3. Présentation de la gestion du risque en informatique

 

Ce chapitre s'appuie sur des pratiques éprouvées tirées de méthodologies d'analyse actuelles exploitant les modèles MSF (Microsoft Solutions Framework) et MOF (Microsoft Operations Framework). Le modèle MSF propose des recommandations relatives aux phases de planification, de développement, de stabilisation et de déploiement du cycle de vie d'un projet dans les domaines de l'architecture d'entreprise et du déploiement d'infrastructure. Le modèle MOF propose une ligne de conduite en matière de développement et d'optimisation des systèmes de gestion pour les opérations informatiques.

Pour plus d'informations sur les modèles MOF et MSF, reportez-vous à la section « Informations complémentaires  » à la fin de ce chapitre. 

Ce chapitre définit les trois principaux processus à mettre en œuvre pour sécuriser un environnement. Il présente à la fois la gestion du risque (SRMD, Security Risk Management Discipline) et le modèle de gestion du risque (SRF, Security Risk Framework) en analysant les activités de gestion du risque participant au cycle de vie d'un projet sécurité.

Une entreprise peut utiliser ces trois processus pour définir les tâches essentielles visant à créer un environnement sécurisé et à s'assurer qu'il le demeure.

1.  Évaluation

Cette phase consiste à réunir des informations pertinentes à propos de l'environnement de l'entreprise afin d'en évaluer le niveau de sécurité. Vous devez collecter suffisamment de données pour pouvoir analyser efficacement l'état actuel de l'environnement et déterminer le niveau de protection dont bénéficient les ressources de l'entreprise contre des menaces potentielles. Après cette évaluation, un plan d'action de sécurité sera élaboré et exécuté au cours du processus d'implémentation.

2.  Développement et implémentation

Cette phase vise principalement à appliquer un plan d'action de sécurité. L'objectif est d'implémenter dans l'environnement les modifications définies au cours de la phase d'évaluation. Outre le plan d'action de sécurité, vous devez penser à élaborer un second plan pour parer à toutes éventualité.

3.  Exploitation

Cette étape consiste à apporter d'éventuelles modifications et mises à jour afin de s'assurer que l'environnement reste sécurisé. Des tests d'intrusion et des stratégies de réponses aux incidents interviennent au cours du processus d'exploitation : ils contribuent à consolider les objectifs d'implémentation d'un projet de sécurité dans l'entreprise. Des opérations d'audit et de contrôle visant à préserver la sécurité et l'intégrité de l'infrastructure prennent place au cours de cette phase.

Pratiques et modèle de gestion du risque

Pendant la mise en place du plan sécurité, deux types d'activités de gestion du risque sont menés pendant toute la durée du cycle de vie du projet :

·         la première consiste à gérer le risque inhérent au projet lui-même ;

·         la seconde consiste à gérer le risque associé aux composants de sécurité.

L'évaluation des risques liés au projet est limitée au cycle de vie du projet. Les risques doivent eux faire l'objet d'une évaluation permanente pendant tout le cycle de vie de la solution ou du système. La gestion du risque du modèle MSF sert de base à la gestion du risque pour les évaluations de la sécurité et des projets. Des exemples pratiques de gestion du risque sont décrits plus en détail au chapitre 4 de ce guide, «  Application de la gestion du risque ».

La discipline de gestion du risque SRMD ( Security Risk Management Discipline) dérive de la discipline de gestion du risque RMD (Risk Management Discipline) du modèle MSF. Pour éliminer toute ambiguïté, il faut noter que la discipline RMD s'inscrit dans le contexte du risque lié au projet, alors que la discipline SRMD fait référence à l'évaluation du risque. La discipline RMD constitue le principal outil de développement de SRMD.

Ces deux processus privilégient une approche proactive, une évaluation continue du risque et une intégration à la prise de décisions tout au long du projet et de l'exploitation de l'environnement.

La sécurité du système informatique doit être assurée de façon proactive et en continu, afin de garantir la sécurité des ressources informatiques et de détecter les nouvelles menaces et vulnérabilités éventuelles. Lorsque vous ajoutez de nouvelles fonctionnalités à l'infrastructure technologique de votre entreprise, il faut toujours prendre en compte la sécurité informatique. Par ailleurs, il est possible que certains processus et procédures de gestion soient revus et corrigés pour pouvoir s'intégrer à l'environnement modifié et assurer ainsi la protection de ces nouvelles ressources informatiques.

 

La gestion du risque comporte neuf étapes :

Evaluation

1.  Évaluation et valorisation des ressources.

2.  Identification des risques de sécurité.

3.  Analyse et classement par ordre de priorité de ces risques.

4.  Suivi des risques, planification et programmation.

 

Développement et implémentation

5.  Élaboration de mesures de protection des risques.

6.  Test des mesures de protection.

7.  Acquisition de connaissances sur les risques.

 

Exploitation

8.  Réévaluation des ressources et des risques nouveaux et modifiés.

9.  Stabilisation et déploiement de contre-mesures nouvelles ou modifiées.

Ces étapes représentent les trois principales phases de la discipline SRMD : évaluation, implémentation et exploitation.

Évaluation

Les sections suivantes décrivent des tâches d'évaluation à l'échelle de l'entreprise menées en guise de phase préliminaire à l'analyse de la sécurité. L'évaluation et la valorisation des ressources constituent les premières étapes de l'analyse de la sécurité. Il est en effet indispensable de connaître la situation de départ avant de passer à l'étude des risques. Le processus d'analyse de la sécurité représente un ensemble de stratégies visant à déterminer les ressources de l'environnement qu'il est nécessaire de sécuriser et celles qui doivent l'être en priorité.

Évaluation et valorisation des ressources

L'évaluation des ressources vise à déterminer la valeur accordée aux informations en fonction des parties concernées et les efforts consacrés au développement de ces informations. La valorisation identifie le coût de maintenance de la ressource, le coût qu'impliquerait sa perte ou sa destruction et le bénéfice que tirerait un tiers de l'obtention de ces informations. La valeur d'une ressource doit refléter tous les coûts identifiables qui résulteraient de sa détérioration effective.

Identification des risques

L'identification des risques permet aux membres d'une équipe de projet d'étudier et d'exposer tous les risques potentiels. Elle nécessite la collecte d'informations sur les menaces, les vulnérabilités, les attaques et les contre-mesures.

Analyse des risques

L'analyse des risques sert à analyser les attaques potentielles, les outils, les méthodes et les techniques susceptibles d'être utilisés pour exploiter une vulnérabilité potentielle. Cette démarche permet non seulement d'identifier les risques, mais aussi d'évaluer les dommages potentiels afin de justifier l'application de mesures de protection.

Une analyse des risques s'articule principalement autour de trois objectifs : identifier les risques, quantifier l'impact des menaces potentielles et atteindre un compromis rentable entre l'impact du risque et le coût de la contre-mesure. Les informations réunies servent à apprécier le niveau de risque. L'équipe peut ainsi prendre les bonnes décisions sur les risques qui doivent faire l'objet d'une attention toute particulière en terme de protection.

L'analyse des risques sert ensuite à établir un classement prioritaire des risques. Elle permet à l'entreprise de consacrer les ressources nécessaires à la résolution des problèmes de sécurité les plus critiques.

Elle facilite en outre l'intégration des objectifs d'un programme de sécurité avec les besoins et les objectifs stratégiques de l'entreprise. Ces objectifs sont plus facilement atteints lorsque leur convergence est assurée.

Cette analyse simplifie également l'élaboration d'un budget approprié pour le programme de sécurité et ses composants. Après avoir déterminé la valeur des ressources de votre entreprise et correctement appréhendé les menaces potentielles auxquelles elles sont exposées, vous pouvez prendre les décisions appropriées sur les investissements à réaliser pour les protéger.

Suivi des risques, planification et programmation

Au cours de cette étape, les informations réunies lors de la phase d'analyse des risques sont utilisées pour élaborer des stratégies et des plans de secours et d'atténuation pertinents. La programmation vise à établir un calendrier des diverses stratégies de protection élaborées au cours de la phase de développement du projet sécurité. Elle prend en compte la procédure d'approbation des plans de sécurité et leur intégration à l'architecture informatique, ainsi que les procédures d'exploitation journalières standard à implémenter.

Développement et implémentation

Le travail réalisé au cours de la phase d'évaluation permet de développer et d'implémenter des contre-mesures appropriées. Les résultats obtenus lors de l'évaluation facilitent la transition vers l'étape suivante, qui consiste à déployer des contre-mesures efficaces et à mettre en œuvre des stratégies d'acquisition de connaissances en matière de sécurité.

Élaboration de mesures de protection contre les risques

Cette phase consiste à utiliser les plans élaborés au cours de la phase d'évaluation pour créer une nouvelle stratégie de sécurité regroupant la gestion de la configuration, la gestion des correctifs, la surveillance et l'audit du système ainsi que des procédures et stratégies d'exploitation. Le développement continu de diverses contre-mesures exige un suivi et des rapports complets sur son déroulement.

Test des mesures de protection

Cette étape intervient au terme du développement des stratégies de protection, c’est-à-dire une fois que les modifications associées ont été apportées à la gestion du système et après l'élaboration de stratégies et de procédures visant à déterminer leur efficacité. Ce processus permet à l'équipe de projet d'étudier le mode de déploiement possible des modifications en environnement de production. Il implique l'évaluation de l'efficacité des contre-mesures par l'analyse du niveau de contrôle du risque exact obtenu.

Acquisition de connaissances sur les risques

Cette étape vise à établir de façon normative le processus de collecte d'informations relatives à la sécurisation des ressources par l'équipe de projet. Elle nécessite la documentation des vulnérabilités et attaques identifiées. À mesure que le département informatique acquiert des connaissances, de nouvelles informations de sécurité sont collectées et redéployées dans le but d'optimiser en permanence l'efficacité des contre-mesures de protection des ressources de l'entreprise. En outre, les diverses communautés de l'entreprise doivent être informées sur le sujet en recevant des formations ou des bulletins d'information sur la sécurité.

Remarque : Ces étapes doivent être considérées comme un guide logique ; elles ne doivent pas être suivies dans l'ordre pour pallier n’importe quel risque. Il arrive souvent que les équipes responsables de la sécurité doivent recommencer le cycle complet d'identification, d'analyse et de planification à mesure qu'elles affinent leurs connaissances à propos des problèmes de sécurité, des menaces et des vulnérabilités spécifiques de leurs ressources informatiques.

Votre entreprise doit définir un processus de gestion du risque normalisé. Celui-ci décrira les procédures d'évaluation et de mise en place des contre-mesures et les modalités de transition entre les étapes pour un risque ou un groupe de risques donnés.

Exploitation

Des cycles d'exploitation solides et cohérents offrent à vos équipes de sécurité un mécanisme permettant de fournir des résultats fiables et prévisibles. Pour que ces équipes disposent de données précises et complètes sur la manière de réévaluer les ressources de l'ensemble de l'entreprise, qu'elles soient nouvelles ou modifiées, l'évaluation doit être effectuée au tout début du projet de sécurité. La stabilisation et le déploiement de nouvelles contre-mesures ou de contre-mesures corrigées pour ces ressources peuvent alors faire partie intégrante des opérations journalières de l'entreprise.

Réévaluation des ressources et des risques nouveaux et modifiés

Ces processus relèvent essentiellement de la gestion des modifications, même s'ils intègrent également la gestion de la configuration de la sécurité. Ils débouchent naturellement sur la gestion des versions une fois les nouvelles contre-mesures et stratégies de sécurité finalisées.

Stabilisation et déploiement de contre-mesures nouvelles ou modifiées

Au cours de la phase d'exploitation, ces processus sont gérés par plusieurs équipes chargées de l'administration du système, de la sécurité et du réseau. La surveillance et le contrôle des services ainsi que la définition d'un calendrier des travaux sont des processus supplémentaires de la phase d'exploitation au cours desquels les administrateurs de la sécurité mettent en place de nouvelles contre-mesures optimisées.

Services d'assistance de sécurité, gestion des incidents et acquisition de connaissances en matière de gestion des problèmes

Au cours de la phase de support, les groupes chargés de l'exploitation au sein de l'entreprise assurent le support technique de l'environnement sécurisé par une gestion stricte de la sécurité. Cette mission combine des services d'assistance de sécurité, le contrôle des incidents et la gestion des procédures d'escalade en cas de problème.

Gestion financière, niveau de service et disponibilité

Les modèles MSF et MOF définissent des pratiques éprouvées destinées à faciliter le développement, le déploiement et l'administration d'un programme de gestion de sécurité robuste. La mise en œuvre efficace de ces pratiques permet de créer un environnement garantissant l'intégrité, la confidentialité et la disponibilité des ressources.

La gestion de la sécurité est encore améliorée par une gestion rigoureuse des domaines suivants :

·         le niveau de service ;

·         l'aspect financier ;

·         la communauté de services ;

·         la disponibilité ;

·         la capacité ;

·         les effectifs.

Modèle de gestion du risque

Présentation

Ce modèle de gestion s'appuie sur le modèle de processus MSF et décrit une séquence générale d'opérations pour le développement et le déploiement de solutions de sécurité informatique. Il ne prescrit pas une série spécifique de procédures, mais il est suffisamment souple pour accepter un large éventail de processus informatiques. Ce modèle de processus couvre le cycle de vie d'une solution depuis le début du projet jusqu'à son déploiement effectif.

Figure 3.1. Etapes du modèle de processus MSF par phase

Il est possible d'utiliser le modèle de processus MSF pour développer des applications logicielles et déployer la technologie de l'infrastructure. Ce modèle décrit un cycle itératif conçu pour s'adapter à des exigences de projet susceptibles de varier grâce à des cycles de développement courts et à des versions incrémentielles de la solution. Tout cela est rendu possible par la répétition des cycles de test et de gestion du risque.

Chaque étape du modèle de processus pose diverses questions fondamentales relatives au projet ou y répond : L'équipe s'est-elle entendue sur l'étendue du projet ? La planification est-elle suffisante pour poursuivre ? L'équipe a-t-elle atteint l'objectif qu'elle s'était fixée ? La solution fonctionne-t-elle correctement pour les clients et partenaires de l'entreprise ?

Voici une brève présentation des six principaux processus d'un projet de sécurité représentés par l'illustration ci-dessus.

1.  Lancement et définition du projet

La phase de lancement répond à l'une des conditions essentielles au succès du projet : l'unification de l'équipe de projet et du programme de sécurité. Le processus de mise en route de l'équipe se poursuit jusqu'au terme de la phase de lancement. Tous les membres de l'équipe de projet doivent avoir une idée claire et précise des objectifs que la solution de sécurité doit atteindre et des besoins de l'entreprise en termes de sécurité. Cette phase repose essentiellement sur l'identification des problèmes ou les opportunités associés à la gestion de la sécurité. Toutes les parties concernées par la gestion de la sécurité doivent définir des objectifs, des hypothèses et des contraintes au cours de ces processus.

2.  Évaluation de la sécurité et analyses

L'évaluation et les analyses de la gestion de la sécurité sont des processus qui interviennent au cours de la phase de planification de la méthodologie MSF. Ils comprennent notamment l'évaluation de l'entreprise, la valorisation des ressources, l'identification des menaces, l'évaluation des vulnérabilités et l'évaluation du risque. Ensemble, ils forment le contexte de planification nécessaire à la réussite du déploiement des contre-mesures.

3.  Développement des mesures de protection des risques

Les informations fournies par les phases d'évaluation et d'analyse de la sécurité servent à élaborer des mesures de protection. Au cours de ces processus, les développeurs cherchent constamment, par le développement, le test et la validation de contre-mesures, à remédier aux risques identifiés au cours des précédentes phases du projet. Ces processus font l'objet de tests unitaires réalisés par l'équipe de développement et d'une évaluation par rapport à des critères de qualité.

4.  Tests des mesures de protection des risques et test fonctionnel des ressources

Les processus de test des mesures de protection et de test fonctionnel des ressources présentent des résultats moins prévisibles. Des résultats inattendus aux tests fonctionnels sont balisés et gérés pendant la phase de stabilisation par les processus de test. Même si la phase de développement s'appuie sur des plans et des spécifications connus, le nombre et la gravité des bogues identifiés sont toujours inconnus. Les techniques de « convergencee de bogues » et de « lancement à zéro bogue » sont utilisées par Microsoft pour mesurer l'état de la solution en termes de qualité et prévoir la date de distribution au cours de cette phase.

 

 

 

5.  Déploiement de contre-mesures et de stratégies de sécurité

Les processus de déploiement de contre-mesures et de stratégies de sécurité se poursuivent tout au long de la phase de déploiement de la méthodologie MSF et, ensuite, au cours du cycle de processus MOF. Lors du déploiement de contre-mesures, les types de contre-mesures et de stratégies de sécurité sont répartis en deux catégories : les éléments de base et les éléments de site, avec leurs composants de sécurité correspondants. Les composants de sécurité de base sont localisés dans un emplacement clé ou central qui concerne la solution de sécurité dans son intégralité. Les composants spécifiques au site sont installés dans des emplacements individuels,  ce qui permet aux utilisateurs d'accéder et d'utiliser la solution de sécurité.

6.  Déploiement achevé

La connaissance sur la gestion du risque est «  acquise » lorsque le déploiement est achevé. Une fois assimilés les enseignements tirés des divers processus précédant le déploiement, la solution passe à un stade opérationnel. Le projet terminé est alors transféré vers le cycle de processus MOF.

Pour plus d'informations sur les processus d'un projet de sécurité, consultez le guide Microsoft Solution for Security Services Guide.

Constitution de l'équipe du programme de sécurité

C'est au cours du processus d'évaluation du modèle de processus MSF qu'intervient une étape cruciale de la sécurisation de l'environnement : la création d'un programme de sécurité. La charte de ce programme doit déterminer les objectifs, l'étendue, les stratégies, les priorités et les normes qui vont permettre à l'entreprise de bénéficier d'une sécurité totale. Les membres du programme de sécurité sont des cadres supérieurs de l'entreprise. Le groupe d'administration de la sécurité comprend des cadres moyens et leurs équipes de « reporting » chargées de la mise en œuvre et de la gestion des stratégies déterminées par le programme de sécurité.

Un programme de sécurité doit être développé selon une approche hiérarchique descendante. En d'autres termes, la direction générale est responsable du lancement, du support et de l'orientation du programme. Les tâches connexes sont ensuite affectées aux cadres moyens et, enfin, aux membres du personnel. Le support peut toutefois associer une approche par le haut, par le bas ou par le milieu pour ce qui est du développement et de la présentation d'idées relatives à la gestion de la sécurité. De nombreuses sociétés privilégient à l'heure actuelle une approche ascendante en matière de développement et de support Le département informatique élabore dans ce cas un plan de sécurité sans réel support ni orientation de la part de la direction. Il est dès lors possible qu'à un moment donné le programme de sécurité ne soit pas en accord avec les objectifs généraux de l'entreprise.

Il est préférable que la direction lance la création du programme de sécurité en attribuant au sein de l'entreprise les rôles et les responsabilités nécessaires au véritable envol du projet. La participation de la direction renforce le programme et lui permet de progresser en parallèle avec les environnements techniques et de gestion en constante évolution de l'entreprise. La création de rôles dans un programme de sécurité témoigne de l'importance capitale que revêt la sécurité pour l'entreprise.

Outre le programme de sécurité, la direction doit constituer un groupe d'administration de la sécurité, directement responsable du suivi et du contrôle des divers aspects du programme en question. En règle générale, si le programme de sécurité d'une entreprise est à l'origine du développement des stratégies de sécurité, c'est le groupe d'administration de la sécurité qui applique et surveille les configurations de sécurité.

Selon l'entreprise, ses besoins en matière de sécurité et la taille de son environnement, l'administration de la sécurité peut être attribuée à une seule personne ou à un groupe travaillant de manière centralisée ou décentralisée.

Évaluation

Le modèle de sécurité pour l'évaluation des menaces décrit dans le modèle de processus est conçu pour aider les spécialistes de la sécurité à développer une stratégie qui garantisse la disponibilité, l'intégrité et la confidentialité des données dans l'infrastructure informatique de l'entreprise. Outre son intérêt pour les gestionnaires des ressources informatiques, pour les administrateurs et responsables de la sécurité du parc informatique, il revêt une importance majeure pour toutes les personnes chargées de développer des stratégies de sécurité informatique. Ce modèle propose une approche systématique de cette activité essentielle et inclut également, en guise de précaution ultime, la création de plans de secours en cas de désastre.

Confidentialité

L'infrastructure informatique de l'entreprise peut contenir des informations dont il est important d'empêcher toute divulgation non autorisée. Il peut s’agir d’informations sensibles comme un rapport sur des récoltes, des informations personnelles ou des données concernant une activité propriétaire d'une entreprise. La confidentialité garantit que le niveau requis de protection est appliqué à chaque jonction du traitement des données. Il est essentiel de conserver un niveau de confidentialité cohérent en permanence pendant que les données résident sur des systèmes et périphériques du réseau, pendant leur transmission et lorsqu'elles atteignent leur destination.

Intégrité

L'infrastructure informatique contient des informations qui doivent être protégées contre toutes les modifications non autorisées, imprévues ou accidentelles. Cela concerne notamment les informations de recensement, les indicateurs économiques ou les systèmes de transactions financières. L'intégrité est préservée lorsque l'exactitude et la fiabilité des informations et des systèmes sont garanties et que la modification non autorisée des données est impossible.

Disponibilité

L'infrastructure informatique héberge des informations ou des services qui doivent être accessibles en temps utile, chaque fois que les circonstances l'exigent. Cela concerne notamment les systèmes critiques à la sécurité, les systèmes de support ou encore la connectivité réseau. La disponibilité garantit la fiabilité des données et ressources ainsi que la possibilité pour les personnes autorisées d'y accéder de manière opportune.

Les administrateurs de la sécurité doivent déterminer le temps, les ressources financières et l'effort à consacrer au développement de contrôles et de stratégies de sécurité appropriés. L'entreprise doit analyser ses besoins spécifiques, déterminer ses ressources, le calendrier qu'elle est tenue de suivre et ses contraintes. Les systèmes informatiques, les environnements et les stratégies organisationnelles sont différents, ce qui complique la création d'une stratégie de sécurisation d’ensemble d'ordinateurs dans une entreprise.

Bien que la mise en place d'une stratégie de sécurité permette à l'entreprise de gagner un temps précieux et répertorie les points essentiels à implémenter, il ne s'agit pas d'une activité ponctuelle. La sécurité fait partie intégrante du cycle de vie des systèmes de l'environnement. Les activités décrites dans ce chapitre exigent généralement une mise à jour périodique ou une révision adaptée. Ces modifications sont apportées lorsque les configurations ou d'autres conditions changent de façon significative ou lorsque les stratégies ou les règlements de l'entreprise demandent une révision. Il s'agit d'un processus itératif sans fin, qui doit être revu, corrigé et testé périodiquement.

Évaluation de l'entreprise

Pour élaborer un ensemble de contrôles et de stratégies de sécurité efficace, vous devez déterminer les vulnérabilités présentes dans le système informatique, mais aussi dans les contrôles et stratégies de sécurité déjà en place. Votre étude doit répertorier les parties de l'environnement qui ne disposent pas de stratégies. Elle nécessite en outre l'analyse des documents existants en matière de stratégies. Par ailleurs, le service juridique de l'entreprise doit s'assurer que toutes les stratégies de sécurité respectent le cadre juridique de la société. Aidez-vous de la liste suivante pour déterminer l'état actuel de vos stratégies de sécurité informatique :

·         stratégies de sécurité des ordinateurs (contrôle d'accès physique) ;

·         stratégies de sécurité du réseau (par exemple, stratégies relatives à Internet et au système de messagerie) ;

·         stratégies de sécurité des données (contrôles d'accès et de l'intégrité) ;

·        plans de secours et de récupération d'urgence et tests des sauvegardes ;

·        sensibilisation et formation à la sécurité du système informatique ;

·        stratégies de coordination et de gestion de la sécurité informatique.

  

D'autres documents de stratégie contiennent des informations sensibles :

·        mots de passe BIOS (Basic Input/Output System) des ordinateurs ;

·        mots de passe de la configuration des routeurs ;

·        documents de contrôle d'accès ;

·        mots de passe pour la gestion d'autres périphériques.

Analyse des menaces

La création d'une liste de menaces (la plupart des entreprises sont en mesure d'en identifier plusieurs) permet à l'administrateur de la sécurité d'identifier les diverses attaques susceptibles d'être utilisées en vue d'une attaque. Il est important que les administrateurs améliorent continuellement leurs connaissances dans ce domaine dans la mesure où de nouveaux outils, méthodes et techniques sont constamment mis au point pour déjouer les mesures de sécurité.

Le processus d'analyse des menaces est décrit dans la phase de planification illustrée par la figure 3.1. Il sert à déterminer les attaques auxquelles il faut s'attendre pour développer ensuite des moyens de défense contre celles-ci. Il est impossible de protéger l'entreprise de toutes les attaques ;cependant  préparez-la à celles qui sont les plus probables. Il vaut mieux prévenir ou minimiser les attaques que réparer les dommages causés par celles-ci.

Pour minimiser l'étendue des attaques, il faut bien comprendre les diverses menaces, les techniques utilisées pour compromettre les contrôles de sécurité et les vulnérabilités présentes dans vos stratégies de sécurité. La connaissance de ces trois éléments vous permet de prédire ces attaques même si vous ignorez le moment et l'endroit où elles vont survenir. Prévoir une attaque, c'est savoir quelles sont les probabilités qu'elle survienne. Cela nécessite une bonne connaissance des divers aspects de l'attaque, lesquels peuvent être exprimés par l'équation suivante :

Motifs de la menace + Méthodes de l'attaque + Vulnérabilités de la ressource = Attaque

Pour lancer la même attaque, différentes méthodes peuvent être associées. La stratégie de sécurité doit donc être adaptée à chacune des méthodes que chaque type d'agent de menace est susceptible d'exploiter.

Évaluation des vulnérabilités

Lors de l'évaluation des besoins de l'entreprise en matière de sécurité, il faut absolument déterminer ses vulnérabilités vis-à-vis des menaces connues. Il s'agit notamment d'identifier les types de ressources présents dans l'entreprise et les dommages qu'il est possible de leur infliger.

Identification des dommages que peut causer une attaque

L'éventail de dommages causés aux ressources de votre environnement va d'incidents mineurs à une perte de données catastrophique. Les dommages causés au système dépendent du type d'attaque. Utilisez si possible un environnement de test ou de laboratoire pour déterminer plus clairement les dommages résultant de différents types d'attaques. Le personnel de sécurité pourra ainsi évaluer plus précisément les dommages physiques. Le type et l'étendue des dommages varient selon les attaques. Plusieurs tests sont possibles :

·         La simulation d'une attaque par un virus de messagerie sur un système de laboratoire, suivie d'une analyse des dommages causés et des procédures de récupération potentielles requises ;

·         Un test destiné à déterminer si les employés peuvent être l'objet d'attaques par ingénierie sociale exploitant leur naïveté pour obtenir leurs nom d'utilisateur et mot de passe ;

·         Un exercice pratique ou simulation d'un désastre dans un centre de données, avec mesure du temps de production perdu et du temps consacré à la récupération ;

·         Enfin, la simulation d'une attaque virale hostile, avec mesure du temps nécessaire à la restauration d'un ordinateur. Le facteur temps peut ensuite être multiplié par le nombre d'ordinateurs infectés pour déterminer la durée d'indisponibilité ou la perte de productivité globale.

Il est également intéressant de faire participer une équipe de gestion des incidents à ce processus. En effet, un groupe est à même d'identifier les différents types de dommages survenus bien mieux qu'une seule personne. Cette équipe a pour rôle de gérer l'ordre de priorité appliqué aux incidents de sécurité et les procédures d'escalade visant à les résoudre.

Identification des vulnérabilités ou points faibles exploitables par une attaque

Si vous découvrez des vulnérabilités susceptibles d'être exploitées par une attaque spécifique, vous pouvez les minimiser en améliorant les contrôles et stratégies de sécurité actuels ou en en implémentant de nouveaux. Les vulnérabilités existantes sont plus faciles à détecter si vous connaissez les types d'attaque, de menace ou de méthode pouvant être employés. Pour ce faire, il suffit généralement d'effectuer un test d'intrusion.

Planification et programmation pour les risques

Pour chaque méthode d'attaque, le plan de sécurité de l'entreprise doit prévoir des stratégies proactives et réactives.

La stratégie proactive consiste à établir, avant toute attaque, une série de mesures destinées à minimiser les vulnérabilités existantes de la stratégie de sécurité et à créer des plans de secours. Sa mise au point est facilitée par l'identification des dommages qu'une attaque causerait à un système et des faiblesses et vulnérabilités qu'elle exploiterait.

La stratégie réactive, postérieure à l'attaque, guide le personnel de la sécurité dans la réalisation de nombreuses tâches :

·         évaluer les dommages causés par l'attaque ;
les réparer ou implémenter le plan de secours créé dans le cadre de la stratégie proactive ;
documenter les événements survenus et en tirer des leçons ;
faire en sorte que les fonctions stratégiques de l'entreprise soient de nouveau opérationnelles dans les meilleurs délais.

Stratégie proactive

La stratégie proactive comporte une série d'étapes prédéfinies à mettre en œuvre pour prévenir des attaques. Il s'agit de déterminer comment une attaque peut affecter ou endommager le système informatique et quelles vulnérabilités elle peut exploiter (étapes 1 et 2). Les connaissances acquises au cours de ces évaluations peuvent faciliter l'implémentation de stratégies de sécurité qui juguleront ou minimiseront les attaques. La stratégie proactive comporte les quatre étapes suivantes :

1.  Déterminer les dommages que l'attaque va causer ;

2.  Déterminer les vulnérabilités et les points faibles que l'attaque va exploiter ;

3.  Minimiser les vulnérabilités et les points faibles identifiés au cours des deux premières étapes pour cette attaque spécifique ;

4.  Identifier le niveau approprié de contre-mesures à implémenter.

Le respect de cette procédure d'analyse pour chaque type d'attaque procure un autre avantage : il permet de dégager une série de facteurs communs à différentes attaques. Ce «  dénominateur commun » peut être utile pour déterminer les zones vulnérables qui mettent le plus en péril l'entreprise.

Remarque : Il est également important de comparer le coût induit par la perte de données au coût de l'implémentation des contrôles de sécurité. Trouver un compromis entre les risques et les coûts fait partie de l'analyse des risques.

Stratégie réactive

Une stratégie réactive est implémentée lorsque la stratégie proactive relative à l'attaque a échoué. Elle définit les mesures à prendre pendant ou après une attaque. Elle permet d'identifier plus facilement les dommages causés et les vulnérabilités exploitées au cours de l'attaque. De plus, elle détermine la raison de l'attaque, les moyens de réparation des dégâts causés et les modalités d'implémentation d'un plan de secours. 

L'interaction des stratégies réactive et proactive permet de développer des contrôles et des stratégies de sécurité visant à minimiser les attaques et les dommages causés. Il est important de faire appel à l'équipe de gestion des incidents avant ou après l'attaque pour participer à l'évaluation, à la documentation et à la compilation des leçons tirées de l'événement.

La stratégie réactive comporte les étapes suivantes :

1.  Limiter les dommages

Il est important d'endiguer les dégâts subis pendant l'attaque pour éviter d'autres dommages ultérieurs. Si, par exemple, un virus s'introduit dans votre environnement, il faut tenter de limiter les dommages le plus rapidement possible en déconnectant les serveurs du réseau, avant même de connaître le nombre exact de serveurs effectivement contaminés. Une telle mesure doit être appliquée dans les meilleurs délais.

2.  Évaluer les dommages

Déterminez les dommages subis dans les plus brefs délais pour que l'entreprise puisse reprendre une activité normale au plus vite. Si cette évaluation n'est pas possible dans l'immédiat, vous devez mettre en œuvre un plan de secours qui permettra de poursuivre une activité normale et de conserver un certain niveau de productivité.

3.  Déterminer la cause des dommages

Pour identifier la cause des dommages, il est nécessaire de savoir quelles ressources étaient visées par l'attaque et quelles vulnérabilités ont été exploitées pour accéder aux services ou perturber leur fonctionnement. Examinez à cette fin les journaux système et les journaux d'audit. Ils fournissent généralement des indices permettant de découvrir l'origine de l'attaque menée contre le système et les autres ressources éventuellement affectées.

4.  Réparer les dommages

Il est essentiel de réparer rapidement les dommages. De cette façon, l'entreprise pourra reprendre une activité normale et les données perdues pendant l'attaque pourront être restaurées dans les plus brefs délais. Les procédures et plans de récupération en cas d'urgence doivent intégrer la stratégie de restauration. L'équipe de gestion des incidents doit également être disponible pour prendre en charge le processus de récupération et de restauration, mais aussi pour fournir des instructions sur sa mise en œuvre. Au cours de ce processus, des procédures de secours sont appliquées en vue de limiter les dommages en prévenant leur extension.

Plan de secours

Un plan de secours est un plan développé dans l'éventualité d'une attaque endommageant des données ou d'autres ressources du système avec, comme conséquence, une interruption des activités ou un ralentissement de la productivité. Ce plan est appliqué s'il est impossible de restaurer le système dans des délais suffisamment courts. Son but consiste à maintenir la disponibilité, l'intégrité et la confidentialité des données. Un plan de secours est l'équivalent d'un «  plan B ».

Vous devez créer plusieurs plans de secours pour parer aux différents types d'attaque et de menace. Chacun définit une série de mesures à prendre en cas d'attaque. Les plans de secours doivent, pour l'essentiel :

·        indiquer qui fait quoi, quand et comment pour que l'entreprise reste opérationnelle ;

·        faire l'objet de répétitions périodiques de sorte que le personnel soit toujours au courant des dernières mesures de secours ;

·        prévoir la restauration d'informations à partir de serveurs de sauvegarde ;

·        inclure la mise à jour des logiciels antivirus, des Service Packs et des correctifs ; 

·        comporter des procédures visant à déplacer les serveurs de production vers un autre emplacement et le  cas échéant, effectuer les réplications des serveurs de production à des emplacements de secours stratégiques ;

·         comprendre une analyse rétrospective des plans de secours et stratégies de sécurité actuels.

Les points suivants décrivent les diverses tâches d'évaluation à réaliser dans le cadre de l'élaboration du plan de secours :

·         Vous devez évaluer les contrôles et les stratégies de sécurité de l'entreprise de façon à minimiser les vulnérabilités. L'évaluation doit porter sur les procédures et le plan de secours actuels de l'entreprise ainsi que sur leur intégration au plan de secours.

·         Il faut analyser les procédures de réponse en cas d'urgence et les répercussions qu'elles ont sur les activités stratégiques de l'entreprise.

·         Vous devez mettre au point des réponses planifiées aux attaques et les intégrer aux plans de secours, en notant pour chacune son efficacité à limiter les dommages et à minimiser l'impact d'une attaque.

·         Il faut évaluer les procédures de sauvegarde et intégrer les résultats des évaluations dans les plans de secours. Cette opération nécessite l'analyse de la documentation et des tests de récupération d'urgence les plus récents.

·         Vous devez évaluer les plans de récupération d'urgence et déterminer si les mesures qu'ils définissent suffisent pour garantir le bon fonctionnement temporaire ou à long terme de l'environnement. Les plans de récupération d'urgence doivent inclure des tests portant sur les niveaux de sécurité requis par l'entreprise. Ces tests permettent au personnel chargé de la sécurité de déterminer s'il peut continuer à appliquer la sécurité tout au long du processus de récupération, des opérations temporaires et du rapatriement des opérations vers le site de traitement d'origine de l'entreprise ou vers un nouveau site.

·         Vous devez établir un document détaillé répertoriant tous les éléments identifiés et nécessaires à la réalisation des tâches susmentionnées, avec les informations suivantes :

·               des détails sur des scénarios utilisateur visant à tester les plans de secours ;

·               des renseignements sur l'impact que des dépendances (comme une assistance ou la fourniture de ressources essentielles externes à l'entreprise) peuvent avoir sur les plans de secours ;

·               la liste des priorités observées lors des opérations de récupération et leur justification ;

·               les procédures d'escalade à suivre de sorte que tout problème survenant pendant l'exécution d'un plan de secours puisse facilement et immédiatement être soumis au personnel (informatique ou autre) le plus qualifié pour le résoudre.

Implémentation

Veillez à ne pas implémenter des contrôles trop restrictifs sous peine de nuire au principe de disponibilité des informations. Il faut trouver un bon compromis entre les contrôles de sécurité et l'accès aux informations.

Test de simulation d'attaque

La dernière étape d'une stratégie de sécurité consiste à tester celle-ci et à analyser les résultats obtenus. Elle intervient après la mise en place des stratégies proactive et réactive. La simulation d'attaques sur un système de test ou de laboratoire permet d'évaluer les vulnérabilités existantes et de modifier en conséquence les stratégies et contrôles de sécurité de l'entreprise.

Il ne faut jamais exécuter ces tests sur un système de production en ligne car ils peuvent avoir des conséquences désastreuses. Malheureusement, les simulations ne peuvent pas toujours être menées sur des ordinateurs de laboratoire et de test en raison de restrictions budgétaires. Pour augmenter vos chances d'obtenir les moyens financiers nécessaires à la réalisation des tests, informez la direction des risques et des conséquences d'une attaque, ainsi que des mesures de sécurité indispensables à la protection du système  (notamment les procédures de test). Il faut, dans la mesure du possible, tester dans la pratique tous les scénarios d'attaque et les documenter pour déterminer les contrôles et stratégies de sécurité les plus efficaces et les mieux adaptés.

Certaines attaques, comme les catastrophes naturelles, ne peuvent pas être testées, même si une simulation peut être bénéfique. Ainsi, il est possible de simuler dans la salle réservée aux serveurs un incendie qui endommage et entraîne la perte de tous les serveurs. Ce scénario peut être utile pour tester la réactivité des administrateurs et du personnel de la sécurité, ainsi que pour déterminer le délai nécessaire à la reprise d'une activité normale.

L'ajustement des contrôles et des stratégies de sécurité en fonction des résultats obtenus aux tests est un processus itératif sans fin. Il doit être régulièrement réévalué en vue d'être amélioré.

Exploitation

Une gestion des problèmes et une procédure d'escalade clairement définies sont deux composants essentiels d'un programme de réponse aux incidents. En exécutant régulièrement le plan de réponse aux incidents à un stade précoce du projet de sécurité, les équipes pourront résoudre plus efficacement les problèmes survenant dans l'entreprise. Quiconque participe aux nouveaux projets doit disposer d'une documentation sur les résultats obtenus et des connaissances acquises au cours du projet de sécurité. Le regroupement d'informations dégagées des processus opérationnels simplifie les tâches d'évaluation, de développement et d'implémentation du projet de sécurité suivant.

Réponse aux incidents

Si l'entreprise souhaite implémenter intégralement les meilleures pratiques en matière de planification de la sécurité, il est indispensable de créer une équipe de gestion des incidents. Cette équipe doit intervenir au niveau de la stratégie proactive visant à assurer la sécurité du système. Celle-ci inclut :

·        le développement d'instructions concernant la gestion des incidents ;

·        la préparation des procédures d'escalade (y compris l'application des lois en vigueur relatives aux délits informatiques) ;

·        l'identification des outils logiciels requis pour réagir face aux incidents et aux événements ;

·        la recherche et le développement d'autres outils de sécurité informatiques ;

·        la mise en place d'activités de sensibilisation et de formation ;

·        l'exécution de recherches sur les virus ;

·        la réalisation d'études sur les attaques du système.

Ces tâches visent à acquérir des connaissances qui serviront à l'entreprise pour résoudre des problèmes avant et pendant les incidents.

Un administrateur de la sécurité doit être en mesure de surveiller et de gérer les audits de sécurité. Il doit représenter l'autorité (une personne ou un groupe de personnes) responsable de l'implémentation de la stratégie de sécurité pour un domaine de sécurité. Après que l'administrateur de la sécurité et les membres de l'équipe de gestion des incidents ont terminé ces tâches proactives, le premier doit déléguer la gestion des incidents aux seconds.

Cela ne signifie pas pour autant que l'administrateur de la sécurité ne doive plus participer au travail de l'équipe. Toutefois, comme il n'est pas disponible en permanence, l'équipe de gestion des incidents doit être en mesure de gérer seule la situation. Elle est chargée d'intervenir en cas d'incident et doit également participer à l'analyse de tout événement inhabituel concernant la sécurité des ordinateurs ou du réseau.

Documentation et acquisition de connaissances

Il est important de documenter toute attaque dont le système a fait l'objet. Pour cela, il faut décrire tous les aspects connus de l'attaque, et notamment les dommages causés (matériels, logiciels, perte de données et arrêt ou ralentissement de la productivité), les vulnérabilités et points faibles exploités, les temps de production perdus, les procédures mises en œuvre pour réparer les dommages ainsi que le coût de ces réparations. La documentation permet d'améliorer les stratégies proactives, de prévenir de futures attaques et d'en minimiser les dommages.

Implémentation de plans de secours

S'il existe déjà des plans de secours, ils peuvent être implémentés pour gagner du temps et permettre la poursuite des activités de l'entreprise. Si ce n'est pas le cas, vous devez élaborer un plan approprié en fonction de la documentation rassemblée au cours de l'étape précédente.

Examen des résultats et exécution de simulations

Après l'attaque ou la procédure de défense mise en place pour contrer celle-ci, examinez les résultats obtenus au niveau du système et passez en revue la stratégie proactive de l'entreprise. Cet examen doit inclure des détails sur la perte de productivité, de données ou de composants matériels. Il doit en outre indiquer le temps nécessaire à la récupération. Pour obtenir des résultats probants, il est fortement recommandé de procéder à des simulations dans un environnement similaire à l'environnement de production.

Examen et ajustement de l'efficacité des stratégies

S'il existe des stratégies de défense contre l'attaque, il est impératif d'évaluer leur efficacité. Si ce n'est pas le cas, il faut en élaborer de nouvelles pour prévenir les attaques futures ou en minimiser l'étendue.

Lorsque les stratégies existantes ne sont pas suffisamment efficaces, elles doivent être corrigées. Les mises à jour de stratégies doivent être coordonnées par le personnel de direction responsable, l'administrateur de la sécurité, les administrateurs du système informatique et l'équipe de gestion des incidents. Toutes les stratégies doivent être conformes à la politique et aux règlements internes de l'entreprise. Supposons que l'horaire de travail normal de l'entreprise soit de 8 heures à 18 heures. Il est possible de créer une stratégie de sécurité (ou de mettre à jour une stratégie existante) précisant que les utilisateurs peuvent uniquement se connecter au système durant cette période.


Gestion du risque

Les sections suivantes s'appuient sur des pratiques éprouvées issues de méthodologies d'analyse de sécurité actuellement utilisées pour exploiter les modèles MSF et MOF. Le modèle MSF propose des recommandations relatives aux phases de planification, de développement, de stabilisation et de déploiement du cycle de vie d'un projet dans les domaines de l'architecture d'entreprise et du déploiement d'infrastructure. Le modèle MOF propose une ligne de conduite en matière de développement et d'optimisation des systèmes de gestion pour les opérations informatiques. Les connaissances acquises grâce à la gestion du risque (SRMD) présentée ici peuvent être appliquées à votre environnement. Cette discipline représente un processus détaillé particulièrement utile pour déterminer les menaces et vulnérabilités susceptibles d'affecter le plus gravement une entreprise donnée.

Identification des risques

L'identification des risques constitue la première étape de l'évaluation de la sécurité de l'entreprise. Pour être géré efficacement,  le risque doit être décrit clairement. L'équipe de projet peut ainsi parvenir à un consensus et passer à l'analyse des conséquences possibles et à la création d'un plan d'action pour neutraliser ce risque. Même si l'étendue du risque est limitée à la technologie que l'équipe de projet tente de sécuriser, celle-ci doit adopter une approche suffisamment globale pour faire face à toutes les sources possibles des risques, qu'il s'agisse de technologie, de processus, de l'environnement ou de personnes.

Pour identifier les risques, il est possible par exemple d'organiser des sessions de reflexion ou de consulter les nombreuses sources d'informations et points de vue disponibles sur Internet. De plus, il se peut que l'entreprise ait déjà élaboré un test d'intrusion ou une procédure d'évaluation des vulnérabilités, que vous pouvez adapter.

Objectifs

L'identification des risques a pour objectif de permettre à l'équipe de dresser une liste de risques connus auxquels les ressources de votre entreprise sont vulnérables. Cette liste doit être aussi complète que possible et englober les différents aspects de l'architecture de l'entreprise, notamment les technologies, les activités commerciales, les personnes et la stratégie.

La gestion des risques consiste à identifier les risques, à les analyser et à créer un plan destiné à y faire face. Un risque se définit comme la perte attendue de l’exploitation en raison des menaces anticipées (ou découlant de leurs conséquences) au vu des vulnérabilités du système et de la puissance ou de la détermination des agents de menace.

Données requises

Diverses informations doivent être fournies pour mener à bien l'identification des risques. Il faut notamment collecter les données disponibles sur les menaces, créer une liste des méthodes et techniques d'exploitation. Ensuite, sont analysées les vulnérabilités des stratégies et du système susceptibles d'être exploitées pour endommager les ressources de l'entreprise. Par menace, on entend tout danger potentiel externe pesant sur les informations et les systèmes. Les vulnérabilités sont les points faibles que peuvent présenter le logiciel, le matériel ou les procédures et qui offrent à la menace un point d'entrée pour l'attaque. Ces risques sont très variés puisqu'ils peuvent toucher différents aspects de l'environnement de l'entreprise, comme les pratiques de gestion, les applications, les données et l'architecture de l'infrastructure.

Les informations à recueillir lors de cette étape dépendent de l'expérience dont bénéficie l'équipe responsable et de l'approche actuelle de l'entreprise en matière de la planification de la sécurité (stratégies, procédures, instructions, modèles ou encore informations sur l'état actuel de l'infrastructure technologique).

L'équipe de sécurité peut s'inspirer des données extraites des ressources elles-mêmes ou des résultats obtenus à l'aide d'un outil d'analyse des vulnérabilités ou d'un test d'intrusion. Des données peuvent également être recueillies lors de sessions de « braindstorming » ou encore d'ateliers sur la sécurité visant à rassembler les points de vue de l'équipe et des intéressés sur ces problèmes.

Activités d'identification des risques

Au cours de cette étape, l'équipe s'efforce de répertorier ou de formuler de façon non équivoque les problèmes de sécurité en exposant clairement les risques auxquels l'entreprise est confrontée. Des ateliers ou des sessions de « brainstorming » au cours desquels l'équipe de sécurité identifie les risques associés à une nouvelle situation peuvent être organisés. En raison de l'évolution rapide des technologies et des environnements, il est important d'envisager cette phase comme une activité suivie, et non ponctuelle. Le processus doit être répété à intervalles réguliers au cours du cycle de vie des opérations de l'entreprise.

Approche structurée

Le recours à une approche structurée de la gestion du risque est essentiel parce qu'il permet à tous les membres de l'équipe d'utiliser un mécanisme cohérent pour résoudre les problèmes de sécurité. L'emploi d'un système de classification des menaces peut être utile car il fournit une approche normative qu'il est possible de reproduire et de mesurer.

Classification des menaces

Les classifications des menaces (également appelées catégories ou classifications) remplissent plusieurs fonctions pour une équipe de sécurité. Au cours de l'identification du risque, elles peuvent être utilisées pour stimuler la réflexion sur les risques survenant dans différents domaines. Au cours des sessions de «brainstorming», le fait que plusieurs menaces similaires sont ainsi regroupées simplifie le travail de l'équipe. En outre, les classifications des menaces peuvent servir à l'élaboration d'une terminologie commune utilisée par l'équipe pour surveiller l'état des risques pendant toute la durée du projet et établir des rapports à ce sujet.

Énoncé du risque

L’énoncé du risque est une expression qui expose en langage naturel la relation causale qu'il existe entre l'état de sécurité de l'entreprise et un état de sécurité potentiel non réalisé.

La première partie de l'énoncé du risque, appelé la «  condition », décrit un état existant ou une menace potentielle que l'équipe considère comme dommageable. La seconde partie, la «  conséquence », explique comment il peut en résulter une perte fâcheuse de confidentialité, d'intégrité ou de disponibilité d'une ressource.
Les deux parties sont liées par une expression comme «  alors » ou «  peut provoquer », qui implique une relation causale ou incertaine (dont le pourcentage de probabilité est inférieur à 100 %).

L'énoncé du risque se présente comme suit dans ce guide :

SI un agent de menace recourt à un outil, à une technique ou à une méthode pour exploiter une vulnérabilité, ALORS une perte de (confidentialité, intégrité ou disponibilité) de la ressource peut provoquer des dommages.

Les énoncés de risque sont élaborés dans le cadre de l'analyse des risques. Celle-ci peut être envisagée sous deux angles : qualitatif et quantitatif. Les deux approches se valent et fournissent l'une comme l'autre un outil précieux pour structurer vos activités d'identification du risque. L'approche quantitative exploite les informations réunies au cours du processus quantitatif.

Figure 3-2. Énoncé de la condition et de la conséquence du risque

Les étapes suivantes détaillent chacune des parties du processus illustré par la figure ci-dessus :

1.            Définissez un énoncé de la condition et de la conséquence du risque pour chaque menace. Si un agent de menace génère une menace et exploite une vulnérabilité, alors l'attaque donne lieu à un risque. L'attaque peut endommager la ressource en termes de confidentialité, d'intégrité ou de disponibilité. Par conséquent, elle expose l'entreprise à des pertes. Toutefois, cette exposition peut être contrée par des mesures de protection. 

2.            Attribuez une probabilité à la menace (PM) en pourcentage (de 0 % à 100 %). La probabilité de la menace représente les risques d'intrusion d'un agent de menace potentiel dans l'environnement. 

3.            Attribuez un facteur de gravité (FG) (de 1 à 10). Le facteur de gravité est le niveau d'exploitation potentielle de la ressource par la menace.

4.            Définissez un niveau d'effort (E) (de 1 à 10). L'effort représente les compétences requises de la part de l'auteur d'une attaque pour tirer parti de l'attaque.

5.            Déterminez le facteur de risque (FR). Celui-ci est calculé en divisant le facteur de gravité par le niveau d'effort.

6.            Déterminez le niveau de fréquence de la menace à l'aide de l'équation (PM × FR). 

7.            Attribuez un classement au facteur de vulnérabilité (FV) (de 1 à 10). Il faut pour cela identifier l'importance du risque que la vulnérabilité pose à la ressource.

8.            Déterminez la priorité de la ressource (PR) (de 1 à 10). Évaluez la priorité que revêt chaque ressource de la société en fonction des critères exposés ci-dessous. La valorisation des ressources est un processus complexe dont le perfectionnement demande généralement du temps. Pour plus d'informations sur la valorisation des ressources, consultez les références à la fin du chapitre. L'attribution d'une note de priorité aux ressources de l'entreprise est essentielle pour déterminer le nombre de ressources qu'il est possible de sécuriser sans dépasser le budget.

Pour dresser plus facilement une liste classant les ressources par ordre de priorité, essayez de répondre aux questions suivantes à propos de chaque ressource en fonction de votre environnement :

·              Quelle est la valeur de la ressource pour la société ?

·              Quel est le coût requis pour assurer la maintenance ou la protection de la ressource ?

·              Quels profits la ressource génère-t-elle pour la société ?

·              Quelle serait sa valeur pour la concurrence ?

·              Quel serait le coût induit s'il fallait la récupérer ou la recréer ?

·              Quel a été son coût d'acquisition ou de développement ?

9.          Déterminez le facteur d'impact (FI) à l'aide de l'équation (FV × PR). 

10.     Déterminez le facteur d'exposition (FE) à l'aide de l'équation (Niveau de fréquence de la menace × Facteur d'impact divisé par 1 000). Le facteur d'exposition est exprimé en pourcentage afin de calculer la perte estimée unique (PEU) dans les étapes décrites sous le tableau 3.1.

La formulation des énoncés des risques en deux parties (condition et conséquence) a l'avantage d'associer les conséquences potentielles du risque aux conditions actuellement observables (et éventuellement contrôlables) au sein de l'entreprise. L'équipe peut ainsi se concentrer sur d'autres approches exclusivement destinées à identifier les conditions du risque. Elle peut avoir à revenir ultérieurement sur la condition au cours du processus d'analyse des risques, au moment de l'élaboration des stratégies de planification de gestion du risque.

Remarque : L’énoncé du risque n'est pas une instruction purement conditionnelle «  si..., alors... ». Il ne fait qu'exposer des faits en examinant les conséquences possibles mais non réalisées d'un risque.

Il peut être utile d'envisager cet énoncé sous la forme d'hypothèses afin de comparer plusieurs alternatives et de concevoir des plans fondés sur des arbres de décisions. Cela dit, votre objectif au cours de la phase d'identification du risque consiste simplement à identifier autant de risques que possible. Remettez leur analyse et leur gestion à une étape ultérieure du processus.

L'énoncé du risque doit inclure des conditions et des conséquences. Dans le cadre d'une analyse approfondie, les membres de l'équipe doivent rechercher des éléments similaires et des regroupements logiques parmi les conditions d'un problème de sécurité. Ensuite, il leur faut examiner les relations existantes et rechercher une cause commune sous-jacente. Il est également intéressant de rechercher les relations en aval, en partant de la cause de la condition, une fois celle-ci connue. Les effets sur les ressources externes à l'entreprise ainsi identifiés permettent de mieux apprécier les pertes totales ou les opportunités manquées associées à la menace liée à la sécurité.

Pendant la phase d'identification du risque, une même condition est couramment associée à plusieurs conséquences. L'inverse peut être également  vrai: plusieurs conditions peuvent avoir la même conséquence. Par ailleurs, la conséquence d'un risque identifié dans un secteur de l'entreprise peut devenir une condition de risque dans un autre. Ces situations doivent être enregistrées afin de prendre les décisions appropriées au cours de l'analyse et de la planification du risque. Ces décisions doivent tenir compte des dépendances et des relations  existant entre les différents risques.

Selon les relations qui existent entre les risques au sein de  votre organisation, l'atténuation d'un risque peut entraîner l'atténuation de tout un groupe de risques dépendants et, par conséquent, modifier le profil de risque global de l'entreprise. Si vous documentez ces relations au début de la phase d'identification du risque, vous bénéficierez d'informations qui vous guideront lors de la planification. Vous pourrez ainsi mettre au point une planification à la fois souple, exhaustive et efficace, qui examine les ressources pour éliminer les causes initiales et les causes consécutives en aval. Pour les risques les plus importants, il faut déterminer s'il est plus avantageux de collecter ces informations au niveau de la phase d'identification ou de passer immédiatement aux phases d'analyse et d'affectation des priorités. Vous pourrez réexaminer les dépendances et les causes principales au cours de la phase de planification.

Valorisation des ressources de l'entreprise

L'estimation de la valeur monétaire d'une ressource joue un rôle important dans la gestion du risque. Les directeurs d'entreprise se fondent souvent sur la valeur d'une ressource pour déterminer le temps et l'argent qu'ils peuvent consacrer à sa protection. Une liste des valeurs des ressources figure dans les plans de récupération d'urgence de la plupart des entreprises. Le modèle de valorisation suivant peut faciliter l'identification de la priorité à accorder aux ressources (étape 8 de l'analyse quantitative).

Pour déterminer avec précision la valeur d'une ressource, calculez les trois facteurs suivants :

● Valeur globale de la ressource pour l'entreprise. Calculez ou estimez la valeur financière directe de la ressource. Si, par exemple, vous possédez un site Web de commerce électronique accessible 7 jours sur 7 et 24 heures sur 24 et que les commandes client génèrent des recettes moyennes de 2 000 euros par heure, vous pouvez affirmer avec certitude que la valeur annuelle du site Web en termes de recettes équivaut à 17 520 000 euros.

● Impact financier immédiat de la perte de la ressource. Si ce même site Web est inaccessible pendant 6 heures, l'exposition calculée correspond à 0,000685 % par an. En multipliant ce pourcentage par la valeur annuelle de la ressource, vous pouvez prédire que les pertes directement imputables à l'indisponibilité du site s'élèveront à 12 000 euros.

● Impact commercial indirect lié à la perte de la ressource. Gardons le même exemple : la société estime devoir dépenser 10 000 euros à l'occasion d'une campagne de marketing visant à neutraliser la publicité négative résultant de l’indisponibilité du site. Par ailleurs, elle s'attend également à une perte de 0,01 (1 %) des ventes annuelles, soit 17 520 euros. En additionnant les dépenses publicitaires supplémentaires et la perte de recettes, elle prévoit dans ce cas précis une perte indirecte totale de 27 520 euros.

Tableau 3.1 : Exemple de valorisation d'une ressource

 

Ressource

Valeur (€)

Facteur d'exposition

Impact direct (€)

Impact indirect (€)

Site Web de commerce électronique

17 520 000 l'an

Six heures par an ou 0,00685

12 000

27 520

 

Vous devez également prendre en compte la valeur que présente cette ressource aux yeux de vos concurrents. Si, par exemple, ces derniers sont en mesure d'utiliser des informations sur votre clientèle alors que votre site Web est inaccessible, vous pouvez perdre des millions d'euros à leur profit. De nombreuses méthodes et équations permettent d'effectuer une analyse quantitative du risque. Un grand nombre de variables peuvent être intégrées à ce processus. Quelques tâches supplémentaires complètent l'étape 10 ci-dessus et permettent de réaliser une analyse quantitative du risque particulièrement précise :

1.    Déterminez la perte estimée unique (PEU). Il s'agit du montant total de recettes perdues à la suite d'une occurrence unique du risque. La perte estimée unique est le montant monétaire attribué à un événement unique représentant le montant des pertes potentielles qu'essuierait la société si une menace spécifique se concrétisait. Pour la calculer, multipliez la valeur de la ressource (VR) par le facteur d'exposition (FE). Le résultat obtenu correspond à l'impact d'une analyse qualitative du risque.

Déterminez la perte estimée unique à l'aide de l'équation (VR × FE).

Le facteur d'exposition représente le pourcentage de perte qu'une menace réalisée peut avoir sur une ressource donnée. Si une batterie de serveurs Web a une valeur de 150 000 euros et qu'un incendie provoque des dommages estimés à 25 % de sa valeur, alors la perte estimée unique (PEU) s'élève à 37 500 euros. Ce chiffre est dérivé pour être inséré dans l'équation de calcul de la perte estimée annuelle (PEA) de l'étape 3.

2.    Déterminez le taux annuel d'occurrence (TAO). Ce taux correspond au nombre de fois qu'un risque peut raisonnablement se réaliser au cours d'une année. Pour l'estimer, inspirez-vous de vos expériences précédentes et consultez des spécialistes de la gestion du risque ainsi que des conseillers en matière de gestion et de sécurité. Le taux TAO correspond à la probabilité obtenue par une analyse qualitative du risque. Sa valeur est comprise entre 0 (jamais) et 100 % (toujours).

Par exemple, si un incendie ravage la batterie de serveurs Web évoquée ci-dessus, provoquant des dommages estimés à 37 500 euros et que la probabilité (ou taux TAO) d'un incendie est de 0,1 % (une fois en 10 ans), alors la valeur PEU est de 3 750 euros (37 500 euros × 0,1 = 3 750 euros).

3.    Déterminez la perte estimée annuelle (PEA). Il s'agit de la somme totale que l'entreprise perdra en un an si rien n'est fait pour atténuer le risque. Calculez cette valeur en multipliant la valeur PEU par le taux TAO. La perte estimée annuelle correspond au classement relatif obtenu par une analyse qualitative du risque. Elle est calculée à l'aide de l'équation (TAO × PEU).

La valeur de la PEA peut servir à budgéter les coûts requis pour l'établissement de contrôles ou de mesures de protection destinés à pallier ce type de dommages (en l'occurrence 3 750 euros ou moins par an) et à définir le niveau de protection adéquat. Il est important de quantifier, en termes financiers, la possibilité réelle d'un risque et les dommages afférents. Cela permet d'établir le niveau de dépenses acceptable pour se protéger contre les conséquences potentielles de la menace. 

4.    Calculez le coût des contre-mesures ou mesures de protection au moyen de l'équation suivante :

(PEA avant contre-mesure) – (PEA après contre-mesure) – (coût annuel de la contre-mesure) = valeur de la mesure de protection pour la société (VMS).

Imaginons par exemple que la perte estimée annuelle (PEA) de la menace d'une attaque paralysant un serveur Web s'élève à 12 000 euros et qu'elle est ramenée à 3 000 euros après l'implémentation de la contre-mesure suggérée. Nous savons en outre que le coût annuel de maintenance et de fonctionnement de cette mesure de protection est de 650 euros. Par conséquent, l'équation suivante fournit la valeur annuelle de cette mesure de protection, à savoir 8 350 euros : (12 000 € –3 000 € – 650 € = 8 350 €).

Les informations issues des analyses quantitatives du risque fournissent des résultats et des objectifs clairement définis. Les éléments suivants sont généralement obtenus d'après les résultats des étapes précédentes :

·        Valeurs monétaires attribuées aux ressources ;

·        Liste complète des menaces significatives ;

·        Probabilité de voir chaque menace se réaliser ;

·        Potentiel de perte pour la société par menace, pour une période de 12 mois ;

·        Mesures de protection, contre-mesures et actions recommandées.

Résultats

Les activités d'identification du risque doivent au minimum donner comme résultat un énoncé consensuel, clair et non ambigu des risques auxquels l'équipe de la sécurité est confrontée, sous la forme d'une liste des problèmes de sécurité. Cette liste, qui se présente sous la forme d’un tableau, sert de donnée de départ principale pour la phase suivante du processus de gestion du risque : l'analyse.

L'étape d'identification du risque produit souvent un grand nombre d'autres informations très utiles : identification des causes premières et des répercussions en aval, parties affectées, propriétaires, etc.

Il est judicieux de conserver les tableaux contenant les énoncés de risque ainsi que les informations relatives à la cause initiale et aux répercussions en aval déterminées par l'équipe de sécurité. D'autres données, comme la classification des risques par menace, peuvent également être d'une aide précieuse, notamment dans le cadre de l'élaboration ou de l'utilisation d'une base de données sécurité s'il existe une classification bien définie au sein de l'entreprise.

L'équipe de sécurité peut conserver d'autres informations pendant le processus d'identification des risques :

·        Contraintes ;

·        Circonstances ;

·        Cuppositions ;

·        Facteurs déterminants ;

·        Dépendances existant entre les risques ;

·        Problèmes connexes ;

·        Propriétaires des ressources de l'entreprise ;

·        Préoccupations de l'équipe.

Analyse et classement par priorité des risques

L'analyse des risques et leur classement par ordre de priorité constituent la deuxième étape importante du processus d'évaluation des risques. L'analyse consiste à organiser les données réunies sur les risques (menaces, attaques et vulnérabilités) sous une forme qui facilite la prise de décisions. Le classement des risques par ordre de priorité garantit que les risques majeurs sont traités en premier lieu par les membres de l'équipe de sécurité.

Au cours de cette étape, l'équipe de sécurité examine les éléments de la liste des problèmes de sécurité établie lors de l'étape d'identification des risques pour leur attribuer une priorité et élaborer un plan d'action de sécurité.
Grâce à ce plan, l'équipe peut utiliser cette même liste pour planifier et consacrer des ressources à la mise en place d'une stratégie spécifique de gestion des problèmes de l’entreprise.

L'équipe peut également décider, le cas échéant, de supprimer de la liste des problèmes de sécurité dont la priorité est trop faible pour être pris en compte. Même si la phase d'implémentation arrive à son terme, vous devez néanmoins continuer à procéder régulièrement à l'identification et à l'analyse des risques pour garantir l'efficacité du plan d'action de sécurité. En effet, l’environnement de l’entreprise change constamment : de nouveaux risques peuvent apparaître et d'autres, plus anciens, être supprimés, ignorés ou désactivés s’ils ont perdu leur caractère prioritaire.

Objectif

Le principal objectif de l'analyse des risques est de définir la priorité des problèmes de sécurité dans le plan d'action de sécurité. De cette façon, vous pouvez déterminer les problèmes qui méritent que l’entreprise consacre des ressources à leur atténuation.

Données requises

Lors du processus d'analyse des risques, l'équipe s'inspire de sa propre expérience et des informations issues d'autres sources pertinentes concernant les énoncés des risques. Passez en revue les stratégies et procédures de sécurité de votre entreprise, les données disponibles en matière de sécurité, l'analyse des vulnérabilités et les simulations. Consultez en outre les différents propriétaires des ressources. À partir de ces informations, vous pourrez établir une liste de risques principale hiérarchisée.

Activités d'analyse des risques

Il existe de nombreuses techniques qualitatives et quantitatives pour définir les priorités dans un plan d'action de sécurité. Une des techniques d'analyse les plus simples consiste à utiliser les estimations générales de l'équipe dérivées de deux composants de risque reconnus : la probabilité et l'impact. Les valeurs de ces estimations peuvent être ensuite multipliées de façon à obtenir une mesure unique, appelée exposition au risque.

Probabilité de risque

Cette probabilité mesure les chances de voir la condition exposée dans l'énoncé du risque se vérifier. Cet énoncé peut inclure des facteurs autres que le temps et l'argent, comme ceux décrits dans la condition suivante :

«  SI un agent de menace recourt à un outil, à une technique ou à une méthode pour exploiter une vulnérabilité... »

Pour certains types de menaces, il ne s'agit pas toujours d'une attaque ou d'une vulnérabilité connue, surtout en cas de catastrophe naturelle.

Il est conseillé d'utiliser une valeur numérique pour exprimer une probabilité dans la classification des risques. Si la probabilité du risque n'est pas supérieure à 0, la menace ne représente pas réellement un problème pour la sécurité. Si, au contraire, elle est de 100 %, le risque est bien réel et peut être un problème connu.

Il est inutile de souligner toute la difficulté que comportent l'estimation et l'application des probabilités. Certes, il existe des bases de données de risques en entreprise ou en industrie. Elles proposent des estimations de probabilité connues établies à partir d'éléments observés dans un grand nombre de projets. Toutefois, dans la mesure où les équipes de projet expriment souvent leurs expériences à l’aide d’expressions verbales, il peut être intéressant d'établir un tableau de correspondance entre ces expressions et une plage de probabilités numériques. C’est que propose le tableau ci-dessous.

 


Tableau 3.2 : Probabilité de risque

Plage

Valeur de calcul

Expression

Notation

1 % à 14 %

  7 %

Extrêmement improbable

  1

15 % à 28 %

  21 %

Faible probabilité

 2

28 % à 42 %

 35 %

Improbable

 3

43 % à 57 %

 50 %

Neutre

 4

58 % à 72 %

 65 %

Probable

 5

73 % à 86 %

 79 %

Probabilité élevée

 6

87 % à 99 %

 93 %

Quasi-certitude

 7

 

La valeur de probabilité utilisée pour le calcul représente le point médian d'une plage. Le recours à des tableaux de ce type fournit une méthode alternative de quantification de la probabilité : elle consiste à établir une correspondance entre la plage de probabilité ou une expression verbale et une notation numérique. Si vous adoptez cette méthode de notation numérique, vous devez veiller à utiliser les mêmes notations pour tous les risques, afin que le processus de classement par priorité fonctionne correctement.

Quelle que soit la technique employée pour quantifier la probabilité, l'équipe doit également mettre au point une approche visant à dériver une seule valeur de probabilité de risque qui représente son évaluation unanime de chaque risque.

Impact du risque

L'impact du risque exprime la gravité de la perte causée par le préjudice subi par les ressources ou l'ampleur de la perte résultant de la dégradation d'une ressource en terme de confidentialité, d'intégrité ou de disponibilité. Il doit se présenter comme une mesure directe de la conséquence de sécurité telle que définie dans la deuxième partie de l'énoncé du risque :

«  ALORS une perte de (confidentialité, intégrité ou disponibilité) d'une ressource peut provoquer un impact. »

Vous pouvez mesurer la perte soit en termes financiers, soit au moyen d'une échelle de mesure subjective liée à la ressource. Le recours à une valeur financière pour quantifier l'ampleur de la perte ou le manque à gagner présente un avantage : ce procédé est bien connu des promoteurs financiers. Par impact financier, on entend notamment les coûts à long terme en termes d'exploitation et de support, la part de marché perdue, les frais à court terme découlant du travail supplémentaire requis ou un manque à gagner.

Dans d'autres cas, il est préférable de recourir à une échelle subjective allant de 1 à 5 ou de 1 à 10 pour mesurer l'impact du risque. Le recours à ce type d'échelle s'impose lorsqu'il est impossible de déterminer rapidement la valeur nette des ressources (ou actifs). Pour autant que tous les risques d'un plan d'action de sécurité soient basés sur les mêmes unités de mesure, des techniques de classement par priorité simples suffisent amplement.

Tableau 3.3 : Exemple d'un système de notation de pertes de ressources

Notation

 Perte financière

1

Inférieure à 100 euros

2 

De 100 à 1 000 euros

3 

De 1 000 à 10 000 euros

4 

De 10 000 à 100 000 euros

5 

De 100 000 à 1 million d'euros

6 

De 1 à 10 millions d'euros

7 

De 10 à 100 millions d'euros

8 

De 100 millions à 1 milliard d'euros

9 

De 1 à 10 milliards d'euros

10 

Supérieure à 10 milliards d'euros

 

Le système de notation des estimations de l'impact varie d'une entreprise à l'autre et doit toujours refléter les stratégies et les valeurs de l'entreprise. Ainsi, une perte financière de 10 000 euros peut être jugée tolérable pour une équipe ou une entreprise, et tout à fait inacceptable pour une autre. Attribuer à un impact catastrophique une note aussi artificielle que 100 garantit que le risque, aussi improbable soit-il, figurera toujours en tête de la liste des risques.

Exposition aux risques

L'exposition au risque mesure le risque global posé à la sécurité. Elle associe la probabilité de la perte effective et l'ampleur de la perte potentielle pour obtenir une valeur numérique unique. L'équipe de sécurité peut ensuite utiliser cette valeur pour établir un classement des problèmes de sécurité. Dans la forme la plus simple de l’analyse quantitative des risques, l'exposition au risque est calculée en multipliant la probabilité du risque par son impact.

Lorsqu'un système de notation est employé pour quantifier la probabilité et l'impact, il est parfois pratique de créer une matrice qui attribue chacune des diverses combinaisons possibles de notes à une catégorie de risque : faible, moyen et élevé. Si vous utilisez un système à trois notes dans les deux cas, c'est-à-dire pour la mesure de la probabilité et pour la mesure de l'impact, où 1 représente une probabilité ou un impact faibles et 3 une probabilité ou un impact élevés, les résultats peuvent être exprimés sous la forme d'un tableau dont chaque cellule comprend une valeur possible de l'exposition au risque. Cela facilite le classement du risque dans la catégorie faible, moyenne ou élevée, en fonction de sa position dans les bandes diagonales de notation croissante.

Tableau 3.4 : Matrice de notation des risques

Probabilité/Impact

Faible = 1 

Moyen = 2 

Élevé = 3

Élevé = 3

3 

6 

9

Moyen = 2 

2 

4 

6

Faible = 1 

1 

2 

3

Plages d'exposition : Faible =1-2 ; Moyen = 3-4 ; Élevé = 6-9

 

Ce tableau permet d'associer un code de couleurs aux niveaux de risque dans les rapports destinés aux promoteurs et aux autres parties intéressées (rouge pour la zone de risque élevé dans le coin supérieur droit, vert pour le risque faible dans le coin inférieur gauche et jaune pour le niveau de risque moyen dans la diagonale). Afin de mieux appréhender ces valeurs, préférez l'expression «  risque élevé », qui est plus parlante que l’expression «  forte exposition ».

Autres techniques quantitatives

Pour rappel, l'objectif de l'analyse des risques est de classer ces risques par ordre de priorité, d’orienter le plan d'action de sécurité et la prise de décisions en matière d'affectation de ressources. L'équipe de sécurité doit par conséquent choisir une méthode de classification des risques qui convient au projet, à ses membres et aux parties prenantes.

Il est possible d’utiliser des techniques pondérées à attributs multiples, intégrant les autres facteurs que l'équipe souhaite prendre en compte dans le processus de classification. Il peut s'agir, par exemple, du calendrier requis, de l'ampleur du profit potentiel en termes d'opportunités, de la fiabilité des estimations de probabilité et de la valorisation des ressources physiques ou informationnelles.

Le choix de la méthode ou de la combinaison de méthodes d'analyse des risques varie en fonction du compromis souhaité entre l'effort d'analyse requis et la sélection de priorités incorrectes ou indéfendables (du point de vue des parties prenantes) dans le plan d'action de sécurité. L'analyse des risques doit étayer le classement prioritaire des risques et ne doit en aucun cas être effectuée «  pour le plaisir ».

Les résultats des approches quantitatives ou semi-quantitatives dans la classification des risques doivent être évalués dans le contexte de la politique, des stratégies et procédures, des données et des infrastructures technologiques de l'entreprise. Une approche semi-quantitative commence par l'établissement de certaines mesures qualitatives permettant aux entreprises de dégager des mesures de sécurité quantifiables.

Résultats

L'analyse des risques fournit à l'équipe une liste d'actions de sécurité prioritaires qui va la guider dans les activités de planification du risque. Des informations détaillées sur ces risques, et notamment les conditions, le contexte, les causes et les mesures d'évaluation de leur priorité (probabilité, impact, exposition) sont souvent enregistrées dans le formulaire d'énoncé. Celui-ci  est décrit en détail plus loin dans ce chapitre.

Liste de risques principale

La liste des principaux risques motivant la création d'un plan de sécurité est définie dans le plan d'action de sécurité. Ce dernier identifie la condition à l'origine du risque, le préjudice (consécutif) potentiel et les critères ou informations utilisés pour classer le risque (probabilité, impact et exposition). Le tableau qui suit propose un exemple d'une liste de risques principale établie selon une approche à deux facteurs (probabilité et impact) pour l'estimation.

Tableau 3.5 : Exemple de liste de risques principale avec priorité

Priorité 

Condition

Conséquence

Probabilité

Impact

Exposition

1

Virus infectant un site Web de commerce électronique

Durée de reconstruction du serveur : 6 heures

80 %

3 

2,4

2 

Absence de normes de codage pour le nouveau langage de programmation

Présence potentielle d'un nombre accru de vulnérabilités

45 %

2 

0,9

3 

Aucune spécification écrite

Absence d'implémentation de certaines fonctionnalités de sécurité logicielles

30 %

2

0,6

 

L'exposition est le résultat de la multiplication de la probabilité par l'impact : impact faible = 1, impact moyen = 2 et impact élevé = 3.

La liste de risques principale compile toutes les informations relatives à l'évaluation de ces risques. Elle doit être adaptée constamment et constitue la pierre angulaire du processus permanent de gestion du risque. Elle est mise à jour tout au long du cycle de vie informatique, qui inclut l'évaluation, la planification, le développement, le déploiement et l'exploitation.

Cette liste constitue le document clé sur lequel s'appuie la gestion du risque proactive ou réactive. Elle facilite la prise de décisions par l'équipe en offrant une base pour :

·        Le classement prioritaire des efforts ;

·        L'identification des actions critiques ;

·        La mise en évidence des dépendances.

La méthode utilisée pour calculer l'exposition à un risque donné doit être soigneusement documentée dans le plan de gestion des risques. Il faut par ailleurs s'assurer que les calculs représentent avec précision les intentions de l'équipe, par une pondération appropriée de l'importance des différents facteurs.

Les analyses des risques servent à identifier les menaces auxquelles sont exposées les ressources. Pour chaque menace identifiée, créez un énoncé. Ces énoncés associent des informations relatives à une menace et des données sur l'impact qu'aurait la menace si elle se réalisait.


Tableau 3.6 : Contenu de la liste des principaux risques

Élément 

Objectif

Statut

Énoncé du risque

Définir précisément le risque 

Obligatoire

Probabilité

Quantifier la probabilité de l'occurrence de la menace 

Obligatoire

Impact

Quantifier la gravité de la perte ou l'ampleur du manque à gagner

Obligatoire

Critère de classification

Mesure unique d'importance

 Obligatoire

Priorité (classement) 

Attribuer des priorités aux actions 

Obligatoire

Propriétaire 

Garantir un suivi des plans d'action relatifs aux risques

 Obligatoire

Plan d'atténuation 

Décrire les mesures préventives

 Obligatoire

Plans de secours et déclencheurs

Décrire les mesures correctives

 Obligatoire

Causes premières 

Sert de guide pour la planification d'interventions efficaces

 Obligatoire

Effets en aval 

Garantir des estimations d'impact appropriées 

Facultatif

Contexte 

Créer une documentation générale sur les objectifs d'identification des risques par l'équipe

Facultatif

Délai avant l'implémentation 

Souligner l'importance du calendrier d'implémentation des contrôles des risques

Facultatif

Formulaire d'énoncé du risque

Il est fort utile de disposer d'un document unique regroupant l'ensemble des informations sur un risque donné, que ce soit lors de l'analyse d'un risque individuel ou au cours des activités de planification de la sécurité liées à une menace, à une attaque ou à une vulnérabilité spécifique. Ce document se nomme «  formulaire d'énoncé du risque ». Pour plus d'informations sur les processus d'un projet de sécurité, consultez le guide Microsoft Solution for Security Services Guide.

Une liste d'énoncés de risques contient généralement les champs de la liste de risques principale créée au cours des phases d'identification et d'évaluation. Outre ces champs, elle peut comporter diverses informations complémentaires requises par l'équipe dans le cadre du processus de gestion du risque. Il est parfois plus simple de dissocier la liste des énoncés et la liste principale si les risques doivent être affectés à l'équipe de sécurité en vue d'un suivi. Le tableau ci-dessous répertorie un certain nombre d'informations que l’équipe doit prendre en compte lors de l'élaboration d'un formulaire d'énoncé du risque.

Tableau 3.7 : Formulaire d'énoncé du risque

Élément 

Objectif 

Identificateur du risque 

Nom utilisé par l'équipe pour identifier le risque de manière unique à des fins de suivi et de création de rapports

Source du risque

Classification générique de la zone sous-jacente à l'origine du risque
Permet d'identifier les zones au niveau desquelles il faut rechercher des causes récurrentes du risque

Condition du risque (menace/attaque)

Expression décrivant la condition existante pouvant donner lieu à une perte
Elle constitue la première partie de l’énoncé du risque

Conséquences du risque (vulnérabilité/impact sur la ressource)

Expression décrivant la perte à venir si un risque entraînait une conséquence
Elle constitue la deuxième partie de l'énoncé du risque

Probabilité du risque

Probabilité supérieure à 0 % et inférieure à 100 % indiquant les chances de voir une condition de risque se vérifier, avec pour conséquence une perte

Classification de l'impact sur les ressources 

Classification générique du type d'impact susceptible d'être généré par un risque

Exposition de la ressource 

Menace globale que représente le risque, qui met en balance la probabilité d'une perte effective et l'ampleur de la perte potentielle.L'équipe utilise l'exposition au risque pour établir un classement et une notation des risques
L'exposition est le résultat de la multiplication de la probabilité du risque par  son impact

Contexte du risque 

Paragraphe décrivant plus clairement la situation résultant du risque

Risques afférents 

Liste des identificateurs de risque que l'équipe utilise pour assurer le suivi des risques interdépendants

 

Liste des risques majeurs

L'analyse des risques évalue la menace représentée par chaque risque ; elle aide l'équipe de sécurité à déterminer les problèmes qui méritent toute son attention. La gestion de la sécurité et les activités de planification connexes exigent des efforts et du temps, souvent au détriment d'autres activités. Dès lors, il est important que l'équipe de sécurité se concentre sur ce qui est strictement nécessaire pour protéger les ressources les plus importantes.

Une technique simple mais efficace pour surveiller les risques consiste à créer une liste des risques majeurs répertoriant les problèmes les plus importants. Cette liste peut être transmise à toutes les parties prenantes. Elle peut aussi être prise en compte pour d'autres projets informatiques en cours.

L’entreprise doit déterminer les éléments qui méritent de figurer dans la liste des risques majeurs. Plusieurs facteurs doivent pour cela être pris en considération, dont le temps, les ressources et les biens concernés. Après avoir sélectionné un certain nombre de risques majeurs à gérer en priorité, vous devez affecter les ressources nécessaires en vue de l'élaboration de plans pour contrer ces risques.

Après avoir classé les risques, l'équipe doit se concentrer sur la stratégie de gestion des risques et sur la façon d'intégrer les plans d'action de sécurité au plan d'évaluation de la sécurité global.

Désactivation des risques

Certains risques peuvent être désactivés ou répertoriés comme inactifs. De cette façon, l'équipe de sécurité peut se consacrer aux problèmes qui exigent une gestion plus proactive. Un risque inactif est un risque qui, selon l'équipe chargée de l'évaluation, ne mérite pas d'effort de surveillance particulier. La décision de désactiver un risque est prise au cours de l'analyse des risques.

Un risque peut être désactivé pour plusieurs raisons. Par exemple, la probabilité de sa menace peut être pratiquement nulle. Ensuite, son impact sur les ressources peut être trop faible, c'est-à-dire inférieur au seuil qui mérite d'envisager la planification d'une stratégie d'atténuation proactive ou de secours réactive. Dans de tels cas, il est plus «  rentable » de supporter les conséquences potentielles du risque.

Parfois, il n'est pas recommandé de désactiver des risques présentant un faible impact  même si leur exposition est faible, à moins que l'équipe de sécurité soit convaincue que leur probabilité (et donc leur exposition) restera négligeable dans toutes les circonstances prévisibles. Un risque désactivé n'est pas pour autant résolu. Il peut réapparaître dans certaines conditions. Dans ce cas, l'équipe peut décider de le réactiver et de le soumettre à nouveau aux activités d'évaluation.


Suivi des risques, planification, programmation et création de rapports

Les étapes suivantes du processus sont le suivi des risques identifiés dans le plan d'action, l'implémentation d'une planification, l'établissement d'un calendrier de mise en œuvre et la création de rapports de corrections. En fonction des priorités définies au cours de l'étape précédente, l'équipe apporte des changements proactifs :

·        Modification de l'infrastructure technologique ;

·        Implémentation de nouveaux processus et procédures de sécurité.

Pour les risques qui ne peuvent pas être gérés de façon proactive, l'équipe élabore un plan réactif qui sera exécuté lors du déclenchement d'un événement donné. Une fois les plans conçus, un calendrier d'implémentation des modifications est mis au point. Enfin, les membres de l'équipe sont désignés pour effectuer les diverses tâches de protection.

La planification comprend :

·        l'intégration des tâches nécessaires à l'implémentation des plans d'action de sécurité dans le calendrier du projet d'évaluation ;

·         l’attribution de ces tâches aux personnes voulues ;

·         le suivi actif de l’état des tâches. 

Les rapports de protection servent à redéfinir des risques suite aux modifications intervenues dans l'étendue ou la définition du projet et des processus. On peut également parler dans ce cas de gestion des modifications du risque. Ces rapports visent à résoudre les risques prioritaires. La figure suivante propose une représentation graphique de cette étape.

Figure 3-3. Suivi des risques, planification, programmation et création de rapports.

Objectifs

Le principal objectif de la planification des risques et de l'établissement d'un calendrier des tâches est d’élaborer des plans d'action détaillés pour contrôler les risques majeurs identifiés au cours de la phase d'analyse. Ils seront ensuite intégrés aux processus de gestion de projet standard pour s'assurer qu'ils sont menés à bien.

Données requises

La planification des risques doit être étroitement intégrée à l'infrastructure et aux processus de planification de projet standard. Les risques inhérents au projet d'évaluation de la sécurité lui-même diffèrent des risques à proprement parler. L'implémentation de plans d'action de sécurité pose un risque au projet global et doit être gérée à l'aide de la méthodologie de gestion du risque MSF. Les risques posés au projet peuvent notamment s'évaluer en termes de temps, de coût financier et de ressources.

Parmi les données qu'il faut apporter aux processus de planification du risque, figurent non seulement la liste des risques principale, la liste des risques majeurs et les informations de la base de données sécurité, mais également les plans d'action de sécurité et les calendriers d'implémentation.

Activités de planification

Lors de l'élaboration de plans destinés à limiter l'exposition des ressources, vous devez :

·        vous concentrer sur les risques avec exposition élevée ;

·        déterminer la menace (menace, attaques) pour réduire la probabilité d'occurrence ;

·        rechercher les causes premières du problème de sécurité plutôt que ses symptômes ; 

·        limiter les conséquences (vulnérabilité et ressource) pour minimiser l'impact sur la ressource ;

·        déterminer la cause première du problème de sécurité, puis rechercher des situations similaires (susceptibles d'affecter la même ressource ou d'autres ressources) et induites par la même cause ; 

·        être conscient des dépendances et des interactions entre les menaces, attaques et vulnérabilités parmi les risques.

 

 

Plusieurs approches de planification permettent de limiter différentes conditions de risque liées au projet :

·        Pour les risques liés au projet que l'équipe est en mesure de contrôler, mobilisez les ressources de l'équipe en vue de réduire la menace. Il s'agit d'une approche proactive.

·        Pour les risques liés au projet qui ne sont pas du ressort de l'équipe, trouvez une solution provisoire alternative ou contactez des personnes qui ont le pouvoir d'intervenir (procédure d'escalade).

·        Pour les risques liés au projet qui ne sont pas du ressort de l'équipe, qui ne peuvent ni être confiés à d'autres entités ni être gérés de façon proactive, l'équipe doit mettre au point des plans visant à minimiser l'impact sur la ressource ou sa perte. Il s'agit d'une approche réactive.

Plan d'action de sécurité

L'élaboration d'un plan d'action de sécurité s'articule autour de six approches principales. À ce stade, la mission de l'équipe consiste à répondre aux questions associées à chacune de ces approches, décrites brièvement ci-dessous (une description plus détaillée vous est proposée par la ensuite).

·         Recherche. L'équipe de sécurité dispose-t-elle de suffisamment d'informations à propos du risque ? A-t-elle besoin d'une étude plus approfondie de la menace, de l'attaque, de la vulnérabilité ou des ressources afin de déterminer avec exactitude les caractéristiques de ces composants avant d'identifier les mesures à prendre ? 

·         Acceptation. L'équipe de sécurité a-t-elle l'intention d'accepter le risque et de ne prendre aucune mesure proactive, à l'exception des plans de secours ? Un risque peut être jugé acceptable lorsque la valeur PEA pour la ressource est inférieure à la valeur de la ressource elle-même et si l'impact sur les activités de l'entreprise est négligeable. L’entreprise est-elle prête à accepter les conséquences si le risque venait à se vérifier ?

·         Élimination. Existe-t-il un moyen d'éviter le risque en éliminant sa source ou l'exposition d'une ressource à celui-ci ? Il s'agit là d'une mesure extrême, qui doit être envisagée uniquement lorsque l'impact du risque est supérieur aux bénéfices procurés par la ressource. L’entreprise peut-elle éliminer les risques en modifiant l'étendue du projet d'implémentation ?

·         Transfert. Est-il possible de transférer le risque en déléguant partiellement sa responsabilité à un tiers, comme une compagnie d'assurances ou une société de services gérés ? À l'heure actuelle, le transfert du risque prend une importance accrue dans la stratégie de sécurité. L’entreprise peut-elle éviter le risque en le transférant à un autre groupe, équipe, personne ou entreprise externe ?

·         Atténuation. Est-il possible de circonscrire le risque grâce à une modification proactive de l'exposition des ressources à celui-ci ou à une réduction de la dépendance de l'entreprise vis-à-vis de cette ressource ? Envisagez une stratégie d'atténuation du risque si la valeur PEA est inférieure à la valeur de la ressource elle-même et que vous pouvez prendre des mesures proactives. L'atténuation est la principale stratégie de gestion du risque. Êtes-vous en mesure de réduire la probabilité de la menace ou l'impact du risque sur la ressource ?

·        Plan de secours. Est-il possible de réduire l'impact par une stratégie de réponse aux incidents planifiée ? Des plans de secours correctement élaborés diminuent l'impact lorsqu'un risque se transforme en problème ou en incident réel. Après l'incident de sécurité, un déclencheur peut être utilisé pour que l'exécution du plan de secours débute au moment opportun.

Recherche

Dans la majorité des cas, le risque des projets de sécurité est lié à des incertitudes résultant d'informations incomplètes. Les risques liés à un manque de connaissances peuvent souvent être résolus ou gérés efficacement si l’on regroupe un maximum d'informations sur la menace, l'attaque, les vulnérabilités ou la ressource elle-même.

Par exemple, avant d'achever le plan d'implémentation de la sécurité, une équipe peut décider de procéder à une évaluation des vulnérabilités ou à un exercice de sécurité afin d'en savoir plus sur l'environnement ou les compétences de l'équipe en cas de violation de la sécurité. Si l'équipe prend la décision d'effectuer des recherches, alors le plan d'action de sécurité doit inclure une proposition de recherche pertinente (zones à tester, problèmes à résoudre), notamment en termes d'effectif ou d'équipement requis.

Acceptation

La nature de certains risques, par exemple en cas de menaces liées à des catastrophes naturelles, rend impossible toute intervention préventive ou corrective efficace. Dès lors, l'équipe de sécurité n'a d'autre alternative que d'accepter le problème de sécurité. Il faut toutefois poursuivre le développement de mesures d'atténuation proactive ou de plans de secours réactifs. La surveillance d'un risque doit, en permanence, être associée à l'établissement de mesures de suivi et mobiliser les ressources appropriées.

Remarque : Accepter un risque ne signifie pas pour autant ne rien faire. Le plan d'action de sécurité de l'entreprise doit prévoir un document justifiant cette acceptation.

Élimination

Dans certains cas, il est possible de contrôler facilement un risque en modifiant l'étendue de l'évaluation, mesure qui vise à éliminer purement et simplement le risque (on parle également de technique d'évitement). Dans de tels cas, le plan d'action de sécurité doit stipuler clairement les raisons qui justifient pareille décision, alors que toute modification opérée au niveau de la conception ou de l'étendue nécessite la mise à jour du plan d'implémentation.

Transfert

Il est parfois possible de transférer la gestion d'un risque à une entité externe à l'entreprise :

·        une compagnie d'assurances ;

·        des consultants externes spécialisés ;

·        des services d'externalisation.

Il ne faut pas confondre transfert du risque et élimination du risque. En général, une stratégie de transfert génère de nouveaux risques qui exigent une gestion proactive, mais la menace est ramenée à un niveau plus acceptable. Ainsi, l'externalisation de l'infrastructure informatique permet de transférer les risques de l'équipe de sécurité vers des tiers, mais elle peut donner lieu à de nouveaux risques liés à la confidentialité des ressources.

Atténuation

L'atténuation du risque consiste à appliquer une mesure proactive destinée à prévenir l'occurrence du risque ou à en réduire l'impact ou les conséquences à un niveau acceptable. Le recours à l'atténuation dans le cadre de la gestion proactive du risque diffère de la technique d'évitement. L’atténuation vise en effet à prévenir les menaces et à les minimiser jusqu'à des niveaux acceptables, alors que l’évitement modifie l'étendue de l'évaluation pour empêcher l'exécution d'activités comportant un risque inacceptable.

Le principal objectif de l'atténuation du risque est de diminuer la probabilité d'occurrence d'une menace. Ainsi, une stratégie de mots de passe forts réduit la probabilité qu'un utilisateur externe découvre le mot de passe d'accès au système de paie.

Plan de secours

L'élaboration de plan de secours vise à créer un ou plusieurs plans de réponse aux incidents qu'il est possible d'activer en cas d'échec de la prévention d'une attaque. Il est judicieux de créer de tels plans pour tous les risques, même pour ceux qui sont couverts par des plans d'atténuation. La raison en est simple : quels que soient le nombre et la qualité des plans de sécurité proactifs mis en place, il est toujours possible de qu’une menace, une attaque ou une vulnérabilité inconnues endommagent une ressource.

Les plans de secours de sécurité doivent décrire les procédures à suivre si la menace se concrétise. Ils doivent prévoir les conséquences et les moyens de minimiser l'impact sur la ressource. L’équipe de sécurité doit créer des plans de réponse aux incidents et de reprise des activités de l'entreprise, afin de garantir une réaction efficace pendant et après l'attaque.

Vous pouvez établir des valeurs de déclenchement des plans de secours selon le type de menace, d'attaque ou de vulnérabilité rencontré. En matière de sécurité, le déclencheur est généralement un événement. En d'autres termes, vous devez disposer d'une méthode permettant de capturer cet événement et de signaler à l'équipe de gestion des incidents appropriée la nécessité de mettre en application des plans de secours.

Il existe deux types de déclencheurs de plan de secours :

·         Déclencheurs temporels. Ces déclencheurs reposent sur des dates, généralement la dernière date avant laquelle un événement doit avoir lieu. Les dates peuvent être définies en fonction de directives légales ou de règlements internes de l'entreprise stipulant les dates d'application de certaines mesures de sécurité.

·         Déclencheurs basés sur une valeur seuil. Ces déclencheurs sont fondés sur des valeurs qu'il est possible de mesurer ou de dénombrer. Ainsi, un événement d'audit capturé par un système de détection des intrusions peut justifier un examen particulier et l'activation éventuelle d'un plan de secours.

Afin d'éviter tout retard dans l'exécution des plans de secours, il est important que l'équipe de sécurité et les autres équipes de l'entreprise se mettent d'accord sur les déclencheurs et les unités de mesure pris en compte.

Calendrier des activités

La planification des activités de gestion et de contrôle du risque ne diffère pas de l'approche standard préconisée par le modèle MSF. L'équipe de sécurité doit comprendre que les activités de contrôle et de protection font partie intégrante de l'évaluation et de la gestion du risque.

Résultats

La mise au point d'un plan d'action de sécurité doit donner naissance à des plans de gestion de la sécurité proactifs et réactifs, fondés sur l'une des six approches décrites ci-dessus : recherche, acceptation, élimination, transfert, atténuation ou développement de plans de secours. Les tâches spécifiques liées à l'implémentation de ces plans de sécurité doivent être intégrées aux calendriers d'implémentation de sécurité standard. Si l'environnement technique fait l'objet de modifications, celles-ci doivent être documentées.

Le plan d'action et le calendrier doivent prendre en compte les ajustements apportés aux ressources engagées et leur portée. Ils doivent donner lieu à un ensemble de mesures de sécurité définissant les tâches individuelles des différents membres de l'équipe de sécurité. La liste des risques principale doit être mise à jour pour refléter les informations complémentaires ajoutées aux plans de secours proactifs (atténuation) et réactifs. Un document unique résumant les plans de gestion du risque, appelé formulaire de mesures de sécurité, peut être créé.

Mise à jour du calendrier et du plan d'implémentation de la sécurité

Un plan d'implémentation de la sécurité doit inclure des plans proactifs et réactifs. Lors de sa mise à jour, prenez en compte les éléments suivants :

·         ● Les conditions de risque, et notamment la probabilité d'occurrence et d’impact.
L'évolution des conditions (hausse de la probabilité de l'occurrence d'un risque ou diminution de son impact financier) exige la mise à jour du plan de gestion des risques.

·         ● L’efficacité des mesures d'atténuation.

L'équipe peut se rendre compte du manque d'efficacité de certaines mesures d'atténuation. C'est souvent le cas lorsque l'implémentation d'une stratégie technique provoque un conflit avec des processus métier. Il peut alors arriver que des employés contournent la stratégie technique.

·         ● L’efficacité des déclencheurs et des plans de secours.
 
Avec le temps, certains risques identifiés dans le plan de gestion des risques se concrétiseront. Après l'incident de sécurité, évaluez l'efficacité des plans de secours et des déclencheurs utilisés pour mettre en action les plans de réponse.

La surveillance des risques doit être effectuée de trois façons :

·         En temps réel. Utilisez des applications telles que des logiciels de détection des intrusions pour surveiller en permanence les ordinateurs et les périphériques du réseau et pour appliquer les décisions préalablement définies en fonction du risque.

·         Périodiquement. Évaluez le risque à intervalles réguliers, par exemple tous les deux mois ou tous les trimestres.

·         De façon ponctuelle. Évaluez le risque de façon ponctuelle, le plus souvent en réponse à un incident de sécurité majeur ou à une modification du réseau.


Développement de mesures de protection aux risques

L'élaboration de contre-mesures et de procédures d'exploitation est fondamentale pour la stratégie de sécurité de l'entreprise. Les risques peuvent être gérés de façon proactive, à l'aide d'un processus de renforcement de la sécurité des technologies ou par l'élaboration de stratégies au niveau de l'entreprise.

Il arrive souvent qu'une installation par défaut d'un système d'exploitation, d'une application ou d'une base de données possède des paramètres de sécurité insuffisants et ce, dans le but de simplifier le travail de l'administrateur informatique ou du développeur de logiciels. Avant un déploiement en environnement de production, ces technologies doivent faire l'objet d'un «  processus de renforcement de la sécurité ». Pour plus d'informations sur le renforcement de la sécurité des serveurs membres et de rôles de serveur spécifiques, reportez-vous au chapitre 6, «  Renforcement de la sécurité du serveur Windows 2000 de base » et au chapitre 7, «  Renforcement de la sécurité pour des rôles de serveur spécifiques », de ce guide.

Le renforcement de la sécurité du serveur peut inclure la suppression de certains paramètres de sécurité par défaut et de composants logiciels inutiles. Le personnel informatique doit également se tenir au courant des dernières attaques et vulnérabilités technologiques pour installer les versions les plus récentes des correctifs logiciels et de sécurité.

Le processus d'élaboration de la stratégie de sécurité implique par ailleurs le développement de systèmes, de stratégies et de procédures destinés à assurer le suivi des risques non réalisés et à créer des rapports connexes. Ces opérations permettent, d'une part, de s'assurer que les mesures préventives protégeant l'infrastructure technologique fonctionnent et, d'autre part, de vérifier l'efficacité des nouvelles procédures et stratégies.

Un système de création de rapports doit permettre de capturer les événements suspects ou les menaces potentielles qui exigent une attention immédiate. Outre le système automatisé de suivi des risques, vous pouvez également recourir à un processus de suivi manuel. Ce dernier permet à l'équipe de projet de corriger les plans pour qu'ils prennent en compte les nouveaux risques, le cas échéant.

Le suivi est la fonction de surveillance du plan d'action de sécurité. Il est indispensable à l'implémentation efficace de plans d'action. Par ailleurs, il garantit que les mesures préventives et les plans de secours sont appliqués dans les délais et dans les limites prévus. Au cours du suivi des risques, l'équipe se concentre essentiellement sur la surveillance des mesures de risque et sur la vérification du déclenchement des événements permettant la mise en œuvre des procédures de réponse prévues.

Objectifs

Le développement de mesures de protection a pour objectif de documenter les modifications architecturales requises, de même que tous les nouveaux processus et modifications dans les procédures.

Données requises

Le processus de développement de mesures de protection aux risques doit s'appuyer sur des plans de sécurité stipulant les mesures d'atténuation spécifiques et sur des plans de secours précisant les menaces, les attaques et les vulnérabilités auxquels l’entreprise est exposée. L'élaboration de mesures de protection nécessite également le développement de processus et de systèmes de surveillance des déclencheurs identifiés pour la mise en action des plans de secours.

Activités de développement

Les activités de développement du processus de protection sont similaires à celles d'un projet de déploiement d'infrastructure classique. Citons par exemple le développement de méthodes de gestion des modifications pour les correctifs système. Les modifications apportées à la conception de l'infrastructure doivent être documentées. De plus, les nouveaux impératifs de sécurité peuvent nécessiter certaines modifications dans les procédures et les stratégies. Au cours de ce processus, si de nouveaux systèmes sont mis en œuvre pour fournir des fonctionnalités de suivi et d'audit, leur conception et leur gestion doivent également être documentées.

Voici quelques exemples de projets pouvant s'accompagner de déclencheurs temporels et faire l'objet d'un suivi continu :

·        Les bulletins de sécurité stipulant des problèmes non résolus pour une application, un service ou un système d'exploitation ;

·        La moyenne des heures supplémentaires hebdomadaires enregistrées par les ingénieurs d'infrastructure ;

·        Le nombre de révisions des exigences ou de demandes de gestion des modifications par semaine.

Au cours de cette phase, il faut également développer des procédures de création de rapports sur l'état des risques. Les rapports sur les risques visent deux publics : l'équipe elle-même et le comité de projet (rapports externes).

Pour l'équipe de sécurité, les rapports réguliers sur l'état du risque doivent prendre en compte les quatre situations de gestion du risque suivantes, applicables à chaque risque :

·         Un risque est résolu, ce qui met un terme au plan d'action connexe. Tous les risques résolus doivent être documentés comme tels et archivés dans le plan d'action de sécurité. 

·         Les mesures prises contre le risque sont cohérentes et respectent le calendrier du plan de gestion des risques. 

·         Certaines actions ou mesures s'écartent des dispositions prévues dans le plan de gestion des risques, auquel cas il convient de définir et d'implémenter des mesures correctives. 

·         La situation relative à un ou plusieurs risques a changé considérablement. Le plan d'action doit par conséquent être reformulé.

Dans les rapports externes destinés au comité de projet et à d'autres parties prenantes du projet, l'équipe doit préciser les risques majeurs et résumer l'état des mesures de gestion. Il peut également être utile d'indiquer pour chaque risque le classement qu'ils occupaient précédemment et leur présence dans la liste des risques majeurs.

L'application de mesures de gestion des risques doit ramener l'exposition totale du projet à des niveaux acceptables.

Résultats

La phase de définition des mesures de protection doit avoir pour résultat la spécification de toutes les mises à jour de sécurité à appliquer à plusieurs niveaux :

·        La spécification fonctionnelle ;

·        Les procédures et stratégies d'exploitation ;

·        Les plans d'implémentation de sécurité mis à jour ;

·        Les calendriers d'implémentation de sécurité mis à jour.


Test des mesures de protection aux risques

Cette étape est conçue pour vérifier l'efficacité des plans de sécurité. L'équipe doit s'attacher à tester soigneusement les stratégies proactives et réactives (contre-mesures et procédures) pour déterminer l'efficacité du plan d'action de sécurité.

Pour mesurer l'efficacité des procédures, stratégies, contre-mesures récemment développées, vous devez examiner chacun des risques pour lesquelles elles sont conçues, puis tester la stratégie associée à chaque risque par rapport aux menaces, aux attaques, aux vulnérabilités et aux ressources présents dans l’entreprise.

En fonction des résultats des tests réalisés sur les mesures de protection, il peut être nécessaire de modifier le plan d'action de sécurité pour améliorer son efficacité, sa validité et la rapidité avec laquelle il permet de réagir aux événements déclencheurs.

Les résultats et les enseignements tirés de l'exécution des tests sont ensuite intégrés dans un document de test qui vient compléter la base de données de sécurité. Il est important de recenser autant d'informations que possible pendant les tests pour déterminer avec précision l'efficacité des plans.

Objectifs

Ce processus a pour objectif de tester l'efficacité des divers plans de sécurité que l'équipe de projet a mis au point pour les risques majeurs. Les plans d'action de sécurité doivent évaluer et tester les éléments suivants :

·         L’efficacité des plans d'atténuation et de secours ;

·         Les unités et valeurs de sécurité associées aux événements ou déclencheurs de plan de secours ;

·         Les contre-mesures technologiques, avec éventuellement une deuxième évaluation des vulnérabilités pour vérifier qu'elles ont été implémentées correctement.

Données requises

Ce processus de contrôle des risques doit s'appuyer sur les formulaires de mesures de sécurité détaillant les activités exécutées par les membres de l'équipe de projet pour pallier chaque problème de sécurité. Les résultats des tests doivent documenter l'efficacité des plans proactifs et réactifs pour déterminer s'ils sont adaptés aux exigences de sécurité.

Activités de tests

Les tests appliqués aux mesures de protection doivent évaluer l'efficacité de chaque contre-mesure et de chaque plan de réponse aux incidents élaborés. Il est important de tester régulièrement les mesures de protection pour détecter les risques secondaires susceptibles d'apparaître en raison de nouvelles contre-mesures.

Résultats

L'étape de test donne lieu à un document de résultats, ou base de données de problèmes, qui permet de documenter plus facilement l'état d'avancement de l'implémentation des plans d'action de sécurité de l'entreprise. Il est également utile que l'équipe chargée des tests résume les stratégies de sécurité qui ont et n'ont pas fonctionné, ainsi que l'efficacité des nouvelles procédures et stratégies.


Collecte d’informations en matière de sécurité

Les connaissances acquises au cours des processus d'évaluation et d'implémentation de la sécurité doivent être collectées à des fins d'utilisation ultérieure. Cette sixième et dernière phase du processus d'évaluation des risques est importante, dans la mesure où elle ajoute une perspective stratégique, à l'échelle de l'entreprise ou de l'entreprise, aux activités de gestion des risques.

Il est capital de réunir des informations sur les contre-mesures, les stratégies et les procédures développées pendant cette évaluation, qui pourront être réutilisées par d'autres équipes de projet. Les futures initiatives liées au domaine de l'informatique pourront s'appuyer sur ces informations , de façon à garantir que les nouvelles solutions implémentées soient sécurisées.

Les connaissances acquises lors de l'évaluation du risque doivent être enregistrées au moment opportun, afin de fournir les informations les plus récentes. La collecte des informations en matière de sécurité s'articule autour de trois objectifs clés :

·         ● Recueillir les expériences, spécialement quant à l'identification des risques et aux stratégies d'atténuation efficaces, à l'intention d'autres équipes. Ce processus participe à l'élaboration d'une base de données sécurité.

·         ● Améliorer la rapidité de réaction de l'entreprise par l'application de plans de réponse aux incidents et sa capacité à réutiliser ceux-ci dans d'autres domaines. 

·         ● Optimiser le processus d'évaluation du risque par la collecte des commentaires et des remarques de l'équipe.

Collecte d’informations sur les risques

La classification des risques est très utile car elle permettra aux futures équipes chargées de l'évaluation des risques de tirer profit de l’expérience de leurs prédécesseurs. La liste suivante répertorie trois aspects clés des informations recueillies, souvent enregistrées à l'aide des classifications de risques suivantes :

1.    Nouveaux risques. Si une équipe rencontre un problème non signalé comme un risque, elle doit rechercher ses éventuels signes annonciateurs (menaces, attaques, vulnérabilités ou autres indicateurs). Il est possible que les listes de risques existantes doivent être mises à jour. Par ailleurs, l'équipe a peut-être identifié un nouveau risque. Il devra être ajouté à la base de données sécurité. 

5.    Stratégies d'atténuation efficaces. Vous devez réunir des données sur les stratégies qui sont parvenues à atténuer les risques et celles qui ont échoué. Le recours à une classification des risques standard permet de regrouper les risques apparentés. De cette façon, les équipes disposent des informations sur les stratégies de gestion du risque couronnées de succès.

6.    Stratégies de secours efficaces. Si un plan de secours parvient à protéger efficacement une ressource face à un type de vulnérabilité spécifique, il peut contribuer à la protection d'une autre ressource.

Gestion des informations recueillies en matière de risques

Les entreprises faisant appel à des techniques de gestion du risque se rendent généralement compte de la nécessité d'établir une approche structurée pour cette gestion. Pour y parvenir plus facilement, les trois conditions suivantes doivent être réunies :

1.    La responsabilité doit être partagée entre les membres de l'équipe, en attribuant à chacun la propriété de zones de classification spécifiques des risques, avec autorisation d y 'apporter des modifications. La décision d'attribuer la propriété à l'un ou l'autre dépend du type de ressource et de sa classification.

2.    Il faut trouver le bon compromis entre, d'une part, les classifications des risques et le besoin de contre-mesures complètes et, d'autre part, la complexité et la convivialité. La création de différentes classes de risques pour des types de projet différents peut simplifier l'utilisation du système.

3.    Il est important que la base de données sécurité prenne en compte les classifications, définitions et tests des risques, les critères d'efficacité du suivi et l’unité de valeur utilisée pour capturer l'expérience acquise quant à l'application des nouvelles mesures de sécurité.

Classifications des risques en fonction du contexte

L'identification du risque peut être affinée pour développer des classifications destinées à des implémentations de solutions spécifiques. Par exemple, dans un projet de développement d'application, il peut exister des classes de risques spécifiques, différentes de celles d'un projet de déploiement d'infrastructure. À mesure que l'équipe gagne en expérience, les stratégies et procédures de sécurité peuvent être affinées et associées à des stratégies d'atténuation efficaces.

Base de données sécurité

La base de données sécurité permet d'archiver de manière formelle ou informelle les connaissances acquises, de façon à faciliter les évaluations ultérieures des risques. Les entreprises qui en sont dépourvues peuvent éprouver certaines difficultés à adopter une approche proactive de la gestion du risque.

Si la base de données sécurité contient un ensemble connu de menaces, d’attaques et de vulnérabilités, il est plus facile d'élaborer un plan d'atténuation pour les contrer. Elle diffère de la base de données de gestion du risque, utilisée pour garantir le stockage et le suivi d'éléments relatifs aux risques individuels, des plans et de l'état des risques.

Développement de la gestion des connaissances en matière de risques

La base de données des risques est un élément moteur pour améliorer continuellement la gestion du risque.

Dans un premier temps, il est probable que les équipes chargées des processus et du projet de sécurité ne disposeront pas d'une base de données. Elles partent de zéro chaque fois qu'elles entreprennent une évaluation du risque. Dans cet environnement, l'approche privilégiée pour la gestion du risque est généralement réactive. Elle intervient après une violation de la sécurité ou un événement quelconque. Dans cette situation, l'entreprise a pour objectif de passer au niveau supérieur dans la gestion active du risque.

Par la suite, l'entreprise disposera probablement d'une base de données de sécurité informelle. Celle-ci est alimentée par les connaissances implicites acquises par des membres de l’équipe sécurité qui sont spécialisés dans les problèmes de sécurité liés aux personnes, aux processus ou aux technologies ou qui les maîtrisent correctement. La mise en place d'un comité de sécurité facilite souvent le processus. Cette approche encourage une gestion active de l'évaluation des risques et peut mener à une gestion proactive par l'introduction de stratégies de sécurité.

Il est possible d'atteindre le premier niveau de développement de la base de données par l'élaboration d'une approche mieux structurée d'identification des risques. La capture et l'indexation normalisées des problèmes de sécurité facilitent leur gestion proactive à mesure que leurs causes sous-jacentes sont identifiées.

Enfin, l'expérience permettra aux entreprises d'enregistrer non seulement les indicateurs probablement à l'origine des risques, mais aussi les stratégies adoptées pour les gérer et leur taux de réussite. Avec une base de données de ce type, les étapes d'identification et de planification des risques peuvent être fondées sur l'expérience partagée par de nombreuses équipes. De plus, l’entreprise peut ainsi optimiser les coûts de la gestion du risque.

Dans le cadre de l'implémentation d'une base de données des risques, l'expérience a démontré plusieurs choses :

·         La valeur de cette base de données augmente à mesure que les tâches se répètent (par exemple, une concentration sur d'autres projets qui ont un impact sur la sécurité ou des processus d'exploitation permanents).

·         Lorsque l'entreprise procède à un examen de sécurité similaire, il est plus facile de gérer une base de données simple.

·          La gestion du risque ne doit pas devenir un processus automatique. Même dans des situations répétitives, l'environnement commercial, les talents des pirates informatiques et la technologie sont toujours différents. L'équipe de sécurité doit déterminer les stratégies de gestion du risque adaptées à son environnement en fonction de divers critères, tels que les personnes, les processus et la technologie en place.

Résumé

Dans ce chapitre, vous avez découvert des pratiques éprouvées tirées de processus et de méthodes d'analyse de la sécurité des modèles MSF et MOF. Il décrit en détail les processus utilisés dans la gestion du risque pour déterminer le coût de la protection des ressources de l'entreprise. Enfin, il explique les étapes nécessaires pour former une équipe de sécurité responsable de la création et de l'exécution de plans d'action de sécurité visant à prévenir les attaques contre votre environnement ou à y faire face le cas échéant.

Informations complémentaires

Informations sur le modèle MSF : http://www.microsoft.com/business/services/mcsmsf.asp (en anglais)

Informations sur le modèle MOF : http://www.microsoft.com/business/services/mcsmof.asp (en anglais)

Informations sur les délits informatiques : http://www.gocsi.com/press/20020407.html (en anglais) 

Informations sur l'évaluation des menaces : article «  Threat Assessment of Malicious Code and Human Threats », de Lawrence E. Bassham et W. Timothy Polk (National Institute of Standards and Technology Computer Security Division), accessible à l'adresse http://csrc.nist.gov/ (en anglais)

Informations sur les meilleures pratiques en matière de sécurité informatique : http://www.iso-17799.com/ (en anglais)

Informations sur le piratage : http://www.hackingexposed.com/ (en anglais)

Informations sur les menaces posées à la sécurité sur le site Microsoft TechNet :

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bestprac/bpent/sec1/secthret.asp / (en anglais)

Informations sur la valorisation des ressources, sur le site du National Institute of Standards and Technology :

http://csrc.nist.gov/asset/ (en anglais)