Comment Evaluer les risques

Evaluer les risques de sécurité de l'information

Le décor étant planté, voyons comment entrer dans le vif du sujet.

Et si cela se passait, combien cela me coûterait-il ?

Nous identifions les évènements possibles sous forme de scénarios : qui, quoi, comment, quand, sous quelles conditions pour faire quel dommage ?

« Un intrus s’est introduit dans mon compte iCloud, y a copié des photos privées qu’il a publiées sur internet. » (Mésaventure qui est arrivée à un grand nombre d’actrices de Hollywood il y a deux semaines,avec les conséquences dont on se doute.)

« J’ai oublié d’éteindre le percolateur en quittant la maison ce matin. Et si la surchauffe causait un court-circuit, cela va-t-il mettre le feu à la boite de filtres qui est juste à côté, faire fondre la bouteille d’huile de friture dans l’armoire au dessus, embraser la cuisine et détruire toute la maison ? »

3 questions pour estimer la vraisemblance de la menace

Qui peut bien vouloir nous nuire ? Quelle est sa motivation ? Quels sont ses moyens et compétences ? De quel temps dispose-t-il ? Quelle opportunité a-t-il de nous atteindre ? Sommes-nous exposés ? Avons-nous informé ‘les autres’ de ce que nous faisons, de notre localisation, de ce que nous avons de valeur (pour nous et pour eux) chez nous et qui pourrait les attirer ?

Quels actifs pourrait-il bien vouloir atteindre pour accéder à ce qu’il désire ?

Que peut-il bien (vouloir) faire pour nous nuire ? Comment peut-il y parvenir? Quels chemins prendrait-il ?

Avons-nous laissé des portes ouvertes ? Avons-nous laissé des faiblesses, des incohérences ?

Les ‘spécialistes’ parlent de vulnérabilités. Notre système d’information a son propre système immunitaire qui le rend vulnérables à tel ou tel événement.

Ce qui est involontaire, les accidents (chute de matériel, perturbation électrique), la négligence, les phénomènes naturels (tempêtes, éruption solaire, gel) et les activités humaines (chantier, explosion) peut également être estimé par la probabilité ou la fréquence. Ici, il n’y a pas d’intention, ni de cible particulière. C’est une attaque ‘globale’.

Mesure

  • Est-ce facile ou a-t-on besoin de compétences particulières ?
  • Est-ce probable ? Est-ce déjà arrivé et à quelle fréquence ?
  • Ai-je mis en place des moyens pour me prémunir ?

Avec ces 3 questions, nous essayons d’estimer la « vraisemblance », la « probabilité » que l’évènement se produise. Nous allons, par exemple, de 0 – Jamais, quasiment impossible – à 5 – Très fréquent et facile à réaliser par tous.

4 questions pour estimer la sévérité des impacts

Avons-nous détecté qu’il se passe quelque chose ? Sommes-nous parvenu à stopper l’événement avant qu’il n’ait causé des dommages ? L’événement est-il parvenu à atteindre quelque chose d’identifiable ? Quelle est l’étendue des impacts ?

Quel niveau d’impacts peut-on identifier :

  • un actif matériel, une information, un processus,
  • un objectif immédiat (opérationnel) quelque chose que nous aurions dû faire dans une période courte – rater un rendez-vous
  • un objectif différé plus important (tactique) – rater une opportunité qui aurait pu nous rapporter des gains
  • des objectifs importants personnels ou d’entreprise – perdre un contrat en cours, ne pas recevoir un prêt
  • des enjeux – nous nous retrouvons en porte à faux avec la loi, notre image de marque est atteinte

Avons-nous pu mettre en œuvre les protections que nous avions prévues ? Ont-elles été efficaces et si oui, à quel niveau ?

Mesure

  • Combien de temps l’événement a-t-il été actif avant que nous ne le détections et puissions réagir ?
  • Combien de temps a-t-on perdu ?
  • Combien d’argent cela coûtera-t-il pour réparer ?
  • Est-il facile de corriger et réparer, devons-nous faire appel à des spécialistes externes ?

En répondant à ces 4 questions, nous déterminons la sévérité des impacts. Nous allons, par exemple, de 0 – Aucun dommage – à 5 – Catastrophique.

Evaluer le niveau de risque

Pour la vraisemblance et la sévérité des impacts nous choisissons la valeur la plus élevée donnée par les questions. Soyons paranoïaques, tentés de réalisme en prenant en compte les protections apportées par le monde autour de nous et les que nous avons mises en place.

Pour déterminer le niveau de risque, nous utilisons la technique choisie en phase 2 (addition, multiplication ou table). Il nous reste à établir la liste des risques par ordre décroissant de niveau.

 

Attention ! Il ne faut surtout pas s’arrêter à celle-ci.
Nous verrons cela la semaine prochaine dans la phase 4 : Apprécier les risques.

 

Ai-je été clair ? Et si vous me répondiez en m’envoyant un scénario de risque avec son évaluation pour me montrer ce que vous avez compris ?

A bientôt, plus en sécurité avec vos informations…

Jean-Luc

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *