales de gestion des risques..................................... 14 4.1 La gestion directe et individualise des risques ............................ 14 4.2 La gestion globale et indirecte des risques.................................. 15 4.3 Dfinition du risque et type de management ............................... 16 5 Lidentification des risques ........................................................... 19 5.1 Lidentification des actifs critiques (ou susceptibles de ltre) .......... 19 5.2 Lidentification des menaces et vulnrabilits ............................. 21 5.3 Lidentification des scnarios de risque ..................................... 22 6 Lestimation des risques identifis................................................... 24 6.1 Lestimation des risques pour leur gestion individualise................. 24 6.1.1 Lvaluation des enjeux ou des consquences du risque....................... 24 6.1.2 Lvaluation de la probabilit de survenance du risque........................ 25 6.1.3 Lvaluation des effets des mesures de scurit ................................ 27 6.1.4 Lestimation des niveaux de risque................................................ 29 6.1.5 Influence du mode de dfinition du risque ....................................... 29 6.2 Lestimation des risques pour leur gestion globale......................... 29 6.2.1 Lestimation des enjeux ou des consquences du risque....................... 30 6.2.2 Lestimation du niveau de menace ................................................ 30 6.2.3 Lestimation du niveau de vulnrabilit .......................................... 31 6.2.4 Lestimation du niveau de risque .................................................. 32 7 Lvaluation des risques identifis................................................... 33 Gestion des risques CLUSIF 2008/2009 4 7.1 Lvaluation des risques pour leur gestion individualise................. 33 7.2 Lvaluation des risques pour leur gestion globale......................... 33 8 Le traitement des risques ............................................................. 34 8.1 La rduction directe des situations de risque critiques.................... 34 8.1.1 La rduction directe des risques sappuyant sur une base de connaissances 34 8.1.2 La rduction directe des risques par les responsables dactivit, de projet ou de processus .......................................................................... 35 8.2 Le traitement indirect des risques types critiques ......................... 36 8.2.1 Transformation des vulnrabilits rduire en objectifs de scurit........ 38 8.2.2 Analyse dtaille des vulnrabilits rduire pour dcider des lments dune politique de scurit......................................................... 39 8.3 Le transfert du risque........................................................... 39 9 Communication sur les risques ....................................................... 40
Gestion des risques CLUSIF 2008/2009 5 REMERCIEMENTS Le CLUSIF tient remercier particulirement les membres de lespace Mthodes qui ont rendu possible la ralisation de ce document, savoir :
Merci galement notre partenaire du Qubec, Martine GAGNE, dont la relecture attentive et pertinente a t prcieuse. Gestion des risques CLUSIF 2008/2009 6 1 INTRODUCTION On peut affirmer quil ny a pas dentreprise ni de dveloppement sans prise de risque. Partant de ce constat, il est clair que les risques pris doivent tre identifis, analyss, matriss et grs et quil est alors raisonnable et sens de le faire dans un cadre mthodologique. Diverses mthodes se proposent comme mthode danalyse et de gestion des risques, mais la notion de gestion des risques na pas le mme sens selon les mthodes, ce qui conduit une certaine confusion. Le but de ce document est de tenter de dfinir des typologies de gestion des risques, den dcrire les tapes. Ainsi prsent, le domaine dapplication de cette tude est trs large et couvre tous les types de risques. Cependant, lmergence et limportance de normes spcifiques pour la gestion des risques lis la scurit de linformation fait que nous y ferons frquemment rfrence et que les exemples pris le seront souvent dans ce domaine particulier. A contrario, cette tude, strictement centre sur la gestion des risques, na pas pour objectif de porter quelque jugement que ce soit sur les avantages et inconvnients respectifs des divers types de mthodes comme outil de management de la scurit dans tel ou tel contexte. Gestion des risques CLUSIF 2008/2009 7 2 RESUME Ltude prsente dans ce document met en vidence de grandes diffrences entre les diverses mthodes possibles de gestion des risques. Les points cls de diffrenciations sont dcrits sommairement ci-dessous. 2.1 Identification des situations de risque Les processus didentification des situations de risque peuvent impliquer fortement le management et tre orients stratgie et objectifs fondamentaux de lentit ou, au contraire, tre dclins un niveau oprationnel et technique. La manire mme de dfinir les risques nest pas neutre quant cette orientation. 2.2 Options dans le mode de gestion des risques Deux options principales se prsentent pour la gestion des risques : celle qui consiste analyser chaque situation de risque identifie et prendre des dcisions spcifiques et adaptes chacune delles, avec une forte implication du management dans la gestion des risques celle, au contraire, qui sappuie sur une analyse plus gnrale afin de dfinir des objectifs et des directives de scurit propres rduire globalement les risques, sans gestion directe et individualise des risques, et sans doute avec une moindre intervention du management Le premier mode de gestion des risques exige un modle volu danalyse des ris- ques que ne demande pas le second. Ces options relatives la gestion des risques ont des consquences directes au ni- veau de chaque tape du processus correspondant. Ces consquences sont dcrites dans la suite du document. 2.3 Options doutillages et de bases de connaissances Les outils pouvant venir en appui de la gestion des risques sont trs varis et vont du strict minimum des ensembles mthodologiques complets incluant des bases de connaissances, voire dexpertise, des outils daudit, des outils de simulation des niveaux de risques atteints en fonction des options de mesures de scurit, des outils de suivi de tableau de bord, etc. La possible personnalisation de ces outils est en outre un lment prendre en compte. Gestion des risques CLUSIF 2008/2009 8 3 PRINCIPES GENERAUX ET DEFINITIONS DU RISQUE Le premier point tenter dclaircir, avant mme de parler de gestion, est celui de la dfinition du risque qui nest pas la mme selon les mthodes. Cette dfinition repose sur un nombre limit de concepts qui font peu prs consensus et que nous prsenterons dabord, avant dexposer les points pour lesquels il existe des diffrences et des espaces de dcision. 3.1 Concepts de base Un risque provient du fait que lentit, entreprise ou organisation, possde des valeurs , matrielles ou non, qui pourraient subir une dgradation ou un dommage, dgradation ayant des consquences pour lentit considre. Ceci fait appel quatre notions : Celle de valeur , quil est dusage dappeler actif (traduction de asset 1 ) dans le domaine de la scurit de linformation Celle de dgradation ou de dommage subi par lactif Celle de consquences pour lentit Celle qui suggre une cause possible mais non certaine 3.1.1 Les actifs Dune manire trs gnrale, on dsigne sous ce terme tout ce qui peut reprsenter une valeur ou un enjeu pour lentit. En ce qui concerne la scurit de linformation, la norme ISO/IEC 27005 distingue : Les actifs primaires ou primordiaux qui comprennent : o Les processus et activits o Linformation Les actifs de support qui comprennent : o Le matriel o Le logiciel o Les rseaux
1 Le terme asset est explicitement dfini et comment dans les normes de la srie ISO/IEC 27000 qui sadressent spcifiquement aux risques lis la scurit de linformation, alors quil nest pas cit dans les normes plus gnrales telles que le guide 73 de lISO ou la norme ISO 31000. Il a nanmoins t retenu dans ce document, avec sa traduction sous le nom de actif car il voque bien toutes les valeurs de lentreprise, et ses immobilisations, tant matrielles quimmatrielles, et parce quil est largement utilis par maints respon- sables. Gestion des risques CLUSIF 2008/2009 9 o Le personnel o Le site o Le support organisationnel Il sagit lvidence dune dfinition trs gnrale qui, pour tre commune toutes les mthodes, nen recouvre pas moins des dclinaisons pratiques trs varies. 3.1.2 La dgradation subie par un actif Il est clair que le risque est diffrent (et ses consquences diffrentes) selon le type de dommage subi. Le type de dommage possible dpend des catgories dactifs et autant il est facile de lister les principaux types de dommages subis par des informations (perte de disponibilit, dintgrit ou de confidentialit, et ventuellement dautres types de dgradations), autant il y a peu de typologies standards ds quil sagit de processus, ou de certains actifs de support. Il est noter que le type de dgradation subi nest pas explicitement cit par la norme ISO/IEC 27005 qui ne le distingue pas des consquences. Il nous semble pourtant important de distinguer les consquences primaires, constitues par les dgradations dactifs, des consquences secondaires ou indirectes pouvant tre subies au niveau des processus et des activits de lentit. 3.1.3 Les consquences subies par lentit Ces consquences peuvent tre de natures trs diverses et dpendent fortement du type dentit, socit commerciale, organisme de service public, organisation but non lucratif, etc. La seule chose importante considrer, ce stade, est que ces consquences auront tre values au niveau de lentit et non celui des systmes dinformation ou du primtre technique de lanalyse et que lvaluation du risque devra comprendre une valuation de limpact sur lorganisme de la dgradation considre de lactif concern. 3.1.4 La cause, non certaine, de la dgradation subie par un actif On inclut gnralement, dans la dfinition du risque, une rfrence la cause ou un type de cause, par essence non certaine, pouvant conduire la dgradation de lactif. Le guide 73 de lISO parle d vnement pour voquer cette cause. On retient gnralement que : Il ny a risque (par opposition un constat ou une certitude) que sil y a une action ou un vnement non certains qui conduisent la ralisation du risque ( son occurrence) c'est--dire la dgradation considre de lactif concern Gestion des risques CLUSIF 2008/2009 10 Lvaluation du risque devra comprendre une valuation de la probabilit de survenance de cette action ou de cet vnement Le terme de cause que nous avons employ peut tre ambigu car il peut y avoir des causes directes (vnement au sens du guide 73) et des causes indirectes (source au sens du guide 73), mais reprsente bien lide gnrale de quelque chose qui va conduire la ralisation de la dgradation redoute. 3.1.5 La notion de menace Les normes ISO/IEC 2700x traitant des risques lis aux systmes dinformation font rfrence la notion de menace ( threat 2 ) qui nest pas vritablement dfinie sauf par ce quelle est capable de causer, savoir causer un dommage des actifs tel que information, processus ou systmes et donc aux organisations ( A threat has the potential to harm assets such as information, processes, and systems and therefore organizations selon lISO/IEC 27005). On pourrait penser que cette notion de menace est proche de celle de cause voque plus haut. Elle est, en fait, bien diffrente car les menaces peuvent recouvrir des aspects bien divers et, en particulier : Des vnements ou actions qui peuvent conduire loccurrence du risque (par exemple, un accident, un incendie, le vol de media, etc.) Des actions ou modes daction rendant possible loccurrence du risque, sans en tre le moteur (par exemple labus de droit, lacquisition illicite de droits ou lusurpation didentit) Des effets caractristiques et significatifs de causes indtermines (par exemple la saturation du systme dinformation) Des comportements (par exemple lutilisation non autorise dquipements) qui ne sont pas, en tant que tels, des vnements conduisant loccurrence du risque Il ressort de ces quelques exemples que la menace nest pas strictement lie la cause du risque mais permet de dfinir, en fonction de listes de menaces types, des typologies de risques. 3.1.6 La notion de vulnrabilit La notion de vulnrabilit est parfois utilise en analyse de risque et, plus gnralement, ds que lon aborde la scurit des systmes dinformation 3 .
2 Le terme threat est explicitement dfini et comment dans les normes de la srie 27000 qui sadressent spcifiquement aux risques lis la scurit de linformation, alors quil nest pas cit dans les normes plus gnrales telles que le guide 73 de lISO ou la norme ISO 31000. Il a nanmoins t retenu dans ce document, avec sa traduction sous le nom de menace car il est utilis de manire importante par certaines mthodes de gestion des risques. 3 Ici encore, on peut noter que le terme de vulnrabilit nest pas utilis dans les normes gnrales traitant de la gestion des risques, en particulier le guide 73 de lISO, mais lest par contre abondamment par certaines m- thodes de gestion des risques Gestion des risques CLUSIF 2008/2009 11 On peut dfinir ce quest une vulnrabilit de deux manires. La plus correcte, au plan linguistique, est de la dfinir comme une caractristique dun systme, dun objet ou dun actif constituant un point dapplication potentiel de menaces. Ainsi, si on parle dun document crit ou manuscrit, et si la menace considre est la pluie ou plus gnralement des intempries, les vulnrabilits peuvent tre, par exemple, que : lencre nest pas indlbile le papier est sensible leau le support est dgradable. Il est souvent plus utile dadopter une vision des vulnrabilits oriente sur les processus de scurisation et sur leurs dfauts ventuels. On dfinit alors une vulnrabilit comme un dfaut ou une faille dans les dispositifs de scurit pouvant tre exploit par une menace pour atteindre un systme, un objet ou un actif cible. Dans lexemple prcdent la vulnrabilit exploite est : labsence de protection contre les intempries. Cette vision conduit une arborescence de vulnrabilits. En effet, toute solution de scurit a ses faiblesses et donc toute solution apporte pour rduire une vulnrabilit comporte elle-mme des vulnrabilits. Exemple du document crit sur support dgradable : Solution de premier niveau : stockage labri des intempries Vulnrabilits induites : o Canalisations internes du btiment dfectueuses o Procdures de mise labri inappliques ou inadquates o Dclenchement de la protection incendie par sprinkler o Etc. Ces deux visions des vulnrabilits ne sont pas quivalentes et il pourra tre utile den tenir compte lorsquil est fait appel cette notion.
* * * * * En sappuyant sur ces concepts gnraux, plusieurs dfinitions du risque restent possibles et sont, de fait, proposes par les diverses mthodes de gestion de risques, tout en restant compatibles avec les documents normatifs. 3.2 Dfinition du risque Si le concept gnral de risque ne pose pas de problme, il nen est pas de mme ds que lon en recherche une dfinition formelle, cest--dire une dfinition qui prcise chacun des lments constitutifs du risque. Or ces lments vont intervenir, dabord dans le processus didentification des risques, puis dans celui de leur estimation. Gestion des risques CLUSIF 2008/2009 12 Paradoxalement, les mthodes de gestion de risques donnent rarement une telle dfinition formelle. Les dfinitions que lon peut reconstituer se classent en deux grandes catgories : Les dfinitions du risque bases sur la notion de menace, associe ou non des vulnrabilits Les dfinitions du risque bases sur la notion de scnario 3.2.1 Le risque dfini par lensemble actif, menace ou actif, menace, vulnrabilits exploites Une premire dfinition du risque serait : Le risque est la conjonction dun actif et dune menace susceptible de faire subir un dommage cet actif. Les mthodes de gestion des risques qui utilisent cette dfinition fournissent, le plus souvent une typologie 4 de menaces. Il est possible, et certaines mthodes le font, dinclure dans la dfinition du risque certaines vulnrabilits exploites par la menace. Cette vision se base sur lide que sans vulnrabilit exploitable il ny a pas de risque. La dfinition du risque devient alors : Le risque est la conjonction dun actif, dune menace susceptible de faire subir un dommage cet actif et de vulnrabilits exploites par la menace pour faire subir lactif ce dommage. Ces dfinitions du risque conduisent une notion de risques types rsultant de types de menaces, de types dactifs et, ventuellement, de types de vulnrabilits. Il sagit donc dune vision statique des risques, au sens o les lments pris en compte ne font pas intervenir la variable temps et ne permettent pas de dcrire des enchanements dvnements, de causes ou de consquences. 3.2.2 Le risque dfini par un scnario Une autre dfinition du risque revient considrer que le dommage subi et que la description des circonstances de survenance du dommage subi par lactif doivent faire partie de la dfinition du risque. Ces circonstances peuvent recouvrir des notions de : Lieux : par exemple, vol de media dans tel ou tel type de local Temps : par exemple, action mene en dehors ou pendant des heures ouvrables Processus ou tapes de processus : par exemple, altration de fichiers lors de la maintenance La dfinition du risque devient alors :
4 Lannexe C de la norme ISO/IEC 27005 donne une liste dexemples de menaces types. Gestion des risques CLUSIF 2008/2009 13 Le risque est la conjonction dun actif, dun type de dommage pouvant tre subi par cet actif et de circonstances dans lesquelles ce dommage pourrait survenir. On peut employer encore le terme de menace en lui donnant le sens de la description gnrale de types de circonstances dans lesquelles le risque pourrait se matrialiser. Les circonstances seront alors dcrites par : une menace gnrique dcrivant une typologie de circonstances et des circonstances particulires prcisant la menace gnrique. Cette dfinition conduit, en pratique, dfinir des situations de risque ou des scnarios de risque qui dcrivent, la fois, le dommage subi et les circonstances dans lesquelles se produit ce dommage. Cette vision du risque est, en fait, exactement celle que dcrit le guide 73 de lISO quand il dfinit un risque comme comportant des sources ou phnomnes dangereux (circonstances), des vnements dclencheurs et des consquences. Il sagit donc dune vision dynamique des risques, dans laquelle le temps peut intervenir, ce qui peut donner lieu des actions diffrencies en fonction de phases du scnario de risque. Cette vision dynamique permet de dcrire et de tenir compte denchanements dvnements, de causes ou de consquences. On notera par ailleurs que la norme ISO/IEC 27005 fait appel une notion de scnarios dincident , notion trs proche de ce que nous avons appel ci-dessus scnario de risque , sans tre rigoureusement quivalente. En effet, la dfinition du scnario dincident se rfre explicitement lexploitation dune certaine vulnrabilit ou dun ensemble de vulnrabilits, alors que les circonstances particulires de survenance du risque peuvent tre lies des notions diverses, ainsi quexpliqu ci-dessus, qui ne sont pas forcment lies des vulnrabilits.
* * * * * * * * *
Il est certainement possible de proposer dautres manires de dfinir le risque et ses lments constituants, mais nous retiendrons ces deux dfinitions caractristiques et significatives en termes de gestion des risques. Gestion des risques CLUSIF 2008/2009 14 4 OPTIONS FONDAMENTALES DE GESTION DES RISQUES Indpendamment de la dfinition du risque, les objectifs que lon peut assigner la gestion des risques peuvent tre trs diffrents. En pratique, on peut distinguer deux objectifs qui se rvlent, lanalyse, fondamentalement diffrents : La gestion directe et individualise de chaque risque, dans le cadre dune politique de gestion des risques. La gestion globale et indirecte des risques par le biais dune politique de scurit adapte aux risques encourus. Remarque : Le contenu de cette politique et son niveau de dtail sera abord au chapitre 8. 4.1 La gestion directe et individualise des risques Lobjectif dune telle gestion, dfini et caractris par une politique de gestion des risques, vise : Identifier tous les risques auxquels lentreprise est expose. Quantifier le niveau de chaque risque. Prendre, pour chaque risque considr comme inadmissible, des mesures pour que le niveau de ce risque soit ramen un niveau acceptable. Mettre en place, comme outil de pilotage, un suivi permanent des risques et de leur niveau. Sassurer que chaque risque, pris individuellement, est bien pris en charge et a fait lobjet dune dcision soit dacceptation soit de rduction, voire de transfert. Risque N Risque N Risque Risque Risque 3 Risque 3 Risque 2 Risque 2 Risque 1 Risque 1 Analyse et valuation de chaque risque Slection de mesures de scurit pour chaque risque Risque acceptable ? Identification des risques OUI NON Mise en place des mesures slectionnes
Gestion des risques CLUSIF 2008/2009 15 Ce mode de management est donc trs fortement tourn vers les activits de lentit et ses enjeux fondamentaux et ne peut tre choisi et men bien quen plein accord avec la Direction et avec sa participation active. Il est aussi trs bien adapt toutes les organisations par projet dans lesquelles la gestion des risques est dlgue aux chefs de projet. Principe sous-jacent et condition pralable Il est clair que pour pouvoir grer individuellement chaque risque, il faudra un moment savoir prendre en compte les effets de toutes les mesures de scurit, existantes ou prvues, susceptibles davoir une influence sur le niveau de risque. Un tel mode de management exige donc, par principe et comme condition pralable, que soit dfini un modle de risque permettant dexpliciter et de quantifier, pour chaque risque identifi : Les facteurs de risque structurels lis au contexte et lactivit de lentit et donc indpendants des mesures de scurit Les rles et effets des mesures de scurit sur le risque considr Le niveau de risque global en rsultant Sans un tel modle, il serait effectivement impossible dtablir un lien entre les dcisions de mise en place de mesures de scurit et un niveau de risque rsiduel en rsultant. Or ce lien est ncessaire pour une gestion individuelle des risques. 4.2 La gestion globale et indirecte des risques Lobjectif est, dans ce cas, de dfinir une politique de scurit qui sappuie sur une valuation des risques. Le but vis est ainsi de : Identifier certains lments pouvant conduire des risques. Hirarchiser ces lments. En dduire une politique et des objectifs de scurit. Mettre en place, comme outil de pilotage, un suivi permanent des objectifs de scurit ou des lments de la politique de scurit. Risque N Risque N Risque Risque Risque 3 Risque 3 Risque 2 Risque 2 Risque 1 Risque 1 Analyse et valuation des risques Identification des risques OUI NON Risques levs couverts par Politique de scurit ? Mise en place de la Politique de scurit Ajouts dobjectifs la Politique de scurit
Gestion des risques CLUSIF 2008/2009 16 Ce mode de management fait moins intervenir la Direction de lentit et peut tre men un niveau technique. Principe sous-jacent et condition pralable Le principe mme de ce type de management est de dfinir des besoins ou des objectifs de scurit en sappuyant sur lattribution aux risques dun niveau qui tienne compte de latteinte (ou non) de ces objectifs ou de la satisfaction (ou non) de ces besoins.
La vision du risque peut tre partielle et ne considrer quune partie des lments ayant une influence sur le niveau rel de risque, en particulier certaines vulnrabilits (ou types de vulnrabilits) exploites par des menaces types.
Un tel mode de management exige donc, par principe et comme condition pralable, que soit dfini un modle permettant de quantifier, pour chaque risque identifi : Un niveau de risque fonction des lments cits dans la description de ce risque Linfluence du choix dobjectifs dans la politique de scurit Un niveau relatif du risque en rsultant. Il faut bien noter que le niveau de risque ainsi valu lest compte tenu des seuls lments cits dans lidentification du risque et compte tenu de linfluence de la politique de scurit sur ces lments . Il ne peut donc pas tre retenu comme valeur de jugement du niveau de risque rel pour lentit, mais comme une valeur relative de limportance des objectifs de scurit retenus dans la politique de scurit. 4.3 Dfinition du risque et type de management Il est clair quune dfinition des risques base sur la notion de scnario est particulirement adapte une gestion directe et individualise des risques et quune dfinition des risques base sur les menaces et les vulnrabilits est, a priori, adapte une gestion globale et indirecte des risques. Il ny a, cependant, pas dobstacle thorique ce quune dfinition des risques base sur des scnarios soit utilise pour une gestion indirecte des risques par le biais dune politique de scurit. De mme, il ny a pas dobstacle absolu ce quune dfinition des risques fonde sur des menaces et des vulnrabilits soit utilise pour une gestion directe et individualise ; cela reporte au niveau de lvaluation des risques et du choix des mesures de scurit la recherche des divers scnarios pouvant conduire au risque considr ou appartenir cette famille de risque.
Remarque sur le lien entre les vulnrabilits et le type de gestion des risques La question du lien entre lintroduction des vulnrabilits dans lidentification des Gestion des risques CLUSIF 2008/2009 17 risques et le type de management mrite dtre pose. En effet, lintroduction des vulnrabilits dans la dfinition des risques (par comparaison avec leur introduction uniquement en phase danalyse des risques) a plusieurs consquences auxquelles il peut tre utile de rflchir : Ne pas faire intervenir les vulnrabilits dans lidentification des risques revient considrer quun risque nat de la simple conjonction dun lment dactif qui a une valeur et de circonstances dans lesquelles cette valeur pourrait tre mise en cause et que cest cette situation que lon entend grer, les vulnrabilits tant alors prises en compte lors de lanalyse de cette situation de risque. Il sagit donc bien dune dmarche de gestion directe des risques. Par contre, introduire les vulnrabilits dans la dfinition des risques revient considrer que ce sont bien elles que lon entend valuer et grer. Il sagit bien alors dune gestion indirecte des risques. Dautre part, pour une situation de risque donne, ce nest pas une vulnrabilit qui est concerne et exploite mais souvent plusieurs. Il est clair, par exemple, quun scnario de piratage depuis lextrieur de lentreprise dbouchant sur un dtournement de donnes applicatives peut exploiter simultanment, comme vulnrabilits, la faiblesse du contrle daccs au rseau, labsence de partitionnement du rseau et de confinement des fichiers sensibles, la faiblesse du contrle daccs au systme, la faiblesse du contrle daccs applicatif, labsence de chiffrement des fichiers, etc. Dans ces conditions, introduire dans la dfinition des risques la liste des vulnrabilits exploites serait incontestablement une source de difficult pour une gestion directe des risques et obligerait en outre introduire dans une tche qui est normalement une tche de management (lidentification des risques) une tche danalyse technique (la recherche de lensemble des vulnrabilits concernes par cette situation de risque). On peut donc considrer que lintroduction des vulnrabilits dans lidentification des risques est compatible avec une gestion globale et indirecte des risques, mais quelle lest beaucoup moins avec une gestion directe et individualise des risques.
* * * * * * * * *
Ces orientations fondamentales tant esquisses, nous allons analyser, dans les chapitres ci-dessous, en quoi elles sont dterminantes quant au contenu de diffrentes tapes dcrites par les normes, et en particulier par le guide 73 de lISO, que nous rappelons ci-dessous (en gras les tapes qui seront analyses en dtail, lenchanement entre ces tapes ntant pas particulirement trait).
Gestion des risques CLUSIF 2008/2009 18 MANAGEMENT DU RISQUE APPRECIATION DU RISQUE ANALYSE DU RISQUE IDENTIFICATION DES RISQUES ESTIMATION DU RISQUE EVALUATION DU RISQUE TRAITEMENT DU RISQUE REFUS DU RISQUE OPTIMISATION DU RISQUE (sa rduction) TRANSFERT DU RISQUE PRISE DE RISQUE ACCEPTATION DU RISQUE COMMUNICATION RELATIVE AU RISQUE Gestion des risques CLUSIF 2008/2009 19 5 LIDENTIFICATION DES RISQUES Ce que contient ltape didentification des risques dpend bien entendu de la dfinition retenue pour le risque. Quelle que soit la dfinition retenue, le risque nat de lexistence de valeurs ou dlments dactifs qui reprsentent, pour lentreprise ou lorganisme, un enjeu, cest--dire dont le maintien de certaines qualits est important pour le bon fonctionnement de lentit. Cette tape didentification des actifs pouvant tre critiques est donc la premire et est commune toutes les mthodes danalyse de risque. La deuxime tape, qui dpend de la dfinition du risque retenue, consiste donc rechercher : Soit quelles menaces seraient susceptibles de causer un dommage ces actifs, et ventuellement quelles vulnrabilits pourraient tre exploites, dans le cas dune identification de risques base sur la notion de menace et de vulnrabilits Soit quelles dgradations pourraient affecter ces actifs et dans quelles circonstances ces dgradations pourraient survenir, pour une identification de situations ou de scnarios de risque Nous analyserons successivement les tapes didentification des actifs, puis celle didentification des menaces et vulnrabilits et celle didentification des scnarios de risque. 5.1 Lidentification des actifs critiques (ou susceptibles de ltre) Cette tape est, incontestablement, essentielle dans lidentification des risques et on peut distinguer deux grands types de dmarches. La premire consiste, selon le schma indiqu ci-dessous, : Analyser les processus et les activits de lentreprise ou de lentit et rechercher les dysfonctionnements de ces processus qui pourraient impacter les objectifs ou les rsultats attendus de lentit Rechercher les actifs et les dommages subis par ces actifs qui pourraient induire de tels dysfonctionnements En dduire une liste dactifs (il peut tre utile alors de distinguer les actifs les plus importants, que lon considrera comme critiques , pour ne pas alourdir inutilement le reste des tapes de gestion des risques). Gestion des risques CLUSIF 2008/2009 20 Activit N Activit N Activit Activit Activit 3 Activit 3 Activit 2 Activit 2 Activit 1 Activit 1 Analyse des dysfonctionnements possibles Liste dactifs et dommages considrer pour lidentification des risques Dommages dactifs pouvant tre lorigine dun dysfonctionnement
Il sagit dune dmarche centre sur les enjeux des diverses activits de lentit, et mene de prfrence un niveau lev de management. Cette dmarche dbouche assez naturellement sur une recherche des circonstances dans lesquelles les dommages pourraient survenir et donc sur une dfinition de scnarios de risques. La deuxime dmarche consiste : Analyser larchitecture des moyens primaires supportant lactivit (quil sagisse du systme dinformation ou de tout autre type de moyens, tels que les moyens de production, de logistique, de communication, etc.) Rechercher ventuellement les moyens supports des moyens primaires (tels que lnergie, les moyens ncessaires lorganisation, etc.) En dduire une liste dactifs considrer pour lidentification des risques. Activit N Activit N Activit Activit Activit 3 Activit 3 Activit 2 Activit 2 Activit 1 Activit 1 Analyse de larchitecture support des processus et activits Liste dactifs considrer pour lidentification des risques Dtermination des actifs primaires et de support des processus et activits
Il sagit dune dmarche beaucoup plus technique, pouvant tre mene sans laide du management de haut niveau. Cette dmarche dbouche assez naturellement sur une recherche des menaces pouvant agir sur ces actifs et donc sur une identification de risques dfinis par les menaces et vulnrabilits. Une diffrence essentielle rside dans le fait quavec une dfinition du risque base sur la notion de scnario, le type de dommage ventuellement subi par lactif en cas doccurrence du risque fait partie de la recherche des actifs critiques. Autrement dit, les critres utiliss pour valoriser les actifs, lors de la phase destimation des risques, avec une dfinition des risques base sur les menaces, Gestion des risques CLUSIF 2008/2009 21 sont introduits ds lidentification des actifs, quand on veut identifier des scnarios de risque.
Pour clairer nos propos, nous prendrons quelques exemples, concernant trois types dactifs. Dans le cadre dune vision statique des risques, des actifs identifis pourraient tre : Un document de planification stratgique La base de donnes dun domaine mtier. Le serveur de donnes de la Direction XXX Dans une vision dynamique des risques par scnarios, les lments identifis seront en plus caractriss par un type de dommage : A. Document de planification stratgique confidentiel B. Base de donnes de tel ou tel domaine dont lintgrit doit tre maintenue. C. Serveur de donnes de la Direction XXX dont la disponibilit doit tre maintenue 5.2 Lidentification des menaces et vulnrabilits Dans le cas de dfinition des risques base sur les menaces, la dmarche consistera, le plus souvent, slectionner dans une liste de menaces types, des lments standards pertinents pour le type dactif considr. Si nous reprenons les lments dactifs correspondant aux trois exemples ci-dessus, nous trouverons ainsi (exemples non limitatifs issus de la norme ISO/IEC 27005) : 1. Document stratgique Menaces pertinentes Vol de media ou de document Divulgation 2. Base de donnes Menaces pertinentes Falsification par logiciel Dysfonctionnement de logiciel 3. Serveur de donnes Menaces pertinentes Incendie Dgts des eaux Accident majeur Destruction dquipement Gestion des risques CLUSIF 2008/2009 22 Inondation Etc. Si les vulnrabilits exploites font partie de la dfinition des risques, la dmarche consistera, le plus souvent, slectionner dans une liste de vulnrabilits, ventuellement pr-classes par type de menaces, des vulnrabilits pertinentes et, en reprenant les exemples ci-dessus, nous pourrions obtenir (toujours en prenant les exemples donns dans les annexes du projet de norme ISO/IEC 27005) : 1. Document stratgique Menace et vulnrabilit : Vol de media ou de document d un manque de protection du stockage 2. Base de donnes Menace et vulnrabilit : Falsification par logiciel d un tlchargement et un usage incontrl de logiciel 3. Serveur de donnes Menace et vulnrabilit : Destruction dquipement d un manque de schma priodique de remplacement 5.3 Lidentification des scnarios de risque Dans ce cas, la dmarche consistera analyser, dans les processus mis en uvre impliquant llment dactif considr ou dans le cycle de vie de cet lment, ou dans son architecture, ce qui pourrait conduire mettre en cause la qualit considre. Cette recherche seffectuera soit directement soit en sappuyant sur une base de connaissance dcrivant des scnarios de risques frquemment rencontrs, si la mthode le permet. Ainsi pour reprendre les mmes exemples 1. Document stratgique confidentiel On analysera le processus dlaboration, de contrle et de diffusion de ce type de document et on pourra mettre en vidence diverses circonstances conduisant des risques particuliers : Lors de son laboration (fichier informatique sur le PC du responsable ou de son assistante ou sur un serveur partag) Lors de sa sauvegarde Lors de son impression (sur imprimante partage) Lors de sa diffusion par mail Lors de sa diffusion par courrier Lors de son archivage 2. Base de donnes dont lintgrit doit tre maintenue On analysera galement les divers processus impliquant la base de donnes et pouvant conduire une mise en cause de son intgrit et on pourra mettre en Gestion des risques CLUSIF 2008/2009 23 vidence diverses circonstances conduisant des risques particuliers : Lors daccs concurrents (risques logiciels) Lors daccs malveillants Lors de maintenance logicielle Lors de tests de dveloppement ou de maintenance Lors de maintenance chaud 3. Serveur de donnes dont la disponibilit doit tre maintenue On analysera et listera les divers types de causes possibles et les divers processus internes impliquant cet lment dactif, pouvant conduire une mise en cause de sa disponibilit : Accidents physiques (incendie, dgts des eaux, etc.) et leur origine : o Incendie provoqu par un court-circuit dans le cblage, o Incendie provoqu par une ngligence interne (cendrier, appareil de chauffage annexe, etc.) Pannes courantes ou exceptionnelles et leurs conditions particulires : o Pannes courantes traites par la maintenance o Pannes ncessitant une escalade o Etc. Attaques en dni de service Erreur de maintenance matrielle ou logicielle o Due un dfaut de formation o Due un dfaut de documentation o Etc. Il est important de noter que le fait dinclure dans lidentification dun risque les circonstances dans lesquelles il pourrait se produire permet de mettre en lumire que, de par le contexte et les processus mis en uvre, tel lment dactif se trouve bien, un moment donn, dans une situation de risque particulire.
Les diffrences de rsultats obtenus sur ces trois exemples montrent bien quau- del des mots et des termes employs, il y a une profonde diffrence de conception de la dfinition dun risque.
Identifier les menaces pesant sur un actif et les vulnrabilits que ces menaces peuvent exploiter pour atteindre lactif permet de caractriser un type de risque, mais na pas pour objectif, et ne permet en aucun cas, didentifier directement des situations de risque susceptibles de rclamer des actions spcifiques lors dun processus de gestion directe des risques. Gestion des risques CLUSIF 2008/2009 24 6 LESTIMATION DES RISQUES IDENTIFIES Ltape que les normes ISO appellent estimation des risques ou "Risk estimation" est, en fait, une tape de quantification des risques. Ce que recouvre cette tape est trs diffrent selon les modes de gestion des risques. 6.1 Lestimation des risques pour leur gestion individualise Lobjectif est dobtenir, pour chaque risque identifi, une valuation du niveau de risque auquel lentit est expose. Il y a un consensus gnral sur le fait que ce niveau dpend de deux facteurs qui sont limpact (ou le niveau de consquence du risque) et sa potentialit (ou probabilit). Pour faire ces valuations, dans un contexte o des mesures de scurit ont dj t prises, il faudra en outre tenir compte de la qualit de ces mesures. Ainsi quil a dj t dit, un modle de risque est ncessaire et est un pralable. Cependant, quelque soit le modle propos par telle ou telle mthode, quelques lments permanents, toujours ncessaires, peuvent tre dgags. Ce sont : Lanalyse des enjeux ou des consquences du risque Lanalyse de la probabilit de survenance du scnario de risque Leffet des mesures de scurit 6.1.1 Lvaluation des enjeux ou des consquences du risque Sachant que la dfinition et la description du risque comprennent celle de llment dactif impliqu et le type de dommage subi, la question est bien celle dvaluer la gravit de ce dommage. On est bien dans une problmatique de mthode et ce nest pas le lieu ici den dcrire une plus particulirement. On peut nanmoins mettre en lumire les principes gnraux qui doivent tre respects. Lvaluation des consquences maximales du dommage subi Le premier principe respecter est de rechercher les consquences maximales du dommage subi. Cela se fera souvent lors dune dmarche dite de classification qui devra comprendre les lments dcrits ci-aprs. Gestion des risques CLUSIF 2008/2009 25 a. Etablir une chelle de gravit Lchelle de gravit est sans doute une des premires choses faire. Cette chelle doit exprimer des niveaux de gravit de consquences (telles que mort ou perte de lentit, squelles durables, perte de comptitivit momentane, etc.) au mme titre que lon pourrait parler de risque accidentel pour lhomme (risque vital, risque dinvalidit permanente, obligation de soins permanents, maladie courante invalidant quelques semaines, etc.). Dans le cas de services publics, le niveau de gravit peut se rfrer des niveaux de perte de service rendu (en dure, en pourcentage du public touch, etc..). b. valuer la gravit des consquences en la distinguant bien de la gne ressentie (par les responsables de lentit) Ce que lon recherche est bien une valuation de la gravit des consquences du risque pour lentit. Cest donc bien au niveau des processus de lentit que cette valuation doit tre faite et que les consquences du risque doivent tre analyses. Il est important, lors de cette analyse, de ne pas survaloriser la gne ressentie par les responsables de lentit (mais de correctement valoriser la gne ressentie par les clients). c. Faire valider les niveaux de gravit par la Direction Les consquences des risques devraient tre values au niveau business par les responsables dactivit eux-mmes et devraient tre valides par un comit de Direction. Ne pas respecter ce principe peut conduire et conduit gnralement des rsultats survalus. Ainsi, des vnements considrs comme graves des niveaux hirarchiques bas ou moyens sont souvent considrs comme tolrables voire non significatifs niveau lev. Plus gnralement, la gestion des risques tant principalement destin aux Dirigeants dentreprise, cest eux de se dterminer sur la gravit relle de tel ou tel risque. Lvaluation des consquences particulires du risque analys Lvaluation dcrite ci-dessus, parfois rsume dans une classification des actifs, est le niveau de consquences maximum encouru par lentit pour le type de dommage subi par llment dactif concern. Il se peut nanmoins que, pour les circonstances particulires du risque ou que pour le type de menace, les consquences soient moindres. La mthode supportant le management direct des risques doit alors proposer une tape ou un moyen de corriger, le cas chant, lvaluation de limpact pour tenir compte de cet ventuel amoindrissement des consquences. 6.1.2 Lvaluation de la probabilit de survenance du risque Le fondement de lestimation dun risque reposant, pour partie, sur une notion de probabilit de survenance, il est clair que lon doit passer par une valuation de la probabilit de survenance a priori qui permettra un premier jugement sur cette probabilit en labsence de toute mesure de scurit. Lidal serait, bien entendu, de disposer dune base statistique suffisante pour Gestion des risques CLUSIF 2008/2009 26 pouvoir asseoir ces probabilits a priori sur des chiffres excluant toute partialit ou subjectivit. En pratique, cela nest gure possible pour diverses raisons : Les organismes collecteurs de chiffres relatifs aux sinistres sont rticents les divulguer (les assurances en particulier) Ces chiffres ont eux-mmes porteurs de biais car tous les sinistres ne sont pas dclars (en particulier ceux qui peuvent porter atteinte limage des sinistrs) Certains sinistres ne sont mme pas connus de ceux qui les ont subis (en particulier nombre de vols de donnes). On en est donc rduit porter un jugement relativement subjectif sur ces probabilits a priori en notant : Quun consensus de groupe de travail limite le caractre subjectif Que les mthodes du march proposent des chiffres qui sont une base de dpart apprciable Ceci tant la mthode pour dfinir ces probabilits a priori doit faire partie du modle de risque propre ce type de management et doit comprendre les lments dcrits ci-dessous. a. tablir une chelle de probabilit Lchelle de probabilit est sans doute une des premires choses faire. Cette chelle doit exprimer des niveaux de probabilit aiss comprendre par tous les participants au processus danalyse des risques. Le nombre de niveaux ne devrait pas tre trop lev pour quun consensus puisse tre facilement atteint sur les niveaux de probabilit de chaque menace. b. valuer la probabilit a priori du scnario de risque Lvaluation de la probabilit maximale et a priori, en labsence de toute mesure de scurit, sera le plus souvent associe une typologie de scnarios. Ce sera effectivement le cas si la mthode propose une base de connaissances structure. A dfaut, il est conseill de regrouper les scnarios en types de probabilit voisine, ce qui revient, de fait, distinguer des menaces types communes plusieurs types de scnarios. Cette probabilit correspond souvent, en pratique une probabilit de menace, indpendamment du contexte propre de lentit. c. Lvaluation de lexposition de lentit au scnario analys Cette notion dexposition (parfois aussi appele exposition naturelle) est fondamentale. Quelle que soit, en effet, la probabilit doccurrence de la menace, en gnral, ce qui compte est de savoir si lentit est plus particulirement expose ou non ce type de risque. Cette exposition met en jeu divers facteurs tels que : Gestion des risques CLUSIF 2008/2009 27 lintrt que reprsente laction, pour son auteur le caractre plus ou moins unique de lentit en tant que cible de la menace le contexte social le contexte conomique Il est de mme important de noter que cette exposition peut fluctuer dans le temps. La mthode de gestion des risques doit ainsi permettre dvaluer cette exposition, en fonction du contexte propre de lentit, afin de dfinir, in fine, une potentialit intrinsque du risque, en labsence de toute mesure de scurit. 6.1.3 Lvaluation des effets des mesures de scurit Cest, sans aucun doute, dans ce domaine que les divers modles de risque propres ce type de management peuvent apporter des aides significatives et trs diffrencies. On peut cependant mettre en lumire quelques lments incontournables, qui doivent tre dcrits et explicits dans tout modle danalyse de risque associ une gestion directe des risques, qui sont : La diffrenciation des types deffets des mesures de scurit La prise en compte dun niveau de qualit de ces mesures La mesure de lefficacit dune mesure de scurit La prise en compte dune notion d assurance scurit (au-del de la qualit technique dune mesure, quelle assurance peut-on avoir de son efficacit relle ?) La manire de prendre en compte et de combiner les effets simultans de plusieurs mesures de scurit La diffrenciation des types deffets des mesures de scurit Les types deffets des mesures de scurit sont divers et doivent imprativement tre distingus dans le modle de risque, pour une bonne apprciation du risque. Il est important, en effet, de faire la distinction entre les effets venant rduire la probabilit du risque et ceux venant en attnuer les consquences. Bien au-del, dautres nuances doivent tre distingues telles que : Leffet de dissuasion Leffet dempchement (de faire quelque chose ou de russir dans laction) Leffet de dtection suivi dempchement Gestion des risques CLUSIF 2008/2009 28 Leffet de dtection suivi de raction limitant les consquences Leffet de confinement limitant les consquences Leffet de restauration Leffet palliatif de moyens de secours Etc. Cette liste nest certes pas exhaustive et le modle de risque doit proposer une typologie de ces effets, en les regroupant ventuellement, pour dcrire laction des mesures de scurit et permettre une valuation individualise de chaque risque. La prise en compte du niveau de qualit des mesures de scurit Il est bien clair que leffet ou que les effets dune mesure de scurit dpend de la qualit de cette mesure. Tous les mcanismes ne sont pas quivalents, toutes les procdures ne sont pas aussi efficaces et il faut bien savoir porter un jugement sur un niveau de qualit. Le modle de risque devrait donc comporter une mthode dvaluation. La mthode dvaluation elle-mme peut tre plus ou moins experte, mais il est fortement souhaitable quelle sappuie sur une base de connaissances. Lvaluation de lefficacit dune mesure de scurit La qualit intrinsque dune mesure de scurit nindique pas pour autant si elle sera efficace pour rduire un niveau dun risque particulier, mme si, dvidence, elle peut jouer un rle positif dans la rduction de ce risque. En outre, lefficacit dune mesure peut dpendre du type deffet, alors quune mme mesure peut avoir plusieurs types deffets. Il y a donc une relation tablir, par le modle de risque, entre la qualit dune mesure de scurit et son efficacit pour tel ou tel effet sur tel ou tel type de scnario de risque. La notion dassurance scurit Cette notion, parfaitement mise en vidence par les ITSEC et les critres communs, vise faire une diffrence entre le niveau defficacit dune mesure de scurit et lassurance que lon peut avoir de cette efficacit. Il sagit, par exemple, dvaluer sparment la force dun mcanisme technique et la garantie de sa mise en uvre et de sa permanence dans le temps. La prise en compte ou non de cette notion par le modle de risque est donc un paramtre considrer. Les effets combins de plusieurs mesures de scurit Enfin, la manire de combiner les effets simultans de plusieurs mesures de Gestion des risques CLUSIF 2008/2009 29 scurit doit tre explicite par le modle de risque afin de pouvoir valuer correctement le niveau de risque rsiduel quand plusieurs mesures sont actives et pertinentes, ce qui est la trs grande majorit des cas. 6.1.4 Lestimation des niveaux de risque Lestimation des niveaux de risque doit faire la synthse des estimations partielles et dboucher, a minima, sur : Une valuation de la potentialit de survenance du risque (sa probabilit) Une valuation de son impact (la gravit de ses consquences) Le modle de risque doit bien entendu dcrire la manire dobtenir ces deux valeurs de synthse. 6.1.5 Influence du mode de dfinition du risque Il est bien clair que tout ce qui vient dtre dvelopp convient parfaitement une dfinition des risques par des scnarios. Si les risques sont dfinis comme des risques types bass sur des notions de menaces et de vulnrabilits, il faudra, pour chaque risque ainsi dfini, rechercher tous les scnarios possibles (scnarios dincident au sens de lISO/IEC 27005) et estimer le niveau de risque pour chaque scnario. Les divers points dvelopps plus haut seront alors ncessaires pour cette estimation. Une mthode dlaboration dune synthse pour chaque risque sera en outre ncessaire. 6.2 Lestimation des risques pour leur gestion globale Il est bien entendu possible dutiliser un modle de risque complet tel quabord prcdemment pour faire une estimation individuelle de chaque risque identifi comme un scnario de risque et den dduire une politique de scurit et des objectifs adapts une gestion globale des risques. Nous nous placerons nanmoins dans une optique o les risques sont dcrits par une menace et une vulnrabilit (ou ventuellement un groupe de vulnrabilits) exploite. Ce qui est trs significatif de cette reprsentation du risque est quelle donne une vue partielle du risque en ne citant quune partie des vulnrabilits. Ne prenant pas en compte lensemble des mesures de scurit qui pourraient avoir un effet sur le niveau de risque, elle permet de donner une certaine valeur au risque (compte tenu de la vulnrabilit exploite mais sans tenir compte des autres mesures de scurit qui pourraient rduire le risque), valeur qui peut tre utilise pour hirarchiser des vulnrabilits, bien quelle ne reprsente pas une valuation complte du niveau de risque auquel lorganisme est expos. Ceci tant, le modle destimation du risque relatif doit comprendre plusieurs lments : Lestimation des enjeux ou des consquences du risque Lestimation du niveau de la menace Gestion des risques CLUSIF 2008/2009 30 Lestimation du niveau des vulnrabilits cites dans la description du risque, niveau ventuellement fonction de la politique de scurit. 6.2.1 Lestimation des enjeux ou des consquences du risque Lestimation du risque doit, bien entendu, tenir compte du dommage subi par llment dactif lors de la survenance du risque. Sachant que la description du risque comprend celle de llment dactif impliqu et le type de dommage subi (bien que ce dommage ne soit pas cit explicitement et quil faille le rechercher dans le type de menace), la question est bien celle dvaluer la gravit de ce dommage. On est, comme prcdemment, dans une problmatique de mthode et ce nest pas le lieu ici den dcrire une plus particulirement. On peut nanmoins mettre en lumire les principes gnraux qui doivent tre respects et qui sont influencs par le fait quon ne cherche pas une valeur absolue du niveau de risque. Dcrire la rfrence en matire de gravit des consquences des risques Dans la mesure o lon ne rechercha pas une valeur absolue des niveaux de risque, la rfrence en matire de gravit peut tre plus libre. On peut ainsi prendre comme rfrence pour dfinir une chelle de gravit : la gravit relle des consquences pour lentit (comme au chapitre 6.1.1) la gne occasionne aux utilisateurs, la gne ressentie par la Direction les cots de recouvrement tout autre critre refltant une certaine hirarchie dans les consquences (telle que la dure dune interruption de service) Dfinir une chelle de gravit Une fois la rfrence fixe une chelle devra ltre galement. Le nombre de niveaux importe relativement peu dans ce type de management et une chelle faible nombre de niveaux facilitera la suite des quantifications. 6.2.2 Lestimation du niveau de menace La valeur attribue au risque doit, bien entendu, tenir compte du niveau de la menace. La manire dvaluer ce niveau doit tre dcrite dans le modle destimation du risque et peut prendre en compte divers paramtres tels que : La probabilit de survenance a priori de lvnement dclencheur de la menace Gestion des risques CLUSIF 2008/2009 31 Le potentiel de nuisance de la menace Lexposition relative de lentit ce type de menace La facilit de ralisation de la menace Etc. Certes, une fonction combine de la probabilit de survenance a priori et de lexposition relative de lentit ce type de menace semble se rapprocher au mieux dune notion de probabilit, mais, dans ce processus destimation du risque relatif , lessentiel est que le processus dvaluation du niveau de la menace permette une bonne communication et soit comprise par les dcideurs, le validit thorique de cette valuation nayant pas une importance majeure. 6.2.3 Lestimation du niveau de vulnrabilit Lestimation du risque doit, enfin, tenir compte du niveau des vulnrabilits concernes puisque celles-ci sont un lment central du risque identifi. Les points suivants devraient tre abords et dcrits par le modle de management : La mesure du niveau de chaque vulnrabilit La manire de prendre en compte et de valoriser la combinaison de plusieurs vulnrabilits, si plusieurs vulnrabilits sont dcrites dans lidentification du risque. La mesure du niveau de vulnrabilit Pour pouvoir grer dans le temps les risques encourus, mme dans cette vision partielle des risques, il est ncessaire dvaluer un niveau de vulnrabilit. La manire de faire cette valuation peut tre : Subjective Base sur un audit des vulnrabilits et sur une base de connaissance Dans un cas comme dans lautre la mthode doit dcrire le processus dvaluation et ce processus doit permettre la prise en compte des lments de la politique de scurit. La mesure de plusieurs vulnrabilits cumules En outre, si plusieurs vulnrabilits sont dcrites dans un type de risque, la manire de faire une valuation globale du niveau de vulnrabilit doit tre dcrite et devrait comprendre : Une typologie de vulnrabilits (peut-on comparer des vulnrabilits aussi diffrentes que la faiblesse dun contrle daccs et celle des sauvegardes ?) Gestion des risques CLUSIF 2008/2009 32 La manire de combiner des vulnrabilits de mme type (leur minimum, leur maximum, une autre formule ?) La manire de combiner des vulnrabilits de types diffrents. 6.2.4 Lestimation du niveau de risque Lestimation du niveau de risque doit tenir compte de lensemble des valuations prcdentes et dboucher sur une hirarchisation des risques partiels ou relatifs dcrits. Gestion des risques CLUSIF 2008/2009 33 7 LEVALUATION DES RISQUES IDENTIFIES Ltape que les normes ISO appellent valuation des risques ("Risk evaluation") est, en fait, une tape de jugement sur le caractre acceptable ou non des risques tels quils sont dcrits. 7.1 Lvaluation des risques pour leur gestion individualise Le rsultat de ltape destimation est, pour ce type de management, une valuation de limpact (I) et de la probabilit (P) de chaque risque. Il ne reste plus qu passer une note globale ou, plus simplement, qu dcider des plages dacceptabilit des risques. Compte tenu du caractre facilement accessible des deux notions de base, le management peut aisment conclure sur ce point. Le support de dcision peut ainsi tre : Une fonction de Gravit du risque G = f(P, I) Une table dacceptabilit fonction de P et de I, par exemple comme celle indique ci-dessous. Impact : I Potentialit : P risques insupportables risques inadmissibles risques tolrs 2 3 4 1 2 3 4 1 2 3 3 2 2 1 1 1 1 4 2 3 4 3 2 4
7.2 Lvaluation des risques pour leur gestion globale Le rsultat de ltape dvaluation est, pour ce type de management, une note globale permettant une hirarchisation des risques. La dcision de traiter le risque ou non dpend alors dun seuil de dcision qui doit tre fix par un comit ad hoc. Gestion des risques CLUSIF 2008/2009 34 8 LE TRAITEMENT DES RISQUES Les risques ayant t estims, il reste les traiter, c'est--dire : Les accepter en ltat Les viter totalement par des volutions structurelles telles que le risque ne se prsente plus Les optimiser, c'est--dire les rduire Les transfrer ou les partager avec une tierce partie Nous aborderons ici les deux dernires options, savoir la rduction des risques ou leur transfert vers un tiers. Il est bien clair que la rduction des risques identifis et considrs comme critiques est lie au mode de management choisi, mais aussi, et peut-tre principalement, la dfinition mme de ces risques. 8.1 La rduction directe des situations de risque critiques Comme son nom lindique, la gestion directe des situations de risque consiste dcider, scnario par scnario, des mesures prendre. Ceci tant, en fonction de ce que permet la mthode support, bien des options sont encore possibles, dont deux principales : Lappui sur une base de connaissances de scnarios de risque rfrenant les mesures de scurit pertinentes et permettant lvaluation de leur effet en termes de rduction du niveau de risque La gestion directe des situations de risque par les responsables dactivit, de projets ou de processus 8.1.1 La rduction directe des risques sappuyant sur une base de connaissances Le cas le plus intressant est celui dune base de connaissances de scnarios de risque qui rfrence, pour chaque scnario, les mesures de scurit pertinentes et qui permet dvaluer leffet de ces mesures en termes de rduction du niveau de risque. La question qui peut alors se poser est celle des aides additionnelles proposes par la mthode de gestion des risques et, en particulier le choix ou la proposition de stratgies de rduction de risques. Il est, en effet, possible que la mthode ne propose rien de particulier et que le responsable de la gestion des risques soit libre de travailler comme il lentend pour slectionner les mesures de scurit mettre en place ou, au contraire, quil lui soit propos des stratgies permettant doptimiser son action. Gestion des risques CLUSIF 2008/2009 35 Le schma de gestion des risques donn au chapitre 4.1 devient alors plus prcisment le suivant : Risque N Risque N Risque Risque Risque 3 Risque 3 Risque 2 Risque 2 Risque 1 Risque 1 Analyse et valuation de chaque situation de risque Slection de services de scurit et de niveau de service Risque acceptable ? Identification des situations de risque OUI NON Mise en place des services spcifis Slection dune stratgie de rduction de risque
8.1.2 La rduction directe des risques par les responsables dactivit, de projet ou de processus Linclusion, dans la dfinition des risques, des circonstances particulires de survenance de chaque risque conduit la possibilit de gestion directe des solutions mettre en uvre par les responsables dactivit, de projet ou de processus. Bien des solutions, en effet, sont aises prendre au niveau de lactivit mme et se rvlent gnralement, dans ce cas, trs conomiques. A titre dexemple, si nous prenons le cas du dtournement dun dossier stratgique confidentiel lors de son impression sur une imprimante partage, la dcision pourrait simplement tre de modifier le processus et dimprimer ce mme document en local sur une imprimante non partage, plutt que de se proccuper de scuriser le processus dimpression sur une imprimante partage. Le schma de gestion des risques donn au chapitre 4.1 devient alors plus prcisment le suivant :
Risque N Risque N Risque Risque Risque 3 Risque 3 Risque 2 Risque 2 Risque 1 Risque 1 Analyse et valuation de chaque situation de risque Dfinition de mesures pour rduire chaque risque Risque acceptable ? Identification des situations de risque OUI NON Mise en place des mesures dcides
Gestion des risques CLUSIF 2008/2009 36 8.2 Le traitement indirect des risques types critiques Dans le cadre dune dmarche dans laquelle les risques critiques identifis sont dfinis par les menaces et vulnrabilits, il est clair que ce sont ces vulnrabilits quil convient de rduire. La question est alors de savoir jusqu quel niveau de dtail la mthode de gestion des risques permet de descendre. En effet, les dcisions que lon peut prendre, en matire de traitement des risques, et les orientations que lon peut fixer, peuvent se situer diffrents niveaux. Ainsi que lindique le schma ci-dessous, elles peuvent se situer au niveau : Dune politique globale de scurit dfinissant les grandes orientations gnrales De politiques thmatiques de scurit, dfinissant les objectifs de scurit atteindre, pour les diffrents thmes ou domaines de la scurit Dun manuel oprationnel de scurit, dfinissant en dtail les mcanismes mettre en uvre et les consignes de scurit. Politique globale Politiques thmatiques Objectifs de scurit par domaine Manuel oprationnel scurit : Mcanismes, consignes et procdures de scurit par domaine
Ainsi, par exemple, le traitement de certains risques peut consister : Dcider, dans une politique thmatique, la mise en place de procdures pour le traitement et le stockage de linformation, afin de protger cette information contre des usages et des divulgations non autorises, en se situant donc au niveau des objectifs de contrle, le contenu de ces procdures et mme les ttes de chapitre ntant pas dfinies et dcides ce niveau Gestion des risques CLUSIF 2008/2009 37 Analyser chacun des lments considrer pour atteindre lobjectif de protection de linformation et prendre une dcision relative chacun de ces lments, dans un manuel oprationnel de scurit, et par exemple (liste non limitative indique par la norme ISO/IEC 27002) : o La labellisation de tous les media en fonction de leur classification o Ltablissement de restrictions daccs o Lenregistrement et la maintenance de la liste des personnes autorises recevoir des donnes o La mise en place de contrles de la compltude des donnes entres et de la validation des sorties o La protection des donnes en attente ddition ou de transmission o Le stockage des media en conformit avec les spcifications des fournisseurs o La restriction de la diffusion dinformation o Le marquage des copies de media o La revue priodique des listes de diffusion et de distribution o Etc. Deux options soffrent alors aux mthodes de management indirect des risques types : Transformer directement les vulnrabilits rduire en objectifs de scurit fixs dans des politiques thmatiques et reporter une tape ultrieure la transformation de ces objectifs de scurit en lments pratiques dun manuel oprationnel de scurit Analyser plus en dtail ces vulnrabilits pour en dduire, ds cette phase de management, les lments pratiques dun manuel oprationnel de scurit mettre en place. Gestion des risques CLUSIF 2008/2009 38 8.2.1 Transformation des vulnrabilits rduire en objectifs de scurit Cette transformation est relativement simple et ne demande pas doutil particulier, les listes de vulnrabilits types utilises tant le plus souvent de mme niveau que les listes dobjectifs de contrle. Remarque : on pourrait imaginer de travailler avec des vulnrabilits types trs dtailles et dfinies au mme niveau que les lments dun manuel oprationnel de scurit. Cela compliquerait beaucoup lidentification des risques et leur analyse, par la multiplication des vulnrabilits prendre en compte pour chaque risque type, sans pour autant simplifier leur traitement. Le schma de gestion des risques donn au chapitre 4.2 devient alors plus prcisment le suivant : Risque N Risque N Risque Risque Risque 3 Risque 3 Risque 2 Risque 2 Risque 1 Risque 1 Analyse et valuation des risques Identification des risques OUI NON Risques levs couverts par les Objectifs de scurit ? Dfinition dobjectifs de contrle complmentaires Dfinition des Politiques thmatiques de scurit Dfinition des Objectifs de scurit
Les mthodes relevant de ce schma sont, en fait, des mthodes de management des objectifs de scurit, bases sur une valuation de niveau de risques types, susceptibles dexploiter les vulnrabilits non couvertes par les objectifs de scurit. Gestion des risques CLUSIF 2008/2009 39 8.2.2 Analyse dtaille des vulnrabilits rduire pour dcider des lments dune politique de scurit Les lments dun manuel oprationnel de scurit, dcider puis mettre en place, ne peuvent rsulter, en pratique, que dune analyse des scnarios dincident ou scnarios de risque possibles et compatibles avec les caractristiques du risque analys : la menace et les vulnrabilits. Le traitement des risques consiste alors rechercher ces scnarios, puis dcider des mesures pertinentes pour rduire le niveau de risque et enfin inclure des mesures dans le manuel oprationnel de scurit. Le schma de gestion des risques donn au chapitre 4.2 devient alors plus prcisment le suivant : Risque N Risque N Risque Risque Risque 3 Risque 3 Risque 2 Risque 2 Risque 1 Risque 1 Analyse et valuation des risques Identification des risques OUI NON Risques levs couverts par manuel de scurit ? Dfinition des lments dtaills du manuel oprationnel de scurit Analyse des scnarios dincident possibles Dfinition de mesures Complmentaires
Les mthodes relevant de ce schma sont, en fait, des mthodes de management des lments du manuel oprationnel de scurit, bases sur une valuation de niveau de risques types prenant en compte des scnarios dincident susceptibles dexploiter les vulnrabilits non couvertes par le manuel de scurit. 8.3 Le transfert du risque Ce que lon appelle transfert du risque consiste, le plus souvent, contractualiser un certain partage de responsabilits entre lentit et une ou plusieurs tierces parties. Le cas le plus typique est celui de lassurance, mais bien dautres types daccords et dagrments sont possibles. Les mthodes ne sont pas dune grande aide dans ce domaine et les agrments sont tudier et conclure au cas par cas. Dans beaucoup de cas, nanmoins, une analyse approfondie des situations de risque sera plus utile et plus directement exploitable quune tude des menaces et des vulnrabilits.
Gestion des risques CLUSIF 2008/2009 40 9 COMMUNICATION SUR LES RISQUES Les textes qui font rfrence, dans le domaine de la gestion des risques, insistent tous sur la communication relative aux risques. Il nous parait, effectivement, essentiel que lorsquune entit sengage dans une vritable gestion des risques, il y ait un consensus et une connaissance partage sur : Les risques tolrs parce que leur niveau a t jug admissible, ce qui ne veut pas dire qu ils ne surviendront pas et quil ne faudra pas ragir alors, Les risques que lon a dcid de rduire, mais qui ne le seront qu plus ou moins long terme (le temps que les projets correspondants soient lancs et aboutissent), Les risques levs et thoriquement inadmissibles quil faut bien supporter parce quil ny a pas de solution dvitement ni de rduction possible. Cette connaissance partage ne peut que reposer sur une communication adapte. Au-del des outils de communication, il est certain que communiquer sur des situations de risque a un sens et peut engendrer des comportements responsables, alors que communiquer sur des menaces et des vulnrabilits sera plus difficile matriser et peut ne pas susciter ladhsion du management.
L E S P R I T D E L C H A N G E
CLUB DE LA SCURIT DE L'INFORMATION FRANAIS 30, rue Pierre Smard 75009 Paris 01 53 25 08 80 clusif@clusif.asso.fr
Tlchargez les productions du CLUSIF sur www.clusif.asso.fr
Méthodologie de Gestion Du Risque Informatique Pour Les Directeurs Des Systèmes D'information Un Levier Exceptionnel de Création de Valeur Et de Croissance