Idenfier les dommages qui peuvent affecter le si
L’analyse des risques liés au système d’information est une étape importante de la stratégie de sécurité, qui permet ensuite d’ajuster les moyens de protection aux enjeux.
- Identifier les différentes menaces portant sur le système d’information
- Évaluer l’impact de ces menaces sur l’entreprise
- Prioriser ces menaces
- Délimiter le contexte
- Définir une échelle commune de mesure du risque
- Être exhaustif dans l’analyse
Le système d’information est exposé à un certain nombre de menaces. En raison de son rôle stratégique pour les entreprises, il doit être protégé par une stratégie de sécurité adaptée, comme spécifié par la norme ISO 27001. La première étape pour établir cette stratégie est d’évaluer avec précision le niveau de risque. Pour cela, il existe plusieurs méthodes, dont EBIOS, établie par l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI), ou MEHARI, établie par le CLUSIF.
Avant tout, commencez par bien délimiter le contexte : le périmètre, les enjeux et les contraintes auxquels doit faire face l’entreprise.
Ensuite, l’analyse doit se concentrer sur quatre facteurs :
- La présence d’une source de menaces : facteurs humains (intentionnels ou non), environnementaux, pannes, etc.
- La vraisemblance de la menace : quelle est la probabilité qu’elle survienne ?
- L’existence de vulnérabilités : quelle est l’exposition de l’entreprise face à telle ou telle menace ?
- L’impact potentiel de cette menace : comment estimer les dommages pour l’entreprise ?
Pour évaluer les dommages possibles, vous devez recenser les biens en possession de l’entreprise (matériels comme immatériels) mais aussi ceux fournis par des tiers et dont elle dépend, comme l’accès Internet ou l’hébergement. Les biens matériels peuvent être les équipements informatiques (terminaux, réseau), mais aussi des éléments dont la protection repose sur le SI, comme les locaux. Parmi les biens immatériels figure notamment les données clients, les brevets et procédés de fabrication, ainsi que tous les autres éléments soumis à la propriété intellectuelle (logos, textes, images…) Sites web, applications font également partie des biens immatériels.
Il est important de prendre aussi en compte les processus supportés par ces différents types de biens. Cela permet d’identifier les briques les plus sensibles, sur lesquelles repose toute l’activité de l’entreprise.
Il faut ensuite analyser les conséquences pour l’entreprise d’un problème sur chacun de ces biens. Veillez à ne pas prendre en compte seulement les impacts financiers, comme la perte de chiffre d’affaire liée à une indisponibilité des systèmes. Certaines menaces peuvent également jouer sur la conformité, sur l’image de l’entreprise, sur sa compétitivité (vol de propriété intellectuelle), voire même la mener devant la justice.
Une fois l’ensemble des risques recensés, vous allez devoir les classifier par ordre de gravité. Il est important de définir au préalable une échelle de mesure des risques, afin de pouvoir comparer plusieurs menaces entre elles et les hiérarchiser.
Plus l’analyse sera complète, plus vous aurez une bonne visibilité sur l’exposition au risque de votre entreprise. Cela permet d’adapter la stratégie de sécurité au mieux, même s’il n’existe pas forcément de réponse à tous les risques.