Risque (/ʁisk/): nom masculin, de l’italien risco, du latin populaire resecum, «
ce qui
coupe ».
Le risque, par définition, est la possibilité ou la
probabilité qu’un événement survienne et qu’il soit
considéré comme un mal ou un dommage.
En sécurité de l’information, un risque est le produit d’une menace et d’une vulnérabilité.
Revenons donc sur ces notions.
Une
menace est un signe ou un indice qui laisse prévoir quelque chose de
dangereux ou de nuisible.
Une
vulnérabilité, quant à elle, est une faiblesse ou une imperfection pouvant
être exploitée pour mener une
attaque.
Ainsi :
- sans menace, il n’y a pas de risque (« Il n’y a pas de risque de se faire dévorer par un requin dans un
lac »),
- sans vulnérabilité, il n’y a pas non plus de risque (« Inutile de mettre une alarme à ma fenêtre :
j’habite au 30ᵉ étage »).
Lors de l’analyse de vos risques, il est donc primordial de bien comprendre votre contexte :disposez-vous de
données sensibles ? Êtes-vous connectés à des réseaux non fiables ?
Prenons un exemple :
Vous hébergez toutes les données de votre entreprise sur un cloud privé. Une des menaces est
la perte d’accès au
réseau. La vulnérabilité réside dans l’absence de ligne de secours.
Dans ce cas, le risque est une perte de disponibilité des données, pouvant impacter votre chiffre
d’affaires.
|
Menace
|
Vulnérabilité
|
Risque
|
Perte d'accès réseau
|
Absence de ligne de secours
|
Indisponibilité des données → perte de chiffre d’affaires
|
Avant de décider des actions à mettre en place, il est essentiel d’évaluer la réalité de ce risque.
Combien de fois perdez-vous le réseau par an ? Une fois, deux fois, plus ? Quelles en sont les conséquences
financières ?
Imaginons que vous perdiez le réseau deux jours par an. Vos salariés ne peuvent plus accéder aux données de
l’entreprise et vous ne pouvez pas répondre aux appels d’offres dans les délais. La perte est estimée à 10 000
euros par an.
La mise en place d’une ligne de secours est évaluée à 2 000 euros par mois, soit 24 000 euros par an.
- Probabilité du risque (Annualized Rate of Occurrence – ARO) : 2 jours par an
- Criticité du risque (Annualized Loss Expectancy – ALE) : 10 000 € par an (5 000 € par jour)
- Coût de la solution (Annual Cost of Safeguard – ACS) : 24 000 € par an
- Bénéfice de la solution : -14 000 € par an
Dans ce cas, un simple ajustement de procédure (par exemple, conserver un cache local des données sur les postes
des salariés) serait plus pertinent qu’un investissement coûteux.
Prenons maintenant un second scénario : un incendie dans votre salle informatique.
|
Menace
|
Vulnérabilité
|
Risque
|
Incendie en salle machine
|
Absence de système anti-incendie
|
Perte totale des données → perte de chiffre d’affaires, problèmes contractuels, pénalités
|
Ce type d’incident s’est déjà produit : la probabilité est donc élevée.
- Probabilité du risque : survenance probable dans les 5 ans
- Criticité du risque : maximale (fermeture de l’entreprise, coût estimé > 1 million d’euros)
- Coût de la solution : système d’extinction FM200 avec maintenance → 50 000 € sur 5 ans
- Bénéfice de la solution : 950 000 € sur 5 ans
Dans ce cas, l’investissement est clairement justifié.
En conclusion, une analyse détaillée du risque — incluant sa probabilité d’occurrence
(likelihood) et son impact
(criticality) — permet à la direction de prendre des décisions éclairées, rapides et
rationnelles.
Pour aller plus loin avec la gestion des risques cyber
- Portée par l'ANSSI, la méthode EBIOS RM permet d'identifier les risques cyber de façon pragmatique,
- ISO27005 fait partie de la famille ISO27001 et est parfaitement adaptée au SMSI.