Risques Informatiques Elaboré par : OUSSAMA GHORBEL WISSEM CHEMKHI Pour plus de modèles : Modèles Powerpoint PPT gratuits Vendredi Le 21 JuinPage 20131 PLAN 1 Concepts de base 2 Gestion des risques 3 Risques informatiques 4 Niveau et facteurs de réduction Pour plus de modèles : Modèles Powerpoint PPT gratuits Page 2 1 Concepts de base I. Définitions (Risques, Risque informatique et management des risques) II. Enjeux III. Coûts et bénéfices IV. Classification et évaluation des risques 2 Gestion des risques 3 Risques informatiques Niveau et facteurs de réduction 4 Pour plus de modèles : Modèles Powerpoint PPT gratuits Page 3 1. Concepts de base I. Définitions 1.1. Définition de risque Le risque est la prise en compte par une personne de la possibilité de réalisation d'un évènement contraire à ses attentes ou à son intérêt. Lorsque la personne concernée agit malgré cette possibilité et s'expose ainsi à cette réalisation, on dit qu'elle prend un risque. Le risque est à distinguer de l'incertitude, notion plus générale, ou du danger, forme de risque pour laquelle l'intégrité physique est menacée. Pour plus de modèles : Modèles Powerpoint PPT gratuits Page 4 1.2. Définition de risque informatique Le risque informatique peut être désigné comme le risque métier associé à l'utilisation, la possession, l'exploitation, l'implication, l'influence et l'adoption de l'informatique dans une organisation (Origine Risk IT : ISACA) 1.3. Définition de management des risques Le management des risques est un processus mis en œuvre par le Conseil d'Administration, la direction générale, le management et l'ensemble des collaborateurs de l'organisation. Il est pris en compte dans l'élaboration de la stratégie ainsi que dans toutes les activités de l'organisation. Il est conçu pour identifier les événements potentiels susceptibles d'affecter l'organisation et pour gérer les risques dans les limites de son appétence pour le risque. Il vise à fournir une assurance raisonnable quant à l'atteinte des objectifs de l'organisation » ( Traduction Pour plus de modèles : Modèles Powerpoint du PPTCOSO gratuits II Report par l'IFACI, PriceWaterhouseCoopers et Landwell & Associés) Page 5 II. Les enjeux et défis 1.1. Enjeux • Toutes les entreprises dépendent fortement de leurs SI, • Les entreprises comme les SI sont en évolution constante, • Le risque informatique est un risque opérationnel majeur mais difficile à gérer, • Les métiers sont les premiers concernés par le risque informatique, • Le chiffre annuel de la cybercriminalité est d’environ 2 fois supérieur à celui de drogue (1000 M $). Parmi les cyber-attaques récentes on peut citer : Turbomeca en 2010 - espionnage industriel, Bercy en 2011 – 150 PC visités, Commission Européenne – attaques Bercy, Sony online Entertainment-Vol des données personnelles et d’informations cartes, … Pour plus de modèles : Modèles Powerpoint PPT gratuits (Origine Risk IT : ISACA) Page 6 1.2. Constats 1/2 Échantillon 351 entreprises (+ 200 salariés) en France • Accroissement de la dépendance des entreprises l’informatique (81% : Forte, 18% Modérée et 1% faible). à • La communication de la politique de sécurité informatique n’est pas communiquée à tous les acteurs du SI (74% dont 43% d’une manière proactive et explicite, le reste juste pour information). • La fonction responsable de la sécurité des systèmes d’information (RSSI) n’est pas identifiée par tous les entreprises (uniquement 54%). • L’inventaire et la classification des informations n’est pas effectuée d’une façon exhaustive par tous les entreprises (70 % dont 38 % n’ont procéder à cette nécessité). • Les entreprises n’utilisent pas des méthodes ou des référentiels pour l’analyse des risque (45 % et 35 % l’utilisent, Pour plus de modèles : Modèles Powerpoint PPT gratuits mais d’une façon partielle). Page 7 1.2. Constats 2/2 • Possibilité d’accès au SI à partir d’un poste de travail non maîtrisé (32% dont 1% sans aucune condition). • Plusieurs entreprise ne procèdent pas à la suivie de l’infogérance par des indicateurs de sécurité (37%). • Plusieurs entreprise ne procèdent pas à l’audit de l’infogérance par des indicateurs de sécurité (33% et 32% d’une façon ponctuelle et non pas récurrent). • La quasi-totalité des entreprises ne possèdent pas d’une formalité de peintes suite à des incidents liés à la sécurité informatique (90%). • Des entreprises qui ne procèdent jamais à l’audit de la sécurité des SI (21%). • Plusieurs entreprises ne procèdent pas à la mesure régulière de sécurité liée à l’information (79%). Pour plus de modèles : Modèles Powerpoint PPT gratuits (Club de la sécurité de l’information Français « CLUSIF », 2012) Page 8 1.3. Défis À notre avis, on peut conclure, à titre indicatif, les défis suivants : • La nécessité d’avoir des procédures et des méthodes satisfaisantes (exemples : politique de sauvegarde des fichiers et logiciels, normes de programmation ) qui constituent , en effet, une première présomption de la fiabilité et de la pérennité des logiciels développés. • La nécessité de maîtrise des risques de manipulation frauduleuses par les utilisateurs des SI. • La nécessité de l’implantation des mécanismes de sécurité de l’information au sein de l’ensemble des SI essentiellement les logiciels et applications informatiques. • La nécessité de réduire les risques d’opérations erronées ou frauduleuses de la part des informaticiens. La mise en place d’un bon contrôle interne au sein d’un service informatique doit être clairement explicités. Pour plus de modèles : Modèles Powerpoint PPT gratuits Page 9 Agressions physiques - Pertes de services essentiels Accidents – Incidents majeurs majeurs- Evénements naturels III. Coûts et bénéfices Coûts du sinistre Actions illicites Malveillance Défaillance matérielle Vols Atteinte à la maintenabilité Divulgations d’info Saturation de matériel Fréquence de survenue Compromission des informations et des fonctions Erreurs Pour plus de modèles : Modèles Powerpoint PPT gratuitsDysfonctionnements logiciels (Source : BAUDY N., Risques Informatiques et Assurances) Page 10 Les risques informatiques existent toujours que l’entreprise les aient détectés et reconnus ou non : La figure suivante montre qu’à chaque catégorie de risque informatique correspond une opportunité équivalente. Pour plus de modèles : Modèles Powerpoint PPT gratuits Page 11 Source : RISK IT, ISACA Il est important de conserver à l’esprit cette dualité risque/bénéfice lors de toutes les décisions relatives aux risques. Par exemple, les décisions doivent prendre en compte l’exposition consécutive à un risque non traité versus le bénéfice s’il est traité, ou les avantages potentiels que l’on peut engranger en saisissant des opportunités versus les avantages manqués si l’on renonce à ces opportunités. Pour plus de modèles : Modèles Powerpoint PPT gratuits Page 12 IV. Classification et évaluation des risques Risque Physique Accidents –Incidents Incidents majeurs Vols Agressions physiques Pertes de services essentiels Intentionnel Compromission des informations, des fonctions Risque Logique Actions illicites Malveillance Risque Humain Divulgations d’info Défaillance Saturation de matériel matérielle Atteinte à la maintenabilité Dysfonctionnements Pour plus de modèles : Modèles Powerpoint PPT gratuits logiciels (Source : BAUDY N., Risques Informatiques et Assurances) Fortuit Erreurs Page 13 La classification des différents impacts d’un dysfonctionnement d’un des actifs est souvent faite sur 4 niveaux : Pour plus de modèles : Modèles Powerpoint PPT gratuits Page 14 Pour plus de modèles : Modèles Powerpoint PPT gratuits Page 15 1 Concepts de base 2 Gestion des risques I. La méthode MEHARI II. Evaluation qualitative et quantitative 3 Risques informatiques 4 Niveau et facteurs de réduction Pour plus de modèles : Modèles Powerpoint PPT gratuits Page 16 I. La méthode MEHARI 1.1. Objectifs de la méthode MEHARI MEHARI est une démarche d’analyse et de gestion des risques, issue du CLUSIF, qui fournit un cadre méthodologique, des outils et des bases de connaissance pour : • Analyser et classifier les enjeux majeurs, • Étudier les vulnérabilités, • Réduire la gravité des scénarios de risques, • Piloter la sécurité de l’information Pour plus de modèles : Modèles Powerpoint PPT gratuits Page 17 1.2. L'approche modulaire de la méthode MEHARI L'analyse des enjeux L’analyse des enjeux de MEHARI permet d’évaluer la gravité de dysfonctionnements en DIC pouvant être causés ou favorisés par une faille ou un défaut de sécurité. Il s’agit d’une analyse totalement focalisée sur les objectifs et attentes des métiers de l’entreprise mettant à contribution les décideurs et le management de l’entreprise ou de l’entité considérée. Cette analyse se traduit par : •Une échelle de valeurs des dysfonctionnements potentiels, élément de référence centré sur les impacts métiers, •Une classification rigoureuse des actifs (informations et des ressources) du Système d’information, •Des processus d’assistance pour effectuer cette classification, •L’établissement de liens directs vers l’analyse détaillée des risques correspondants Pour plus de modèles : Modèles Powerpoint PPT gratuits (Source : www.ysosecure.com consulté Le 15/06/2013 ) Page 18 L’analyse des vulnérabilités L’analyse des vulnérabilités fournit une évaluation de la qualité (robustesse, efficacité, mise sous contrôle) des mesures de sécurité en place. La base de connaissance des mesures de sécurité de MEHARI est structurée par domaines et par services ayant des finalités précises de réduction de potentialité ou d’impact des situations de risques. Cette analyse des vulnérabilités permet de : •Corriger les points faibles inacceptables par des plans d’action immédiats, •Évaluer l’efficacité des mesures mises en place et garantir leur efficience, •Préparer l’analyse des risques induits par les faiblesses mises en évidence, •Comparer la maturité de son organisation avec l’état de l’art et la norme 27002. Pour plus deISO modèles : Modèles Powerpoint PPT gratuits (Source : www.ysosecure.com consulté Le 15/06/2013 ) Page 19 L’identification et le traitement des risques Avec MEHARI, l’analyse des risques permet d’identifier les situations susceptibles de remettre en cause un des résultats attendus de l’entreprise ou de l’entité, et d’évaluer la probabilité de ces situations, leurs conséquences possibles et leur caractère : acceptable ou non. L’analyse des risques met également en évidence les susceptibles de ramener chaque risque à un niveau acceptable. mesures Cette analyse des risques s’appuie sur un ensemble de scénarios précis et peut servir à : •Définir les mesures de sécurité les mieux adaptées au contexte et aux enjeux dans une démarche de management de la sécurité de l’information (SMSI), par exemple dans une démarche ISO 27001 •Mettre en place un management des risques et garantir que toutes les situations de risques critiques ont été identifiées, prises en compte et un plan d’action défini Pour plus de modèles : Modèles Powerpoint PPT gratuits (Source : www.ysosecure.com consulté Le 15/06/2013 ) Page 20 1.2. Limites de la méthode MEHARI MEHARI est une démarche d'analyse des risques de systèmes d'informations. Elle ne répondra pas efficacement à des besoins : • De formalisation d'expression de besoins de sécurité par exemple lors de la rédaction d'un cahier des charges de refonte d'une partie du système d'information, • De TPE/PME n'ayant aucune culture sécurité informatique et qui peuvent souhaiter qu'en une poignée de jours, soient définies les solutions de base de sécurité (sauvegardes, authentification, politique de sauvegarde, politique anti virale, ...) • D'analyse de conformité technique. Enfin si les concepts de MEHARI peuvent s'appliquer à d'autres domaines de la gestion des risques (risques opérationnels, risques scadas...), les bases développées actuellement au CLUSIF ne qu'aux risques liés aux systèmes d'information. Pour pluss'appliquent de modèles : Modèles Powerpoint PPT gratuits (Source : www.ysosecure.com consulté Le 15/06/2013 ) Page 21 II. II. Evaluation qualitative et quantitative des risques Pour exprimer le risque informatique en termes métiers Risk IT s’appuie sur plusieurs modèles : • COBIT : critères d’information ( efficacité, efficience, confidentialité, intégrité, disponibilité, conformité, fiabilité) • Tableau de bord prospectif détaillé : finance, client, processus internes, apprentissage et croissance • Westerman (IT Risk: Turning Business Threats into Competitive Advantage) : agilité, exactitude, accès, disponibilité • COSO ERM : stratégie, opérations, rapports, conformité • FAIR (Factor Analysis of Information Risk) : productivité, coût de traitement, coût de remplacement, avantage concurrentiel, juridique, réputation Pour plus de modèles : Modèles Powerpoint PPT gratuits Page 22 L’étape que les normes ISO appellent évaluation des risques est, en fait, une étape de jugement sur les caractéristiques acceptables ou non des risques qu’ils sont décrits 2.1. L’évaluation des risques pour leur gestion individualisées Le résultat de l’étape d’estimation est, pour ce type de management, une évaluation de l’impacte (I) et de la probabilité (P) de chaque risque Le support de décision peut ainsi être : • Une fonction de gravité du risque G = f (P, I), • Une table d’acceptabilité fonction de P et de I ci-dessous: Pour plus de modèles : Modèles Powerpoint PPT gratuits Page 23 2.2. Évaluation des risques pour leur gestion globale Le résultat de l’étape est, pour ce type de management, une note globale permettant une hiérarchisation des risques. La décision de traiter le risque ou non dépend alors d’un seuil de décision qui doit être fixé par un comité ad hoc. Pour plus de modèles : Modèles Powerpoint PPT gratuits Page 24 2.3. Risque Informatique et Roue de deming PDCA Pour plus de modèles : Modèles Powerpoint PPT gratuits (Origine Risk IT : ISACA) Page 25 1 Concepts de base 2 Gestion des risques 3 Risques informatiques I. Emplacement du risque informatique II. Matrice des risques et des contrôles III. Cartographie des risques IV. Les sinistres informatiques 4 Niveau et facteurs de réduction Pour plus de modèles : Modèles Powerpoint PPT gratuits Page 26 I. Emplacement du risque informatique Le risque informatique est une composante de l’univers des risques globaux de l’entreprise. Pour plus de modèles : Modèles Powerpoint PPT gratuits (AFAI : Risk IT, 2008) Page 27 II. II. Matrice des risques et des contrôles La matrice des risques et des contrôles présente : • À gauche : les risques identifiés et leur couverture par les contrôles • Au centre : les risques et des contrôles qui permet d’indiquer l’assertion des EF concernés par le contrôle clé. • À droite : les étapes de l’approche d’audit à documenter l’évaluation de la conception des contrôles et l’évaluation de leur fonctionnement. Pour plus de modèles : Modèles Powerpoint PPT gratuits (AFAI : Guide d’audit des applications informatiques, 2008) Page 28 III. III. Cartographie des risques • Le processus de cartographie des risques : positionnement des risques majeurs selon différents axes tels que l'impact potentiel, la probabilité de survenance ou le niveau actuel de maîtrise des risques. Son objectif est de permettre d'orienter le plan d'audit interne et d'aider le management à prendre en compte la dimension risque dans son pilotage interne. • Il existe en synthèse 4 types de cartographies identifiés autour des risques informatiques : • Cartographie des risques d'entreprise : pour suivre la maîtrise des principaux risques de l'entreprise • cartographie des risques Sécurité de l'information : pour protéger les actifs du SI au regard des menaces qu'ils encourent • cartographie des risques pour construction du plan d'audit : pour identifier l'exposition au risque et définir le plan d'audit • cartographie des risques liés à la fonction des Systèmes d'Information : pour Pour plus de modèles : Modèles Powerpoint PPTpiloter gratuits les processus DSI et la réussite des projets informatiques Page 29 IV. Les Sinistres informatiques Pour plus de modèles : Modèles Powerpoint PPT gratuits (Club de la sécurité de l’information Français « CLUSIF », 2001) Page 30 1 Concepts de base 2 Gestion des risques 3 Risques informatiques 4 Niveau et facteurs de réduction I. Le niveau du risque informatique II. Les solutions d’assurances III. Le plan de secoure informatique Pour plus de modèles : Modèles Powerpoint PPT gratuits Page 31 I. Le niveau du risque informatique • Lorsque la qualité d'un risque n'est pas jugée suffisante, nous ne proposons pas de garanties pour le couvrir. • Une assurance pour éviter de solliciter les fonds propres de l’entreprise : • Identification et analyse des risques • Méthodes qualité et procédures • Assurance contre les risques sévères • La qualité de protection d'une entreprise se mesure au degré de réactivité de ses Pour plus de modèles : Modèles Powerpoint PPT gratuits responsables. Page 32 II. Les solutions d’assurance 1.1. Couvertures contre les risques informatiques Entreprises Itinérants Production Gestion du réseau Pour plus de modèles :Architecture Modèles Powerpoint PPT gratuits Données et Applications Système d’Information Page 33 (Source : BAUDY N., Risques Informatiques et Assurances) 1.2. Les garanties Faits générateurs Garanties o Tous dommages matériels o Remplacement ou réparation des équipements o Dommages immatériels o Reconstitution des données malveillants o Dommages immatériels accidentels o Frais supplémentaires d’exploitation o Pertes d’exploitation Pour plus de modèles : Modèles Powerpoint PPT gratuits Page 34 (Source : BAUDY N., Risques Informatiques et Assurances) II. Le plan de secours PCA = Plan de Continuité d’Activité Pour plus de modèles : Modèles Powerpoint PPT gratuits (Club de la sécurité de l’information Français « CLUSIF », 2003) Page 35 Conclusion : ce qu’on doit retenir Une bonne maîtrise des risques informatiques : • Aide les responsables et le managers à se poser les questions clés, à prendre de meilleures décisions en tenant compte des risques, et à s’assurer que le risque informatique est géré de manière effective dans leur entreprise, • Permet de gagner du temps, de réaliser des économies et de limiter l’effort grâce à des outils pour traiter les risques métiers, • Intègre le management des risques métiers liés à l’informatique au management de risque global, • Aide le leadership à comprendre l’appétence et la tolérance aux risques. Le cadre Risk IT peut être considéré, à notre avis, comme un guide universel des bonnes pratiques dictées par les besoins des dirigeants d’entreprises Pour plus de modèles : Modèles Powerpoint PPT gratuits pour la maitrise des risques informatiques. Page 36 Bibliographie • ISACA, (2012), « Manuel de préparation CISA 2012 » Edition ISACA, • DERRIEN, Y., (1992), « Les techniques de l’audit informatique », Edition DUNOD, • BOUDRIGA, Z., (2012), « L’audit interne : organisation et pratiques », Edition Azurite, • BITTERLI, P. R. et al, (2008), « Guide d’audit des applications informatiques : une approche inspirée des audits financiers », AFAI, • BLEICHER, J. L., (2011), « Risk IT : Le management par le risque informatique, • BLEICHER, J. L., (2013), « Risk IT : Prenez le risque d’utiliser, • CLUSIF, (2009), « La gestion des risques : Concepts et méthodes », • CLUSIF, (2012),« Menaces informatiques et pratiques de sécurité France », Powerpoint PPT gratuits Pour plusen de modèles : Modèles • BAUDY, N., «Risques Informatiques et Assurances Page 37 Webographie • http://www.afai.fr/index.php?m=19 Consulté le 15/06/2013, • http://www.ysosecure.com/methodeMEHARI/methode-mehari.html Consulté le 15/06/2013. Pour plus de modèles : Modèles Powerpoint PPT gratuits Page 38