Partager via

Guide de gestion des risques de sécurité

Chapitre 1 : Introduction au guide de gestion des risques de sécurité

Paru le 15/10/2004

Sur cette page

Synthèse
À qui s'adresse ce guide
Finalité du guide
Clés de la réussite
Termes et définitions
Conventions stylistiques
Assistance fournie en complément de ce guide
Informations complémentaires

Synthèse

Défis liés à l'environnement

La plupart des entreprises reconnaissent le rôle crucial joué par l'informatique dans la réalisation de leurs objectifs professionnels stratégiques. Or, les infrastructures informatiques actuelles à large échelle se trouvent dans un environnement de plus en plus hostile : les attaques sont de plus en plus fréquentes et nécessitent des temps de réaction de plus en plus courts. Souvent, les entreprises ne parviennent pas à faire face aux nouvelles menaces à temps et leurs activités sont affectées. La gestion de la sécurité des infrastructures, ainsi que la valeur commerciale qu'elles représentent, est devenue la priorité des services informatiques.

En outre, les nouvelles législations liées aux problèmes de confidentialité, obligations financières et gouvernance des entreprises obligent les entreprises à surveiller leurs infrastructures informatiques de façon plus attentive et efficace qu'auparavant. Plusieurs organismes publics et organisations qui traitent avec ces entreprises sont mandatés pour assurer un niveau de sécurité minimal. En l'absence d'un contrôle proactif de la sécurité, des cadres et entreprises peuvent être exposés à des risques pour manquement aux responsabilités fiduciaires et légales.

Un moyen plus efficace

L'approche de la gestion des risques de sécurité de Microsoft constitue une approche préventive pouvant aider les entreprises de toutes tailles à répondre aux exigences présentées par tous les défis liés à l'environnement et à la justice. Un processus formel de gestion des risques permet aux entreprises de fonctionner de la façon la plus efficace et rentable avec un niveau de risque connu et acceptable. Il leur fournit également une direction cohérente et claire pour organiser et classer par priorité les ressources limitées afin de gérer le risque. Vous bénéficierez des avantages de l'utilisation de la gestion des risques de sécurité lorsque vous mettrez en place des contrôles rentables permettant de ramener le risque à un niveau acceptable.

La définition de ce que l'on entend par risque acceptable et l'approche de la gestion des risques varie selon les entreprises. Il n'existe pas de bonne ou de mauvaise réponse ; beaucoup de modèles de gestion des risques sont utilisés à l'heure actuelle. Chaque modèle présente ses compromis entre l'exactitude, les ressources, la durée, la complexité et la subjectivité. L'investissement dans une procédure de gestion des risques, avec une structure solide et des rôles et responsabilités clairement définis, prépare l'entreprise à définir des priorités, prévoir des solutions pour minimiser les menaces et gérer les menaces et vulnérabilités à venir. En outre, un programme de gestion des risques efficace permettra à l'entreprise de tendre vers une meilleure conformité aux nouvelles exigences législatives.

Le rôle de Microsoft dans la gestion des risques de sécurité

Ceci est le premier guide d'instructions publié par Microsoft exclusivement consacré à la gestion des risques de sécurité. Basé à la fois sur les expériences de Microsoft et celles de ses clients, ce guide a été revu par des clients, partenaires et réviseurs techniques au cours du développement. L'objectif est de fournir un guide clair et concret sur l'implémentation d'une procédure de gestion des risques de sécurité qui offre plusieurs avantages, parmi lesquels :

  • orientation des clients vers une gestion proactive de la sécurité et vers un abandon des processus réactifs frustrants.

  • possibilité de mesurer la sécurité en indiquant la valeur des programmes de sécurité ;

  • orientation des clients vers des solutions de minimisations efficaces des risques majeurs présents dans leurs environnements (par opposition à l'application de ressources insuffisantes à tous les risques possibles).

Présentation du guide

Ce guide utilise les normes industrielles pour fournir un ensemble de modèles établis de gestion des risques sous forme d'un processus itératif en quatre phases visant à allier rentabilité et efficacité. Lors du processus d'évaluation des risques de sécurité, des étapes qualitatives permettent d'identifier rapidement les risques les plus importants. Ces étapes sont suivies d'un processus quantitatif basé sur des rôles et responsabilités soigneusement définis. Cette approche est très détaillée et permet de bien comprendre les risques les plus importants. Les étapes qualitatives associées aux étapes quantitatives du processus d'évaluation des risques de sécurité constituent une base solide pour la prise de décisions informées sur les risques et les solutions de minimisation, suite à un processus commercial intelligent.

Remarque : ne vous inquiétez pas si certains des concepts abordés dans cette synthèse vous sont étrangers ; ils sont traités en détail dans les chapitres suivants. Par exemple, le chapitre 2, « Étude des pratiques de gestion des risques de sécurité », est consacré aux différences entre les approches qualitative et quantitative de l'évaluation des risques.

Le processus de gestion des risques de sécurité de Microsoft permet aux entreprises d'implémenter et de gérer des processus permettant d'identifier et de classer les risques présents dans leurs environnements informatiques. Le passage d'une position réactive à une position proactive du côté des clients permet d'améliorer radicalement la sécurité au sein de leurs environnements. À son tour, une sécurité améliorée facilite l'augmentation de la disponibilité des infrastructures informatiques et l'augmentation de la valeur commerciale.

Le processus de gestion des risques de sécurité de Microsoft propose une combinaison de plusieurs approches, telles que l'analyse purement quantitative, l'analyse du retour sur investissement pour la sécurité (RIPS), l'analyse qualitative et des approches pratiques. Veuillez noter que ce guide décrit un processus et ne requiert aucune technologie particulière.

Facteurs essentiels de réussite

Plusieurs facteurs sont à prendre en compte pour la réussite de l'implémentation d'un programme de gestion des risques de sécurité au sein d'une entreprise. Certains d'entre eux sont particulièrement importants et sont décrits ci-dessous ; d'autres sont traités dans la section « Clés de la réussite », dans la suite de ce chapitre.

Tout d'abord, la gestion des risques de sécurité ne peut pas fonctionner sans le soutien et l'implication de la direction. Lorsque la gestion des risques de sécurité est soutenue par la direction, les entreprises peuvent définir la sécurité en fonction de la valeur commerciale. Par ailleurs, une définition claire des rôles et responsabilités est essentielle pour réussir. Les responsables d'entreprise sont chargés de l'identification de l'impact d'un risque. Ils sont également les mieux placés pour définir la valeur commerciale des ressources nécessaires aux activités. Le groupe de sécurité informatique se charge d'identifier la probabilité d'occurrence d'un risque en tenant compte des contrôles actuels et proposés. Le groupe informatique est responsable de l'implémentation des contrôles sélectionnés par le comité de contrôle de la sécurité lorsque la probabilité d'exploitation présente un risque inacceptable.

Étapes suivantes

Une entreprise se doit d'investir dans un programme de gestion des risques de sécurité, impliquant la mise en œuvre d'un processus fiable et concret et la définition des rôles et des responsabilités, pour être à même d'établir les priorités, prendre les mesures nécessaires pour minimiser les menaces et faire face aux vulnérabilités et aux menaces critiques qui peuvent compromettre ses activités commerciales. Ce guide a été conçu pour vous aider à mesurer vos capacités de réaction face aux risques de sécurité et à mieux exploiter vos possibilités sur le plan de la gestion des risques. Si vous souhaitez obtenir une assistance complémentaire, mettez-vous en relation avec une équipe de gestion de compte Microsoft ou avec l'un de nos partenaires Microsoft Services.

Haut de page

À qui s'adresse ce guide

Ce guide s'adresse avant tout aux consultants, spécialistes en sécurité, architectes système et professionnels de l'informatique responsables des phases de planification du développement et du déploiement d'applications ou d'infrastructures dans le cadre de différents projets. Ces rôles incluent les postes suivants :

  • planificateurs et architectes système responsables de l'architecture sous-jacente de l'entreprise ;

  • membres de l'équipe de sécurité informatique qui se consacrent exclusivement à la sécurisation des plates-formes existantes au sein de l'entreprise ;

  • auditeurs spécialisés en informatique et en sécurité, chargés de s'assurer que les précautions nécessaires ont été prises pour protéger les ressources vitales de l'entreprise ;

  • cadres supérieurs, analystes et décideurs d'entreprise dont les exigences et les objectifs professionnels stratégiques reposent sur un système d'assistance informatique ;

  • consultants et partenaires utilisant des outils de transfert de connaissances pour répondre aux attentes des partenaires et des clients de l'entreprise.

Haut de page

Finalité du guide

Ce guide s'adresse aux entreprises de tous types et de toutes tailles et a pour but de les aider à planifier et mettre en œuvre un processus de gestion des risques performant, et à en assurer le suivi. Le document explique comment mener chaque phase du projet de gestion des risques et comment partir de ce projet pour aboutir à un processus continu permettant à l'entreprise de se doter progressivement des méthodes de minimisation des risques les plus performantes et les plus rentables.

Présentation du contenu

Le guide de gestion des risques de sécurité se compose de six chapitres dont vous trouverez le résumé ci-dessous : Chaque chapitre traite d'une étape spécifique de la méthode globale visant à élaborer et à mettre en œuvre un processus de gestion des risques de sécurité au sein de l'entreprise. Les chapitres sont suivis de plusieurs annexes et outils ayant pour but de vous aider à organiser les projets de gestion des risques de sécurité.

Chapitre 1 : Introduction au guide de gestion des risques de sécurité

Ce chapitre fournit une présentation générale du guide et une vue d'ensemble de chacun des chapitres.

Chapitre 2 : Étude des pratiques de gestion des risques de sécurité

L'analyse des différentes approches de la gestion des risques de sécurité adoptées au cours des années passées permet de définir les bases du processus de gestion des risques de sécurité de Microsoft. Les lecteurs qui disposent déjà de connaissances approfondies en matière de gestion des risques de sécurité pourront survoler ce chapitre ; en revanche, nous encourageons ceux pour lesquels la gestion des risques est un concept relativement nouveau à le lire en détail. Ce chapitre commence par une étude des avantages et des inconvénients des méthodes de gestion des risques axées sur la prévention et sur la réaction. Ensuite, il revient en détail sur le concept de maturité des entreprises en termes de gestion des risques, brièvement abordé dans le chapitre 1, « Introduction au guide de gestion des risques de sécurité ». Enfin, il évalue et compare les deux méthodes dominantes que sont la gestion qualitative des risques et la gestion quantitative des risques. Le processus décrit dans ce guide se présente comme une alternative à ces deux méthodologies dont il constitue un compromis, d'où sa grande efficacité, qui a pu se vérifier au sein de Microsoft.

Chapitre 3 : Présentation de la gestion des risques de sécurité

Ce chapitre fournit une description plus détaillée du processus de gestion des risques de sécurité de Microsoft et présente certains des concepts clés et des facteurs dont dépend la réussite du projet. Il explique également que l'élaboration d'un programme cohérent et la mise en place d'une équipe de gestion des risques de sécurité compétente (dont on aura clairement défini les rôles et les responsabilités) constituent deux étapes importantes de la phase de préparation du processus.

Chapitre 4 : Évaluation des risques

Ce chapitre décrit en détail la phase d'évaluation des risques du processus de gestion des risques de sécurité de Microsoft. Cette phase comprend les étapes suivantes : planification, collecte de données et classement des risques par ordre de priorité. Le processus d'évaluation des risques englobe plusieurs tâches dont certaines peuvent être très contraignantes pour les entreprises de grande taille. Par exemple, l'identification des ressources commerciales et l'évaluation de leur valeur peut demander beaucoup de temps. D'autres tâches, telles que l'identification des menaces et des vulnérabilités, requièrent des compétences techniques étendues. Les contraintes liées à ce type de tâche démontrent l'importance de la définition d'un programme adéquat et de la mise en place d'une équipe de gestion des risques de sécurité d'un haut niveau de compétences, comme le souligne le chapitre 3, « Présentation de la gestion des risques de sécurité ».

Lors de la première étape du classement des risques par ordre de priorité (classement sommaire), l'équipe de gestion des risques de sécurité filtre l'éventail complet des risques de sécurité, selon une approche qualitative, afin d'identifier rapidement les risques les plus importants et les analyser plus en détail. Les risques majeurs font ensuite l'objet d'une analyse détaillée axée sur des techniques quantitatives. On obtient alors une liste restreinte des risques les plus importants, ainsi que des éléments de mesure précis sur lesquels l'équipe pourra s'appuyer pour prendre les décisions appropriées lors de la phase suivante.

Chapitre 5 : Aide à la décision

Lors de la phase d'aide à la décision, l'équipe de gestion des risques de sécurité détermine comment gérer les risques majeurs de la manière la plus efficace et la plus rentable possible. Elle identifie les contrôles existants, évalue les coûts liés à l'acquisition, la mise en place et l'administration de ces différents contrôles, estime le niveau de réduction des risques envisageable dans chacun des cas et enfin décide, en partenariat avec le comité de contrôle de la sécurité, des contrôles à mettre en œuvre. Cette phrase débouche sur un plan clair et concret visant à contrôler ou accepter chacun des risques majeurs identifiés lors de la phase d'évaluation des risques.

Chapitre 6 : Mise en place de contrôles et mesure de l'efficacité du programme

Ce chapitre couvre les deux dernières phases du processus de gestion des risques de sécurité de Microsoft : la mise en place de contrôles et la mesure de l'efficacité du programme. Le principe de la phase de mise en place des contrôles est évident : les responsables de la minimisation des risques élaborent et exécutent différents plans conformément à la liste des contrôles adoptés lors du processus d'aide à la décision, en vue d'atténuer les risques identifiés lors de la phase d'évaluation. Ce chapitre fournit des liens vers des guides pratiques auxquels les responsables de la minimisation des risques de l'entreprise peuvent se reporter pour obtenir des informations utiles sur le traitement d'un grand nombre de risques. La phase d'évaluation de l'efficacité du programme s'inscrit dans la continuité ; au cours de cette phase, l'équipe de gestion des risques de sécurité vérifie régulièrement que les méthodes mises en œuvre lors de la phase précédente fournissent le degré de protection prévu.

Une autre opération doit être effectuée lors de cette phase, à savoir l'évaluation des progrès que l'entreprise a pu réaliser de façon générale en termes de gestion des risques de sécurité. Ce chapitre présente le concept de « fiche d'évaluation des risques de sécurité » permettant de suivre les performances de l'entreprise. Enfin, il souligne l'importance du contrôle des changements qui peuvent intervenir au sein de l'environnement informatique, tels que l'installation ou le retrait de systèmes et d'applications, ou l'apparition de nouvelles menaces ou de nouvelles vulnérabilités. Ces types de changements peuvent exiger de l'entreprise qu'elles mettent rapidement en place des mesures pour se protéger contre de nouveaux risques ou des risques ayant évolué.

Annexe A: Évaluation des risques ad hoc

Cette annexe compare le processus formel d'évaluation des risques en entreprise avec l'approche ad hoc adoptée par de nombreuses entreprises. Elle met en lumière les avantages et les inconvénients de chaque méthode et indique dans quelles circonstances il est recommandé d'utiliser l'une ou l'autre de ces méthodes.

Annexe B : Ressources courantes des systèmes d'information

Cette annexe répertorie les ressources informatiques dont disposent généralement les différents types d'entreprises. Elle ne se veut pas exhaustive et il est peu probable que la liste fournie reflète exactement l'éventail des ressources présentes dans l'environnement de votre entreprise. Il est donc important de personnaliser cette liste en fonction de vos données propres lors de la phase d'évaluation des risques. Cette annexe est fournie comme référence et peut vous servir de point de départ.

Annexe C : Menaces courantes

Cette annexe répertorie les menaces auxquelles de nombreux types d'entreprises peuvent être confrontés. Notez toutefois que la liste fournie n'est pas exhaustive et que sa validité est de courte durée. Vous devez donc retirer de cette liste toutes les menaces qui ne concernent pas votre entreprise et y ajouter toutes celles que vous avez pu identifier lors de la phase d'évaluation. Cette annexe est fournie comme référence et peut vous servir de point de départ.

Annexe D : Vulnérabilités

Cette annexe répertorie les vulnérabilités auxquelles de nombreux types d'entreprises peuvent être confrontés. Notez toutefois que la liste fournie n'est pas exhaustive et que sa validité est de courte durée. Vous devez donc retirer de cette liste toutes les vulnérabilités qui ne concernent pas votre entreprise et y ajouter toutes celles que vous avez pu identifier lors de la phase d'évaluation des risques du projet. Cette annexe est fournie comme référence et peut vous servir de point de départ.

Outils et modèles

Ce guide s'accompagne d'une série d'outils et de modèles destinés à faciliter la mise en œuvre du processus de gestion des risques de sécurité de Microsoft au sein de votre entreprise. Ces outils et modèles sont regroupés dans une archive WinZip autoextractible disponible sur le site du centre de téléchargement de Microsoft. Notez que l'archive téléchargeable contient également une copie de ce guide. Si vous procédez à l'extraction des fichiers à partir de l'archive téléchargée, vous obtiendrez la structure de dossiers suivante à l'emplacement spécifié :

  • \Guide de gestion des risques de sécurité : contient la version de ce guide au format PDF (Portable Document Format)

  • \Guide de gestion des risques de sécurité\Outils et modèles : contient les fichiers suivants :

    • Modèle de collecte de données (SRMGTool1-Outil de collecte de données.doc). Ce modèle peut être utilisé lors de la phase d'évaluation des risques, dans le cadre des opérations décrites au chapitre 4, « Évaluation des risques ».

    • Feuille d'analyse des risques de niveau sommaire (SRMGTool2-Évaluation sommaire des risques.xls). Cette feuille de calcul Microsoft® Excel peut être utilisée pour mener à bien la première étape de l'analyse des risques : l'analyse de niveau sommaire.

    • Feuille d'analyse des risques de niveau détaillé (SRMGTool3-Classement détaillé des niveaux de risques.xls). Cette feuille de calcul Excel peut être utilisée pour réaliser une analyse plus complète des risques majeurs identifiés lors de l'analyse de niveau sommaire.

    • Exemple de programme (SRMGTool4-Exemple de programme.xls). Cette feuille de calcul Excel présente un programme de projet détaillé permettant de planifier la mise en œuvre du processus de gestion des risques de sécurité de Microsoft. Elle englobe l'ensemble des phases, des étapes et des tâches décrites dans ce guide.

Haut de page

Clés de la réussite

Chaque fois qu'un projet de grande envergure doit être lancé, l'entreprise doit s'assurer au préalable qu'un certain nombre d'éléments ont été mis en œuvre. Microsoft a identifié les éléments sur lesquels repose l'implémentation d'un processus de gestion des risques performant et qui doivent rester en place une fois le processus initialisé. Ces éléments sont les suivants :

  • soutien des dirigeants ;

  • liste précise des parties prenantes ;

  • maturité de l'entreprise en termes de gestion des risques ;

  • libre circulation de l'information ;

  • esprit d'équipe ;

  • vision holistique de l'entreprise ;

  • autorité de l'équipe de gestion des risques de sécurité.

Vous trouverez dans les sections qui suivent une description de ces éléments requis tout au long du processus de gestion des risques ; les éléments qui ne concernent que des phases spécifiques du projet sont abordés dans les chapitres correspondants.

Soutien des dirigeants

Les dirigeants de l'entreprise doivent soutenir de manière prononcée et sans aucune ambiguïté le processus de gestion des risques de sécurité. Sans ce soutien, les parties prenantes peuvent se montrer peu disposées à renforcer la sécurité de l'entreprise par le biais d'un système de gestion des risques, voire tenter d'entraver la mise en place d'un tel système. En outre, sans un soutien clair de la part des dirigeants, les employés peuvent ne pas tenir compte des instructions qui leur sont données concernant l'exécution des procédures dans le cadre de leurs fonctions ou la participation individuelle à l'effort de protection des ressources de l'entreprise. Les employés d'une entreprise sont souvent peu disposés à coopérer, et ce pour différentes raisons : ils sont généralement hostiles à toute forme de changement ; ils n'ont pas conscience de l'importance d'un système de gestion des risques performant ; ils considèrent à tort qu'ils sont en mesure de protéger eux-mêmes les ressources commerciales même si leurs connaissances ne sont pas aussi étendues que celles de l'équipe de gestion des risques de sécurité ; ils sont convaincus qu'ils ne peuvent pas à leur niveau constituer la cible d'attaques.

Le rôle des dirigeants dans le cadre du projet consiste à :

  • déléguer à l'équipe de gestion des risques de sécurité la responsabilité et les pouvoirs nécessaires à la mise en place d'un projet dont l'étendue aura été clairement définie ;

  • encourager la participation de chacun des membres du personnel, selon les besoins ;

  • accorder les ressources en personnel et les financements nécessaires ;

  • soutenir de manière prononcée et sans aucune ambiguïté le processus de gestion des risques de sécurité ;

  • participer à l'analyse des conclusions et des recommandations formulées au cours du processus de gestion des risques de sécurité.

Liste précise des parties prenantes

Ce guide aborde fréquemment le sujet des parties prenantes, qui dans ce contexte désignent les membres de l'entreprise intervenant dans le processus de gestion des risques de sécurité. L'équipe de gestion des risques de sécurité doit connaître l'identité de l'ensemble des parties prenantes, notamment des membres de l'équipe proprement dite et des dirigeants impliqués dans le projet. On désigne également comme partie prenante les propriétaires des ressources commerciales qui devront faire l'objet d'une évaluation. Les membres du personnel informatique chargés de l'élaboration, du déploiement et de l'administration des ressources commerciales sont également considérés comme des parties prenantes majeures.

Il est impératif d'identifier les parties prenantes de sorte qu'elles puissent s'impliquer dans le processus de gestion des risques. L'équipe de gestion des risques de sécurité devra consacrer une partie de son temps à aider les parties prenantes à bien comprendre le processus et à leur expliquer comment ce processus peut à terme contribuer à protéger leurs ressources et à réduire les coûts.

Maturité de l'entreprise en termes de gestion des risques

Si l'entreprise ne dispose pour l'instant d'aucun système de gestion des risques de sécurité, il peut être déconseillé de mettre en œuvre l'intégralité du processus élaboré par Microsoft en un seul tenant, dans la mesure où ce processus risque d'entraîner un nombre de changements trop important. Même si l'entreprise a mis en œuvre un certain nombre de processus informels, tels que des solutions ad hoc utilisées en réponse à des problèmes de sécurité spécifiques, il est probable que le processus de gestion des risques de sécurité de Microsoft soit trop pesant. En revanche, il prend tout son sens dans les entreprises qui disposent d'une certaine maturité en termes de gestion des risques, c'est-à-dire celles qui ont mis en œuvre des processus de sécurité bien définis et qui ont compris le concept de gestion des risques et l'ont intégré à de nombreux niveaux de la structure organisationnelle. Le chapitre 3, « Présentation de la gestion des risques de sécurité », présente le concept de maturité dans le domaine de la gestion des risques de sécurité et explique comment évaluer le degré de maturité de votre entreprise.

Libre circulation de l'information

Dans de nombreuses entreprises, les informations ne sont accessibles au personnel que sur justification, ce qui conduit à de nombreux malentendus et limite le champ d'action des équipes. Le processus de gestion des risques de sécurité de Microsoft doit s'appuyer sur une approche claire et ouverte en ce qui concerne les communications au sein de l'équipe ou avec les principales parties prenantes. Une libre circulation de l'information réduit non seulement les risques de malentendus et de pertes de temps, mais permet également de s'assurer que tous les membres de l'équipe contribuent à dissiper les incertitudes qui entourent un projet. Pour que le processus donne des résultats satisfaisants, il est indispensable de discuter clairement et ouvertement des risques identifiés et du choix des contrôles qui seront employés pour minimiser efficacement ces risques.

Esprit d'équipe

La force et la vitalité des liens qui unissent les personnes impliquées dans le processus de gestion des risques de sécurité de Microsoft auront une incidence majeure sur la progression du projet. Indépendamment du soutien obtenu de la part des dirigeants, les relations qui s'établissent entre les membres du personnel de sécurité, leurs responsables et le reste de l'entreprise constituent un axe essentiel sur lequel va reposer la réussite globale du projet. Il est extrêmement important qu'un esprit d'équipe se développe entre l'équipe de gestion des risques de sécurité et les représentants des différentes entités commerciales avec lesquelles elle va collaborer tout au long du projet. L'équipe peut contribuer à développer cet esprit de différentes manières : elle peut notamment démontrer aux responsables de ces entités commerciales les avantages du processus de gestion des risques sur le plan financier ; elle peut également expliquer aux membres du personnel comment le projet peut à long terme leur permettre de remplir plus facilement leurs fonctions.

Vision holistique de l'entreprise

Tous les intervenants impliqués dans le processus de gestion des risques de sécurité de Microsoft, tout particulièrement l'équipe de gestion des risques de sécurité, doivent considérer l'entreprise dans son intégralité. Dans de nombreux cas, la solution qui convient le mieux à un employé spécifique n'est pas celle qui convient le mieux à l'entreprise dans son ensemble. De même, il se peut que la solution qui convient le mieux à une entité commerciale spécifique ne soit pas celle dont l'entreprise pourra tirer le meilleur parti. Le personnel et les responsables d'une entité commerciale spécifique cherchent instinctivement à orienter le projet vers un résultat qui leur est personnellement bénéfique ou qui avantage leur service.

Autorité sur l'ensemble du processus

Les intervenants impliqués dans le processus de gestion des risques de sécurité de Microsoft acceptent la responsabilité d'identifier et de contrôler les principaux risques de sécurité encourus par l'entreprise. Pour être en mesure de mettre en œuvre des contrôles visant à minimiser efficacement ces risques, ils doivent disposer des prérogatives leur permettant de procéder aux changements nécessaires. Il est essentiel de déléguer aux membres de l'équipe les pouvoirs dont ils ont besoin pour remplir la mission qui leur a été confiée. Déléguer des pouvoirs aux membres de l'équipe signifie leur accorder les ressources nécessaires à l'accomplissement de leur tâche, leur laisser la responsabilité des décisions pouvant influer sur leur mission et définir précisément leurs attributions, ainsi que les procédures d'escalade devant être appliquées lorsqu'un aspect sortant du cadre de ces attributions doit être traité.

Haut de page

Termes et définitions

Certains des termes utilisés dans le domaine de la gestion des risques de sécurité peuvent poser des problèmes de compréhension. Il se peut également que plusieurs personnes interprètent un même terme relativement simple de différentes manières. C'est pourquoi il est important de bien comprendre le sens que les auteurs de ce guide ont donné aux termes clés qui apparaissent tout au long de ce manuel. De nombreuses définitions fournies ci-dessous sont tirées de documents publiés par des organismes tiers : l'ISO (International Standards Organization) et l'IETF (Internet Engineering Task Force). Les adresses Internet de ces organismes sont fournies à la section Informations complémentaires, plus loin dans ce chapitre. La liste suivante fournit une définition des différents composants clés du système de gestion des risques de sécurité :

  • Perte **estimée annuelle (PEA) : **montant total que l'entreprise peut perdre en un an si rien n'est fait pour minimiser le risque.

  • **Taux annuel d'occurrence (TAO) : **nombre de fois qu'un risque peut raisonnablement se concrétiser au cours d'une année.

  • *Ressource : ***tout élément représentant une valeur commerciale pour l'entreprise, tel que les composants logiciels et matériels, les données, les ressources humaines et la documentation.

  • **Disponibilité : **état qui caractérise un système ou une ressource système lorsque les utilisateurs disposant des autorisations nécessaires peuvent y accéder et l'utiliser à la demande. La disponibilité est l'une des caractéristiques principales d'un système sécurisé.

  • **CID : **Voir Confidentialité, Intégrité et Disponibilité.

  • **Confidentialité : **propriété d'une information qui n'est ni rendue disponible, ni divulguée aux personnes, aux entités ou aux processus non autorisés (ISO 7498-2).

  • **Contrôle : ** méthode organisationnelle, procédure ou technologie utilisée pour gérer un risque. Synonymes : mesure de protection, contre-mesure.

  • **Analyse coût/bénéfices : **procédure d'analyse et de comparaison des coûts et des bénéfices liés aux différents contrôles proposés ; elle permet de sélectionner le contrôle le plus efficace.

  • **Aide à la décision : ** classement des risques par ordre de priorité sur la base d'une analyse coût/bénéfices. Lors de cette procédure, on met en balance le coût de la solution de sécurité destinée à minimiser les risques et les bénéfices que l'entreprise peut retirer de la minimisation des risques.

  • **Défense renforcée : **modèle selon lequel plusieurs couches de sécurité sont utilisées pour prévenir les éventuelles défaillances de l'un des composants de sécurité.

  • **Exploitation : **fait d'utiliser une vulnérabilité pour compromettre les activités commerciales ou la sécurité des données d'une entreprise.

  • **Exposition : **menace qui pèse sur des données sensibles lorsque celles-ci sont directement soumises à l'influence d'une entité non autorisée (RFC 2828). Dans le cadre du processus de gestion des risques de sécurité de Microsoft, ce terme désigne plus spécifiquement l'étendue des dommages que peut subir une ressource commerciale.

  • **Impact : **pertes commerciales globales à prévoir en cas d'exploitation par un agent menaçant d'une vulnérabilité à l'encontre d'une ressource.

  • **Intégrité : **propriété d'une information qui n'a été ni modifiée, ni détruite de façon non autorisée (ISO 7498-2).

  • **Minimisation : **procédure de traitement d'un risque axée sur une série de mesures visant à se prémunir contrer la menace latente.

  • **Solution de minimisation : **mise en œuvre d'un contrôle disponible sous forme de méthode organisationnelle, de procédure ou de technologie, en vue de traiter un risque de sécurité.

  • **Probabilité :  **possibilité qu'un événement se produise.

  • **Gestion qualitative des risques : **méthode de gestion des risques selon laquelle les intervenants attribuent une valeur relative aux ressources, aux risques, aux contrôles et aux impacts.

  • **Gestion quantitative des risques :  **méthode de gestion des risques selon laquelle les intervenants tentent d'associer une valeur numérique objective (par exemple, une valeur monétaire) aux ressources, aux risques, aux contrôles et aux impacts.

  • **Réputation : **opinion que le public se fait d'une société ; dans la plupart des cas, la réputation d'une entreprise représente une valeur réelle, bien qu'elle soit difficile à évaluer de par sa nature abstraite.

  • **Retour sur investissement pour la sécurité (RIPS) : **montant total des gains que la mise en place d'un contrôle de sécurité peut représenter pour l'entreprise sur un an.

  • **Risque : **probabilité qu'un événement se produise et conséquences de l'événement (ISO Guide 73).

  • **Évaluation des risques : **processus qui consiste à identifier les risques et à en mesurer l'impact.

  • **Gestion des risques : **processus qui consiste à définir un niveau de risque acceptable, évaluer le niveau de risque courant, prendre les mesures nécessaires pour revenir au niveau de risque acceptable défini et enfin maintenir ce niveau de risque.

  • **Perte estimée unique (PEU) : **montant total de recettes perdues à la suite d'une occurrence unique du risque.

  • **Menace : **cause potentielle des dommages causés à un système ou à une entreprise (ISO 13335-1).

  • **Vulnérabilité : ** processus administratif, action, exposition physique ou défaillance qui peut donner la possibilité à un agent menaçant d'exploiter des données.

Haut de page

Conventions stylistiques

Ce guide utilise la terminologie et les conventions stylistiques suivantes.

Tableau 1.1 : Conventions stylistiques

Élément Signification
Remarque Signale à l'utilisateur la présence d'informations complémentaires.
Exemple de Woodgrove Signale à l'utilisateur que le contenu fait référence à l'entreprise fictive prise comme exemple, la « Woodgrove Bank ».
[](#mainsection)[Haut de page](#mainsection) ### Assistance fournie en complément de ce guide L'objectif de ce guide est de présenter clairement un processus sur lequel les entreprises peuvent s'appuyer pour mettre en œuvre un programme de gestion des risques de sécurité et en assurer le suivi. Si vous avez besoin d'une assistance dans le cadre de la mise en œuvre d'un programme de gestion des risques, mettez-vous en relation avec l'équipe de gestion de votre compte Microsoft. Aucune assistance téléphonique n'est fournie en complément de ce guide. Les questions ou les commentaires portant sur ce guide doivent être envoyés à l'adresse suivante : secwish@microsoft.com. [](#mainsection)[Haut de page](#mainsection) ### Informations complémentaires Les sources répertoriées ci-dessous fournissent les informations les plus récentes sur les thèmes liés à la gestion des risques de sécurité au moment de la publication de ce guide. La structure MOF (Microsoft Operations Framework) propose une assistance technique qui permet aux entreprises d'assurer la fiabilité, la disponibilité, la possibilité de prise en charge et la gérabilité de solutions informatiques stratégiques axées sur des produits et technologies Microsoft. Cette assistance est fournie sous la forme de livres blancs, de manuels d'utilisation, d'outils d'évaluation, de méthodes recommandées, d'études de cas, de modèles, d'outils d'assistance et de services. Elle se penche sur les divers aspects liés aux ressources humaines, aux processus, aux technologies et à la gestion qui interviennent dans la mise en œuvre d'environnements informatiques complexes, distribués et hétérogènes. Vous trouverez des informations complémentaires sur la structure MOF à l'adresse suivante : [www.microsoft.com/mof](http://www.microsoft.com/mof/) ![Site en anglais](images/Cc163151.us(fr-fr,TechNet.10).gif). La structure MSF (Microsoft Solutions Framework) a pour but de faciliter la mise en œuvre des plans d'action ébauchés dans le cadre du processus de gestion des risques de sécurité de Microsoft. Conçue pour aider les entreprises à fournir des solutions technologiques de grande qualité dans les délais impartis et dans la limite des budgets disponibles, la structure MSF constitue une approche volontaire et organisée dans le domaine de la gestion des projets technologiques, et s'appuie sur une série de modèles, de disciplines, de concepts, de recommandations et de pratiques éprouvées émanant de Microsoft. Vous trouverez des informations complémentaires sur la structure MSF à l'adresse suivante : [www.microsoft.com/msf](http://www.microsoft.com/msf/) ![Site en anglais](images/Cc163151.us(fr-fr,TechNet.10).gif). Complet et facile à consulter, l'espace conseils Microsoft sur la sécurité pour les développeurs et les informaticiens regroupe des documents couvrant un vaste éventail de sujets liés à la sécurité. Cette base est disponible à l'adresse suivante : [http://www.microsoft.com/france/securite/it/default.asp](http://www.microsoft.com/france/securite/guidance/default.asp). La solution *Windows 2000 Server Solution for Security* (Solution de sécurité pour Windows 2000 Server) de *Microsoft* est une solution pratique permettant de minimiser les vulnérabilités et de réduire les coûts liés à l'exposition et à la gestion de la sécurité dans un environnement Microsoft Windows® 2000. Les chapitres 2, 3 et 4 du guide *Windows 2000 Server Solution for Security* de *Microsoft* correspondent au premier traité de gestion des risques de sécurité publié par Microsoft, traité intitulé SRMD (Security Risk Management Discipline, Discipline de gestion du risque de sécurité). Le présent guide remplace le traité de gestion des risques de sécurité intégré au guide *Windows 2000 Server Solution for Security* de *Microsoft*. Ce guide est disponible à l'adresse suivante : [http://go.microsoft.com/ fwlink/?LinkId=14837](http://go.microsoft.com/fwlink/?linkid=14837) ![Site en anglais](images/Cc163151.us(fr-fr,TechNet.10).gif). Le NIST (National Institute for Standards and Technology) propose un guide d'excellente qualité sur la gestion des risques, guide intitulé *Risk Management Guide for Information Technology Systems* (Guide de la gestion des risques liés aux systèmes informatiques - juillet 2002). Ce guide est disponible à l'adresse suivante : [http://csrc.nist.gov/publications/nistpubs/800-30/ sp800-30.pdf](http://csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf) ![Site en anglais](images/Cc163151.us(fr-fr,TechNet.10).gif) ![Quitter le site Microsoft](images/Cc163151.leave(fr-fr,TechNet.10).gif). Le NIST propose un autre guide intitulé *The* *Security Self-Assessment Guide for Information Technology Systems *(Guide d'autoévaluation des risques de sécurité liés aux systèmes informatiques - novembre 2001). Ce guide concerne l'évaluation des risques de sécurité au sein d'une entreprise. Il est disponible à l'adresse suivante : [http://csrc.nist.gov/publications/nistpubs/800-53-Rev2/sp800-53-rev2-final.pdf](http://csrc.nist.gov/publications/nistpubs/800-53-rev2/sp800-53-rev2-final.pdf) ![Site en anglais](images/Cc163151.us(fr-fr,TechNet.10).gif) ![Quitter le site Microsoft](images/Cc163151.leave(fr-fr,TechNet.10).gif). L'ISO propose un code de bonne pratique extrêmement détaillé intitulé *Technologies de l'information — Code de pratique pour la gestion de sécurité d'information*, également connu sous le nom d'ISO 17799. Ce document est payant. Vous le trouverez à l'adresse suivante : [www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail? CSNUMBER=33441&ICS1=35&ICS2=40&ICS3=](http://www.iso.org/iso/en/cataloguedetailpage.cataloguedetail?csnumber=33441&ics1=35&ics2=40&ics3=) ![Site en anglais](images/Cc163151.us(fr-fr,TechNet.10).gif) ![Quitter le site Microsoft](images/Cc163151.leave(fr-fr,TechNet.10).gif). L'ISO a publié d'autres normes dont certaines sont mentionnées dans ce guide. Ces normes sont payantes. Vous les trouverez à l'adresse suivante : [www.iso.org](http://www.iso.org/) ![Site en anglais](images/Cc163151.us(fr-fr,TechNet.10).gif) ![Quitter le site Microsoft](images/Cc163151.leave(fr-fr,TechNet.10).gif). Le CERT (Computer Emergency Response Team), qui fait partie du Software Engineering Institute de la Carnegie-Mellon University, a créé OCTAVE® (Operationally Critical Threat, Asset, and Vulnerability EvaluationSM), technique de planification et d'évaluation des risques orientée vers l'intérieur de l'entreprise. Vous trouverez des informations complémentaires sur cette technique à l'adresse suivante : [www.cert.org/octave](http://www.cert.org/octave/) ![Site en anglais](images/Cc163151.us(fr-fr,TechNet.10).gif) ![Quitter le site Microsoft](images/Cc163151.leave(fr-fr,TechNet.10).gif). Le modèle CobiT (Control Objectives for Information and Related Technology) fournit des normes réputées et de portée générale, conçues pour une gestion efficace de la sécurité, ainsi que des méthodes de contrôle définissant une structure de référence pour les dirigeants, les utilisateurs et les spécialistes de l'audit, de la sécurité et du contrôle des systèmes d'information. Ce modèle est payant. il est disponible sur le site du IT Governance Institute (Institut de gouvernance informatique) à l'adresse suivante : [http://www.isaca.org/cobit](http://www.itgi.org/cobit) ![Site en anglais](images/Cc163151.us(fr-fr,TechNet.10).gif) ![Quitter le site Microsoft](images/Cc163151.leave(fr-fr,TechNet.10).gif). L'IETF a publié le document RFC (Request for Comments) 2828, note en accès libre fournissant la définition standard d'un vaste éventail de termes liés à la sécurité des systèmes informatiques. Ce document est disponible à l'adresse suivante : [www.faqs.org/rfcs/rfc2828.html](http://www.faqs.org/rfcs/rfc2828.html) ![Site en anglais](images/Cc163151.us(fr-fr,TechNet.10).gif) ![Quitter le site Microsoft](images/Cc163151.leave(fr-fr,TechNet.10).gif). [](#mainsection)[Haut de page](#mainsection)