Limitations de l’étude de cas et discussion

Le contexte du client indique un environnement mature lié à l’organisation et à la gestion des processus et des risques d’entreprise. L’objectif principal de cette évaluation du risque était de déterminer les priorités de traitement et les contrôles d’atténuation après le processus de tests d’intrusion. De cette façon, la méthodologie ITREM a été introduite pour regrouper toutes les données techniques disponibles et relatives aux rapports des tests d’intrusion. Ainsi, toute la

classification des données et la capacité de priorisation de la méthodologie ont été personnalisées pour produire les résultats escomptés.

L’évaluation des risques effectuée dans le cadre de cet exercice visait à fournir des données tangibles concernant la découverte et l’analyse des vulnérabilités relatives à la sécurité de l’information. Bien que nous ayons énuméré plusieurs activités d’examen de la sécurité (T6, T7), nous n’avons pas évalué d’autres éléments de l’environnement numérique susceptibles d’avoir une incidence sur la confidentialité, la disponibilité et l’intégrité des systèmes. Nous n’avons tenu compte que des risques associés aux vulnérabilités identifiées dans les activités liées à la portée du rapport de tests d’intrusion.

Lors du projet, FINTRADE et son département de sécurité ont été engagés dans de nombreuses discussions avec OKIOK pour définir la portée des tests ainsi que celle de l’exercice d’évaluation des risques.

La raison était principalement dû au fait que le département avait déjà une méthodologie d’évaluation des risques. Cependant, cette dernière n’était en aucun cas calquée sur une approche similaire à ITREM. De plus, la responsable du département avait des enjeux relatifs aux résultats de l’évaluation, car ces derniers allaient confirmer certaines parties très à risque de l’environnement numérique de FINTRADE. Il y’avait donc un enjeu de politique d’entreprise pour ne pas montrer immédiatement les risques et privilégier un traitement prioritaire avant de présenter les résultats au comité exécutif de l’entreprise. Un des points sortant de cette discussion fut la validation du plan de traitement et l’application de ce dernier de façon immédiate pour pouvoir palier aux risques le plus rapidement possible.

De plus, le département de sécurité de FINTRADE était aussi curieux de savoir la complexité du processus méthodologique ainsi que de la charge potentielle répercutée sur les équipes

opérationnelles pour effectuer le traitement des risques identifiés. La partie d’appréciation du contexte fut cruciale pour déterminer les catégories de classification des risques et leur appareillage sous-jacent.

Suite à l’exercice d’évaluation, nous avons donc demandé à l’équipe de FINTRADE de nous donner leur ressenti sur le déroulement du processus méthodologique et l’acuité des résultats.

À cet effet nous avons axé leur réponse sur trois points principaux : - La complexité du processus méthodologique

- L’efficacité de ce dernier - L’applicabilité

La complexité du processus a pu être qualifiée de simple, tant et pour autant qu’un guide méthodologique expliquait les étapes précises permettant de passer de l’identification des risques au traitement de ces derniers. L’équipe de FINTRADE n’a pas eu de problème à reprendre certaines parties de la méthodologie pour les appliquer et ajuster certains indices.

L’efficacité a été mesurée tant par les coûts monétaires engendrés par les projets de rehaussement des contrôles de sécurité, permettant le traitement des risques, que par les estimés effectués par la responsable de la sécurité de FINTRADE. Comme mentionné par cette dernière, pour le même budget annuel alloué aux traitements des risques, nous avons pu traiter 4 initiatives de sécurité additionnelles en comparaison à une année où les tests d’intrusions n’avaient pas été évalués et priorisés. Cette augmentation dans la réalisation du nombre d’initiatives permet d’appuyer la dimension d’efficacité propre à la méthodologie.

L’applicabilité fut très fluide, car nous avions effectué une adaptation au contexte d’affaires et au cadre normatif. La responsable du département de sécurité ainsi que les membres de son équipe auraient été très surpris et dépités si cette étape n’avait pas été prise en compte pour effectuer l’évaluation.

Globalement, FINTRADE et son équipe ont été très satisfaits par la mise en place d’ITREM et des résultats en découlant. L’entreprise a apprécié la valeur ajoutée découlant des dimensions d’adaptabilité, de flexibilité, et de priorisation induite par l’application d’une méthodologie d’évaluation des risques basée sur les tests d’intrusion. Cette étude de cas fut donc probante pour le cas de FINRADE en particulier. Cependant, pour assurer une certaine stabilité du modèle opérationnel de la méthodologie, il serait nécessaire de rassembler une cinquantaine d’études de cas. Cela permettrait d’extraire les données de vulnérabilités selon certains segments d’affaires et assurerait par ce biais une contre-validation du modèle de gestion des risques pour de futures applications de la méthodologie. De plus, une base conséquente d’études de cas permettrait de

raffiner le degré d’attribution des facteurs de calcul de risque. La pondération des facteurs pourrait aussi entrainer un biais d’analyse au cas où les poids venaient à être attribués sans guidage particulier. Les travaux et développent futurs, notamment grâce à une base grandissante des études de cas, s’orienteront vers un croisement des risques principaux identifiés et les contrôles de sécurité à appliquer pour arriver à un traitement optimal du risque.