Accueil Analyses de risques

Analyses de risques

État des lieux

 

L’analyse de risque est l’élément fondateur de votre stratégie de protection. Sans elle il sera impossible d’obtenir un niveau de sécurité adéquat pour un budget maîtrisé. Heureusement, de nombreuses méthodes (et consultants !) sont là pour vous aider à la réaliser !

 

Au cœur de la stratégie de protection de l’entreprise se trouve l’analyse de risque. Sans elle, point de salut ! Car à moins d’avoir la chance de bénéficier d’un budget illimité, il faudra faire des choix. Il faudra notamment décider de ce qui doit être protégé en priorité. Mais comment prendre de telles décisions sans déterminer les actifs les plus exposés? Et comment protéger efficacement ces derniers sans visibilité sur les menaces qui pèsent sur eux ?

Il faudra donc évaluer le risque. Mais qu’est-ce que le risque ? L’on pourrait opter pour une définition informatique : “Probabilité plus ou moins grande de voir une menace informatique se transformer en événement réel entraînant une perte”, ou bien encore assurantielle : “Le risque est l’association d’un danger, de sa probabilité, de sa gravité et de son acceptabilité”. Mais nous retiendrons plutôt une définition simplifiée : pour qu’un risque existe, il faut qu’une menace puisse exploiter une vulnérabilité sur un actif et provoquer un impact.

Actifs, menaces, vulnérabilités, la Sainte Trinité de la sécurité

Pour l’entreprise cela implique donc d’avoir au préalable déterminé les menaces (voir Threat Intelligence), recensé ses actifs et identifié leurs vulnérabilités éventuelles.

Mais croiser actifs, menaces et vulnérabilités n’est en réalité qu’une partie du travail seulement. Parmi tous les actifs vulnérables que l’on a identifiés, lesquels mettent le plus en danger l’activité si rien n’est fait ?

Pour affiner l’analyse il faudra également prendre en compte la criticité de chaque actif (une étape du processus de cartographie des actifs), l’impact que pourrait avoir sa perte sur l’activité de l’entreprise, et enfin la probabilité que la menace se réalise (une notion qui est en partie alimentée par la Threat Intelligence, notamment en fournissant des indications sur la complexité à mener telle ou telle attaque).

Ce n’est qu’en croisant tous ces paramètres qu’il sera possible de déterminer que tel ou tel système est non seulement critique, mais surtout vulnérable et menacé, avec une probabilité d’occurence élevée et un impact fort sur l’activité. Cela s’exprime le plus souvent sous la forme d’une matrice colorée bien connue des consultants sécurité !

Des méthodes d’analyse de risque

Au fil du temps cette pratique de l’analyse de risque a été codifiée à travers des méthodes qui offrent un cadre formel pour mener une évaluation complète et, évidemment… méthodique !

Il existe de très nombreuses méthodes d’analyse des risques à travers le monde. Mais dans le domaine informatique les plus répandues sont EBIOS (France), Méhari (France), Octave (US) ou Cramm / BS 7799-3 (UK). Il est aussi possible de s’appuyer sur la norme internationale ISO 27005.

Avant tout un marché de conseil

Le marché de l’analyse de risque est avant tout celui du conseil. Une véritable analyse de risque est en effet une mission laborieuse et chronophage que les équipes SSI préfèrent souvent sous-traiter, en particulier lorsque le périmètre à analyser est important. L’on retrouvera donc sur ce marché une majorité de sociétés de conseil de toutes tailles. Elles se différencieront par leur expérience avec telle ou telle méthode plutôt qu’une autre, et leurs références dans telle ou telle industrie (analyser le risque dans le secteur de l’énergie, par exemple, n’est pas la même chose que dans un cadre bureautique standard).

Certains éditeurs proposent cependant aussi des offres logicielles. Certaines sont destinées à assister le consultant dans son analyse (ils sont alors spécifiques à une méthode particulière), et d’autres sont destinées à aider l’entreprise à piloter ses risques.

Il s’agit alors de tableaux de bord, parfois dynamiques, qui offrent une vue globale du niveau de risque sur l’ensemble du périmètre, et permettent de suivre son évolution. Ce marché est toutefois sérieusement concurrencé par l’outil favori des gestionnaires du risque : Microsoft Excel !