1. Livres & vidéos
  2. La norme ISO/IEC 27005
  3. Identification des risques
Extrait - La norme ISO/IEC 27005 Maîtriser la gestion des risques en sécurité de l'information (2e édition)
Extraits du livre
La norme ISO/IEC 27005 Maîtriser la gestion des risques en sécurité de l'information (2e édition) Revenir à la page d'achat du livre

Identification des risques

Introduction

L’identification des risques constitue la première étape concrète du processus d’analyse. Elle vise à établir une liste structurée des scénarios pouvant entraîner des conséquences négatives pour l’organisation. Ces risques peuvent émerger aussi bien de facteurs internes que de l’environnement externe, et leur origine peut tout à fait échapper au contrôle direct de l’organisation.

La norme ISO/IEC 27005:2022 accorde une grande importance à cette phase, car elle conditionne l’efficacité des étapes suivantes : si un risque n’est pas identifié, il ne pourra ni être évalué, ni être traité. C’est pourquoi il convient de mener un travail méthodique, rigoureux et adapté au contexte propre de l’organisation.

Pour ce faire, nous devrons commencer par identifier les actifs qui seront pris en compte dans l’évaluation des risques, en prenant bien soin de les classer en fonction des trois grands principes de la sécurité, à savoir leur disponibilité, leur intégrité et leur confidentialité.

Un actif peut être du matériel, un logiciel, une documentation, une information, une personne exerçant un rôle majeur et qui nécessitent d’être protégés…...

Techniques pour rassembler les informations

L’identification des risques repose avant tout sur la qualité des informations collectées. Il est donc essentiel de s’appuyer sur des techniques fiables, adaptées au contexte et à la structure de l’organisation, afin de garantir une vision complète des actifs, des menaces, des vulnérabilités et des mesures déjà en place.

Plusieurs méthodes peuvent être mobilisées pour rassembler ces données : les questionnaires, les entretiens individuels, l’analyse documentaire, mais aussi l’organisation d’ateliers collaboratifs, l’observation sur le terrain ou encore l’utilisation d’outils d’analyse automatique. Le choix des techniques à employer dépendra notamment du niveau de maturité de l’organisation en matière de sécurité de l’information, de la disponibilité des acteurs impliqués, de la sensibilité des sujets abordés ou encore du périmètre étudié.

Les sections suivantes détaillent les principales approches mobilisables pour mener à bien ce travail d’investigation.

1. Questionnaire

Lors de la phase de conception d’un projet ou à l’occasion d’un audit de sécurité, le recours à un questionnaire peut constituer un outil précieux pour initier l’identification des risques. Il s’agit d’un moyen structuré et reproductible permettant de collecter rapidement des informations essentielles sur les actifs, les traitements de données ou les mesures de sécurité existantes.

Les questionnaires permettent notamment d’évaluer, dès les premières étapes, le niveau de confidentialité des données manipulées, ainsi que les exigences en termes de disponibilité et d’intégrité. Les questions abordent des thématiques variées telles que les mécanismes d’authentification, la gestion des droits d’accès, l’usage du chiffrement, les protections contre les logiciels malveillants, ou encore les pratiques de sauvegarde....

Identification des actifs

Entrées

Actions

Sorties

Portée et limites de l’évaluation des risques à mener, liste des constituants avec propriétaires, localisation, fonction, etc.

Les actifs compris dans le périmètre établi doivent être identifiés.

Une liste des actifs dont les risques doivent être gérés et une liste des processus opérationnels liés aux actifs et leur pertinence.

Pour rappel, un actif est tout ce qui a de la valeur pour l’organisation et donc nécessite d’être protégé. Cela ne se limite pas aux matériels et aux logiciels, les informations en format papier sont aussi concernées, ainsi que les processus, les procédures, les employés, etc. Cette identification doit également tenir compte des interdépendances entre actifs et de leur contribution aux objectifs métier.

L’identification des actifs peut se limiter à ceux ayant la plus importante valeur pour l’organisation. La méthodologie OCTAVE (Operationally Critical Threat, Asset, And Vulnerability Evaluation, en français « évaluation des menaces, des actifs et des vulnérabilités opérationnellement critiques »), que nous étudierons dans le chapitre Étude de cas 1 - Mise en conformité, suggère de ne prendre en compte que 5 à 10 actifs. Cependant, le gestionnaire de risque retiendra autant d’actifs qu’il lui semblera nécessaire, en fonction du niveau de détail qu’il souhaite obtenir. Le processus de gestion des risques étant itératif, et inscrit dans une logique d’amélioration continue, il sera tout à fait possible d’affiner le niveau de détail au cours des itérations.

De manière globale, chaque organisation devrait posséder et maintenir un inventaire des actifs. Pour des raisons de comptabilité, d’assurances, lors de la réalisation d’un audit, ou la réalisation d’une évaluation des risques, c’est un outil indispensable. Il peut se présenter sous forme d’un document Excel, ou d’une base de données plus élaborée, mais doit contenir des informations essentielles telles que :

  • le type ;

  • le format ;...

Identification des menaces

Une menace est une cause potentielle d’un évènement non désiré pouvant nuire à une organisation.

Une menace a le potentiel de nuire à des actifs tels que des informations, des processus et des systèmes et, par conséquent, à l’organisation elle-même. Les menaces peuvent être d’origine naturelle ou humaine, accidentelles ou délibérées.

Elles peuvent également provenir de l’intérieur ou de l’extérieur de l’organisation. Il est donc indispensable de les identifier selon leur nature : accidentelles, comme l’envoi par erreur d’informations confidentielles ; délibérées, comme un pirate informatique s’introduisant dans le système d’information ; ou environnementales, comme un séisme qui détruirait un centre de données. Aucune d’entre elles ne doit être négligée.

N’oublions pas que certaines menaces peuvent affecter plusieurs actifs, mais l’impact ne sera pas nécessairement le même.

La norme ISO 27005 préconise d’effectuer cette étape en deux temps. Tout d’abord, une identification des menaces de manière générique, en se basant par exemple sur des listes de menaces déjà créées et disponibles sur Internet....

Identification des contrôles existants

Comme nous l’avons vu dans la partie précédente, l’analyse de l’existant est un point essentiel lors d’une analyse de risques. Certaines menaces peuvent être contrées efficacement à l’aide de mesures déjà en place au sein de l’organisation. Cela permet d’économiser du temps de mise en œuvre mais également des coûts.

La notion économique est un point très important et un problème récurrent en matière de sécurité du système d’information. La sécurité est en effet souvent jugée trop coûteuse et le bénéfice est très difficile à calculer car il s’agit d’estimer la perte financière dans l’éventualité où un incident de sécurité aurait lieu. C’est pourquoi certaines directions peuvent parfois être réticentes à l’idée d’investir dans ce domaine. Il faut donc particulièrement insister sur le fait qu’une organisation sécurisée au maximum bénéficiera d’une réputation sérieuse et d’une sérénité quant à la sauvegarde de ses informations confidentielles.

Quels sont donc les moyens à mettre en œuvre afin d’identifier ces mesures existantes ? Comme...

Identification des vulnérabilités

ISO/IEC 27005, clause 8.2.5 :

La présence d’une vulnérabilité ne cause pas de préjudice en soi, car il faut qu’une menace soit présente pour l’exploiter.

Une vulnérabilité qui n’a pas de menace correspondante peut ne pas nécessiter la mise en œuvre d’un contrôle, mais doit être reconnue et surveillée.

Il convient de noter qu’un contrôle ou un contrôle incorrectement mis en œuvre ou défectueux, ou utilisé de manière incorrecte pourrait lui-même constituer une vulnérabilité.

Une vulnérabilité n’engendre pas nécessairement de préjudice en soi : elle doit être associée à une menace pour produire un effet négatif sur l’organisation. Il convient néanmoins de les identifier précisément afin d’évaluer leur rôle potentiel dans les scénarios de risques.

La présence d’une vulnérabilité peut être identifiée dans différents domaines tels que l’organisation, les processus, les procédures, le personnel, le matériel, les logiciels, l’environnement, la configuration des éléments du système d’information ou encore des routines de gestion. Cette liste n’est pas exhaustive.

La norme ISO/IEC 27005:2022 propose dans son annexe A.2.5.2 une liste d’exemples de vulnérabilités réparties par catégorie

Exemple de tableau de vulnérabilités inspiré de l’annexe A.2.5.2 de la norme ISO/IEC 27005:2022, enrichi à des fins pédagogiques :

Catégorie

Exemple de vulnérabilités

Matériel

Entretien insuffisant

Susceptibilité de variations de tension...

Identification des conséquences

Les conséquences sont le résultat de l’impact provenant de la rencontre d’une menace et d’une vulnérabilité.

Une conséquence peut se présenter sous la forme d’une perte d’activité ou d’efficacité, de dommages physiques ou virtuels, d’interruption de service, d’atteinte à la sécurité du personnel, d’une perte de réputation, etc. Ces conséquences peuvent être temporaires, s’il est possible de corriger ou réparer, ou définitives si l’actif a été volé ou détruit.

Les conséquences doivent être évaluées en lien avec les objectifs de l’organisation et les critères de sécurité de l’information, à savoir de disponibilité, d’intégrité et de confidentialité.

  • La disponibilité d’un actif est l’assurance que celui-ci est accessible dans la plage horaire définie - Le serveur d’affichage des informations dans le hall d’entrée doit fonctionner pendant les heures de bureau alors que le serveur d’accès à distance doit être opérationnel 24 heures sur 24.

  • L’intégrité d’un actif est l’assurance que celui-ci n’a été en aucun cas altéré et demeure exact et complet, comme les fiches de paie des employés.

  • La confidentialité d’un actif est l’assurance que celui-ci est accessible uniquement par les personnes autorisées - Le personnel ne peut pas consulter les fiches de paie de ses collègues.

Le tableau ci-dessous donne des exemples d’impact selon les critères de sécurité.

Disponibilité

Intégrité

Confidentialité

Baisse des performances

Perte de données

Violation de la vie privée des clients

Interruption du service

Données corrompues

Violation de la vie privée du personnel

Interruption...

Conclusion

L’identification du risque constitue le socle de l’analyse du risque. C’est lors de cette étape que le gestionnaire du risque dresse un inventaire de l’existant, que ce soient les actifs, leurs vulnérabilités, les menaces potentielles, les mesures de sécurité mises en place, et les conséquences envisageables. Ces connaissances lui permettront de construire une base solide pour la suite du processus, et d’affiner au maximum son analyse et ainsi obtenir une évaluation des risques la plus complète et la plus pertinente possible.

Cette phase conditionne la pertinence de toutes les étapes suivantes. Un risque non identifié ne pourra ni être évalué, ni faire l’objet d’un traitement ou d’un suivi. Elle nécessite donc rigueur, méthode, et implication de l’ensemble des parties prenantes. En ce sens, l’identification des risques ne se limite pas à un exercice technique : elle constitue une véritable démarche de compréhension globale du système d’information, de ses forces, de ses faiblesses, et de son exposition aux menaces.

En résumé, bien identifier les risques, c’est donner à l’organisation les moyens de piloter sa sécurité de façon proactive, réaliste et efficace.