Afin de réaliser un état de vulnérabilité de votre environnement IT ou de vos systèmes il est impératif de pratiquer une analyse des risques.

L'analyse des risques est la clé de voute des mesures de sécurité organisationnelles et techniques que vous devrez mettre en place. De la même manière si vous initiez une démarche de continuité d'activité l'étape d'analyse des risques revêtira toute son importance dans la mesure où elle conditionnera les résultats de votre Plan de continuité d'activité.

C'est pourquoi ce mois ci nous souhaitons revenir sur une méthodologie d'analyse des risques afin d'en camper les grandes lignes.

L'évaluation des risques intervient en amont de la réduction des risques. Pour mener à bien cette activité nous vous proposons de passer en revue les 9 étapes de ce processus.

Étape 1 : Définition du périmètre

La première étape consiste à définir le périmètre sur lequel sera menée l'analyse des risques. A ce titre la première mission consistera à inventorier les actifs (matériels, logiciels, équipes de support, données, interfaces, processus, criticité des systèmes).

Une fois l'environnement opérationnel délimité il faut identifier les contraintes fonctionnelles (métier), l'utilisation qui en est faite, les politiques qui s'y appliquent, l'architecture du système, la topologie du réseau, le stockage des données, les flux de données, les contrôles techniques opérés, la sécurité physique.

La méthode de collecte de ces informations peut prendre la forme la forme d'interview terrain afin de collecter les informations utiles auprès des équipes IT. De questionnaires proposés aux opérationnels et utilisateurs. De revues de documentations telles que les cartographies applicatives, réseaux et tout autre document opérationnels et fonctionnels.

Enfin, vous pouvez vous appuyer sur des outils de collectes automatiques de données telles que des sondes de collectes des systèmes en place.

Étape 2 : Identification des menaces

Une menace est la cause potentielle d'une vulnérabilité. Une vulnérabilité est une faiblesse (faille) qui peut être intentionnellement ou non exploitée. Une menace associée à une vulnérabilité potentielle engendre un risque.

Cette étape consiste à identifier les menaces, c'est-à-dire les événements ou circonstance selon lesquelles l'environnement IT peut être altéré.

L'évaluation des menaces doit prendre en compte les menaces environnementales (inondation, feu, proximité d'un aéroport) et les menaces humaines (hacking, erreurs intentionnelles ou non, virus, chevaux de Troie, etc.).

A l'issue de cette étape vous devez être en possession d'une évaluation complète des menaces.

Étape 3 : Identification des vulnérabilités

Est appelé vulnérabilité toute faille ou faiblesse dans les procédures de sécurité, dans la conception; la mise en œuvre, ou les contrôles internes d'un système et qui pourraient être exploitée et conduire à une brèche de sécurité du système.

A présent il vous incombe pour chacune des menaces d'analyser les vulnérabilités qui pourraient être exploité et interagir avec l'environnement IT.

L'objectif de cette étape est donc de dresser une liste des vulnérabilités (faille ou faiblesse).

La méthode proposée pour identifier les vulnérabilités est l'identification des causes potentielles des vulnérabilités, de la performance des procédures de contrôle de sécurité et de la mise en œuvre d'une check-list d'exigences sécuritaires.

On peut d'ores et déjà mettre en exergue 3 typologies dépendantes de l'état de l'environnement IT :

Cas n°1 : A l'étape de conception de l'environnement IT l'identification des vulnérabilités doit reposer sur les politiques existantes, les procédures et processus, ainsi que les exigences des systèmes en cours de conception.

Cas n°2 : Si l'environnement est déployé il convient de faire un focus sur les mesures de sécurité intégrées dans les spécifications qui ont permis la conception. Mais aussi d'évaluer les tests sécuritaires réalisés.

Cas n°3 : L'environnement IT est opérationnel, le processus d'identification des vulnérabilités doit inclure une analyse complète des mesures de sécurité déployées, mais aussi des contrôles de sécurité réalisés (techniques et organisationnels) déployés pour protéger l'environnement IT.

A ce jour l'identification des vulnérabilités (techniques) peut être réalisée grâce à des outils de détection automatiques dont le rôle est de scanner à intervalles planifiés des groupes de systèmes. En revanche pour les vulnérabilités organisationnelles ou humaines les audits ou interview devront être privilégiées.

Enfin la mise en œuvre d'une "check-list" d'exigences devra balayer les périmètres :

• Organisationnels (affectation des rôles, revues de sécurité, évaluation des risques, formation et sensibilisation du personnel, investigation de sécurité lors des recrutements, etc.).
• Opérationnels (contrôle de la température, gestion des médias de sauvegarde, gestion des postes de travail, gestion de l'alimentation électrique,
• Techniques (cryptographie, audit des systèmes, détection d'intrusion, identification, authentification, gestion des habilitations)
  

Au regard de ces 3 items vous obtenez une liste de critères de sécurité qu'il vous faut traiter et "procédurer" afin que les vulnérabilités ne puissent être exploitées.

Étape 4 : Méthodes de contrôles

A cette étape l'organisme doit analyser les contrôles mis en œuvre ou à mettre en œuvre pour réduire ou éliminer le risque.

C'est une étape d'analyse dans laquelle les contrôles doivent être considérés en réponse au niveau de probabilité de la vulnérabilité, à l'intérêt que représente la menace pour l'attaquant, ou simplement à la nécessité de réduire l'impact d'un risque donné.

• Méthodes de contrôle : les contrôles de sécurité regroupent les dispositifs techniques et organisationnels. Les contrôles techniques sont ceux qui sont embarqués dans les matériels, logiciels, tels que les mécanismes d'identification, d'authentification, de cryptage, de détection d'intrusion. Les contrôles "non techniques" regroupent les politiques et procédures de sécurité, les contrôles opérationnels, les processus.

• Catégories des contrôles : Les méthodes de contrôles peuvent être scindées en 2 catégories "proactives" (préventives) et "réactives". La première permettant d'anticiper la violation, la seconde permettant d'en limiter l'impact.
  

Étape 5 : Détermination des probabilités

La probabilité qu'une vulnérabilité potentielle soit exploitée par une source de menace doit être classifiée comme élevée, moyenne ou faible.

• Élevé : La menace est très importante et facilement exploitable. Les contrôles existants pour prévenir les vulnérabilités sont insuffisants et/ou inefficaces.
• Moyenne : La menace est importante et facilement exploitable. Mais les contrôles sont en place pour éliminer l'exploitation de la vulnérabilité.
• Faible : La menace est peu importante et les contrôles sont en place pour éliminer l'exploitation de la vulnérabilité.
  

Étape 6 : Analyse d'impact

Avant de mesurer le niveau de risque (étape 7) cette étape doit permettre de déterminer les effets néfastes résultant de l'exploitation d'une vulnérabilité.
Préalablement à l'analyse d'impact, il est nécessaire de collecter les informations recueillies à l'étape 1 (Lien vers étape 1). Il 'agit entre autres des cartographies processus IT, l'évaluation de l'importance des actifs ou leur valeur vénale, la criticité des systèmes et données, etc.

L'analyse de ces éléments vous permettra de catégoriser l'impact potentiel sur ces informations en termes d'intégrité, de disponibilité et de confidentialité.

• La perte d'intégrité. L'intégrité d'un système ou de données référent à la capacité de protéger son patrimoine de toute modification cela implique aussi bien les actes intentionnels que accidentels.
• La perte de disponibilité. Un système ou des données rendu indisponible à des utilisateurs finaux peut compromettre le fonctionnement d'une entreprise.
• La perte de confidentialité. Elle réfère à la protection des données et notamment à la divulgation non autorisée.
  

Les niveaux d'impact des risques, tout comme les vulnérabilités, peuvent être classifiés selon 3 niveaux. Bien entendu pour certains risques tels que l'atteinte à l'image ou la notoriété le niveau de risque est difficilement mesurable en valeur financière.

• Élevé : Lorsque l'exploitation d'une vulnérabilité induit la perte d'actifs très couteux, ou présente un obstacle important dans la mission de l'organisation, ou altère sa réputation.
• Moyen : Lorsque l'exploitation d'une vulnérabilité induit la perte d'actifs ou présente un obstacle important dans la mission de l'organisation, ou altère sa réputation.
• Faible : Lorsque l'exploitation d'une vulnérabilité induit la perte de certains matériels ou actifs et qu'elle peut affecter la réputation.
  

Étape 7 : Détermination du risque

L'objectif de cette étape est d'évaluer le niveau de risque pesant sur l'environnement IT. Le risque est exprimé en fonction de la combinaison menace/vulnérabilité selon :

• La probabilité qu'une menace puisse exploiter une vulnérabilité
• L'importance de l'impact d'une menace exploitant une vulnérabilité
• L'adéquation des contrôles planifiés à des fins de réduction des risques
  

La méthode consiste à pondérer la menace sur des niveaux de 1 (faible) à 5 (élevé), et à déterminer l'impact sur des niveaux de 1 (faible) à 5 (élevé). Le facteur de ces deux valeurs vous donne le niveau de risque.

Voir la Matrice des niveaux de risques.

Description des niveaux de risque et actions associées :

• Élevé : Dans le cas d'un risque élevé la mise en œuvre d'une action corrective doit être immédiate.
• Moyen : Dans le cas d'un risque moyen des actions doivent être planifiées dans un délai raisonnable.
• Faible : S'agissant des risques faible soit il peut être accepté, soit faire l'objet d'actions correctives.
  

Étape 8 & 9 : Recommandation sur les contrôles et documentation

A ce stade il s'agit de mettre en œuvre les contrôles (ou mesure de réduction des risques) qui permettent d'éradiquer ou de limiter le risque à son niveau le plus faible.

Les mesures doivent être fournies au regard de leur efficience supposée, de l'impact opérationnel qu'elles peuvent avoir, de la législation en vigueur, des moyens à disposition de l'entreprise.