Sergej Khackimullin - Fotolia
Sécurité de l’information : les composants de la gestion du risque
Une entreprise doit connaître les risques auxquels elle fait face. L’expert Peter Sullivan explique pourquoi un plan de gestion du risque est indispensable.
Etre préparé à répondre aux incidents de sécurité est un état que chaque entreprise doit s'efforcer d'atteindre. Dans la première partie de cette série sur la préparation à la cybersécurité, un ensemble de sept objectifs fondamentaux a été détaillé. La seconde partie a été consacrée au premier élément de cette liste: le plan de cybersécurité. La troisième portait sur la construction d’une architecture de sécurité de l’information.
Cet article aborde le risque, dans sa dimension qui concerne informations et systèmes d’information. La protection de l'information est un problème dont la solution dépasse le seul déploiement de briques technologiques telles que les pare-feu et les passerelles antivirus. Les entreprises doivent adopter une approche proactive pour identifier et protéger leurs actifs informationnels les plus importants. La gestion des risques liés à la sécurité de l'information consister à évaluer ce que l’on essaie de protéger, et pourquoi. Une évaluation complète des risques liés à la sécurité de l'information devrait permettre à une organisation d'évaluer ses besoins, dans son contexte organisationnel et métiers spécifique.
Il est important de garder à l'esprit que les systèmes d'information et les données qu'ils traitent sont avant tout là pour supporter les processus métiers de l’organisation. Lesquels servent sa stratégie.
Définition du risque
Selon la méthodologie d'évaluation des risques OCTAVE de l'Institut de génie logiciel de l'université Carnegie Mellon, le risque est « la possibilité de subir des dommages ou des pertes ». La menace est une composante du risque qui peut être considérée comme un acteur - humain ou non - prenant des mesures, telles que l'identification et l'exploitation d'une vulnérabilité, qui entraînent des résultats inattendus et indésirables : perte ,modification ou divulgation d’informations, voire perte d'accès à l'information. Autant de résultats aux répercussions négatives sur l'organisation. Ces impacts peuvent inclure la perte de revenus ou de clients, ou d’avantage compétitif, mais également les coûts induits pour le retour à une activité normale après sinistre, voire par le règlement d’amendes autres pénalités réglementaires.
Composants du risque
Le risque pour la sécurité de l'information comporte plusieurs éléments importants :
- acteur de menace, entité humaine ou non humaine qui exploite une vulnérabilité ;
- vulnérabilité, ce que l’acteur de menace exploite;
- résultat, l’issue de l’exploitation d’une vulnérabilité ; et
- impact, conséquences des résultats indésirables - ne pas confondre résultats et impacts.
La composante finale et la plus importante du risque est l’actif affecté - information, processus, technologie. En supposant que l'actif en danger ne peut être éliminé, la seule composante du risque qui peut être contrôlée est la vulnérabilité. Mais il y a peu de choses qui peuvent être faites pour contrôler une vulnérabilité :
- éliminer la vulnérabilité - si elle n'existe pas, elle ne peut pas être exploitée ;
ou, si la vulnérabilité ne peut pas être éliminée :
- réduire les chances d'exploitation de la vulnérabilité ;
- réduire la gravité de l'impact résultant de l'exploitation de la vulnérabilité ; ou
- re rien faire, accepter le risque.
Les vulnérabilités inédites, dites zero-day, sont particulièrement problématiques : par définition, une organisation ne peut pas se protéger contre les résultats et les impacts spécifiques d’une telle vulnérabilité inconnue et n'a pas la possibilité de créer des stratégies pour réduire la probabilité d’exploitation et l’impact.
Gestion des risques
La gestion des risques liés à la sécurité de l'information est donc le processus consistant à identifier, comprendre, évaluer et atténuer les risques - et leurs vulnérabilités sous-jacentes - et l'impact sur l'information, les systèmes d'information et les entités qui s'appuient sur eux pour leurs opérations. En plus d'identifier les risques et les mesures d'atténuation des risques, une méthode et un processus de gestion des risques aideront à :
- identifier les actifs informationnels essentiels. Un programme de gestion des risques peut être étendu pour identifier également les personnes, les processus métiers et les ressources technologiques critiques.
- comprendre pourquoi les actifs critiques choisis sont nécessaires aux opérations, à l'accomplissement de la mission de l’organisation et à la continuité des opérations.
D'autres éléments sont nécessaires à la gestion des risques liés à la sécurité de l’information, dont notamment :
- un programme de gestion d’actifs ;
- un programme de gestion des configurations ; et
- un programme de gestion des changements.
Ces programmes seront abordés dans un prochain article de cette série.