|



 Ô

 
 

` Le risque est la perte potentielle de ce qui exige une

protection.
` S·il n y a aucun risque, il n y a aucun besoin de sécurité.
` Pour comprendre le risque dans un SI prenant l·exemple
d·une compagnie d·assurance qui paye les coûts de
réparation d·une voiture suite à un accident effectuer par
l·un ces clients. Il existe trois composantes:
` La voiture qui constitue les î 
.
` L·argent nécessaire pour la réparation et qui doit être payé par la
compagnie d·assurance. On appellera cela 
î  de
compagnie d·assurance.
` la probabilité pour la personne d·avoir un accident constitue 
  qui sera responsable de l·exploitation de la vulnérabilité
de compagnie d·assurance.
 0

Pour évaluer un risque, il faut prendre en compte les

vulnérabilités des biens de l·organisme et les
menaces.

Biens Vulnérabilités Menaces

Risque

Contre-mesures

 0

` Le risque est la combinaison de la menace et de la

vulnérabilité.
` En absence de vulnérabilité, les menaces n·exposent
à aucun risque.
` En absence de menaces, la vulnérabilité n·expose à
aucun risque.
` mesurer un risque consiste à tenter d·identifier la
probabilité qu·un événement dommageable
survienne.
 ©

© 



` Le sécurité d·un système informatique est un processus

proactif de la gestion de risques. Elle prend des mesures
avant que les attaques n·aient lieu.
` Le coût initial de la sécurité d·un système informatique est:
£
 
  



` Si un incident se produise. Le coût est le suivant:
£
 
  

 




` Si l·entreprise prend les mesures adéquates pour éviter que
des incidents ne se produisent, le coût de sécurité peut être
réduit en éliminant le

 

 - 
 

` Le risque peut être qualitativement défini selon trois

niveaux:
` Mineur: la vulnérabilité expose l·entreprise à un risque mais il est
improbable qu·il se produit. Il faut si possible prendre des mesures
pour supprimer cette vulnérabilité.
` Moyen: la vulnérabilité présente un risque important pour la
confidentialité,l·intégrité, la disponibilité des informations de
l·entreprise. Il y a un réel possibilité que cela puisse arriver.
` Majeur: la vulnérabilité présente un danger réel pour la
confidentialité,l·intégrité, la disponibilité des informations de
l·entreprise. Il faut prendre des mesures immédiates pour
supprimer cette vulnérabilité.
  




` Pour identification des risques il suffit d·identifier
les vulnérabilités et les menaces.
` L·identification des risques doit être adaptés à
l·entreprise.
` Pour identifier les vulnérabilités, il faut commencer
par l·inventaire et l·estimation des biens de
l·entreprise. Ensuite il faut trouver tous les points
d·accès à ces biens et les manières d·y accéder.
` La question qui se pose :comment ces risques
identifiés sont-ils liés aux risques réels.
  

î 

    

î 

` ‰ypes de Biens (Asset):
` Matériel (CPU, disque, routeurs, «).
` Logiciel (applications, bases de données, ...).
` Données (configuration, archives, «).
` Personnes (développeurs, administrateurs, «).
` Quels sont les ressources vitales à l·entreprise ?
` Évaluer proprement une ressource de type logiciels et données.
En effet, un traitement erroné par exemple dans un logiciel de
finance peut aller jusqu·à des responsabilités légale et des
données erronées dans un système embarqué peuvent causer
l·endommagement de tout le système.
[
  

î 

  

î 

Pour identifier les vulnérabilités, il faut identifier:
` Les connexions à Internet.
` Les accès physiques aux locaux.
` Les points d· accès distant et les points d·accès des
utilisateurs.
` Quels sont les vulnérabilités du système logiciels ?
` Quels sont les ressources les plus vulnérables ?
` Quels sont les vulnérabilités les moins contrôlées ?
  
 

`  
 

` L·identification des menaces est une tache difficile. En effet, les
menaces ne sont pas visibles tant qu·un événement n·est pas
arrivée.
` Exemple de menaces: Entreprises concurrentes, Employé
malhonnête, programme malveillant, un employés mécontent,
un intrus, «
` Pour identifier les menaces, il faut déterminer:
` Qui veut / peut causer des endommagements ?
` Quels sont les biens qui peuvent subir des attaques ?
` Qu·est ce qui peut motiver les intrus à attaquer le système ?
` Quels sont les formes de perte qui peuvent avoir lieu ?
` Quels sont les formes de dégâts naturels qui peuvent avoir lieu ? r
 A



` L·évaluation du risque ne peut pas être examiner sans tenir compte

des moyens de contre-mesures au niveau de l·entreprise.
` Il faut identifier les contre-mesures pour éliminer les menaces
irréalisables, c· à d les vulnérabilités qui ne peuvent pas être
exploitables.
` £ 


: l· ensemble de mécanismes de sécurité
implémentés au niveau de l·entreprise en vues de:
` Réduire les menaces.

` Réduire les vulnérabilités.

` Réduire l·impact.

` Prévenir / Détecter les évènements malveillants.

` Restaurer le système à l·état normal.

` La protection doit être proportionnelle à la valeur des biens à

protéger.
rr
 A



            

        

-




        

Pour être efficace l·identification du risque doit engendrer une phase

d·évaluation de risque c· à d déterminer les coûts engendrés par une
attaque réussit. La façon la plus évidente de mesurer le risque consiste
à évaluer ce que peut coûter la pénétration réussie d·une entreprise.
 A



` Le coût du risque peut inclure: La perte de productivité, de clients, de

confiance, de temps, de ressources (personnes, systèmes), «
` Il est important de noter que ces coûts sont inconnus avant qu·un
événement ne se produise. Il faut donc les estimer en examinant les
conséquences sur le système.
` Pour chaque risque identifié, il faut examiner ces résultats
potentielles pour estimer combien coûtera se risque.
` Quelles ressources seront affectés par l·attaque ?

` Combien de temps faudra t·il pour corriger l·attaque ? Il faut

considérer les coûts liés au temps de travail du personnel, des
consultants, et de l·acquisition de nouveaux équipements.
` L·attaque aura-t-elle un impact sur d·autre cibles ?

` Quel impact cet événement aura-t-il sur la réputation de l·entreprise,

sur les ventes et sur les calendriers de production ?