Copyright HEC 2004-Jacques Bergeron La mesure du risque Lier la théorie et la pratique Jacques Bergeron HEC-Montréal
Copyright HEC 2004-Jacques Bergeron La notion d’actif informationnel Banque d’information électronique Système d’information Réseau de télécommunications Technologie de l’information Équipement spécialisé Les documents imprimés
Copyright HEC 2004-Jacques Bergeron Notions de risque Un risque est un événement que s’il se matérialise pourrait avoir un impact sur: La confidentialité de l’information La disponibilité de l’information L’intégrité de l’information La notion de probabilité est très importante La probabilité de matérialisation est-elle élevée ou non? La notion d’impact est également importante Si le risque se matérialise, l’impact est-il important ou non?
Copyright HEC 2004-Jacques Bergeron Mesure des risques Graves Modérées Faibles Faible (lointaine) Modérée (possible) Élevée (probable) Conséquences Probabilité de réalisation
Copyright HEC 2004-Jacques Bergeron Notions de risques et de vulnérabilités Une vulnérabilité est l’absence de contrôle pour prévenir/détecter/corriger la matérialisation du risque Par exemple: Un risque d’intrusion de l’externe est probable et son impact potentiel est élevé Un contrôle préventif « A » serait la présence d’un mur coupe feu. Un contrôle détectif «B » serait la présence d’un outil de détection des intrusions Un contrôle correctif « C » serait la présence d’une norme et d’une procédure de gestion des incidents
Copyright HEC 2004-Jacques Bergeron La mesure du risque: pas uniquement technologique Pourquoi une mesure du risque? La sécurité est une combinaison de trois facteurs: Les personnes Les processus Les technologies Le processus de mesure du risque adresse directement ces trois éléments!
Copyright HEC 2004-Jacques Bergeron Les risques:quatre sources de risque Interne – accidentel Interne – volontaire Externe – accidentel Externe – délibéré
Copyright HEC 2004-Jacques Bergeron Cadre de mesure des risques Le cadre d’analyse utilisé est basé sur une approche «du haut vers le bas» reconnaissant qu’une lacune ou une vulnérabilité découverte dans les étages inférieurs résulte, de manière générale, d’un manquement ou de faiblesses au niveau des étages supérieurs. Identifier les causes et non les symptômes Causes Symptômes Stratégie Gestion et processus Personnel Technologies Faiblesses des mesures de gestion des risques et attitude défavorable Vulnérabilités des mesures de contrôle Menace potentielle Matérialisation du risque Conséquences
Copyright HEC 2004-Jacques Bergeron Étape 3a) Analyse de risques Risques intolérables Étape 3b) État de la situation actuelle Adéqua tion Plan directeur Étape 2) Classification des documents Étape 1) Politique de sécurité Mission organisationnelle Normes et procédures à implanter Outils techniques Manières de faire et gestion de la sécurité Un modèle de mesure du risque et de sa gestion
Copyright HEC 2004-Jacques Bergeron Mesure du risques: Un outil de planification La mesure du risque est un processus, c’est bien plus qu’une question de technologie… D’où l’importance de connaître ce qu’on a à protéger et mettre plus d’efforts sur ce qui est essentiel pour l’organisme
Copyright HEC 2004-Jacques Bergeron La sensibilisation: un outil important pour…gérer le risque Sensibiliser: La direction générale Les cadres intermédiaires Les personnes du service informatique Les détenteurs Les utilisateurs
Copyright HEC 2004-Jacques Bergeron La mesure du risque: une question d’attitude Ce qui influence le changement d’attitude face au risque: Le contenu du programme de sensibilisation La présence de normes et de procédures La crédibilité de la personne qui émet le message La proximité de l’émetteur du message Le comportement du supérieur Les accidents vécus ou possibles
Copyright HEC 2004-Jacques Bergeron …pour une meilleure mesure et de gestion du risque Expliquer Causes et nature des risques Principaux objectifs des contrôles Impliquer Hautes direction Utilisateurs Personnel des technologies Soutenir le changement (participation de la direction) Communiquer Directement et non uniquement de façon informelle Monitorer Bilans annuels et rapports de la mesure des risques Reconnaître Les efforts Péréniser Organisation permanente de gestion du risque
Copyright HEC 2004-Jacques Bergeron Conclusion La mesure du risque: Ce n’est pas une question technologique Elle n’est pas initiée par les informaticiens Ce n’est pas un exercice périodique C’est une responsabilité qui relève de la haute direction …qui demande une sensibilisation et des efforts soutenus