–> Analyse des risques
Tel que dit précédemment, la sécurité informatique est un sujet extrêmement complexe ; elle doit s’engager à de nombreux niveaux et dans la majorité des cas, le maillon faible c’est l’humain … c’est à dire l’utilisateur …
Dans cette page, nous allons plus particulièrement regarder « l’analyse des risques ». En effet, afin d’élaborer un niveau de sécurité cohérent, il faut connaitre les risques encourus. Facile à dire mais beaucoup plus complexe à réaliser…
Une analyse de risques est utilisée comme première étape d’un processus d’évaluation des risques. Le résultat d’une analyse des dangers est l’identification de différents types de dangers. Un danger est une condition potentielle et existe ou non.
Comment fait-on une analyse des risques ?
Une bonne démarche d’analyse de risques se réalise généralement en cinq étapes distinctes :
– Identifier les risques.
– Évaluer leur gravité.
– Évaluer la probabilité de survenance.
– Identifier les points critiques.
– Identifier les moyens et processus d’action et de prévention.
Il existe différentes approches et différentes méthodes pour analyser les risques. A titre d’exemple, je vais m’appuyer ici sur la méthode EBIOS que je vais présenter brièvement.
La méthode EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité) est une méthode d’évaluation des risques en informatique, développée en 1995 par la Direction centrale de la sécurité des systèmes d’information (SSI) et maintenue par l’Agence nationale de la sécurité des systèmes d’information (ANSSI) qui lui a succédé en 2009.
Bien entendu, cette méthode a connu différentes évolutions pour répondre aux nouveaux risques apparaissant.
L’ANSSI a fait évoluer sa méthode initiale en tenant compte des nombreux retours d’expérience tout en faisant converger concepts et normes internationales relatives au système de management de la sécurité de l’information.
Tel que précisé par l’ANSSI, il s’agit d’une démarche collaborative et agile La nouvelle méthode d’analyse de risques EBIOS Risk Manager est un outil pratique, pédagogique et collaboratif pour intégrer le numérique dans le management des risques. EBIOS Risk Manager est une méthode conçue pour être éprouvée, améliorée et discutée.
Vous trouverez de nombreuses informations sur le site officiel : https://cyber.gouv.fr/la-methode-ebios-risk-manager
La méthode s’effectue sur 5 ateliers et l’appréciation des risques par scénarios se concentre sur les menaces intentionnelles et ciblées.
Les 5 ateliers sont les suivants :
– Cadrage et socle de sécurité
– Sources de risques
– Scénarios stratégiques
– Scénarios opérationnels
– Traitement du risque
EBIOS Risk Manager offre une compréhension et une responsabilité partagées des risques numériques entre décideurs et les acteurs opérationnels.
L’objectif est de permettre aux dirigeants d’appréhender correctement ces risques, au même titre que d’autres de nature stratégique, financière, juridique, d’image, de ressources humaines, …
Pour plus d’informations :
– La méthode EBIOS Risk Manager (le guide) : https://cyber.gouv.fr/sites/default/files/document/20240326_np_anssi_guide_ebios_fr_final_web.pdf
– EBIOS, le supplément (fiches méthodes) : https://cyber.gouv.fr/sites/default/files/2018/10/fiches-methodes-ebios_projet.pdf