Chapitre 4 : Évaluation des risques
Paru le 15/10/04
Sur cette page
Présentation
Planification
Collecte de données
Classement des risques par ordre de priorité
Résumé
Présentation
Le processus global de gestion des risques comporte quatre phases principales : l'évaluation des risques, l'aide à la décision, la mise en place de contrôles et la mesure de l'efficacité du programme. Le processus de gestion des risques montre comment un programme formel permet d'organiser des ressources limitées de manière cohérente pour gérer les risques sur l'ensemble d'une entreprise. Ses avantages découlent de la mise en place d'un environnement de contrôle rentable permettant de mesurer les risques et de les ramener à un niveau acceptable.
La phase d'évaluation des risques constitue un processus formel permettant d'identifier et de classer par ordre de priorité les risques portant sur l'ensemble de l'entreprise. Le processus de gestion des risques de sécurité de Microsoft fournit des indications détaillées sur la façon de réaliser des évaluations des risques et sépare le processus utilisé dans la phase d'évaluation des risques en 3 étapes :
Planification : création de la base qui permettra d'évaluer correctement les risques.
Collecte de données : collecte d'informations sur les risques réalisée par l'intermédiaire de discussions sur les risques tenues en présence d'un animateur.
Classement des risques par ordre de priorité : classement des risques identifiés réalisé selon un processus cohérent et renouvelable.
La phase d'évaluation des risques permet d'obtenir la liste classée par ordre de priorité des risques. Cette liste constitue la base de la réflexion menée lors de la phase d'aide à la décision ; cette dernière est traitée en détail dans le chapitre 5, « Aide à la décision ».
Le schéma suivant présente le processus global de gestion des risques et illustre le rôle de la phase d'évaluation des risques dans l'ensemble du programme. Les trois étapes de la phase d'évaluation des risques sont également mises en valeur.
.gif)
Figure 4.1 Processus de gestion des risques de sécurité de Microsoft : Phase d'évaluation des risques
Cette section présente brièvement les trois étapes de la phase d'évaluation des risques : la planification, la collecte de données et le classement des risques par ordre de priorité. Elle est suivie de sections contenant des tâches spécifiques permettant de réaliser une évaluation concrète des risques dans votre environnement.
Planification
Une planification appropriée de l'évaluation des risques est essentielle au succès de l'ensemble du programme de gestion des risques. Si l'on ne parvient pas à aligner de manière adéquate la phase d'évaluation des risques, à en définir le champ d'application et à en obtenir l'acceptation, l'efficacité des autres phases du programme s'en trouve inéluctablement réduite. L'évaluation des risques peut constituer un processus complexe, dont la réalisation nécessite un investissement important. Les tâches et les instructions essentielles à l'étape de planification sont décrites dans la section suivante de ce chapitre.
Collecte de données
Après la planification, l'étape suivante vise à collecter des informations sur les risques auprès de l'ensemble des parties prenantes de l'entreprise ; vous utiliserez également ces informations dans la phase d'aide à la décision. Les principaux éléments de données collectés pendant l'étape de collecte des données sont les suivants :
Ressources de l'entreprise: tous les éléments pouvant présenter de la valeur pour l'entreprise.
Description des ressources : brève description de chaque ressource, sa valeur et ses responsables, permettant de faciliter la compréhension de tous tout au long de la phase d'évaluation des risques.
Menaces de sécurité : causes ou événements susceptibles d'influer négativement sur une ressource, matérialisés par une perte de la confidentialité, l'intégrité ou la disponibilité de la ressource.
Vulnérabilités : faiblesses ou absence de contrôles pouvant être exploitées et entraîner un impact sur une ressource.
Environnement de contrôle en cours : description des contrôles en cours et de leur efficacité sur l'ensemble de l'entreprise.
Contrôles proposés : suggestions initiales portant sur la réduction des risques.
L'étape de collecte de données constitue l'essentiel de la collaboration et l'interaction entre les groupes pendant la phase d'évaluation des risques. La troisième section de ce chapitre décrit en détail les tâches de collecte de données.
Classement des risques par ordre de priorité
Pendant l'étape de collecte de données, l'équipe de gestion des risques de sécurité commence à trier la grande quantité d'informations collectées pour classer les risques par ordre de priorité. L'étape de classement par ordre de priorité est la première de la phase à introduire un élément de subjectivité. Le classement par ordre de priorité est de nature subjective, parce qu'il consiste pour l'essentiel à prédire l'avenir. Étant donné que l'objectif de la phase d'évaluation des risques oriente les futurs investissements informatiques, il est essentiel d'établir un processus transparent avec des rôles et des responsabilités définis pour obtenir l'acceptation des résultats et motiver une action visant à minimiser les risques. Le processus de gestion des risques de sécurité de Microsoft fournit des instructions nécessaires pour identifier et classer par ordre de priorité les risques de manière cohérente et renouvelable. Une approche ouverte et reproductible permet à l'équipe de gestion des risques de sécurité de parvenir rapidement à un consensus et de réduire ainsi les retards potentiels inhérents à la nature subjective du classement des risques par ordre de priorité. La quatrième section de ce chapitre décrit en détail les tâches et les instructions de classement par ordre de priorité.
Bases nécessaires à la réflexion menée lors de la phase d'évaluation des risques
Chaque étape de la phase d'évaluation des risques contient la liste spécifique des tâches à effectuer et des prérequis associés. La phase proprement dite nécessite une base judicieusement élaborée plutôt que des prérequis spécifiques. Comme l'indique le chapitre 1, la phase d'évaluation des risques nécessite un leadership en matière de sécurité matérialisé par le soutien de la direction, l'aval des parties prenantes et des rôles et responsabilités définis. Les sections suivantes décrivent en détail ces aspects.
Participants à la phase d'évaluation des risques
Avec l'évaluation des risques, une interaction entre les groupes est nécessaire et les différentes parties prenantes doivent être tenues responsables des tâches tout au long du processus. Pour réduire la confusion des rôles tout au long du processus, l'une des meilleures méthodes consiste à communiquer les vérifications et les équilibres intégrés aux rôles et responsabilités de gestion des risques. Pendant que vous effectuez l'évaluation, communiquez les rôles joués par les parties prenantes et donnez-leur l'assurance que l'équipe de gestion des risques de sécurité respecte ces limites. Le tableau suivant récapitule les rôles et les responsabilités principales des parties prenantes dans cette phase du processus de gestion des risques.
Tableau 4.1 : Rôles et responsabilités dans le programme de gestion des risques
| Responsable de l'entreprise |
Détermine la valeur des ressources de l'entreprise |
| Groupe de sécurité informatique |
Détermine la probabilité d'impact sur les ressources de l'entreprise |
| Informatique--Ingénierie |
Conçoit des solutions techniques et estime les coûts d'ingénierie |
| Informatique--Exploitation |
Conçoit les éléments opérationnels de la solution et estime les coûts d'exploitation |
Les vérifications et les équilibres intégrés deviendront apparents dans les sections suivantes qui examinent en détail les étapes de planification, de collecte de données et de classement des risques par ordre de priorité de la phase d'évaluation des risques.
#### Outils fournis pour la phase d'évaluation des risques
Pendant le processus d'évaluation des risques, vous collectez des données sur les risques, que vous utilisez ensuite pour classer les risques par ordre priorité. Pour faciliter cette phase, trois outils sont prévus. Ces outils se trouvent dans le dossier Outils et modèles, créé lorsque vous avez décompressé l'archive contenant le présent guide et ses fichiers associés.
- **Modèle de collecte de données** (SRMGTool1-Outil de collecte de données.doc). Modèle facilitant l'animation des discussions tenues pour la collecte des données sur les risques.
- **Liste des valeurs des ressources** (SRAPPB.doc). Liste des ressources dont dispose généralement une entreprise.
- **Modèles de classement des risques par ordre de priorité** (SRMGTool2-Évaluation sommaire des risques.xls et SRMGTool3-Classement détaillé des niveaux de risques.xls). Modèles Microsoft® Excel facilitant le classement des risques par ordre de priorité.
- **Exemple de programme** (SRMGTool4-Exemple de programme.xls). Ce programme vous permet de planifier plus facilement les activités de cette phase.
#### Objectif principal de la phase d'évaluation des risques
L'objectif de la phase d'évaluation des risques est de dresser une liste classée par ordre de priorité des risques, contenant un classement qualitatif et des estimations quantitatives utilisés dans la phase d'aide à la décision décrite au chapitre suivant.
[](#mainsection)[Haut de page](#mainsection)
### Planification
L'étape de planification joue peut-être le rôle le plus important pour assurer l'aval et le soutien des parties prenantes tout au long du processus d'évaluation des risques. L'aval des parties prenantes est essentiel, car l'équipe de gestion des risques de sécurité nécessite la participation active des autres parties prenantes. Le soutien est tout aussi essentiel, car les résultats de l'évaluation peuvent influer sur les activités de budgétisation des parties prenantes si de nouveaux contrôles sont nécessaires pour réduire les risques. Les tâches principales de l'étape de planification consistent à aligner correctement la phase d'évaluation des risques avec les processus commerciaux, définir précisément le champ d'application de l'évaluation et obtenir l'aval des parties prenantes. La section suivante examine plus en détail ces trois tâches et traite des facteurs de réussite qui leur sont associés.
#### Alignement
Dans l'absolu, il est préférable de commencer la phase d'évaluation des risques avant le processus de budgétisation de votre entreprise. L'alignement facilite le soutien de la direction et accroît la visibilité au sein de l'entreprise et des groupes informatiques tandis qu'ils élaborent les budgets de l'exercice suivant. Une synchronisation adéquate facilite également l'établissement d'un consensus pendant l'évaluation, parce qu'elle permet aux parties prenantes de jouer des rôles actifs dans le processus de planification. Le groupe de sécurité informatique est souvent considéré comme une équipe réactive qui interrompt l'activité de l'entreprise et surprend les unités fonctionnelles par des nouvelles faisant état d'échecs de contrôle ou d'arrêt du travail. Une synchronisation judicieuse de l'évaluation est essentielle pour établir un soutien et permettre à l'ensemble de l'entreprise de comprendre que la sécurité relève de la responsabilité de tous et fait partie intégrante de la vie de l'entreprise. L'évaluation des risques permet également de montrer que le groupe de sécurité informatique peut être considéré comme un partenaire proactif plutôt que comme un simple exécuteur de stratégies intervenant dans les situations d'urgence. Le présent guide fournit un exemple de planning de projet destiné à faciliter l'alignement du processus d'évaluation des risques avec votre entreprise. De toute évidence, l'équipe de gestion des risques de sécurité ne doit pas retenir d'informations sur les risques pendant l'attente du cycle de budgétisation. Suite aux différentes évaluations menées au sein de Microsoft IT, il s'avère que l'alignement de la synchronisation de l'évaluation constitue la meilleure méthode.
**Remarque :** l'alignement correct du processus de gestion des risques avec le cycle de planification budgétaire peut également se révéler utile dans le cadre des activités d'audit internes ou externes ; toutefois, les activités de coordination et de définition du champ d'application des audits sortent du cadre du présent guide.
#### Définition du champ d'application
Pendant les activités de planification, structurez clairement le champ d'application de l'évaluation des risques. Pour gérer efficacement le risque sur l'ensemble de l'entreprise, le champ d'application de l'évaluation des risques doit décrire toutes les fonctions de l'entreprise incluses dans l'évaluation des risques. Si la taille de votre entreprise ne permet pas de réaliser une évaluation à l'échelle de l'entreprise, établissez clairement quelle partie de l'entreprise entrera dans le champ d'application et définissez les parties prenantes associées. Comme l'explique le chapitre 2, si votre entreprise ne connaît pas encore les programmes de gestion des risques, vous pouvez pratiquer le processus d'évaluation des risques en commençant par les unités fonctionnelles les mieux maîtrisées. Par exemple, le fait de sélectionner une application de ressources humaines ou un service informatique spécifique, tel que l'accès à distance, permet de démontrer la valeur du processus et d'établir la dynamique d'une évaluation des risques à l'échelle de l'entreprise.
**Remarque :** souvent, les entreprises ne parviennent pas à définir avec précision le champ d'application d'une évaluation des risques. Définissez clairement les secteurs de l'entreprise à évaluer et obtenez l'approbation de la direction avant de poursuivre. Le champ d'application doit faire l'objet de discussions fréquentes et être compris lors de toutes les réunions des parties prenantes tenues pendant le processus.
Dans l'étape de planification, vous devez également définir le champ d'application de l'évaluation des risques proprement dite. L'industrie de la sécurité des informations utilise le terme « évaluation » dans des contextes divers, ce qui risque de dérouter des parties prenantes non spécialisées. Par exemple, on effectue des évaluations de la vulnérabilité pour identifier les faiblesses liées à certaines configurations technologiques ou opérationnelles. Le terme « évaluation de la conformité » peut servir à désigner un audit ou la mesure des contrôles en cours par rapport à une stratégie formelle. Dans le processus de gestion des risques de sécurité de Microsoft, l'évaluation des risques est définie comme *le processus permettant d'identifier et de classer par ordre de priorité les risques de sécurité informatique pour l'entreprise*. Vous pouvez ajuster cette définition en fonction de votre entreprise. Par exemple, certaines équipes de gestion des risques de sécurité peuvent également inclure la sécurité du personnel dans le domaine d'application de leurs évaluations des risques.
#### Aval des parties prenantes
L'évaluation des risques nécessite une participation active des parties prenantes. L'expérience a montré qu'il est préférable de travailler de manière informelle et à un stade précoce du processus avec les parties prenantes pour veiller à ce qu'elles comprennent l'importance de l'évaluation, de leurs rôles et de l'engagement en termes de temps qui leur est demandé. Un facilitateur d'évaluation des risques vous dira toujours qu'il existe une différence entre l'approbation des parties prenantes vis-à-vis du projet et l'aval des parties prenantes vis-à-vis du calendrier et de la priorité du projet. Pour s'adjoindre le soutien des parties prenantes, il est préférable de vendre préalablement le concept et les activités dans le cadre de l'évaluation des risques. La vente préalable peut entraîner la tenue d'une réunion informelle avec les parties prenantes avant la demande d'un engagement formel. Soulignez en quoi une évaluation proactive est dans l'intérêt de tous sur le long terme en identifiant des contrôles susceptibles d'éviter de futures interruptions d'activités liées à des événements de sécurité. Le fait de prendre pour exemple des incidents de sécurité passés constitue une façon efficace de rappeler aux parties prenantes les impacts potentiels sur l'entreprise.
**Remarque :** pour aider les parties prenantes à comprendre le processus, préparez un bref récapitulatif justifiant l'utilité et la valeur de l'évaluation. Diffusez ce récapitulatif autant que possible. Vous aurez confirmation de l'efficacité de cette démarche en entendant les parties prenantes décrire entre elles l'évaluation. La synthèse de ce guide constitue un bon point de départ pour communiquer la valeur du processus d'évaluation des risques.
#### Préparation au succès : définition des attentes
On ne saurait trop souligner l'importance d'une définition correcte des attentes. Il est en effet essentiel de définir des attentes raisonnables pour le succès de l'évaluation des risques, car le processus nécessite des contributions importantes de différents groupes représentant peut-être toute l'entreprise. En outre, les participants doivent accepter et comprendre les facteurs de réussite de leur rôle et du processus global. Si un seul de ces groupes ne comprend pas ou ne participe pas activement, l'efficacité de tout le programme peut s'en trouver compromise.
Lorsque vous établissez un consensus pendant l'étape de planification, définissez immédiatement des attentes sur les rôles, les responsabilités et les niveaux de participation demandés aux autres parties prenantes. Vous devez également partager les enjeux liés à l'évaluation. Par exemple, décrivez clairement les processus d'identification et de classement par ordre de priorité des risques pour éviter toute méprise.
#### Divers aspects de la subjectivité
Les responsables d'entreprise sont parfois anxieux lorsqu'un groupe extérieur (dans ce cas, le groupe de sécurité informatique) annonce des risques de sécurité susceptibles d'influer sur les priorités fiscales. Vous pouvez réduire cette tension naturelle en définissant des attentes sur les objectifs du processus d'évaluation des risques. Vous donnerez également aux parties prenantes l'assurance que les rôles et responsabilités seront respectés tout au long du processus. En l'occurrence, le groupe de sécurité informatique doit reconnaître que les responsables d'entreprise définissent la valeur des ressources de l'entreprise. Cela signifie également que les parties prenantes doivent s'appuyer sur le savoir-faire du groupe de sécurité informatique pour estimer la probabilité que des menaces aient un impact sur l'entreprise. Le fait de prédire l'avenir est de nature subjective. Les responsables d'entreprise doivent prendre acte du fait que le groupe de sécurité informatique utilisera son savoir-faire pour estimer le niveau des risques. Ils doivent également lui apporter leur soutien. Mettez l'accent sur ces relations à un stade précoce et faites valoir les références, l'expérience et les objectifs partagés du groupe de sécurité informatique et des responsables d'entreprise.
Après avoir terminé l'étape de planification, structuré les rôles et les responsabilités et défini correctement les attentes, vous êtes prêt à vous lancer concrètement dans la réalisation du processus d'évaluation des risques (collecte de données et classement des risques par ordre de priorité). Les deux sections suivantes décrivent en détail ces étapes. Elles précèdent le chapitre 5, qui traite de la phase d'aide à la décision.
[](#mainsection)[Haut de page](#mainsection)
### Collecte de données
La section de présentation de ce chapitre propose une introduction au processus d'évaluation des risques, qui traite des trois étapes principales : planification, collecte de données et classement des risques par ordre de priorité. Après avoir terminé les activités de planification, vous abordez l'étape de collecte des données sur les risques auprès des parties prenantes de toute l'entreprise. Ces informations vous permettent d'identifier les risques et de les classer ensuite par ordre de priorité.
Cette section se compose de trois parties. La première décrit en détail le processus de collecte de données et s'attache aux facteurs de réussite de la collecte d'informations sur les risques. La deuxième décrit les étapes détaillées suivies pendant la collecte de données sur les risques, réalisée par l'intermédiaire de réunions avec des parties prenantes spécialisées et non spécialisées tenues en présence d'un facilitateur. La troisième présente les étapes nécessaires pour constituer un ensemble de déclarations d'impact à partir de cette compilation de données, comme l'indique le chapitre 3. Pour conclure le processus d'évaluation des risques, cette liste de déclarations d'impact fournit la base du processus de classement par ordre de priorité décrit en détail dans la section suivante.
#### Clés de la réussite de la collecte de données
Vous pouvez mettre en doute l'intérêt de poser à des gens dépourvus d'expérience professionnelle des questions de sécurité détaillées portant sur les risques liés à l'informatique. L'expérience de la conduite d'évaluations des risques au sein de Microsoft IT montre qu'il est essentiel de s'enquérir de l'avis des parties prenantes, spécialisées ou non, sur les risques liés aux ressources qu'elles gèrent. Les professionnels de la sécurité informatique doivent également se forger une connaissance détaillée des préoccupations des parties prenantes pour convertir les informations sur leurs environnements en risques classés par ordre de priorité. La tenue de réunions collaboratives avec les parties prenantes permet à celles-ci de cerner le risque en des termes qu'elles peuvent comprendre et évaluer. En outre, les parties prenantes contrôlent ou influencent les dépenses informatiques. Si elles ne comprennent pas les impacts potentiels sur l'entreprise, l'affectation des ressources devient beaucoup plus difficile. Les responsables d'entreprise orientent également la culture de la société et influent sur le comportement des utilisateurs, ce qui peut constituer en soi un outil puissant dans la gestion des risques.
Lorsque des risques sont découverts, le groupe de sécurité informatique demande le soutien des parties prenantes en termes d'affectation de ressource et d'établissement d'un consensus autour de la définition et du classement par ordre de priorité des risques. Certains groupes de sécurité informatique dépourvus de programme de gestion proactif peuvent s'appuyer sur la peur pour motiver l'entreprise. Il s'agit là d'une stratégie à court terme, dans le meilleur des cas. Le groupe de sécurité informatique doit apprendre à solliciter le soutien de l'entreprise si le programme de gestion des risques doit se prolonger. Pour obtenir ce soutien, la première étape est d'organiser des entretiens individuels avec les parties prenantes.
##### Renforcement du soutien
Les responsables d'entreprise jouent des rôles explicites dans le processus d'évaluation des risques. Ils sont chargés d'identifier leurs ressources et d'estimer le coût des impacts potentiels sur ces ressources. En formalisant cette responsabilité, le groupe de sécurité informatique et les responsables d'entreprise participent de manière égale au succès de la gestion des risques. La plupart des professionnels de la sécurité informatique et des parties prenantes non spécialisées ne réalisent pas cette connexion automatiquement. En tant qu'experts de la gestion des risques, les professionnels de la sécurité informatique doivent prendre l'initiative de combler ce type de lacunes pendant les discussions sur les risques. Comme nous l'avons vu au chapitre précédent, il est beaucoup plus facile d'établir cette relation en s'adjoignant le concours d'un parrain membre de la direction, qui comprenne bien l'entreprise.
##### Comparaison de la discussion et de l'interrogation
Dans de nombreuses méthodes de gestion des risques de sécurité, le groupe de sécurité informatique doit poser des questions explicites aux parties prenantes et répertorier leurs réponses. Ces questions se présentent par exemple sous la forme suivante : « Pourriez-vous décrire les stratégies que vous appliquez pour garantir une segmentation correcte des tâches ? » ou encore : « Quel processus utilisez-vous pour examiner les stratégies et les procédures ? ». Tenez compte du ton et de l'orientation de la réunion. Pour faciliter les discussions bilatérales, il est préférable de s'en tenir à des questions ouvertes. Cela permet également aux parties prenantes d'exprimer leurs opinions réelles, plutôt que de répondre au facilitateur d'évaluation des risques en fonction de ses souhaits présumés. L'objectif de la discussion sur les risques est de comprendre l'entreprise et les risques de sécurité qui l'entourent, et non de conduire un audit de la stratégie documentée. L'apport des parties prenantes non spécialisées est certes précieux, mais souvent incomplet. L'équipe de gestion des risques de sécurité, indépendamment du responsable de l'entreprise, doit toujours se baser sur ses propres recherches pour étudier et envisager tous les risques liés à chaque ressource.
##### Renforcement de la cote d'estime
La sécurité des informations est une fonction de gestion difficile, car l'exercice de réduction du risque est souvent considéré comme une entrave à la facilité d'utilisation du système ou à la productivité des employés. Mettez à profit les discussions pour établir une alliance avec les parties prenantes. La législation, les préoccupations sur la confidentialité, la pression des concurrents et la sensibilisation accrue des consommateurs ont conduit les cadres et les décideurs d'entreprise à admettre que la sécurité est un élément très important de l'entreprise. Aidez les parties prenantes à comprendre l'importance de la gestion des risques et de leurs rôles à l'échelle du programme. Parfois, l'établissement de relations entre le groupe de sécurité informatique et les parties prenantes est plus productif que les données collectées pendant la réunion. Il s'agit là d'une petite victoire, qui a toutefois de l'importance dans l'effort global de gestion des risques.
#### Préparation des discussions sur les risques
Avant le début des discussions sur les risques, l'équipe de gestion des risques de sécurité doit se consacrer à la recherche et à la compréhension de chaque élément qui sera abordé. Les informations suivantes traitent des meilleures pratiques et définissent de manière plus approfondie chaque élément d'une déclaration de risque complète en vue de faciliter les discussions avec les parties prenantes.
##### Identification des références de base pour l'évaluation des risques
L'équipe d'évaluation des risques doit se préparer minutieusement avant de rencontrer les parties prenantes. L'équipe est plus efficace et les discussions sont plus productives lorsque l'équipe a une compréhension claire de l'entreprise, son environnement technique et l'activité d'évaluation passée. La liste suivante vous permet de recueillir des éléments à utiliser comme références de base dans le processus d'évaluation des risques :
- **Nouveaux incitateurs commerciaux** : actualisez vos connaissances des priorités de l'entreprise ou des modifications éventuellement survenues depuis la dernière évaluation. Attachez une attention particulière à toute activité de fusions et acquisitions.
- **Évaluations précédentes des risques** : examinez les évaluations passées, qui peuvent servir de référence lors des futures évaluations. L'équipe d'évaluation des risques devra peut-être rapprocher la nouvelle évaluation de travaux antérieurs.
- **Audits** : collectez tous les rapports d'audit relatifs au champ d'application de l'évaluation des risques. Les résultats d'audit doivent être pris en compte dans l'évaluation et lors de la sélection de nouvelles solutions de contrôle.
- **Incidents de sécurité** : utilisez les incidents passés pour identifier les ressources clés, comprendre la valeur des ressources, identifier les vulnérabilités courantes et souligner les déficiences des contrôles.
- **Événements industriels** : identifiez les nouvelles tendances de l'entreprise et les influences externes. La réglementation officielle, les lois et l'activité internationale peuvent avoir une grande influence sur votre attitude en matière de gestion des risques. L'identification des nouvelles tendances peut nécessiter des recherches et une évaluation substantielles de la part de votre entreprise. Il peut être utile de confier l'examen de ce type de données à un service donné tout au long de l'année.
- **Bulletins** : examinez les questions de sécurité connues identifiées sur le Web, dans les groupes de discussion et directement auprès des fournisseurs de logiciels.
- **Conseils sur la sécurité des informations** : effectuez des recherches pour déterminer si de nouvelles tendances, outils ou approches de la gestion du risque sont disponibles. Il est possible d'exploiter des normes industrielles pour améliorer ou aider à justifier le processus d'évaluation des risques, ou permettre d'identifier de nouvelles stratégies de contrôle. Les normes internationales constituent une autre référence clé.
Le présent guide contient des concepts issus de nombreuses normes telles que la norme ISO (International Standards Organization) 17799. Une évaluation et une application attentives des normes vous permettent d'utiliser le travail d'autres professionnels et d'offrir un certain degré de crédibilité aux parties prenantes de l'entreprise. Il peut être utile de référencer spécifiquement des normes pendant les discussions sur les risques, pour veiller à ce que l'évaluation porte sur tous les domaines concernés de la sécurité des informations.
#### Identification et classification des ressources
Le domaine d'application de l'évaluation des risques définit les secteurs de l'entreprise faisant l'objet d'un examen dans les discussions liées à la collecte de données. Les ressources de l'entreprise entrant dans ce domaine d'application doivent être identifiées pour orienter les discussions sur les risques. On appelle ressource tout élément présentant de la valeur pour l'entreprise. Ce terme englobe les ressources virtuelles, telles que la réputation de la société et les informations numériques, et les ressources matérielles, telles que l'infrastructure physique. L'approche la plus efficace est de définir de manière aussi précise que possible les ressources de l'entreprise, les informations de compte utilisées dans une application de gestion des clients, par exemple. Vous ne devez pas tenir de discussions sur les déclarations d'impact en définissant les ressources. Les déclarations d'impact définissent le potentiel de perte ou de dommage auquel s'expose l'entreprise. Une déclaration d'impact peut porter par exemple sur la disponibilité des données de compte dans l'application de gestion des clients. La question des déclarations d'impact est développée à un stade plus avancé de la discussion sur les risques. Notez que plusieurs impacts peuvent être identifiés pour chaque ressource pendant la discussion.
Pendant que vous identifiez les ressources, vous devez également identifier leurs propriétaires respectifs. Il est souvent plus difficile qu'il n'y paraît d'identifier la personne ou le groupe responsable d'une ressource. Répertoriez les propriétaires spécifiques des ressources pendant les sessions de discussion sur les risques. Ces informations peuvent s'avérer utiles pendant le processus de classement par ordre de priorité pour confirmer les informations et communiquer les risques directement aux propriétaires des ressources.
Pour faciliter le classement des ressources par catégories, on peut utiliser les scénarios d'entreprise comme critères (par exemple, transactions bancaires en ligne ou développement de code source). Lorsque vous travaillez avec des parties prenantes non spécialisées, commencez par exposer les scénarios d'entreprise lors de la discussion sur les ressources. Répertoriez ensuite les ressources impliquées dans chaque scénario.
Après l'identification des ressources, la deuxième tâche du responsable de l'entreprise est de classer chaque ressource en fonction de son impact potentiel sur l'entreprise. La classification des ressources est un composant essentiel de l'équation globale de gestion des risques. L'objectif de la section ci-dessous est de vous aider dans la réalisation de ce processus.
##### Ressources
Les ressources de l'entreprise peuvent être des ressources matérielles ou virtuelles. Vous devez définir chacun de ces deux types de ressources avec une précision suffisante pour permettre aux responsables d'entreprise d'établir la valeur des ressources par rapport à l'entreprise. Pour ces deux catégories de ressources, la partie prenante doit fournir des estimations présentées sous forme de perte monétaire directe et d'impact financier indirect.
Parmi les ressources matérielles, il convient de citer l'infrastructure physique, telle que les centres de données, les serveurs et les biens mobiliers. Les ressources virtuelles concernent pour leur part les données ou autres informations numériques présentant de l'intérêt pour l'entreprise (par exemple, transactions bancaires, calculs des intérêts et plans de développement et spécifications des produits).
Selon les besoins de votre entreprise, une troisième définition des ressources concernant le service informatique peut être utile. Le service informatique est une combinaison de ressources matérielles et virtuelles. Par exemple, le service de messagerie informatique d'une entreprise comporte des serveurs physiques et utilise le réseau physique, mais peut contenir des données numériques de très haute importance. Vous devez également inclure le service informatique dans les ressources, car il a en général des propriétaires différents pour les données et les ressources physiques. Par exemple, le responsable du service de messagerie est chargé d'assurer la disponibilité et l'utilisation de la messagerie électronique. En revanche, le service de messagerie peut ne pas être responsable de la confidentialité des données financières contenues dans le courrier ou des contrôles physiques entourant les serveurs de messagerie. Le partage des fichiers, le stockage, la mise en réseau, l'accès à distance et la téléphonie constituent des exemples supplémentaires de services informatiques.
##### Catégories de ressources
Les ressources entrant dans le champ d'action de l'évaluation doivent être affectées à un groupe qualitatif, appelé catégorie. Les catégories facilitent la définition de l'impact global des risques de sécurité. Elles permettent également à l'entreprise de se consacrer en priorité aux ressources les plus importantes. Des modèles d'évaluation des risques différents définissent une grande variété de catégories de ressources. Le processus de gestion des risques de sécurité de Microsoft utilise trois catégories de ressources permettant de mesurer la valeur de la ressource pour l'entreprise. Pourquoi seulement trois catégories ? Ces trois regroupements permettent d'établir une distinction suffisante et de réduire le délai nécessaire pour débattre de la désignation appropriée de la catégorie.
Le processus de gestion des risques de sécurité de Microsoft définit les trois catégories de ressources qualitatives suivantes : impact élevé sur l'activité (IEA), impact modéré sur l'activité (IMA) et impact faible sur l'activité (IFA). Pendant l'étape de classement des risques par ordre de priorité, le processus fournit également des conseils sur la quantification des ressources. Selon les besoins de votre entreprise, vous pourrez choisir de quantifier les ressources pendant les sessions de discussion sur les risques. Le cas échéant, tenez compte du temps nécessaire pour parvenir à un consensus sur la quantification des valeurs monétaires pendant la discussion. Le processus recommande d'attendre que tous les risques aient été identifiés puis classés par ordre de priorité pour réduire le nombre de risques nécessitant un complément d'analyse.
**Remarque :** pour plus d'informations sur la définition et le classement par catégories des informations et des systèmes d'information, reportez-vous à la publication spéciale 800-60 du NIST (National Institute of Standards and Technology), « Mapping Types of Information and Information Systems to Security Categories » (Association des types d'informations et des systèmes d'information à des catégories de sécurité) et à la publication 199 du FIPS (Federal Information Processing Standards), « Security Categorization of Federal Information and Information Systems » (Classement par catégorie des informations et des systèmes d'information fédéraux).
###### Impact élevé sur l'activité
L'impact sur la confidentialité, l'intégrité ou la disponibilité de ces ressources provoque une perte grave ou désastreuse sur l'entreprise. L'impact peut être exprimé en termes financiers bruts ou refléter la perte indirecte ou le vol d'instruments financiers, la productivité de l'entreprise, les dommages portés à la réputation ou une responsabilité juridique ou réglementaire importante. La liste suivante propose quelques exemples de ressources de la catégorie IEA :
- **Informations d'authentification** : par exemple, mots de passe, clés cryptographiques privées et jetons matériels.
- **Éléments de gestion de très haute importance** : par exemple, données financières, propriété intellectuelle.
- **Ressources soumises à des dispositions réglementaires spécifiques** : par exemple, GLBA, HIPAA, CA SB1386 et Directive européenne pour la protection des données.
- **Informations personnelles identifiables (IPI)** : par exemple, informations permettant à un attaquant d'identifier vos clients ou vos employés ou de connaître certaines de leurs caractéristiques personnelles.
- **Données sur les autorisations de transaction financière** : par exemple, numéros de carte de crédit et dates d'expiration.
- **Profils financiers** : par exemple, rapports sur les crédits à la consommation ou déclarations personnelles de revenu des clients.
- **Profils médicaux** : par exemple, numéros de dossier médical ou identifiants biométriques.
Pour protéger la confidentialité des ressources de cette catégorie, l'accès à celles-ci doit être strictement réservé et se limiter aux situations ponctuelles de recherche d'informations. Les personnes ayant accès à ces données doivent être placées sous la responsabilité explicite du propriétaire de la ressource. Il convient d'accorder une considération équitable à l'intégrité et à la disponibilité des ressources de cette catégorie.
###### Impact modéré sur l'activité
L'impact sur la confidentialité, l'intégrité ou la disponibilité de ces ressources provoque une perte modérée à l'échelle de l'entreprise. Une perte modérée ne constitue pas un impact grave ou désastreux, mais provoque une interruption des activités de l'entreprise nécessitant la mise en place de contrôles afin de réduire autant que possible l'impact au sein de cette catégorie de ressources.
L'impact modéré peut être exprimé en termes financiers bruts ou refléter la perte indirecte ou le vol d'instruments financiers, la productivité de l'entreprise, le préjudice porté à la réputation ou une responsabilité juridique ou réglementaire importante. Ces ressources se destinent à des groupes ou des employés spécifiés et/ou à des intervenants externes justifiant d'un besoin légitime. Voici quelques exemples relevant de la catégorie IMA :
- **Informations de gestion internes** : annuaire des employés, données sur les commandes, conceptions des infrastructures réseau, information sur les sites Web internes et données sur les partages de fichiers internes réservés exclusivement à une utilisation de gestion interne.
###### Impact faible sur l'activité
Les ressources n'entrant pas dans les catégories IEA ou IMA sont classées IFA et ne présentent pas d'exigences formelles de protection ou de contrôles supplémentaires, en dehors des meilleures pratiques standard utilisées pour sécuriser l'infrastructure. Ces ressources correspondent généralement à des informations largement publiées, dont la divulgation non autorisée n'aurait pas d'incidence importante en termes de perte financière, de problème juridique ou réglementaire, d'interruptions des activités ou de handicap commercial par rapport à la concurrence.
Voici quelques exemples de ressources IFA (cette liste n'est pas limitative) :
- structure générale de l'entreprise ;
- informations de base sur la plate-forme d'exploitation informatique ;
- accès en lecture aux pages Web accessibles publiquement ;
- clés cryptographiques publiques ;
- communiqués de presse, brochures sur les produits, livres blancs et documents publiés accompagnant les produits lancés ;
- informations de gestion ou ressources matérielles obsolètes.
#### Organisation des informations sur les risques
Entre les ressources, les menaces, les vulnérabilités et les contrôles, le risque fait intervenir de nombreux éléments. Le facilitateur d'évaluation des risques doit être en mesure de déterminer l'élément de risque dont il est question dans la discussion sans perturber le déroulement de la conversation. Pour mieux organiser la discussion, utilisez le modèle de discussion des risques (SRMGTool1-Outil de collecte de données.doc) fourni dans la section Outils, afin de permettre aux participants de mieux comprendre les éléments constituant le risque. Ce modèle aide également le preneur de notes d'évaluation des risques à saisir les informations sur les risques de manière cohérente d'une réunion à l'autre.
Le modèle peut être renseigné dans n'importe quel ordre. Toutefois, l'expérience montre que le respect de l'ordre dans lequel sont proposées les questions suivantes permet aux participants à la discussion de mieux comprendre les éléments du risque et d'approfondir leur réflexion :
- Quelle ressource souhaitez-vous protéger ?
- Quelle est la valeur de la ressource pour l'entreprise ?
- Que souhaitez-vous éviter à votre ressource (menaces connues et menaces potentielles) ?
- Comment peut survenir une perte ou une exposition ?
- Quelle est l'ampleur de l'exposition potentielle de la ressource ?
- Que faites-vous à l'heure actuelle pour réduire la probabilité ou l'ampleur des dommages portés à la ressource ?
- Quelles sont les actions susceptibles de réduire la probabilité à l'avenir ?
Pour le professionnel de la sécurité informatique, les questions précédentes peuvent se traduire en termes spécifiques à l'évaluation des risques et en catégories permettant de classer les risques par ordre de priorité. Toutefois, les parties prenantes peuvent ne pas être à l'aise avec ces termes et ne sont pas responsables du classement des risques par ordre de priorité. L'expérience montre que le fait d'éviter la terminologie propre à la sécurité des informations (notamment les termes « menaces », « vulnérabilités » et « contre-mesures ») permet d'améliorer la qualité de la discussion et de mettre à l'aise les participants non spécialisés. L'utilisation de termes fonctionnels pour discuter des risques permet également de réduire la possibilité de susciter un débat sur les subtilités de termes particuliers entre participants spécialisés. À ce stade du processus, il est beaucoup plus important de comprendre les domaines de risque globaux que de conjecturer sur les définitions possibles des termes « menace » et « vulnérabilité ». Le facilitateur d'évaluation des risques doit attendre la fin de la discussion pour résoudre les questions entourant les définitions et la terminologie liées aux risques.
##### Organisation selon des couches de défense renforcée
Le preneur de notes d'évaluation des risques et le facilitateur d'évaluation des risques recueillent de gros volumes d'informations. Le modèle de défense renforcée vous permet d'organiser les discussions relatives à tous les éléments du risque. Cette organisation contribue à fournir une structure et aide l'équipe de gestion des risques de sécurité à recueillir des informations sur toute l'entreprise. Le modèle de discussion sur les risques contient un exemple de défense renforcée, illustré à la figure 4.2 proposée ci-dessous. La section intitulée « Organisation des solutions de contrôle » proposée au chapitre 6, « Mise en place de contrôles et mesure de l'efficacité du programme », comporte une description plus détaillée du modèle de défense renforcée.
.gif)
**Figure 4.2 Modèle de défense renforcée**
Pour compléter le modèle de défense renforcée, il est possible de se référer à la norme ISO 17799 pour organiser les questions et réponses relatives aux risques. Le fait de se référer à une norme complète telle que la norme ISO 17799 permet également de faciliter les discussions entourant des domaines supplémentaires, liés notamment aux aspects juridiques, à la stratégie, au processus, au personnel et au développement d'applications.
##### Définition des menaces et des vulnérabilités
Les informations sur les menaces et les vulnérabilités constituent la preuve technique utilisée pour classer les risques par ordre de priorité sur l'ensemble d'une entreprise. Étant donné que de nombreuses parties prenantes non spécialisées ne sont parfois pas familiarisées avec les expositions détaillées qui concernent leur entreprise, le facilitateur d'évaluation des risques peut avoir à fournir des exemples permettant de faciliter le démarrage de la discussion. Il s'agit d'un domaine dans lequel les recherches antérieures sont précieuses pour aider les responsables d'entreprise à découvrir et à comprendre le risque dans leurs propres environnements. Pour référence, la norme ISO 17799 définit les menaces comme une cause d'impact potentiel sur l'entreprise. Le NIST définit une menace comme un événement ou une entité susceptible de nuire au système. L'impact résultant d'une menace se définit communément par des concepts tels que la confidentialité, l'intégrité et la disponibilité. Il est particulièrement utile de se référer aux normes industrielles lors des recherches sur les menaces et les vulnérabilités.
Pour les besoins des sessions de discussion sur les risques, il peut être utile de traduire les termes « menaces » et « vulnérabilités » en un langage plus parlant pour les parties prenantes non spécialisées. Vous pourrez par exemple utiliser la formulation suivante : « Que tentez-vous d'éviter ? » ou « Que craignez-vous qu'il arrive à la ressource ? » La plupart des impacts sur l'entreprise peuvent être classés selon des critères de confidentialité, d'intégrité ou de disponibilité de la ressource dans le cadre des activités. Tentez d'adopter cette approche si les parties prenantes ont des difficultés à comprendre le sens des menaces pesant sur les ressources de l'entreprise. La violation de l'intégrité des données financières constitue un exemple probant de menace pesant sur l'entreprise. Après avoir défini les événements que vous tentez d'éviter, vous devez déterminer comment des menaces peuvent survenir dans votre entreprise.
Une vulnérabilité est une faiblesse inhérente à une ressource ou à un groupe de ressources et qui peut être exploitée par une menace. En termes plus simples, les vulnérabilités constituent le mécanisme d'application ou le « *comment* » des menaces. Pour référence supplémentaire, le NIST définit une vulnérabilité comme un état ou une faiblesse des procédures de sécurité, des contrôles techniques, des contrôles physiques ou d'autres contrôles (ou l'absence de ces différents éléments), susceptible d'être exploité par une menace. L'absence de mises à jour de sécurité constitue par exemple une vulnérabilité courante des hôtes. L'addition des exemples de menace et de vulnérabilité fournis ci-dessus débouche sur la proposition suivante : « Les hôtes sans correctifs peuvent subir une violation de l'intégrité des informations financières qu'ils contiennent ».
L'un des écueils les plus communs de l'évaluation des risques est de porter toute son attention sur les vulnérabilités technologiques. L'expérience montre que les vulnérabilités les plus importantes surviennent souvent en raison de l'absence de processus défini ou en raison d'une sous-estimation de la sécurité des informations. Ne mésestimez pas les aspects de la sécurité liés à l'entreprise et au leadership pendant le processus de collecte de données. Par exemple, pour reprendre la question de la vulnérabilité liée aux mises à jour de sécurité, l'incapacité à appliquer les mises à jour sur des systèmes gérés peut conduire à une violation de l'intégrité des informations financières résidant sur ces systèmes. La clarté des responsabilités et l'application des stratégies de sécurité des informations constituent un problème d'organisation dans bon nombre d'entreprises.
**Remarque :** tout au long du processus de collecte des données, vous pourrez reconnaître des groupes communs de menaces et de vulnérabilités. Effectuez le suivi de ces groupes pour déterminer si des contrôles de même type peuvent réduire la probabilité de plusieurs risques.
##### Estimation de l'exposition des ressources
Après avoir abordé la question de l'identification des ressources, des menaces et des vulnérabilités, le facilitateur d'évaluation des risques doit s'employer à recueillir les estimations des parties prenantes au regard de l'ampleur des dommages potentiels sur la ressource, quelle que soit la définition de la catégorie de la ressource. L'ampleur des dommages potentiels correspond à l'exposition des ressources.
Comme nous l'avons vu précédemment, le responsable de l'entreprise est chargé d'identifier les ressources et d'estimer la perte potentielle pour la ressource ou l'entreprise. La catégorie de la ressource, l'exposition et la combinaison menace-vulnérabilité définissent l'impact global sur l'entreprise. L'impact est ensuite combiné à la probabilité pour constituer une déclaration de risque complète, comme défini au chapitre 3.
Le facilitateur d'évaluation des risques commence la discussion en utilisant les exemples suivants, qui portent sur des catégories qualitatives d'exposition potentielle correspondant à chaque combinaison menace-vulnérabilité associée à une ressource :
- avantage sur la concurrence ;
- aspects juridiques/réglementaires ;
- disponibilité opérationnelle ;
- réputation sur le marché.
Pour chaque catégorie, aidez les parties prenantes à formuler des estimations dans les trois groupes suivants :
- **Forte exposition** : perte grave ou totale de la ressource.
- **Exposition modérée** : perte limitée ou modérée.
- **Faible exposition** : perte insignifiante ou nulle.
La section consacrée au classement par ordre de priorité de ce chapitre propose des conseils sur la manière d'ajouter des détails aux catégories d'exposition décrites ci-dessus. Comme dans la quantification des ressources, il est recommandé dans le processus de gestion des risques de sécurité de Microsoft d'attendre l'étape de classement des risques par ordre de priorité pour définir plus précisément les niveaux d'exposition.
**Remarque :** si les parties prenantes ont des difficultés à sélectionner les niveaux d'exposition pendant les sessions de discussion, développez les menaces et les vulnérabilités pour mieux communiquer le niveau potentiel des dommages ou de perte auquel s'expose la ressource. Les exemples publics de violation de la sécurité constituent un autre outil précieux. Si une aide supplémentaire est nécessaire, présentez les niveaux d'exposition les plus détaillés définis dans la section consacrée au classement détaillé par ordre de priorité, plus loin dans ce chapitre.
##### Estimation de la probabilité des menaces
Une fois que les parties prenantes ont fourni des estimations de l'impact potentiel sur les ressources de l'entreprise, le facilitateur d'évaluation des risques recueille leur opinion sur la probabilité de concrétisation des impacts. Cette phase met un terme à la discussion sur les risques et permet aux parties prenantes de comprendre la finalité du processus d'identification des risques de sécurité. Rappelez-vous que le groupe de sécurité informatique demeure décisionnaire en matière d'estimation de la probabilité d'impacts sur l'entreprise. Cette discussion au caractère courtois peut être considérée comme un moyen de renforcer la cote d'estime des parties prenantes.
Utilisez les indications suivantes pour estimer la probabilité de chaque menace et chaque vulnérabilité identifiées dans la discussion :
- **Forte** : très vraisemblable, un ou plusieurs impacts sont attendus dans un délai d'un an.
- **Moyenne** : probable, un impact est attendu dans un délai de deux ou trois ans.
- **Faible** : peu probable, aucun impact n'est attendu dans un délai de trois ans.
Cette opération fait souvent intervenir un examen des incidents survenus dans un passé récent. Selon le cas, discutez de ces incidents pour permettre aux parties prenantes de comprendre l'importance de la sécurité et du processus global de gestion des risques.
Le processus de gestion des risques de sécurité de Microsoft associe un délai d'un an à la catégorie forte probabilité parce que le déploiement des contrôles de sécurité des informations s'étale souvent sur de longues périodes. La sélection d'une probabilité dans un délai d'un an attire l'attention sur le risque et encourage la prise d'une décision dans le cycle de budgétisation suivant. Combinée à un impact élevé, une forte probabilité oblige la tenue d'une discussion sur les risques entre toutes les parties prenantes et l'équipe de gestion des risques de sécurité. Le groupe de sécurité informatique doit être conscient de cette responsabilité lors de l'estimation de la probabilité des impacts.
La tâche suivante consiste à recueillir l'opinion des parties prenantes sur les contrôles potentiels susceptibles de réduire la probabilité des impacts identifiés. Abordez cette discussion comme une session de réflexion et abstenez-vous de critiquer ou de rejeter certaines idées. Une fois de plus, l'objectif essentiel de cette discussion est de présenter tous les éléments du risque pour en faciliter la compréhension. La sélection réelle des solutions de minimisation a lieu dans la phase d'aide à la décision. Pour chaque contrôle potentiel identifié, revoyez la discussion sur les probabilités pour estimer le niveau d'occurrence réduite en reprenant les catégories qualitatives précédemment décrites. Faites observer aux parties prenantes que le concept de réduction de la probabilité du risque constitue la principale variable permettant de ramener le risque à un niveau acceptable.
#### Animation des discussions sur les risques
Cette section décrit les préparations de la réunion où se tient la discussion sur les risques et définit les cinq tâches intervenant dans la discussion liée à la collecte de données (détermination des ressources et des scénarios organisationnels, identification des menaces, identification des vulnérabilités, estimation du niveau d'exposition des ressources, identification des contrôles existants et probabilité d'exploitation).
##### Préparation de la réunion
L'ordre dans lequel les discussions sont tenues constitue un facteur de réussite subtil mais important. L'expérience de Microsoft montre que plus l'équipe de gestion des risques de sécurité dispose d'informations pour aborder la réunion, plus cette dernière est productive. L'une des stratégies est de constituer une base de connaissance des risques sur l'ensemble de l'entreprise pour exploiter l'expérience des équipes de sécurité des informations et informatique. Pour mettre à jour votre connaissance de l'environnement, tenez d'abord une réunion avec le groupe de sécurité informatique, puis avec les équipes informatiques. Ces réunions permettent à l'équipe de gestion des risques de sécurité de mieux comprendre le domaine de chaque partie prenante de l'entreprise. Elles permettent également à l'équipe de gestion des risques de sécurité de partager la progression de l'évaluation des risques avec les parties prenantes en fonction des besoins. Une fois cette étape terminée, organisez des discussions sur la gestion des risques avec la direction vers la fin du processus de collecte des données. Les dirigeants veulent souvent avoir un premier aperçu de l'orientation prise par l'évaluation des risques. Il est important de ne pas considérer cette démarche comme un moyen d'obtenir le soutien de la direction. La participation de la direction est nécessaire au début du processus d'évaluation des risques et tout au long de celui-ci.
Consacrez une attention particulière à élaborer la liste des personnes invitées à chaque discussion sur les risques. Il est conseillé de tenir des réunions avec des groupes de parties prenantes ayant des responsabilités et des connaissances techniques similaires. L'objectif est de faire en sorte que tous les participants se sentent à l'aise par rapport au niveau technique de la discussion. Il peut certes être intéressant pour diverses parties prenantes d'entendre d'autres opinions sur le risque de l'entreprise, mais l'objectif dont le processus d'évaluation des risques ne doit jamais dévier est de recueillir toutes les données pertinentes dans le délai imparti.
Après avoir planifié les discussions sur les risques, effectuez des recherches sur le domaine de chaque partie prenante de l'entreprise pour vous familiariser avec les ressources, les menaces, les vulnérabilités et les contrôles. Comme nous l'avons vu ci-dessus, ces informations permettent au facilitateur d'évaluation des risques de maintenir le train de la discussion tout en conservant un rythme productif.
#### Animation des discussions
La discussion doit adopter un ton informel. Toutefois, le facilitateur d'évaluation des risques doit veiller à la faire avancer pour traiter tous les sujets concernés. L'expérience montre que la discussion s'écarte souvent de l'ordre du jour. Les parties prenantes peuvent entreprendre des discussions d'ordre technique sur les nouvelles vulnérabilités ou exprimer des idées préconçues sur les solutions de contrôle ; ce sont là les écueils les plus fréquents. Le facilitateur d'évaluation des risques doit mettre à profit les recherches précédant la réunion et son savoir-faire pour dresser une synthèse de la discussion technique et faire avancer la réunion. Avec une préparation suffisante, une réunion regroupant quatre à six parties prenantes doit durer environ 60 minutes.
Consacrez quelques minutes au début de la réunion pour communiquer l'ordre du jour et souligner les rôles et responsabilités de chacun sur l'ensemble du programme de gestion des risques. Les parties prenantes doivent bien comprendre leurs rôles et les contributions qu'on attend d'elles. Il est également conseillé de fournir à toutes les parties prenantes un exemple de feuille de calcul de discussion sur les risques destinée à la prise de notes personnelle. Cette fiche sert également de référence pendant que le facilitateur d'évaluation des risques conduit la discussion sur les risques. En outre, il est préférable d'arriver tôt et de dessiner le modèle de risque sur un tableau blanc, qui permettra de consigner les données relevées lors de la réunion. Pour une réunion de 60 minutes, le programme doit se présenter de la manière suivante :
- **Introduction et présentation de la gestion des risques** – 5 minutes
- **Rôles et responsabilité** – 5 minutes
- **Discussion sur les risques** – 50 minutes
La discussion sur les risques se compose des sections suivantes :
- **Détermination des ressources et scénarios organisationnels**
- **Identification des menaces**
- **Identification des vulnérabilités**
- **Estimation de l'exposition des ressources**
- **Estimation de la probabilité des menaces**
- **Discussions sur les contrôles proposés**
- **Récapitulatif de la réunion et étapes suivantes**
Le déroulement effectif de la réunion varie en fonction du groupe de participants, du nombre de risques abordés dans la discussion et de l'expérience du facilitateur d'évaluation des risques. Ces informations peuvent vous servir de guide pour déterminer la part relative de temps à consacrer à chaque tâche de l'évaluation. Vous pouvez également envoyer le modèle de collecte de données avant la réunion si les parties prenantes ont l'expérience préalable du processus d'évaluation des risques.
**Remarque :** les sections restantes de ce chapitre comportent des exemples d'informations illustrant l'emploi des outils auxquels il est fait référence dans la phase d'évaluation des risques. L'exemple de société est fictif et le contenu relatif au risque ne représente qu'une fraction des données nécessaires pour mener à bien une évaluation des risques. Cet exemple s'attache simplement à montrer comment il est possible de recueillir et d'analyser des informations en recourant aux outils fournis avec ce guide. Une démonstration complète de tous les aspects du processus de gestion des risques de sécurité de Microsoft entraîne l'analyse d'importantes quantités de données et sort du cadre de ce guide. La société fictive est une banque appelée Woodgrove Bank. Le contenu relatif à l'exemple est identifiable à l'en-tête « Exemple de Woodgrove » précédant chaque exemple de rubrique.
##### Tâche un : détermination des ressources et des scénarios organisationnels
La première tâche consiste à recueillir les définitions données par les parties prenantes des ressources de l'entreprise dans le cadre de cette évaluation. Le modèle de collecte de données représenté ci-dessous vous permet de spécifier les ressources matérielles, virtuelles ou les ressources de type service informatique. Le document SRMGTool1-Outil de collecte de données.doc est également fourni en tant qu'outil avec ce guide. Pour chaque ressource, aidez les parties prenantes à sélectionner une catégorie de ressources et à la consigner dans le modèle. Le cas échéant, consignez également le propriétaire de la ressource. Si les parties prenantes ont des difficultés à sélectionner une catégorie de ressources, assurez-vous que la ressource est définie à un niveau détaillé pour faciliter la discussion. Si leurs difficultés persistent, ignorez cette tâche et attendez les discussions sur les menaces et sur les vulnérabilités. L'expérience montre que les parties prenantes parviennent plus facilement à classer les ressources lorsqu'elles sont conscientes des menaces pesant sur ces dernières et sur l'activité globale.
La discussion entourant les ressources de l'entreprise peut se limiter à quelques questions simples, de type : « La ressource est-elle essentielle à la réussite de la société, et peut-elle avoir un impact matériel sur les bénéfices nets ? » Si la réponse est oui, la ressource est susceptible d'avoir un fort impact sur l'entreprise.
[.gif)](https://technet.microsoft.com/fr-fr/cc163154.rmch0403_big(fr-fr,technet.10).gif)
**Figure 4.3 Aperçu du modèle de collecte de données (SRMGTool1)**
**Exemple de Woodgrove :** la Woodgrove Bank possède de nombreuses ressources de haute valeur : systèmes de calcul des intérêts, IPI sur les clients, données financières sur les clients, réputation d'établissement fiable. Cet exemple s'attache à une seule de ces ressources, les données financières sur les clients, pour illustrer l'emploi des outils accompagnant ce guide. Après avoir abordé la propriété des ressources dans la réunion de discussion sur les risques, l'équipe de gestion des risques de sécurité a identifié le Vice-Président des Services client comme étant le propriétaire de la ressource. Si un risque controversé ou une stratégie de minimisation coûteuse est identifié(e), cette personne représentera une partie prenante clé dans la détermination des risques acceptables pour la Woodgrove Bank. En s'entretenant avec les représentants des Services client, l'équipe de gestion des risques de sécurité a confirmé que les données financières sur les clients constituent une ressource à haute valeur commerciale.
##### Tâche deux : identification des menaces
Utilisez des termes simples pour faciliter la discussion sur les menaces. Vous pouvez par exemple demander aux parties prenantes de quels événements elles souhaitent préserver les différentes ressources. Centrez les discussions sur *la nature* des événements qui peuvent se produire et non sur *la façon* dont ils peuvent se produire. Formulez des questions portant sur la confidentialité, l'intégrité ou la disponibilité de la ressource, et consignez les réponses dans le modèle de collecte de données.
**Exemple de Woodgrove :** les ressources évoquées préalablement dans la discussion permettent d'identifier de nombreuses menaces. Dans un souci de concision, cet exemple s'attache uniquement à la menace de perte d'intégrité qui pèse sur les données financières clients. Il peut exister des menaces supplémentaires, en termes de disponibilité et de confidentialité des données relatives aux clients ; toutefois, ces menaces sortent du cadre de cet exemple de base.
##### Tâche trois : identification des vulnérabilités
Pour chaque menace identifiée, organisez une réflexion sur les vulnérabilités, portant par exemple sur la façon dont la menace peut se réaliser. Encouragez les parties prenantes à fournir des exemples techniques spécifiques pendant la description des vulnérabilités. Chaque menace peut être associée à plusieurs vulnérabilités. Le cas de figure se présente souvent et la démarche d'identification des vulnérabilités associées à chaque menace facilite les étapes ultérieures d'identification des contrôles, abordées dans la phase d'aide à la décision du processus de gestion des risques.
**Exemple de Woodgrove :** compte tenu de la menace de perte d'intégrité pesant sur les données financières clients, l'équipe de gestion des risques de sécurité a condensé les informations réunies pendant les discussions sur les risques pour constituer les trois vulnérabilités suivantes :
1. Vol d'informations d'identification de conseillers financiers suite à un délit d'employé au moyen d'une attaque n'impliquant aucune solution technique (par exemple, manipulation ou écoute de conversations privées).
2. Vol d'informations d'identification de conseillers financiers commis sur des hôtes de réseau local en exploitant des configurations de sécurité obsolètes.
3. Vol d'informations d'identification de conseillers financiers commis sur des hôtes distants ou mobiles en exploitant des configurations de sécurité obsolètes.
Notez que ce scénario peut comporter beaucoup plus de vulnérabilités. L'objectif est de montrer comment des vulnérabilités sont associées à des menaces spécifiques. Notez également que les parties prenantes peuvent être incapables de définir les vulnérabilités en termes techniques. Le cas échéant, l'équipe de gestion des risques de sécurité doit reformuler les déclarations de menace et de vulnérabilité.
##### Tâche quatre : estimation de l'exposition des ressources
Le facilitateur d'évaluation des risques dirige la discussion pour estimer l'exposition liée à chaque combinaison menace-vulnérabilité. Demandez aux parties prenantes de sélectionner un niveau d'exposition fort, modéré ou faible et consignez les réponses dans le modèle. Pour les ressources et les systèmes numériques, il peut être utile de classer l'exposition comme forte si la vulnérabilité permet un contrôle de niveau administratif, ou racine, de la ressource.
**Exemple de Woodgrove :** après l'identification des menaces et des vulnérabilités, le facilitateur d'évaluation des risques dirige la discussion pour recueillir des informations sur le niveau des dommages potentiels dont sont porteuses les combinaisons menace-vulnérabilité pour l'entreprise. Après discussion, le groupe établit les points suivants :
- Une violation de l'intégrité commise suite à un délit d'employé de confiance peut être préjudiciable à l'entreprise, mais ses conséquences ne sont probablement pas d'une gravité extrême. L'ampleur des dommages est limitée dans ce scénario, car chaque conseiller financier a accès aux seules données client dont il assure la gestion. En conséquence, le groupe de discussion reconnaît qu'une petite quantité d'informations d'identification volées serait moins préjudiciable qu'une grande quantité.
- Une violation de l'intégrité réalisée par l'intermédiaire du vol d'informations d'identification sur des hôtes de réseau local peut causer des dommages de niveau grave. Cette remarque vaut en particulier pour une attaque automatisée qui pourrait collecter les informations d'identification de plusieurs conseillers financiers sur une courte période de temps.
- Une violation de l'intégrité réalisée par l'intermédiaire du vol d'informations d'identification sur des hôtes mobiles peut elle aussi causer des dommages de niveau grave. Le groupe de discussion note que les configurations de sécurité des hôtes distants accusent souvent un certain retard par rapport à celles des systèmes de réseau local.
##### Tâche cinq : identification des contrôles existants et probabilité d'exploitation d'une vulnérabilité
Mettez à profit la discussion sur les risques pour mieux comprendre les vues des parties prenantes sur l'environnement de contrôle actuel, leurs opinions sur la probabilité d'exploitation d'une vulnérabilité et leurs suggestions sur les contrôles proposés. Les perspectives des parties prenantes peuvent varier par rapport à l'implémentation réelle, mais constituent une référence précieuse pour le groupe de sécurité informatique. Utilisez ce point dans la discussion pour rappeler aux parties prenantes leurs rôles et responsabilités au sein du programme de gestion des risques. Répertoriez les résultats dans le modèle.
**Exemple de Woodgrove :** suite à la discussion sur l'exposition possible de la société faisant intervenir les menaces et vulnérabilités identifiées, les parties prenantes non spécialisées n'ont pas suffisamment d'expérience pour commenter la probabilité que tel hôte particulier soit compromis plutôt que tel autre. Toutefois, elles admettent effectivement que leurs hôtes distants, ou leurs hôtes mobiles, ne bénéficient pas du même niveau de gestion que ceux du réseau local. Une discussion a lieu sur le fait d'obliger les conseillers financiers à examiner périodiquement les rapports d'activité pour déceler tout comportement non autorisé. Le retour d'information correspondant est collecté et sera étudié par l'équipe de gestion des risques de sécurité pendant la phase d'aide à la décision.
##### Récapitulatif de la discussion sur les risques
À la fin de la discussion sur les risques, récapitulez brièvement les risques identifiés pour clore la réunion. De même, rappelez aux parties prenantes le processus global de gestion des risques et le planning fixé. Les informations recueillies pendant la discussion sur les risques donnent aux parties prenantes un rôle actif dans le processus de gestion des risques et orientent la réflexion de l'équipe de gestion des risques de sécurité.
**Exemple de Woodgrove :** le facilitateur d'évaluation des risques récapitule la discussion et souligne les ressources, les menaces et les vulnérabilités abordées. Il décrit également le processus global de gestion des risques et informe le groupe de discussion que l'équipe de gestion des risques de sécurité incorporera son apport d'informations, et celui des autres, pendant l'estimation de la probabilité de chaque menace et chaque vulnérabilité.
#### Définition des déclarations d'impact
La dernière tâche de l'étape de collecte de données consiste à analyser la quantité d'informations recueillies tout au long des discussions sur les risques. L'objectif de cette analyse est de dresser une liste de déclarations décrivant la ressource et l'exposition potentielle résultant d'une menace et d'une vulnérabilité. Comme l'indique le chapitre 3, ces déclarations sont appelées *déclarations d'impact*. Pour déterminer l'impact, il faut combiner la catégorie et le niveau d'exposition potentiel de la ressource. Souvenez-nous que l'impact constitue la moitié de la déclaration de risque globale ; pour remplir une déclaration de risque, il convient de combiner l'impact et la probabilité de réalisation.
L'équipe de gestion des risques de sécurité crée les déclarations d'impact en regroupant les informations recueillies dans les discussions sur les risques, en incorporant tous les impacts éventuellement identifiés précédemment et en incluant les données d'impact issues de ses propres observations. L'équipe de gestion des risques de sécurité est responsable de cette tâche, mais doit demander aux parties prenantes les informations supplémentaires nécessaires.
La déclaration d'impact indique la ressource, la classification de la ressource, la couche de défense renforcée, la description de la menace, la description de l'exposition et le niveau de l'exposition. Les informations recueillies dans le modèle de collecte de données vous permettent de définir les déclarations d'impact de toutes les discussions menées. La figure 4.4 présente les en-têtes de colonne du modèle d'évaluation sommaire des risques correspondant à la collecte de données spécifiques à l'impact.
[.gif)](https://technet.microsoft.com/fr-fr/cc163154.rmch0404_big(fr-fr,technet.10).gif)
**Figure 4.4 Feuille de calcul d'évaluation sommaire des risques : colonnes Ressource et Exposition (SRMGTool2)**
**Exemple de Woodgrove :** il est possible d'organiser l'exemple d'informations collecté pendant les discussions sur les risques en développant des déclarations d'impact. L'équipe de gestion des risques de sécurité peut établir les déclarations d'impact sous forme de phrase, par exemple : « L'intégrité des données client importantes peut être compromise suite au vol d'informations d'identification sur des hôtes gérés à distance ». Cette approche est précise, mais la formulation de phrases ne peut pas s'adapter à un nombre de risques élevé, en raison d'incohérences rédactionnelles, d'interprétation et du manque d'organisation des données (tri ou interrogation des risques). Une approche plus efficace consiste à introduire les données d'impact dans le tableau d'évaluation sommaire proposé ci-dessous.
[.gif)](https://technet.microsoft.com/fr-fr/cc163154.rmch0405_big(fr-fr,technet.10).gif)
**Figure 4.5 Exemple de Woodgrove : informations recueillies pendant le processus de collecte de données (SRMGTool2)**
**Remarque :** la section suivante, intitulée « Classement des risques par ordre de priorité », fournit des conseils supplémentaires sur la manière de sélectionner et de répertorier le niveau d'impact utilisé dans le processus d'évaluation sommaire des risques.
#### Récapitulatif de la collecte de données
En regroupant les informations recueillies dans les discussions de collecte de données dans des déclarations d'impact individuelles, l'équipe de gestion des risques de sécurité a effectué les tâches inhérentes à l'étape de collecte de données de la phase d'évaluation des risques. La section suivante, « Classement des risques par ordre de priorité », décrit en détail les tâches intervenant dans le classement des risques par ordre de priorité. Pendant le classement par ordre de priorité, l'équipe de gestion des risques de sécurité a la responsabilité d'estimer la probabilité liée à chaque déclaration d'impact. L'équipe de gestion des risques de sécurité combine ensuite les déclarations d'impact et leurs estimations concernant la probabilité de réalisation. Il en résulte une liste complète de risques classés par ordre de priorité, qui constitue la dernière étape de la phase d'évaluation des risques.
Lorsque vous analysez les risques, vous pouvez identifier des risques tributaires de la concrétisation d'un autre risque. Par exemple, si une ressource à impact faible sur l'activité commerciale subit une élévation des privilèges, une ressource à impact élevé sur l'activité peut ensuite être exposée. Cet exercice peut s'avérer payant ; toutefois, la collecte, le suivi et la gestion des dépendances de risque peuvent devenir extrêmement exigeantes en termes de données générées. Le processus de gestion des risques de sécurité de Microsoft recommande de mettre en exergue le caractère réalisable des dépendances, mais bien souvent il n'est souvent pas rentable de gérer activement toutes les dépendances de risque. L'objectif global est d'identifier les risques ayant la plus haute priorité pour l'entreprise.
[](#mainsection)[Haut de page](#mainsection)
### Classement des risques par ordre de priorité
Comme nous l'avons vu à la section précédente, l'étape de collecte de données définit les tâches permettant de produire une liste de déclarations pour l'identification des ressources de l'entreprise et de leurs impacts potentiels. Cette section traite de l'étape suivante de la phase d'évaluation des risques : le classement des risques par ordre de priorité. Le classement des risques par ordre de priorité ajoute l'élément de probabilité à la déclaration d'impact. Gardez à l'esprit qu'une déclaration de risque en bonne et due forme doit indiquer à la fois l'*impact* sur l'entreprise et la *probabilité* de concrétisation de cet impact. Le processus de classement par ordre de priorité peut se caractériser comme la dernière étape de la définition des risques les plus importants pour l'entreprise. Son objectif final est d'obtenir une liste classée par ordre de priorité des risques, qui constituera alors la base de la réflexion menée lors du processus d'aide à la décision traité au chapitre 5, « Aide à la décision ».
Le groupe de sécurité informatique est l'unique propriétaire du processus de classement par ordre de priorité. L'équipe peut consulter des parties prenantes spécialisées et non spécialisées, mais elle demeure décisionnaire en matière de détermination de la probabilité des impacts potentiels sur l'entreprise.
Avec l'application du processus de gestion des risques de sécurité de Microsoft, le niveau de probabilité est susceptible de faire remonter la sensibilisation à un risque jusqu'aux plus hauts niveaux de l'entreprise ou de la réduire à un point tel que le risque peut être accepté sans discussion supplémentaire. Dans le cadre de l'estimation de la probabilité du risque, l'équipe de gestion des risques de sécurité doit consacrer un temps important à l'examen minutieux de chaque combinaison menace-vulnérabilité prioritaire. Pour envisager l'efficacité des contrôles influant sur la probabilité d'impact sur l'entreprise, il faut évaluer chaque combinaison au regard des contrôles en place. Ce processus, qui peut s'avérer une tâche énorme pour les grandes entreprises, est susceptible de remettre en question la décision initiale d'investir dans un programme formel de gestion des risques. Pour réduire le temps nécessaire au classement des risques par ordre de priorité, vous pouvez envisager de séparer le processus en deux tâches : un processus d'évaluation sommaire et un processus d'évaluation détaillée.
Le processus d'évaluation sommaire produit très rapidement une liste de risques classés par ordre de priorité, comparable à celles des procédures de triage utilisées par les salles d'urgence des hôpitaux pour traiter en priorité les patients qui en ont le plus besoin. L'inconvénient est que la liste produite ne contient que des comparaisons relativement sommaires des risques. Une liste d'évaluation sommaire des risques dans laquelle chaque risque est classé comme élevé ne fournit pas d'indications suffisantes à l'équipe de gestion des risques de sécurité et ne permet pas de classer les stratégies de minimisation par ordre de priorité. Toutefois, elle permet aux équipes de trier rapidement les risques pour identifier les risques élevés et modérés, l'équipe de gestion des risques de sécurité pouvant ainsi concentrer ses efforts sur les risques considérés comme les plus importants.
Le processus d'évaluation détaillée produit une liste plus précise, qui permet de distinguer plus facilement les risques les uns des autres. La vue détaillée des risques permet de classer ces derniers par ordre de priorité et offre une vision plus détaillée de l'impact financier potentiel de chaque risque. Cet élément quantitatif facilite les discussions sur le coût des contrôles tenues dans le cadre du processus d'aide à la décision, traité en détail dans le chapitre suivant.
Certaines entreprises peuvent choisir d'occulter complètement la liste d'évaluation sommaire des risques. Cette décision peut a priori sembler constituer un gain de temps, mais il n'en est rien. Le fait de réduire autant que possible le nombre de risques de la liste d'évaluation détaillée permet en définitive d'optimiser le processus de gestion des risques. L'un des objectifs principaux du processus de gestion des risques de sécurité de Microsoft est de simplifier le processus d'évaluation des risques en établissant un équilibre entre une granularité accrue de l'analyse des risques et le niveau d'effort nécessaire pour calculer le risque. Dans le même temps, il s'efforce d'améliorer et de préserver la clarté vis-à-vis de la logique en jeu, de manière à offrir aux parties prenantes une bonne compréhension des risques pesant sur l'entreprise.
Certains risques peuvent avoir le même classement dans les listes d'évaluation sommaire et détaillée ; toutefois, les classements fournissent toujours suffisamment de détails pour permettre de déterminer si le risque est important pour l'entreprise et s'il doit être examiné lors du processus d'aide à la décision.
**Remarque :** l'objectif final de la phase d'évaluation des risques est de définir les risques les plus importants pour l'entreprise. L'objectif de la phase d'aide à la décision est ensuite de déterminer les mesures à prendre pour les traiter.
Le processus marque souvent un temps d'arrêt à ce stade, tandis que les parties prenantes débattent de l'importance de divers risques. Pour réduire autant que possible les retards, appliquez les tâches suivantes en fonction des besoins de votre entreprise :
1. En employant des termes non spécialisés, définissez des risques de niveau élevé et moyen pour votre entreprise avant de commencer le processus de classement par ordre de priorité.
2. Concentrez-vous sur les risques qui se situent à la limite des niveaux moyen et élevé.
3. Évitez de discuter de la manière de traiter les risques avant d'avoir clairement déterminé leur importance. Méfiez-vous des parties prenantes qui peuvent avoir des solutions préconçues en tête et sont à l'affût de découvertes de risques pour justifier un projet.
La suite de cette section traite des facteurs de réussite et des tâches permettant de créer des classements sommaire et détaillé des risques. Les tâches suivantes et la Figure 4.6 proposée ci-dessous offrent une présentation de la section et des principaux éléments à fournir tout au long du processus de classement des risques par ordre de priorité.
#### Tâches et objectifs principaux
- **Tâche un** : constitution de la liste d'évaluation sommaire en utilisant de vastes catégorisations pour estimer la probabilité d'impact sur l'entreprise.
- **Objectif** : liste sommaire permettant d'identifier rapidement les risques prioritaires pesant sur l'entreprise.
- **Tâche deux** : étude de la liste d'évaluation sommaire avec les parties prenantes afin de commencer à établir un consensus sur les risques prioritaires et de sélectionner les risques devant apparaître dans la liste d'évaluation détaillée.
- **Tâche trois** : constitution de la liste d'évaluation détaillée en examinant les attributs détaillés du risque dans l'environnement actuel de l'entreprise. Vous devez à ce stade fournir des conseils permettant d'établir une estimation quantitative pour chaque risque.
- **Objectif** : liste d'évaluation détaillée offrant un aperçu précis des plus grands risques pesant sur l'entreprise.
[.gif)](https://technet.microsoft.com/fr-fr/cc163154.rmch0406_big(fr-fr,technet.10).gif)
**Figure 4.6 Tâches de classement des risques par ordre de priorité**
**Remarque :** la liste d'évaluation détaillée des risques sera examinée avec les parties prenantes dans le processus d'aide à la décision décrit au chapitre 5.
#### Préparation au succès
Le classement par ordre de priorité des risques pesant sur l'entreprise n'est pas une démarche simple. L'équipe de gestion des risques de sécurité doit tenter de prévoir l'avenir en estimant quand et comment des impacts potentiels sont susceptibles de toucher l'entreprise, et doit ensuite justifier ces prévisions auprès des parties prenantes. L'un des écueils les plus communs de nombreuses équipes est de « cacher » les tâches associées à la détermination de la probabilité et d'utiliser des calculs pour représenter la probabilité en termes de pourcentages ou d'autres chiffres relatifs aux bénéfices nets, supposés avoir plus d'importance aux yeux des responsables d'entreprise. Cependant, l'expérience acquise lors du développement du processus de gestion des risques de sécurité de Microsoft montre que les parties prenantes ont plus de chances d'accepter les analyses de l'équipe de gestion des risques de sécurité si la logique est claire pendant le processus de classement par ordre de priorité. Le processus reste axé sur la compréhension des parties prenantes tout au long de son déroulement. Pour parvenir à un consensus tout en réduisant autant que possible les malentendus, vous devez privilégier au maximum la simplicité dans la logique du classement par ordre de priorité. L'expérience acquise en matière de réalisation d'évaluations des risques au sein de Microsoft IT et d'autres entreprises montre que les recommandations suivantes sont également utiles à l'équipe de gestion des risques de sécurité pendant le processus de classement par ordre de priorité :
- Analysez les risques pendant le processus de collecte de données. Étant donné que le classement des risques par ordre de priorité peut être long, efforcez-vous d'anticiper les risques controversés et de commencer le processus de classement par ordre de priorité dès que possible. Cette approche est envisageable, car l'équipe de gestion des risques de sécurité est seule responsable du processus de classement des risques.
- Menez des recherches dans le but d'établir la fiabilité du processus d'évaluation des probabilités. Consultez les anciens rapports d'audit et prenez en compte les tendances des secteurs industriels et les problèmes de sécurité internes comme il convient. Reprenez contact, le cas échéant, avec les parties prenantes pour en savoir plus sur les contrôles actuels et sur la prise de conscience des risques spécifiques dans leurs environnements.
- Prévoyez suffisamment de temps dans le projet pour effectuer des recherches et analyser l'efficacité et le champ d'action de l'environnement de contrôle actuel.
- Rappelez aux parties prenantes que l'évaluation des probabilités relève de la responsabilité de l'équipe de gestion des risques de sécurité. La direction de l'entreprise doit également reconnaître ce rôle et soutenir l'analyse de l'équipe de gestion des risques de sécurité.
- Communiquez le risque en choisissant un vocabulaire professionnel. Évitez d'utiliser un langage trop alarmiste ou un jargon trop technique dans l'analyse du classement des risques. L'équipe de gestion des risques de sécurité doit communiquer le risque de manière claire au sein de l'entreprise, sans exagérer le degré de la menace.
- Comparez les nouveaux risques aux anciens. Lors de la création de la liste d'évaluation sommaire, intégrez les risques des précédentes évaluations. Ainsi, l'équipe de gestion des risques de sécurité peut assurer le suivi des risques à travers plusieurs évaluations et mettre éventuellement à jour les précédents éléments de risque. Par exemple, si un risque précédemment identifié n'a fait l'objet d'aucune mesure en raison des coûts associés, réexaminez la probabilité du risque, puis reconsidérez les changements à apporter dans le but d'identifier une solution moins coûteuse.
#### Classement des risques de sécurité par ordre de priorité
La section suivante explique comment générer les listes d'évaluation sommaire et détaillée des risques. Il peut s'avérer utile d'imprimer les modèles d'aide de chaque processus disponible dans la section des outils.
##### Classement sommaire des risques
La liste d'évaluation sommaire utilise la déclaration d'impact générée lors du processus de collecte des données. La déclaration d'impact est le premier élément sur lequel s'appuie le classement sommaire des risques. Le deuxième élément correspond à l'évaluation des probabilités effectuée par l'équipe de gestion des risques de sécurité. Les trois tâches suivantes présentent le processus de classement sommaire des risques par ordre de priorité :
- **Tâche un** : déterminer la valeur d'impact à partir des déclarations d'impact formulées lors du processus de collecte des données.
- **Tâche deux** : évaluer la probabilité de l'impact pour la liste d'évaluation sommaire.
- **Tâche trois** : compléter la liste d'évaluation sommaire en combinant les valeurs d'impact et de probabilité de chaque déclaration de risque.
###### Tâche un : déterminer le niveau d'impact
Les informations de classification et d'exposition des ressources rassemblées lors du processus de collecte des données doivent être résumées en une seule valeur pour déterminer l'impact. Rappelez-vous qu'un impact est la combinaison d'une catégorie de ressource et de son niveau d'exposition. La figure suivante permet de sélectionner le niveau d'impact de chaque déclaration d'impact.
[.gif)](https://technet.microsoft.com/fr-fr/cc163154.rmch0407_big(fr-fr,technet.10).gif)
**Figure 4.7 Feuille de calcul d'analyse des risques : catégorie et niveau d'exposition des ressources (SRMGTool2)**
**Exemple de Woodgrove :** le cas de Woodgrove présente trois déclarations d'impact (voir ci-avant). La liste suivante résume les trois déclarations en combinant la catégorie et le niveau d'exposition de la ressource :
1. Impact du vol commis par un employé de confiance : catégorie de ressource IEA et niveau d'exposition faible. Dans la figure ci-dessus, cette combinaison correspond à un degré d'impact modéré.
2. Impact d'une altération du serveur hôte de réseau local : une catégorie de ressource IEA et un niveau d'exposition élevé correspondent à un impact élevé.
3. Impact d'une altération du serveur hôte distant : une catégorie de ressource IEA et un niveau d'exposition élevé correspondent à un impact élevé.
###### Tâche 2 : évaluation sommaire du niveau de probabilité
Utilisez les catégories de probabilité indiquées dans le processus de collecte des données. Les catégories de probabilité sont présentées ci-dessous :
- **Forte** : très vraisemblable, un ou plusieurs impacts sont attendus dans un délai d'un an.
- **Moyenne** : probable, un impact est attendu dans un délai de deux ou trois ans.
- **Faible** : peu probable, aucun impact n'est attendu dans un délai de trois ans.
**Exemple de Woodgrove :** le classement sommaire des risques par ordre de priorité constitue la première évaluation formelle de l'équipe de gestion des risques de sécurité sur la probabilité des risques. L'équipe de gestion des risques de sécurité doit être disposée à fournir des preuves ou des exemples justifiant leurs évaluations, en citant des incidents passés ou en faisant référence à l'efficacité des contrôles actuels. La liste suivante récapitule les niveaux de probabilité de l'exemple de Woodgrove :
1. Probabilité de vol commis par un employé de confiance : faible. La Woodgrove National Bank met un point d'honneur à recruter des collaborateurs dignes de confiance. Aussi, elle procède à la vérification des références et effectue des audits inopinés sur l'activité des conseillers financiers. Aucun incident au niveau des employés n'a été signalé dans le passé.
2. Probabilité d'altération du serveur hôte de réseau local : moyenne. Le service informatique a récemment formalisé son processus de gestion des correctifs et des configurations sur le réseau local, en raison des incohérences enregistrées les années précédentes. Étant donné que la banque est décentralisée, les systèmes sont parfois identifiés comme étant non conformes. Cependant, aucun incident n'a été signalé ces derniers mois.
3. Probabilité d'altération du serveur hôte distant : élevée. Les hôtes distants peuvent ne pas être conformes pendant de longues périodes. Récemment, des incidents liés aux infections de virus et de vers sur les hôtes distants ont été identifiés.
###### Tâche trois : compléter la liste d'évaluation sommaire des risques
Une fois que la probabilité a été établie par l'équipe de gestion des risques de sécurité, reportez-vous à la figure suivante pour sélectionner le classement des risques dans la liste d'évaluation sommaire.
[.gif)](https://technet.microsoft.com/fr-fr/cc163154.rmch0408_big(fr-fr,technet.10).gif)
**Figure 4.8 Feuille de calcul d'analyse des risques : impact et probabilité (SRMGTool2)**
**Remarque :** Selon votre entreprise, le niveau de risque d'un impact moyen combiné à une probabilité moyenne peuvent être définis comme un risque élevé. La définition des niveaux de risques indépendamment du processus d'évaluation constitue un outil essentiel pour prendre cette décision. N'oubliez pas que ce guide constitue un outil qui facilite le développement d'un programme complet de gestion des risques. Chaque entreprise doit définir ce que signifie un risque élevé dans son propre domaine.
**Exemple de Woodgrove :** les évaluations de risques suivantes résultent de la combinaison des taux d'impact et de probabilité :
1. Risque de vol par un employé de confiance : faible (impact moyen, probabilité faible)
2. Risque d'altération du serveur hôte de réseau local : élevé (impact élevé, probabilité moyenne)
3. Risque d'altération du serveur hôte distant : élevé (impact élevé, probabilité élevée)
La figure suivante représente la liste d'évaluation sommaire qui se trouve également dans le fichier SRMGTool2-Évaluation sommaire des risques.xls
[.gif)](https://technet.microsoft.com/fr-fr/cc163154.rmch0409_big(fr-fr,technet.10).gif)
**Figure 4.9 Feuille de calcul d'analyse des risques : liste d'évaluation sommaire (SRMGTool2)**
En fonction des besoins de votre entreprise, ajoutez d'autres colonnes d'informations, comme une colonne « Date d'identification des risques » pour distinguer les risques identifiés lors des évaluations précédentes. Vous pouvez également ajouter des colonnes pour mettre à jour des descriptions de risque ou mettre en évidence des changements qui se sont produits depuis l'évaluation précédente. Vous devez personnaliser le processus de gestion des risques de sécurité de Microsoft, y compris les outils.
**Exemple de Woodgrove :** la figure suivante complète l'exemple de liste d'évaluation sommaire des risques pour la banque Woodgrove. À noter que les colonnes de probabilité et d'évaluation sommaire des risques ont été ajoutées à la déclaration d'impact et viennent s'ajouter aux éléments d'une déclaration de risque complète.
[.gif)](https://technet.microsoft.com/fr-fr/cc163154.rmch0410_big(fr-fr,technet.10).gif)
**Figure 4.10 Banque Woodgrove - Exemple de liste d'évaluation sommaire des risques (SRMGTool2)**
###### Vérification avec les parties prenantes
La tâche suivante du processus de classement par priorité consiste à vérifier les résultats de l'évaluation sommaire avec les parties prenantes. L'objectif est de les informer sur le processus d'évaluation des risques et de les solliciter pour sélectionner les risques qui feront l'objet d'une analyse détaillée. Les critères suivants permettent de sélectionner les risques à inclure dans le processus de classement détaillé des risques par ordre de priorité :
- **Risques élevés** : chaque risque « élevé » doit être ajouté à la liste détaillée. Une solution doit être trouvée pour chaque risque élevé à l'issue du processus d'aide à la décision, par exemple l'acceptation du risque ou la mise en œuvre d'une solution de minimisation.
- **Risques entre deux niveaux** : créez l'analyse détaillée des priorités pour les risques moyens qui requièrent une solution. Dans certaines entreprises, tous les risques modérés peuvent être inclus dans la liste détaillée.
- **Risques controversés** : dans le cas d'un nouveau risque, encore méconnu ou source de désaccord entre les parties prenantes, créez l'analyse détaillée pour les aider à avoir une vision plus précise du risque.
**Exemple de Woodgrove :** à noter que le risque de vol par un employé de confiance est considéré comme étant faible dans la liste d'évaluation sommaire des risques. À ce niveau du processus de classement par priorité, ce risque est assimilé par l'ensemble des parties prenantes. Dans le cas de Woodgrove, le risque cité en exemple ne requiert pas le passage à l'étape de classement détaillé. Toujours dans le cas de Woodgrove, seuls les risques d'altération du serveur hôte de réseau local ou distant sont classés par ordre de priorité.
##### Classement détaillé des risques
La liste d'évaluation détaillée des risques constitue la dernière tâche dans le processus d'évaluation. C'est également une tâche essentielle, car elle permet à l'entreprise de comprendre les raisons sous-jacentes des risques les plus importants pour l'entreprise. À l'issue du processus d'évaluation des risques, il suffit parfois d'informer les parties prenantes sur un risque particulier pour déclencher l'action appropriée. Pour les entreprises qui fonctionnent sans programme de gestion des risques établi, le processus de gestion des risques de sécurité de Microsoft peut être une expérience enrichissante.
**Remarque :** lorsqu'un risque est bien compris par toutes les parties prenantes, la liste d'évaluation sommaire peut être suffisante pour définir la solution de minimisation adéquate.
La liste d'évaluation détaillée des risques exploite la plupart des éléments utilisés dans la liste d'évaluation sommaire. Cependant, le classement détaillé oblige l'équipe de gestion des risques de sécurité à être plus précise dans la description de l'impact et de la probabilité. Pour chaque risque répertorié dans la liste d'évaluation sommaire, vérifiez si chaque combinaison de menace et de vulnérabilité est unique. Souvent une évaluation sommaire ne suffit pas pour associer les risques à des contrôles spécifiques dans l'environnement. Dans ce cas, vous risquez de ne pas pouvoir évaluer avec précision la probabilité. Par exemple, vous pouvez affiner la description de la menace dans la déclaration sommaire du niveau de risque pour décrire deux risques différents :
**Déclaration sommaire du niveau de risque :**
Au cours d'une année, les serveurs présentant une valeur élevée peuvent être en partie endommagés par la propagation de vers dans le cas d'une configuration qui ne prévoit pas de correctifs.
**Déclaration détaillée 1 :**
Au cours d'une année, les serveurs présentant une valeur élevée peuvent être *immobilisés pendant trois jours* suite à la propagation de vers liée à l'absence de correctif au sein de la configuration.
**Déclaration détaillée 2 :**
Au cours d'une année, la propagation de vers, liée à l'absence de correctif au sein de la configuration, peut compromettre le fonctionnement des serveurs présentant une valeur élevée et *nuire à l'intégrité de leurs données*.
**Remarque :** de manière générale, il est préférable de vous familiariser d'abord avec l'analyse détaillée des risques avant de passer au processus de collecte des données. Cela permet à l'équipe de gestion des risques de sécurité de mieux cibler les questions posées aux parties prenantes au cours de l'étape initiale de collecte de données.
Des déclarations spécifiques sur l'efficacité de l'environnement de contrôle actuel sont également requises pour la liste d'évaluation détaillée des risques. Une fois que l'équipe de gestion des risques de sécurité a bien cerné tous les aspects de la menace et des vulnérabilités affectant l'entreprise, l'identification détaillée des contrôles actuels peut démarrer. L'environnement de contrôle actuel détermine la probabilité des risques au sein de l'entreprise. Si l'environnement de contrôle est suffisant, la probabilité de risque est faible. En revanche, s'il est insuffisant, une stratégie de gestion des risques doit être mise en place, comme l'acceptation du risque ou la mise en œuvre d'une solution de minimisation. En règle générale, les risques doivent faire l'objet d'un suivi indépendamment du niveau de risque final. Par exemple, si le risque est jugé acceptable, conservez ces informations pour les prochaines évaluations.
Le dernier élément de la liste d'évaluation détaillée des risques est une évaluation de chaque risque en termes de volume et de coût. Le choix d'une valeur monétaire pour un risque s'effectue après avoir commencé à travailler sur la liste détaillée en raison de la durée nécessaire aux parties prenantes pour parvenir à un consensus. L'équipe de gestion des risques de sécurité peut avoir besoin de recontacter les parties prenantes pour obtenir des informations supplémentaires.
Les quatre tâches suivantes décrivent le processus d'élaboration d'une liste d'évaluation détaillée des risques. Il peut s'avérer utile d'imprimer le modèle de la section Outils intitulé « SRMGTool3-Classement détaillé des niveaux de risques.xls ». Vous obtiendrez la liste d'évaluation détaillée des risques menaçant l'entreprise actuelle. L'estimation quantitative est déterminée après la valeur détaillée du risque. Elle sera présentée dans la section suivante.
- **Tâche un :** déterminer l'impact et l'exposition.
- **Tâche deux :** identifier les contrôles actuels.
- **Tâche trois :** déterminer la probabilité de l'impact.
- **Tâche quatre :** déterminer le niveau détaillé de risque.
###### Tâche un : déterminer l'impact et l'exposition
Insérez d'abord dans le modèle détaillé la catégorie de la ressource indiquée dans le tableau d'évaluation sommaire. Sélectionnez ensuite l'exposition de la ressource. Vous remarquerez que le niveau d'exposition du modèle détaillé contient un niveau supplémentaire par rapport au modèle sommaire. Le niveau d'exposition du modèle détaillé possède une valeur comprise entre 1 et 5. N'oubliez pas que le niveau d'exposition définit l'étendue des dommages subis par la ressource. Reportez-vous aux modèles suivants pour déterminer plus facilement le niveau d'exposition approprié de votre entreprise. Comme chaque valeur d'exposition peut affecter le niveau d'impact de la ressource, insérez la valeur la plus élevée à l'issue de la saisie. La première valeur d'exposition permet de mesurer l'étendue de l'impact d'une attaque contre la confidentialité ou l'intégrité des ressources de l'entreprise. La deuxième permet de mesurer l'impact sur la disponibilité des ressources.
[.gif)](https://technet.microsoft.com/fr-fr/cc163154.rmch0411_big(fr-fr,technet.10).gif)
**Figure 4.11 Feuille de calcul d'analyse des risques : niveau d'exposition de la confidentialité ou de l'intégrité (SRMGTool3)**
Après avoir mesuré l'étendue des dommages liés aux impacts potentiels sur la confidentialité et l'intégrité des ressources, utilisez la figure suivante pour déterminer le niveau d'impact lié à l'absence de disponibilité de la ressource. Sélectionnez dans les deux tableaux la valeur la plus élevée comme niveau d'exposition.
[.gif)](https://technet.microsoft.com/fr-fr/cc163154.rmch0412_big(fr-fr,technet.10).gif)
**Figure 4.12 Feuille de calcul d'analyse des risques : niveaux d'exposition de la disponibilité (SRMGTool3)**
Reportez-vous à cette figure pour regrouper les niveaux d'exposition de chaque impact potentiel. Si les discussions menées lors de l'étape de collecte des données n'ont pas fourni suffisamment d'informations sur les niveaux d'exposition potentiels, vous serez sans doute amené à les vérifier avec le propriétaire de la ressource. Comme indiqué dans la section consacrée à la collecte des données, reportez-vous le cas échéant aux descriptions de l'exposition ci-dessus pendant les discussions sur les risques.
**Exemple de Woodgrove :** la liste suivante récapitule les niveaux d'exposition des deux risques restants :
1. Niveau d'exposition d'une menace sur l'hôte de réseau local : 4. L'impact commercial peut être sérieux et apparent, mais ne devrait pas nuire à toutes les données financières du client. Par conséquent, le niveau 4 est sélectionné.
2. Niveau d'exposition d'une menace sur l'hôte distant : 4 (voir plus haut).
Une fois que le niveau d'exposition est identifié, vous pouvez déterminer la valeur d'impact en remplissant les colonnes appropriées dans le fichier SRMGTool3-Classement détaillé des niveaux de risques.xls et en calculant la valeur. Dans le processus d'évaluation détaillée des risques, l'impact correspond au produit de la valeur de catégorie d'impact par le facteur d'exposition. À chaque niveau d'exposition est affecté un pourcentage qui représente l'étendue des dommages subis par une ressource. Ce pourcentage est appelé facteur d'exposition. Le processus de gestion des risques de sécurité de Microsoft recommande d'utiliser une échelle linéaire mobile d'une exposition de 100 % à 20 % selon les besoins de votre entreprise. Chaque valeur d'impact est également associée à une valeur qualitative élevée, moyenne ou faible. Cette classification permet de communiquer le niveau d'impact et d'assurer le suivi des éléments de risque dans l'estimation détaillée du risque. Pour référence, la figure suivante affiche les valeurs d'impact possibles pour chaque catégorie.
[.gif)](https://technet.microsoft.com/fr-fr/cc163154.rmch0413_big(fr-fr,technet.10).gif)
**Figure 4.13 Feuille de calcul d'analyse des risques : évaluation des valeurs d'impact (SRMGTool3)**
**Exemple de Woodgrove :** la figure suivante illustre la façon dont les valeurs des catégories d'impact, les niveaux d'exposition et le niveau d'impact général sont déterminés à l'aide de l'exemple de Woodgrove.
[.gif)](https://technet.microsoft.com/fr-fr/cc163154.rmch0414_big(fr-fr,technet.10).gif)
**Figure 4.14 Exemple de Woodgrove : catégorie d'impact détaillée, niveau d'exposition et valeur d'impact (SRMGTool3)**
###### Tâche deux : identifier les contrôles actuels
Le document SRMGTool3-Classement détaillé des niveaux de risques.xls présente les contrôles mis en place dans l'entreprise en vue de réduire la probabilité d'une menace et la vulnérabilité définie dans la déclaration d'impact. Le niveau d'efficacité des contrôles est également évalué dans les calculs de probabilité. Cependant, le développement des contrôles est utile lors de la communication des éléments de risque. Il peut s'avérer utile d'organiser les descriptions des contrôles dans les catégories bien identifiées (contrôles de gestion, d'opérations et contrôles techniques). Ces informations servent également dans le processus d'aide à la décision présenté au chapitre 5.
**Exemple de Woodgrove :** la liste qui suit est un échantillon des principaux contrôles correspondant au « risque de menace sur l'hôte de réseau local ». Pour obtenir des descriptions de contrôles supplémentaires, reportez-vous au document SRMGTool3-Classement détaillé des niveaux de risques.xls. Remarque : les descriptions de contrôles peuvent également être utilisées pour justifier les niveaux d'exposition :
- Les conseillers financiers n'ont accès qu'à leurs propres comptes. Par conséquent, l'exposition est inférieure à 100 %.
- Les notifications par courrier électronique relatives aux correctifs ou aux mises à jour des hôtes sont adressées de manière proactive à tous les utilisateurs.
- L'état des mises à jour d'antivirus et de sécurité est contrôlé et appliqué sur le réseau local à quelques heures d'intervalle. Ce contrôle réduit le laps de temps pendant lequel les hôtes de réseau local sont vulnérables aux attaques.
###### Tâche trois : déterminer la probabilité de l'impact
Le niveau de probabilité se compose de deux valeurs. La première valeur détermine la probabilité de la vulnérabilité existant dans l'environnement en fonction des attributs de vulnérabilité et d'exploitation possible. La seconde valeur détermine la probabilité de la vulnérabilité existante en fonction de l'efficacité des contrôles actuels. Chaque valeur se situe dans une plage de 1 à 5. Reportez-vous aux figures suivantes pour déterminer la probabilité de chaque impact sur l'entreprise. Le niveau de probabilité sera ensuite multiplié par le niveau d'impact pour déterminer le niveau de risque relatif.
**Remarque :** les figures 4.15 et 4.17 ont été utilisées pour permettre à Microsoft IT d'appréhender les probabilités de risques dans ses environnements. Ajustez le contenu selon les besoins de votre entreprise.
Le groupe de sécurité informatique est responsable du processus de classement par ordre de priorité et doit personnaliser les attributs de priorité selon les besoins. Par exemple, vous pouvez modifier les figures pour mettre en évidence les vulnérabilités d'une application par rapport à celles de l'infrastructure d'une entreprise, si l'évaluation est centrée sur le développement de l'application. Le but consiste à obtenir un ensemble de critères cohérent pour l'évaluation des risques dans votre environnement.
La figure suivante décrit les attributs de vulnérabilité suivants :
- **Nombre d'attaquants** : la probabilité d'une attaque augmente proportionnellement au nombre et aux connaissances des attaquants.
- **Accès distant ou local :** en théorie, la probabilité augmente si une vulnérabilité peut être exploitée à distance.
- **Visibilité de l'exploitation :** logiquement, la probabilité augmente si la manière d'exploiter une vulnérabilité est connue ou facilement accessible.
- **Automatisation de l'attaque :** la probabilité augmente normalement si l'exploitation d'une vulnérabilité peut être programmée pour rechercher automatiquement les vulnérabilités dans des environnements étendus.
Rappelez-vous que l'évaluation de la probabilité d'une attaque est subjective en soi. Reportez-vous aux attributs ci-dessus pour déterminer et justifier les évaluations de probabilité. L 'équipe de gestion des risques de sécurité doit exploiter et promouvoir ses compétences en sélectionnant et en justifiant ses prédictions.
[.gif)](https://technet.microsoft.com/fr-fr/cc163154.rmch0415_big(fr-fr,technet.10).gif)
**Figure 4.15 Feuille de calcul d'analyse des risques : évaluation des vulnérabilités (SRMGTool3)**
Sélectionnez le niveau approprié dans la figure suivante.
[.gif)](https://technet.microsoft.com/fr-fr/cc163154.rmch0416_big(fr-fr,technet.10).gif)
**Figure 4.16 Feuille de calcul d'analyse des risques : évaluation de la valeur de probabilité (SRMGTool3)**
**Exemple de Woodgrove :** dans le cadre des hôtes de réseau local et distant, il est probable que tous les attributs de vulnérabilité dans la catégorie « Élevé » soient, très prochainement, visibles à l'intérieur et à l'extérieur de l'environnement de réseau local de Woodgrove. Par conséquent, la valeur de vulnérabilité est égale à 5 pour les deux risques.
La figure suivante évalue l'efficacité des contrôles actuels. Cette valeur, subjective en soi, s'appuie sur l'expérience de l'équipe de gestion des risques de sécurité acquise dans la compréhension de son environnement de contrôle. Répondez à chaque question, puis additionnez le total des valeurs pour déterminer l'évaluation finale des contrôles. Une faible valeur signifie que les contrôles sont efficaces et peuvent réduire la probabilité d'exploitation des vulnérabilités.
[.gif)](https://technet.microsoft.com/fr-fr/cc163154.rmch0417_big(fr-fr,technet.10).gif)
**Figure 4.17 Feuille de calcul d'analyse des risques : évaluation de l'efficacité du contrôle actuel (SRMGTool3)**
**Exemple de Woodgrove :** pour illustrer l'utilisation des valeurs d'efficacité du contrôle, le tableau suivant récapitule les valeurs du risque d'altération de l'hôte de réseau local uniquement. Pour plus de détails, reportez-vous au document SRMGTool3-Classement détaillé des niveaux de risques.xls :
**Tableau 4.2. Exemple de Woodgrove : valeurs d'efficacité du contrôle**
| Les responsabilités sont-elles définies et appliquées de manière efficace ? |
0 (oui) |
La mise en place d'une stratégie et la gestion de la conformité de l'hôte sont bien définies. |
| Y a-t-il une mise en œuvre et un suivi de la sensibilisation ? |
0 (oui) |
Les utilisateurs reçoivent régulièrement des notifications et des campagnes générales de sensibilisation sont menées. |
| Les processus sont-ils définis et appliqués efficacement ? |
0 (oui) |
La vérification de la conformité et les mesures d'application sont répertoriées et appliquées. |
| Les technologies et contrôles existants limitent-ils les menaces de manière efficace ? |
1 (non) |
Les contrôles actuels autorisent un délai entre la vulnérabilité et l'application des correctifs. |
| Les audits actuels sont-ils suffisants pour détecter les utilisations frauduleuses et contrôler les déficiences ? |
0 (oui) |
L'audit sur les mesures et la conformité est efficace grâce aux outils actuellement disponibles. |
| Somme de tous les attributs de contrôle : |
1 |
|
Ensuite, ajoutez la valeur indiquée à la figure de vulnérabilité (Figure 4.16) à celle de la figure d'évaluation de l'efficacité du contrôle actuel (Figure 4.17) et insérez-la dans le modèle de niveau détaillé. Dans la figure suivante, le modèle est indiqué pour référence.
[.gif)](https://technet.microsoft.com/fr-fr/cc163154.rmch0418_big(fr-fr,technet.10).gif)
**Figure 4.18 Feuille de calcul d'analyse des risques : niveau de probabilité avec contrôles (SRMGTool3)**
**Exemple de Woodgrove :** la valeur totale du niveau de probabilité concernant l'exemple de l'hôte de réseau local est égale à 6 (5 pour la vulnérabilité, plus 1 pour l'efficacité du contrôle).
###### Tâche quatre : déterminer le niveau détaillé de risque
La figure suivante affiche l'évaluation détaillée des risques permettant d'identifier le niveau de chaque risque identifié. Même si l'évaluation des risques à un niveau détaillé peut sembler compliquée, la logique derrière chaque tâche à effectuer peut être référencée à partir des figures précédentes. Cette possibilité d'assurer le suivi de chaque tâche de la déclaration des risques offre une aide précieuse aux parties prenantes pour comprendre les mécanismes du processus d'évaluation des risques.
[.gif)](https://technet.microsoft.com/fr-fr/cc163154.rmch0419_big(fr-fr,technet.10).gif)
**Figure 4.19 Feuille de calcul d'analyse des risques : calcul du niveau détaillé de risque (SRMGTool3)**
**Exemple de Woodgrove :** la figure suivante illustre l'exemple de liste d'évaluation détaillée des risques de la Woodgrove Bank. Ces données sont également présentées dans l'outil SRMGTool3.
[.gif)](https://technet.microsoft.com/fr-fr/cc163154.rmch0420_big(fr-fr,technet.10).gif)
**Figure 4.20 Exemple de liste d'évaluation détaillée des risques de la Woodgrove Bank (SRMGTool3)**
La figure précédente présente le contenu de l'évaluation des risques et ses éléments de données. Comme indiqué plus haut, le niveau de risque est le produit du niveau d'impact (avec des valeurs comprises entre 1 et 10) et du niveau de probabilité (avec des valeurs comprises entre 0 et 10). La plage de valeurs obtenue est comprise entre 0 et 100. En reprenant la logique appliquée à la liste d'évaluation sommaire du niveau de risque, le niveau de risque détaillé peut également être communiqué en termes qualitatifs, par exemple, élevé, modéré ou faible. Par exemple, un impact moyen et une probabilité élevée génèrent un niveau de risque élevé. Cependant, la liste d'évaluation détaillée des risques ajoute une spécificité à chaque niveau de risque, comme l'illustre la figure suivante.
[.gif)](https://technet.microsoft.com/fr-fr/cc163154.rmch0421_big(fr-fr,technet.10).gif)
**Figure 4.21 Feuille de calcul d'analyse des risques : détermination du classement qualitatif sommaire (SRMGTool3)**
Utilisez les niveaux de risque détaillés à titre de référence uniquement. Comme nous l'avons vu au chapitre 3, l'équipe de gestion des risques de sécurité doit être en mesure de communiquer par écrit à l'entreprise la signification des concepts de risques élevés, modérés et faibles. Le processus de gestion des risques de sécurité de Microsoft constitue uniquement un outil permettant d'identifier et de gérer les risques à l'échelle de l'entreprise de manière cohérente et renouvelable.
#### Quantification du risque
Comme nous l'avons vu au chapitre 2, le processus de gestion des risques de sécurité de Microsoft propose dans un premier temps une approche qualitative pour identifier et hiérarchiser les risques potentiels de manière rapide et efficace. Cependant, lorsque vous optez pour une stratégie avancée de minimisation des risques, l'estimation du coût financier potentiel d'un risque est fondamentale. Par conséquent, pour les risques élevés ou controversés, le processus fournit des conseils sur la manière de déterminer les estimations quantitatives. Les tâches de quantification des risques interviennent après le processus d'évaluation détaillée du niveau de risque en raison de la durée et des efforts à consentir pour parvenir à un accord sur les estimations financières. Vous pouvez passer beaucoup de temps sur la quantification des risques faibles si vous commencez l'opération à un stade anticipé du processus.
Évidemment, une estimation financière est utile lorsque vous comparez les divers coûts liés aux stratégies de minimisation des risques. Cependant, en raison du caractère subjectif de l'évaluation des ressources virtuelles, il n'existe aucun algorithme précis capable de quantifier le risque. L'opération d'évaluation d'une perte financière précise peut en fait retarder l'évaluation des risques en raison des désaccords entre les parties prenantes. L'équipe de gestion des risques de sécurité doit être consciente que l'évaluation quantitative n'est qu'une valeur parmi d'autres dans le processus de détermination de la priorité ou du coût potentiel d'un risque.
L'un des avantages du modèle qualitatif de classement des risques est la possibilité d'exploiter les descriptions qualitatives afin d'appliquer de manière cohérente un algorithme quantitatif. Par exemple, l'approche quantitative décrite ci-dessous s'appuie sur la catégorie de ressource et les niveaux d'exposition identifiés lors des discussions menées à l'étape de collecte des données.
Tout comme la méthode qualitative, la première tâche de la méthode quantitative consiste à déterminer la valeur totale des ressources. La deuxième tâche consiste à évaluer d'abord l'étendue des dommages subis par la ressource, puis la probabilité d'occurrence. Pour réduire le degré de subjectivité de l'évaluation quantitative, le processus de gestion des risques de sécurité de Microsoft recommande l'utilisation des catégories de ressources afin de déterminer la *valeur totale des ressources* et le facteur d’exposition pour calculer le *pourcentage* des dommages subis par la ressource. Cette méthode limite le résultat quantitatif à 3 catégories de ressources et 5 facteurs d'exposition, soit 15 valeurs de ressources quantitatives possibles. Cependant, la valeur servant à l'évaluation de la probabilité n'est pas limitée. En fonction de votre entreprise, vous pouvez opter pour une communication de la probabilité en termes de période ou vous pouvez essayer d'annualiser le coût du risque. L'objectif est de trouver un équilibre entre la facilité de sélection d'un niveau relatif en ayant recours à la méthode qualitative et la difficulté d'évaluation financière et d'estimation de la probabilité avec la méthode quantitative.
Utilisez les cinq tâches suivantes pour calculer la valeur quantitative :
- **Tâche un** : attribuer une valeur monétaire à chaque catégorie de ressource de votre entreprise.
- **Tâche deux** : indiquer la valeur de ressource pour chaque risque.
- **Tâche trois** : générer la valeur de perte estimée unique.
- **Tâche quatre** : déterminer le taux annuel d'occurrences (TAO).
- **Tâche cinq** : déterminer la perte estimée annuelle (PEA).
**Remarque :** les tâches associées à la quantification des risques de sécurité sont semblables à la procédure suivie dans le domaine de l'assurance pour évaluer la valeur d'une ressource, le risque et la couverture appropriée. Au moment de la rédaction de ce document, les polices d'assurance en matière de risques de sécurité informatique commencent à faire leur apparition. Lorsque le domaine de l'assurance parviendra à une certaine maturité en matière d'évaluation des risques de sécurité informatique, les outils tels que les tables actuarielles deviendront des références précieuses dans le cadre de la quantification des risques.
##### Tâche un : attribuer une valeur monétaire aux catégories de ressources
À l'aide des définitions des catégories de ressources décrites dans la section de collecte des données, commencez à quantifier les ressources qui correspondent à la description de la catégorie d'impact élevé sur les activités. Ainsi, l'équipe de gestion des risques de sécurité a la possibilité de se concentrer d'abord sur les ressources les plus importantes de l'entreprise. Pour chaque ressource de l'entreprise, matérielle et virtuelle, attribuez une valeur monétaire. Pour référence, utilisez les catégories suivantes pour évaluer le coût d'impact global pour chaque ressource :
- Coût de remplacement
- Coûts d'entretien/de maintenance
- Coûts de redondance/disponibilité
- Réputation de l'entreprise/du marché
- Productivité de l'entreprise
- Chiffre d'affaires annuel
- Avantage compétitif
- Efficacités de fonctionnement interne
- Responsabilité juridique/de conformité
**Remarque :** le document SRMGTool3 - Classement détaillé des niveaux de risques contient une feuille de calcul pour vous aider dans ce processus.
Une fois que les évaluations monétaires ont été effectuées pour chaque catégorie, additionnez les valeurs pour évaluer la ressource. Répétez cette procédure pour toutes les ressources représentées dans la catégorie d'impact élevé sur les activités. Le résultat ainsi obtenu représente pour l'entreprise une liste de ressources prioritaires et une évaluation approximative de leur valeur monétaire associée. Répétez cette procédure pour les ressources qui conviennent aux catégories d'impact modéré et faible sur les activités.
À l'intérieur de chaque catégorie de ressource, sélectionnez une valeur monétaire pour désigner la valeur de la catégorie de ressource. Une méthode plus classique consiste à sélectionner la plus faible valeur de ressource dans chaque catégorie. Cette valeur sera utilisée pour représenter l'estimation d'une ressource en fonction de la catégorie sélectionnée par les parties prenantes au cours des discussions menées lors de l'étape de collecte des données. Cette méthode simplifie l'attribution de valeurs monétaires à chaque ressource en exploitant les catégories de ressources sélectionnées au cours des discussions menées lors de l'étape de collecte des données.
**Remarque :** une autre méthode d'évaluation des ressources consiste à collaborer avec l'équipe de gestion des risques financiers, susceptible de détenir des informations sur la valeur de l'assurance et la couverture pour des ressources spécifiques.
##### Utilisation de l'importance relative
Si vous ne parvenez pas à sélectionner des valeurs de catégorie de ressource à partir de la méthode ci-dessus, une autre stratégie consiste à utiliser les principes associés à la définition de l'importance relative dans les états financiers produits par les sociétés américaines cotées en Bourse. La compréhension des principes de l'importance relative par votre entreprise peut l'aider à sélectionner la valeur de ressource élevée dans le cadre de l'estimation quantitative.
L'organisme américain de normalisation comptable le FASB (Financial Accounting Standards Board) stipule au sujet des états financiers produits par les sociétés cotées en Bourse : « Les éléments de cet état doivent s'appliquer aux actifs incorporels ». Pour plus d'informations, visitez le site [www.sec.gov/interps/account/sab99.htm](http://www.sec.gov/interps/account/sab99.htm) .gif) .gif).
Ce passage est important parce que le FASB ne possède pas d'algorithme capable de distinguer les actifs corporels et incorporels et met en garde contre l'utilisation exclusive de méthodes quantitatives. Il préconise spécifiquement de tenir compte de tout le contexte pertinent : « Le FASB a rejeté une méthode basée sur les formules pour abandonner « l'exercice onéreux de prise de décision en matière d'importance relative » au profit d'une approche qui prend en compte tout le contexte pertinent ».
Comme il n'existe aucune formule, la commission américaine de contrôle des opérations boursières (SEC), dans son bulletin n° 99, reconnaît l'utilisation d'une règle générale de référence en expertise comptable pour déterminer la marge d'erreur des déclarations inexactes. Pour plus d'informations, visitez le site [www.sec.gov/interps/account/sab99.htm](http://www.sec.gov/interps/account/sab99.htm) .gif) .gif). La règle générale de référence citée équivaut à 5 % pour les états financiers. Par exemple, une manière d'évaluer l'importance relative sur un revenu net de 8 milliards d'euros serait d'analyser de manière plus approfondie les ajustements négligeables portant sur 400 millions d'euros, ou l'ensemble des ajustements totalisant 400 millions d'euros.
Les principes en matière d'importance relative varient considérablement en fonction des entreprises. Utilisez donc ces principes pour référence uniquement. Le processus de gestion des risques de sécurité de Microsoft n'a pas vocation à présenter la situation financière d'une entreprise.
Les principes en matière d'importance relative doivent vous aider à estimer la valeur des ressources d'impact élevé sur les activités. Cependant, les principes en matière d'importance relative sont moins pertinents si vous sélectionnez des estimations modérées ou faibles. Vous devez reconnaître que l'exercice d'évaluation de l'impact est par nature subjectif. L'objectif est de sélectionner des valeurs pertinentes pour votre entreprise. Pour déterminer les valeurs modérées et faibles, il est conseillé de sélectionner une valeur monétaire pertinente en relation avec la somme consacrée aux dépenses informatiques dans votre entreprise. Vous pouvez également choisir de référencer vos coûts actuels liés aux contrôles de sécurité à appliquer à chaque catégorie de ressource. Pour les ressources de la catégorie d'impact modéré, par exemple, vous pouvez comparer la valeur aux dépenses monétaires actuelles consacrées aux contrôles d'infrastructure réseau de base. Vous pouvez vous demander quelle est l'estimation du coût total des ressources logicielles, matérielles et d'exploitation en vue de fournir à l'entreprise des services de protection contre les virus. Le résultat fournit une référence qui peut être utilisée dans l'entreprise pour comparer les ressources à une somme définie. Comme autre exemple, une valeur de catégorie d'impact modéré peut être supérieure ou égale aux dépenses actuelles consacrées à l'achat de logiciels de pare-feu pour protéger les ressources.
**Exemple de Woodgrove :** l'équipe de gestion des risques de sécurité Woodgrove a collaboré avec les principales parties prenantes pour attribuer des valeurs monétaires aux catégories de ressources. Comme la gestion des risques est une activité nouvelle pour Woodgrove, la société a décidé d'utiliser les principes en matière d'importance relative comme la base d'évaluation des ressources. Elle envisage de réviser les estimations au fur et à mesure que sa connaissance s'affinera. Woodgrove génère un revenu net annuel de 200 millions d'euros. En appliquant le taux défini de 5 %, une valeur de 10 millions d'euros est attribuée à la catégorie de ressource IEA. En fonction des dépenses informatiques passées chez Woodgrove, les parties prenantes ont sélectionné une valeur de 5 millions d'euros pour les ressources IMA et 1 million d'euros pour les ressources IFA. Ces valeurs ont été sélectionnées parce que les grands projets informatiques visant à protéger et sécuriser les ressources numériques chez Woodgrove sont toujours situés dans ces plages. Elles seront en outre recalculées au cours du prochain cycle annuel de gestion des risques.
##### Tâche deux : identifier la valeur de la ressource
Une fois que vous avez déterminé les valeurs de catégorie de ressource de votre entreprise, identifiez et sélectionnez la valeur appropriée pour chaque risque. La valeur de catégorie de ressource doit être alignée sur le groupe de catégorie de ressource sélectionné par les parties prenantes au cours des discussions menées lors de l'étape de collecte des données. Il s'agit de la même catégorie utilisée dans les listes d'évaluation sommaire et détaillée des risques. Cette méthode permet de limiter le débat sur l'évaluation d'une ressource spécifique, puisque la valeur de catégorie de ressource a déjà été définie. Gardez à l'esprit que le processus de gestion des risques de sécurité de Microsoft recherche un équilibre entre la précision et l'efficacité.
**Exemple de Woodgrove :** au cours des discussions menées lors de l'étape de collecte des données, les données financières sur les consommateurs ont été identifiées dans la catégorie IEA. Par conséquent, la valeur de ressource est égale à 10 millions d'euros en fonction de la valeur IEA définie ci-dessus.
##### Tâche 3 : calculer la perte estimée unique (PEU)
Ensuite, vous devez déterminer l'étendue des dommages subis par la ressource. Utilisez le même niveau d'exposition identifié au cours des discussions menées lors de l'étape de collecte des données pour calculer le pourcentage des dommages subis par la ressource. Ce pourcentage est appelé facteur d'exposition. Il s'agit du même classement utilisé dans les listes d'évaluation sommaire et détaillée des risques. Une méthode plus classique consiste à appliquer une échelle mobile linéaire à chaque valeur de niveau d'exposition. Le processus de gestion des risques de sécurité de Microsoft recommande une échelle mobile de 20 % pour chaque valeur de niveau d'exposition. Vous pouvez la modifier en fonction de votre entreprise.
La dernière tâche consiste à multiplier la valeur de ressource par le facteur d'exposition afin de calculer l'estimation quantitative de l'impact. Dans un modèle quantitatif classique, cette valeur est appelée perte estimée unique (PEU). Il s'agit par exemple de la valeur de ressource multipliée par le facteur d'exposition.
Pour référence, la figure suivante illustre un exemple d'approche quantitative simple. Notez que l'exemple ci-dessous divise simplement en deux la catégorie d'impact élevé sur les activités afin de déterminer les valeurs modérées et faibles. Ces valeurs pourront nécessiter des ajustements au fur et à mesure que vous maîtriserez le processus d'évaluation des risques.
[.gif)](https://technet.microsoft.com/fr-fr/cc163154.rmch0422_big(fr-fr,technet.10).gif)
**Figure 4.22 Feuille de calcul d'analyse des risques : quantification de la perte estimée unique (SRMGTool3)**
**Exemple de Woodgrove :** la figure suivante représente les valeurs utilisées pour déterminer la PEU pour les deux exemples de risques.
[.gif)](https://technet.microsoft.com/fr-fr/cc163154.rmch0423_big(fr-fr,technet.10).gif)
**Figure 4.23 Exemple de la PEU de la Woodgrove Bank (valeur exprimée en millions d'euros (SRMGTool3)**
##### Tâche quatre : calculer le taux annuel d’occurrences (TAO)
Une fois que vous avez calculé la perte estimée unique, vous devez intégrer la probabilité pour compléter l'estimation monétaire du risque. Habituellement, la méthode utilisée consiste à estimer la fréquence du risque dans le futur. Cette estimation est alors rapportée à une année. Par exemple, si le groupe de sécurité informatique pense qu'une menace peut se produire à deux reprises au cours d'une année, le taux annuel d’occurrence est égal à 2. Si la probabilité de la menace passe à 1 fois tous les trois ans, le TAO est alors égal à un tiers, 33 % ou 0,33. Pour vous aider à calculer cette probabilité, utilisez l'analyse qualitative décrite ci-dessus dans l'évaluation détaillée des risques. Reportez-vous à la figure suivante pour vous aider à identifier et à communiquer la valeur quantitative servant à calculer le TAO.
[.gif)](https://technet.microsoft.com/fr-fr/cc163154.rmch0424_big(fr-fr,technet.10).gif)
**Figure 4.24 Quantification du taux annuel d’occurrences (SRMGTool3)**
Utilisez la figure précédente à titre de référence uniquement. Le groupe de sécurité informatique n'est pas dispensé de sélectionner une valeur représentant le TAO.
**Exemple de Woodgrove :** l'équipe de gestion des risques de sécurité détermine les taux annuels d'occurrences (TAO) suivants pour les exemples de risques :
1. TAO de l'hôte de réseau local : sur la base de l'évaluation qualitative de la probabilité moyenne, l'équipe de gestion des risques de sécurité estime que la probabilité d'occurrence correspond au minimum à une fois tous les deux ans. Par conséquent, le TAO estimé est égal à 0,5.
2. TAO de l'hôte distant : sur la base de l'évaluation qualitative de la probabilité élevée, l'équipe de gestion des risques de sécurité estime que la probabilité d'occurrence correspond au minimum à une fois par an. Par conséquent, le TAO estimé est égal à 1.
##### Tâche cinq : déterminer la PEA (perte estimée annuelle)
Pour résoudre l'équation quantitative, multipliez le taux annuel d'occurrences par la perte estimée unique. Le produit est égal à la perte estimée annuelle (PEA).
Perte estimée annuelle (PEA) = PEU x TAO
La PEA vise à représenter le coût potentiel du risque sur une base annuelle. Si cela peut aider les parties prenantes, soucieuses des implications financières à estimer les coûts, l'équipe de gestion des risques de sécurité doit rappeler le fait que l'impact sur l'entreprise ne fait pas bon ménage avec les dépenses annuelles. Si une menace se produit, l'impact sur l'entreprise peut être intégral.
Une fois que vous avez calculé l'évaluation quantitative du risque, reportez-vous à la feuille de calcul d'évaluation détaillée des risques, qui contient une colonne supplémentaire répertoriant une remarque ou une explication à inclure avec l'estimation quantitative. Utilisez cette colonne pour justifier l'estimation quantitative et appuyer votre raisonnement, le cas échéant.
**Exemple de Woodgrove :** le tableau suivant illustre les calculs de base servant à déterminer la PEA pour chaque exemple de risque. Notez comment le changement d'une valeur peut modifier de manière considérable la valeur PEA. Utilisez les données qualitatives pour justifier et établir l'estimation quantitative.
[.gif)](https://technet.microsoft.com/fr-fr/cc163154.rmch0425_big(fr-fr,technet.10).gif)
**Figure 4.25 Exemple de PEA de la Woodgrove Bank (valeurs exprimées en millions d'euros (SRMGTool3)**
[](#mainsection)[Haut de page](#mainsection)
### Résumé
La phase d'évaluation des risques du cycle de gestion des risques est obligatoire pour gérer les risques à l'échelle de l'entreprise. Au cours des étapes de planification, de collecte des données et de classement par ordre de priorité, gardez à l'esprit que le but de la phase d'évaluation des risques est d'identifier et de classer les risques en parvenant à trouver le meilleur équilibre entre efficacité et rapidité. Le processus de gestion des risques de sécurité de Microsoft utilise une méthode hybride d'analyse qualitative pour identifier et trier rapidement les risques. Il s'appuie sur les attributs financiers de l'analyse quantitative pour affiner la description des différents risques.
#### Assurer le succès de la phase d'aide à la décision
Une fois que l'équipe de gestion des risques de sécurité a classé les risques de l'entreprise par ordre de priorité, elle doit initier le processus d'identification des stratégies de minimisation des risques appropriées. Pour aider les parties prenantes à identifier les solutions de minimisation des risques possibles, l'équipe doit créer des procédures fonctionnelles permettant au groupe responsable de définir l'étendue de la stratégie de minimisation. L'élaboration de procédures fonctionnelles est abordée dans le cadre du chapitre 5, « Aide à la décision ».
[](#mainsection)[Haut de page](#mainsection)
.gif)