CLUSIF Gestion Des Risques 2008

LES DOSSIERS TECHNIQUES
LA GESTION DES RISQUES

-
Concepts et mthodes
Rvision 1 du 28 janvier 2009

Espace Mthodes

CLUB DE LA SECURITE DE LINFORMATION FRANAIS
30, rue Pierre Smard, 75009 PARIS
Tl. : +33 1 53 25 08 80 Fax : +33 1 53 25 08 88 e-mail : clusif@clusif.asso.fr
Web : http://www.clusif.asso.fr

Gestion des risques CLUSIF 2008/2009 3
Table des Matires
1 Introduction .............................................................................. 6
2 Rsum.................................................................................... 7
2.1 Identification des situations de risque ........................................ 7
2.2 Options dans le mode de gestion des risques ................................ 7
2.3 Options doutillages et de bases de connaissances.......................... 7
3 Principes gnraux et dfinitions du risque ......................................... 8
3.1 Concepts de base................................................................. 8
3.1.1 Les actifs ................................................................................8
3.1.2 La dgradation subie par un actif....................................................9
3.1.3 Les consquences subies par lentit ...............................................9
3.1.4 La cause, non certaine, de la dgradation subie par un actif ...................9
3.1.5 La notion de menace ................................................................ 10
3.1.6 La notion de vulnrabilit........................................................... 10
3.2 Dfinition du risque ............................................................. 11
3.2.1 Le risque dfini par lensemble actif, menace ou actif, menace,
vulnrabilits exploites .......................................................... 12
3.2.2 Le risque dfini par un scnario.................................................... 12
4 Options fondamentales de gestion des risques..................................... 14
4.1 La gestion directe et individualise des risques ............................ 14
4.2 La gestion globale et indirecte des risques.................................. 15
4.3 Dfinition du risque et type de management ............................... 16
5 Lidentification des risques ........................................................... 19
5.1 Lidentification des actifs critiques (ou susceptibles de ltre) .......... 19
5.2 Lidentification des menaces et vulnrabilits ............................. 21
5.3 Lidentification des scnarios de risque ..................................... 22
6 Lestimation des risques identifis................................................... 24
6.1 Lestimation des risques pour leur gestion individualise................. 24
6.1.1 Lvaluation des enjeux ou des consquences du risque....................... 24
6.1.2 Lvaluation de la probabilit de survenance du risque........................ 25
6.1.3 Lvaluation des effets des mesures de scurit ................................ 27
6.1.4 Lestimation des niveaux de risque................................................ 29
6.1.5 Influence du mode de dfinition du risque ....................................... 29
6.2 Lestimation des risques pour leur gestion globale......................... 29
6.2.1 Lestimation des enjeux ou des consquences du risque....................... 30
6.2.2 Lestimation du niveau de menace ................................................ 30
6.2.3 Lestimation du niveau de vulnrabilit .......................................... 31
6.2.4 Lestimation du niveau de risque .................................................. 32
7 Lvaluation des risques identifis................................................... 33
7.1 Lvaluation des risques pour leur gestion individualise................. 33
7.2 Lvaluation des risques pour leur gestion globale......................... 33
8 Le traitement des risques ............................................................. 34
8.1 La rduction directe des situations de risque critiques.................... 34
8.1.1 La rduction directe des risques sappuyant sur une base de connaissances 34
8.1.2 La rduction directe des risques par les responsables dactivit, de projet ou
de processus .......................................................................... 35
8.2 Le traitement indirect des risques types critiques ......................... 36
8.2.1 Transformation des vulnrabilits rduire en objectifs de scurit........ 38
8.2.2 Analyse dtaille des vulnrabilits rduire pour dcider des lments
dune politique de scurit......................................................... 39
8.3 Le transfert du risque........................................................... 39
9 Communication sur les risques ....................................................... 40

REMERCIEMENTS
Le CLUSIF tient remercier particulirement les membres de lespace Mthodes
qui ont rendu possible la ralisation de ce document, savoir :

Dominique BUC BUC SA
Olivier CORBIER DOC@POST
ric DERONZIER YSOSECURE
Jean-Philippe JOUAS CLUSIF
Grard MOLINES MOLINES CONSULTANTS
Jean-Louis ROULE CLUSIF

Merci galement notre partenaire du Qubec, Martine GAGNE, dont la relecture
attentive et pertinente a t prcieuse.
1 INTRODUCTION
On peut affirmer quil ny a pas dentreprise ni de dveloppement sans prise de
risque.
Partant de ce constat, il est clair que les risques pris doivent tre identifis,
analyss, matriss et grs et quil est alors raisonnable et sens de le faire dans
un cadre mthodologique.
Diverses mthodes se proposent comme mthode danalyse et de gestion des
risques, mais la notion de gestion des risques na pas le mme sens selon les
mthodes, ce qui conduit une certaine confusion.
Le but de ce document est de tenter de dfinir des typologies de gestion des
risques, den dcrire les tapes.
Ainsi prsent, le domaine dapplication de cette tude est trs large et couvre
tous les types de risques. Cependant, lmergence et limportance de normes
spcifiques pour la gestion des risques lis la scurit de linformation fait que
nous y ferons frquemment rfrence et que les exemples pris le seront souvent
dans ce domaine particulier.
A contrario, cette tude, strictement centre sur la gestion des risques, na pas
pour objectif de porter quelque jugement que ce soit sur les avantages et
inconvnients respectifs des divers types de mthodes comme outil de
management de la scurit dans tel ou tel contexte.
2 RESUME
Ltude prsente dans ce document met en vidence de grandes diffrences entre
les diverses mthodes possibles de gestion des risques.
Les points cls de diffrenciations sont dcrits sommairement ci-dessous.
2.1 Identification des situations de risque
Les processus didentification des situations de risque peuvent impliquer fortement
le management et tre orients stratgie et objectifs fondamentaux de
lentit ou, au contraire, tre dclins un niveau oprationnel et technique.
La manire mme de dfinir les risques nest pas neutre quant cette orientation.
2.2 Options dans le mode de gestion des risques
Deux options principales se prsentent pour la gestion des risques :
celle qui consiste analyser chaque situation de risque identifie et
prendre des dcisions spcifiques et adaptes chacune delles, avec une
forte implication du management dans la gestion des risques
celle, au contraire, qui sappuie sur une analyse plus gnrale afin de dfinir
des objectifs et des directives de scurit propres rduire globalement les
risques, sans gestion directe et individualise des risques, et sans doute avec
une moindre intervention du management
Le premier mode de gestion des risques exige un modle volu danalyse des ris-
ques que ne demande pas le second.
Ces options relatives la gestion des risques ont des consquences directes au ni-
veau de chaque tape du processus correspondant. Ces consquences sont dcrites
dans la suite du document.
2.3 Options doutillages et de bases de connaissances
Les outils pouvant venir en appui de la gestion des risques sont trs varis et vont
du strict minimum des ensembles mthodologiques complets incluant des bases
de connaissances, voire dexpertise, des outils daudit, des outils de simulation des
niveaux de risques atteints en fonction des options de mesures de scurit, des
outils de suivi de tableau de bord, etc.
La possible personnalisation de ces outils est en outre un lment prendre en
compte.
3 PRINCIPES GENERAUX ET DEFINITIONS DU RISQUE
Le premier point tenter dclaircir, avant mme de parler de gestion, est celui
de la dfinition du risque qui nest pas la mme selon les mthodes.
Cette dfinition repose sur un nombre limit de concepts qui font peu prs
consensus et que nous prsenterons dabord, avant dexposer les points pour
lesquels il existe des diffrences et des espaces de dcision.
3.1 Concepts de base
Un risque provient du fait que lentit, entreprise ou organisation, possde des
valeurs , matrielles ou non, qui pourraient subir une dgradation ou un
dommage, dgradation ayant des consquences pour lentit considre.
Ceci fait appel quatre notions :
Celle de valeur , quil est dusage dappeler actif (traduction de
asset
1
) dans le domaine de la scurit de linformation
Celle de dgradation ou de dommage subi par lactif
Celle de consquences pour lentit
Celle qui suggre une cause possible mais non certaine
3.1.1 Les actifs
Dune manire trs gnrale, on dsigne sous ce terme tout ce qui peut
reprsenter une valeur ou un enjeu pour lentit.
En ce qui concerne la scurit de linformation, la norme ISO/IEC 27005 distingue :
Les actifs primaires ou primordiaux qui comprennent :
o Les processus et activits
o Linformation
Les actifs de support qui comprennent :
o Le matriel
o Le logiciel
o Les rseaux

1
Le terme asset est explicitement dfini et comment dans les normes de la srie ISO/IEC 27000 qui
sadressent spcifiquement aux risques lis la scurit de linformation, alors quil nest pas cit dans les
normes plus gnrales telles que le guide 73 de lISO ou la norme ISO 31000. Il a nanmoins t retenu dans ce
document, avec sa traduction sous le nom de actif car il voque bien toutes les valeurs de lentreprise, et
ses immobilisations, tant matrielles quimmatrielles, et parce quil est largement utilis par maints respon-
sables.
o Le personnel
o Le site
o Le support organisationnel
Il sagit lvidence dune dfinition trs gnrale qui, pour tre commune
toutes les mthodes, nen recouvre pas moins des dclinaisons pratiques trs
varies.
3.1.2 La dgradation subie par un actif
Il est clair que le risque est diffrent (et ses consquences diffrentes) selon le
type de dommage subi.
Le type de dommage possible dpend des catgories dactifs et autant il est facile
de lister les principaux types de dommages subis par des informations (perte de
disponibilit, dintgrit ou de confidentialit, et ventuellement dautres types
de dgradations), autant il y a peu de typologies standards ds quil sagit de
processus, ou de certains actifs de support.
Il est noter que le type de dgradation subi nest pas explicitement cit par la
norme ISO/IEC 27005 qui ne le distingue pas des consquences. Il nous semble
pourtant important de distinguer les consquences primaires, constitues par les
dgradations dactifs, des consquences secondaires ou indirectes pouvant tre
subies au niveau des processus et des activits de lentit.
3.1.3 Les consquences subies par lentit
Ces consquences peuvent tre de natures trs diverses et dpendent fortement du
type dentit, socit commerciale, organisme de service public, organisation but
non lucratif, etc.
La seule chose importante considrer, ce stade, est que ces consquences
auront tre values au niveau de lentit et non celui des systmes
dinformation ou du primtre technique de lanalyse et que lvaluation du risque
devra comprendre une valuation de limpact sur lorganisme de la dgradation
considre de lactif concern.
3.1.4 La cause, non certaine, de la dgradation subie par un actif
On inclut gnralement, dans la dfinition du risque, une rfrence la cause ou
un type de cause, par essence non certaine, pouvant conduire la dgradation de
lactif. Le guide 73 de lISO parle d vnement pour voquer cette cause.
On retient gnralement que :
Il ny a risque (par opposition un constat ou une certitude) que sil y a
une action ou un vnement non certains qui conduisent la ralisation du
risque ( son occurrence) c'est--dire la dgradation considre de lactif
concern
Lvaluation du risque devra comprendre une valuation de la probabilit de
survenance de cette action ou de cet vnement
Le terme de cause que nous avons employ peut tre ambigu car il peut y avoir des
causes directes (vnement au sens du guide 73) et des causes indirectes (source
au sens du guide 73), mais reprsente bien lide gnrale de quelque chose qui va
conduire la ralisation de la dgradation redoute.
3.1.5 La notion de menace
Les normes ISO/IEC 2700x traitant des risques lis aux systmes dinformation font
rfrence la notion de menace ( threat
2
) qui nest pas vritablement
dfinie sauf par ce quelle est capable de causer, savoir causer un dommage
des actifs tel que information, processus ou systmes et donc aux organisations
( A threat has the potential to harm assets such as information, processes, and
systems and therefore organizations selon lISO/IEC 27005).
On pourrait penser que cette notion de menace est proche de celle de cause
voque plus haut. Elle est, en fait, bien diffrente car les menaces peuvent
recouvrir des aspects bien divers et, en particulier :
Des vnements ou actions qui peuvent conduire loccurrence du risque
(par exemple, un accident, un incendie, le vol de media, etc.)
Des actions ou modes daction rendant possible loccurrence du risque, sans
en tre le moteur (par exemple labus de droit, lacquisition illicite de droits
ou lusurpation didentit)
Des effets caractristiques et significatifs de causes indtermines (par
exemple la saturation du systme dinformation)
Des comportements (par exemple lutilisation non autorise dquipements)
qui ne sont pas, en tant que tels, des vnements conduisant loccurrence
du risque
Il ressort de ces quelques exemples que la menace nest pas strictement lie la
cause du risque mais permet de dfinir, en fonction de listes de menaces types,
des typologies de risques.
3.1.6 La notion de vulnrabilit
La notion de vulnrabilit est parfois utilise en analyse de risque et, plus
gnralement, ds que lon aborde la scurit des systmes dinformation
3
.

2
Le terme threat est explicitement dfini et comment dans les normes de la srie 27000 qui sadressent
spcifiquement aux risques lis la scurit de linformation, alors quil nest pas cit dans les normes plus
gnrales telles que le guide 73 de lISO ou la norme ISO 31000. Il a nanmoins t retenu dans ce document,
avec sa traduction sous le nom de menace car il est utilis de manire importante par certaines mthodes
de gestion des risques.
3 Ici encore, on peut noter que le terme de vulnrabilit nest pas utilis dans les normes gnrales traitant de
la gestion des risques, en particulier le guide 73 de lISO, mais lest par contre abondamment par certaines m-
thodes de gestion des risques
On peut dfinir ce quest une vulnrabilit de deux manires.
La plus correcte, au plan linguistique, est de la dfinir comme une caractristique
dun systme, dun objet ou dun actif constituant un point dapplication
potentiel de menaces.
Ainsi, si on parle dun document crit ou manuscrit, et si la menace considre est
la pluie ou plus gnralement des intempries, les vulnrabilits peuvent tre, par
exemple, que :
lencre nest pas indlbile
le papier est sensible leau
le support est dgradable.
Il est souvent plus utile dadopter une vision des vulnrabilits oriente sur les
processus de scurisation et sur leurs dfauts ventuels. On dfinit alors une
vulnrabilit comme un dfaut ou une faille dans les dispositifs de scurit
pouvant tre exploit par une menace pour atteindre un systme, un objet ou
un actif cible.
Dans lexemple prcdent la vulnrabilit exploite est : labsence de protection
contre les intempries.
Cette vision conduit une arborescence de vulnrabilits. En effet, toute solution
de scurit a ses faiblesses et donc toute solution apporte pour rduire une
vulnrabilit comporte elle-mme des vulnrabilits.
Exemple du document crit sur support dgradable :
Solution de premier niveau : stockage labri des intempries
Vulnrabilits induites :
o Canalisations internes du btiment dfectueuses
o Procdures de mise labri inappliques ou inadquates
o Dclenchement de la protection incendie par sprinkler
o Etc.
Ces deux visions des vulnrabilits ne sont pas quivalentes et il pourra tre utile
den tenir compte lorsquil est fait appel cette notion.

* * * * *
En sappuyant sur ces concepts gnraux, plusieurs dfinitions du risque restent
possibles et sont, de fait, proposes par les diverses mthodes de gestion de
risques, tout en restant compatibles avec les documents normatifs.
3.2 Dfinition du risque
Si le concept gnral de risque ne pose pas de problme, il nen est pas de mme
ds que lon en recherche une dfinition formelle, cest--dire une dfinition qui
prcise chacun des lments constitutifs du risque. Or ces lments vont
intervenir, dabord dans le processus didentification des risques, puis dans celui
de leur estimation.
Paradoxalement, les mthodes de gestion de risques donnent rarement une telle
dfinition formelle. Les dfinitions que lon peut reconstituer se classent en deux
grandes catgories :
Les dfinitions du risque bases sur la notion de menace, associe ou non
des vulnrabilits
Les dfinitions du risque bases sur la notion de scnario
3.2.1 Le risque dfini par lensemble actif, menace ou actif,
menace, vulnrabilits exploites
Une premire dfinition du risque serait :
Le risque est la conjonction dun actif et dune menace susceptible de faire
subir un dommage cet actif.
Les mthodes de gestion des risques qui utilisent cette dfinition fournissent, le
plus souvent une typologie
4
de menaces.
Il est possible, et certaines mthodes le font, dinclure dans la dfinition du risque
certaines vulnrabilits exploites par la menace. Cette vision se base sur lide
que sans vulnrabilit exploitable il ny a pas de risque.
La dfinition du risque devient alors :
Le risque est la conjonction dun actif, dune menace susceptible de faire subir
un dommage cet actif et de vulnrabilits exploites par la menace pour faire
subir lactif ce dommage.
Ces dfinitions du risque conduisent une notion de risques types rsultant de
types de menaces, de types dactifs et, ventuellement, de types de vulnrabilits.
Il sagit donc dune vision statique des risques, au sens o les lments pris en
compte ne font pas intervenir la variable temps et ne permettent pas de
dcrire des enchanements dvnements, de causes ou de consquences.
3.2.2 Le risque dfini par un scnario
Une autre dfinition du risque revient considrer que le dommage subi et que la
description des circonstances de survenance du dommage subi par lactif doivent
faire partie de la dfinition du risque.
Ces circonstances peuvent recouvrir des notions de :
Lieux : par exemple, vol de media dans tel ou tel type de local
Temps : par exemple, action mene en dehors ou pendant des heures
ouvrables
Processus ou tapes de processus : par exemple, altration de fichiers lors
de la maintenance
La dfinition du risque devient alors :

4
Lannexe C de la norme ISO/IEC 27005 donne une liste dexemples de menaces types.
Le risque est la conjonction dun actif, dun type de dommage pouvant tre
subi par cet actif et de circonstances dans lesquelles ce dommage pourrait
survenir.
On peut employer encore le terme de menace en lui donnant le sens de la
description gnrale de types de circonstances dans lesquelles le risque pourrait se
matrialiser. Les circonstances seront alors dcrites par :
une menace gnrique dcrivant une typologie de circonstances et
des circonstances particulires prcisant la menace gnrique.
Cette dfinition conduit, en pratique, dfinir des situations de risque ou des
scnarios de risque qui dcrivent, la fois, le dommage subi et les
circonstances dans lesquelles se produit ce dommage.
Cette vision du risque est, en fait, exactement celle que dcrit le guide 73 de lISO
quand il dfinit un risque comme comportant des sources ou phnomnes
dangereux (circonstances), des vnements dclencheurs et des consquences.
Il sagit donc dune vision dynamique des risques, dans laquelle le temps peut
intervenir, ce qui peut donner lieu des actions diffrencies en fonction de
phases du scnario de risque. Cette vision dynamique permet de dcrire et de tenir
compte denchanements dvnements, de causes ou de consquences.
On notera par ailleurs que la norme ISO/IEC 27005 fait appel une notion de
scnarios dincident , notion trs proche de ce que nous avons appel ci-dessus
scnario de risque , sans tre rigoureusement quivalente. En effet, la
dfinition du scnario dincident se rfre explicitement lexploitation dune
certaine vulnrabilit ou dun ensemble de vulnrabilits, alors que les
circonstances particulires de survenance du risque peuvent tre lies des
notions diverses, ainsi quexpliqu ci-dessus, qui ne sont pas forcment lies des
vulnrabilits.

* * * * *
* * *
*

Il est certainement possible de proposer dautres manires de dfinir le risque et
ses lments constituants, mais nous retiendrons ces deux dfinitions
caractristiques et significatives en termes de gestion des risques.
4 OPTIONS FONDAMENTALES DE GESTION DES RISQUES
Indpendamment de la dfinition du risque, les objectifs que lon peut assigner la
gestion des risques peuvent tre trs diffrents.
En pratique, on peut distinguer deux objectifs qui se rvlent, lanalyse,
fondamentalement diffrents :
La gestion directe et individualise de chaque risque, dans le cadre dune
politique de gestion des risques.
La gestion globale et indirecte des risques par le biais dune politique de
scurit adapte aux risques encourus.
Remarque : Le contenu de cette politique et son niveau de dtail sera abord au
chapitre 8.
4.1 La gestion directe et individualise des risques
Lobjectif dune telle gestion, dfini et caractris par une politique de gestion des
risques, vise :
Identifier tous les risques auxquels lentreprise est expose.
Quantifier le niveau de chaque risque.
Prendre, pour chaque risque considr comme inadmissible, des mesures
pour que le niveau de ce risque soit ramen un niveau acceptable.
Mettre en place, comme outil de pilotage, un suivi permanent des risques et
de leur niveau.
Sassurer que chaque risque, pris individuellement, est bien pris en charge
et a fait lobjet dune dcision soit dacceptation soit de rduction, voire de
transfert.
Risque N Risque N
Risque Risque
Risque 3 Risque 3
Risque 2 Risque 2
Risque 1 Risque 1
Analyse et
valuation de
chaque risque
Slection de
mesures de
scurit pour
chaque risque
Risque
acceptable ?
Identification
des risques
OUI
NON
Mise en place
des mesures
slectionnes

Ce mode de management est donc trs fortement tourn vers les activits de
lentit et ses enjeux fondamentaux et ne peut tre choisi et men bien quen
plein accord avec la Direction et avec sa participation active.
Il est aussi trs bien adapt toutes les organisations par projet dans lesquelles la
gestion des risques est dlgue aux chefs de projet.
Principe sous-jacent et condition pralable
Il est clair que pour pouvoir grer individuellement chaque risque, il faudra un
moment savoir prendre en compte les effets de toutes les mesures de scurit,
existantes ou prvues, susceptibles davoir une influence sur le niveau de risque.
Un tel mode de management exige donc, par principe et comme condition
pralable, que soit dfini un modle de risque permettant dexpliciter et de
quantifier, pour chaque risque identifi :
Les facteurs de risque structurels lis au contexte et lactivit de lentit
et donc indpendants des mesures de scurit
Les rles et effets des mesures de scurit sur le risque considr
Le niveau de risque global en rsultant
Sans un tel modle, il serait effectivement impossible dtablir un lien entre les
dcisions de mise en place de mesures de scurit et un niveau de risque rsiduel
en rsultant. Or ce lien est ncessaire pour une gestion individuelle des risques.
4.2 La gestion globale et indirecte des risques
Lobjectif est, dans ce cas, de dfinir une politique de scurit qui sappuie sur
une valuation des risques. Le but vis est ainsi de :
Identifier certains lments pouvant conduire des risques.
Hirarchiser ces lments.
En dduire une politique et des objectifs de scurit.
Mettre en place, comme outil de pilotage, un suivi permanent des objectifs
de scurit ou des lments de la politique de scurit.
Risque N Risque N
Risque Risque
Risque 3 Risque 3
Risque 2 Risque 2
Risque 1 Risque 1 Analyse et
valuation des
risques
Identification
des risques
OUI
NON
Risques
levs
couverts
par Politique
de scurit ?
Mise en place
de la Politique
de scurit
Ajouts dobjectifs
la Politique
de scurit

Ce mode de management fait moins intervenir la Direction de lentit et peut tre
men un niveau technique.
Principe sous-jacent et condition pralable
Le principe mme de ce type de management est de dfinir des besoins ou des
objectifs de scurit en sappuyant sur lattribution aux risques dun niveau qui
tienne compte de latteinte (ou non) de ces objectifs ou de la satisfaction (ou non)
de ces besoins.

La vision du risque peut tre partielle et ne considrer quune partie des lments
ayant une influence sur le niveau rel de risque, en particulier certaines
vulnrabilits (ou types de vulnrabilits) exploites par des menaces types.

Un tel mode de management exige donc, par principe et comme condition
pralable, que soit dfini un modle permettant de quantifier, pour chaque
risque identifi :
Un niveau de risque fonction des lments cits dans la description de ce
risque
Linfluence du choix dobjectifs dans la politique de scurit
Un niveau relatif du risque en rsultant.
Il faut bien noter que le niveau de risque ainsi valu lest compte tenu des seuls
lments cits dans lidentification du risque et compte tenu de linfluence de
la politique de scurit sur ces lments . Il ne peut donc pas tre retenu comme
valeur de jugement du niveau de risque rel pour lentit, mais comme une valeur
relative de limportance des objectifs de scurit retenus dans la politique de
scurit.
4.3 Dfinition du risque et type de management
Il est clair quune dfinition des risques base sur la notion de scnario est
particulirement adapte une gestion directe et individualise des risques et
quune dfinition des risques base sur les menaces et les vulnrabilits est, a
priori, adapte une gestion globale et indirecte des risques.
Il ny a, cependant, pas dobstacle thorique ce quune dfinition des risques
base sur des scnarios soit utilise pour une gestion indirecte des risques par le
biais dune politique de scurit.
De mme, il ny a pas dobstacle absolu ce quune dfinition des risques fonde
sur des menaces et des vulnrabilits soit utilise pour une gestion directe et
individualise ; cela reporte au niveau de lvaluation des risques et du choix des
mesures de scurit la recherche des divers scnarios pouvant conduire au risque
considr ou appartenir cette famille de risque.

Remarque sur le lien entre les vulnrabilits et le type de gestion
des risques
La question du lien entre lintroduction des vulnrabilits dans lidentification des
risques et le type de management mrite dtre pose.
En effet, lintroduction des vulnrabilits dans la dfinition des risques (par
comparaison avec leur introduction uniquement en phase danalyse des risques) a
plusieurs consquences auxquelles il peut tre utile de rflchir :
Ne pas faire intervenir les vulnrabilits dans lidentification des risques
revient considrer quun risque nat de la simple conjonction dun lment
dactif qui a une valeur et de circonstances dans lesquelles cette valeur
pourrait tre mise en cause et que cest cette situation que lon entend
grer, les vulnrabilits tant alors prises en compte lors de lanalyse de
cette situation de risque.
Il sagit donc bien dune dmarche de gestion directe des risques. Par
contre, introduire les vulnrabilits dans la dfinition des risques revient
considrer que ce sont bien elles que lon entend valuer et grer. Il sagit
bien alors dune gestion indirecte des risques.
Dautre part, pour une situation de risque donne, ce nest pas une
vulnrabilit qui est concerne et exploite mais souvent plusieurs. Il est
clair, par exemple, quun scnario de piratage depuis lextrieur de
lentreprise dbouchant sur un dtournement de donnes applicatives peut
exploiter simultanment, comme vulnrabilits, la faiblesse du contrle
daccs au rseau, labsence de partitionnement du rseau et de
confinement des fichiers sensibles, la faiblesse du contrle daccs au
systme, la faiblesse du contrle daccs applicatif, labsence de
chiffrement des fichiers, etc.
Dans ces conditions, introduire dans la dfinition des risques la liste des
vulnrabilits exploites serait incontestablement une source de difficult
pour une gestion directe des risques et obligerait en outre introduire dans
une tche qui est normalement une tche de management (lidentification
des risques) une tche danalyse technique (la recherche de lensemble des
vulnrabilits concernes par cette situation de risque).
On peut donc considrer que lintroduction des vulnrabilits dans lidentification
des risques est compatible avec une gestion globale et indirecte des risques, mais
quelle lest beaucoup moins avec une gestion directe et individualise des risques.

* * * * *
* * *
*

Ces orientations fondamentales tant esquisses, nous allons analyser, dans les
chapitres ci-dessous, en quoi elles sont dterminantes quant au contenu de
diffrentes tapes dcrites par les normes, et en particulier par le guide 73 de
lISO, que nous rappelons ci-dessous (en gras les tapes qui seront analyses en
dtail, lenchanement entre ces tapes ntant pas particulirement trait).

MANAGEMENT DU RISQUE
APPRECIATION DU RISQUE
ANALYSE DU RISQUE
IDENTIFICATION DES RISQUES
ESTIMATION DU RISQUE
EVALUATION DU RISQUE
TRAITEMENT DU RISQUE
REFUS DU RISQUE
OPTIMISATION DU RISQUE (sa rduction)
TRANSFERT DU RISQUE
PRISE DE RISQUE
ACCEPTATION DU RISQUE
COMMUNICATION RELATIVE AU RISQUE
5 LIDENTIFICATION DES RISQUES
Ce que contient ltape didentification des risques dpend bien entendu de la
dfinition retenue pour le risque.
Quelle que soit la dfinition retenue, le risque nat de lexistence de valeurs ou
dlments dactifs qui reprsentent, pour lentreprise ou lorganisme, un enjeu,
cest--dire dont le maintien de certaines qualits est important pour le bon
fonctionnement de lentit.
Cette tape didentification des actifs pouvant tre critiques est donc la premire
et est commune toutes les mthodes danalyse de risque.
La deuxime tape, qui dpend de la dfinition du risque retenue, consiste donc
rechercher :
Soit quelles menaces seraient susceptibles de causer un dommage ces
actifs, et ventuellement quelles vulnrabilits pourraient tre exploites,
dans le cas dune identification de risques base sur la notion de menace et
de vulnrabilits
Soit quelles dgradations pourraient affecter ces actifs et dans quelles
circonstances ces dgradations pourraient survenir, pour une identification
de situations ou de scnarios de risque
Nous analyserons successivement les tapes didentification des actifs, puis celle
didentification des menaces et vulnrabilits et celle didentification des
scnarios de risque.
5.1 Lidentification des actifs critiques (ou susceptibles de ltre)
Cette tape est, incontestablement, essentielle dans lidentification des risques et
on peut distinguer deux grands types de dmarches.
La premire consiste, selon le schma indiqu ci-dessous, :
Analyser les processus et les activits de lentreprise ou de lentit et
rechercher les dysfonctionnements de ces processus qui pourraient impacter
les objectifs ou les rsultats attendus de lentit
Rechercher les actifs et les dommages subis par ces actifs qui pourraient
induire de tels dysfonctionnements
En dduire une liste dactifs (il peut tre utile alors de distinguer les actifs
les plus importants, que lon considrera comme critiques , pour ne pas
alourdir inutilement le reste des tapes de gestion des risques).
Activit N Activit N
Activit Activit
Activit 3 Activit 3
Activit 2 Activit 2
Activit 1 Activit 1
Analyse des
dysfonctionnements
possibles
Liste dactifs et
dommages
considrer pour
lidentification des
risques
Dommages dactifs
pouvant tre
lorigine dun
dysfonctionnement

Il sagit dune dmarche centre sur les enjeux des diverses activits de lentit,
et mene de prfrence un niveau lev de management. Cette dmarche
dbouche assez naturellement sur une recherche des circonstances dans lesquelles
les dommages pourraient survenir et donc sur une dfinition de scnarios de
risques.
La deuxime dmarche consiste :
Analyser larchitecture des moyens primaires supportant lactivit (quil
sagisse du systme dinformation ou de tout autre type de moyens, tels que
les moyens de production, de logistique, de communication, etc.)
Rechercher ventuellement les moyens supports des moyens primaires (tels
que lnergie, les moyens ncessaires lorganisation, etc.)
En dduire une liste dactifs considrer pour lidentification des risques.
Activit N Activit N
Activit Activit
Activit 3 Activit 3
Activit 2 Activit 2
Activit 1 Activit 1
Analyse de
larchitecture support
des processus et
activits
Liste dactifs
considrer pour
lidentification des
risques
Dtermination des
actifs primaires et de
support des
processus et activits

Il sagit dune dmarche beaucoup plus technique, pouvant tre mene sans laide
du management de haut niveau. Cette dmarche dbouche assez naturellement sur
une recherche des menaces pouvant agir sur ces actifs et donc sur une
identification de risques dfinis par les menaces et vulnrabilits.
Une diffrence essentielle rside dans le fait quavec une dfinition du risque
base sur la notion de scnario, le type de dommage ventuellement subi par
lactif en cas doccurrence du risque fait partie de la recherche des actifs
critiques.
Autrement dit, les critres utiliss pour valoriser les actifs, lors de la phase
destimation des risques, avec une dfinition des risques base sur les menaces,
sont introduits ds lidentification des actifs, quand on veut identifier des scnarios
de risque.

Pour clairer nos propos, nous prendrons quelques exemples, concernant trois
types dactifs.
Dans le cadre dune vision statique des risques, des actifs identifis pourraient
tre :
Un document de planification stratgique
La base de donnes dun domaine mtier.
Le serveur de donnes de la Direction XXX
Dans une vision dynamique des risques par scnarios, les lments identifis seront
en plus caractriss par un type de dommage :
A. Document de planification stratgique confidentiel
B. Base de donnes de tel ou tel domaine dont lintgrit doit tre maintenue.
C. Serveur de donnes de la Direction XXX dont la disponibilit doit tre
maintenue
5.2 Lidentification des menaces et vulnrabilits
Dans le cas de dfinition des risques base sur les menaces, la dmarche
consistera, le plus souvent, slectionner dans une liste de menaces types, des
lments standards pertinents pour le type dactif considr.
Si nous reprenons les lments dactifs correspondant aux trois exemples ci-dessus,
nous trouverons ainsi (exemples non limitatifs issus de la norme ISO/IEC 27005) :
1. Document stratgique
Menaces pertinentes
Vol de media ou de document
Divulgation
2. Base de donnes
Menaces pertinentes
Falsification par logiciel
Dysfonctionnement de logiciel
3. Serveur de donnes
Menaces pertinentes
Incendie
Dgts des eaux
Accident majeur
Destruction dquipement
Inondation
Etc.
Si les vulnrabilits exploites font partie de la dfinition des risques, la dmarche
consistera, le plus souvent, slectionner dans une liste de vulnrabilits,
ventuellement pr-classes par type de menaces, des vulnrabilits pertinentes
et, en reprenant les exemples ci-dessus, nous pourrions obtenir (toujours en
prenant les exemples donns dans les annexes du projet de norme ISO/IEC 27005) :
1. Document stratgique
Menace et vulnrabilit :
Vol de media ou de document d un manque de protection du
stockage
2. Base de donnes
Falsification par logiciel d un tlchargement et un usage
incontrl de logiciel
3. Serveur de donnes
Destruction dquipement d un manque de schma priodique de
remplacement
5.3 Lidentification des scnarios de risque
Dans ce cas, la dmarche consistera analyser, dans les processus mis en uvre
impliquant llment dactif considr ou dans le cycle de vie de cet lment, ou
dans son architecture, ce qui pourrait conduire mettre en cause la qualit
considre.
Cette recherche seffectuera soit directement soit en sappuyant sur une base de
connaissance dcrivant des scnarios de risques frquemment rencontrs, si la
mthode le permet.
Ainsi pour reprendre les mmes exemples
1. Document stratgique confidentiel
On analysera le processus dlaboration, de contrle et de diffusion de ce
type de document et on pourra mettre en vidence diverses circonstances
conduisant des risques particuliers :
Lors de son laboration (fichier informatique sur le PC du responsable
ou de son assistante ou sur un serveur partag)
Lors de sa sauvegarde
Lors de son impression (sur imprimante partage)
Lors de sa diffusion par mail
Lors de sa diffusion par courrier
Lors de son archivage
2. Base de donnes dont lintgrit doit tre maintenue
On analysera galement les divers processus impliquant la base de donnes et
pouvant conduire une mise en cause de son intgrit et on pourra mettre en
vidence diverses circonstances conduisant des risques particuliers :
Lors daccs concurrents (risques logiciels)
Lors daccs malveillants
Lors de maintenance logicielle
Lors de tests de dveloppement ou de maintenance
Lors de maintenance chaud
3. Serveur de donnes dont la disponibilit doit tre maintenue
On analysera et listera les divers types de causes possibles et les divers
processus internes impliquant cet lment dactif, pouvant conduire une mise
en cause de sa disponibilit :
Accidents physiques (incendie, dgts des eaux, etc.) et leur origine :
o Incendie provoqu par un court-circuit dans le cblage,
o Incendie provoqu par une ngligence interne (cendrier,
appareil de chauffage annexe, etc.)
Pannes courantes ou exceptionnelles et leurs conditions particulires :
o Pannes courantes traites par la maintenance
o Pannes ncessitant une escalade
o Etc.
Attaques en dni de service
Erreur de maintenance matrielle ou logicielle
o Due un dfaut de formation
o Due un dfaut de documentation
o Etc.
Il est important de noter que le fait dinclure dans lidentification dun risque
les circonstances dans lesquelles il pourrait se produire permet de mettre en
lumire que, de par le contexte et les processus mis en uvre, tel lment
dactif se trouve bien, un moment donn, dans une situation de risque
particulire.

Les diffrences de rsultats obtenus sur ces trois exemples montrent bien quau-
del des mots et des termes employs, il y a une profonde diffrence de
conception de la dfinition dun risque.

Identifier les menaces pesant sur un actif et les vulnrabilits que ces menaces peuvent exploiter
pour atteindre lactif permet de caractriser un type de risque, mais na pas pour objectif, et ne
permet en aucun cas, didentifier directement des situations de risque susceptibles de rclamer
des actions spcifiques lors dun processus de gestion directe des risques.
6 LESTIMATION DES RISQUES IDENTIFIES
Ltape que les normes ISO appellent estimation des risques ou "Risk
estimation" est, en fait, une tape de quantification des risques.
Ce que recouvre cette tape est trs diffrent selon les modes de gestion des
risques.
6.1 Lestimation des risques pour leur gestion individualise
Lobjectif est dobtenir, pour chaque risque identifi, une valuation du niveau de
risque auquel lentit est expose.
Il y a un consensus gnral sur le fait que ce niveau dpend de deux facteurs qui
sont limpact (ou le niveau de consquence du risque) et sa potentialit (ou
probabilit). Pour faire ces valuations, dans un contexte o des mesures de
scurit ont dj t prises, il faudra en outre tenir compte de la qualit de ces
mesures.
Ainsi quil a dj t dit, un modle de risque est ncessaire et est un pralable.
Cependant, quelque soit le modle propos par telle ou telle mthode, quelques
lments permanents, toujours ncessaires, peuvent tre dgags. Ce sont :
Lanalyse des enjeux ou des consquences du risque
Lanalyse de la probabilit de survenance du scnario de risque
Leffet des mesures de scurit
6.1.1 Lvaluation des enjeux ou des consquences du risque
Sachant que la dfinition et la description du risque comprennent celle de
llment dactif impliqu et le type de dommage subi, la question est bien celle
dvaluer la gravit de ce dommage.
On est bien dans une problmatique de mthode et ce nest pas le lieu ici den
dcrire une plus particulirement.
On peut nanmoins mettre en lumire les principes gnraux qui doivent tre
respects.
Lvaluation des consquences maximales du dommage subi
Le premier principe respecter est de rechercher les consquences maximales du
dommage subi.
Cela se fera souvent lors dune dmarche dite de classification qui devra
comprendre les lments dcrits ci-aprs.
a. Etablir une chelle de gravit
Lchelle de gravit est sans doute une des premires choses faire.
Cette chelle doit exprimer des niveaux de gravit de consquences (telles que
mort ou perte de lentit, squelles durables, perte de comptitivit momentane,
etc.) au mme titre que lon pourrait parler de risque accidentel pour lhomme
(risque vital, risque dinvalidit permanente, obligation de soins permanents,
maladie courante invalidant quelques semaines, etc.).
Dans le cas de services publics, le niveau de gravit peut se rfrer des niveaux
de perte de service rendu (en dure, en pourcentage du public touch, etc..).
b. valuer la gravit des consquences en la distinguant bien de la gne
ressentie (par les responsables de lentit)
Ce que lon recherche est bien une valuation de la gravit des consquences du
risque pour lentit. Cest donc bien au niveau des processus de lentit que cette
valuation doit tre faite et que les consquences du risque doivent tre
analyses. Il est important, lors de cette analyse, de ne pas survaloriser la gne
ressentie par les responsables de lentit (mais de correctement valoriser la gne
ressentie par les clients).
c. Faire valider les niveaux de gravit par la Direction
Les consquences des risques devraient tre values au niveau business par les
responsables dactivit eux-mmes et devraient tre valides par un comit de
Direction.
Ne pas respecter ce principe peut conduire et conduit gnralement des rsultats
survalus. Ainsi, des vnements considrs comme graves des niveaux
hirarchiques bas ou moyens sont souvent considrs comme tolrables voire non
significatifs niveau lev.
Plus gnralement, la gestion des risques tant principalement destin aux
Dirigeants dentreprise, cest eux de se dterminer sur la gravit relle de tel ou
tel risque.
Lvaluation des consquences particulires du risque analys
Lvaluation dcrite ci-dessus, parfois rsume dans une classification des actifs,
est le niveau de consquences maximum encouru par lentit pour le type de
dommage subi par llment dactif concern.
Il se peut nanmoins que, pour les circonstances particulires du risque ou que
pour le type de menace, les consquences soient moindres.
La mthode supportant le management direct des risques doit alors proposer une
tape ou un moyen de corriger, le cas chant, lvaluation de limpact pour tenir
compte de cet ventuel amoindrissement des consquences.
6.1.2 Lvaluation de la probabilit de survenance du risque
Le fondement de lestimation dun risque reposant, pour partie, sur une notion
de probabilit de survenance, il est clair que lon doit passer par une valuation de
la probabilit de survenance a priori qui permettra un premier jugement sur cette
probabilit en labsence de toute mesure de scurit.
Lidal serait, bien entendu, de disposer dune base statistique suffisante pour
pouvoir asseoir ces probabilits a priori sur des chiffres excluant toute partialit ou
subjectivit.
En pratique, cela nest gure possible pour diverses raisons :
Les organismes collecteurs de chiffres relatifs aux sinistres sont rticents
les divulguer (les assurances en particulier)
Ces chiffres ont eux-mmes porteurs de biais car tous les sinistres ne sont
pas dclars (en particulier ceux qui peuvent porter atteinte limage des
sinistrs)
Certains sinistres ne sont mme pas connus de ceux qui les ont subis (en
particulier nombre de vols de donnes).
On en est donc rduit porter un jugement relativement subjectif sur ces
probabilits a priori en notant :
Quun consensus de groupe de travail limite le caractre subjectif
Que les mthodes du march proposent des chiffres qui sont une base de
dpart apprciable
Ceci tant la mthode pour dfinir ces probabilits a priori doit faire partie du
modle de risque propre ce type de management et doit comprendre les
lments dcrits ci-dessous.
a. tablir une chelle de probabilit
Lchelle de probabilit est sans doute une des premires choses faire.
Cette chelle doit exprimer des niveaux de probabilit aiss comprendre par tous
les participants au processus danalyse des risques.
Le nombre de niveaux ne devrait pas tre trop lev pour quun consensus puisse
tre facilement atteint sur les niveaux de probabilit de chaque menace.
b. valuer la probabilit a priori du scnario de risque
Lvaluation de la probabilit maximale et a priori, en labsence de toute mesure
de scurit, sera le plus souvent associe une typologie de scnarios.
Ce sera effectivement le cas si la mthode propose une base de connaissances
structure. A dfaut, il est conseill de regrouper les scnarios en types de
probabilit voisine, ce qui revient, de fait, distinguer des menaces types
communes plusieurs types de scnarios.
Cette probabilit correspond souvent, en pratique une probabilit de menace,
indpendamment du contexte propre de lentit.
c. Lvaluation de lexposition de lentit au scnario analys
Cette notion dexposition (parfois aussi appele exposition naturelle) est
fondamentale. Quelle que soit, en effet, la probabilit doccurrence de la
menace, en gnral, ce qui compte est de savoir si lentit est plus
particulirement expose ou non ce type de risque.
Cette exposition met en jeu divers facteurs tels que :
lintrt que reprsente laction, pour son auteur
le caractre plus ou moins unique de lentit en tant que cible de la menace
le contexte social
le contexte conomique
Il est de mme important de noter que cette exposition peut fluctuer dans le
temps.
La mthode de gestion des risques doit ainsi permettre dvaluer cette exposition,
en fonction du contexte propre de lentit, afin de dfinir, in fine, une
potentialit intrinsque du risque, en labsence de toute mesure de scurit.
6.1.3 Lvaluation des effets des mesures de scurit
Cest, sans aucun doute, dans ce domaine que les divers modles de risque propres
ce type de management peuvent apporter des aides significatives et trs
diffrencies.
On peut cependant mettre en lumire quelques lments incontournables, qui
doivent tre dcrits et explicits dans tout modle danalyse de risque associ
une gestion directe des risques, qui sont :
La diffrenciation des types deffets des mesures de scurit
La prise en compte dun niveau de qualit de ces mesures
La mesure de lefficacit dune mesure de scurit
La prise en compte dune notion d assurance scurit (au-del de la
qualit technique dune mesure, quelle assurance peut-on avoir de son
efficacit relle ?)
La manire de prendre en compte et de combiner les effets simultans de
plusieurs mesures de scurit
La diffrenciation des types deffets des mesures de scurit
Les types deffets des mesures de scurit sont divers et doivent imprativement
tre distingus dans le modle de risque, pour une bonne apprciation du risque.
Il est important, en effet, de faire la distinction entre les effets venant rduire la
probabilit du risque et ceux venant en attnuer les consquences.
Bien au-del, dautres nuances doivent tre distingues telles que :
Leffet de dissuasion
Leffet dempchement (de faire quelque chose ou de russir dans laction)
Leffet de dtection suivi dempchement
Leffet de dtection suivi de raction limitant les consquences
Leffet de confinement limitant les consquences
Leffet de restauration
Leffet palliatif de moyens de secours
Etc.
Cette liste nest certes pas exhaustive et le modle de risque doit proposer une
typologie de ces effets, en les regroupant ventuellement, pour dcrire laction
des mesures de scurit et permettre une valuation individualise de chaque
risque.
La prise en compte du niveau de qualit des mesures de scurit
Il est bien clair que leffet ou que les effets dune mesure de scurit dpend de la
qualit de cette mesure.
Tous les mcanismes ne sont pas quivalents, toutes les procdures ne sont pas
aussi efficaces et il faut bien savoir porter un jugement sur un niveau de qualit.
Le modle de risque devrait donc comporter une mthode dvaluation.
La mthode dvaluation elle-mme peut tre plus ou moins experte, mais il est
fortement souhaitable quelle sappuie sur une base de connaissances.
Lvaluation de lefficacit dune mesure de scurit
La qualit intrinsque dune mesure de scurit nindique pas pour autant si elle
sera efficace pour rduire un niveau dun risque particulier, mme si, dvidence,
elle peut jouer un rle positif dans la rduction de ce risque.
En outre, lefficacit dune mesure peut dpendre du type deffet, alors quune
mme mesure peut avoir plusieurs types deffets.
Il y a donc une relation tablir, par le modle de risque, entre la qualit dune
mesure de scurit et son efficacit pour tel ou tel effet sur tel ou tel type de
scnario de risque.
La notion dassurance scurit
Cette notion, parfaitement mise en vidence par les ITSEC et les critres communs,
vise faire une diffrence entre le niveau defficacit dune mesure de scurit et
lassurance que lon peut avoir de cette efficacit.
Il sagit, par exemple, dvaluer sparment la force dun mcanisme technique et
la garantie de sa mise en uvre et de sa permanence dans le temps.
La prise en compte ou non de cette notion par le modle de risque est donc un
paramtre considrer.
Les effets combins de plusieurs mesures de scurit
Enfin, la manire de combiner les effets simultans de plusieurs mesures de
scurit doit tre explicite par le modle de risque afin de pouvoir valuer
correctement le niveau de risque rsiduel quand plusieurs mesures sont actives et
pertinentes, ce qui est la trs grande majorit des cas.
6.1.4 Lestimation des niveaux de risque
Lestimation des niveaux de risque doit faire la synthse des estimations partielles
et dboucher, a minima, sur :
Une valuation de la potentialit de survenance du risque (sa probabilit)
Une valuation de son impact (la gravit de ses consquences)
Le modle de risque doit bien entendu dcrire la manire dobtenir ces deux
valeurs de synthse.
6.1.5 Influence du mode de dfinition du risque
Il est bien clair que tout ce qui vient dtre dvelopp convient parfaitement une
dfinition des risques par des scnarios.
Si les risques sont dfinis comme des risques types bass sur des notions de
menaces et de vulnrabilits, il faudra, pour chaque risque ainsi dfini,
rechercher tous les scnarios possibles (scnarios dincident au sens de
lISO/IEC 27005) et estimer le niveau de risque pour chaque scnario. Les divers
points dvelopps plus haut seront alors ncessaires pour cette estimation.
Une mthode dlaboration dune synthse pour chaque risque sera en outre
ncessaire.
6.2 Lestimation des risques pour leur gestion globale
Il est bien entendu possible dutiliser un modle de risque complet tel quabord
prcdemment pour faire une estimation individuelle de chaque risque identifi
comme un scnario de risque et den dduire une politique de scurit et des
objectifs adapts une gestion globale des risques.
Nous nous placerons nanmoins dans une optique o les risques sont dcrits par une
menace et une vulnrabilit (ou ventuellement un groupe de vulnrabilits)
exploite.
Ce qui est trs significatif de cette reprsentation du risque est quelle donne une
vue partielle du risque en ne citant quune partie des vulnrabilits. Ne prenant
pas en compte lensemble des mesures de scurit qui pourraient avoir un effet sur
le niveau de risque, elle permet de donner une certaine valeur au risque (compte
tenu de la vulnrabilit exploite mais sans tenir compte des autres mesures de
scurit qui pourraient rduire le risque), valeur qui peut tre utilise pour
hirarchiser des vulnrabilits, bien quelle ne reprsente pas une valuation
complte du niveau de risque auquel lorganisme est expos.
Ceci tant, le modle destimation du risque relatif doit comprendre plusieurs
lments :
Lestimation des enjeux ou des consquences du risque
Lestimation du niveau de la menace
Lestimation du niveau des vulnrabilits cites dans la description du
risque, niveau ventuellement fonction de la politique de scurit.
6.2.1 Lestimation des enjeux ou des consquences du risque
Lestimation du risque doit, bien entendu, tenir compte du dommage subi par
llment dactif lors de la survenance du risque.
Sachant que la description du risque comprend celle de llment dactif impliqu
et le type de dommage subi (bien que ce dommage ne soit pas cit explicitement
et quil faille le rechercher dans le type de menace), la question est bien celle
dvaluer la gravit de ce dommage.
On est, comme prcdemment, dans une problmatique de mthode et ce nest
pas le lieu ici den dcrire une plus particulirement.
On peut nanmoins mettre en lumire les principes gnraux qui doivent tre
respects et qui sont influencs par le fait quon ne cherche pas une valeur absolue
du niveau de risque.
Dcrire la rfrence en matire de gravit des consquences des risques
Dans la mesure o lon ne rechercha pas une valeur absolue des niveaux de risque,
la rfrence en matire de gravit peut tre plus libre.
On peut ainsi prendre comme rfrence pour dfinir une chelle de gravit :
la gravit relle des consquences pour lentit (comme au chapitre 6.1.1)
la gne occasionne aux utilisateurs,
la gne ressentie par la Direction
les cots de recouvrement
tout autre critre refltant une certaine hirarchie dans les consquences
(telle que la dure dune interruption de service)
Dfinir une chelle de gravit
Une fois la rfrence fixe une chelle devra ltre galement.
Le nombre de niveaux importe relativement peu dans ce type de management et
une chelle faible nombre de niveaux facilitera la suite des quantifications.
6.2.2 Lestimation du niveau de menace
La valeur attribue au risque doit, bien entendu, tenir compte du niveau de la
menace.
La manire dvaluer ce niveau doit tre dcrite dans le modle destimation du
risque et peut prendre en compte divers paramtres tels que :
La probabilit de survenance a priori de lvnement dclencheur de la
menace
Le potentiel de nuisance de la menace
Lexposition relative de lentit ce type de menace
La facilit de ralisation de la menace
Etc.
Certes, une fonction combine de la probabilit de survenance a priori et de
lexposition relative de lentit ce type de menace semble se rapprocher au
mieux dune notion de probabilit, mais, dans ce processus destimation du risque
relatif , lessentiel est que le processus dvaluation du niveau de la menace
permette une bonne communication et soit comprise par les dcideurs, le validit
thorique de cette valuation nayant pas une importance majeure.
6.2.3 Lestimation du niveau de vulnrabilit
Lestimation du risque doit, enfin, tenir compte du niveau des vulnrabilits
concernes puisque celles-ci sont un lment central du risque identifi.
Les points suivants devraient tre abords et dcrits par le modle de
management :
La mesure du niveau de chaque vulnrabilit
La manire de prendre en compte et de valoriser la combinaison de plusieurs
vulnrabilits, si plusieurs vulnrabilits sont dcrites dans lidentification
du risque.
La mesure du niveau de vulnrabilit
Pour pouvoir grer dans le temps les risques encourus, mme dans cette vision
partielle des risques, il est ncessaire dvaluer un niveau de vulnrabilit.
La manire de faire cette valuation peut tre :
Subjective
Base sur un audit des vulnrabilits et sur une base de connaissance
Dans un cas comme dans lautre la mthode doit dcrire le processus dvaluation
et ce processus doit permettre la prise en compte des lments de la politique de
scurit.
La mesure de plusieurs vulnrabilits cumules
En outre, si plusieurs vulnrabilits sont dcrites dans un type de risque, la
manire de faire une valuation globale du niveau de vulnrabilit doit tre
dcrite et devrait comprendre :
Une typologie de vulnrabilits (peut-on comparer des vulnrabilits aussi
diffrentes que la faiblesse dun contrle daccs et celle des sauvegardes ?)
La manire de combiner des vulnrabilits de mme type (leur minimum,
leur maximum, une autre formule ?)
La manire de combiner des vulnrabilits de types diffrents.
6.2.4 Lestimation du niveau de risque
Lestimation du niveau de risque doit tenir compte de lensemble des valuations
prcdentes et dboucher sur une hirarchisation des risques partiels ou relatifs
dcrits.
7 LEVALUATION DES RISQUES IDENTIFIES
Ltape que les normes ISO appellent valuation des risques ("Risk evaluation") est,
en fait, une tape de jugement sur le caractre acceptable ou non des risques tels
quils sont dcrits.
7.1 Lvaluation des risques pour leur gestion individualise
Le rsultat de ltape destimation est, pour ce type de management, une
valuation de limpact (I) et de la probabilit (P) de chaque risque.
Il ne reste plus qu passer une note globale ou, plus simplement, qu dcider
des plages dacceptabilit des risques.
Compte tenu du caractre facilement accessible des deux notions de base, le
management peut aisment conclure sur ce point.
Le support de dcision peut ainsi tre :
Une fonction de Gravit du risque G = f(P, I)
Une table dacceptabilit fonction de P et de I, par exemple comme celle
indique ci-dessous.
Impact : I
Potentialit : P
risques insupportables
risques inadmissibles
risques tolrs
2 3 4 1
2
3
4
1
2
3 3
2 2
1
1
1 1
4
2
3
4
3
2
4

7.2 Lvaluation des risques pour leur gestion globale
Le rsultat de ltape dvaluation est, pour ce type de management, une note
globale permettant une hirarchisation des risques.
La dcision de traiter le risque ou non dpend alors dun seuil de dcision qui doit
tre fix par un comit ad hoc.
8 LE TRAITEMENT DES RISQUES
Les risques ayant t estims, il reste les traiter, c'est--dire :
Les accepter en ltat
Les viter totalement par des volutions structurelles telles que le risque ne
se prsente plus
Les optimiser, c'est--dire les rduire
Les transfrer ou les partager avec une tierce partie
Nous aborderons ici les deux dernires options, savoir la rduction des risques ou
leur transfert vers un tiers.
Il est bien clair que la rduction des risques identifis et considrs comme
critiques est lie au mode de management choisi, mais aussi, et peut-tre
principalement, la dfinition mme de ces risques.
8.1 La rduction directe des situations de risque critiques
Comme son nom lindique, la gestion directe des situations de risque consiste
dcider, scnario par scnario, des mesures prendre.
Ceci tant, en fonction de ce que permet la mthode support, bien des options
sont encore possibles, dont deux principales :
Lappui sur une base de connaissances de scnarios de risque rfrenant les
mesures de scurit pertinentes et permettant lvaluation de leur effet en
termes de rduction du niveau de risque
La gestion directe des situations de risque par les responsables dactivit, de
projets ou de processus
8.1.1 La rduction directe des risques sappuyant sur une base de
connaissances
Le cas le plus intressant est celui dune base de connaissances de scnarios de
risque qui rfrence, pour chaque scnario, les mesures de scurit pertinentes et
qui permet dvaluer leffet de ces mesures en termes de rduction du niveau de
risque.
La question qui peut alors se poser est celle des aides additionnelles proposes par
la mthode de gestion des risques et, en particulier le choix ou la proposition de
stratgies de rduction de risques. Il est, en effet, possible que la mthode ne
propose rien de particulier et que le responsable de la gestion des risques soit libre
de travailler comme il lentend pour slectionner les mesures de scurit mettre
en place ou, au contraire, quil lui soit propos des stratgies permettant
doptimiser son action.
Le schma de gestion des risques donn au chapitre 4.1 devient alors plus
prcisment le suivant :
Risque N Risque N
Risque Risque
Risque 3 Risque 3
Risque 2 Risque 2
Risque 1 Risque 1
Analyse et
valuation de
chaque situation
de risque
Slection de
services de
scurit et de
niveau de service
Risque
acceptable ?
Identification
des situations
de risque
OUI
NON
Mise en place
des services
spcifis
Slection dune
stratgie de
rduction de
risque

8.1.2 La rduction directe des risques par les responsables
dactivit, de projet ou de processus
Linclusion, dans la dfinition des risques, des circonstances particulires de
survenance de chaque risque conduit la possibilit de gestion directe des
solutions mettre en uvre par les responsables dactivit, de projet ou de
processus.
Bien des solutions, en effet, sont aises prendre au niveau de lactivit mme et
se rvlent gnralement, dans ce cas, trs conomiques.
A titre dexemple, si nous prenons le cas du dtournement dun dossier stratgique
confidentiel lors de son impression sur une imprimante partage, la dcision
pourrait simplement tre de modifier le processus et dimprimer ce mme
document en local sur une imprimante non partage, plutt que de se proccuper
de scuriser le processus dimpression sur une imprimante partage.

Risque N Risque N
Risque Risque
Risque 3 Risque 3
Risque 2 Risque 2
Risque 1 Risque 1
Analyse et
valuation de
chaque situation
de risque
Dfinition de
mesures pour
rduire chaque
risque
Risque
acceptable ?
Identification
des situations
de risque
OUI
NON
Mise en place
des mesures
dcides

8.2 Le traitement indirect des risques types critiques
Dans le cadre dune dmarche dans laquelle les risques critiques identifis sont
dfinis par les menaces et vulnrabilits, il est clair que ce sont ces vulnrabilits
quil convient de rduire.
La question est alors de savoir jusqu quel niveau de dtail la mthode de gestion
des risques permet de descendre.
En effet, les dcisions que lon peut prendre, en matire de traitement des
risques, et les orientations que lon peut fixer, peuvent se situer diffrents
niveaux.
Ainsi que lindique le schma ci-dessous, elles peuvent se situer au niveau :
Dune politique globale de scurit dfinissant les grandes orientations
gnrales
De politiques thmatiques de scurit, dfinissant les objectifs de scurit
atteindre, pour les diffrents thmes ou domaines de la scurit
Dun manuel oprationnel de scurit, dfinissant en dtail les mcanismes
mettre en uvre et les consignes de scurit.
Politique
globale
Politiques thmatiques
Objectifs de scurit
par domaine
Manuel oprationnel scurit :
Mcanismes, consignes et procdures
de scurit par domaine

Ainsi, par exemple, le traitement de certains risques peut consister :
Dcider, dans une politique thmatique, la mise en place de procdures
pour le traitement et le stockage de linformation, afin de protger cette
information contre des usages et des divulgations non autorises, en se
situant donc au niveau des objectifs de contrle, le contenu de ces
procdures et mme les ttes de chapitre ntant pas dfinies et dcides
ce niveau
Analyser chacun des lments considrer pour atteindre lobjectif de
protection de linformation et prendre une dcision relative chacun de ces
lments, dans un manuel oprationnel de scurit, et par exemple (liste
non limitative indique par la norme ISO/IEC 27002) :
o La labellisation de tous les media en fonction de leur classification
o Ltablissement de restrictions daccs
o Lenregistrement et la maintenance de la liste des personnes
autorises recevoir des donnes
o La mise en place de contrles de la compltude des donnes entres
et de la validation des sorties
o La protection des donnes en attente ddition ou de transmission
o Le stockage des media en conformit avec les spcifications des
fournisseurs
o La restriction de la diffusion dinformation
o Le marquage des copies de media
o La revue priodique des listes de diffusion et de distribution
o Etc.
Deux options soffrent alors aux mthodes de management indirect des risques
types :
Transformer directement les vulnrabilits rduire en objectifs de scurit
fixs dans des politiques thmatiques et reporter une tape ultrieure la
transformation de ces objectifs de scurit en lments pratiques dun
manuel oprationnel de scurit
Analyser plus en dtail ces vulnrabilits pour en dduire, ds cette phase
de management, les lments pratiques dun manuel oprationnel de
scurit mettre en place.
8.2.1 Transformation des vulnrabilits rduire en objectifs de
scurit
Cette transformation est relativement simple et ne demande pas doutil
particulier, les listes de vulnrabilits types utilises tant le plus souvent de
mme niveau que les listes dobjectifs de contrle.
Remarque : on pourrait imaginer de travailler avec des vulnrabilits types trs
dtailles et dfinies au mme niveau que les lments dun manuel oprationnel
de scurit. Cela compliquerait beaucoup lidentification des risques et leur
analyse, par la multiplication des vulnrabilits prendre en compte pour chaque
risque type, sans pour autant simplifier leur traitement.
Risque N Risque N
Risque Risque
Risque 3 Risque 3
Risque 2 Risque 2
valuation des
risques
Identification
des risques
OUI
NON
Risques
levs
couverts
par les Objectifs
de scurit ?
Dfinition dobjectifs
de contrle
complmentaires
Dfinition des
Politiques
thmatiques
de scurit
Dfinition des
Objectifs
de scurit

Les mthodes relevant de ce schma sont, en fait, des mthodes de
management des objectifs de scurit, bases sur une valuation de niveau de
risques types, susceptibles dexploiter les vulnrabilits non couvertes par les
objectifs de scurit.
8.2.2 Analyse dtaille des vulnrabilits rduire pour dcider
des lments dune politique de scurit
Les lments dun manuel oprationnel de scurit, dcider puis mettre en
place, ne peuvent rsulter, en pratique, que dune analyse des scnarios dincident
ou scnarios de risque possibles et compatibles avec les caractristiques du risque
analys : la menace et les vulnrabilits.
Le traitement des risques consiste alors rechercher ces scnarios, puis dcider
des mesures pertinentes pour rduire le niveau de risque et enfin inclure des
mesures dans le manuel oprationnel de scurit.
Risque N Risque N
Risque Risque
Risque 3 Risque 3
Risque 2 Risque 2
valuation des
risques
Identification
des risques
OUI
NON
Risques
levs
couverts
par manuel
de scurit ?
Dfinition des lments
dtaills du manuel
oprationnel
de scurit
Analyse des
scnarios
dincident possibles
Dfinition de
mesures
Complmentaires

Les mthodes relevant de ce schma sont, en fait, des mthodes de
management des lments du manuel oprationnel de scurit, bases sur une
valuation de niveau de risques types prenant en compte des scnarios
dincident susceptibles dexploiter les vulnrabilits non couvertes par le
manuel de scurit.
8.3 Le transfert du risque
Ce que lon appelle transfert du risque consiste, le plus souvent, contractualiser
un certain partage de responsabilits entre lentit et une ou plusieurs tierces
parties.
Le cas le plus typique est celui de lassurance, mais bien dautres types daccords
et dagrments sont possibles.
Les mthodes ne sont pas dune grande aide dans ce domaine et les agrments sont
tudier et conclure au cas par cas.
Dans beaucoup de cas, nanmoins, une analyse approfondie des situations de risque
sera plus utile et plus directement exploitable quune tude des menaces et des
vulnrabilits.

9 COMMUNICATION SUR LES RISQUES
Les textes qui font rfrence, dans le domaine de la gestion des risques, insistent
tous sur la communication relative aux risques.
Il nous parait, effectivement, essentiel que lorsquune entit sengage dans une
vritable gestion des risques, il y ait un consensus et une connaissance partage
sur :
Les risques tolrs parce que leur niveau a t jug admissible, ce qui ne
veut pas dire qu ils ne surviendront pas et quil ne faudra pas ragir alors,
Les risques que lon a dcid de rduire, mais qui ne le seront qu plus ou
moins long terme (le temps que les projets correspondants soient lancs et
aboutissent),
Les risques levs et thoriquement inadmissibles quil faut bien supporter
parce quil ny a pas de solution dvitement ni de rduction possible.
Cette connaissance partage ne peut que reposer sur une communication
adapte.
Au-del des outils de communication, il est certain que communiquer sur des
situations de risque a un sens et peut engendrer des comportements
responsables, alors que communiquer sur des menaces et des vulnrabilits
sera plus difficile matriser et peut ne pas susciter ladhsion du management.

L E S P R I T D E L C H A N G E

CLUB DE LA SCURIT DE L'INFORMATION FRANAIS
30, rue Pierre Smard
75009 Paris
01 53 25 08 80
clusif@clusif.asso.fr

Tlchargez les productions du CLUSIF sur
www.clusif.asso.fr

CLUSIF Gestion Des Risques 2008

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

CLUSIF Gestion Des Risques 2008

Uploaded by

Copyright:

Available Formats

LES DOSSIERS TECHNIQUES

LA GESTION DES RISQUES

You might also like