L’idée de risque en sécurité se rapporte à tout ce qui pourrait aller a l’encontre de la triade CIA(voir post précédent). Toute éventuelle action ou événement susceptible de compromettre la confidentialité, l’intégrité ou la disponibilité des données sera qualifié de risque.
Aucun système n’est parfait et par conséquent, l’unique option qui s’offre à nous sera de réduire le risque à niveau acceptable, c’est la gestion du risque.
Pour ce faire, on devra réaliser une analyse de risque c’est-à-dire évaluer chaque menace, leurs fréquences, les pertes en cas de réalisation et enfin, calculer le rapport coût/ bénéfice pour les safeguards à mettre en place.
C’est cet aspect de la gestion du risque que je vais tenter de développer (ou plutôt de résumer).
Avant toutes choses, l’analyse de risque, et par conséquent la gestion du risque, doivent émaner d’une volonté du/des dirigeant(s) de l’organisation et découlent directement des stratégies d’entreprise définies par ce(s) dernier(s). En effet, même si cette analyse est menée par des professionnels de la sécurité, elle devra être bornée(grâce aux stratégies évoquées plus tôt), comprise et validée par le haut management car il reste, au final, le seul décideur et responsable absolue.
L’étude du risque peut être menée selon deux axes : quantitatif, qualitatif. Quand les deux méthodes sont utilisées simultanément on parle de méthode hybride
Analyse Quantitative
Cette analyse est, pour ainsi dire, concrète. Dans le sens où l’on s’assure que tous les aspects sont mesurables, quantifiables, de manière comptable(en euros, ou quelque soit votre devise). Autrement dit, un document très clair pour un financier.
Pour la réaliser, on donne une valeur aux assets(AV), on identifie les menaces associées a chaque asset et on etablit la probabilité de réalisation de chacune d’entre elle(EF)
A partir de ce point, on peut calculer un certain nombre de coût comme le Single Lost Expectancy(SLE) qui est la perte associée à un risque réalisé sur un asset. Ou encore Annual Lost Expectancy (ALE) qui est la perte associée à l’ensemble des risques réalisés sur l’ensemble des assets. Ces calculs nous servirons de baromètre afin d’évaluer les safeguards/contre-mesures possibles.
Analyse Qualitative
Ce type d’analyse sera basé sur l’appréciation, le jugement, l’expérience des auditeurs. Ici la menace est exprimé par une note sur une échelle préalablement definie afin d’evaluer le cout, le risque et les effets. On utilisera des méthodes comme le brainstorming, storyboarding, des questionnaires ou encore la technique Delphi qui consiste à avoir des feedbacks anonymes des intervenants afin d’arriver a un consensus tout aussi anonyme. Il en existe d’autres mais toutes ces méthodes auront pour point de départ un scénario, une mise en situation, dans laquelle on définit la menace et le périmètre d’impact. Il est important pour ces méthodes d’engager tous les niveaux de hiérarchie de l’organisation pour avoir une analyse la plus précise possible.
Avec le recul, je me rends compte que la plupart des analyses que j’ai effectué par le passé pour l’implémentation d’un pare-feu, d’un anti-pourriel ou d’un antivirus, par exemple, étaient plus qualitatives que quantitatives. On s’appuyait sur des expériences et des scénarios pour évaluer les menaces, les risques et les effets. La vision quantitative était souvent résumée a « quel est le budget? »… Gardons quand même en tête que dans ces cas un peu particulier ce sont tous les assets de l’organisation qui bénéficient des protections amener par ces safeguards.
En regard de cela, on peut facilement comprendre que l’analyse menée en hybride nous donnera de meilleurs résultats car la combinaison des deux prendra en compte des approches différentes et donc un recoupement qui nous permettra d’être efficient.
L’analyse de risque(très très… très résumée ici) n’est qu’une partie de la gestion du risque mais néanmoins sa base.
Aller ! On continue…
Olivier CAFÉ 