• Aucun résultat trouvé

CHAPITRE2Gestion des risques et Politique de sécurité

N/A
N/A
Info
Télécharger
Protected

Academic year: 2022

Partager "CHAPITRE2Gestion des risques et Politique de sécurité"

Copied!
5
0
0

Chargement.... (Voir le texte intégral maintenant)

Texte intégral

(1)

4

CHAPITRE2

Gestion des risques et Politique de sécurité

I. Gestion du risque informationnel

1. Définitions

Un risque est un danger éventuel plus ou moins prévisible. Il se mesure à la probabilité qu’il se produise et aux impacts et dommages consécutifs à sa réalisation. Deux notions interviennent dans la variable de risque : celle de menace qui est la cause potentielle d’un incident indésirable et celle de faiblesse, vulnérabilité ou de défaillance.

Un risque est la combinaison de la probabilité d’un événement et de ses conséquences. Un risque exprime la probabilité qu’une valeur soit perdue en fonction d’une vulnérabilité liée à une menace :

Risque= vulnérabilité * menace * impact

La finalité de la sécurité informatique est de garantir qu’aucun préjudice ne puisse mettre en péril la pérennité de l’organisation en maîtrisant les facteurs du risque.

Cela consiste à diminuer la probabilité de voir des menaces se concrétiser ei à limiter les atteintes ou dysfonctionnement induits.

La terminologie associée au risque distingue l’analyse, l’évaluation, l’appréciation, le traitement de la gestion du risque à savoir :

 Analyse du risque : utilisation systématique d’informations pour identifier les sources afin de pouvoir estimer le risque.

 Evaluation du risque : processus de comparaison du risque estimé avec des critères de risque donnés pour déterminer l’importance du risque.

Appréciation du risque : ensemble des processus d’analyse et d’évaluation du risque

 Traitement du risque : processus de sélection et de mise en œuvre des mesures visant à modifier le risque.

 Gestion du risque : activité coordonnées visant à diriger et à piloter une organisation vis-à-vis des risques.

2. Principes de gestion

Les éléments constitutifs d’une démarche de gestion du risque informationnel sont :

 Identification des actifs basée sur les critères de sécurité,

 Appréciation des vulnérabilités liées aux actifs à protéger

 Appréciations des menaces (identification de l’origine (motivation, capacité à se réaliser) et des facteurs inhibiteurs, amplificateurs ou catalyseurs des menaces)

 Appréciation du risque (représentation par une matrice des probabilités et des impacts).

 Définition des contre-mesures (qui tient compte des trois catégories d’acteurs que sont les processus, la technologie et les utilisateurs).

(2)

4

II. Politique de sécurité

1. Stratégie et politique de sécurité

Une politique de sécurité permet l’expression et la concrétisation de la stratégie sécuritaire des organisations.

La politique de sécurité est un outil indispensable à la gouvernance de la sécurité et à la réalisation du plan stratégique de sécurité.

Figure 1: Stratégie et politique de sécurité

Une politique de sécurité managériale de protéger les valeurs informationnelle et les ressources technologiques de l’organisation. Elle spécifie les moyens (ressources, procédures, outils…) qui répondent de façon complète et cohérente aux objectifs stratégiques de sécurité.

La politique de sécurité fait le lien entre la stratégie de sécurité de l’entreprise de l’entreprise et la réalisation opérationnelle de la sécurité.

La politique de sécurité répond aux principes fondamentaux de la sécurité qui permettent de protéger le système d’information. Cette protection sera assurée par exemple par :

 Des règles : classification de l’information ;

 Des outils : chiffrement, firewalls ;

 Des contrats : clauses et obligations ;

 L’enregistrement, la preuve, l’authentification, l’identification, le marquage ou le tatouage ;…

2. Projet d’entreprise orienté gestion des risques Stratégie d’entreprise

Stratégie du système d’information

Stratégie de sécurité

Politique d’entreprise

Politique du système d’information

Politique de sécurité

Identification du risque

Origine Cause Potentialité Impact, effets, conséquences, gravité

Risques choisis, calculés, mesuré, acceptés Risques pris

Risques profitables, risques de réussir

Forte

Extrêmement grave Risques subis

Risques encourus Risques de perte

Analyse- Evaluation- Appréciation Traitement, Gestion des risques

Gravité de l’impact

Potentialité du risque

Identification des risques Quantification des risques Risques acceptables ?

Politique de sécurité

Sécurité des valeurs

(3)

4

Figure 2: De l'analyse des risques à la politique de sécurité

3. Propriétés d’une politique de sécurité

Une politique de sécurité résulte d’une analyse des risques et est définie pour répondre précisément et complètement aux besoins de sécurité, dans un contexte donné (Figure3).

La définition de la politique de sécurité doit être :

 Simple et compréhensible

 Aisément réalisable

 De maintenance facile

 Vérifiable et contrôlable

 Adoptable par un personnel préalablement sensibilisé voire formé.Vision stratégique de la maîtrise des risques

Politique de sécurité

Que protéger ? Pourquoi ? Contre qui ? Comment ?

Valeurs Risques Contraintes

Référentiel de sécurité Règles de sécurité Mesures de sécurité

Structure organisationnelle Droits et devoirs

Plan de contrôle et de suivi Planification Prioritisation des actions

(4)

4 Une politique de sécurité ne doit pas être statique mais périodiquement évaluée, optimisée et adaptée à la dynamique du contexte dans lequel elle s’inscrit. Elle doit être évolutive et suivre l’évolution du contexte (risques, systèmes, environnement, personnes, réglementations). Elle doit être adaptable et personnalisable selon des profils des utilisateurs concernés, les flux, de la localisation des acteurs en jeu...

Une politique de sécurité varie en fonction de l’espace et du temps, cela veut dire qu’il faut pouvoir authentifier et autoriser un utilisateur en fonction de sa position, de sa situation, de la date et de l’heure de sa demande de service.

Une politique de sécurité peut être structurée en sous-politiques correspondant à des thèmes particuliers comme le montre la figure 4 :

Figure 3: Déterminants d'une politique de sécurité

(5)

4

Figure 4: différentes composantes d'une politique de sécurité Politique de contrôle

d’accès

Politique de protection

Politique de réaction

Politique de suivi

Politique d’assurance

Gestion des identités, des profils utilisateurs, des permissions, des droits….

Prévention des intrusions et malveillances, Gestion des vulnérabilités…

Gestion des crises, des sinistres, des plans de continuité, de reprise de modification….

Audit, évaluation, optimisation, contrôle, surveillance…

Politique de sensibilisation

Mesures et produres PerformanceCoûtConvivialité Respect des contraintes gales et glementaires

Politique de sécurité

Références

Télécharger maintenant ( DOC - 5 Page - 68.00 KB )

Documents relatifs

MASTER 2 : Science politique : Risques, Sécurité et Conflits

Deux filières sont proposées aux étudiants en deuxième année : la filière alternance et la filière expertise Les étudiants en alternance sont 2 jours par semaine à

POLITIQUE DE RECONNAISSANCE EN SÉCURITÉ ALIMENTAIRE

La MRC de La Mitis peut en tout temps mettre un terme à la reconnaissance municipale lorsqu’un organisme ne respecte pas la Politique de reconnaissance en

Schéma de couverture de risques Sécurité incendie

Pour la couverture des risques élevés et très élevés, la caserne de Saint-Cyprien devra, en tout temps, faire appel à un SSI limitrophe pour réunir un nombre

Évaluation de la politique de sécurité routière

Le risque de l’alcool au volant ne doit pas être confondu avec l’alcoolo-dépendance Les statistiques de la sécurité routière, comme celle des infractions relevées en

Risques sanitaires, industriels et de sécurité des aliments

Institut National de la Recherche Agronomique – Unité TSV 65, Boulevard de Brandebourg – 94205 Ivry-sur-Seine Cedex.. UNITÉ DE RECHERCHE TSV TRANSFORMATIONS SOCIALES ET

ÉNONCÉ DE POLITIQUE SUR LA CULTURE DE SÉCURITÉ

Par exemple, les compagnies de chemin de fer sont responsables de la création et du maintien d’une culture de sécurité positive, et TC peut soutenir l’industrie en établissant

Politique de défense et de sécurité

La promotion d’un nouvel esprit de défense Dans le monde actuel durablement imprévisible et dans une période marquée par l’accroissement des crédits alloués à la

Politique sur la santé et la sécurité du travail

L’Université Laval est consciente de ses responsabilités quant à la santé et la sécurité au travail, ainsi qu’au maintien d’un milieu de vie de qualité pour l’ensemble