Processus de Sélection de Contremesures Individuelles

et l'évaluation de contremesures. Cette section détaille chaque partie du modèle.

A.3.1 Calcul du RORI

Le retour sur l'investissement de Réponse proposé dans la section A.2.1 est utilisé comme une approche quantitative pour évaluer et classer un ensemble de contremesures, ce qui permet de choisir celle qui convient le mieux pour atténuer les eets d'une attaque donnée. Les paramètres d'entrée pour le calcul RORI sont de deux types: des paramètres invariables (p.ex. ALE, AIV), qui dépendent de l'intrusion ou de l'attaque, et des paramètres variables (p.ex. RM, ARC), qui dépendent de la contremesure.

A.3. Processus de Sélection de Contremesures Individuelles A.3.1.1 Paramètres Invariables

A.3.1.1.1 La Perte Annuelle Estimée (ALE): désigne le coût d'impact obtenue en l'absence des mesures de sécurité. Il inclut la perte de biens (La), la perte de données (Ld), la perte de la réputation (Lr), les procédures juridiques (Lp), la perte de chire d'aaires avec des clients exis- tants (LREC), la perte de revenus provenant des clients potentiels (LRPC), d'autres pertes (Ol), le contrat d'assurance (Ci), et le taux annuel d'occurrence (ARO), comme le montre l'Équation A.3.

ALE = (La + Ld + Lr + Lp + Lrc + Ol − Ci) × ARO (A.3) où,

ˆ La Perte de biens (La), se réfère à la valeur des actifs physiques qui seraient aecté par une intrusion ou attaque (p.ex. le matériel, le mobilier, les infrastructures physiques, etc). ˆ La Perte de données (Ld), se réfère à la valeur des actifs non-physiques qui sourent de

dommages ou modications à la suite d'une intrusion ou attaque (p.ex. logiciels, bases de données, documents électroniques, etc).

ˆ La Perte de réputation (Lr), se réfère à la perte d'image ou crédibilité dès lors qu'il est impossible de fournir les produits ou services aux niveaux attendus.

ˆ Les Procédures judiciaires (Lp), se réfère à des sanctions pénales qui peuvent survenir dès lors que les obligations contractuelles avec les clients ne peuvent être remplies.

ˆ La perte de chire d'aaires avec des clients existants (LREC), représente les pertes qui se sont produites lors de l'incident empêchant la fourniture des produits ou services aux niveaux attendus par les clients existants.

ˆ La Perte de revenus des clients potentiels (LRPC), se réfère aux pertes engendrées par l'impossibilité d'acquérir de nouveaux clients suite à l'incident.

ˆ Les autres pertes (Ol), prennent en compte toutes les autres pertes qui peuvent survenir lors de l'incident (p.ex. la récupération du temps, les services externes, etc).

ˆ L'Assurance contractée (Ci), cette valeur peut être soustraite de la quantité totale des pertes si l'organisation dispose d'une assurance qui couvre une partie des pertes.

ˆ Le Taux annuel d'occurrence (ARO) se réfère à la fréquence estimée de l'attaque (p.ex. une fois par jour, une fois par an, etc).

A.3.1.1.2 La Valeur Annuel de l'Infrastructure (AIV): correspond aux coûts que le système est susceptible d'avoir en une année, quelle que soit la mise en oeuvre de contremesures, p.ex. les coûts d'équipement (Ec), les frais du personnel (Pc), les frais de service (SC), d'autres frais (Oc), et la valeur de revente (Rv), comme l'indique l'Équation A.4.

AIV = Ec + P c + Sc + Oc − Rv (A.4)

où,

ˆ Le Coût d'Équipement (Ec), correspond au coût annuel des équipements de sécurité, des produits ou des matériaux (p.ex. l'achat, la location, le crédit-bail, les licences, etc) requises pour les opérations régulières de l'infrastructure.

ˆ Le Frais du personnel (Pc), correspondent aux coûts des employés qui eectuent les opéra- tions régulières de l'infrastructure (p.ex. les salaires, les primes, le paiement des heures

APP A. FRENCH SUMMARY

ˆ Le Coût des services rendus (Sc), correspondent aux coûts des services réguliers (p.ex. les frais d'électricité, d'infrastructures, de l'assurance contractée, etc), liés à l'organisation pour ses activités régulières.

ˆ D'autres coûts (Oc), se réfèrent à tous les autres frais nécessaires au fonctionnement régulier de l'infrastructure du système.

ˆ Les coûts de revente (Rv), se réfèrent à la valeur des équipements de sécurité après leur utilisation.

A.3.1.2 Paramètres Variables

A.3.1.2.1 La Mitigation du Risque (RM): considère le pourcentage de réduction du coût total de l'incident qui est donné à partir de la mise en oeuvre d'une contremesure. RM est cal- culée comme étant le produit entre la surface de couverture des contremesures (SC) et son Factor d'Ecacité (EF), tel qu'illustré dans l'Équation A.5.

RM = SC × EF (A.5)

où,

ˆ La Surface de Couverture (SC) est le pourcentage de la surface d'attaque qui est couvert et contrôlé par une contremesure donnée. Par exemple, le blocage d'un utilisateur pour- rait couvrir 85% de la surface d'attaque, et l'augmentation de la surveillance pour bloquer ponctuellement des opérations ne couvre que 60% de la surface d'attaque. Ces valeurs sont inhérentes à la nature de l'attaque et le système auquel il est aecté, ce qui permet d'obtenir des valeurs diérentes de couverture de surface pour la même contremesure appliquée dans diérents scénarios d'attaque.

ˆ Le Facteur d'Ecacité (FE) considère le pourcentage de réduction du coût total de l'incident qui est donné à partir de l'application d'une mesure de sécurité. Selon la méthode de Norman [Nor10], le risque d'une attaque (R) est déterminé comme étant le produit de la vulnérabilité (V), la probabilité d'occurrence (P), et la conséquence (C), (c.-à-d., R = V ×P ×C). Un risque peut être atténué par la diminution de la vulnérabilité, la probabilité et / ou la conséquence. Par conséquent, le Factor d'Ecacité (EF) est calculé comme le pourcentage de réduction des risques qui résulte de l'application d'une contremesure donnée. p.ex. si le risque d'une attaque donnée avant contremesure est R1 = 10 × 7 × 7 = 490 et le risque résultant après

l'application d'une contremesure est R2= 7 × 6 × 6 = 252, EF = 100 − (R2_R×100₁ ) = 51, 43%

A.3.1.2.2 Le Coût Annuel de Réponse (ARC): se réfère au coût de la réponse associé à une contremesure donnée. Il inclut les coûts directs: p.ex. les coûts de mise en oeuvre (CoI), les coûts de maintenance (CoM), d'autres coûts directs (ODC) et les coûts indirects (Ic), comme indiqué dans l'Équation A.6.

ARC = CoI + CoM + Odc + Ic (A.6)

où,

ˆ Le Coût de mise en oeuvre (CoI), se réfère au coût du déploiement, d'installation et /ou de mise en oeuvre des mesures de sécurité an d'atténuer une attaque donnée.

ˆ Le Coût de maintenance (CoM), comprend le coût des services réguliers (p.ex. électricité, conseil, analyse, tests, etc) qui sont nécessaires pour l'implémentation des contremesures. ˆ Les autres coûts directs (Odc), se réfèrent à tous les autres coûts directs (p.ex. fournisseurs

et partenaires) qui sont nécessaires pour mettre en place des contremesures. 156

A.4. Processus de Sélection de Contremesures Combinées