1. Livres & vidéos
  2. La norme ISO/IEC 27005
  3. Risques d'un projet
Extrait - La norme ISO/IEC 27005 Maîtriser la gestion des risques en sécurité de l'information (2e édition)
Extraits du livre
La norme ISO/IEC 27005 Maîtriser la gestion des risques en sécurité de l'information (2e édition) Revenir à la page d'achat du livre

Étude de cas 3 - Risques d'un projet

Introduction

Ce chapitre illustrera une étude de cas portant sur un projet spécifique au sein d’une entreprise. Il s’agit d’un exemple inspiré d’un cas réel. Pour des raisons de confidentialité, le secteur d’activité du client a été modifié ainsi que les spécificités du projet. Cette étude de cas sera très succincte car l’idée ici est de démontrer l’applicabilité d’une analyse de risques à un projet sans pour autant rentrer dans les détails techniques.

Le contexte

L’entreprise est un fonds d’investissement implanté dans plusieurs pays d’Europe. Cherchant toujours à s’étendre davantage, elle envoie régulièrement ses experts financiers à travers le monde pour dénicher de nouvelles opportunités. Des besoins techniques se font alors ressentir lorsqu’il s’agit de signer et d’investir dans de nouvelles affaires rapidement. Le fonds d’investissement décide alors d’équiper ses experts d’ordinateurs portables connectés au réseau de l’entreprise via un tunnel VPN, leur permettant ainsi d’être réactifs sur le terrain et de ne manquer ainsi aucune opportunité.

Si les métiers sont emballés par cette idée, la RSSI de l’entreprise se montre beaucoup plus réservé. En effet, expédier des ordinateurs à travers le globe disposant d’une liaison directe avec le réseau de la société n’est pas un projet à prendre à la légère et une analyse de risques va devoir s’imposer. La direction entend alors la position du responsable de la sécurité du système d’information et fait donc appel à une société externe pour les aider dans cette démarche. C’est là que nous intervenons....

L’analyse de risques

Le consultant commence sa mission en échangeant avec la RSSI pour comprendre les besoins réels du métier et connaître sa position sur le projet en question. Il s’avère que la RSSI est peu favorable à sa réalisation et elle souhaite que l’analyse de risques penche vers l’inacceptabilité de ce dernier.

Comme nous l’avons vu tout au long de cet ouvrage, la sécurité de l’information ne doit en aucun cas devenir un frein à l’exercice des activités de l’entreprise. La mission étant ici de faire des affaires à travers le monde, notre travail est donc de permettre à l’entreprise de les effectuer de manière la plus sécurisée possible, et non de l’en empêcher. De plus, prendre des risques pour saisir une opportunité est quelque chose de tout à fait acceptable dans le monde des affaires. Il sera alors de notre devoir de mesurer ces risques et les expliquer aux différentes parties prenantes de l’entreprise pour qu’elles puissent en toute connaissance de cause décider de les accepter, ou non.

Le prochain interlocuteur avec lequel le consultant va devoir échanger est le DSI de l’entreprise. En effet, une bonne compréhension de l’architecture est indispensable pour mener à bien ce type de mission. Le consultant va donc devoir échanger avec cette personne ainsi que les membres de son équipe pour visualiser au mieux l’état du réseau, des systèmes et de la sécurité en général.

À ce stade, le consultant choisit de réaliser son analyse de risques avec une approche par scénarios. Il explique son choix par le fait que dans le cadre de ce projet, le chemin d’accès principal d’une personne malveillante serait le ou les ordinateurs portables des experts financiers en voyages d’affaires. Le nombre de ces machines est connu, et limité. C’est pourquoi l’approche par scénarios, tous orientés vers ces machines, semble la plus facile à mener, à comprendre et à faire comprendre à toutes les parties prenantes.

Il définit alors des échelles pour l’aider dans l’évaluation des risques....

Conclusion

Nous avons vu lors de cette étude de cas qu’un simple projet peut faire l’objet d’une analyse de risques et qu’avec des mesures de sécurité très poussées, même les projets qui semblent sur le papier les plus risqués sont tout à fait réalisables. La personne en charge de la fonction RSSI de l’entreprise est d’ailleurs agréablement surprise du faible niveau de risque évalué lors de cette étude et est désormais pleinement investie dans le projet. Rappelons que l’adhésion à un projet est la première étape du succès de celui-ci.