Définitions et concepts de risque
Concept de risque
Le risque est omniprésent dans notre vie de tous les jours. Quand nous traversons la rue, quand nous prenons notre voiture, en faisant des paris sportifs, en pratiquant un sport et même en faisant des achats sur Internet.
Nous pratiquons donc, en permanence, et parfois de manière inconsciente la gestion du risque. Ici, c’est notre cerveau qui l’évalue. En pratiquant des activités plus ou moins à risque, il est capable de proposer une solution pour réduire ce dernier. Par exemple, pendant nos vacances d’hiver, quand nous pratiquons le ski ou la luge en portant un casque, nous faisons le choix de réduire le risque. En évitant de nous rendre sur les pistes noires, nous décidons de le supprimer totalement. Et enfin, pour les sportifs expérimentés ou les amateurs de sensations fortes, ils font le choix de l’accepter lorsqu’ils descendent des pentes vertigineuses. Le risque est donc la possibilité qu’un évènement non désiré se produise, plus ou moins grave, et puisse causer un dommage. Dans le cas d’une entreprise par exemple, il pèse sur elle le risque de générer une perte de bénéfice, de données critiques ou encore de personnel. En fonction des choix des dirigeants, l’entreprise pourra accroître sa sécurité, sa réputation et sa stabilité ou au contraire affaiblir son image et causer sa propre perte. La gestion du risque en somme est le processus d’identification ajouté à la mise en place d’un plan d’action afin de réduire les risques au maximum.
Le concept de risque se définit selon différents points de vue. Les évènements non désirés ou imprévus peuvent avoir un impact positif, négatif et parfois les deux simultanément....
Définition du risque
Daniel Bernoulli a défini le risque en 1738 de la manière suivante : « Le risque est l’espérance mathématique d’une fonction de probabilité d’évènements », signifiant qu’il s’agit de la valeur moyenne des conséquences pondérée par leur probabilité.
Aucun modèle d’analyse de risque n’est fiable à cent pour cent. Il demeure toujours une incertitude, qui peut être soit négligeable, soit avoir un impact comme une perte, une altération des données ou encore leur divulgation. Parfois, l’impact peut être majeur comme une panne internet, de courant, ou dramatique en causant des pertes humaines.
C’est pourquoi les individus, et les organisations, cherchent toujours différents moyens de prévoir les risques qu’ils courent. Hormis des cas rares, la plupart des risques peuvent être anticipés ou évités en mettant au point des parades toujours plus efficaces. Malgré tout, il est fortement conseillé d’évaluer les risques pour chaque organisation ou particulier, mais aussi de prendre les précautions avant l’incident. Par exemple, l’arrêt de la production dans une usine à la suite d’un incident représente une plus grosse perte financière que la mise en place en amont d’un plan de sécurité.
Le modèle probabiliste est le modèle le plus utilisé en analyse de risque. On utilisera le terme probabilité ou vraisemblance pour référer à la possibilité qu’un évènement se produise. On parle alors de risque quand la probabilité qu’un évènement se déroule sans encombre est inférieure à 100 %....
Les statistiques et les risques
Il est important, dans la gestion du risque, de quantifier, mais aussi de qualifier le risque pour l’appréhender de la meilleure manière. Pour évaluer ce dernier, il faut vérifier toutes les hypothèses, les données disponibles mais aussi les caractéristiques d’exposition. Malheureusement, il faut aussi prendre en compte que certaines situations à risque sont inconnues ou connues partiellement. La méconnaissance d’une situation ne fait pas d’elle une situation qui n’engendrera pas de risque.
Par exemple, sur certaines plages, la présence d’un drapeau rouge pourra dissuader un grand nombre de personnes d’aller s’aventurer loin de la côte à la nage, voire dissuader totalement la baignade. Grâce à ce code, qui envoie un message d’alerte, le nombre d’incidents se trouvera réduit, voire nul.
Ici, la mesure mise en place (le drapeau) a réduit le risque faisant tomber les statistiques d’incident à 0 % sur les deux dernières années.
Cependant, si aucun incident n’est à déplorer sur cette plage, nous pourrons penser qu’elle ne présente aucun risque, qu’elle n’est donc pas dangereuse. Certains pourraient penser même que le système d’information des drapeaux est inutile, coûteux ou encore inesthétique et jugeraient qu’il n’a plus lieu d’être.
Il faut savoir trouver un équilibre dans la gestion du risque : toujours appréhender le risque même s’il n’est pas encore perceptible. C’est l’une des principales difficultés, car même une réduction du risque peut être - dans certaines mesures - trompeuse. Il est de bon ton d’éviter les raisonnements...
L’opportunité par le risque
Certaines opportunités peuvent se dégager d’un scénario de risque. L’opportunité permet une amélioration de la performance d’une organisation mais peut aussi engendrer un nouveau risque. Par exemple, une société souhaitant élargir son activité et saisir l’opportunité d’un nouveau marché devra faire face à des problématiques qu’elle ne maîtrise pas et pour lesquelles ses processus sont inopérants. Le risque qu’un évènement négatif se produise est alors augmenté, mais l’organisation peut tout de même en tirer des bénéfices.
Une opportunité peut également naître d’un évènement défavorable. Par exemple, une crise au sein d’une organisation peut être l’opportunité d’un changement de stratégies, de modèle économique, etc.
La perception du risque
Tout le monde a une perception différente du risque. En effet, c’est une notion purement subjective et difficilement quantifiable, malgré la présence de faits.
L’exemple du danger face au monde animal nous aidera largement à illustrer la différence entre le véritable risque et le risque perçu. En dépit du fait que le requin est beaucoup moins mortel que le moustique, énormément de gens évitent toute baignade par peur du prédateur marin, sans se soucier des maladies provoquées par l’insecte. L’ISAF (International Shark Attack File) a estimé que, par jour, 1 million d’interactions hommes-requins ont lieu, qui dans la grande majorité se déroulent sans que l’on ne s’en rende compte. L’homme ne fait tout simplement pas partie du régime alimentaire du requin et il est donc injustement taxé de « mangeur d’hommes ». Pour finir, le peu d’accidents liés à une attaque de requins est automatiquement relayé par la presse, ce qui alimente la peur commune de ces animaux.
En sécurité de l’information, nous pouvons évoquer les fraudes de cartes de crédit. Statistiquement, ces fraudes lors d’un paiement en caisse sont beaucoup plus courantes que lors d’un paiement en ligne. Malgré tout, cela n’empêche pas la majorité des gens d’être beaucoup plus vigilants lors de leurs achats en ligne. La diffusion d’informations sur les risques peut donner naissance à des réactions qui sont incohérentes : on se focalisera sur une situation en particulier, en délaissant une autre qui deviendra une nouvelle porte d’entrée aux attaques.
Nous parlerons plus tard de l’acceptation du risque. Cela peut...
Quelques définitions d’ISO 27000
Nous trouverons ci-dessous quelques définitions données par le chapitre 3 de la norme ISO 27000. Ces termes seront utilisés dans les chapitres suivants de cet ouvrage et leur bonne compréhension est importante.
ISO 27000 : termes et définitions
3.6 : authenticité : propriété selon laquelle une entité est ce qu’elle revendique être.
3.7 : disponibilité : propriété d’être accessible et utilisable à la demande par une entité autorisée.
3.10 : confidentialité : propriété selon laquelle l’information n’est pas diffusée ni divulguée à des personnes, des entités ou des processus non autorisés.
3.11 : conformité : satisfaction d’une exigence.
3.21 : évènement : occurrence ou changement d’un ensemble particulier de circonstances.
3.29 : continuité de la sécurité de l’information : processus et procédures visant à assurer la continuité des opérations liées à la sécurité de l’information.
3.30 : évènement lié à la sécurité de l’information : occurrence identifiée de l’état d’un système, d’un service ou d’un réseau indiquant une faille possible dans la politique de sécurité de l’information ou un échec des mesures de sécurité, ou encore une situation inconnue jusqu’alors et pouvant relever de la sécurité.
3.31 : incident lié à la sécurité de l’information : un ou plusieurs évènements liés à la sécurité...
La sécurité de l’information
Dans le but d’améliorer la sécurité de l’information, il faut pouvoir répondre à ces quatre questions :
-
Quelles informations devons-nous protéger ?
-
Pourquoi devons-nous les protéger ?
-
Comment devons-nous les protéger ?
-
De quoi devons-nous les protéger ?
Les informations en question ne sont pas forcément informatisées. Nous parlons ici de tout type d’informations comme des documents papier, des enregistrements (audio ou vidéo), des e-mails ou même de conversations. Le risque, en sécurité de l’information, est la possibilité que des menaces exploitent une ou des vulnérabilités d’un actif. Pour comprendre plus précisément, il faut retenir deux formules simples, celle de la probabilité, et celle du risque.
Probabilité = Menace x Vulnérabilité |
Risque = Probabilité x Conséquence |
Lutter efficacement contre les menaces et les vulnérabilités qui visent les actifs permet de réduire la probabilité qu’un évènement non désiré se produise, et de fait réduit le risque.
Les types de mesures de sécurité
Une mesure de sécurité est un moyen mis en œuvre pour modifier un risque. Ce moyen peut le réduire, l’annuler ou l’aggraver. Les mesures de sécurité de l’information s’articulent autour de quatre grandes familles : les contrôles techniques, administratifs, managériaux et juridiques.
-
Les mesures techniques : elles consistent par exemple à vérifier que les antivirus des serveurs et/ou postes de travail sont mis à jour régulièrement et automatiquement.
-
Les mesures administratives : elles permettent, par exemple, de s’assurer que le processus de création d’accès est opérationnel. À titre d’illustration, on pourrait citer des membres du service des ressources humaines qui vérifieraient que l’accès aux serveurs est garanti pour un nouvel employé.
-
Les mesures managériales : elles accompagnent la création, par exemple, de plans de formation qui assurent la réalisation des tâches du personnel.
-
Les mesures juridiques : elles assurent, par exemple, que les directives européennes sont appliquées au sein de l’organisation (RGPD).
Pour aller plus loin, nous pouvons également dire qu’il existe des mesures préventives, détectives et correctives. Les mesures préventives diminuent la probabilité, en agissant directement sur les vulnérabilités et les menaces de l’actif, les deux autres en revanche minimisent la conséquence car ne pourront pas empêcher l’évènement de se produire. Voici quelques exemples :
-
Une mesure préventive permet d’éviter que l’évènement ne se produise. En utilisant des matériaux ignifugés, on empêche l’apparition...
Les avantages de la gestion du risque
Chaque organisation, quelle qu’elle soit, est confrontée à des facteurs internes et externes qui peuvent influer sur l’atteinte de leurs objectifs. La gestion du risque permet de les identifier et de réfléchir à une manière de les appréhender dans le but d’atteindre ses objectifs et d’effectuer ses missions tout en respectant ses valeurs.
La gestion du risque permet également de bien connaître les actifs présents au sein de son organisation. Elle permet de s’assurer que l’organisation est bien au fait des risques auxquels elle s’expose, et qu’elle est prête à établir et mettre en place des moyens afin de réduire ou empêcher les incidents. Elle permettra également de se conformer aux réglementations et aux obligations légales comme le RGPD (Règlement général sur la protection des données).
La théorie connaissant parfois ses limites en matière de détection des risques, il est important de pointer tous les risques éventuels, même les plus improbables. De plus, faire appel à un expert dans le domaine permet d’avoir un regard objectif et extérieur sur ses besoins. En effet, une analyse de risque se doit d’être la plus objective possible, mais en pratique il y aura toujours de la subjectivité due au facteur humain et la perception de chacun.
Une gestion du risque solide, bien menée et en amélioration continue, ne nécessite pas forcément un lourd investissement financier. Au contraire, des bénéfices peuvent en être tirés en détectant par exemple des risques qui ne sont pas apparents et ainsi éviter des incidents qui pourraient mener à une perte significative.
Conclusion
Le risque est une notion qui nous est extrêmement familière mais qui, paradoxalement, n’est pas si évidente que cela à appréhender. Nous avons vu dans ce chapitre qu’un même risque peut être perçu différemment en fonction des points de vue de chacun, qu’une nouvelle opportunité implique toujours un nouveau risque à gérer et que, pour en réduire le niveau, il faut soit diminuer sa probabilité, soit sa conséquence. Nous verrons tout au long de cet ouvrage des méthodes pour détecter ces risques, les évaluer et les traiter.