Comment réaliser une évaluation des risques informatiques

La cybersécurité consiste à comprendre, gérer, contrôler et atténuer les risques qui pèsent sur les actifs critiques de votre organisation. Que cela vous plaise ou non, si vous travaillez dans le domaine de la sécurité, vous vous occupez de gestion des risques.

Pour commencer à évaluer les risques de sécurité informatique, vous devez répondre à trois questions importantes :

  1. Quels sont les actifs informatiques critiques de votre organisation ? Autrement dit, quelles sont les données dont l’exposition aurait un impact majeur sur les activités de votre entreprise ?
  2. Quels sont les cinq principaux processus métier qui utilisent ou requièrent ces informations ?
  3. Quelles menaces peuvent perturber ces fonctions métier ?

Une fois que vous savez ce que vous devez protéger, vous pouvez commencer à élaborer des stratégies. Mais avant de consacrer un euro de votre budget ou une heure de votre temps à mettre en œuvre une solution de réduction des risques, vous devez être en mesure de répondre aux questions suivantes :

  • Quel risque réduisez-vous ?
  • S’agit-il du risque de sécurité le plus prioritaire ?
  • Le réduisez-vous de la manière la plus rentable qui soit ?

Ces questions touchent au cœur du problème : le risque lui-même.

Qu’est-ce que le risque ?

Le risque est un concept économique – la probabilité de pertes financières pour l’organisation est-elle élevée, moyenne, faible ou nulle ? Trois facteurs entrent en ligne de compte dans la détermination du risque : la nature de la menace, la vulnérabilité du système et l’importance de l’actif qui pourrait être endommagé ou rendu indisponible. Le risque peut donc être défini de la manière suivante :

Risque = Menace x Vulnérabilité x Actif

Le risque est ici représenté par une formule mathématique, pourtant il ne s’agit pas de chiffres, mais d’un concept logique. Supposons, par exemple, que vous souhaitiez évaluer le risque associé à une menace de piratage qui compromettrait un système particulier. Si votre réseau est très vulnérable (peut-être parce que vous n’avez ni pare-feu ni solution antivirus), et que l’actif est critique, votre risque est élevé. Mais si vous avez de bonnes défenses périmétriques et que votre vulnérabilité est faible, même si l’actif est critique, votre risque est moyen.

Vous devez garder à l’esprit deux principes :

  • Tout ce qui est multiplié par zéro est égal à zéro. Si l’un des facteurs est nul, même si les autres facteurs sont élevés ou critiques, votre risque est nul.
  • Le risque implique une incertitude. Si quelque chose doit obligatoirement arriver, il ne s’agit pas d’un risque.

Voici quelques manières courantes de subir des dommages financiers :

  • Perte de données. Le vol de secrets commerciaux peut vous faire perdre des marchés au profit de vos concurrents. Le vol d’informations clients peut entraîner une perte de confiance et une érosion de la clientèle.
  • Interruption du système ou des applications. Si un système ne remplit pas sa fonction première, il est possible que les clients ne soient pas en mesure de passer des commandes, que les employés ne soient pas en mesure de faire leur travail ou de communiquer, etc.
  • Conséquences juridiques. Si quelqu’un vole des données dans l’une de vos bases de données, même si ces données ne sont pas particulièrement précieuses, vous pouvez encourir des amendes et d’autres frais juridiques parce que vous n’avez pas respecté les exigences de sécurité HIPAA, PCI DSS ou d’autres normes relatives à la protection des données.

Penchons-nous maintenant sur la procédure d’évaluation des risques informatiques.

Étape 1 : Identifier et classer par ordre de priorité les actifs

Les actifs comprennent les serveurs, les coordonnées des clients, les documents sensibles des partenaires, les secrets commerciaux, etc. Rappelez-vous que ce que vous estimez précieux en tant que technicien n’est peut-être pas ce qui est réellement le plus précieux pour l’entreprise. Vous devez donc établir une liste de tous les actifs de valeur en collaboration avec les utilisateurs et la direction de l’entreprise. Pour chaque actif, recueillez les informations suivantes, selon le cas :

  • Logiciels
  • Matériel
  • Données
  • Interfaces
  • Utilisateurs
  • Personnel d’assistance
  • Mission ou but
  • Criticité
  • Exigences fonctionnelles
  • Politiques de sécurité informatique
  • Architecture de sécurité informatique
  • Topologie du réseau
  • Protection du stockage des informations
  • Flux d’information
  • Contrôles de sécurité technique
  • Environnement de sécurité physique
  • Sécurité environnementale

Comme la plupart des organisations disposent d’un budget limité pour l’évaluation des risques, vous devrez probablement limiter la portée du projet aux actifs essentiels à la mission. De ce fait, vous devez définir une norme pour déterminer l’importance de chaque actif. Les critères habituels comprennent la valeur monétaire des actifs, leur statut juridique et leur importance pour l’organisation. Une fois la norme approuvée par la direction et intégrée officiellement à la politique de sécurité d’évaluation des risques, utilisez-la pour classer chaque actif que vous avez identifié comme critique, majeur ou mineur.

Étape 2 : Identifier les menaces

Une menace est tout ce qui peut exploiter une vulnérabilité pour enfreindre la sécurité et porter préjudice à votre organisation. Les pirates informatiques et les logiciels malveillants viennent spontanément à l’esprit, mais il existe de nombreux autres types de menaces :

  • Catastrophes naturelles. Les inondations, les ouragans, les tremblements de terre, les incendies et d’autres catastrophes naturelles peuvent être plus destructeurs qu’un pirate informatique. Vous pouvez non seulement perdre des données, mais aussi vos serveurs et vos équipements. Au moment de décider où héberger vos serveurs, pensez aux risques de catastrophe naturelle. Par exemple, n’installez pas votre salle de serveurs au rez-de-chaussée dans une région qui présente un risque élevé d’inondation.
  • Défaillance du système. La probabilité d’une défaillance du système dépend de la qualité de vos ordinateurs. Pour un équipement relativement neuf et de haute qualité, le risque de défaillance du système est faible. Mais si l’équipement est ancien ou s’il provient d’un fournisseur inconnu, le risque de défaillance est beaucoup plus élevé. Il est donc sage d’acheter du matériel de haute qualité, ou du moins assorti d’un bon support.
  • Interférence humaine accidentelle. Cette menace est toujours élevée, quelle que soit votre activité. N’importe qui peut commettre des erreurs comme supprimer accidentellement des fichiers importants, cliquer sur des liens de logiciels malveillants ou endommager physiquement, par accident, un appareil. Vous devez donc sauvegarder régulièrement vos données, y compris les paramètres système, les listes de contrôle d’accès et autres informations de configuration, et surveiller attentivement toutes les modifications apportées aux systèmes essentiels.
  • Humains malveillants. Il existe trois types de comportements malveillants :
    • L’interférence : quelqu’un cause des dommages à votre entreprise en supprimant des données, en créant un déni de service distribué (DDoS) contre votre site Web, en volant physiquement un ordinateur ou un serveur, etc.
    • L’interception : un piratage classique, quelqu’un vole vos données.
    • L’usurpation d’identité : une utilisation abusive des identifiants de quelqu’un d’autre, souvent acquis via des attaques d’ingénierie sociale ou des attaques par force brute, ou encore achetés sur le dark Web.

Étape 3 : Identifier les vulnérabilités

Troisièmement, vous devez repérer les vulnérabilités. Une vulnérabilité est une faiblesse qu’une menace peut exploiter pour enfreindre la sécurité et nuire à votre entreprise. Les vulnérabilités peuvent être identifiées au moyen d’analyses des vulnérabilités, de rapports d’audit, de la base de données du NIST sur les vulnérabilités, des données des fournisseurs, des équipes d’intervention en cas d’incident affectant les ordinateurs commerciaux et des analyses de sécurité logicielle système.

Effectuer des tests sur le système informatique contribue également à identifier les vulnérabilités. Les tests peuvent inclure :

  • Procédures de tests et d’évaluation de la sécurité informatique (ST&E)
  • Techniques de tests de pénétration
  • Outils d’analyse automatisée des vulnérabilités

Vous pouvez réduire les vulnérabilités qui concernent vos logiciels et gérant correctement les correctifs. Mais ne négligez pas les vulnérabilités physiques. Par exemple, en déménageant votre salle de serveurs au premier étage du bâtiment, vous réduisez considérablement votre vulnérabilité aux inondations.

Étape 4 : Analyser les contrôles

Analysez les contrôles en place ou planifiés, pour minimiser ou supprimer la possibilité qu’une menace exploite une vulnérabilité du système. Des contrôles peuvent être mis en œuvre par des moyens techniques, tels que du matériel ou des logiciels informatiques, le chiffrement, des mécanismes de détection d’intrusion et des sous-systèmes d’identification et d’authentification. Les contrôles non techniques comprennent les politiques de sécurité, les mesures administratives et les mécanismes physiques et environnementaux.

Les contrôles techniques et non techniques peuvent tous deux être classés comme contrôles préventifs ou de détection. Comme leur nom l’indique, les contrôles préventifs ont pour but d’anticiper et d’arrêter les attaques. Parmi les contrôles techniques préventifs, mentionnons les dispositifs de chiffrement et d’authentification. Les contrôles de détection servent à découvrir des attaques ou des événements par des moyens tels que les pistes d’audit et les systèmes de détection d’intrusion.

Étape 5 : Déterminer la probabilité d’un incident

Évaluez la probabilité qu’une vulnérabilité soit effectivement exploitée, en tenant compte du type de vulnérabilité, des capacités et de la motivation de la source de menace, ainsi que de l’existence et de l’efficacité de vos contrôles. De nombreuses organisations utilisent les catégories élevée, moyenne et faible plutôt qu’une note chiffrée pour évaluer la probabilité d’une attaque ou d’un autre événement malencontreux.

Étape 6 : Évaluer l’impact potentiel d’une menace

Une analyse d’impact doit inclure les facteurs suivants :

  • La mission du système, y compris les processus mis en œuvre par le système
  • La criticité du système, déterminée par sa valeur et celle des données pour l’organisation
  • La sensibilité du système et de ses données

Les informations nécessaires à une analyse d’impact – y compris une analyse d’impact sur les activités (ou rapport d’analyse d’impact sur la mission) – peuvent être trouvées dans la documentation organisationnelle existante. Une analyse d’impact sur les activités utilise des moyens quantitatifs ou qualitatifs pour déterminer l’impact de dommages ou préjudices causé aux actifs informatiques de l’organisation.

Une attaque ou un événement malencontreux peuvent compromettre la confidentialité, l’intégrité et la disponibilité du système d’information. Comme pour la probabilité d’une attaque ou d’un événement malencontreux, l’impact sur le système peut être évalué de manière qualitative comme élevé, moyen ou faible.

Les aspects supplémentaires suivants doivent être inclus dans l’analyse d’impact :

  • La fréquence annuelle estimée de l’exploitation d’une vulnérabilité par la menace
  • Le coût approximatif de ces événements
  • Un facteur de pondération basé sur l’impact relatif d’une vulnérabilité spécifique exploitée par une menace spécifique

Étape 7 : Classer par ordre de priorité les risques de sécurité informatique

Pour chaque couple menace/vulnérabilité, déterminez le niveau de risque pour le système informatique, d’après les facteurs suivants :

  • La probabilité que la menace exploite la vulnérabilité
  • L’impact de l’exploitation de la vulnérabilité par la menace
  • L’adéquation des contrôles de sécurité existants ou planifiés visant à supprimer ou à réduire les risques pour le système informatique

La matrice des risques est un outil très utile pour estimer les risques selon ces critères. Une forte probabilité de menace correspond à une note de 1,0 ; une probabilité moyenne à 0,5 et une probabilité faible à 0,1. De même, un impact élevé correspond à une valeur 100, un impact moyen à 50 et un impact faible à 10. Le risque se calcule en multipliant la valeur de probabilité de menace par la valeur d’impact, et il est classé comme élevé, moyen ou faible selon le résultat.

Étape 8 : Recommander des contrôles

En vous basant sur le niveau de risque, déterminez les mesures que doivent prendre la direction et les autres responsables afin d’atténuer le risque. Voici quelques directives générales pour chaque niveau de risque :

  • Élevé – Il faut élaborer dès que possible un plan de mesures correctives.
  • Moyen – Il faut élaborer dans un délai raisonnable un plan de mesures correctives.
  • Faible – L’équipe doit choisir entre accepter le risque ou adopter des mesures correctives.

Lorsque vous examinez les contrôles visant à atténuer chaque risque, n’oubliez pas de prendre en compte les aspects suivants :

  • Politiques organisationnelles
  • Analyse coût-avantage
  • Impact opérationnel
  • Faisabilité
  • Réglementations en vigueur
  • Efficacité globale des contrôles recommandés
  • Sécurité et fiabilité

Étape 9 : Documenter les résultats

La dernière étape du processus d’évaluation des risques consiste à produire un rapport d’évaluation des risques sur lequel la direction pourra s’appuyer pour prendre les bonnes décisions à propos du budget, des politiques, des procédures, etc. Ce rapport doit décrire, pour chaque menace, les vulnérabilités correspondantes, les actifs à risque, l’impact sur l’infrastructure informatique, la probabilité d’occurrence et les recommandations de contrôle. Voici un exemple très simple :

MenaceVulnérabilitéActifImpactProbabilitéRisqueRecommandations de contrôle
Défaillance système – Surchauffe dans la salle de serveurs
ÉLEVÉE
Le système de climatisation a dix ans
ÉLEVÉE
Serveurs
CRITIQUE
Tous les services (site Web, messagerie, etc.) seront indisponibles pendant au moins trois ans
CRITIQUE
ÉLEVÉE
La température de la salle de serveurs est de 40 °C
ÉLEVÉ
Perte potentielle de 45 000 € par occurrence
Achat d’un nouveau climatiseur 2 700 €
Attaque DDoS par des humains malveillants (interférence)
ÉLEVÉE
Le pare-feu est correctement configuré et dispose d’une bonne atténuation des attaques DDoS
FAIBLE
Site Web
CRITIQUE
Les ressources du site Web seront indisponibles
CRITIQUE
MOYENNE
Une attaque DDoS est découverte tous les deux ans
MOYEN
Perte potentielle de 8 900 € par heure d’indisponibilité
Surveiller le pare-feu
Catastrophes naturelles – inondation
ÉLEVÉE
La salle de serveurs se trouve au deuxième étage
FAIBLE
Serveurs
CRITIQUE
Tous les services seront indisponibles
CRITIQUE
FAIBLE
La dernière inondation a eu lieu dix ans auparavant dans la région
FAIBLEAucune action requise
Interférence humaine accidentelle – suppressions accidentelles de fichiers
ÉLEVÉE
Les autorisations sont correctement configurées, un logiciel d’audit informatique est en place, des sauvegardes sont réalisées régulièrement
FAIBLE
Fichiers sur un partage de fichiers
MOYEN
Des données critiques seront peut-être perdues, mais pourront presque certainement être restaurées depuis une sauvegarde
FAIBLE
MOYENNEFAIBLEContinuer à surveiller les modifications apportées aux autorisations, les utilisateurs privilégiés et les sauvegardes

Vous pouvez utiliser votre rapport d’évaluation des risques pour identifier les étapes correctives clés qui réduiront de multiples risques. Par exemple, des sauvegardes régulières vers un stockage hors site atténuent le risque de suppression accidentelle de fichiers et en même temps le risque d’inondation. Chacune de ces étapes a un coût et doit comporter un réel avantage en matière de réduction des risques. Considérez les motifs opérationnels et commerciaux de chaque mesure d’amélioration.

En suivant ce processus, vous vous ferez une meilleure idée du fonctionnement de l’entreprise, de son infrastructure, et des améliorations possibles. Vous pouvez ensuite créer une politique d’évaluation des risques définissant ce que l’organisation doit périodiquement effectuer (chaque année dans de nombreux cas), comment les risques doivent être traités et atténués (par exemple, un seuil minimal acceptable de vulnérabilité) et comment effectuer des évaluations ultérieures pour les composantes d’infrastructure informatique et autres ressources.

Gardez toujours à l’esprit que les processus d’évaluation des risques de sécurité informatique et de gestion des risques d’entreprise sont le cœur même de la cybersécurité. Ce sont ces processus qui établissent les règles et les lignes directrices de toute la gestion de la sécurité informatique, qui répondent aux menaces et aux vulnérabilités susceptibles de causer un préjudice financier à l’entreprise et qui déterminent les mesures pour les atténuer.

Checklist gratuit d\\\\\\\'évaluation des risques informatiques