L’ANALYSE DES RISQUES, ETAPE ESSENTIELLE DE LA DEMARCHE DE SECURISATION DE SON SYSTEME D’INFORMATION

Démarrer la définition de son SMSI (Système de management de la sécurité de l’information) par une analyse des risques est au cœur de la démarche méthodologique portée par les normes ISO 27001 et ISO 27002 : que la certification soit recherchée (l’analyse des risques est une « exigence ») ou pas, cette étape est essentielle. Les risques à étudier sont les « risques de sécurité de l’information » ou, en d’autres termes, les risques liés à la sécurité du système d’information ; le terme de « cyber risques » est également utilisé.

Cette catégorie de risques constitue un sous-ensemble des risques opérationnels. Pour rappel, un risque opérationnel se traduit par des pertes provenant d’une inadéquation ou d’une défaillance attribuable à des procédures, au personnel, aux systèmes internes ou à des événements extérieurs*. Cela inclut, mais sans s’y limiter, les erreurs humaines, les systèmes ou processus défaillants, les fraudes ou autres activités criminelles et tout événement perturbateur qui pourrait survenir dans le déroulement des processus de l’organisme.

A l’exception des organismes pour lesquels la maîtrise des risques opérationnels est une obligation statutaire (secteur bancaire et des assurances par exemple) ou des grandes sociétés qui disposent d’un département dédié aux risques, nous notons souvent certaines réticences lorsqu’il s’agit d’analyser et de gérer les risques de sécurité de l’information. Dans les petites entreprises, cela semble constituer un travail complexe (« de spécialistes »), totalement hors de portée ; dans les ETI, on s’interroge sur l’intérêt de passer du temps à analyser des risques que l’on connaît déjà de manière implicite. 

Ces deux dogmes sont évidemment faux :

• Une « bonne » analyse des risques ne doit pas durer trop longtemps et elle doit être réalisée avec une forte participation de l’organisme concerné (il existe même des méthodes « flash » sur quelques jours, pour les PME**). L’objectif n’est pas de mesurer très finement chaque risque mais de définir et de mettre en œuvre les mesures de sécurité permettant de les traiter, avec le meilleur rapport coûts-bénéfices : la qualité du processus de gestion des risques se mesure essentiellement aux plans d’action et à la capacité de l’organisme à réduire son exposition***. L’aide d’un spécialiste est utile mais elle ne doit pas représenter une charge excessive. 
• La connaissance empirique des risques est un leurre : elle aboutit généralement à un empilage de solutions de sécurité dont il est impossible de mesurer l’efficacité puisqu’il n’existe pas d’appréciation objective de leur utilité. Financièrement, la méthode empirique est un gouffre. 

Voici quelques raisons de réaliser une analyse et une gestion des risques de sécurité de l’information au sein de son organisme, quelle que soit sa taille et quel que soit son secteur d’activité :   

• Identifier ses vulnérabilités : l’analyse des risques aide à découvrir les faiblesses de son système d’information pouvant être exploitées par des menaces potentielles.
• Mesurer et prioriser les risques : tous les risques ne sont pas égaux ; certains ont une probabilité de survenance et/ou un impact plus important que d’autres. L’analyse des risques aboutit à leur classement en fonction de leur gravité, ce qui permet de construire des plans d’action et d’allouer des ressources pour couvrir prioritairement les risques les plus graves.
• Conformité réglementaire : les nouvelles réglementations telles que NIS 2, exigent que les organismes effectuent régulièrement des analyses de risques pour garantir la sécurité de leurs systèmes d’information.
• Réduction des coûts : la bonne connaissance des risques pesant sur son système d’information permet de concentrer les efforts, notamment financiers, sur la couverture des vulnérabilités les plus dangereuses. Pour chaque euro investi, l’organisme est en mesure de démontrer son utilité. 
• Retour sur investissement : l’analyse et la gestion des risques permettent d’éviter les incidents de sécurité de l’information et, ainsi, d’économiser des coûts significatifs associés à leur traitement et à la récupération des données. Rappelons que certains risques peuvent être « vitaux » et entraîner l’arrêt prolongé du fonctionnement de l’organisme voire sa disparition. 

Les grandes étapes d’une analyse des risques sont les suivantes :

NB : l’identification, puis l’évaluation des risques, est généralement réalisée à travers des scénarios de risques construits à partir d’évènements qui, s’ils se produisent, engendreront un dommage pour l’organisme.

*  Cette définition provient du Comité de Bâle.

**  A titre indicatif, une analyse des risques « flash » dans une entreprise de taille moyenne, peut être réalisée sur une douzaine de jours.

***  Réduire l’exposition à un risque consiste à diminuer la probabilité de sa survenance et, subsidiairement, son impact potentiel.