La sécurité c’est: « l’ensemble des solutions prises afin d’être à l’abri des risques inacceptables. »
Le Risque
Cette définition ne se comprend qu’en définissant le risque : un événement dont la survenance est vraisemblable et qui pourrait avoir des effets (négatifs) sensibles.
Le risque est inacceptable quand ses effets immédiats (individuels) ou à terme (individuels ou cumulés) dépassent les limites fixées.
Le risque est présenté comme un ‘scénario’ d’une menace qui exploite une vulnérabilité et crée un dommage (des effets sensibles).
Un risque se mesure en fonction de sa vraisemblance et de ses effets.
L’Incident
Un événement est quelque chose qui se produit et qui a un effet (positif ou négatif).
Il est important de réagir à l’évènement afin de le circonscrire et d’en faire cesser au plus vite les effets. Sinon, il dégénèrera, deviendra vite ingérable ou produira des effets inacceptables, voire insupportables. Il doit donc également être géré de organisée et prédéterminée.
Ex : une allumette ou un mégot mal éteint qui met le feu à une poubelle et que vous éteignez en y jetant un verre d’eau ; une chute.
Un évènement devient incident s’il porte ses effets sur quelque chose que nous voulons protéger. (Dans notre cas l’information et le processus informationnel.)
Un incident est donc un risque qui se concrétise.
Un accident est un incident fortuit (causé par la nature) ou involontaire ou qui a des effets matériels substantiels.
Ex : Un pneu crevé est un évènement ; il devient incident s’il vous fait rater un rendez-vous (effet important) et est un accident s’il est associé à de la tôle froissée ou des blessures.
La Gestion
Le risque se gère afin que la combinaison de la vraisemblance et de l’effet restent ‘dans les limites acceptées’. On prendra donc des mesures pour éviter la survenance et pour réduire les effets.
C’est la valeur de l’information qui détermine le niveau (la résistance) de la protection (la sécurité).
Ce sont les risques qui déterminent le mode de protection et l’urgence d’agir. La vraisemblance indique ce qui faut faire pour éviter que l’évènement/incident se produise. Les effets décident de la réaction et de la correction.
Il n’est pas important (et absolument pas urgent) de traiter un risque acceptable. On risque également de dépenser plus que ce que l’on perdrait… ce qui est, avouons-le, peu judicieux.
Un événement se produira d’autant plus facilement que l’environnement lui oppose peu de résistance. Nous parlerons de vulnérabilité. C’est une notion très proche de notre système immunitaire qui détermine comment notre corps réagit aux infections et sources de maladies en tous genres. Au plus notre résistance est faible, au plus nous sommes vulnérables et au plus la vraisemblance de l’événement est grande.
Une des plus grandes vulnérabilités, en sécurité de l’information, est le manque de gestion.
On ne gère pas l’information. Sans doute parce que la notion d’information est floue. Il en résulte que la gestion des actifs informationnels (ceux qui plus directement contiennent, manipulent et transmettent l’information) est, elle non plus, peu ou mal assurée.
Gestion des risques, Gestion des évènements et incidents,
Gestion des informations et des actifs informationnels
Gestion de la sécurité (donc de toutes les solutions que nous avons décidées).
Ce sont 4 activités de gestion importantes dont l’apprentissage et la mise en œuvre sont urgents. Je vous en dirai plus au cours des articles suivants.
En attendant, n’hésitez pas à commenter, à poser des questions et à me dire par quoi vous voudriez que je commence. Replissez la fiche ci-dessous.
A bientôt, plus en sécurité avec vos informations.
Jean-Luc
Google+
Hi Jean-Luc. Please forgive me responding in English. My schoolboy French is not up to this. To be honest, I rely on Google translate!
Your description of [information security] risk is all very well in theory but in practice things are much less clear. It is hard to calculate even the scale of risks, especially ahead of time (it is not quite so hard after the event, but even then it can be tricky and costly to account accurately for all the costs of an incident). As a profession, it concerns me that we infosec people are rather risk-averse. We tend to emphasize the negatives and we generally feel that we have to push our business colleagues to implement a level of security that we consider adequate. What’s lacking, on the whole, is clarity about how security supports and enables the realisation of business objectives, which includes the fact that management is perfectly prepared and willing to take (or accept) various risks: doing so is not just a legitimate and acceptable part of business, but a way to generate commercial advantage. So, one way to exploit that would be for us infosec pros to put more effort into exploring the opportunity side of risk e.g. addressing « Which information security risks shall we accept this year? » rather than (just) « What information security risks will we face this year? ».
I would be keen to hear your thoughts along those lines, at some point, if I have sparked your interest.
Kind regards,
Gary
Hi Gary,
I am particularly honored to see that you read me and practice your ‘school’ French at the same time.
Your question is well founded and complex… and the answer would be. Too probaly for my audience for whom I have to go progressively.
I’ll open an ‘off-line’ discussion on this.
So, you’ll read me soon.
Kind Regards
Jean-Luc
Hi Gary, JL,
I’ll try to not make this too long.
I think things start with the ISO27005/31000 about risks being related to the « effect of uncertainty on objectives ». I dislike the definition, almost as bad as risk=f(probability,impact). For me risks are about the uncertainty of undesirable events. (a note, the person who put the « positive and negative » was on some kind of ego trip, saying risks can be positive is completely against the well established use of the word). Nevertheless, risk management is a governance activity of which the main purpose is to avoid a negative impact on business objectives because of these undesirable events.
IS (infosec) Risk Management therefore sets out to apply controls in an economical manner in order to get risks down to an acceptable level, which means limiting the amount of reputational/operational/regulatory-legal/financial risk caused by lack of controls (traditionally said to be C/I/A) over information. Risk appetite is this acceptable level and gets set by management (i.e. the business). It is the choice of management which level of risk to accept (generally they get involved for the major risks with potentially significant costs to implement or improve controls). So this is where you get your link risk/control cost/business.
I don’t thing security pros are risk averse, they try to keep risks under controls. This is problematic however in cases where management plays no role in these decisions. This said, studies on the subject of risk estimation and risk taking indicate that humans are overconfident and generally estimate risks to be far too low. This said, this aversion should not be a part of this discussion, the aversion of risk of the security pro does not matter. They are there to carry out risk assessments and present results to relevant levels of authority (dependent on risk levels and control costs). The final call is management, not the security pro.
The « security as enabler » discussion is a separate discussion which to my mind should not be linked to this. Security will allow business to operate in a hostile environment in which it could not operate without security. So, yes, security can be an enabler – but this is not the only role.
You are right that risk management is hard. I had a discussion with JL a long time ago about an article of Donn Parker in the ISSA journal. I’m more and more convinced that Donn Parker is not that wrong (http://taosecurity.blogspot.be/2006/06/risk-based-security-is-emperors-new.html) but with a nuance. I think risk assessments make sense but not to « measure » risk. For me they are a structured evaluation of threats and controls on a given perimeter. That is what gets you control baselines and what makes you see what controls you miss. If you couple that to a notion of control self assessment and audit of the controls (design and operating effectiveness), then you have something usefull. Shiny tools are not much use … the more complex the calculations, the worse. And if you look at the big GRC players, they are moving in the same direction. They don’t really calculate risks (they claim to do so but if you ask them which formulae they apply it gets quiet all of a sudden). They provide questionnaires on a per domain basis in which self assessments are distributed, the result of these is that the absence of controls or inadequate « control strength » is equated to risk, which means they translate deviations from control baselines into risk …
Wish I had more time to discuss, could go on forever …
PS Kill « positive » effects of Risk in ISO! (not quite Delenda est Carthago but it’ll do)
Ca va, Jean-Luc!
There’s no rush, nor even a need to respond – I’m interested to see how this thread develops.
A bientot,
Gary