Les contrôles (1)

Rappelons tout d’abord que le risque se calcule sur deux composants :

  • le degré de vraisemblance de la survenance d’un événement et
  • le degré de gravité des conséquences si l’événement se produisait.

Un contrôle est une mesure destinée à modifier le risque, plus généralement à le réduire – même si, dans certaines conditions, augmenter le risque est une stratégie que l’on peut considérer.

Analysons la façon dont les contrôles sont classés et organisés.

Les catégories de contrôles

Les contrôles sont généralement présentés sous trois types ou catégories :

  • Prévention : censés prévenir la survenance d’un événement qui créerait des conséquences inacceptables
  • Détection : censés détecter la survenance d’un événement et alerter ; ils peuvent servir de dissuasion puisque l’auteur d’une action peut être identifié et poursuivi.
  • Réaction : censés limiter les conséquences d’un événement.

Cette classification vise donc les deux facteurs contributeurs du risque : la vraisemblan­ce ou les conséquences. La détection a un rôle spécifique.

Cela ne me satisfait pas toujours parce que Prévention et Réaction sont deux catégories ‘fourre-tout’. Cela manque de précision.

Les fonctions de sécurité

Mon expérience a construit une approche orientée ‘incident’ – un risque qui se concré­tise, éventuellement partiellement. Ma référence est l’incendie. Je travaille avec neuf fonctions, organisées en trois groupes de trois.

Protection

Nous trouvons dans ce groupe tous les contrôles qui sont mis en œuvre ou préparés pour faire face à l‘événement avant sa survenance. Tous sont donc présents avant que l’événement se produise.

Préparation :

Concerne les mesures de dessin et de mise en œuvre des mesures permettant la réaction et la correction. Elles ne seront mises en œuvre que quand l’événement se produira.
Exemple : installation des portes anti-feu et des extincteurs ; la prise des sauvegardes ; les plans de réponse aux incidents et de continuité des activités ; une partie des ‘politiques’ et directives de sécurité.

Dissuasion :

Servent à ‘faire peur’ ou augmenter les risques pour la personne qui déclenche l’événement.
Exemple : le contrôle des accès, la journalisation des évènements informatiques (les ‘logs’ que les administrateurs systèmes étudient).

Défense :

Rendent le système résistant et résilient aux attaques en agissant soit sur la vraisem­blance, soit les conséquences, soit les deux. Cette défense peut être passive ou active (contre-attaque). Ces contrôles sont mis en oeuvre en permanence.
Exemple : les antivirus, le contrôle des accès, les firewalls, la sensibilisation et la formation, les procédures du ‘help desk’ ; les éléments ‘actifs’ des politiques, directives et procédures de sécuerité.

Réaction

Ce groupe comprend toutes les actions destinées à faire cesser l’attaque quand elle se produit.

Détection :

Servent à lancer l’alerte et à catégoriser l’événement : est-ce un incident, une crise ou un simple fait qui ne demande pas d’action immédiate ?
Exemple : les détecteurs de tous types, le contrôle des accès.

Confinement :

Servent à éviter que l’événement ne s’étende et ne contamine d’autres biens que ceux sur lesquels il a été détecté.
Exemple : évacuation du personnel et fermeture des portes et fenêtres en cas d’incendie ; isolation d’un segment d’un réseau, coupure d’un canal de communication, extinction d’un appareil, etc.

Lutte :

Identifient et combattent les symptômes, identifient la cause de l’événement et en font cesser l’action et les effets.
Exemple : l’antivirus, l’extinction du feu, colmatage des fuites d’eau ou d’information.

Correction

La correction permet de revenir à la situation précédente ‘comme si rien ne s’était passé’.

Récupération :

Permettent le redémarrage des opérations essentielles en mettant à disposition les éléments nécessaires. Avec la ‘lutte’, c’est le rôle majeur des équipes de réponse aux incidents.
Exemple : l’évacuation et le nettoyage des dégâts après incendie (inutile d’essayer de reprendre le travail au milieu des cendres er des débris) ; récupération des sauvegardes ; redémarrage en mode dégradé.

Réparation :

Consistent en la réparation ou le remplacement de ce qui a été endommagé ou détruit. On revient aux opérations ‘normales’ ou tous les éléments sont mis à disposition. C’est le rôle des plans de continuité des activités et de reprise après désastre.

Compensation :

Permettent de récupérer les pertes, y compris les enjeux touchés.
Exemple : Une assurance ou la condamnation de l’attaquant.

 

Ces deux approches se répondent en regardant les contrôles selon deux axes différents. On pourrait placer les contrôles dans un tableau où les catégories et les fonctions seraient les lignes et les colonnes.

 

Nous verrons la fois prochaine que ces angles de vue pourraient ne pas suffire et qu’il serait utile de voir plus loin ou plus profond. Les contrôles, en effet interagissent et n’ont pas le même effet selon les situations.

Réagissez à cet article, je ne voudrais pas que votre interprétation vous mette en difficultés.

A bientôt, plus en sécurité avec vos informations.

Jean-Luc

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *