Analyse et évaluation du risque
Introduction
Ce chapitre nous aidera à appréhender le processus d’analyse du risque en évaluant les conséquences et la probabilité du risque, permettant d’en identifier le niveau.
Méthodologies d’analyse du risque
Deux approches différentes existent en matière d’analyse du risque :
-
L’approche qualitative
-
L’approche quantitative
1. Approche qualitative
L’approche qualitative est une approche subjective basée sur l’interprétation et la perception des parties prenantes, elle nécessite de récolter une grande quantité de données pour obtenir des résultats. De manière générale, elle est plutôt utilisée dans les projets de grande envergure. Elle repose sur une échelle de qualificatifs donnant un ordre de grandeur des conséquences potentielles ainsi que leurs probabilités (par exemple : faible, moyen, fort…).
On préférera l’analyse qualitative dans un premier temps pour épurer le projet et obtenir rapidement un état des lieux du niveau de risque et ainsi identifier les risques majeurs. Elle peut également être choisie par défaut, par manque d’informations permettant la réalisation d’une analyse quantitative.
Elle a pour avantage d’être facilement compréhensible par toutes les parties prenantes mais est en revanche dépendante du caractère subjectif de l’échelle sur laquelle elle se base. L’approche qualitative permet de répondre à la question : quel est le niveau de conformité de l’organisation en matière de politique de sécurité ?
On peut par exemple dire qu’une organisation possède un « fort » niveau de conformité, qu’en découle donc un risque « faible ».
Par exemple, une entreprise voit son serveur de messagerie tomber en panne. Aucune information sur le prix de la machine, de la main-d’œuvre...
Évaluation des conséquences
Entrées |
Actions |
Sorties |
Une liste des scénarios d’incidents pertinents identifiés, y compris l’identification des menaces, des vulnérabilités, des actifs affectés, des conséquences sur les actifs et les processus métier. |
L’impact commercial sur l’organisation, qui peut résulter d’incidents de sécurité de l’information possibles ou réels, doit être évalué, en tenant compte des conséquences d’une violation de la sécurité de l’information telles que la perte de confidentialité, d’intégrité ou de disponibilité des actifs. |
Une liste des conséquences évaluées d’un scénario d’incident exprimées en termes d’actifs et de critères d’impact. |
L’évaluation des conséquences consiste à mesurer les effets d’un évènement non désiré sur les critères de sécurité de l’information, qui sont : l’intégrité, la disponibilité et la confidentialité. Pour ce faire, nous aurons besoin des critères d’impact et de la valorisation des actifs que nous avons identifiés auparavant lors de l’identification des risques.
Cette évaluation peut être déterminée par une analyse d’impact sur les affaires (Business impact analysis, ou BIA en anglais).
Cette étude permet d’identifier les processus critiques d’une organisation et ainsi mettre en place des stratégies de reprise. Elle ne doit pas être confondue avec une évaluation de risques. Le BIA s’effectue en amont pour quantifier et anticiper les possibles risques financiers, techniques, humains ou naturels.
En détail...
Évaluation de la vraisemblance d’un incident
Entrées |
Actions |
Sorties |
Une liste des scénarios d’incidents pertinents identifiés, y compris l’identification des menaces, des actifs affectés, des vulnérabilités exploitées et des conséquences sur les actifs et les processus métier. En outre, des listes de tous les contrôles existants et prévus, leur efficacité, leur mise en œuvre et leur état d’utilisation. |
La probabilité des scénarios d’incident doit être évaluée. |
Probabilité des scénarios d’incidents (quantitatifs ou qualitatifs). |
La probabilité se définit par la chance que quelque chose se produise.
ISO/IEC 27005, clause 8.3.3 : Évaluation de la probabilité d’un incident.
Après avoir identifié les scénarios d’incident, il est nécessaire d’évaluer la probabilité que chaque scénario et impact se produise, en utilisant des techniques d’analyse qualitative ou quantitative. Il faudra tenir compte de la fréquence à laquelle les menaces se produisent et de la facilité avec laquelle les vulnérabilités peuvent être exploitées. Cependant, il doit être réaliste d’estimer la probabilité d’un incident de sécurité sur un actif au vu des menaces et vulnérabilités dominantes, des impacts associés à l’actif et des contrôles actuellement mis en place.
ISO 31000, clause 3.7 : Probabilité
Note 1 à l’article : Dans la terminologie de la gestion des risques, le mot « probabilité » est utilisé pour désigner la chance que quelque chose se produise, qu’elle soit définie, mesurée...
Détermination d’un niveau de risque
Entrées |
Actions |
Sorties |
Une liste de scénarios d’incident avec leurs conséquences liées aux actifs et aux processus métier et leur probabilité (quantitative ou qualitative). |
Le niveau de risque doit être déterminé pour tous les scénarios d’incident pertinents. |
Une liste de risques avec des niveaux de valeur attribués. |
Le niveau du risque est la combinaison de la probabilité qu’un incident se produise, et les conséquences liées à cet incident. Ainsi, l’utilisation d’une matrice d’évaluation du risque permet d’identifier le niveau du risque par scénario.
La matrice d’évaluation du risque se présente sous forme d’un tableau à double entrée reprenant la probabilité et les conséquences d’un incident. On obtient ainsi un support facile à lire et à interpréter, qui peut s’ajuster au besoin.
Ainsi, un scénario d’incident ayant une probabilité de se réaliser notée « Haut » et ayant une conséquence notée « Bas » sera évalué à 4/8. Le risque sera donc moyen.
En revanche, un scénario d’incident ayant une probabilité de se réaliser notée « Moyen » et ayant une conséquence notée « Très Haut » sera évalué à 6/8. Le risque sera donc haut.
Il est à noter que ce n’est pas la seule façon de déterminer le niveau d’un risque. Plusieurs méthodes existent, qui peuvent être utilisées de manière indépendante ou concomitante. Si l’organisation possède des informations concernant des incidents...
Évaluation du risque
Entrées |
Actions |
Sorties |
Une liste des risques avec des niveaux de valeur attribués et des critères d’évaluation des risques. |
Le niveau des risques doit être comparé aux critères d’évaluation des risques et aux critères d’acceptation des risques. |
Une liste de risques hiérarchisés selon des critères d’évaluation des risques en relation avec les scénarios d’incidents qui conduisent à ces risques. |
Lors de l’évaluation du risque, nous confronterons les risques identifiés dans les chapitres précédents aux critères d’évaluation des risques. Cela nous permettra de classer ces risques par importance et de nous aider dans la prise de décision lorsqu’il s’agira de les traiter.
Le gestionnaire de risque doit alors dans cette phase :
-
s’assurer que les risques identifiés sont pertinents ;
-
s’assurer que les critères d’évaluation sont pertinents ;
-
s’assurer des obligations qui doivent être prises en compte (légales, réglementaires, contractuelles…) ;
-
prioriser les risques.
À ce stade où on en sait beaucoup plus sur les risques liés à l’organisation, les critères d’évaluation et le contexte doivent être réexaminés.
La priorisation des risques s’effectue via la valeur des actifs, des menaces et des vulnérabilités. Un risque ayant un impact plus fort sur l’entreprise sera priorisé, de même s’il est plus faible mais impacte un service primordial et non secondaire de l’organisation. Aussi, certains critères qui sont définis dans la stratégie de gestion de la sécurité doivent être pris en compte, ils aideront...
Évaluation quantitative du risque
Cette section permet de comprendre le concept de ROSI (Return On Security Investment), de savoir calculer les pertes annuelles prévues (en anglais « ALE », Annual Loss Expectancy), et la valeur d’un contrôle de sécurité.
1. Concept de ROSI
Le calcul classique de ROI (retour sur investissement) ne peut pas s’appliquer à la sécurité. En effet, investir dans la sécurité de son entreprise ne signifie pas faire des bénéfices, mais plutôt réduire les pertes potentielles. Il s’agit donc de réduire les risques et ainsi calculer combien de pertes ont pu être évitées grâce aux investissements.
Le concept ROSI (Return On Security Investment) est le retour sur investissement, mais dédié à la sécurité. Ce concept est dérivé du ROI et souvent confondu avec celui-ci. Il définit le retour sur investissement d’une mission de sécurité par rapport à son coût total, sur une période donnée. Toutefois, cette notion de retour sur investissement du concept ROSI est souvent liée à celle nommée « Payback Period » dite du point de retour. C’est la date à partir de laquelle la plus-value dépasse l’investissement qu’a engagé une organisation pour sa sécurité. En somme, ROSI représente le gain financier qu’apporte ce genre de mission, souvent très coûteuse. De plus en plus, on peut observer qu’il permet aussi de quantifier la valeur ajoutée en matière de système de sécurité aussi bien que financier.
C’est un calcul primordial pour confirmer l’importance de la gestion du risque. En effet, si l’investissement peut faire...