Exporter (0) Imprimer
Développer tout

Guide de gestion des risques de sécurité

Chapitre 2 : Étude des pratiques de gestion des risques de sécurité

Paru le 15/10/2004

Ce chapitre débute par l'analyse des avantages et des inconvénients des approches proactive et réactive de la gestion des risques de sécurité. Cette analyse est suivie d'une comparaison des deux méthodes traditionnelles de gestion des risques de sécurité : l'approche quantitative et l'approche qualitative. Le processus de gestion des risques de sécurité de Microsoft est une méthode alternative qui équilibre ces différentes méthodes et qui a fait la preuve de son efficacité au sein de Microsoft.

Remarque : l'analyse des différentes approches de la gestion des risques de sécurité au cours des années passées permet de définir les bases du processus de gestion des risques de sécurité de Microsoft. Les lecteurs déjà familiarisés avec la gestion des risques de sécurité peuvent parcourir rapidement ce chapitre. Cependant, nous recommandons vivement aux lecteurs qui découvrent les domaines de la sécurité ou de la gestion des risques de lire ce chapitre attentivement.

Sur cette page

Comparaison des approches de la gestion des risques
Approches du classement des risques
Processus de gestion des risques de sécurité de Microsoft

Comparaison des approches de la gestion des risques

La plupart des entreprises se penchent sur la gestion des risques de sécurité lorsqu'elles doivent faire face à un incident de sécurité relativement bénin. Cette situation se présente par exemple lorsque l'ordinateur d'un employé est infecté par un virus et qu'un responsable de l'entreprise s'improvise expert informaticien et cherche à éliminer le virus sans endommager l'ordinateur ou les données qu'il contient. Quel que soit l'incident initial, lorsque les problèmes de sécurité se multiplient au point d'affecter les performances commerciales, la plupart des entreprises se lassent d'avoir à faire face à de telles successions de crises. Elles recherchent alors une approche alternative à cette démarche réactive, afin de réduire la probabilité d'occurrence des incidents de sécurité. Les entreprises qui appliquent la gestion des risques s'orientent vers une approche proactive. Cependant, nous verrons dans ce chapitre que cette approche ne représente qu'une partie de la solution.

Approche réactive

L'évolution récente des conditions de travail des professionnels de l'informatique contraint ceux-ci à travailler rapidement tout en évitant au maximum d'interférer avec le travail des utilisateurs. Lorsqu'un problème de sécurité survient, la plupart des professionnels de l'informatique ne trouvent que le temps de contenir le problème, analyser l'événement et intervenir le plus rapidement possible sur les systèmes affectés. Certains essaient parfois d'identifier la cause du problème, mais pour ceux qui sont soumis à de fortes contraintes, cette démarche est purement accessoire. Bien que l'approche réactive puisse s'avérer efficace pour résoudre des incidents de sécurité liés à l'exploitation de risques de sécurité, il est possible de l'améliorer en lui imposant une certaine rigueur afin d'aider les entreprises à optimiser l'utilisation de leurs ressources.

En s'appuyant sur des incidents de sécurité récents, une entreprise peut prévoir et anticiper les problèmes potentiels. Ainsi, si une entreprise prend le temps de traiter les incidents de sécurité de manière pondérée et rationnelle et d'en déterminer les raisons sous-jacentes, il lui sera plus facile de se protéger d'incidents similaires à l'avenir et elle pourra traiter ces problèmes plus rapidement.

Ce guide n'a pas pour objectif de détailler précisément les réponses aux incidents, mais vous pouvez vous appuyer sur la procédure suivante pour optimiser vos réponses en cas d'incident :

  1. Protéger la vie et la sécurité des personnes. Cette étape est toujours prioritaire. Par exemple, si les ordinateurs affectés gèrent des systèmes de maintien des fonctions vitales, il est exclu de les mettre hors tension. Vous pouvez cependant isoler ces systèmes du réseau en reconfigurant les routeurs et les commutateurs, tout en évitant d'entraver le rôle vital de ces ordinateurs.

  2. Contenir les dommages. En contenant les dommages infligés par l'attaque, vous limitez l'étendue de ces dommages. Il est vital de protéger rapidement les données, logiciels et matériel importants. S'il est fondamental de minimiser les dommages infligés aux ressources informatiques, il peut être risqué de laisser les systèmes sous tension en cas d'attaque, car ceci peut à terme entraîner des problèmes de plus grande ampleur. Par exemple, si un ver entre dans votre environnement, vous pouvez limiter sa propagation en déconnectant les serveurs du réseau. Cependant, une telle manipulation peut s'avérer encore plus néfaste que l'incident lui-même. Fiez-vous à votre expérience et à votre connaissance du réseau et du système pour en déterminer l'utilité. Si vous estimez qu'une telle manipulation n'occasionnera pas d'effets indésirables ou que ceux-ci seront largement contrebalancés par les avantages en découlant, il est impératif de contenir les dommages le plus tôt possible en cas d'incident en déconnectant du réseau les systèmes affectés. Si vous ne pouvez pas contenir les dommages en isolant les serveurs, faites en sorte de contrôler activement l'attaque afin de réparer les dommages le plus tôt possible. Dans tous les cas, veillez à enregistrer tous les fichiers de journalisation avant d'éteindre les serveurs afin de préserver les informations qu'ils contiennent au cas où vous (ou vos avocats) en auriez besoin ultérieurement.

  3. Évaluer les dommages. Commencez par effectuer immédiatement une copie des disques durs des serveurs affectés et conservez-les pour toute expertise légale ultérieure. Procédez ensuite à l'évaluation des dommages. Une fois que vous maîtrisez la situation et que vous avez dupliqué les disques durs, déterminez dès que possible l'ampleur des dommages causés par l'attaque. Cette étape est cruciale, car elle vous permet de remettre en place les systèmes fonctionnels de l'entreprise dès que possible tout en conservant une copie des disques durs pour pouvoir les analyser. Si cette évaluation n'est pas possible dans l'immédiat, vous devez mettre en œuvre un plan de réserve qui permettra de poursuivre une activité normale et de conserver un certain niveau de productivité. C'est à ce stade que les entreprises peuvent engager une procédure judiciaire auprès des autorités locales. Cependant, nous vous recommandons d'établir et d'entretenir des relations de collaboration avec les autorités judiciaires régissant votre secteur d'activité avant qu'un incident ne se produise. De cette manière, vous saurez à qui vous adresser et comment procéder lorsqu'un problème sérieux se présentera. Nous vous recommandons également de prévenir immédiatement le service juridique de votre entreprise, afin qu'ils puissent déterminer s'il est possible d'engager des poursuites contre quelqu'un suite aux dommages subis.

  4. Déterminer la cause des dommages. Afin de déterminer l'origine de l'attaque, vous devez comprendre quelles ressources étaient visées et quelles faiblesses ont été exploitées pour obtenir l'accès ou perturber les services. Examinez la configuration du système, le niveau de correction, les journaux systèmes et les journaux d'audit sur les systèmes directement affectés et sur les périphériques réseau acheminant leur trafic. Cet examen devrait vous permettre de découvrir l'origine de l'attaque au niveau du système et quelles autres ressources ont été affectées. Inspectez les systèmes en place et non les lecteurs sauvegardés au cours de l'étape 3. Ces derniers doivent être conservés intacts, car ils pourront être utilisés par les autorités locales ou vos avocats afin de retrouver les initiateurs de l'attaque et de les traduire en justice. Si vous souhaitez tester une sauvegarde afin de déterminer la cause des dommages, créez une seconde copie de votre système plutôt que d'utiliser les lecteurs créés au cours de l'étape 3.

  5. Réparer les dommages. Généralement, il est essentiel de réparer rapidement les dommages. De cette façon, l'entreprise pourra reprendre une activité normale et les données perdues pendant l'attaque pourront être récupérées dans les plus brefs délais. Les procédures et plans de continuité des opérations doivent prévoir la stratégie de restauration. L'équipe de gestion des incidents doit également être disponible pour prendre en charge le processus de récupération et de restauration ou pour fournir des instructions sur sa mise en œuvre à l'équipe concernée. Lors de la récupération, des procédures de réserve sont appliquées en vue de limiter les dommages en prévenant leur extension. Avant d'envoyer les systèmes réparés aux services de maintenance, vérifiez que toutes les vulnérabilités exploitées lors de l'incident ont été atténuées afin d'éviter qu'ils ne soient immédiatement réinfectés.

  6. Examen de la réponse et mise à jour des stratégies. Une fois que les phases de documentation et de récupération ont été effectuées, il est nécessaire d’examiner l’ensemble du processus. Avec le concours de toute l'équipe, déterminez les étapes exécutées correctement et les erreurs commises. Dans presque tous les cas, il vous faudra modifier quelques processus de façon à mieux appréhender les incidents futurs. Vous détecterez forcément des faiblesses dans votre plan de réponse aux incidents. L’intérêt de cet exercice a posteriori est de rechercher les possibilités d’amélioration. L'analyse des failles vous permettra d'insuffler de nouveaux principes de planification des réponses aux incidents et de gérer ceux-ci plus efficacement.

Le diagramme ci-dessous illustre cette méthodologie :

Figure 2.1Processus de réponse aux incidents

Figure 2.1 Processus de réponse aux incidents

Approche proactive

La gestion proactive des risques de sécurité présente de nombreux avantages par rapport à l'approche réactive. Plutôt que d'attendre que les problèmes se présentent avant d'y répondre, le principe de cette approche est de minimiser la possibilité qu'ils se produisent dès le départ. Pour protéger les ressources importantes de votre entreprise, vous devez mettre en place des contrôles visant à réduire les risques d'exploitation des vulnérabilités par des programmes ou des personnes malveillants ou par un usage accidentel. L'analogie suivante illustre bien ce concept. La grippe est une maladie respiratoire mortelle qui affecte des millions de personnes chaque année aux États-Unis. Plus de 100 000 d'entre elles doivent être envoyées dans des hôpitaux ; 36 000 personnes meurent de cette maladie chaque année. Une première approche pour lutter contre cette maladie consiste à ne rien faire tant que vous n'êtes pas affecté et à vous soigner si vous tombez malade. La seconde approche consiste à vous faire vacciner avant que la saison de la grippe ne commence.

Bien entendu, les entreprises ne doivent pas complètement renoncer à l'approche réactive. En effet, bien qu'une approche proactive efficace permette de diminuer considérablement les risques d'incidents de sécurité, il est peu probable que ces derniers disparaissent complètement. Par conséquent, il est fondamental que les entreprises continuent d'améliorer leurs processus de réponse aux incidents tout en développant des approches proactives sur le long terme.

Les sections suivantes de ce chapitre et les autres chapitres de ce guide proposent un examen approfondi de la gestion proactive des risques de sécurité. Toutes les méthodologies de gestion des risques comportent des procédures communes :

  1. Identification des ressources de l'entreprise.

  2. Évaluation des dommages potentiels qu'une attaque contre une ressource pourrait causer au niveau de l'entreprise.

  3. Identification des vulnérabilités exploitables pour une attaque.

  4. Détermination des contrôles à mettre en place pour minimiser les risques d'attaque.

Approches du classement des risques

Les termes gestion des risques et évaluation des risques sont fréquemment utilisés dans ce guide. Bien qu'ils soient liés, ils ne sont pas interchangeables. Le processus de gestion des risques de sécurité de Microsoft définit la gestion des risques comme l'ensemble du processus visant à gérer les risques pour les amener à un niveau acceptable pour l'entreprise. L'évaluation des risques se définit comme le processus permettant d'identifier et de hiérarchiser les risques potentiels pour l'entreprise.

Il existe de nombreuses méthodologies de classement et d'évaluation des risques. Cependant, la plupart d'entre elles s'appuient sur une gestion quantitative ou qualitative des risques ou sur une combinaison de ces approches. Vous trouverez dans la liste de ressources de la section « Informations complémentaires », à la fin du chapitre 1 (« Introduction au guide de gestion des risques de sécurité »), des liens vers d'autres méthodologies d'évaluation des risques. Les sections suivantes de ce chapitre proposent une présentation et une étude comparée des approches quantitative et qualitative de l'évaluation des risques. Vous trouverez ensuite une description rapide du processus de gestion des risques de sécurité de Microsoft, qui combine divers aspects de ces deux approches.

Évaluation quantitative des risques

L'objectif de cette approche est de calculer des valeurs numériques objectives pour tous les composants collectés lors de l'évaluation des risques et de l'analyse coût/bénéfices. Par exemple, cela consiste à évaluer la valeur réelle des ressources de l'entreprise en fonction du coût de leur remplacement, du coût occasionné par la perte de productivité, du coût en matière de réputation et diverses autres valeurs directes et indirectes. Vous devez également vous efforcer d'appliquer la même objectivité lorsque vous calculez l'exposition des ressources, le coût des contrôles et toutes les valeurs identifiées lors du processus de gestion des risques.

Remarque : l'objectif de cette section est de décrire de manière générale certaines étapes de l'évaluation quantitative des risques ; elle ne fournit en aucun cas des instructions sur l'application de cette approche aux projets de gestion des risques.

Cette approche présente des faiblesses significatives qu'il est difficile de compenser. Premièrement, il n'existe pas de méthode formelle et rigoureuse pour calculer les valeurs des ressources et des contrôles. Autrement dit, bien qu'elles semblent fournir des informations plus détaillées, les valeurs financières ne sont basées que sur des estimations. Comment peut-on calculer de manière précise l'impact d'un incident de sécurité à large échelle sur une marque ? Vous pouvez vous appuyer sur des données historiques lorsqu'elles sont disponibles, mais elles le sont rarement.

Deuxièmement, toutes les entreprises qui ont appliqué scrupuleusement l'ensemble des aspects de la gestion quantitative des risques ont réalisé que ce processus est extrêmement coûteux. La réalisation du premier cycle de ces projets est extrêmement longue et implique généralement un grand nombre de membres du personnel, qui doivent définir les détails du mode de calcul des valeurs fiscales spécifiques. Troisièmement, pour les entreprises dont les ressources ont une valeur très élevée, le coût de l'exposition peut impliquer des dépenses démesurées afin de minimiser les risques. Or de telles dépenses ne sont pas réalistes. Aucune entreprise ne peut se permettre de dilapider l'ensemble de son budget pour protéger une unique ressource, ni même ses cinq ressources principales.

Détails de l'approche quantitative

Nous allons à présent étudier les avantages et les inconvénients de l'évaluation quantitative des risques. Le reste de cette section est consacré à l'examen de certains des facteurs et valeurs généralement étudiés lors d'une évaluation quantitative des risques : évaluation des ressources, évaluation du coût des contrôles, détermination du RIPS (Retour sur investissement pour la sécurité) et calcul des valeurs de la PEU (Perte estimée unique), du TAO (Taux annuel d'occurrences) et de la PEA (Perte estimée annuelle). Cette section ne détaille pas tous les aspects de l'évaluation quantitative des risques, mais vise plutôt à étudier rapidement certains détails de cette approche. L'objectif est de montrer que les chiffres utilisés pour effectuer l'ensemble des calculs sont le résultat de choix subjectifs.

Valorisation des ressources

L'estimation de la valeur monétaire d'une ressource joue un rôle important dans la gestion des risques. Les directeurs d'entreprise se basent souvent sur la valeur d'une ressource pour déterminer le temps et l'argent qu'ils peuvent consacrer à sa protection. La liste des VR (valeurs des ressources) figure dans les plans de continuité des opérations de la plupart des entreprises. Vous pourrez cependant remarquer que les chiffres donnés sont des estimations subjectives : il n'existe pas de méthode ni d'outil objectif pour déterminer la valeur d'une ressource. Pour déterminer la valeur d'une ressource, calculez les trois facteurs suivants :

  • Valeur globale de la ressource pour l'entreprise. Calculez ou estimez la valeur financière directe de la ressource. Calculez par exemple l'impact d'une perturbation temporaire de l'activité d'un site Web de commerce électronique accessible 7 jours sur 7 et 24 heures sur 24, dont les commandes client génèrent des recettes moyennes de 2 000 euros par heure. Vous pouvez affirmer avec certitude que la valeur annuelle du site Web en termes de recettes équivaut à 17 520 000 euros.

  • Impact financier immédiat de la perte de la ressource. Simplifiez l'exemple ci-dessus et considérez que le site Web génère un revenu horaire constant. Si ce même site Web est inaccessible pendant 6 heures, l'exposition calculée correspond à 0,000685 % par an. En multipliant ce pourcentage par la valeur annuelle de la ressource, vous pouvez prédire que les pertes directement imputables à l'indisponibilité du site s'élèveront à 12 000 euros. En réalité, le revenu généré par la plupart des sites Web de commerce électronique varie en fonction de l'heure, du jour, de la saison, des campagnes marketing et de divers autres facteurs. De plus, certains clients découvrent des sites Web concurrents et préfèrent se tourner vers ceux-ci. Le site perd donc constamment des utilisateurs. Il est donc extrêmement complexe de calculer la perte de chiffre d'affaires en tenant compte de tous les facteurs de perte potentiels.

  • Impact commercial indirect lié à la perte de la ressource. Gardons le même exemple : la société estime devoir dépenser 10 000 euros à l'occasion d'une campagne de marketing visant à revaloriser une image de marque ternie par l’indisponibilité du site. Par ailleurs, elle s'attend également à une perte de 0,01 (1 %) des ventes annuelles, soit 17 520 euros. En additionnant les dépenses publicitaires supplémentaires et la perte de recettes, elle prévoit dans ce cas précis une perte indirecte totale de 27 520 euros.

Détermination de la PEU

Il s'agit du montant total de recettes perdues à la suite d'une occurrence unique du risque. La PEU est le montant monétaire attribué à un événement unique représentant le montant des pertes potentielles qu'essuierait la société si une menace spécifique se concrétisait. Le résultat obtenu correspond à l'impact d'une analyse qualitative du risque. Pour calculer la PEU, multipliez la valeur de la ressource par le FE (Facteur d'exposition). Ce dernier représente le pourcentage de perte qu'une menace concrétisée peut avoir sur une ressource donnée. Si une batterie de serveurs Web a une valeur de 150 000 euros et qu'un incendie provoque des dommages estimés à 25 % de sa valeur, alors la PEU s'élève à 37 500 euros. Notez cependant que cet exemple est simplifié à l'extrême. Il est en effet probable que d'autres dépenses doivent également être prises en compte.

Détermination du TAO

Ce taux correspond au nombre de fois qu'un risque peut raisonnablement se réaliser au cours d'une année. Cette estimation est très difficile à réaliser ; très peu de données actuarielles sont disponibles. Les informations collectées jusqu'à présent sont des informations privées détenues par quelques compagnies d'assurance. Pour estimer le TAO, inspirez-vous de vos expériences précédentes et consultez des spécialistes de la gestion du risque ainsi que des conseillers en matière de gestion d'entreprise et de sécurité. Le TAO correspond à la probabilité obtenue par une analyse qualitative du risque et sa valeur est comprise entre 0 % (jamais) et 100 % (toujours).

Calcul de la PEA

Il s'agit de la somme totale que l'entreprise perdra en un an si rien n'est fait pour atténuer le risque. Calculez cette valeur en multipliant la valeur de la PEU par le TAO. La perte estimée annuelle correspond au classement relatif obtenu par une analyse qualitative du risque.

Par exemple, si un incendie ravage la batterie de serveurs Web de l'entreprise évoquée ci-dessus, provoquant des dommages estimés à 37 500 euros et que la probabilité (ou taux annuel d'occurrence) d'un incendie est de 0,1 % (une fois en 10 ans), alors la valeur de la PEA est de 3 750 euros (37 500 euros × 0,1 = 3 750 euros).

La valeur de la PEA peut servir à prévoir les coûts requis pour la mise en place de contrôles ou de mesures de protection destinés à pallier ce type de dommages (en l'occurrence 3 750 euros ou moins par an) et à fournir le niveau de protection adéquat. Il est important de quantifier, en termes financiers, la possibilité réelle d'un risque et les dommages afférents. Ce calcul permet d'établir le niveau de dépenses acceptable pour se protéger contre les conséquences potentielles de la menace.

Évaluation du coût des contrôles

Cette évaluation nécessite une estimation précise des coûts qu'impliqueraient l'acquisition, le test, le déploiement, l'exploitation et l'entretien de chaque contrôle. Ces coûts doivent prendre en compte l'achat ou le développement de la solution de contrôle, son déploiement et sa configuration, son entretien, la transmission des nouvelles stratégies ou procédures relatives au nouveau contrôle aux utilisateurs, la formation des utilisateurs et du personnel informatique sur l'utilisation et la prise en charge du contrôle, la surveillance du contrôle et la compensation de la perte de commodité ou de productivité qu'il risque d'imposer. Par exemple, pour réduire le risque d'incendie sur sa batterie de serveurs Web, l'entreprise fictive précédemment évoquée peut envisager de déployer un dispositif de lutte anti-incendie automatique. Il lui faudrait alors dans un premier temps faire appel à un sous-traitant pour concevoir et installer ce dispositif, puis mettre en place un système de surveillance en continu. Il faudrait également contrôler le système régulièrement et renouveler occasionnellement les substances chimiques qu'il utilise.

RIPS

Estimez le coût des contrôles à l'aide de l'équation suivante :

(PEA avant le contrôle) – (PEA après le contrôle) – (coût annuel du contrôle) = RIPS

Par exemple, la PEA d'une menace d'attaque visant à paralyser un serveur Web s'élève à 12 000 euros et elle est ramenée à 3 000 euros après l'implémentation de la mesure de protection suggérée. Le coût annuel de maintenance et de fonctionnement de cette mesure de protection est de 650 euros. Le RIPS s'élève donc à 8 350 euros par an, selon l'équation suivante : 12 000 euros - 3 000 euros - 650 euros = 8 350 euros.

Résultats de l’analyse quantitative des risques

Les informations issues des analyses quantitatives du risque fournissent des résultats et des objectifs clairement définis. Les éléments suivants sont généralement obtenus d'après les résultats des étapes précédentes :

  • Valeurs monétaires attribuées aux ressources

  • Liste complète des menaces significatives

  • Probabilité de voir chaque menace se réaliser

  • Potentiel de perte pour la société, pour chaque menace et pour une période de 12 mois

  • Mesures de protection, contrôles et actions recommandés

Comme vous avez pu le constater, tous ces calculs sont basés sur des estimations subjectives. Les chiffres clés, constituant la base des résultats, ne sont pas issus d'équations objectives ou de bases de données actuarielles précises, mais proviennent de la réflexion des personnes qui procèdent à l'évaluation. Ce sont ces personnes (non sans discussion et compromis, en général) qui déterminent les chiffres correspondant à la VR, à la PEU, au TAO et au coût des contrôles.

Évaluation qualitative des risques

Ce qui différencie l'évaluation qualitative des risques de l'évaluation quantitative des risques, c'est que dans le cas de la première, il n'est pas nécessaire d'affecter des valeurs financières concrètes aux ressources, aux pertes estimées ou au coût des contrôles. Il s'agit plutôt de calculer des valeurs relatives. L'analyse des risques est généralement menée à l'aide d'une combinaison de questionnaires et d'ateliers de collaboration impliquant des personnes appartenant à plusieurs services au sein de l'entreprise, comme des experts en sécurité informatique, des responsables et employés du service informatique, les propriétaires et les utilisateurs des ressources de l'entreprise ainsi que des hauts responsables. Le cas échéant, les questionnaires sont généralement distribués quelques jours ou quelques semaines avant le premier atelier. Ils sont conçus pour déterminer les ressources et les contrôles déjà déployés. Les informations ainsi collectées peuvent se révéler très utiles lors des ateliers suivants. Lors des ateliers, les participants identifient les ressources et estiment leurs valeurs relatives. Ensuite, ils essaient de déterminer les menaces pouvant affecter chaque ressource, avant d'essayer d'imaginer quels types de vulnérabilités ces mêmes menaces pourraient exploiter à l'avenir. Habituellement, les experts du groupe de sécurité informatique et les administrateurs système développent des contrôles visant à minimiser les risques, les soumettent au groupe et estiment le coût de chaque contrôle. Enfin, les résultats sont soumis à la direction durant une analyse coût/bénéfices.

Comme vous pouvez le constater, les processus de base de l'évaluation qualitative sont très proches de ceux de l'approche quantitative. L'approche quantitative est simplement plus détaillée. Les comparaisons entre la valeur d'une ressource et celle d'une autre ressource sont relatives. En outre, les participants ne consacrent pas énormément de temps au calcul de chiffres permettant d'évaluer avec précision les ressources. Cette constatation est également valable pour le calcul de l'impact possible suite à la concrétisation d'une menace et du coût de la mise en place de contrôles.

L'avantage de l'approche qualitative est qu'elle ne nécessite pas de calcul précis des chiffres pour chaque valeur de ressource, coût de contrôle, etc. De plus, le processus monopolise moins de personnel. En général, les projets de gestion qualitative des risques peuvent aboutir à des résultats remarquables après quelques semaines. En revanche, la plupart des entreprises qui optent pour une approche quantitative doivent attendre des mois, voire des années, avant de récolter le fruit de leurs efforts. L'inconvénient de l'approche qualitative est que les chiffres obtenus sont imprécis. Certains décisionnaires, en particulier ceux qui possèdent une expérience de la finance et de la comptabilité, risquent de ne pas être satisfaits de la valeur relative obtenue lors d'un projet d'évaluation qualitative des risques.

Comparaison des deux approches

L'approche qualitative et l'approche quantitative de gestion des risques ont toutes deux des avantages et des inconvénients. Dans certaines situations, il peut être préférable pour certaines entreprises d'adopter l'approche quantitative. Néanmoins, des entreprises de petite taille ou dont les ressources sont limitées opteront sans doute pour l'approche qualitative. Le tableau suivant répertorie les avantages et les inconvénients de chaque approche :

Tableau 2.1 : Avantages et inconvénients de chaque approche de gestion des risques

 

Quantitative

Qualitative

Avantages

– Les risques sont classés par ordre de priorité en fonction de leur impact financier ; les ressources sont classées par ordre de priorité selon leur valeur financière.

– Les résultats permettent de faciliter la gestion des risques grâce au retour sur investissement pour la sécurité.

– Les résultats peuvent être exprimés conformément à la terminologie de l'organisation (par exemple, les valeurs monétaires et la probabilité peuvent être exprimées sous forme d'un pourcentage spécifique).

– La précision augmente avec le temps et au fur et à mesure que l'entreprise établit l'historique de ses données et acquiert de l'expérience.

– Permet la visibilité et la compréhension du classement des risques.

– Permet de parvenir à un consensus plus facilement.

– La quantification de la fréquence des menaces n'est pas nécessaire.

– L'estimation de la valeur financière des ressources n'est pas nécessaire.

– Permet d'impliquer plus facilement des personnes dont la sécurité et l'informatique ne sont pas les domaines de prédilection.

Inconvénients

– Les valeurs d'impact affectées aux risques sont basées sur les opinions subjectives des participants.

– Le processus pour parvenir à des résultats fiables et à un consensus est très long.

– Les calculs peuvent être complexes et risquent de prendre du temps.

– Les résultats sont présentés en termes financiers uniquement et peuvent être difficiles à interpréter pour le personnel non spécialiste.

– Ce processus nécessite de l'expertise. Il est donc difficile de former les participants.

– La différenciation entre les risques importants est insuffisante.

– Il est difficile de justifier l'investissement dans la mise en place de contrôles sans fondement d’une analyse coût/bénéfices.

– Les résultats dépendent de la compétence de l'équipe de gestion des risques.


Ces dernières années, les approches quantitatives dominaient la gestion des risques de sécurité ; cependant, la tendance s'est récemment inversée et de plus en plus de spécialistes ont reconnu qu'en suivant uniquement les processus de gestion quantitative des risques, on s'engageait généralement dans des projets de longue haleine avec peu de résultats tangibles. Comme vous pourrez le constater dans les chapitres suivants, le processus de gestion des risques de sécurité de Microsoft combine le meilleur des deux méthodologies dans une approche unique et hybride.

Processus de gestion des risques de sécurité de Microsoft

Le processus de gestion des risques de sécurité de Microsoft est une approche hybride qui allie les meilleurs éléments des deux approches traditionnelles. Vous découvrirez au cours des chapitres suivants que ce guide présente une approche unique de la gestion des risques de sécurité, largement plus rapide que l'approche quantitative traditionnelle. Pourtant, les résultats obtenus sont plus précis et plus faciles à justifier auprès des responsables d'entreprise que ceux issus d'une approche qualitative classique. En alliant la simplicité et l'élégance de l'approche qualitative à la rigueur de l'approche quantitative, ce guide propose un processus unique de gestion des risques de sécurité à la fois viable et efficace. L'objectif de ce processus est de permettre aux parties intéressées de comprendre toutes les étapes de l'analyse. Cette approche, beaucoup plus simple que la gestion quantitative des risques traditionnelle, réduit les réticences face aux résultats de l'analyse des risques et aux phases d'aide à la décision, ce qui permet de parvenir à un consensus plus rapidement et de le conserver tout au long du processus.

Le processus de gestion des risques de sécurité de Microsoft se compose de quatre phases. La première, la phase d'évaluation des risques, combine des aspects des méthodologies d'évaluation quantitative et qualitative des risques. Une approche qualitative est utilisée pour établir rapidement la liste ordonnée de tous les risques de sécurité. Les risques les plus importants qui sont identifiés au cours de cette phase sont ensuite examinés en détail, à l'aide d'une approche quantitative. Le résultat est une liste relativement courte des risques les plus importants, examinés en détail.

Cette liste est utilisée lors de la phase suivante, la phase d'aide à la décision, qui consiste à proposer et à évaluer des solutions de contrôle potentielles, puis à présenter les solutions retenues au comité de contrôle de la sécurité de l'entreprise sous forme de recommandations visant à minimiser les principaux risques. Lors de la troisième phase, les responsables de la minimisation des risques mettent en place des solutions de contrôle. La quatrième phase, la phase de mesure de l'efficacité du programme, a pour but de vérifier que les contrôles apportent bien le degré de protection prévu et de surveiller les modifications de l'environnement (par exemple, l'ajout d'applications ou l'apparition d'outils d'attaque susceptibles de modifier le profil de risque de l'entreprise).

Le processus de gestion des risques de sécurité de Microsoft étant un processus continu, le cycle redémarre à chaque nouvelle évaluation des risques. La fréquence de récurrence du cycle varie d'une entreprise à l'autre ; de nombreuses entreprises estiment qu'une récurrence annuelle est suffisante, à condition de contrôler les nouvelles vulnérabilités, menaces et ressources de façon proactive.

Figure 2.2 Phases du processus de gestion des risques de sécurité de Microsoft

Figure 2.2 Phases du processus de gestion des risques de sécurité de Microsoft

La figure 2.2 ci-dessus illustre les quatre phases du processus de gestion des risques de sécurité de Microsoft. Le chapitre suivant, le chapitre 3, « Présentation de la gestion des risques de sécurité », présente le processus de façon exhaustive. Les chapitres suivants décrivent en détail les étapes et les tâches associées à chacune des quatre phases.


Cela vous a-t-il été utile ?
(1500 caractères restants)
Merci pour vos suggestions.
Afficher:
© 2014 Microsoft