Risque :
nom masculin (de l’italien risco, du latin populaire resecum, ce qui coupe)
Le risque par définition c’est la possibilité ou la probabilité d'un fait, d'un événement considéré
comme un mal ou un
dommage.
En sécurité de l’information, un risque est le produit d’une menace et d’une vulnérabilité.
Alors revenons sur les définitions.
Une menace c’est un signe, un indice qui laisse prévoir quelque chose de dangereux, de nuisible. Alors
qu’une
vulnérabilité est qui, par ses insuffisances, ses imperfections, peut donner prise à des attaques.
Donc sans menace, pas de risque.
« Il n’y a pas de risque de se faire dévorer par un requin dans un
lac ».
Et sans vulnérabilité, pas de risque.
« Pas la peine de mettre une alarme à ma fenêtre. J'habite au 30 ème étage ».
Lors de l’analyse de vos risques, il sera donc primordial de comprendre votre contexte. Avez-vous des
données sensibles,
êtes vous connectés à des réseaux non fiables …
Par exemple, vous avez hébergé toutes vos données d’entreprise sur un cloud privé. Une de vos menaces
est la perte de
l’accès au réseau. La vulnérabilité serait le manque de ligne de secours. Dans ce cas votre risque
est bien une perte de
disponibilité de vos données qui pourrait impacter votre chiffre d’affaires.
| Menace
| Vulnérabilité
| Risque
|
| Perte de l’accès réseau |
Manque de ligne de secours |
Disponibilité des données => perte de chiffre d’affaires |
Avant de décider de vos prochaines actions, il faut comprendre la véracité de ce risque. Combien de fois
perdez-vous le
réseau par an ? une fois, deux fois, plus ? Et qu’elles en sont les conséquences financières.
Imaginez que vous perdiez le réseau 2 jours par an, que vos salariés ne puissent plus accéder aux
données de
l’entreprise ou que vous ne puissiez pas répondre aux appels d'offre dans les temps. La perte s’évalue à 10 000 euros dans l’année.
La création d’une ligne de secours sur votre site est évaluée à un abonnement de 2 000 euros par mois,
soit 24 000 euros
par an.
| Probabilité du risque (Annualized Rate of Occurrence : ARO) |
2 jours par an |
| Criticité du risque (Annualized Loss Expectancy : ALE) |
10 000 euros par an (5 000 par jour) |
| Coût de la mise en œuvre (Annual Cost of the Safeguard : ACS) |
24 000 euros par an |
| Bénéfice de la solution |
-14 000 euros par an (10 000 - 24 000) |
Dans ce cas, un simple changement de procédure (par exemple, garder un cache des informations sur les
ordinateurs des
salariés) serait plus judicieux qu’un investissement.
Imaginez maintenant que le risque soit un incendie dans votre salle informatique.
| Menace
| Vulnérabilité
| Risque
|
| Incendie en salle machine |
Manque de solution contre les incendies |
Perte totale des informations stockées => perte de chiffre d’affaires, problème
contractuel, pénalités... |
Ce n’est pas la première fois que vous avez des déclarations d’incendie. La probabilité est forte.
| Probabilité du risque |
Cela va arriver dans les 5 ans |
| Criticité du risque |
Total : fermeture de l’entreprise. Coût estimé > 1 million d’euros |
| Coût de la mise en œuvre |
Bonbonne FM200 pour extinction d’incendie en salle avec contrat de maintenance : 50 000
euros sur 5 ans |
| Bénéfice de la solution |
950 000 euros sur 5 ans (1 000 000 – 50 000) |
Cette fois encore, en ayant le détail de votre risque, de sa probabilité d’arriver (vraisemblance / likelihood) et sa
criticité
(gravité / criticity) vous permettez à l’équipe dirigeante de rapidement prendre des décisions.
Retrouvez les principales techniques d'analyse de risque
