Typologie des risques et leurs impacts en cybersécurité
Synthèse : Typologie des risques et leurs impacts en cybersécurité. Recherche parmi 300 000+ dissertationsPar Chfoumi • 5 Novembre 2023 • Synthèse • 949 Mots (4 Pages) • 180 Vues
TYPOLOGIE DES RISQUES ET LEURS IMPACTES
1. Vulnérabilité, Menace, Risque :
Vulnérabilité → Faiblesse dans la sécurité du SI, qui peut affecter son fonctionnement « normal »
Menace → Cause intentionnelle ou non qui peut endommager le SI [en exploitant une vulnérabilité, créant un risque].
Risque → Un risque est la probabilité qu’une menace exploite une vulnérabilité du SI avec des conséquences + ou moins grave, on évalue un risque par sa gravité et sa vraisemblance.
2. Méthode EBIOS :
EBIOS Risk Manager = « expression des besoins et identification des objectifs de sécurité »
Développé par l’ANSSI, retenu par la CNIL (commission nationale informatique et libertés).
→ Identifier et hiérarchiser les différents risques dans un contexte défini.
ANSSI définit le risque : scénario qui combine un évènement redouté et un/plusieurs scénario(s) de menaces.
3. Evaluation des risques :
On évalue le risque par le croisement de son niveau de vraisemblance et de gravité.
Exemple de cartographie de risque :
[pic 1][pic 2]
La gravité évalue l’enjeu direct d’une vulnérabilité (si elle est exploitée par une menace) sur des « valeurs métiers ». → CAD des conséquences sur des domaines stratégiques pour l’organisation.
L’ANSSI identifie plusieurs catégories d’impacts.
Impacts sur mission et services de l’organisation : | Conséquences directes ou indirectes sur la réalisation des missions et services : |
Impacts humains, environnementaux, matériels | →Impact sur la sécurité ou santé →Impact matériel, dégâts sur les biens supports →Impact écologique court ou long terme |
Impacts sur la gouvernance | →Sur la capacité de développement ou décision, de direction →Impact sur les liens sociaux internes →Impact sur le patrimoine intellectuel ou culturel |
Impacts financiers | Impact relatif à l’argent, aux ressources financières de l’organisation |
Impacts juridiques | Impacts sur la non-conformité légal, règlementaire, normative ou contractuelle |
Impacts sur l’image et la confiance | Impacts sur l’image de l’organisation, la notoriété (réputation) et confiance des clients |
4. Principes de la sécurité informatique :
Sécurité des systèmes informatiques repose sur 4 piliers :
CONFIDENTIALITÉ → S’assurer que les données (dont DCP) ne sont accessibles qu’aux personnes autorisées (exemple l’authentification par mdp).
DISPONINILITÉ → Toutes les données sont accessibles et utilisable par les personnes autorisées sans interruption (redondance est une solution par exemple).
INTEGRITÉ → Les données préservent leur véracité et leur authenticité, ne sont pas altérés et modifiés durant le traitement, transfert, ou stockage (Exemple protocole de cryptage SSL).
PREUVE → Aussi « non-répudiation » = Pouvoir apporter la preuve irréfutable d’un acte malveillant lorsqu’il se produit, avoir des traces de l’activité informatique afin de pouvoir desseller les actes malveillants. Toutes actions sur le réseau doivent être authentifiés (légitimité de source de la requête), doivent pouvoir être imputés (Clairement identifier qui fait quoi et avoir accès à ces infos), et doivent être traçables (historique d’utilisation du SI, preuve des actions menés sur les données).
(Preuve – exemple : fichier LOG de journalisation).
5. Sécurité et sureté :
Sureté = Prévenir risques et impacts d’un événement accidentel et/ou involontaire
Sécurité = Prévenir les actes malveillants en combinant des solutions techniques, humaines, et organisationnelles. Une sécurité est mise en place pour permettre de faire face aux vols de données, intrusion dans le SI, etc. La sécurité informatique souvent englobée dans la sureté
On parle de périmètre de la sureté informatique. Ce périmètre englobe les menaces non-intentionnelles qui sont non-prévisibles et non-volontaires.
...