3.2. LA GESTION DU RISQUE
- Les objectifs : Permettre à une
organisation d'accomplir sa mission :
· Avoir une meilleure protection des systèmes qui
conservent, traitent et transmettent les informations essentielles au bon
déroulement des affaires,
· Prendre de meilleures décisions basées
sur des faits tangibles et mesurables : Investissement en
équipement, personnel, formation, etc.
- Le premier pas pour toutes méthodes de
gestion de risque :
- Définir les besoins :
· Déterminer les actifs à protéger
et leurs propriétaires.
· Quelles sont leurs valeurs ? Quelles sont leurs
criticités ? Quelles sont leurs propriétés ?
· Déterminer les menaces représentant des
risques.
· Quels sont les acteurs - attaqueurs ? Quels sont leurs
motivations et leurs moyens ?
· Déterminer les objectifs à atteindre.
· Quelles sont les propriétés des actifs
à protéger ?
- Proposer une solution : Déterminer les
contre-mesures à mettre en place.
- Évaluer les risques résiduels :
· Déterminer quelles sont les
vulnérabilités toujours présentes.
· Déterminer leurs impacts sur les objectifs
initiaux.
- Le schéma :
Figure 16.III: L'analyse
de risque - schématiquement
- Les définitions :
· Actifs : L'ensemble des données et des
systèmes d'information nécessaires au bon déroulement
d'une organisation,
· Un événement redouté : -
Unwanted Incident - est un scénario générique
représentant une situation crainte par l'organisme.
· Contre mesure :est le moyen de traitement des
risques.
· Vulnérabilité : Défaut ou
faiblesse d'un système pouvant mener à une faille de
sécurité ou à la violation de sa politique de
sécurité ;
· Menace : La possibilité qu'une
vulnérabilité soit exploitée ;
· Risque : Impact sur la mission de l'organisation,
dépend à la fois de la vraisemblance de la menace (condition) et
de son impact sur les actifs et les ressources (conséquence) ;
· Les scénarii de menace sont les scénarios
qui conduisent à un ou plusieurs événements
redoutés. Ces scénarii sont déclenchés par les
menaces et permettent d'expliquer et de décrire comment les menaces
peuvent être les causes initiales des événements
redoutés.
3.2.1.
Méthode OCTAVE
L'acronyme OCTAVE signifie «Operationally Critical
Threat, Asset, and Vulnerability Evaluation». Il s'agit d'une suite
d'outils, de techniques et de méthodes créées pour
l'évaluation des risques basée sur la sécurité de
l'information stratégique et laplanification. OCTAVE fut publiée
en Septembre 2001. OCTAVE et sa version OCTAVE-S sont largement
référencées par la communauté internationale du
domaine de la sécurité de l'information. Entre Juin 2003 et Juin
2005, la méthode OCTAVE a été
téléchargé plus de 9600 fois. L'OCTAVE elle a
été développé par le CERT® Survivable
Entreprise Management Team. Cette méthode est conçue pour
être menée par le personnel de l'organisation sans faire appel
à des consultants externes : elle est auto-dirigée. Cette
méthode présente trois variantes : OCTAVE qui vise les grandes
organisations, OCTAVE-S qui est la version réduite visant les PME/PMI et
OCTAVE Allegro qui se focalise principalement sur le stockage, le transport, la
gestion de l'information et les risques associés.
Phase 1 : Vue organisationnelle : Cette
phase couvre les aspects organisationnels et se focalise sur la constitution
des profils de menaces basés sur les actifs de l'entreprise. Il s'agit
de l'identification des ressources importantes, des menaces et des exigences de
sécurité associées. Les mesures de sécurité
existantes sont identifiées pour produire des profils de menace.
Phase 2 : Vue technologique : Dans cette
phase se fait l'identification des vulnérabilités de
l'infrastructure à partir de composants clefs. Les analystes
identifient les moyens d'accès aux actifs opérationnels afin
d'identifier les composants à sécuriser.
Phase 3 : Développement de la
stratégie de sécurité : Les analystes se focalisent
sur l'atténuation des menaces suite à l'évaluation des
risques pour définir des stratégies de protection et créer
un plan d'atténuation.
| 
