Méthodes d’évaluation des risques
Depuis la crise financière qui a débuté en 2008, l’analyse des risques a pris une importance particulière dans la gestion interne des organisations. Auparavant, les travaux dans ce domaine étaient menés de manière non systématique et isolée dans toutes les entités. Cependant, depuis cette date, les entreprises ont commencé à renforcer le contrôle interne en utilisant la gestion des risques dans tous les domaines et toutes les zones.
De multiples méthodologies d’analyse des risques sont actuellement utilisées pour assurer une gestion systématique. Dans le cadre de l’analyse des risques d’entreprise d’une entreprise, il est très important de prendre en compte les risques qui peuvent compromettre la sécurité de l’information. Pour répondre à cette analyse, il existe plusieurs méthodologies d’évaluation des risques, dans cet article nous allons considérer 3 des plus connues : Mehari, Ebios et Octave.
Méthodologie MEHARI
MEHARI est une méthodologie développée par le CUSIF (Club de la Sécurité De L’information Français) en 1998 et devenue Open Source en 2007.
L’objectif de cette méthodologie est de permettre une analyse directe et individuelle des situations à risque décrites dans différents scénarios et de fournir un ensemble complet d’outils spécifiquement conçus pour la gestion de la sécurité à court, moyen et long terme, adaptables à différents niveaux de maturité.
Les phases de la méthodologie MEHARI sont les suivantes :
- Analyse ou évaluation des risques
Une situation à risque peut être caractérisée par différents facteurs :
- Des facteurs structurels (ou organisationnels), qui ne dépendent pas des mesures de sécurité, mais de l’activité principale de l’organisation, de son environnement et de son contexte.
- Les facteurs de réduction des risques, qui sont directement fonction des mesures de sécurité mises en œuvre.
MEHARI permet l’évaluation qualitative et quantitative de ces facteurs, en obtenant les niveaux de risque en conséquence.
Pour ce faire, il intègre des outils (tels que des critères d’évaluation, des formules, etc.) et des bases de connaissances (notamment pour le diagnostic des mesures de sécurité), en complément indispensable du cadre d’analyse des risques.
Il est nécessaire de mettre en œuvre une approche structurée qui permette d’identifier toutes les situations à risque potentielles, afin d’analyser les plus critiques et de pouvoir identifier des actions pour réduire le risque à des niveaux acceptables.
- Évaluations de sécurité
MEHARI intègre des questionnaires de contrôle de sécurité, ce qui permet d’évaluer le niveau de qualité des mécanismes et des solutions visant à réduire les risques. Les contrôles ou mesures de sécurité sont regroupés en services et domaines de sécurité. Pour réaliser cette évaluation, il est nécessaire de suivre les étapes suivantes :
- Examen des vulnérabilités ou évaluation des services de sécurité : MEHARI fournit un modèle de risque structuré qui prend en compte les facteurs de réduction des risques sous la forme de services de sécurité.
Le résultat de l’évaluation de la vulnérabilité visera à s’assurer que les services de sécurité remplissent réellement leur mission.
L’évaluation est basée sur une base de données d’experts des connaissances fournies par MEHARI pour évaluer le niveau de qualité des mesures de sécurité.
- Plans de sécurité basés sur l’examen des vulnérabilités : des plans de sécurité seront élaborés en conséquence directe de l’évaluation de l’état des services de sécurité.
Le processus de gestion de la sécurité se concentre sur l’exécution d’une évaluation et la décision d’améliorer tous les services qui n’ont pas un niveau de qualité suffisant.
MEHARI met à disposition des questionnaires de diagnostic qui peuvent être utilisés pour ce type d’approche.
- Accompagnement dans les bases de données dans la création d’un cadre de sécurité : les bases de connaissances MEHARI peuvent être utilisées directement pour créer un cadre de sécurité qui contiendra et décrira l’ensemble des règles et instructions de sécurité à suivre par l’organisation.
Les questionnaires d’évaluation de MEHARI constituent une bonne base pour que les responsables de la sécurité décident de ce qui doit être mis en œuvre dans l’organisation.
La création d’un ensemble de règles, par le biais d’un cadre de sécurité, se heurte souvent à des difficultés lors du déploiement sur site, de sorte que les exemptions et les exceptions doivent être gérées.
- Domaines couverts par le module d’évaluation des vulnérabilités : D’un point de vue d’analyse des risques, basé sur l’identification de toutes les situations à risque et avec la volonté de couvrir tous ces risques inacceptables, MEHARI ne se limite pas simplement au domaine informatique.
Le module d’évaluation couvre, outre les systèmes d’information, l’ensemble de l’organisation, comme la protection du site en général, l’environnement de travail, et les aspects juridiques et réglementaires.
- Analyse des menaces
Quelle que soit l’orientation de la politique de sécurité, il y a un principe sur lequel tous les responsables s’accordent : il doit y avoir un équilibre entre les investissements en matière de sécurité d’une part et l’importance des principaux défis commerciaux d’autre part.
Cela signifie qu’il est essentiel de comprendre les menaces pour l’entreprise, et que l’analyse du contexte de sécurité mérite un niveau de priorité et une méthode d’évaluation stricte et rigoureuse.
L’analyse des menaces de sécurité a pour but de répondre à la double question suivante : Que peut-il se passer, et si cela se produit, peut-il être grave ?
MEHARI met à disposition un module d’analyse des menaces avec deux types de résultats :
- Une échelle de valeurs des dysfonctionnements possibles dans vos processus opérationnels.
- Une classification des informations et des actifs informatiques : consiste en la définition, pour chaque type d’information, pour chaque type d’actif informatique, et pour chaque critère de classification (généralement la confidentialité, l’intégrité et la disponibilité). La classification des informations sur les actifs est l’échelle des valeurs de dysfonctionnement définies ci-dessus traduites en indicateurs de sensibilité associés aux actifs informatiques.
L’échelle des valeurs de dysfonctionnement et la classification des informations et des actifs sont deux façons différentes d’exprimer les menaces de sécurité. La première est plus détaillée et fournit plus d’informations aux RSSI et la seconde est plus généraliste et plus utile pour les campagnes de sensibilisation et d’information.
Méthodologie EBIOS
EBIOS est une méthode promue par la DCSSI (Direction centrale de la sécurité des systèmes d’information) pour une utilisation dans les administrations publiques françaises. L’objectif de cette méthodologie est de fournir une vision globale et cohérente de la sécurité des systèmes d’information, permettant de déterminer les objectifs et les exigences de sécurité de l’entreprise.
La méthodologie EBIOS repose sur 5 principes fondamentaux
- Etude du contexte
Il est nécessaire de réaliser une étude du contexte de l’entreprise, de l’évolution au cours de son histoire et ainsi identifier tous les éléments essentiels qui sont liés à l’entreprise, tels que : le matériel, les logiciels, les réseaux, les organisations, le personnel et les établissements.
- Exprimer les besoins en matière de sécurité
Chaque élément identifié a des besoins de sécurité différents. Ces besoins sont exprimés en fonction de différents paramètres de sécurité tels que la disponibilité, l’intégrité et la confidentialité. Les besoins seront évalués sur la base de critères prédéfinis, en tenant compte de l’impact qui peut être causé par la perte ou l’absence de l’un de ces paramètres.
- Étude des menaces
Chaque organisme est exposé à divers éléments dangereux ou menaces, en fonction de son environnement naturel, de sa culture, de son image, de sa zone d’activité, etc. Par conséquent, il est nécessaire d’identifier tous les éléments dangereux et les méthodes d’attaque qu’ils peuvent avoir.
En fonction de la méthode d’attaque, chaque entreprise aura des vulnérabilités différentes qui peuvent être utilisées par les éléments dangereux correspondants.
- Objectifs de sécurité explicites
Il ne reste plus qu’à déterminer le risque, défini dans la manière dont les éléments dangereux et leurs méthodes d’attaque peuvent affecter les éléments essentiels.
Le risque représente une perte possible, il consiste en la possibilité qu’un élément dangereux affecte les éléments essentiels en profitant des vulnérabilités des entités sur lesquelles reposent ces éléments essentiels et en utilisant une méthode d’attaque particulière.
Les objectifs de sécurité couvriront les vulnérabilités détectées dans l’entité.
En revanche, il est inutile de protéger ce qui n’est pas exposé. Par conséquent, plus le risque est important, plus les objectifs de sécurité seront importants et il ne sera pas nécessaire de fixer des objectifs pour ce qui n’est pas exposé.
- Déterminer les exigences de sécurité
L’équipe en charge de l’application de la procédure EBIOS doit préciser, de manière précise, les fonctionnalités de sécurité attendues. Avec ces exigences fonctionnelles, il doit démontrer une couverture parfaite des objectifs de sécurité.
L’équipe en charge doit préciser les exigences de sécurité qui permettent d’obtenir le niveau de confiance nécessaire afin de pouvoir le démontrer par la suite.
Méthodologie OCTAVE
Le cadre conceptuel qui a constitué la base de l’approche originale d’OCTAVE a été publié par le SEI (Software Engineering Institute) de l’Université Carnegie Mellon en 1999. L’objectif de cette méthodologie était de relever les défis de conformité en matière de sécurité auxquels était confronté le département de la Défense des États-Unis.
OCTAVE s’adresse aux moyennes et grandes entreprises de plus de 300 salariés et qui répondent aux caractéristiques suivantes :
- Organigramme à plusieurs niveaux
- Ils disposent de leur propre infrastructure informatique
- Ils ont la capacité d’évaluer les vulnérabilités
- A la capacité d’interpréter les résultats des évaluations de vulnérabilité
La méthodologie OCTAVE se déroule en 3 phases :
- Identification des actifs
L’organisation doit identifier les actifs les plus importants destinés au traitement de l’information. Il est important d’identifier tous les actifs qui font partie de l’entreprise et supportent les services informatiques, ainsi que tous les supports qui contiennent des informations.
Une fois que tous les actifs ont été identifiés avec des informations, il faudra les évaluer pour identifier ceux qui sont les plus critiques au fonctionnement de l’organisation et y associer toutes les menaces qui peuvent interférer avec la sécurité de ces actifs.
- Analyse de l’infrastructure
En complément de l’analyse réalisée en phase 1, l’équipe d’analyse des risques doit procéder à une évaluation de l’infrastructure, tant technologique que physique, qui supporte les actifs qui contiennent des informations de l’entreprise et également identifier toutes les menaces qui peuvent interférer avec la sécurité de l’infrastructure.
- Analyse du risque
Enfin, l’équipe d’analyse des risques doit évaluer l’ensemble des menaces et identifier les risques les plus pertinents pour l’entreprise. Pour ces risques plus élevés, il sera nécessaire d’élaborer un plan d’atténuation, dans lequel des contrôles ou des améliorations aux actifs existants sont mis en œuvre pour réduire le niveau de risque des actifs précédemment définis comme critiques.
En utilisant l’une de ces méthodologies ou une combinaison d’entre elles, il sera possible d’obtenir une vision aussi réaliste que possible des risques qui peuvent affecter la sécurité de l’information.
Chez GlobalSuite Solutions, nous disposons d’une équipe d’experts pour effectuer une analyse des risques de sécurité de l’information, en utilisant la méthodologie la plus appropriée en fonction de l’entreprise, ce qui peut vous aider à améliorer la gestion de la sécurité. Le logiciel GlobalSuite®, entièrement développé par notre équipe, vous permet de maintenir à jour et de gérer efficacement et avec une traçabilité complète toute analyse de risque.
