Le Gouvernement du Grand-Duché du Luxembourg Portail de la sécurité de l'information CASES Luxembourg
Sep Visuel - Recherche
    Rechercher
x Recherche avancêe
Sep recherche - fonctions
¦ Accueil ¦ Nouveautés ¦ Glossaire ¦ Liens ¦ Vos réactions ¦ Contact ¦ ¦ Aide ¦ Index ¦ A propos du site ¦
Sep fonctions - date
  ImprimerEnvoyer à
Sep date - contenu
Actualités
Théorie
*
Les technologies de base
arrow L'analyse des risques
*
Menaces et contre-mesures
Pratique
Risques
Publications
Documentation

> home > Théorie > L'analyse des risques

L'analyse des risques

 One up

La Sécurité des Systèmes d’Information et de la Communication :

Au cœur des systèmes d’information et de la communication, il convient de matérialiser objectivement la notion de sécurité :

« La sécurité des systèmes et réseaux de l’information et de la communication correspond à la mise en place de moyens de protection permettant d’atteindre des services de sécurité spécifiques essentiels, tels que la confidentialité, l’intégrité et la disponibilité ».

La confidentialité est un état n’autorisant une visibilité de l’information qu’à des personnes déterminées et autorisées. L’intégrité est un état empêchant toute modification illégitime de l’information. Enfin, la disponibilité correspond à un état de mise à disposition de l’information en temps, et en performance définie au préalable.

Nous considérons qu'une protection est efficace lorsqu’elle est pensée avec une approche systémique (modélisation théorique qui tient compte de trois axes indissociables : environnements du système, le système en lui-même à partir de ses frontières et ses composantes internes). Cette approche permet de penser la sécurité au sens large, couvrant le système dans sa globalité. Ainsi, la sécurité des systèmes d’information et de la communication couvre la sécurité informatique (sécurité logique) mais aussi la sécurité physique et organisationnelle du système.

L'analyse et la gestion des risques

L'informatique et les nouvelles technologies de communication sont devenues des outils performants et indispensables au quotidien. Ils permettent à une entité, qu’il s’agisse d’une entreprise, d’une administration ou d’un citoyen, de réaliser certains objectifs et de rester concurrentielle. L’atteinte des objectifs définis par l’entité peut aussi bien nécessiter la création d'une vitrine de produits accessible via le Web, que la réalisation d'une base de données clients, la mise en place de services e-gouvernement en ligne ou simplement la connexion à Internet.

Pour pouvoir réaliser ses objectifs, l'entité en question va se doter des moyens nécessaires et implémenter une solution adéquate à ses besoins et à ses moyens. Même si la planification et la réalisation des outils mis en place sont effectuées de façon très consciencieuse, il existe toujours une certaine probabilité que l’entité échoue dans l’atteinte de ses objectifs. Cette probabilité a un nom : le RISQUE. De nombreux domaines professionnels se sont familiarisés depuis longtemps avec cette notion. On parlera ainsi de risques financiers, de risques opérationnels, de risques environnementaux, etc.

Bien sûr, les nouvelles technologies n'échappent pas à cette notion : voici donc venu le RISQUE INFORMATIQUE. Améliorer sa sécurité informatique, c'est gérer les risques liés à l'informatique et à l'information, autrement dit c'est MAXIMISER SES CHANCES DE REUSSITE et réduire la probabilité d'échec !!!

Pour vous aider à comprendre la notion de risque, il existe une équation reine (applicable à d'autres domaines que l'informatique)

RISQUE = MENACE * IMPACT * VULNERABILITE

Malheureusement on ne peut pas espérer réduire la résultante de cette équation (le risque) à 0. En théorie c’est toujours possible, mais en pratique c'est bien trop coûteux. La règle de Pareto fait alors loi. « 80% des risques informatiques peuvent être couverts par 20% des investissements nécessaires. » Si vous deviez malgré tout couvrir 100% des risques informatiques, entendez par là qu'il s'agit d'un objectif vital pour votre organisation, cela voudrait sans aucun doute dire que vous avez les moyens de le faire.

La gestion des risques est donc cruciale pour augmenter la probabilité de réussite. Maintenant que vous en avez compris l'importance, vous êtes en droit de vous demander : comment la réaliser? La première phase consiste à procéder à ce qu’on appelle une analyse des risques.

Analyse des risques

La première étape de l'analyse des risques consiste à évaluer les ressources critiques de l'organisation.

On définit les ressources critiques comme les éléments essentiels à l’organisation, sans lesquels la valeur de l’organisation serait moindre, voire inexistante. En voici quelques exemples :

  • les informations,
  • les ressources matérielles (équipements divers, machines, etc.) et logicielles,
  • le personnel (ressource la plus importante et la plus critique),
  • l’image de marque.

Une fois ces ressources identifiées, il est important de déterminer et de classer les menaces qui pèsent sur elles. La question principale est alors : « Quelle est la probabilité qu'une telle menace (1er membre de l'équation) apparaisse et quel serait son impact (2eme membre de l'équation) sur mon organisation ? »

Les risques à traiter

Voir aussi

Fiche thématique: Vers et virus

Fiche thématique: Chevaux de Troie

Fiche thématique: Defacement

Vers et virus

Chevaux de Troie

Defacement

Les menaces les plus fréquentes et les plus préjudiciables (qui peuvent causer des impacts majeurs) seront à considérer en priorité. Ces menaces peuvent être de nature intentionnelle ou non intentionnelle. Les menaces intentionnelles sont le fruit d’une activité humaine à caractère malveillant, telles que les virus, les chevaux de Troie, les intrusions, le defacement, tandis que les menaces non intentionnelles peuvent résulter d’erreurs fortuites, d’accidents, de pannes, voire de catastrophes naturelles.

Une fois que vous aurez identifié les risques à traiter, vous pourrez entamer la seconde phase de l'exercice, à savoir leur traitement.

Le traitement des risques

Traiter les risques ne veut pas dire, les réduire à 0 (le risque 0 n'existant pas) cela équivaut plutôt à les amener à un niveau acceptable en fonction de leur impact. Le niveau à obtenir est généralement déductible des objectifs de l'organisation même. Mais attention, chaque cas est particulier.

Un exemple tout simple :

Une entreprise réalisant 90% de son chiffre d'affaires en porte-à-porte peut-elle se permettre de voir son site Internet injoignable pendant plusieurs heures ? Assurément. La même société peut-elle se permettre de voir sa base de données client injoignable par ses VRP ? Certainement pas.

Vous allez donc définir en termes informatiques et à l'aide de votre analyse des risques, les exigences incontournables quant à la réalisation de vos objectifs en termes informatiques. En résumé, grâce à cette démarche, vous connaîtrez vos points forts et vos points faibles, vous saurez ce dont vous avez besoin pour assurer la pérennité de votre organisme et vous connaîtrez les menaces qui pourraient mettre en péril la bonne marche de votre société. Sachez toutefois qu’il est très difficile d’agir sur les menaces. Pour réduire les risques, vous devez donc, soit agir sur vos vulnérabilités, soit essayer de réduire l’impact qu’aurait l’exploitation d’une de ces vulnérabilités par une menace.

Pour réduire l’impact d'une telle exploitation, des mesures préventives appelées contre-mesures doivent préalablement être mises en place . La création de redondances dans le parc machine, la sauvegarde régulière des données, la mise en place d’un pare-feu, d’un logiciel anti-virus, de mesures de sécurité physiques sont des exemples de contre-mesures typiques.

Il est cependant très important de bien coordonner toutes les démarches que vous implémenterez, qu'il s'agisse de mesures préventives ou de mesures correctives. Il est donc très important de rédiger après l’analyse des risques ce que l’on appelle une politique de sécurité. Elle vous permettra de formaliser les résultats de l’analyse que vous venez d'entreprendre, de l'accompagner dans le temps et vous fournira un support pour la communication dans l'entreprise.

Au secours, je n'y connais rien !!! Ou comment partir de rien...

Il existe de nombreuses ressources dignes d'intérêt, en particulier sur Internet, qui vous guideront dans votre démarche.

Tout d'abord, le site de Cases (http://www.cases.lu), riche en fiches pédagogiques, vous aidera à comprendre plus en avant ce que sont les menaces, les vulnérabilités, les contre-mesures, les technologies de sécurité, les politiques de sécurité, etc.

Si vous recherchez une méthode pour formaliser une démarche de gestion de risques, il en existe plusieurs qui sont gratuites et reconnues internationalement. Attention, elles demandent parfois des connaissances complémentaires ou un investissement en temps supplémentaire selon la taille de l'analyse à mener. Nous pouvons citer en exemple (liste non exhaustive) :

Enfin, si vous avez besoins de conseils sécurité sur des produits bien spécifiques, contactez la société ou l'organisme qui a conçu le produit en question, notamment via leur site Web.

-- Sébastien P. --
Level Icon SOUS-RUBRIQUES
Fade
Fade 1


Haut de page


  Dernière mise à jour de
  cette page le :
  27-02-2007

Copyright © Cyberworld Awareness Security Enhancement Structure   Aspects légaux | Contact