Les analyses de risques apparaissent souvent comme des « monstres » de papiers bourrés de tableaux dont peu veulent assumer la charge. Décriées pour leurs aspects très analytiques, on remarque que faire le choix de telles ou telles menaces, ou encore, adopter une échelle de besoins est souvent vécu comme un jeu arbitraire. Ajoutez à cela que beaucoup raillent les analyses de risques parce qu’elles mobilisent des ressources importantes pour une simple photographie, dont le périmètre peut changer dans la seconde d’après. A quoi tout cela peut-il servir, en dehors d’obligations réglementaires ?

Au-delà de l’intérêt capital d’une analyse de risques, que Stelau Conseil ne reprécise pas ici, il nous paraît important de dire qu’une analyse de risques et par extension la politique de sécurité qui en découlerait, est plus facile à réaliser que l’on ne l’imagine. Notre conviction se fonde sur la diversité des analyses que Stelau mène auprès de différents clients.

Rappel de l’objectif d’une analyse de risques … facile ou pas :

Obtenir une évaluation précise, méthodique et reproductible des risques pesant sur le système d’information. Cette noble ambition doit cependant être complétée par un « travail » approfondi des risques qui est aussi une question de choix et de responsabilité.

Basée sur une étude approfondie des différentes méthodes d’analyse de risques, aussi bien qualitatives que quantitatives, reconnues en France et à l’international (EBIOS de la DCSSI, SP800-30 du NIST, OCTAVE du SEI, MEHARI du CLUSIF, ISO/IEC 27005), Stelau Conseil a développé un savoir-faire reconnu dans l’estimation, l’évaluation et le traitement des risques liés à la Sécurité des Systèmes d’Information.

Généralement décomposé comme le produit de la probabilité d’occurrence d’une menace par son impact sur le système, le risque est une composante à géométrie variable et fortement dépendante du système d’information étudié.

Malgré cette forte adhérence au système considéré, la méthode d’analyse de risques doit permettre, par une appréciation méthodologique et reproductible, d’aboutir à la formalisation et à l’évaluation de risques comparables selon les différents auditeurs. Cette caractéristique du risque, impose rigueur et méthode afin d’assurer la précision et la pérennité de la gestion des risques du système d’information.

Au delà de la méthode, la définition du périmètre de l’analyse de risques et l’identification des informations et des processus essentiels est LA phase la plus critique de la démarche (souvent incluse dans une sous-partie de l’analyse de risques appelée « Etude de Contexte ») :

• Ignorer des actifs volontairement ou en omettre par erreur :
  c’est l’objectif même de l’analyse qui s’en voit impacté et dégradé ;
• Surestimer la valeur d’un actif et l’inclure dans le périmètre :
  l’analyse perd en pertinence et son coût augmente au détriment du travail général.

Informations
essentielles
supplémentaires
et/ou surestimées

Entitées
sous-jacentes

Vulnérabilité
et menaces

Risques

En effet, pour chaque actif retenu et selon le degré de profondeur de l’analyse, le nombre de vulnérabilités, de menaces et de risques induits pourra rapidement augmenter. Stelau Conseil considère que la charge de travail augmente d’un facteur 10 à chaque étape selon le type d’entité ainsi que son exposition naturelle.

Ainsi, à partir des documentations du système d’information analysé et des entretiens des acteurs du système, du management à l’utilisateur final, nos consultants s’évertuent à déterminer avec précision les informations et les processus essentiels (les actifs) qui servent de base à la suite de l’analyse. Cette étape est donc la plus importante. C’est ici que Stelau Conseil précise une partie importante de son savoir-faire : pour arriver à bien identifier les éléments essentiels d’une structure ou d’un système il faut la (le) démonter entièrement pour en découvrir le cœur et n'en conserver que le constitutif. Un des exemples les plus connus de ce travail concerne les « services de paie » qui, si vous posez la question, font immanquablement partie des éléments très essentiels aux yeux des interrogés. Vrai ou faux ? En continuité d’activité on vous dira que non, en sécurité de l’information peut-être !

Une fois le périmètre stabilisé et validé, une étude des menaces doit être menée afin de sélectionner les sources des menaces (agents menaçants), les vulnérabilités des entités et les méthodes d’attaques pertinentes pour le système en cours d’analyse. Cette étude des menaces servira de socle à l’étude des risques et permettra de répondre de façon concise aux trois questions suivantes :
« qui ? quoi ? et comment ? ».


La suite de la démarche s’appuie dans un premier temps sur l’estimation des risques dans l’absolu, afin d’en vérifier la cohérence et la complétude, puis dans un second temps, sur leurs évaluations par rapport aux mesures de protections en place précédemment à l’analyse. Cette phase permet de dresser une cartographie précise des risques pesant réellement sur le système d’information. Par la suite, la phase de traitement des risques s’organise autour des différentes possibilités suivantes :

• Refuser le risque, impliquant généralement une remise en cause d’une partie du système d’information ;
• Réduire (mitiger) le risque, par l’application de mesures de sécurité adéquates, et en accepter la partie résiduelle ;
• Transférer le risque vers un tiers, le plus souvent à un assureur ;
• Assumer le risque (parfois également nommé « accepter », ... un dangereux anglicisme provenant « d’acceptance »).

Il est inutile, voir dangereux, de chercher à atteindre le risque nul. La prise en charge et la responsabilité des risques résiduels doit être approuvée par la direction. Cet acte doit sceller l’analyse de risques et en assurer la légitimité afin qu'elle puisse servir de base à l’ensemble du référentiel documentaire de sécurité, dont la PSSI est l’un des composants majeurs.
Si on ne peut pas atteindre le risque zéro, en revanche il est primordial de ne pas omettre d'éléments essentiels, ou peut-être pire, de retenir et donc de protéger des biens inutiles.