A N N E L U P F E R Prface de Herv Schauer

Gestion des risques

en

scurit de linformation
Mise en uvre de la norme ISO 27005

Groupe Eyrolles, 2008, 2010, ISBN : 978-2-212-12593-1

Prface
La norme ISO 27001 permet dorganiser sereinement la scurit de son systme dinformation sous forme dun systme de management de la scurit de linformation (SMSI). Cette norme ISO 27001 impose une approche par la gestion des risques, et lobligation de raliser une apprciation des risques est une caractristique fondamentale, en opposition avec les approches conformit. LISO 27001 prcise en un peu plus dune page ce que doit obligatoirement comporter une gestion des risques en scurit de linformation. Ctait un peu lger et la norme ISO 27005 est venue combler ce manque en dtail, tout en allant plus loin, car lISO 27005 sapplique non seulement aux SMSI mais tout type de situation, de manire autonome, tel un systme embarqu, par exemple. De nombreuses mthodologies avaient t dveloppes tant en France quailleurs, et dsormais lISO 27005 propose une mthode structure et normalise, une approche qui se dnit elle-mme dans la norme comme systmatique, cest--dire une approche rptable, que lon peut apprendre par une procdure pas pas. LISO 27005 est simple comprendre il ny a aucune notion trs complexe, elle utilise un vocabulaire conforme au langage courant et cohrent de bout en bout , elle est pragmatique et accessible tout type dorganisme, adapte la ralit complexe des socits actuelles, et permet de produire un travail exploitable et utile rapidement sans aucune tape irralisable, mme si la prcdente nest pas termine. La gestion des risques en scurit de linformation est une approche courante en France, mais pas partout dans le monde. Aux tats-Unis, par exemple, il est plus courant de voir une gestion des risques oprationnels dun ct et une gestion des risques purement informatiques de la DSI de lautre (exemple : RiskIT), et moins une approche globale scurit de linformation gre par le RSSI (responsable de la scurit des systmes dinformation). La mthode ISO 27005 devrait permettre une meilleure comprhension travers le monde. LISO 27005 a fait des choix structurants, comme lapproche par scnario dincidents, qui la rendent facilement accessibles ceux qui utilisaient des mthodes franaises comme Mehari ou Ebios, alors que la norme amricaine NIST SP 800-30 navait pas cette caractristique. LISO 27005 apporte une nouveaut fondamentale par rapport aux mthodes qui lont prcdes : la gestion des risques dans la dure, dans le temps. Il ne sagit plus de grer les risques en y travaillant dur quelques semaines, puis en recom-

Gestion des risques en scurit de linformation

menant son travail quelques annes plus tard, mais de grer les risques en scurit de linformation au quotidien. Ce changement majeur est impos par lapproche continue de lISO 27001, mais il reprsente le principal changement par rapport aux mthodes antrieures. LISO 27005 est galement la premire mthode qui impose la direction gnrale dtre parfaitement informe, et lui impose de prendre ses responsabilits en toute connaissance de cause, ce qui clarie les responsabilits et facilite les arbitrages budgtaires. LISO 27005 est une norme dont llaboration a impos de nombreux brouillons successifs pour obtenir un consensus international. Anne Lupfer ma suivi et ma accompagn dans mes lectures et commentaires de ces brouillons au sein de la normalisation. Anne Lupfer est entre chez HSC avec une exprience de gestion des risques dans lassurance. Elle a cr la formation la gestion des risques en scurit chez HSC et a t lune des premires mettre en uvre concrtement la mthode ISO 27005 en clientle. Cest la fois son exprience sur le terrain et ses changes avec les stagiaires que nous avons eu le plaisir de prparer la certication ISO 27005 Risk Manager que vous retrouverez dans cet ouvrage. Et comme toutes les normes, lISO 27005 est peu didactique, payante de surcrot, et vendue plus chre que ce livre qui offre en plus une partie entire dexemples concrets. Herv Schauer

VI

Table des matires

Avant-propos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
qui sadresse cet ouvrage ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 Structure de louvrage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 propos de lauteur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 Remerciements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4

Partie I La norme ISO 27005

Chapitre 1 Une norme bien particulire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
La gestion des risques en scurit de linformation : un processus perptuel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 Une amlioration continue dans la matrise des risques . . . . . . . . . . . . . 8 De la flexibilit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 Un processus qui se rpte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

Chapitre 2 Prsentation gnrale . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 Chapitre 3 Dfinitions pralables . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

Le point de dpart de la gestion des risques : lactif . . . . . . . . . . . . . . . . 19 Les actifs impalpables : les actifs primordiaux . . . . . . . . . . . . . . . . . . . . . . . . 19 Les actifs physiques : les actifs en support . . . . . . . . . . . . . . . . . . . . . . . . . . . 20 Le responsable de lactif : son propritaire . . . . . . . . . . . . . . . . . . . . . . . 21 La motivation de la gestion des risques : menace et vulnrabilit . . . . 21 Lactif, la cible de la menace . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 La faiblesse de lactif : la vulnrabilit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24 Des dispositifs visant rduire les risques : les mesures de scurit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24 Le lien avec la ralit : la vraisemblance . . . . . . . . . . . . . . . . . . . . . . . . . 25 Le rsultat des vnements : les impacts et les consquences . . . . . . . 26 Une suite dvnements : le scnario dincidents . . . . . . . . . . . . . . . . . . 27 Le risque . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28

VII

Gestion des risques en scurit de linformation

Lien avec les autres rfrentiels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .29 Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .30

Chapitre 4 Vue densemble des tapes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .31

tape 1 Organisation du processus de gestion des risques . . . . . . . . .31 Identifier les objectifs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .33 Hirarchiser les risques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .33 Dfinir le primtre dapplication du processus . . . . . . . . . . . . . . . . . . . . . . . .47 Les lments produits . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .50 Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .51 tape 2 Identification des risques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .51 Identification des composants du risque . . . . . . . . . . . . . . . . . . . . . . . . . . . . .55 Valorisation des composants du risque . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .71 Revue des rsultats . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .74 Les lments produits . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .75 Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .76 tape 3 Mesure de la porte des risques . . . . . . . . . . . . . . . . . . . . . . . .76 Rappel : deux mthodes de mesures . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .76 Estimation des consquences . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .78 Estimation de la vraisemblance des scnarios dincidents . . . . . . . . . . . . . . . . .81 Estimation des niveaux de risques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .81 Les lments produits . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .83 Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .84 tape 4 Dtermination de limportance des risques . . . . . . . . . . . . . . .85 Hirarchisation des risques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .86 Premire itration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .87 Les lments produits . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .87 Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .87 tape 5 Slection des solutions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .88 Choix de traitement du risque . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .88 Plan dactions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .94 Les risques rsiduels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .94 Deuxime point de dcision . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .95 Les lments produits . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .96 Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .96

VIII

Table des matires

tape 6 Prise de dcisions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97 Les lments produits . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98 Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99 Un processus transverse : la communication du risque . . . . . . . . . . . . . 99 Les lments produits . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101 Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102 Un autre processus transverse : le contrle et la rvision des risques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102 Contrler et rviser le processus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104 Les lments produits . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105 Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106 Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107

Partie II Les tudes de cas

Chapitre 5 Les risques dans les projets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111
Le contexte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111 La construction de la nouvelle mthode . . . . . . . . . . . . . . . . . . . . . . . . 112 Analyse de la mthode Incas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112 Analyse de la mthode existante . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118 Construction de la nouvelle mthode . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123 La proposition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124 tape 1 Dfinition du contexte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125 tape 2 Identification des risques mtier . . . . . . . . . . . . . . . . . . . . . . . . . . 126 tape 3 Analyse des risques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129 tape 4 Proposition des mesures de scurit . . . . . . . . . . . . . . . . . . . . . . . 132 tape de validation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134 tape 5 Suivi des mesures de scurit . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134 Vue densemble du processus construit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136 Tests de la mthode . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137 Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138

Chapitre 6 Les risques et la continuit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139

tape 1 tude du contexte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139 Le jeu de questions/rponses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140 Complments dinformation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148 tape 2 Dfinition de la dmarche . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149 Identification et valuation des actifs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149

IX

Gestion des risques en scurit de linformation

Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .159 tape 3 Apprciation du risque . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .159 Prparation lapprciation des risques . . . . . . . . . . . . . . . . . . . . . . . . . . . .159 Apprciation des risques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .166 Consolidation des rsultats . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .166 Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .168

Chapitre 7 Lorganisation et la scurit . . . . . . . . . . . . . . . . . . . . . . . . . . . . .169

Le contexte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .169 La mission : contraintes et besoins . . . . . . . . . . . . . . . . . . . . . . . . . . . . .170 Les exigences de la Direction Gnrale . . . . . . . . . . . . . . . . . . . . . . . . . . . . .170 Les dfis du RSSI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .171 Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .172 La prparation llaboration de la mthode . . . . . . . . . . . . . . . . . . . .173 La rencontre avec les collaborateurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .173 Lanalyse de la mthode de gestion des risques oprationnels du groupe . . . . . .173 Conclusion : lanalyse de cette mthode par le RSSI . . . . . . . . . . . . . . . . . . . .178 La mthode de gestion des risques construite par le RSSI . . . . . . . . . .179 tape 1 Identifier les processus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .179 tape 2 Identifier la rglementation applicable . . . . . . . . . . . . . . . . . . . . . .181 tape 3 Identifier les actifs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .181 tape 4 Identifier les menaces et les vulnrabilits . . . . . . . . . . . . . . . . . . . .183 tape 5 Estimer la vraisemblance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .183 tape 6 Slectionner les actifs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .184 tape 7 Construire les scnarios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .185 tape 8 Identifier les consquences . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .185 tape 9 Estimer les consquences . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .185 tape 10 Estimer la complexit de mise en uvre . . . . . . . . . . . . . . . . . . . .186 tape 11 Estimer les niveaux de risque . . . . . . . . . . . . . . . . . . . . . . . . . . .186 tape 12 valuation du risque . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .187 tape 13 Traiter les risques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .187 Lorganisation associe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .188 Le pilotage de la mthode . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .188 Le support la mthode . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .190 Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .191 Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .191

Table des matires

Partie III La norme ISO 27005 et les autres rfrentiels

Chapitre 8 Ce quil faut savoir sur les normes ISO . . . . . . . . . . . . . . . . . . . . 195 Chapitre 9 Interoprabilit entre les normes ISO 27001 et ISO 27005 . . . 199
La gestion du risque au cur de la norme ISO 27001 . . . . . . . . . . . . . 199 Le traitement des risques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209 La matrise des risques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210 Documenter les risques et les dcisions . . . . . . . . . . . . . . . . . . . . . . . . 210 Limplication de la Direction dans la gestion des risques . . . . . . . . . . 210 La formation et la sensibilisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211 Les audits et le processus de gestion des risques . . . . . . . . . . . . . . . . . 211 Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211

Chapitre 10 Interoprabilit entre la norme ISO 27005 et les normes ISO 20000-1, ISO 38500 et ISO 31000 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213
Interoprabilit entre les normes ISO 20000-1 et ISO 27005 . . . . . . . . 213 La gestion du risque . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213 Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 214 Interoprabilit entre les normes ISO 38500 et ISO 27005 . . . . . . . . . . 215 Points communs entre les deux normes . . . . . . . . . . . . . . . . . . . . . . . . . . . . 215 La place du risque dans la norme ISO 38500 . . . . . . . . . . . . . . . . . . . . . . . 216 Les piliers pour la prise de dcision . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 216 Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 216 Interoprabilit entre les normes ISO 31000 et ISO 27005 . . . . . . . . . . 217 Les principes de pilotage du risque . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 218 La politique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 219 Les rles et responsabilits . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 219 La communication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 219 Le contrle et la rvision du processus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 221 Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 221 Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 221

Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 223 Bibliographie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 225 Index . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227

XI

Avant-propos
La gestion des risques est une discipline pratique depuis fort longtemps dans lindustrie ou lassurance. Cette dernire en a mme fait son cur de mtier ! Depuis quelques annes, les entreprises adoptent des mthodes de pilotage de lactivit par les risques et les coles enseignent une nouvelle matire : la gestion du risque. Cette science, appele science des cindyniques, reste tout de mme peu accessible et peu documente, ce qui entrane de fortes disparits entre les entreprises et les quelques mthodes existantes. Le domaine de la scurit de linformation ne fait pas exception et ne possde que trs peu de mthodes de gestion des risques. La publication de la norme ISO 27005 est probablement le dbut dun changement majeur dans le domaine de la scurit de linformation. Cette norme facilite la gestion des risques : en sadaptant tous les contextes, elle est un des meilleurs atouts pour russir une analyse des risques.

qui sadresse cet ouvrage ?

Cet ouvrage sadresse toute personne souhaitant matriser les risques de son activit. Si vous tes dcideur, vous devez prendre en compte tous les risques affrents votre champ de responsabilits. Les risques en scurit de linformation sont donc dans votre primtre. Grce ce livre, vous apprhenderez concrtement les problmatiques de gestion des risques en scurit de linformation. Vous apprendrez notamment comment les intgrer une gestion des risques globaux. Si vous tes amen convaincre votre responsable ou mme la Direction de mener un projet, de raliser des investissements ou tout simplement de prendre certaines dcisions, cet ouvrage vous donnera les moyens daccomplir votre mission. Vous dcouvrirez les mthodes pour faire passer des messages forts et marquants qui feront immdiatement adhrer la Direction votre cause. Si vous avez la charge didentier les risques pour votre activit, ce livre vous donnera les lments pour y parvenir avec ou sans mthode impose par votre hirarchie. Vous discernerez les subtilits de la gestion des risques, vous permettant ainsi dviter tous les piges et de franchir avec succs les obstacles. Cet ouvrage vous transmettra les cls de la cohsion des rsultats.

Gestion des risques en scurit de linformation

De plus en plus, la gestion des risques est centralise dans les entreprises. Tous les risques (risques juridiques, risques mtier, risques informatiques, etc.) sont traits ensemble, en suivant une seule mthode, par des personnes cls de lentreprise. Vous tes donc acteur de ce processus. Cet ouvrage vous permettra didentier les risques en scurit de linformation les plus stratgiques pour votre entreprise. Des lments de diverses mthodes de gestion des risques telles que Mehari et Ebios sont intgrs dans cet ouvrage de manire vous encourager les utiliser intelligemment. Ainsi, vous pourrez construire une mthode de gestion des risques parfaitement adapte votre contexte ainsi qu vos objectifs. Tous les lments ncessaires la construction de votre mthode de gestion des risques vous seront communiqus. Par le traitement de cas rels, nous vous aiderons rpondre aux problmatiques de hirarchisation des risques et de leurs traitements. Louvrage porte sur la norme ISO 27005:2008 mais ne ncessite des connaissances ni des normes ISO 2700x ni de la gestion des risques.
Convention Lanne de parution de la norme est stipule aprs la rfrence de la norme. Dans cet ouvrage la version publie en 2008 est utilise. Concernant la norme ISO 27001, la version de 2005 est employe en rfrence. Nous respecterons cette convention mais des carts peuvent tre faits sans remettre en cause la comprhension.

Structure de louvrage
Cet ouvrage, divis en trois parties, aborde dans un premier temps le texte de la norme. En suivant une structure identique celle-ci et en intgrant les annexes au fur et mesure, il facilite la manipulation du texte normatif. Bien entendu, le processus de gestion des risques en scurit de linformation tant par nature itratif dans la pratique (ce que nous verrons par la suite), cet ouvrage fera ofce de guide dans les allers-retours ncessaires entre les diffrents lments de la norme. La deuxime partie est consacre la mise en application sur le terrain. Elle saffranchit de la structure rigide de la dmarche et permet daborder la gestion des risques en entreprise. Enn, nous navons pu faire lconomie dune dernire courte partie, consacre la compatibilit de la norme ISO 27005 avec les autres normes ISO et la gestion des risques en gnral. Pour faciliter la lecture, chaque sous-processus de la norme fera lobjet dune prsentation concise avant dtre dtaill selon la structure suivante : entres, activits, sorties. Ces paragraphes seront agrments dencadrs permettant de prciser certains lments tels que les bonnes pratiques ou la conformit la norme ISO 27001:2005. Pour faciliter la comprhension des concepts, nous proposons de nombreux schmas, qui recourent aux conventions rsumes dans le tableau ci-aprs.

Avant-propos

Convention de lecture des schmas

Schma

Intitul Informations

Description Ce pictogramme symbolise les informations. Ces informations peuvent se situer en entre ou en sortie dune activit ou dun processus. Ce pictogramme symbolise les documents. Les documents peuvent tre utiliss en entre dune activit ou dun processus et tre produits en sortie dune activit ou dun processus. Ce pictogramme symbolise les processus ou les activits du processus de gestion des risques. Cette che symbolise le sens de direction vers lactivit ou le processus. Dans ce cas, les documents ou informations sont des lments dentre du processus ou de lactivit. Cette che symbolise le sens de direction depuis lactivit ou le processus. Dans ce cas, les documents ou informations seront des lments de sortie du processus ou de lactivit.

Informations

Document
Document

Processus ou activit

Processus ou activit Entre

Sortie

propos de lauteur
Son diplme dingnieur dcroch, Anne Lupfer rejoint une socit de conseil spcialise en scurit de linformation. Aprs quelques missions techniques, elle soriente vers la gouvernance de la scurit des systmes dinformation et la mise en uvre de la norme ISO 27001. La parution de la norme ISO 27005 lui permet dapprofondir le sujet passionnant de la gestion des risques en scurit de linformation. Elle conoit plusieurs formations et publie quelques articles sur le sujet. Non satisfaite de ne pas pratiquer pleinement, elle devient chef de projet dans une entreprise franaise, ce qui lui permet de grer les risques mtiers quotidiennement et de mettre ainsi en pratique la thorie.
Site web Retrouvez Anne Lupfer pour changer sur le livre et la gestion des risques sur le site : http://anne-lupfer.com

Chapitre 1

Une norme bien particulire

La norme ISO 27005, au contraire des autres rfrentiels en gestion des risques, permet de construire des rsultats qui voluent avec lorganisme. Tout changement mineur ou majeur peut tre intgr dans le processus de gestion des risques. Grce elle, nis les rsultats obtenus aprs des mois de dur labeur que personne nose faire voluer, au risque de travailler des lments obsoltes ! La norme ISO 27005 se distingue des autres mthodes de gestions des risques en adoptant : un processus continu qui vit au l des annes ; une amlioration continue qui se base sur la roue de Deming mais pas uniquement ; un niveau de dtails fortement li au contexte et aux objectifs de la dmarche ; un processus itratif qui vise afner les rsultats chaque itration.
Quest ce quun processus ? Un processus est form dune action ou dune suite dactions utilisant des lments en entre et permettant la construction dlments en sortie. Les processus sont souvent en entre dautres processus, car un processus est rarement isol : il interagit avec les autres processus. La norme ISO 27005 suit cette logique en dcrivant le processus global de gestion des risques.
Ce chapitre se base sur les paragraphes 5, 6 et 8.2.2 et sur lannexe E de la norme ISO 27005.

La gestion des risques en scurit de linformation : un processus perptuel

Le processus de gestion de la scurit de linformation doit tre un processus continu dans lequel le processus de gestion des risques en scurit de linformation devra sinscrire. Ce processus couvre la dnition des objectifs, des contraintes, lapprciation des risques et leurs traitements en utilisant un plan de traitement des risques pour mettre en uvre les recommandations et les dci-

Partie I La norme ISO 27005

sions. La gestion des risques permettra danalyser ce qui peut se produire et quelles en seront les consquences pour lorganisme avant de dcider ce qui doit tre fait et de rduire les risques un niveau acceptable dni par lorganisme lui-mme. Le processus de gestion de la scurit de linformation doit contribuer : identier les risques ; estimer les risques en termes de consquences sur le mtier et de probabilit doccurrence ; communiquer autour de ces consquences et des probabilits doccurrence ; sassurer de la comprhension par chacun ; tablir les priorits entre les actions visant traiter les risques ; tablir des priorits dans les actions pour rduire les occurrences des risques ; impliquer les parties prenantes dans les prises de dcisions et les informer des niveaux des risques ; suivre lefcacit des mesures de traitement du risque ; superviser le processus de gestion des risques ; sensibiliser lensemble des quipes la notion de risque et aux actions conduire pour les matriser. Toutes ces actions doivent tenir compte des changements et peuvent tre conduites sur lensemble de lorganisme ou sur un sous-ensemble.

Une amlioration continue dans la matrise des risques

La norme ISO 27005:2008 adopte le modle damlioration continue plan-docheck-act (PDCA). Ce modle est fond sur quatre phases : plan (planier) : prvoir ce qui doit tre ralis en fonction des objectifs ; do (faire) : mettre en uvre les actions planies ; check (contrler, vrier) : sassurer de la mise en uvre des actions et de leur adquation avec les objectifs ; act (agir) : dnir les actions correctives et prventives suite aux contrles. Ces quatre phases senchanent soit squentiellement, soit simultanment, ce qui permet lemploi de ce modle sur lensemble dun processus et de ses sousprocessus simultanment. Ceci prsente lavantage, pour le gestionnaire des risques, de proposer une mthode adapte au contexte de lentreprise tout en samliorant au l du temps.

Chapitre 1 Une norme bien particulire

Par lapplication de ce modle, la norme ISO 27005:2008 se conforme aux exigences de la norme ISO 27001:2005 et, par consquent, elle sintgre pleinement dans un processus de gestion de la scurit de linformation.

Dfinition des objectifs Apprciation du risque Construction du plan dactions Prise de dcisions

Plan

Mise en uvre du plan dactions

Do

Ac t
C

Amlioration continue du processus

c he

Contrle et rvision continue des risques

Figure 1-1 : Alignement du processus de gestion des risques dans le SMSI

De la flexibilit
La norme ISO 27005:2008 tente de sadapter un maximum dorganismes possdant des objectifs et des moyens varis. Pour ce faire, la dmarche propose de jouer sur les niveaux de dtails accords aux rsultats et aux diffrentes tapes. Deux grands niveaux se dmarquent (aboutissant deux dmarches distinctes) : haut niveau et niveau dtaill. Ces niveaux seront employs en fonction du niveau de matrise de lorganisme. Tout organisme tendra progressivement vers une dmarche fournissant des rsultats de plus en plus dtaills. Le processus de gestion des risques dcrit par la norme ISO 27005:2008 sera adapt en fonction des objectifs. Deux lments distinguent ces deux dmarches : les rsultats obtenus et les activits ralises dans le cadre du processus de gestion des risques. Une dmarche dite de haut niveau fournira des rsultats tourns vers la stratgie de lorganisme, au dtriment des aspects technologiques. Cette dmarche permet dadresser des risques gnriques par domaine, activit ou processus. lissue de la dmarche dite de haut niveau, des dispositifs de scurit peuvent tre proposs. Ils seront choisis de manire tre communs et valides tout le systme. Cette dmarche consiste donc mener une analyse par grandes lignes linverse de lapprciation dtaille des risques, qui ncessite, comme son nom lindique, de rentrer dans les dtails. La dmarche dtaille traitera des risques lis aux actifs ou des groupes dactifs. En fonction de la prcision des rsultats attendus, cette dmarche

Partie I La norme ISO 27005

demande des efforts considrables et lintervention dexperts. De fait, contrairement lapprciation de haut niveau, lapprciation dtaille offre une garantie dexhaustivit. Le choix de lune ou lautre de ces approches sera fonction des objectifs et des moyens de lorganisme. Une apprciation des risques de haut niveau sera privilgie pour la dnition des priorits et lordonnancement des actions. Lorsque les moyens nanciers sont limits, les deux approches sont combines. Lorsque les dlais impartis et les ressources sont disponibles, laccent est mis sur lapprciation de haut niveau qui permettra de mener des apprciations dtailles sur des sousensembles identis. Dans un premier temps, une apprciation de haut niveau est conduite. Dans un deuxime temps, une apprciation dtaille des risques devra tre mene sur les risques identis comme prioritaires. Le tableau ci-joint illustre ces propos et permet de choisir quelle dmarche utiliser.
Tableau 1-1 : Choix de la dmarche

Apprciation des risques haut niveau Positionnement temporel Dcalage de temps important (suprieur 1 an) entre le choix de la dmarche et le dploiement des mesures de scurit Uniformisation des diffrentes dmarches de lentreprise Intgration de la dmarche dans dautres projets tels quun plan de continuit dactivit ou un projet de sous-traitance Identication des risques dans un projet Possibilits de la dmarche Identication et valuation des actifs, des consquences sur les actifs et de leurs vulnrabilits Identication de dispositifs de scurit lis lorganisation et au management Constitution dun calendrier de mise en uvre de lorganisation autour de la scurit de linformation et du processus de gestion des risques X X X 1er temps 1er temps 1er temps 2e temps 2e temps 2e temps 1er temps dtaille

10

Chapitre 1 Une norme bien particulire

Bonne pratique : choisir les outils Dans le cas dun projet de dploiement dun outil de gestion dincidents, lidentication dtaille des risques permet dvaluer le niveau de sensibilit de la base dincidents. Si le niveau est faible, tous les outils et solutions informatiques rpondront aux contraintes de scurit appliquer sur la base dincidents. En revanche, si un besoin de condentialit fort est requis, des dispositifs de scurit, parfois difciles mettre en uvre, seront demands.

Le tableau prcdent met en avant le fait que dans la majorit des cas, le processus de gestion des risques dbute par une apprciation de haut niveau. Cependant, la gestion des risques dans les projets fait exception la rgle. Dans ce cas, les risques seront immdiatement dtaills de manire orienter rapidement le projet et formuler les exigences scuritaires.
Pour tre conforme la norme ISO 27001 La norme ISO 27001 demande de mettre en place une organisation de la scurit de linformation au sein de lorganisme. Pour rpondre cette exigence efcacement, la meilleure solution est dadopter une apprciation des risques de haut niveau. Ceci prsente lavantage de raliser une premire itration du processus de gestion de risques exige rapidement par la norme et de pouvoir ainsi corriger le processus si besoin.

En rgle gnrale, il est intressant dadopter une dmarche en deux temps. Dans un premier temps, au cours dun processus de haut niveau, seront identis les domaines pour lesquels les amliorations en termes de scurit de linformation sont les plus ncessaires. Dans un deuxime temps, une apprciation des risques dtaille sera mene sur les domaines et les risques identis prcdemment comme prioritaires. Cette dmarche permet un gain de temps dans les phases dacceptation de la dmarche car la phase de haut niveau sera plus simple que lapprciation dtaille des risques. Ainsi, lapprciation des risques de haut niveau peut tre adopte comme un outil pdagogique et de communication. Ces deux mthodes ont pour point commun la variabilit du niveau de dtails des rsultats. Dans la suite de cet ouvrage, cet aspect complexe de la gestion des risques sera abord plusieurs reprises.

Un processus qui se rpte

Comme le montre le schma global du processus de gestion des risques ciaprs et le laisse entendre le paragraphe prcdent, le processus de gestion des risques possde la particularit dtre itratif. Cette caractristique est favorise par deux points de dcision intgrs au processus global de gestion des risques. Point de dcision n 1 : si les rsultats lissue de lapprciation des risques ne sont pas convaincants, le processus de gestion des risques sera repris depuis ltape dtablissement du contexte.

11

Partie I La norme ISO 27005

Point de dcision n 2 : si les rsultats lissue du traitement des risques ne sont pas convaincants, le processus de gestion des risques sera repris soit depuis ltape dtablissement du contexte soit depuis ltape de traitement des risques.

valuation du risque

Point de dcision n1 relatif au risque Oui

Non

tablissement du contexte

Traitement du risque

tablissement du contexte Point de dcision n2 relatif au risque Oui Non Traitement des risques

Acceptation du risque

Figure 1-2 : Processus itratif deux points de dcision

Le processus peut tre itratif pour lapprciation des risques et/ou lactivit de traitement des risques. Ceci se traduit concrtement par plusieurs questions. Au point de point de dcision n 1 : est-ce que lapprciation des risques fournit des rsultats satisfaisants ? Au point de point de dcision n 2 : est-ce que les actions de traitement des risques sont ralisables ? est-ce que les risques rsiduels ont t amens un niveau acceptable ?
Bonne pratique : prendre des dcisions Au risque de choquer le lecteur, si la rponse la question prcdente ( Est-ce que les risques rsiduels ont t amens un niveau acceptable ? ) est : non, seulement 10 % des risques ont t rduits un niveau acceptable , deux solutions soffrent alors au gestionnaire des risques : rduire les seuils dacceptation des risques (phase dtablissement du contexte) ou proposer des mesures de scurit supplmentaires (phase traite-

12

Chapitre 1 Une norme bien particulire

ment du risque). Lors des premires itrations, la solution la mieux adapte la ralit est la baisse des seuils prcdemment tablis. Ce point, dune forte importance philosophique, sera abord en dtails dans la suite de louvrage.

La dimension itrative du processus de gestion des risques entrane une amlioration du niveau de dtail au l des itrations, ceci permet de trouver le bon quilibre entre le temps et leffort fournis pour identier les mesures de scurit, tout en sassurant que les risques importants sont couverts. En pratique, en plus du temps, les facteurs limitatifs seront les ressources nancires.

Conclusion
Lensemble de ces concepts (processus continu, amlioration continue, niveau de dtail et processus itratif) contribue la particularit du processus de gestion des risques tel que dcrit dans la norme ISO 27005:2008. Ils permettent la souplesse et la maniabilit de la norme et facilitent ainsi son adaptation et son utilisation. Grce ces concepts, le gestionnaire des risques matrise parfaitement les rsultats et se trouve dans une optique diffrente de celle propose par les autres mthodes. Quand dautres mthodes sont trs longues initialiser et demandent des travaux dinventaire pour obtenir une photographie de lensemble des risques sur un primtre donn, la norme ISO 27005:2008 recommande de fournir des rsultats de haut niveau permettant damorcer le processus et de progressivement matriser ses risques tout intgrant les volutions de lorganisme. Cela se traduit, dans le cas des autres mthodes, par un tableau de gestion des risques que lquipe ne fera pas vivre et sur lequel elle se basera. Bien que devenu obsolte, il sera utilis pendant des annes an de rentabiliser (parfois inconsciemment) le travail fourni initialement. Avec la norme ISO 27005:2008 le gestionnaire de risques et son quipe feront au contraire vivre les rsultats et pourront ainsi rpondre la stratgie de lorganisme. Nous faisons ici abstraction de la difcult que peut comporter une mthode classique de gestion des risques dans lvolution des rsultats.

13

Chapitre 5

Les risques dans les projets

Souvent cit en exemple dans cet ouvrage, un cas pratique de gestion des risques dans les projets devait tre prsent. Ce sera le premier cas trait dans ce chapitre. Lapplication de la norme ISO 27005 dans le cadre de projets est particulire du fait de la nature des projets par rapport un processus ou une activit. En effet, un projet a, en moyenne, une dure de vie plus courte quune activit ou un processus. Contrairement ces deux derniers, le projet volue peu. Ce chapitre a pour objectif daider le lecteur crer sa propre dmarche de gestion des risques dans les projets. Dans le cas prsent, lobjectif est didentier, en amont du projet, les risques nouveaux que ce dernier est susceptible dengendrer. Il convient donc de lister les vnements pouvant se produire sur le systme et causer des dommages. Malheureusement, le gestionnaire des risques a fait le choix de ne pas traiter les risques engendrs par le projet sur le reste de lentreprise. Ces risques ne sont donc pas dans le primtre de ltude. Seuls des risques internes au projet sont abords par la dmarche propose. Une autre particularit est que les mesures de scurit sont dcides ds le lancement du projet puis dployes une fois pour toutes.

Le contexte
Lentit franaise dun groupe international emploie sa propre mthode de gestion des risques depuis une dizaine dannes. Cette dmarche est issue et adapte de la mthode franaise Incas (Intgration dans la conception des applications de la scurit) publie dans les annes 1990. Comme dans tout groupe international, la tendance est lhomognisation des outils de travail. La mthode de lentit franaise est retenue comme rfrentiel de gestion des risques dans les projets car elle a fait ses preuves plusieurs reprises. Cependant, pour tre adopte mondialement, il est indispensable quelle fasse lobjet dune mise niveau. La nouvelle mthode devra respecter les principes de la

111

Partie II Les tudes de cas

norme ISO 27005 et les exigences des normes ISO 9001 et ISO 14001. Cette conformit est un argument majeur auprs des autres pays et indispensable pour assurer ladhsion de lensemble des quipes et surtout des entits amricaines et japonaises dj certies.
Bonne pratique : jouer de ses atouts ! Ladhsion des employs la dmarche choisie est le premier facteur de russite. Pour latteindre, le gestionnaire des risques doit mettre tous les atouts de son ct. Ces lments diffrenciateurs devront tre exploits au maximum. Ils pourront par exemple tre utiliss comme lments de communication.

La Direction Gnrale jugeant la construction de la mthode prioritaire, elle nomme une quipe spciquement pour ce projet. Deux jalons sont dnis : la cration de la mthode et la validation de la mthode.
Bonne pratique : choisir les bons arguments Souvent dans les entreprises la conformit un rfrentiel est utilise comme argument pour favoriser lacceptation des mthodes par les employs. Dans la majorit des cas, ladhsion ne se produit pas et, au contraire, les demandes sont perues comme des contraintes. La bonne attitude est de promouvoir laction et de prsenter la conformit comme un avantage pour lentreprise.

La construction de la nouvelle mthode

Dans un premier temps, lquipe, compose du RSSI lorigine de lancienne dmarche et dun consultant choisi pour sa connaissance des normes ISO, va laborer la mthode de gestion des risques du groupe ainsi que les outils associs. Avant de slancer dans le travail de rvision de la mthode existante et puisque lobjectif premier de la mthode est la mise en conformit la norme ISO 27005, il convient didentier les points forts et faibles de la mthode existante et les carts avec la norme ISO 27005. Lanalyse dbute par une prise de connaissance de la dmarche Incas, ligne directrice de la mthode moderniser. Elle se poursuit sur lanalyse de la mthode existante an didentier ses forces et faiblesses. Une fois lanalyse ralise, la nouvelle mthode peut tre construite.

Analyse de la mthode Incas

Il est important ici de se servir de lhistorique. Se remmorer la mthode Incas est une tape essentielle, qui favorisera la comprhension de la mthode employe permettra de sassurer et, que les choix de modication dIncas raliss sont peut tre toujours pertinents. Cette tape est donc susceptible daugmenter les chances de russite de lquipe.
Le saviez-vous ? En 1992, une dmarche dintgration de la scurit dans les mthodes de conduite de projet (Incas.V1) est mise disposition des chefs de projets. Elle est le rsultat dun tra-

112

Chapitre 5 Les risques dans les projets

vail de Ren Hanouz pour le Clusif. Puis, en 1996, cette dmarche saffranchit des mthodes de conduite de projet et devient Incas.V2. La dmarche est actualise partir des modlisations et des standards disponibles sur le march tels que lapproche Merise, lapproche Objet, etc.

Les critres dvaluation des risques Comme toute mthode, Incas sappuie sur des critres pour attribuer des valeurs aux risques de manire les comparer. Deux types de critres sont combins pour obtenir une valeur unique par risque dnie dans un tableau de synthse : les besoins de scurit dun projet mesurant le niveau de scurit requis sur le projet ; la gravit du risque identi traduisant limpact du risque sur le projet.
Mesurer les besoins de scurit dun projet

Incas utilise quatre critres de scurit pour mesurer les besoins de scurit du projet : la disponibilit, garantie de continuit de service et de performance des applications, du matriel et de lenvironnement organisationnel ; lintgrit, garantie dexactitude, dexhaustivit, de validit de linformation et de non-modication illicite de linformation ; la condentialit, garantie de non-accs illicite en lecture ou de nondivulgation de linformation (papiers, cls USB, portables, etc.) ; la preuve ou contrle, garantie de contrle (au sens audit) et de nonrpudiation.
Mesurer la gravit dun risque

Incas dnit une grille daversion au risque (voir tableau 5-1 : Grille daversion au risque) cest--dire le ressenti vis--vis du risque qui a pour objectif destimer la gravit (ou limportance) du risque suivant les critres dimpact et de potentialit du risque. Linterprtation de cette matrice permet de dterminer un niveau de gravit du risque. Incas dnit deux niveaux : faible et accept et inacceptable , tels que dcrits dans le tableau 5-2 : Interprtation de la grille daversion aux risque. Si la gravit du risque est estime comme inacceptable, alors un plan de traitement des risques doit tre tabli. Ce plan de traitement des risques doit planier le dploiement des mesures de scurit adaptes et quilibres la gravit des risques et au plan conomique. En dautres termes, les mesures doivent tre cohrentes. Cest--dire, que pour traiter un risque daversion de valeur 1 , la mesure devra tre peu coteuse et demander de faibles ressources pour le dploiement et le suivi. linverse, pour traiter les risques daversion 4 , la mesure pourra ncessiter de forts investissements nanciers, le cot tant relatif lentreprise. Il convient dappliquer une rgle simple : les cots engags doivent tre relatif au niveau daversion du risque.

113

Partie II Les tudes de cas

Tableau 5-1 : Grille daversion au risque

Impact 1 0 Probabilit 1 2 3 4 0 0 0 1 1 2 0 1 1 2 2 3 0 2 3 3 3 4 0 3 4 4 4

Tableau 5-2 : Interprtation de la grille daversion

Aversion du risque 0 ou 1 2, 3 ou 4 valuer les risques

Gravit du risque Faible et accepte Inacceptable

La dmarche Incas propose une chelle de rfrence pour lvaluation des risques. Cette chelle est reproduite ci-aprs :
Tableau 5-3 : chelle dvaluation des risques

Niveau 4 Stratgique

Description Tout incident susceptible de provoquer : des pertes nancires inacceptables (ex : centaines de millions deuros, et milliards) ; des pertes immdiates dune activit ou dun mtier de lentreprise ; des sanctions judiciaires au plus haut niveau de responsabilit (ex : checs de ngociations de niveau politique ou conomique). Tout incident susceptible de provoquer : des pertes nancires importantes (ex : quelques dizaines de millions deuros cent millions deuros) ; une nuisance grave limage de marque ; une perte importante de marchs, clientle ; une infraction majeure la lgislation ; une nuisance organisationnelle juge importante sur lensemble de lentreprise ; une gne susceptible de fausser les dcisions et les orientations des dirigeants.

3 Critique

114

Chapitre 5 Les risques dans les projets

Tableau 5-3 : chelle dvaluation des risques (suite)

Niveau 2 Sensible

Description Tout incident susceptible de provoquer : des pertes nancires signicatives (quelques centaines de kilo euros dix millions deuros) ; une nuisance signicative limage de marque ; une perte signicative de clientle ; une nuisance organisationnelle juge signicative par lutilisateur ; un manquement la rglementation comptable ou scale ; la non-atteinte des objectifs viss par un projet important. Tout incident susceptible doccasionner de faibles nuisances, interne au domaine considr et peu gnant pour lutilisateur.

1 Faible

Remarque Les donnes de ce tableau devraient, bien entendu, tre relatives lorganisme et non gnriques comme cest le cas ici !

Concernant lvaluation du risque, la dmarche Incas mentionne quune valuation prcise et quantie des niveaux de risques nest possible quau fur et mesure du temps. Cette valuation sappuiera en effet sur lexprience acquise et sur la comparaison entre applications. La dmarche Incas rejoint donc en quelque sorte la norme ISO 27005 puisquelle prconise galement un processus itratif tenant compte de lhistorique et des volutions. Les diffrentes tapes La dmarche Incas se dcompose en tapes intervenant chaque phase cl de dploiement du systme tudi. Le schma ci-aprs, extrait de la documentation sur la dmarche, offre une vue densemble des actions raliser. Le tableau ci-aprs dcrit chacune des tapes de la dmarche et les nuance en fonction de ltat davancement du projet. Ces variations ne sont pas dtailles

115

Partie II Les tudes de cas

Les tapes de la dmarche Incas Acteurs Actions de scurit Livrables

Recensement des activits dont la gravit du risques est suprieure 1 Fiches gravit des risques sur les activits

Matre douvrage Matre duvre Scurit RSSI Comit de pilotage

Expression des besoins et exigences de scurit du projet Fiches risques Fiches mesures existantes 1 Cotation des besoins de scurit 3

Matre douvrage Matre duvre Scurit RSSI Comit de pilotage

Pas de complment danalyse

2 Analyse dtaille Analyse des risques globale par sous-ensemble Fiches de suivi Bilan des mesures Synthse de scurit Cible de scurit

Matre douvrage Matre duvre Scurit RSSI Spcialistes techniques Comit de pilotage Matre douvrage Matre duvre Scurit RSSI

Traduction en fonctions, services et mcanismes de scurit Fiches mesures Fiches Suivi Synthse de scurit Cible de scurit

valuation de la scurit Questionnaire complt Synthse de scurit Cible de scurit

Figure 5-1 : Synoptique de la dmarche Incas

dans ce chapitre. Il est conseill au lecteur de prendre connaissance de la dmarche propose par le Clusif pour approfondir le sujet.
Tableau 5-4 : Les tapes dans la dmarche Incas

tape 1

Description Le projet est dcompos suivant les activits. Les besoins en condentialit, disponibilit, intgrit et preuve sont estims. Ces lments font lobjet dune che ddie. Une colonne de justication de la classication des critres de scurit est prvue ce document. Les risques survenus sur le systme existant peuvent galement faire lobjet dun document.

116

Chapitre 5 Les risques dans les projets

Tableau 5-4 : Les tapes dans la dmarche Incas (suite)

tape 2

Description Les risques sont analyss et font lobjet dune che (che de risque) comprenant les informations suivantes : date ; rfrence du risque (sous le numro Rxxx) ; rfrence des documents support lanalyse ; lment risque (objet du systme dinformation) ; description du risque (accident, erreur, malveillance) ; consquences (pertes nancires, image de marque, manque gagner, problmes juridiques, sociaux, surcharge ou sous charge de travail, etc.) ; classication suivant les critres disponibilit, intgrit, condentialit et preuve, type de prjudice, valorisation du risque ; mesures de scurit recommandes ; phase du projet pour la prise en compte de la mesure, responsable de la mesure, cot des mesures de scurit, modalits de mise en place, classication rsiduelle de la gravit du risque. Une che permettant didentier les mesures de scurit existantes est galement tablie. La matrise duvre, douvrage et lquipe scurit interviennent pour raliser lidentication des risques et des mesures de scurit existantes. Les besoins en scurit suivant les critres de scurit (condentialit, intgrit, disponibilit et preuve) sont estims. Le comit de pilotage intervient sur le choix de traitement du risque. Si les besoins en scurit sont infrieurs 1, aucun complment danalyse nest ralis. Des exceptions peuvent tre faites si le comit de pilotage le demande. Si les besoins en scurit ont pour valeur 2, une analyse des risques globale par sous-ensemble est ralise. Si les besoins en scurit ont pour valeur 3, une analyse dtaille des risques est ralise. Cette tape fait lobjet de quatre livrables : ches de suivi, bilan des mesures de scurit, synthse de scurit et cible de scurit. Un exemple de che de cible de scurit est prsent dans la suite de ce chapitre. Pour chaque risque identi, une che dcrivant les mesures de scurit par lment est tablie. Un exemple de cette che est prsent dans la suite du chapitre. Cette tape fait lobjet de quatre livrables : ches de mesures, che de suivi, synthse de scurit et cible de scurit. La scurit est value partir dun questionnaire. Ce questionnaire est disponible dans le manuel de la dmarche. Ce questionnaire est complt, une synthse de scurit est ralise et la che cible de scurit est enrichie.

117

Partie II Les tudes de cas

Les documents produits La dmarche Incas propose, en annexe, plusieurs livrables. Ces livrables sont conus pour drouler la mthode de bout en bout. Certains de ces documents sont dcrits dans cet ouvrage. Le lecteur peut se rfrer cette dmarche disponible gratuitement sur Internet, sil souhaite approfondir le sujet. Les livrables proposs sont intressants car ils : fournissent des grilles dvaluation et des propositions de pondration ; sont exhaustifs et permettent dviter les oublis et erreurs ; aident la comprhension de la dmarche et par consquent son application ; prsentent une mise en page claire et cohrente permettant de retrouver les informations rapidement. Des emplacements sont prvus pour la validation. Conclusion La mthode Incas aide lidentication des risques dans les projets. Elle impose un niveau dexigence fort car tous les risques de niveau 2 ou plus sur une chelle de 4 doivent tre traits. premire lecture, il nest pas ais de la mettre en uvre. Les exemples de livrables prsents en annexe de la mthode sont trs utiles, que ce soit pour lapplication dIncas ou pour la cration dune autre dmarche.

Analyse de la mthode existante

La mthode existante dans ce groupe est donc inspire de la dmarche Incas dcrite ci-dessus. Dans la suite de louvrage, la dnomination Incas* sera utilise pour nommer la dmarche Incas adapte par lentreprise. Les critres dvaluation des risques La mthode utilise par lorganisme emploie les mmes types de critres combins pour obtenir une valeur unique par risque : les besoins de scurit dun projet mesurant le niveau de scurit requis sur le projet ; la gravit du risque identi traduisant limpact du risque sur le projet.
Mesurer les besoins de scurit dun projet

Les critres de scurit dcrits par la dmarche Incas, cest--dire condentialit, intgrit, disponibilit et preuve, sont employs tels quels. Sur ce point aucune adaptation nest ralise.
Mesurer la gravit dun risque

Le risque est dni comme tant un vnement dont la survenance est possible et porte atteinte lentreprise. De la potentialit et de limpact, dnis sur une chelle de 0 4, est dduite la gravit du risque. La table daversion au risque (voir tableau 5-4 : Synopsis de la dmarche existante) dnie par la dmarche Incas est applique.

118

Chapitre 5 Les risques dans les projets

Cible de scurit

Projet : Phase : Date :

Disponibilit (D) Objectif pour le futur Risques avant mise en uvre des fonctions et mcanismes de scurit Risques aprs mise en uvre des fonctions et mcanismes de scurit

Intgrit (I)

Confidentialit (C)

Preuve (P)

Apprciation globale

Disponibilit

4 3 2

Preuve et contrle

Intgrit

4 Niveau de risque :

1 1

2 1 2 3 4 Faible Sensible Critique Stratgique Inacceptable 3 4

Confidentialit

Figure 5-2 : Fiche Cible de scurit

La valorisation des risques

Contrairement ce que prconise la mthode Incas, les risques sont valoriss uniquement sur un critre de scurit. Le concepteur de la mthode estime quun risque ne peut avoir dimpacts sur plusieurs critres de scurit simultanment.

119

Partie II Les tudes de cas

Niveau de scurit

Projet : Phase : Date :

Disponibilit (D) Risques avant mesures de scurit Risques aprs mesures de scurit Cible de scurit du systme futur

Intgrit (I)

Confidentialit (C)

Preuve (P)

Apprciation globale

Disponibilit

4 3 2 1 Preuve et contrle Intgrit

4 Niveau de risque : 1 2 3 4 Faible Sensible Critique Stratgique Inacceptable

1 1 2 3 4

Confidentialit

Figure 5-3 : Fiche Niveau de scurit

120

Chapitre 5 Les risques dans les projets

Remarque Cette approche est errone et dangereuse. En effet, elle ne permet pas davoir une vision densemble cohrente et oriente fortement le choix des mesures de scurit. De nombreux oublis peuvent tre commis.

Les risques valoriss suivant le critre de disponibilit ne sont pas intgrs dans la suite de la dmarche. Ils sont donc mis de ct. En effet, lentreprise considre que les risques de ce type entrent dans le primtre de la continuit dactivit qui fait lobjet de projets part.
Remarque Cette approche peut tre tolre si la continuit est rellement gre, ce qui en pratique nest que rarement le cas. De plus, le fait de considrer que mettre un onduleur est du ressort dun plan de continuit dactivit nest pas viable dans le temps. Synthse

Lemploi des critres prsente quelques diffrences par rapport la mthode Incas qui premire vue sont source derreur. Les diffrentes tapes La dmarche adopte est prvue pour sintgrer la dmarche de gestion de projet existante. La dmarche est donc lance ds la phase de conception du projet. Incas* comporte six tapes prsentes sur le schma ci-aprs.

Dfinition des risques mtier

Suivi des mesures

Valorisation des impacts

Mise en uvre ?

Estimation de la gravit

Propositions des mesures

Figure 5-4 : Synopsis de la dmarche existante

Les tapes sont les suivantes. 1 Dnition des risques mtier. Comme dans une analyse fonctionnelle, le projet est dcompos en grandes fonctions (limites par la dmarche de 5 10). Pour chaque processus, les risques mtiers sont identis et les liens avec linformatique mis en avant. 2 Valorisation des impacts. Les impacts des risques mtier sont valoriss suivants les critres de scurit.

121

Partie II Les tudes de cas

3 Estimation de la gravit. La gravit des risques identis est estime suivant la table daversion au risque aprs que la potentialit et limpact du risque aient t estims. 4 Proposition de mesures. Tous les risques inacceptables, cest--dire ayant pour gravit une valeur suprieure ou gale 2, sont analyss et des mesures de scurit visant en rduire limpact ou la potentialit sont proposes. Lanalyse porte sur lidentication des menaces et des vulnrabilits qui sont elles-mmes revues avec les quipes mtiers. Chaque mesure doit faire lobjet dune estimation budgtaire. La phase de prise en compte dans le projet ainsi que le responsable de la mesure doivent tre mentionns dans le document appropri. 5 Mise en uvre. Une cartographie des risques est ralise prsentant le niveau de risque sans les mesures de scurit et avec les mesures de scurit. La cible de scurit est tablie sur un graphique similaire celui propos sur la che Cible de scurit (voir page 119). La diffrence de niveau des risques est confronte aux cots. Sen suit une prise de dcision par la Direction qui statue pour chaque risque sur le traitement et par consquent la mise en uvre des mesures proposes. Les rsultats amends sont consigns par crit. 6 Suivi des mesures de scurit. Une che de suivi des mesures de scurit est tablie. Chacune de ces ches contient la mesure, son responsable, la phase de prise en compte dans le projet et la date de n de dploiement. Ce document est utilis lors de laudit de suivi des mesures qui a lieu diffrents intervalles qui sont fonction de la taille du projet. La che de suivi est enrichie des constats de lauditeur et consigne dans le dossier du projet. Les documents produits Chacune des tapes fait lobjet dun ou plusieurs livrables. Par exemple, chaque risque est dtaill dans une che qui lui est ddie. La che reprend les informations suivantes : la nature du risque, le processus concern, limpact, la potentialit et le niveau de gravit. Cette che est enrichie lors de la phase didentication des mesures de scurit, cest--dire leur cot et le niveau de gravit rsiduel. Une zone pour lamendement de la dcision y est rserve. La dmarche fait elle-mme lobjet dune prsentation sous forme de diaporama dans laquelle les modles de livrables vierges sont intgrs. Celle-ci est trs intuitive : elle permet aux intervenants didentier rapidement les tches effectuer. Elle intgre et rend disponible dun simple clic tous les lments ncessaires (guides dentretiens, documents vierges et Incas*).

122

Chapitre 5 Les risques dans les projets

Bonne pratique : centraliser les rsultats Limiter le nombre de documents vite les erreurs et les incomprhensions. Attention toutefois ne pas surcharger les documents qui peuvent devenir illisibles ou complexes manipuler.

Conclusion Incas* prsente beaucoup de points positifs tels que la centralisation des informations (modles de documents et dmarche) dans un guide utilisateur, limplication forte du mtier et de la Direction, ainsi que le suivi des mesures. Mais, le manque de clart dans lutilisation des termes peut prter confusion pour le botien. La simplication de la dmarche et la considration que des risques mtier ne tendent pas lobtention de rsultats ables et exhaustifs. Cette analyse permet de conclure que certains lments existants sont conserver ou amliorer et dautres crer. Les lments pouvant tre conservs en ltat sont : les modles de documents ; les critres dvaluation et destimation des risques ; lidentication par numro unique des risques pour un report facilit sur une matrice ; la dnition des rles et des responsabilits des acteurs dans les diffrentes tapes du processus. Les lments devant tre amliors sont : la notion dimpact ; les livrables de la mthode dont les plans dactions. Les lments devant tre ajouts sont : les besoins en scurit en relation avec les politiques de scurit existantes ; des catalogues communs lensemble du groupe enrichis au l de leau ; une modlisation du processus permettant davoir une vision claire des lments en entre et sortie. La dmarche adopte est cohrente mais prsente un risque fort doubli dvnements lis au projet. De plus, le nombre de documents produits (un diffrent par tape) rend la dmarche complexe grer, mme sur des projets simples. Pour les projets ncessitant plusieurs intervenants, les risques derreurs sont encore plus importants. Cette dmarche est bien dimensionne pour une personne travaillant seule.

Construction de la nouvelle mthode

Pour construire la nouvelle mthode, lquipe va xer les objectifs atteindre et, partir de lanalyse prcdente, proposer des mises jour.

123

Partie II Les tudes de cas

La dnition des objectifs et des moyens Lobjectif principal de la nouvelle dmarche, outre lidentication des risques dans les projets, est dobtenir ladhsion de tous les acteurs. Les objectifs secondaires, souhaits par le responsable de la future dmarche, sont les suivants : dmarche pragmatique ; simplicit dutilisation ; adaptabilit aux diffrents projets ; Les moyens pour y parvenir sont les suivants : mise disposition dun outil : ce dernier devra tre simple utiliser et permettre chacun dobtenir des rsultats exploitables. Cet outil permettra galement de comparer les rsultats entre les projets an de xer des lignes directrices globales lentreprise. Pour rpondre ces exigences, loutil sera dvelopp sur un tableur connu, fortement utilis dans lentreprise. Dans loutil, les activits sont automatises au maximum et les champs de saisie rduits leur minimum de manire limiter les risques derreur. Le diagramme des ux est propos en premier onglet facilitant galement la navigation entre les tapes. Chaque tape fera lobjet dun onglet dans le tableur nal. chaque onglet, un rappel des objectifs de ltape et des moyens pour y parvenir sera ralis ; tests de la mthode : de nombreux tests de la mthode sous la direction du RSSI seront mens sur diffrents projets pilotes dans lobjectif damliorer loutil et la mthode. En effet, la dmarche doit rpondre au maximum aux attentes des utilisateurs et fournir des rsultats exploitables tous les niveaux de lentreprise ; accompagnement au dploiement de la dmarche : par exprience, toute nouvelle mthode ncessite un accompagnement par une personne exprimente. Par consquent, une quipe ddie la dmarche, sous la responsabilit du RSSI, a t constitue. Cette quipe a pour missions de sassurer de lutilisation systmatique de la dmarche dans les nouveaux projets et daccompagner les quipes projets dans son dploiement ; formation des chefs de projets : moyen terme, des formations vont tre dispenses aux chefs de projet. Ces formations prsenteront la dmarche dans les grandes lignes et permettront aux chefs de projet den tenir compte lors de ltablissement des plannings lis aux projets.

La proposition
La dmarche propose reprend les lments dcrits prcdemment et tente de se conformer la norme ISO 27005. Lquipe a choisi notamment de reprendre les grandes activits de la norme et de les prsenter de manire similaire.

124

Chapitre 5 Les risques dans les projets

tape 1 Dnition du contexte

Entres Mthode et outil associ, informations sur le projet notamment complexit et volumtrie. Activits Cette tape consiste en la dnition de la mthode, principalement par lidentication dadaptations ventuelles et par la cration partir de loutil des documents qui seront utiliss dans la suite de son application. Au cours de cette phase, un plan dactions dterminant principalement les personnes rencontrer, est tabli. Si le projet tudi est trop consquent, il est alors segment en sous-processus pour lesquels la mthode sera dploye indpendamment.

Etape 1 : Dfinition du contexte

Entres

Outil

Mthode

Informations projets

Activits

Dfinition de lapproche et du plan daction

Prparation des documents de travail vierges

Segmentation du projet en processus (suivant volumtrie)

Sorties

Plan daction du dploiement de la mthode

Documents vierges (Template)

Segmentation du projet

Figure 5-5 : Gestion des risques dans les projets tape 1

Responsabilits Le RSSI a lentire responsabilit de cette tape. Il pourra se rapprocher du chef de projet notamment pour llaboration du plan dactions. Dlais Le temps consacrer cette tape est estim deux jours, documentation comprise.

125

Partie II Les tudes de cas

Sorties Les documents vierges ncessaires la mthode (template) construits partir de loutil diffus.
Nom du projet : Version:

Date:

Listes des fonctions

Astuces Les numros de fonctions doivent tre uniques. Identifiez les grandes fonctions par projet. Masquez cette zone avant impression.

N F1 F2 F3 F4 F5 F6 F7 F8 F9 F10

Nom Fonction 1 Fonction 2 Fonction 3 Fonction 4 Fonction 5 Fonction 6 Fonction 7 Fonction 8 Fonction 9 Fonction 10

Description Description Fonction 1 Description Fonction 2 Description Fonction 3 Description Fonction 4 Description Fonction 5 Description Fonction 6 Description Fonction 7 Description Fonction 8 Description Fonction 9 Description Fonction 10

Figure 5-6 : Exemple de liste fonction

Le nom du projet, la date et la version sont renseigns automatiquement par un lien avec la page de garde de lensemble du classeur. La zone rappels indique les tches effectuer, les zones remplir (diffrencies par un code couleur). Les informations saisies dans cet onglet sont reprises automatiquement dans les onglets o elles sont ncessaires. Les onglets sont formats pour tenir sur une feuille A4 lors de limpression.

tape 2 Identication des risques mtier

Entres Organisation du projet et emploi du temps associ. Activits Cette tape consiste en lidentication des risques mtier. Pour ce faire, le projet (ou les processus, si le projet le requiert) est segment au maximum en dix fonctions (au sens activit ). Pour chacune de ses fonctions, sont ensuite identis des risques ou des incidents pouvant se produire et porter atteinte aux critres de scurit classiques (condentialit, intgrit, disponibilit). Dans les premiers temps de la construction de la mthode, la preuve tait considre, mais rapidement ce critre a t supprim car peu utile dans ce contexte.

126