Quel que soit le secteur d'activité d'une organisation ou le cadre de gestion de la sécurité de l'information qu'elle utilise, il est plus que probable qu'elle doive procéder à une évaluation des risques. Il s'agit souvent d'un problème majeur et d'une source de confusion pour de nombreuses organisations, car le terme "évaluation des risques" peut revêtir différentes significations selon le contexte. Même le mot "risque" peut avoir des significations différentes selon les personnes. Ce guide apportera des éclaircissements sur ces sujets et bien plus encore.
Pour procéder à une évaluation des risques, il est important de comprendre à quoi le mot "risque" fait référence dans le contexte de la sécurité de l'information. Les mots menace, vulnérabilité et risque sont souvent utilisés de façon interchangeable dans le langage courant, mais dans le contexte de la sécurité de l'information, ces termes ont des significations distinctes. Une vulnérabilité est une faiblesse dans la sécurité de l'information d'une organisation. Une menace est un danger qui peut exploiter une vulnérabilité. Les parties qui représentent une menace et qui exploitent une vulnérabilité sont communément appelées agents de menace. Le risque est l'impact d'une menace qui exploite une vulnérabilité en tenant compte de la probabilité que cet événement se produise. Il peut être exprimé comme suit :
Impact d'une menace x Probabilité d'occurrence de l'événement = Risque
Par exemple, un ordinateur équipé d'un logiciel antivirus dont les définitions de virus sont périmées représente une vulnérabilité, alors qu'une infection par un logiciel malveillant représente une menace. Si l'impact de cet événement est perçu comme catastrophique et qu'il est très probable qu'il se produise, il s'agit alors d'un risque critique. En revanche, si l'impact de cet événement est perçu comme minime et peu probable, il s'agit alors d'un risque faible.
Les termes évaluation des risques et analyse des risques décrivent des activités liées, mais différentes. L'évaluation des risques consiste à identifier toutes les menaces et les vulnérabilités, ainsi que les impacts et les probabilités qui y sont associés. Essentiellement, il s'agit pour l'organisation de répondre à la question "Qu'est-ce qui peut mal tourner ?" Une analyse des risques évalue les résultats découverts lors de l'évaluation des risques. Les activités typiques réalisées au cours d'une analyse des risques sont les suivantes :
Il existe de nombreux types de menaces et de vulnérabilités qu'une organisation doit identifier. Bien que chaque organisation existe dans un environnement de menaces unique, il existe de nombreuses menaces et vulnérabilités communes à la plupart des organisations.
Les menaces peuvent être humaines ou non humaines et peuvent provenir de l'intérieur ou de l'extérieur. Par exemple, les menaces/agents de menace les plus courants comprennent, mais sans s'y limiter :
Comme indiqué précédemment, les vulnérabilités sont des faiblesses présentes au sein d'une organisation qui peuvent être exploitées. Il est essentiel que les vulnérabilités soient correctement identifiées, car la gestion des vulnérabilités est du ressort de l'organisation, alors qu'elle n'a que peu ou pas de contrôle sur les menaces auxquelles elle est confrontée. Les vulnérabilités les plus courantes sont, entre autres, les suivantes :
Il existe deux approches courantes de l'analyse des risques : l'approche quantitative et l'approche qualitative. Une analyse quantitative des risques tente d'attribuer un coût monétaire associé à l'exploitation d'une vulnérabilité par un agent de menace. Une analyse qualitative des risques utilise des descripteurs pour classer les risques par catégories. Par exemple, un schéma hiérarchique peut être utilisé, comme des risques élevés, moyens et faibles, pour établir des priorités. Les deux méthodes ont leurs avantages, et une organisation doit donc déterminer quelle méthode est appropriée à sa situation particulière.
Bien qu'il existe de multiples façons de déterminer les valeurs monétaires associées aux risques, certains concepts clés sont considérés comme fondamentaux lors d'une analyse quantitative des risques. Ces concepts clés sont :
L'ELS est calculé à l'aide de la formule suivante :
Valeur de l'actif x Facteur d'exposition = ELS
L'ALE est calculé à l'aide de la formule suivante :
SLE x ARO = ALE
Par exemple, si la valeur d'un actif est de 10 000 $ et qu'une entreprise prévoit qu'une menace spécifique coûtera 25 % de la valeur de l'actif, l'espérance de perte unique est de 2 500 $. Si le BRA est de 0,5, ce qui signifie que l'événement se produira une fois tous les deux ans, l'espérance de perte annuelle sera calculée en multipliant l'ELS de 2 500 $ par 0,5, soit 1 250 $. Ces valeurs sont extrêmement utiles pour une organisation, car elles peuvent être utilisées pour identifier les risques à fort impact, les classer par ordre de priorité et fournir à la direction des valeurs spécifiques à partir desquelles elle peut prendre des décisions.
Ce type d'analyse des risques est utile car il fournit une perspective de haut niveau des risques auxquels une organisation est confrontée. Bien qu'il existe de nombreuses façons d'attribuer des valeurs à l'impact et à la probabilité, un schéma commun consiste à appliquer des valeurs élevées, moyennes et faibles à chaque facteur. Ces valeurs peuvent être utilisées pour construire une matrice qui peut ressembler à celle-ci :
| Impact |
|||
| Probabilité |
Catastrophique |
Grave |
Minime |
| Imminent |
Risque élevé |
Risque élevé |
Risque moyen |
| Probable |
Risque élevé |
Risque moyen |
Risque faible |
| Peu probable |
Risque moyen |
Risque faible |
Risque minimal |
Cette matrice peut être utilisée comme outil de décision pour la direction. Par exemple, une organisation peut dire que les risques élevés et moyens doivent être traités d'une manière ou d'une autre pour réduire le niveau de risque à un niveau acceptable.
Il existe de nombreuses méthodologies publiées pour aider à guider une organisation dans le processus d'évaluation et d'analyse des risques, qui varient en termes de complexité et de portée.
Cette publication, qui est l'une des méthodologies les plus populaires, fournit des conseils pour la réalisation d'évaluations des risques de toutes tailles. Depuis les évaluations à l'échelle de l'organisation jusqu'aux évaluations spécifiques à une application, cette méthodologie décrit les techniques d'identification des menaces et des vulnérabilités, l'analyse des contrôles, la détermination de la probabilité et de l'impact, ainsi que les exigences relatives à la communication des résultats des évaluations des risques.
Cette méthodologie est utile lorsqu'une organisation a mis en place un système de gestion de la sécurité de l'information en utilisant la norme ISO/IEC 27001. Bien qu'elle fournisse des conseils très similaires à ceux de la publication du NIST, la norme ISO/IEC 27005 se concentre davantage sur l'aspect plus doux de la sécurité de l'information, en mettant l'accent sur la nécessité de la documentation, des ressources humaines et de la formation.
L'évaluation et l'analyse des risques doivent être un processus continu car l'environnement des menaces d'une organisation est en constante évolution. Cela permettra à l'organisation d'atténuer les risques à un niveau acceptable en identifiant les contrôles supplémentaires qui pourraient devoir être mis en place, ou de déterminer d'autres actions que l'organisation pourrait être en mesure de prendre pour faire face aux risques. L'évaluation et l'analyse des risques sont essentielles au développement et au maintien d'une organisation sûre, car elles obligent les organisations à reconnaître et à traiter les risques, et leur permettent d'allouer correctement les ressources afin de réduire les risques le plus efficacement possible.