3. Présentation de la gestion
du risque en informatique
Ce chapitre s'appuie sur des pratiques éprouvées tirées de méthodologies d'analyse actuelles exploitant les modèles MSF (Microsoft Solutions Framework) et MOF (Microsoft Operations Framework). Le modèle MSF propose des recommandations relatives aux phases de planification, de développement, de stabilisation et de déploiement du cycle de vie d'un projet dans les domaines de l'architecture d'entreprise et du déploiement d'infrastructure. Le modèle MOF propose une ligne de conduite en matière de développement et d'optimisation des systèmes de gestion pour les opérations informatiques.
Pour plus d'informations sur les modèles MOF et MSF, reportez-vous à la section « Informations complémentaires » à la fin de ce chapitre.
Ce chapitre définit les trois principaux processus à mettre en œuvre pour sécuriser un environnement. Il présente à la fois la gestion du risque (SRMD, Security Risk Management Discipline) et le modèle de gestion du risque (SRF, Security Risk Framework) en analysant les activités de gestion du risque participant au cycle de vie d'un projet sécurité.
Une entreprise peut utiliser ces trois processus pour définir les tâches essentielles visant à créer un environnement sécurisé et à s'assurer qu'il le demeure.
1.
Évaluation
Cette phase consiste à réunir des informations pertinentes à propos de l'environnement de l'entreprise afin d'en évaluer le niveau de sécurité. Vous devez collecter suffisamment de données pour pouvoir analyser efficacement l'état actuel de l'environnement et déterminer le niveau de protection dont bénéficient les ressources de l'entreprise contre des menaces potentielles. Après cette évaluation, un plan d'action de sécurité sera élaboré et exécuté au cours du processus d'implémentation.
2.
Développement et implémentation
Cette phase vise principalement à appliquer un plan d'action de sécurité. L'objectif est d'implémenter dans l'environnement les modifications définies au cours de la phase d'évaluation. Outre le plan d'action de sécurité, vous devez penser à élaborer un second plan pour parer à toutes éventualité.
3.
Exploitation
Cette étape consiste à apporter d'éventuelles modifications et mises à jour afin de s'assurer que l'environnement reste sécurisé. Des tests d'intrusion et des stratégies de réponses aux incidents interviennent au cours du processus d'exploitation : ils contribuent à consolider les objectifs d'implémentation d'un projet de sécurité dans l'entreprise. Des opérations d'audit et de contrôle visant à préserver la sécurité et l'intégrité de l'infrastructure prennent place au cours de cette phase.
Pratiques et modèle de gestion du risque
Pendant la mise en place du plan sécurité, deux types d'activités de gestion du risque sont menés pendant toute la durée du cycle de vie du projet :
· la première consiste à gérer le risque inhérent au projet lui-même ;
· la seconde consiste à gérer le risque associé aux composants de sécurité.
L'évaluation des risques liés au projet est limitée au cycle de vie du projet. Les risques doivent eux faire l'objet d'une évaluation permanente pendant tout le cycle de vie de la solution ou du système. La gestion du risque du modèle MSF sert de base à la gestion du risque pour les évaluations de la sécurité et des projets. Des exemples pratiques de gestion du risque sont décrits plus en détail au chapitre 4 de ce guide, « Application de la gestion du risque ».
La discipline de gestion du risque SRMD ( Security Risk Management Discipline) dérive de la discipline de gestion du risque RMD (Risk Management Discipline) du modèle MSF. Pour éliminer toute ambiguïté, il faut noter que la discipline RMD s'inscrit dans le contexte du risque lié au projet, alors que la discipline SRMD fait référence à l'évaluation du risque. La discipline RMD constitue le principal outil de développement de SRMD.
Ces deux processus privilégient une approche proactive, une évaluation continue du risque et une intégration à la prise de décisions tout au long du projet et de l'exploitation de l'environnement.
La sécurité du système informatique doit être assurée de façon proactive et en continu, afin de garantir la sécurité des ressources informatiques et de détecter les nouvelles menaces et vulnérabilités éventuelles. Lorsque vous ajoutez de nouvelles fonctionnalités à l'infrastructure technologique de votre entreprise, il faut toujours prendre en compte la sécurité informatique. Par ailleurs, il est possible que certains processus et procédures de gestion soient revus et corrigés pour pouvoir s'intégrer à l'environnement modifié et assurer ainsi la protection de ces nouvelles ressources informatiques.
La gestion du risque comporte neuf étapes :
Evaluation
1. Évaluation et valorisation des ressources.
2. Identification des risques de sécurité.
3. Analyse et classement par ordre de priorité
de ces risques.
4. Suivi des risques, planification et
programmation.
Développement et
implémentation
5. Élaboration de mesures de protection des
risques.
6. Test des mesures de protection.
7. Acquisition de connaissances sur les
risques.
Exploitation
8. Réévaluation des ressources et des risques nouveaux et modifiés.
9. Stabilisation et déploiement de contre-mesures nouvelles ou modifiées.
Ces étapes représentent les trois principales phases de la discipline SRMD : évaluation, implémentation et exploitation.
Évaluation
Les sections suivantes décrivent des tâches d'évaluation à l'échelle de l'entreprise menées en guise de phase préliminaire à l'analyse de la sécurité. L'évaluation et la valorisation des ressources constituent les premières étapes de l'analyse de la sécurité. Il est en effet indispensable de connaître la situation de départ avant de passer à l'étude des risques. Le processus d'analyse de la sécurité représente un ensemble de stratégies visant à déterminer les ressources de l'environnement qu'il est nécessaire de sécuriser et celles qui doivent l'être en priorité.
Évaluation et valorisation des ressources
L'évaluation des ressources vise à déterminer la valeur accordée aux informations en fonction des parties concernées et les efforts consacrés au développement de ces informations. La valorisation identifie le coût de maintenance de la ressource, le coût qu'impliquerait sa perte ou sa destruction et le bénéfice que tirerait un tiers de l'obtention de ces informations. La valeur d'une ressource doit refléter tous les coûts identifiables qui résulteraient de sa détérioration effective.
Identification des risques
L'identification des risques permet aux membres d'une équipe de projet d'étudier et d'exposer tous les risques potentiels. Elle nécessite la collecte d'informations sur les menaces, les vulnérabilités, les attaques et les contre-mesures.
Analyse des risques
L'analyse des risques sert à analyser les attaques potentielles, les outils, les méthodes et les techniques susceptibles d'être utilisés pour exploiter une vulnérabilité potentielle. Cette démarche permet non seulement d'identifier les risques, mais aussi d'évaluer les dommages potentiels afin de justifier l'application de mesures de protection.
Une analyse des risques s'articule principalement autour de trois objectifs : identifier les risques, quantifier l'impact des menaces potentielles et atteindre un compromis rentable entre l'impact du risque et le coût de la contre-mesure. Les informations réunies servent à apprécier le niveau de risque. L'équipe peut ainsi prendre les bonnes décisions sur les risques qui doivent faire l'objet d'une attention toute particulière en terme de protection.
L'analyse des risques sert ensuite à établir un classement prioritaire des risques. Elle permet à l'entreprise de consacrer les ressources nécessaires à la résolution des problèmes de sécurité les plus critiques.
Elle facilite en outre l'intégration des objectifs d'un programme de sécurité avec les besoins et les objectifs stratégiques de l'entreprise. Ces objectifs sont plus facilement atteints lorsque leur convergence est assurée.
Cette analyse simplifie également l'élaboration d'un budget approprié pour le programme de sécurité et ses composants. Après avoir déterminé la valeur des ressources de votre entreprise et correctement appréhendé les menaces potentielles auxquelles elles sont exposées, vous pouvez prendre les décisions appropriées sur les investissements à réaliser pour les protéger.
Suivi des risques, planification et programmation
Au cours de cette étape, les informations réunies lors de la phase d'analyse des risques sont utilisées pour élaborer des stratégies et des plans de secours et d'atténuation pertinents. La programmation vise à établir un calendrier des diverses stratégies de protection élaborées au cours de la phase de développement du projet sécurité. Elle prend en compte la procédure d'approbation des plans de sécurité et leur intégration à l'architecture informatique, ainsi que les procédures d'exploitation journalières standard à implémenter.
Développement et implémentation
Le travail réalisé au cours de la phase d'évaluation permet de développer et d'implémenter des contre-mesures appropriées. Les résultats obtenus lors de l'évaluation facilitent la transition vers l'étape suivante, qui consiste à déployer des contre-mesures efficaces et à mettre en œuvre des stratégies d'acquisition de connaissances en matière de sécurité.
Élaboration de mesures de protection contre les risques
Cette phase consiste à utiliser les plans élaborés au cours de la phase d'évaluation pour créer une nouvelle stratégie de sécurité regroupant la gestion de la configuration, la gestion des correctifs, la surveillance et l'audit du système ainsi que des procédures et stratégies d'exploitation. Le développement continu de diverses contre-mesures exige un suivi et des rapports complets sur son déroulement.
Test des mesures de protection
Cette étape intervient au terme du développement des stratégies de protection, c’est-à-dire une fois que les modifications associées ont été apportées à la gestion du système et après l'élaboration de stratégies et de procédures visant à déterminer leur efficacité. Ce processus permet à l'équipe de projet d'étudier le mode de déploiement possible des modifications en environnement de production. Il implique l'évaluation de l'efficacité des contre-mesures par l'analyse du niveau de contrôle du risque exact obtenu.
Acquisition de connaissances sur les risques
Cette étape vise à établir de façon normative le processus de collecte d'informations relatives à la sécurisation des ressources par l'équipe de projet. Elle nécessite la documentation des vulnérabilités et attaques identifiées. À mesure que le département informatique acquiert des connaissances, de nouvelles informations de sécurité sont collectées et redéployées dans le but d'optimiser en permanence l'efficacité des contre-mesures de protection des ressources de l'entreprise. En outre, les diverses communautés de l'entreprise doivent être informées sur le sujet en recevant des formations ou des bulletins d'information sur la sécurité.
Remarque : Ces étapes doivent être considérées comme un guide logique ; elles ne doivent pas être suivies dans l'ordre pour pallier n’importe quel risque. Il arrive souvent que les équipes responsables de la sécurité doivent recommencer le cycle complet d'identification, d'analyse et de planification à mesure qu'elles affinent leurs connaissances à propos des problèmes de sécurité, des menaces et des vulnérabilités spécifiques de leurs ressources informatiques.
Votre entreprise doit définir un processus de gestion du risque normalisé. Celui-ci décrira les procédures d'évaluation et de mise en place des contre-mesures et les modalités de transition entre les étapes pour un risque ou un groupe de risques donnés.
Exploitation
Des cycles d'exploitation solides et cohérents offrent à vos équipes de sécurité un mécanisme permettant de fournir des résultats fiables et prévisibles. Pour que ces équipes disposent de données précises et complètes sur la manière de réévaluer les ressources de l'ensemble de l'entreprise, qu'elles soient nouvelles ou modifiées, l'évaluation doit être effectuée au tout début du projet de sécurité. La stabilisation et le déploiement de nouvelles contre-mesures ou de contre-mesures corrigées pour ces ressources peuvent alors faire partie intégrante des opérations journalières de l'entreprise.
Réévaluation des ressources et des risques nouveaux et modifiés
Ces processus relèvent essentiellement de la gestion des modifications, même s'ils intègrent également la gestion de la configuration de la sécurité. Ils débouchent naturellement sur la gestion des versions une fois les nouvelles contre-mesures et stratégies de sécurité finalisées.
Stabilisation et déploiement de contre-mesures nouvelles ou modifiées
Au cours de la phase d'exploitation, ces processus sont gérés par plusieurs équipes chargées de l'administration du système, de la sécurité et du réseau. La surveillance et le contrôle des services ainsi que la définition d'un calendrier des travaux sont des processus supplémentaires de la phase d'exploitation au cours desquels les administrateurs de la sécurité mettent en place de nouvelles contre-mesures optimisées.
Services d'assistance de sécurité,
gestion des incidents et acquisition de connaissances en matière de gestion des
problèmes
Au cours de la phase de support, les groupes chargés de l'exploitation au sein de l'entreprise assurent le support technique de l'environnement sécurisé par une gestion stricte de la sécurité. Cette mission combine des services d'assistance de sécurité, le contrôle des incidents et la gestion des procédures d'escalade en cas de problème.
Gestion financière, niveau de service et disponibilité
Les modèles MSF et MOF définissent des pratiques éprouvées destinées à faciliter le développement, le déploiement et l'administration d'un programme de gestion de sécurité robuste. La mise en œuvre efficace de ces pratiques permet de créer un environnement garantissant l'intégrité, la confidentialité et la disponibilité des ressources.
La gestion de la sécurité est encore améliorée par une gestion rigoureuse des domaines suivants :
· le niveau de service ;
· l'aspect financier ;
· la communauté de services ;
· la disponibilité ;
· la capacité ;
· les effectifs.
Modèle de gestion du risque
Présentation
Ce modèle de gestion s'appuie sur le modèle de processus MSF et décrit une séquence générale d'opérations pour le développement et le déploiement de solutions de sécurité informatique. Il ne prescrit pas une série spécifique de procédures, mais il est suffisamment souple pour accepter un large éventail de processus informatiques. Ce modèle de processus couvre le cycle de vie d'une solution depuis le début du projet jusqu'à son déploiement effectif.
Figure 3.1. Etapes du modèle de processus MSF par
phase
Il est possible d'utiliser le modèle de processus MSF pour développer des applications logicielles et déployer la technologie de l'infrastructure. Ce modèle décrit un cycle itératif conçu pour s'adapter à des exigences de projet susceptibles de varier grâce à des cycles de développement courts et à des versions incrémentielles de la solution. Tout cela est rendu possible par la répétition des cycles de test et de gestion du risque.
Chaque étape du modèle de processus pose diverses questions fondamentales relatives au projet ou y répond : L'équipe s'est-elle entendue sur l'étendue du projet ? La planification est-elle suffisante pour poursuivre ? L'équipe a-t-elle atteint l'objectif qu'elle s'était fixée ? La solution fonctionne-t-elle correctement pour les clients et partenaires de l'entreprise ?
Voici une brève présentation des six principaux processus d'un projet de sécurité représentés par l'illustration ci-dessus.
1.
Lancement et définition du projet
La phase de lancement répond à l'une des conditions essentielles au succès du projet : l'unification de l'équipe de projet et du programme de sécurité. Le processus de mise en route de l'équipe se poursuit jusqu'au terme de la phase de lancement. Tous les membres de l'équipe de projet doivent avoir une idée claire et précise des objectifs que la solution de sécurité doit atteindre et des besoins de l'entreprise en termes de sécurité. Cette phase repose essentiellement sur l'identification des problèmes ou les opportunités associés à la gestion de la sécurité. Toutes les parties concernées par la gestion de la sécurité doivent définir des objectifs, des hypothèses et des contraintes au cours de ces processus.
2. Évaluation
de la sécurité et analyses
L'évaluation et les analyses de la gestion de la sécurité sont des processus qui interviennent au cours de la phase de planification de la méthodologie MSF. Ils comprennent notamment l'évaluation de l'entreprise, la valorisation des ressources, l'identification des menaces, l'évaluation des vulnérabilités et l'évaluation du risque. Ensemble, ils forment le contexte de planification nécessaire à la réussite du déploiement des contre-mesures.
3.
Développement des mesures de protection des risques
Les informations fournies par les phases d'évaluation et d'analyse de la sécurité servent à élaborer des mesures de protection. Au cours de ces processus, les développeurs cherchent constamment, par le développement, le test et la validation de contre-mesures, à remédier aux risques identifiés au cours des précédentes phases du projet. Ces processus font l'objet de tests unitaires réalisés par l'équipe de développement et d'une évaluation par rapport à des critères de qualité.
4. Tests des mesures de protection des risques et test fonctionnel des ressources
Les processus de test des mesures de protection et de test fonctionnel des ressources présentent des résultats moins prévisibles. Des résultats inattendus aux tests fonctionnels sont balisés et gérés pendant la phase de stabilisation par les processus de test. Même si la phase de développement s'appuie sur des plans et des spécifications connus, le nombre et la gravité des bogues identifiés sont toujours inconnus. Les techniques de « convergencee de bogues » et de « lancement à zéro bogue » sont utilisées par Microsoft pour mesurer l'état de la solution en termes de qualité et prévoir la date de distribution au cours de cette phase.
5.
Déploiement de contre-mesures et de stratégies de sécurité
Les processus de déploiement de contre-mesures et de stratégies de sécurité se poursuivent tout au long de la phase de déploiement de la méthodologie MSF et, ensuite, au cours du cycle de processus MOF. Lors du déploiement de contre-mesures, les types de contre-mesures et de stratégies de sécurité sont répartis en deux catégories : les éléments de base et les éléments de site, avec leurs composants de sécurité correspondants. Les composants de sécurité de base sont localisés dans un emplacement clé ou central qui concerne la solution de sécurité dans son intégralité. Les composants spécifiques au site sont installés dans des emplacements individuels, ce qui permet aux utilisateurs d'accéder et d'utiliser la solution de sécurité.
6. Déploiement
achevé
La connaissance sur la gestion du risque est « acquise » lorsque le déploiement est achevé. Une fois assimilés les enseignements tirés des divers processus précédant le déploiement, la solution passe à un stade opérationnel. Le projet terminé est alors transféré vers le cycle de processus MOF.
Pour
plus d'informations sur les processus d'un projet de sécurité, consultez le
guide Microsoft Solution for Security Services Guide.
Constitution de l'équipe du programme de sécurité
C'est au cours du processus d'évaluation du modèle de processus MSF qu'intervient une étape cruciale de la sécurisation de l'environnement : la création d'un programme de sécurité. La charte de ce programme doit déterminer les objectifs, l'étendue, les stratégies, les priorités et les normes qui vont permettre à l'entreprise de bénéficier d'une sécurité totale. Les membres du programme de sécurité sont des cadres supérieurs de l'entreprise. Le groupe d'administration de la sécurité comprend des cadres moyens et leurs équipes de « reporting » chargées de la mise en œuvre et de la gestion des stratégies déterminées par le programme de sécurité.
Un programme de sécurité doit être développé selon une approche hiérarchique descendante. En d'autres termes, la direction générale est responsable du lancement, du support et de l'orientation du programme. Les tâches connexes sont ensuite affectées aux cadres moyens et, enfin, aux membres du personnel. Le support peut toutefois associer une approche par le haut, par le bas ou par le milieu pour ce qui est du développement et de la présentation d'idées relatives à la gestion de la sécurité. De nombreuses sociétés privilégient à l'heure actuelle une approche ascendante en matière de développement et de support Le département informatique élabore dans ce cas un plan de sécurité sans réel support ni orientation de la part de la direction. Il est dès lors possible qu'à un moment donné le programme de sécurité ne soit pas en accord avec les objectifs généraux de l'entreprise.
Il est préférable que la direction lance la création du programme de sécurité en attribuant au sein de l'entreprise les rôles et les responsabilités nécessaires au véritable envol du projet. La participation de la direction renforce le programme et lui permet de progresser en parallèle avec les environnements techniques et de gestion en constante évolution de l'entreprise. La création de rôles dans un programme de sécurité témoigne de l'importance capitale que revêt la sécurité pour l'entreprise.
Outre le programme de sécurité, la direction doit constituer un groupe d'administration de la sécurité, directement responsable du suivi et du contrôle des divers aspects du programme en question. En règle générale, si le programme de sécurité d'une entreprise est à l'origine du développement des stratégies de sécurité, c'est le groupe d'administration de la sécurité qui applique et surveille les configurations de sécurité.
Selon l'entreprise, ses besoins en matière de sécurité et la taille de son environnement, l'administration de la sécurité peut être attribuée à une seule personne ou à un groupe travaillant de manière centralisée ou décentralisée.
Évaluation
Le modèle de sécurité pour l'évaluation des menaces décrit dans le modèle de processus est conçu pour aider les spécialistes de la sécurité à développer une stratégie qui garantisse la disponibilité, l'intégrité et la confidentialité des données dans l'infrastructure informatique de l'entreprise. Outre son intérêt pour les gestionnaires des ressources informatiques, pour les administrateurs et responsables de la sécurité du parc informatique, il revêt une importance majeure pour toutes les personnes chargées de développer des stratégies de sécurité informatique. Ce modèle propose une approche systématique de cette activité essentielle et inclut également, en guise de précaution ultime, la création de plans de secours en cas de désastre.
Confidentialité
L'infrastructure informatique de l'entreprise peut contenir des informations dont il est important d'empêcher toute divulgation non autorisée. Il peut s’agir d’informations sensibles comme un rapport sur des récoltes, des informations personnelles ou des données concernant une activité propriétaire d'une entreprise. La confidentialité garantit que le niveau requis de protection est appliqué à chaque jonction du traitement des données. Il est essentiel de conserver un niveau de confidentialité cohérent en permanence pendant que les données résident sur des systèmes et périphériques du réseau, pendant leur transmission et lorsqu'elles atteignent leur destination.
Intégrité
L'infrastructure informatique contient des informations qui doivent être protégées contre toutes les modifications non autorisées, imprévues ou accidentelles. Cela concerne notamment les informations de recensement, les indicateurs économiques ou les systèmes de transactions financières. L'intégrité est préservée lorsque l'exactitude et la fiabilité des informations et des systèmes sont garanties et que la modification non autorisée des données est impossible.
Disponibilité
L'infrastructure informatique héberge des informations ou des services qui doivent être accessibles en temps utile, chaque fois que les circonstances l'exigent. Cela concerne notamment les systèmes critiques à la sécurité, les systèmes de support ou encore la connectivité réseau. La disponibilité garantit la fiabilité des données et ressources ainsi que la possibilité pour les personnes autorisées d'y accéder de manière opportune.
Les administrateurs de la sécurité doivent déterminer le temps, les ressources financières et l'effort à consacrer au développement de contrôles et de stratégies de sécurité appropriés. L'entreprise doit analyser ses besoins spécifiques, déterminer ses ressources, le calendrier qu'elle est tenue de suivre et ses contraintes. Les systèmes informatiques, les environnements et les stratégies organisationnelles sont différents, ce qui complique la création d'une stratégie de sécurisation d’ensemble d'ordinateurs dans une entreprise.
Bien que la mise en place d'une stratégie de sécurité permette à l'entreprise de gagner un temps précieux et répertorie les points essentiels à implémenter, il ne s'agit pas d'une activité ponctuelle. La sécurité fait partie intégrante du cycle de vie des systèmes de l'environnement. Les activités décrites dans ce chapitre exigent généralement une mise à jour périodique ou une révision adaptée. Ces modifications sont apportées lorsque les configurations ou d'autres conditions changent de façon significative ou lorsque les stratégies ou les règlements de l'entreprise demandent une révision. Il s'agit d'un processus itératif sans fin, qui doit être revu, corrigé et testé périodiquement.
Évaluation de l'entreprise
Pour élaborer un ensemble de contrôles et de stratégies de sécurité efficace, vous devez déterminer les vulnérabilités présentes dans le système informatique, mais aussi dans les contrôles et stratégies de sécurité déjà en place. Votre étude doit répertorier les parties de l'environnement qui ne disposent pas de stratégies. Elle nécessite en outre l'analyse des documents existants en matière de stratégies. Par ailleurs, le service juridique de l'entreprise doit s'assurer que toutes les stratégies de sécurité respectent le cadre juridique de la société. Aidez-vous de la liste suivante pour déterminer l'état actuel de vos stratégies de sécurité informatique :
· stratégies de sécurité des ordinateurs (contrôle d'accès physique) ;
· stratégies de sécurité du réseau (par exemple, stratégies relatives à Internet et au système de messagerie) ;
· stratégies de sécurité des données (contrôles d'accès et de l'intégrité) ;
·
plans de secours et de récupération d'urgence et tests des sauvegardes ;
·
sensibilisation et formation à la sécurité du système
informatique ;
·
stratégies de coordination et de gestion de la sécurité informatique.
D'autres documents de stratégie contiennent des informations sensibles :
·
mots de passe BIOS (Basic Input/Output System) des
ordinateurs ;
·
mots de passe de la configuration des routeurs ;
·
documents de contrôle d'accès ;
·
mots de passe pour la
gestion d'autres périphériques.
Analyse des menaces
La création d'une liste de menaces (la plupart des entreprises sont en mesure d'en identifier plusieurs) permet à l'administrateur de la sécurité d'identifier les diverses attaques susceptibles d'être utilisées en vue d'une attaque. Il est important que les administrateurs améliorent continuellement leurs connaissances dans ce domaine dans la mesure où de nouveaux outils, méthodes et techniques sont constamment mis au point pour déjouer les mesures de sécurité.
Le processus d'analyse des menaces est décrit dans la phase de planification illustrée par la figure 3.1. Il sert à déterminer les attaques auxquelles il faut s'attendre pour développer ensuite des moyens de défense contre celles-ci. Il est impossible de protéger l'entreprise de toutes les attaques ;cependant préparez-la à celles qui sont les plus probables. Il vaut mieux prévenir ou minimiser les attaques que réparer les dommages causés par celles-ci.
Pour minimiser l'étendue des attaques, il faut bien comprendre les diverses menaces, les techniques utilisées pour compromettre les contrôles de sécurité et les vulnérabilités présentes dans vos stratégies de sécurité. La connaissance de ces trois éléments vous permet de prédire ces attaques même si vous ignorez le moment et l'endroit où elles vont survenir. Prévoir une attaque, c'est savoir quelles sont les probabilités qu'elle survienne. Cela nécessite une bonne connaissance des divers aspects de l'attaque, lesquels peuvent être exprimés par l'équation suivante :
Motifs de la menace +
Méthodes de l'attaque + Vulnérabilités de la ressource = Attaque
Pour lancer la même attaque, différentes méthodes peuvent être associées. La stratégie de sécurité doit donc être adaptée à chacune des méthodes que chaque type d'agent de menace est susceptible d'exploiter.
Évaluation des vulnérabilités
Lors de l'évaluation des besoins de l'entreprise en matière de sécurité, il faut absolument déterminer ses vulnérabilités vis-à-vis des menaces connues. Il s'agit notamment d'identifier les types de ressources présents dans l'entreprise et les dommages qu'il est possible de leur infliger.
Identification des dommages que peut causer une attaque
L'éventail de dommages causés aux ressources de votre environnement va d'incidents mineurs à une perte de données catastrophique. Les dommages causés au système dépendent du type d'attaque. Utilisez si possible un environnement de test ou de laboratoire pour déterminer plus clairement les dommages résultant de différents types d'attaques. Le personnel de sécurité pourra ainsi évaluer plus précisément les dommages physiques. Le type et l'étendue des dommages varient selon les attaques. Plusieurs tests sont possibles :
· La simulation d'une attaque par un virus de messagerie sur un système de laboratoire, suivie d'une analyse des dommages causés et des procédures de récupération potentielles requises ;
· Un test destiné à déterminer si les employés peuvent être l'objet d'attaques par ingénierie sociale exploitant leur naïveté pour obtenir leurs nom d'utilisateur et mot de passe ;
· Un exercice pratique ou simulation d'un désastre dans un centre de données, avec mesure du temps de production perdu et du temps consacré à la récupération ;
· Enfin, la simulation d'une attaque virale hostile, avec mesure du temps nécessaire à la restauration d'un ordinateur. Le facteur temps peut ensuite être multiplié par le nombre d'ordinateurs infectés pour déterminer la durée d'indisponibilité ou la perte de productivité globale.
Il est également intéressant de faire participer une équipe de gestion des incidents à ce processus. En effet, un groupe est à même d'identifier les différents types de dommages survenus bien mieux qu'une seule personne. Cette équipe a pour rôle de gérer l'ordre de priorité appliqué aux incidents de sécurité et les procédures d'escalade visant à les résoudre.
Identification des vulnérabilités ou points faibles
exploitables par une attaque
Si vous découvrez des vulnérabilités susceptibles d'être exploitées par une attaque spécifique, vous pouvez les minimiser en améliorant les contrôles et stratégies de sécurité actuels ou en en implémentant de nouveaux. Les vulnérabilités existantes sont plus faciles à détecter si vous connaissez les types d'attaque, de menace ou de méthode pouvant être employés. Pour ce faire, il suffit généralement d'effectuer un test d'intrusion.
Planification et programmation pour les risques
Pour chaque méthode d'attaque, le plan de sécurité de l'entreprise doit prévoir des stratégies proactives et réactives.
La stratégie proactive consiste à établir, avant toute attaque, une série de mesures destinées à minimiser les vulnérabilités existantes de la stratégie de sécurité et à créer des plans de secours. Sa mise au point est facilitée par l'identification des dommages qu'une attaque causerait à un système et des faiblesses et vulnérabilités qu'elle exploiterait.
La stratégie réactive, postérieure à l'attaque, guide le personnel de la sécurité dans la réalisation de nombreuses tâches :
·
évaluer les dommages causés par l'attaque ;
les réparer ou implémenter le plan de secours créé dans le cadre de la
stratégie proactive ;
documenter les événements survenus et en tirer des leçons ;
faire en sorte que les fonctions stratégiques de l'entreprise soient de nouveau
opérationnelles dans les meilleurs délais.
Stratégie proactive
La stratégie proactive comporte une série d'étapes prédéfinies à mettre en œuvre pour prévenir des attaques. Il s'agit de déterminer comment une attaque peut affecter ou endommager le système informatique et quelles vulnérabilités elle peut exploiter (étapes 1 et 2). Les connaissances acquises au cours de ces évaluations peuvent faciliter l'implémentation de stratégies de sécurité qui juguleront ou minimiseront les attaques. La stratégie proactive comporte les quatre étapes suivantes :
1. Déterminer les dommages que l'attaque va causer ;
2. Déterminer les vulnérabilités et les points faibles que l'attaque va exploiter ;
3. Minimiser les vulnérabilités et les points faibles identifiés au cours des deux premières étapes pour cette attaque spécifique ;
4. Identifier le niveau approprié de contre-mesures à implémenter.
Le respect de cette procédure d'analyse pour chaque type d'attaque procure un autre avantage : il permet de dégager une série de facteurs communs à différentes attaques. Ce « dénominateur commun » peut être utile pour déterminer les zones vulnérables qui mettent le plus en péril l'entreprise.
Remarque : Il est également important de comparer le coût induit par la perte de données au coût de l'implémentation des contrôles de sécurité. Trouver un compromis entre les risques et les coûts fait partie de l'analyse des risques.
Stratégie réactive
Une stratégie réactive est implémentée lorsque la stratégie proactive relative à l'attaque a échoué. Elle définit les mesures à prendre pendant ou après une attaque. Elle permet d'identifier plus facilement les dommages causés et les vulnérabilités exploitées au cours de l'attaque. De plus, elle détermine la raison de l'attaque, les moyens de réparation des dégâts causés et les modalités d'implémentation d'un plan de secours.
L'interaction des stratégies réactive et proactive permet de développer des contrôles et des stratégies de sécurité visant à minimiser les attaques et les dommages causés. Il est important de faire appel à l'équipe de gestion des incidents avant ou après l'attaque pour participer à l'évaluation, à la documentation et à la compilation des leçons tirées de l'événement.
La stratégie réactive comporte les étapes suivantes :
1. Limiter les dommages
Il est important d'endiguer les dégâts subis pendant l'attaque pour éviter d'autres dommages ultérieurs. Si, par exemple, un virus s'introduit dans votre environnement, il faut tenter de limiter les dommages le plus rapidement possible en déconnectant les serveurs du réseau, avant même de connaître le nombre exact de serveurs effectivement contaminés. Une telle mesure doit être appliquée dans les meilleurs délais.
2. Évaluer les dommages
Déterminez les dommages subis dans les plus brefs délais pour que l'entreprise puisse reprendre une activité normale au plus vite. Si cette évaluation n'est pas possible dans l'immédiat, vous devez mettre en œuvre un plan de secours qui permettra de poursuivre une activité normale et de conserver un certain niveau de productivité.
3. Déterminer la cause des dommages
Pour identifier la cause des dommages, il est nécessaire de savoir quelles ressources étaient visées par l'attaque et quelles vulnérabilités ont été exploitées pour accéder aux services ou perturber leur fonctionnement. Examinez à cette fin les journaux système et les journaux d'audit. Ils fournissent généralement des indices permettant de découvrir l'origine de l'attaque menée contre le système et les autres ressources éventuellement affectées.
4. Réparer les dommages
Il est essentiel de réparer rapidement les dommages. De cette façon, l'entreprise pourra reprendre une activité normale et les données perdues pendant l'attaque pourront être restaurées dans les plus brefs délais. Les procédures et plans de récupération en cas d'urgence doivent intégrer la stratégie de restauration. L'équipe de gestion des incidents doit également être disponible pour prendre en charge le processus de récupération et de restauration, mais aussi pour fournir des instructions sur sa mise en œuvre. Au cours de ce processus, des procédures de secours sont appliquées en vue de limiter les dommages en prévenant leur extension.
Plan de secours
Un plan de secours est un plan développé dans l'éventualité d'une attaque endommageant des données ou d'autres ressources du système avec, comme conséquence, une interruption des activités ou un ralentissement de la productivité. Ce plan est appliqué s'il est impossible de restaurer le système dans des délais suffisamment courts. Son but consiste à maintenir la disponibilité, l'intégrité et la confidentialité des données. Un plan de secours est l'équivalent d'un « plan B ».
Vous devez créer plusieurs plans de secours pour parer aux différents types d'attaque et de menace. Chacun définit une série de mesures à prendre en cas d'attaque. Les plans de secours doivent, pour l'essentiel :
·
indiquer qui fait quoi, quand et comment pour que l'entreprise reste
opérationnelle ;
·
faire l'objet de répétitions périodiques de sorte que le personnel soit
toujours au courant des dernières mesures de secours ;
·
prévoir la restauration d'informations à partir de serveurs de
sauvegarde ;
·
inclure la mise à jour des logiciels antivirus, des Service Packs et des
correctifs ;
·
comporter des procédures visant à déplacer les serveurs de production
vers un autre emplacement et le cas
échéant, effectuer les réplications des serveurs de production à des
emplacements de secours stratégiques ;
· comprendre une analyse rétrospective des plans de secours et stratégies de sécurité actuels.
Les points suivants décrivent les diverses tâches d'évaluation à réaliser dans le cadre de l'élaboration du plan de secours :
· Vous devez évaluer les contrôles et les stratégies de sécurité de l'entreprise de façon à minimiser les vulnérabilités. L'évaluation doit porter sur les procédures et le plan de secours actuels de l'entreprise ainsi que sur leur intégration au plan de secours.
· Il faut analyser les procédures de réponse en cas d'urgence et les répercussions qu'elles ont sur les activités stratégiques de l'entreprise.
· Vous devez mettre au point des réponses planifiées aux attaques et les intégrer aux plans de secours, en notant pour chacune son efficacité à limiter les dommages et à minimiser l'impact d'une attaque.
· Il faut évaluer les procédures de sauvegarde et intégrer les résultats des évaluations dans les plans de secours. Cette opération nécessite l'analyse de la documentation et des tests de récupération d'urgence les plus récents.
· Vous devez évaluer les plans de récupération d'urgence et déterminer si les mesures qu'ils définissent suffisent pour garantir le bon fonctionnement temporaire ou à long terme de l'environnement. Les plans de récupération d'urgence doivent inclure des tests portant sur les niveaux de sécurité requis par l'entreprise. Ces tests permettent au personnel chargé de la sécurité de déterminer s'il peut continuer à appliquer la sécurité tout au long du processus de récupération, des opérations temporaires et du rapatriement des opérations vers le site de traitement d'origine de l'entreprise ou vers un nouveau site.
· Vous devez établir un document détaillé répertoriant tous les éléments identifiés et nécessaires à la réalisation des tâches susmentionnées, avec les informations suivantes :
· des détails sur des scénarios utilisateur visant à tester les plans de secours ;
· des renseignements sur l'impact que des dépendances (comme une assistance ou la fourniture de ressources essentielles externes à l'entreprise) peuvent avoir sur les plans de secours ;
· la liste des priorités observées lors des opérations de récupération et leur justification ;
· les procédures d'escalade à suivre de sorte que tout problème survenant pendant l'exécution d'un plan de secours puisse facilement et immédiatement être soumis au personnel (informatique ou autre) le plus qualifié pour le résoudre.
Implémentation
Veillez à ne pas implémenter des contrôles trop restrictifs sous peine de nuire au principe de disponibilité des informations. Il faut trouver un bon compromis entre les contrôles de sécurité et l'accès aux informations.
Test de simulation d'attaque
La dernière étape d'une stratégie de sécurité consiste à tester celle-ci et à analyser les résultats obtenus. Elle intervient après la mise en place des stratégies proactive et réactive. La simulation d'attaques sur un système de test ou de laboratoire permet d'évaluer les vulnérabilités existantes et de modifier en conséquence les stratégies et contrôles de sécurité de l'entreprise.
Il ne faut jamais exécuter ces tests sur un système de production en ligne car ils peuvent avoir des conséquences désastreuses. Malheureusement, les simulations ne peuvent pas toujours être menées sur des ordinateurs de laboratoire et de test en raison de restrictions budgétaires. Pour augmenter vos chances d'obtenir les moyens financiers nécessaires à la réalisation des tests, informez la direction des risques et des conséquences d'une attaque, ainsi que des mesures de sécurité indispensables à la protection du système (notamment les procédures de test). Il faut, dans la mesure du possible, tester dans la pratique tous les scénarios d'attaque et les documenter pour déterminer les contrôles et stratégies de sécurité les plus efficaces et les mieux adaptés.
Certaines attaques, comme les catastrophes naturelles, ne peuvent pas être testées, même si une simulation peut être bénéfique. Ainsi, il est possible de simuler dans la salle réservée aux serveurs un incendie qui endommage et entraîne la perte de tous les serveurs. Ce scénario peut être utile pour tester la réactivité des administrateurs et du personnel de la sécurité, ainsi que pour déterminer le délai nécessaire à la reprise d'une activité normale.
L'ajustement des contrôles et des stratégies de sécurité en fonction des résultats obtenus aux tests est un processus itératif sans fin. Il doit être régulièrement réévalué en vue d'être amélioré.
Exploitation
Une gestion des problèmes et une procédure d'escalade clairement définies sont deux composants essentiels d'un programme de réponse aux incidents. En exécutant régulièrement le plan de réponse aux incidents à un stade précoce du projet de sécurité, les équipes pourront résoudre plus efficacement les problèmes survenant dans l'entreprise. Quiconque participe aux nouveaux projets doit disposer d'une documentation sur les résultats obtenus et des connaissances acquises au cours du projet de sécurité. Le regroupement d'informations dégagées des processus opérationnels simplifie les tâches d'évaluation, de développement et d'implémentation du projet de sécurité suivant.
Réponse aux incidents
Si l'entreprise souhaite implémenter intégralement les meilleures pratiques en matière de planification de la sécurité, il est indispensable de créer une équipe de gestion des incidents. Cette équipe doit intervenir au niveau de la stratégie proactive visant à assurer la sécurité du système. Celle-ci inclut :
·
le développement
d'instructions concernant la gestion des incidents ;
·
la préparation des
procédures d'escalade (y compris l'application des lois en vigueur relatives
aux délits informatiques) ;
·
l'identification des
outils logiciels requis pour réagir face aux incidents et aux événements ;
·
la recherche et le
développement d'autres outils de sécurité informatiques ;
·
la mise en place
d'activités de sensibilisation et de formation ;
·
l'exécution de
recherches sur les virus ;
·
la réalisation
d'études sur les attaques du système.
Ces tâches visent à acquérir des connaissances qui serviront à l'entreprise pour résoudre des problèmes avant et pendant les incidents.
Un administrateur de la sécurité doit être en mesure de surveiller et de gérer les audits de sécurité. Il doit représenter l'autorité (une personne ou un groupe de personnes) responsable de l'implémentation de la stratégie de sécurité pour un domaine de sécurité. Après que l'administrateur de la sécurité et les membres de l'équipe de gestion des incidents ont terminé ces tâches proactives, le premier doit déléguer la gestion des incidents aux seconds.
Cela ne signifie pas pour autant que l'administrateur de la sécurité ne doive plus participer au travail de l'équipe. Toutefois, comme il n'est pas disponible en permanence, l'équipe de gestion des incidents doit être en mesure de gérer seule la situation. Elle est chargée d'intervenir en cas d'incident et doit également participer à l'analyse de tout événement inhabituel concernant la sécurité des ordinateurs ou du réseau.
Documentation et acquisition de connaissances
Il est important de documenter toute attaque dont le système a fait l'objet. Pour cela, il faut décrire tous les aspects connus de l'attaque, et notamment les dommages causés (matériels, logiciels, perte de données et arrêt ou ralentissement de la productivité), les vulnérabilités et points faibles exploités, les temps de production perdus, les procédures mises en œuvre pour réparer les dommages ainsi que le coût de ces réparations. La documentation permet d'améliorer les stratégies proactives, de prévenir de futures attaques et d'en minimiser les dommages.
Implémentation de plans de secours
S'il existe déjà des plans de secours, ils peuvent être implémentés pour gagner du temps et permettre la poursuite des activités de l'entreprise. Si ce n'est pas le cas, vous devez élaborer un plan approprié en fonction de la documentation rassemblée au cours de l'étape précédente.
Examen des résultats et exécution de simulations
Après l'attaque ou la procédure de défense mise en place pour contrer celle-ci, examinez les résultats obtenus au niveau du système et passez en revue la stratégie proactive de l'entreprise. Cet examen doit inclure des détails sur la perte de productivité, de données ou de composants matériels. Il doit en outre indiquer le temps nécessaire à la récupération. Pour obtenir des résultats probants, il est fortement recommandé de procéder à des simulations dans un environnement similaire à l'environnement de production.
Examen et ajustement de l'efficacité des stratégies
S'il existe des stratégies de défense contre l'attaque, il est impératif d'évaluer leur efficacité. Si ce n'est pas le cas, il faut en élaborer de nouvelles pour prévenir les attaques futures ou en minimiser l'étendue.
Lorsque les stratégies existantes ne sont pas suffisamment efficaces, elles doivent être corrigées. Les mises à jour de stratégies doivent être coordonnées par le personnel de direction responsable, l'administrateur de la sécurité, les administrateurs du système informatique et l'équipe de gestion des incidents. Toutes les stratégies doivent être conformes à la politique et aux règlements internes de l'entreprise. Supposons que l'horaire de travail normal de l'entreprise soit de 8 heures à 18 heures. Il est possible de créer une stratégie de sécurité (ou de mettre à jour une stratégie existante) précisant que les utilisateurs peuvent uniquement se connecter au système durant cette période.
Gestion du risque
Les sections suivantes
s'appuient sur des pratiques éprouvées issues de méthodologies d'analyse de
sécurité actuellement utilisées pour exploiter les modèles MSF et MOF. Le
modèle MSF propose des recommandations relatives aux phases de planification,
de développement, de stabilisation et de déploiement du cycle de vie d'un
projet dans les domaines de l'architecture d'entreprise et du déploiement
d'infrastructure. Le modèle MOF propose une ligne de conduite en matière de
développement et d'optimisation des systèmes de gestion pour les opérations
informatiques. Les connaissances acquises grâce à la gestion du risque (SRMD)
présentée ici peuvent être appliquées à votre environnement. Cette discipline
représente un processus détaillé particulièrement utile pour déterminer les
menaces et vulnérabilités susceptibles d'affecter le plus gravement une
entreprise donnée.
Identification des risques
L'identification des risques constitue la première étape de l'évaluation de la sécurité de l'entreprise. Pour être géré efficacement, le risque doit être décrit clairement. L'équipe de projet peut ainsi parvenir à un consensus et passer à l'analyse des conséquences possibles et à la création d'un plan d'action pour neutraliser ce risque. Même si l'étendue du risque est limitée à la technologie que l'équipe de projet tente de sécuriser, celle-ci doit adopter une approche suffisamment globale pour faire face à toutes les sources possibles des risques, qu'il s'agisse de technologie, de processus, de l'environnement ou de personnes.
Pour identifier les risques, il est possible par exemple d'organiser des sessions de reflexion ou de consulter les nombreuses sources d'informations et points de vue disponibles sur Internet. De plus, il se peut que l'entreprise ait déjà élaboré un test d'intrusion ou une procédure d'évaluation des vulnérabilités, que vous pouvez adapter.
Objectifs
L'identification des risques a pour objectif de permettre à l'équipe de dresser une liste de risques connus auxquels les ressources de votre entreprise sont vulnérables. Cette liste doit être aussi complète que possible et englober les différents aspects de l'architecture de l'entreprise, notamment les technologies, les activités commerciales, les personnes et la stratégie.
La gestion des risques consiste à identifier les risques, à les analyser et à créer un plan destiné à y faire face. Un risque se définit comme la perte attendue de l’exploitation en raison des menaces anticipées (ou découlant de leurs conséquences) au vu des vulnérabilités du système et de la puissance ou de la détermination des agents de menace.
Données requises
Diverses informations doivent être fournies pour mener à bien l'identification des risques. Il faut notamment collecter les données disponibles sur les menaces, créer une liste des méthodes et techniques d'exploitation. Ensuite, sont analysées les vulnérabilités des stratégies et du système susceptibles d'être exploitées pour endommager les ressources de l'entreprise. Par menace, on entend tout danger potentiel externe pesant sur les informations et les systèmes. Les vulnérabilités sont les points faibles que peuvent présenter le logiciel, le matériel ou les procédures et qui offrent à la menace un point d'entrée pour l'attaque. Ces risques sont très variés puisqu'ils peuvent toucher différents aspects de l'environnement de l'entreprise, comme les pratiques de gestion, les applications, les données et l'architecture de l'infrastructure.
Les informations à recueillir lors de cette étape dépendent de l'expérience dont bénéficie l'équipe responsable et de l'approche actuelle de l'entreprise en matière de la planification de la sécurité (stratégies, procédures, instructions, modèles ou encore informations sur l'état actuel de l'infrastructure technologique).
L'équipe de sécurité peut s'inspirer des données extraites des ressources elles-mêmes ou des résultats obtenus à l'aide d'un outil d'analyse des vulnérabilités ou d'un test d'intrusion. Des données peuvent également être recueillies lors de sessions de « braindstorming » ou encore d'ateliers sur la sécurité visant à rassembler les points de vue de l'équipe et des intéressés sur ces problèmes.
Activités d'identification des risques
Au cours de cette étape, l'équipe s'efforce de répertorier ou de formuler de façon non équivoque les problèmes de sécurité en exposant clairement les risques auxquels l'entreprise est confrontée. Des ateliers ou des sessions de « brainstorming » au cours desquels l'équipe de sécurité identifie les risques associés à une nouvelle situation peuvent être organisés. En raison de l'évolution rapide des technologies et des environnements, il est important d'envisager cette phase comme une activité suivie, et non ponctuelle. Le processus doit être répété à intervalles réguliers au cours du cycle de vie des opérations de l'entreprise.
Approche structurée
Le recours à une approche structurée de la gestion du risque est essentiel parce qu'il permet à tous les membres de l'équipe d'utiliser un mécanisme cohérent pour résoudre les problèmes de sécurité. L'emploi d'un système de classification des menaces peut être utile car il fournit une approche normative qu'il est possible de reproduire et de mesurer.
Classification des menaces
Les classifications des menaces (également appelées catégories ou classifications) remplissent plusieurs fonctions pour une équipe de sécurité. Au cours de l'identification du risque, elles peuvent être utilisées pour stimuler la réflexion sur les risques survenant dans différents domaines. Au cours des sessions de «brainstorming», le fait que plusieurs menaces similaires sont ainsi regroupées simplifie le travail de l'équipe. En outre, les classifications des menaces peuvent servir à l'élaboration d'une terminologie commune utilisée par l'équipe pour surveiller l'état des risques pendant toute la durée du projet et établir des rapports à ce sujet.
Énoncé du risque
L’énoncé du risque est une expression qui expose en langage naturel la relation causale qu'il existe entre l'état de sécurité de l'entreprise et un état de sécurité potentiel non réalisé.
La première
partie de l'énoncé du risque, appelé la « condition », décrit
un état existant ou une menace potentielle que l'équipe considère comme
dommageable. La seconde partie, la « conséquence », explique
comment il peut en résulter une perte fâcheuse de confidentialité, d'intégrité
ou de disponibilité d'une ressource.
Les deux parties sont liées par une expression comme « alors »
ou « peut provoquer », qui implique une relation causale ou
incertaine (dont le pourcentage de probabilité est inférieur à 100 %).
L'énoncé du risque se présente comme suit dans ce guide :
SI un agent de menace recourt à un outil, à une technique ou à une méthode pour exploiter une vulnérabilité, ALORS une perte de (confidentialité, intégrité ou disponibilité) de la ressource peut provoquer des dommages.
Les énoncés de risque sont élaborés dans le cadre de l'analyse des risques. Celle-ci peut être envisagée sous deux angles : qualitatif et quantitatif. Les deux approches se valent et fournissent l'une comme l'autre un outil précieux pour structurer vos activités d'identification du risque. L'approche quantitative exploite les informations réunies au cours du processus quantitatif.
Figure 3-2. Énoncé de la condition et de la
conséquence du risque
Les étapes suivantes détaillent chacune des parties du processus illustré par la figure ci-dessus :
1. Définissez un énoncé de la condition et de la conséquence du risque pour chaque menace. Si un agent de menace génère une menace et exploite une vulnérabilité, alors l'attaque donne lieu à un risque. L'attaque peut endommager la ressource en termes de confidentialité, d'intégrité ou de disponibilité. Par conséquent, elle expose l'entreprise à des pertes. Toutefois, cette exposition peut être contrée par des mesures de protection.
2. Attribuez une probabilité à la menace (PM) en pourcentage (de 0 % à 100 %). La probabilité de la menace représente les risques d'intrusion d'un agent de menace potentiel dans l'environnement.
3. Attribuez un facteur de gravité (FG) (de 1 à 10). Le facteur de gravité est le niveau d'exploitation potentielle de la ressource par la menace.
4. Définissez un niveau d'effort (E) (de 1 à 10). L'effort représente les compétences requises de la part de l'auteur d'une attaque pour tirer parti de l'attaque.
5. Déterminez le facteur de risque (FR). Celui-ci est calculé en divisant le facteur de gravité par le niveau d'effort.
6. Déterminez le niveau de fréquence de la menace à l'aide de l'équation (PM × FR).
7. Attribuez un classement au facteur de vulnérabilité (FV) (de 1 à 10). Il faut pour cela identifier l'importance du risque que la vulnérabilité pose à la ressource.
8. Déterminez la priorité de la ressource (PR) (de 1 à 10). Évaluez la priorité que revêt chaque ressource de la société en fonction des critères exposés ci-dessous. La valorisation des ressources est un processus complexe dont le perfectionnement demande généralement du temps. Pour plus d'informations sur la valorisation des ressources, consultez les références à la fin du chapitre. L'attribution d'une note de priorité aux ressources de l'entreprise est essentielle pour déterminer le nombre de ressources qu'il est possible de sécuriser sans dépasser le budget.
Pour dresser plus facilement une liste classant les ressources par ordre de priorité, essayez de répondre aux questions suivantes à propos de chaque ressource en fonction de votre environnement :
·
Quelle est la valeur de la ressource pour la société ?
·
Quel est le coût requis pour assurer la maintenance ou la protection de
la ressource ?
·
Quels profits la ressource génère-t-elle pour la société ?
·
Quelle serait sa valeur pour la concurrence ?
·
Quel serait le coût induit s'il fallait la récupérer ou la
recréer ?
·
Quel a été son coût d'acquisition ou de développement ?
9.
Déterminez le facteur d'impact (FI) à l'aide de l'équation (FV ×
PR).
10.
Déterminez le facteur d'exposition (FE) à l'aide de l'équation (Niveau
de fréquence de la menace × Facteur d'impact divisé par 1 000). Le facteur
d'exposition est exprimé en pourcentage afin de calculer la perte estimée
unique (PEU) dans les étapes décrites sous le tableau 3.1.
La formulation des énoncés des risques en deux parties (condition et conséquence) a l'avantage d'associer les conséquences potentielles du risque aux conditions actuellement observables (et éventuellement contrôlables) au sein de l'entreprise. L'équipe peut ainsi se concentrer sur d'autres approches exclusivement destinées à identifier les conditions du risque. Elle peut avoir à revenir ultérieurement sur la condition au cours du processus d'analys