Mesurer les risques pesant sur nos données

 

Mesurer les risques revient à évaluer l'impact des incidents possibles (voir présentation des menaces), d'en estimer leur potentialité et de déterminer nos besoins de sécurité.

Avant tout, une affaire de méthode

L'ANSSI met à disposition gratuitement la méthode EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité).

Le portail de la sécurité informatique (services du 1ier ministre) en livre la définition suivante :

"Elle permet d’apprécier les risques SSI, de contribuer à leur traitement en spécifiant les exigences de sécurité à mettre en œuvre, de préparer l’ensemble du dossier de sécurité nécessaire à l’acceptation des risques et de fournir les éléments utiles à la communication relative aux risques.

EBIOS® est actuellement employée dans le secteur public, dans le secteur privé, en France et à l’international. Le logiciel libre EBIOS® permet de suivre la démarche méthodologique, de personnaliser des bases de connaissances et de produire des livrables appropriés.

Par ailleurs, le Club EBIOS® assure la pérennité de la méthode et des outils associés. Il réunit les experts du secteur public et du secteur privé en gestion des risques SSI."

Cette méthodologie à privilégier donne lieu à des études complexes qui doivent être menées par des spécialistes, par exemple dans le cadre de la définition d'une politique de sécurité. 

Pour déterminer les besoins de sécurité sur un enjeu ciblé, nécessitant une réponse urgente une approche épurée et pragmatique consiste à constituer une grille en attribuant un poids de 0 à 4 sur les critères d'évaluation de la sensibilité de l'information ou de la ressource considérée :

  •  la disponibilité (l'accès à l'information ou à un service) ;
  •  l'intégrité (la modification non légitime) ;
  •  la confidentialité (l'habilitation pour accéder à l'information ou à un service) ;
  •  et enfin la traçabilité (preuve, non répudiation).

Les besoins de sécurité se traduisent donc par une valeur couramment appelée gravité du risque (Estimation de la hauteur des effets d'un événement redouté ou d'un risque - elle représente ses conséquences).

On peut ainsi en déduire le dispositif de sécurité le plus adapté au regard de l'opportunité (ou la potentialité) des menaces et en fonction des coûts qu'il va générer.

Exemple de mise en oeuvre

Pour un type de données (par exemple les fiches élèves) ou pour une ressource du système (par exemple la messagerie électronique), des mesures de protection plus ou moins lourdes pourront être appliquées en fonction de la valeur des critères de sensibilité.

Ainsi :

  •  pour la disponibilité, les mesures possibles peuvent être la duplication des données, les sauvegardes, le doublement des serveurs ou des réseaux... ;
  •  pour l'intégrité, les mesures peuvent être la mise en place de certification, le contrôle d'accès, un mécanisme de "scellement" des documents... ;
  •  pour la confidentialité, les mesures principales sont le chiffrement et le contrôle d'accès ;
  •  enfin pour la traçabilité, les mesures peuvent être la création de logs et d'archives, l'authentification, l'accusé de réception, la reconstitution de la donnée...

 

 

 












Rectorat de Bordeaux - SSI | Plan du site | Recherche | Contact