Utilisation de COBIT 5 for risk

maxresdefaultPar Marc-André Léger

En 2009, l’ISACA a lancé un premier référentiel de risque informationnel : Risk IT. Risk IT s’appuie alors sur COBIT 4, le référentiel de gouvernance TI offrant, selon ISACA, le maillon manquant entre la gestion traditionnelle du risque d’entreprise et la gestion et le contrôle du risque informationnel.

Une des idées principales derrière l’approche de l’ISACA est que les entreprises obtiennent un retour sur investissement (ROI) en prenant des risques, mais que parfois elles tentent d’éliminer des risques qui contribuent réellement à la création d’un profit. Risk IT fut conçu pour aider les entreprises à optimiser leurs retours sur opportunités en gérant plus efficacement les risques plutôt qu’en essayant de les éliminer complètement.

L’ISACA a diffusé en avril 2012 la nouvelle version COBIT 5 de son référentiel. Elle présenta cette nouvelle version comme une évolution majeure du référentiel de gouvernance et de management du SI. Une des principales nouveautés de COBIT 5 est d’aborder le Système d’Information (SI), au-delà des processus déjà mis en avant par COBIT 4.1,  au travers des thématiques  complémentaires, dans le cadre d’une approche globale (holiste ou systémique). Dans le cadre de cette mise à niveau, les processus de COBIT 5 furent adaptés pour mieux converger avec d’autres référentiels tels que ISO 27002, CMMI et ITIL.

Avec COBIT 5, Risk IT fut intégré avec COBIT 5 pour la Gestion de Risque (COBIT 5 for risk ou COBIT 5GR dans ce texte). Dans l’esprit de COBIT, cette version définit le risque informatique comme un élément des risques de l’entreprise, en particulier, le risque d’entreprise lié à l’utilisation, la possession, l’exploitation et l’adoption de l’informatique au sein d’une entreprise. COBIT 5GR s’intéresse:

  • à permettre aux parties prenantes d’acquérir une meilleure compréhension de l’état actuel et des effets du risque dans toute l’entreprise
  • à donner des conseils sur la façon de gérer le risque à tous les niveaux, y compris un vaste ensemble de mesures de mitigation de risque
  • à donner des conseils sur la façon de mettre en place la culture appropriée du risque dans l’entreprise
  • Aux orientations sur l’évaluation des risques qui permettent aux parties prenantes d’examiner le coût des mesures d’atténuation et les ressources nécessaires contre le risque de perte
  • aux possibilités d’intégrer la gestion des risques informatiques avec celle des risques d’entreprise.
  • à l’amélioration de la communication et la compréhension entre toutes les parties prenantes internes et externes

Dans ce texte, je propose une technique pour appliquer COBIT 5GR afin de réaliser une analyse de risque dans une organisation. Cette technique est basée sur l’utilisation d’indicateurs de risque (KRI) génériques qui devront être adaptés pour une utilisation dans un contexte spécifique. Ce texte est présenté ici à des fins de formation et pour susciter la discussion auprès de membres de l’ISACA et des gestionnaires de risque informationnels. Le texte complet sera présenté dans la prochaine édition de mon livre sur la gestion de risque informationnel. Si vous avez des commentaires: marcandre@leger.ca

Application de la méthode

Tel que mentionné dans mes cours de gestion de risque et dans mes publications, d’un point de vue théorique, la gestion du risque est accomplie par un processus IPM. L’identification (I) et la priorisation (P) sont des processus d’analyse de risque. La troisième phase, la mobilisation (M), est la mise en oeuvre des décisions des
phases d’identification (I) et de priorisation (P). Il est de High-levelmise d’ajouter une phase de vérification (Audit) à ces phases pour compléter le processus. Les premières actions à prendre sont dans la phase d’identification (I). Ces tâches sont réalisées lors de l’analyse de risque.

Dans ce texte nous présentons les étapes d’application de la méthodologie d’analyse de risque informationnel par scénarios COBIT 5GR de l’ISACA. Les éléments présentés ici doivent être considérés comme la liste des activités que l’organisation en général et l’analyste de risque en particulier doivent accomplir pour utiliser la méthodologie COBIT 5 for Risk. Cette liste d’activité pourra servir à créer un plan de projet ou une check-list pour réaliser l’analyse de risque.

Comme pour tout processus d’analyse de risque, le principal bénéfice organisationnel de son utilisation dans un autre contexte que celui pour laquelle elle fut produite provient de l’amélioration de la maturité organisationnelle résultant de l’introspection et de la réflexion sur le risque.

Lire aussi:

Préparer le terrain

L’activité EDS03 Assurer l’optimisation du risque de Cobit 5GR (EDM03 Area: Governance; Domain: Evaluate, Direct and Monitor) doit être réalisée dans un premier temps avant de débuter l’analyse de risque. Plus particulièrement, l’organisation dois mettre en place un cadre de gouvernance du risque qui sera utilisé lors de l’analyse de risque. Dans le contexte de COBIT 5GR, il s’agit de compléter les tâches EDM03.1 et EDM03.2. Cet exercice pourra se
faire en faisant Préparationappel à un comité de gouvernance du risque informationnel.

  • EDM03.1 Evaluate risk management: L’organisation doit constamment examiner et porter un jugement sur l’effet du risque sur l’utilisation actuelle et future des TI dans l’organisation. Demandez-vous si l’appétit pour le risque de l’organisation est approprié et si les risques de l’organisation liée à l’utilisation des TI sont identifiées et gérées.
  • EDM03.2 Direct risk management: L’organisation doit diriger la mise en place de pratiques exemplaires de gestion des risques qui pourront fournir une assurance raisonnable que ses pratiques de gestion des risques informationnels sont appropriées pour veiller à ce que le risque informationnel réel ne dépasse pas la tolérance au risque de l’organisation, tel que déterminé par le conseil d’administration.

Avant que l’analyse de risque ne débute, il est aussi nécessaire d’identifier l’analyste qui sera responsable de réaliser l’étude. L’analyse sera le responsable d’accomplir l’étude, de créer les documents, de communiquer avec les participants et de faire la gestion de projet. Ainsi, l’analyse de risque est gérée comme un projet en utilisant des techniques de gestion de projet, qui ne sont pas abordées dans ce cours. Celui-ci devra avoir les compétences et la formation nécessaires à l’exécution de l’analyse de risque (APO12.02.4.5).

Si ce n’est pas déjà fait, il est nécessaire de réaliser les étapes suivantes avant de pouvoir faire l’analyse de risque:

  • Inventaire des actifs informationnels: Avant de débuter, il est nécessaire d’effectuer un inventaire du patrimoine informationnel de l’organisation. Cela correspond à l’activité APO12.03.1. C’est-à-dire que l’organisation doit faire un inventaire des processus d’affaires, y compris les processus de soutien des ressources humaines, des applications , des infrastructures , des installations, des registres critiques, des fournisseurs et des sous-traitants. Elle doit comprendre et documenter les interdépendances entre les processus de gestion des services TI, les systèmes d’information et l’infrastructure technologique (APO12.03.1.1).
  • Catégorisation des actifs informationnels: Les actifs informationnels doivent faire l’objet d’une catégorisation, ce qui n’est pas défini dans ce cours. La catégorisation devrait se faire en utilisant  une échelle de mesure appropriée en fonction des objectifs de sécurité de l’organisation. Au minimum, il est recommandé de définir l’actif informationnel en fonction de ses attributs de disponibilité, d’intégrité et de confidentialité (DIC) en utilisant une échelle ordinale nominale (par exemple: bas, moyen, élevé).
  • Mise en place d’un comité de projet: Afin de faire le suivi de l’analyse de risque, il est recommandé de mettre en place un comité de suivi du projet. De plus, une fois l’analyse de risque complété, afin de réussir la mise en oeuvre des mesures de mitigation du risque et des actions connexes, l’organisation devra mettre en place un comité de projet. Les membres du comité de projet peuvent être les mêmes que le comité de gouvernance de projets avec l’ajout d’un chef de projet d’expérience et de personnel informatique formé sur les mesures de mitigation retenues.
  • Création et approbation du plan de projet: Afin de mener à bien l’élaboration d’un plan directeur en matière de gestion du risque informationnel (GRI), l’organisation devrait gérer cet exercice comme un projet. De cette façon, il est possible de mettre à profit l’expertise et les techniques de gestion de projet afin de maximiser les chances de succès.
  • Détermination des cadres de gestion: Cette étape consiste à identifier les cadres de gestions de risque informationnel, normalisé et autres, que l’organisation souhaite utiliser pour la gestion de son patrimoine informationnel. Lors de cette étape, l’utilisation des cadres de gestions normalisés, tel que COBIT ou ISO 27002, est recommandé.
  • État de la situation actuelle: Cette étape consiste à identifier, en relation aux mesures de mitigation du risque associé à chacun des cadres de gestions normalisées que l’organisation souhaite mettre en place ou qui sont déjà en place, l’état (en place ou proposé), le coût (argent et en ressources humaines ou en effort, mesure en équivalent d’un individu travaillant à temps plein), les contrôles de gestions qui permette de s’assurer de l’efficacité de la mesure de mitigation du risque et de faire des vérifications (audits) et de l’efficacité présumée de la mesure. Il est aussi possible de joindre des notes sur la mesure de mitigation du risque ou sur sa mise en oeuvre, ainsi que d’attacher des pièces jointes, tels des diagrammes de réseau, des documents PDF ou d’autres documents utilisent pour la compréhension des utilisateurs, des gestionnaires ou, éventuellement, des vérificateurs.

Par la suite, l’analyste pourra débuter par l’identification de l’organisation et la définition des objectifs en matière de sécurité de l’information. L’analyste pourra ensuite procéder avec les étapes de APO12 Risk-specific Process Practices, Inputs/Outputs, Activities and Detailed Activities. Cela débute avec APO 12.01.

Phase d’identification


APO12.01 Recueillir des données

Dans la phase d’identification, selon le modèle IPM de gestion de risque, l’organisation doit identifier et recueillir les données nécessaires pour réaliser l’analyse de risque et la création de rapport efficace des risques informationnels. Plus spécifiquement, il est nécessaire de réaliser les étapes APO12.01.1, APO12.01.2, APO12.01.3 et APO12.01.4:

IdentificationAPO12.01.1. Établir et maintenir une méthode pour la collecte, la classification et l’analyse des données liées aux risques informatiques, pouvant accueillir plusieurs types d’aléas, plusieurs catégories de risques informatiques et de multiples facteurs de risque.

  • APO12.01.1.1 Établir et maintenir un modèle pour la collecte, la classification et l’analyse des données sur les risques informationnels. Il s’agit de déterminer les aléas et les vulnérabilités qui doivent être considérés dans le périmètre de l’analyse de risque, de définir une approche formelle qui permettra de les regrouper dans des catégories et de déterminer comment elles seront analysées.
  • APO12.01.1.2 Prévoir la présence de plusieurs types d’aléas et de multiples catégories de risque informationnel. L’analyste doit mettre en place une approche qui permettra de s’assurer d’avoir une bonne couverture des différents types de risques qui sont susceptibles d’influencer le risque informationnel dans le périmètre de l’analyse. L’analyste doit prévoir une approche pour s’assurer que les scénarios de risque qui seront créés sont dans le périmètre de l’analyse de risque qui fut déterminé par le comité de gouvernance.
  • APO12.01.1.3 Inclure des filtres et des vues pour aider à déterminer comment les facteurs de risque spécifiques peuvent influer sur le risque. Afin de limiter les biais introduits par l’analyste et les participants à l’analyse de risque, l’organisation doit mettre en place une approche systématique. C’est seulement par la mise en place d’une approche systématique qu’elle peut espérer s’approcher de la scientificité de sa démarche. Lorsque c’est possible, l’organisation devrait chercher des sources de données probantes, scientifiques et fiables comme intrant au processus. Une de ces sources peut être les registres des incidents et les autres registres en place. Les journaux de systèmes (logs), des serveurs ou des équipements de détection peuvent aussi être des sources de données probantes.
  • APO12.01.1.4 Mettre en place des critères pour s’assurer que le modèle puisse soutenir la mesure et l’évaluation des attributs du risque à travers les domaines de risque informationnels et fournir des données utiles pour promouvoir une culture organisationnelle consciente des risques.

Plusieurs stratégies peuvent être mises en oeuvre pour accomplir ces activités. Selon que le problème est approché par les aléas ou par les vulnérabilités, il est possible de mettre en place une stratégie de veille qui cherche à identifier diverses sources d’aléas issus de la littérature, de journaux de l’industrie, des registres d’incidents, de normes, de cadres de gestion, de focus groups ou d’autres sources. Dans une approche par les vulnérabilités, ce sont les résultats de l’analyse de vulnérabilités, produisant des données probantes sur la base d’une situation réelle, qui sera génératrice de scénarios. L’important est de choisir une approche systématique qui sera bien documentée et qu’il sera possible de justifier plus tard, lors d’une évaluation de l’analyse de risque et des résultats.

APO12.01.2. Relever les données pertinentes sur l’environnement d’exploitation interne et externe de l’organisation qui pourrait jouer un rôle important dans la gestion des risques informationnels.

  • APO12.01.2.1 Enregistrer les données sur l’environnement d’exploitation de l’organisation qui pourraient jouer un rôle important dans la gestion des risques informationnels.
  • APO12.01.2.2 Consulter des sources au sein de l’organisation, le service juridique, l’audit, la conformité et le bureau du CIO.
  • APO12.01.2.3 Identifier les principales sources de revenus, les systèmes informatiques externes, la responsabilité légale associée aux produits, le paysage réglementaire, la concurrence dans l’industrie, les tendances dans l’industrie informatique, l’alignement des concurrents avec des métriques clés, la maturité relative de l’activité principale et des capacités informatiques et les questions géopolitiques.
  • APO12.01.2.4 Identifier et organiser les données historiques de risques informationnels et de l’expérience des pertes de ses pairs de l’industrie par le biais des registres d’incidents axés sur l’industrie, les bases de données et de l’industrie concernant la divulgation d’aléa fréquent.

Ce travail sera le résultat d’un travail d’analyse à partir des méthodes de collectes de données choisies. Ce travail pourra, et même devra, se faire en collaboration avec les services financiers, les équipes informatiques et les gestionnaires de l’organisation. Ici encore, l’important est de choisir une approche systématique qui sera bien documentée et qu’il sera possible de justifier plus tard, lors d’une évaluation de l’analyse de risque et des résultats.

APO12.01.3. Identification et analyse des données sur les risques informationnels historiques et de l’expérience de l’organisation en matière de perte de données, des tendances disponibles, les pairs par le biais de registres d’aléas et d’incidents de l’industrie, de bases de données et d’autres sources l’industrie concernant la divulgation d’aléas connus.

  • APO12.01.3.1 Par le modèle de collecte de données, enregistrer des données sur les aléas qui ont causé des dommages ou peuvent influer sur le ratio bénéfices/valeur des actifs informationnels, aux activités, projets, opérations et à la prestation de services TI de l’organisation.
  • APO12.01.3.2 Saisir des informations pertinentes sur les questions liées à la gestion des actifs informationnels. En particulier, conserver des informations sur les incidents, problèmes et enquêtes impliquant des actifs informationnels.

Cela consiste à faire une revue de littérature, une recherche dans les documents disponibles de sources comme Gartner Group ou des journaux de l’industrie. D’autres sources de données pourront être des registres internes d’incidents ou de risque. Finalement, il est possible de consulter les équipes TI pour obtenir des données historiques.

APO12.01.4. Enregistrer les données sur les aléas qui ont causé ou peuvent causer des impacts au ratio bénéfice/valeur des actifs informationnels, à la prestation des programmes et des projets TI, aux opérations TI et à la prestation de services de l’organisation. Saisir les données pertinentes aux questions liées, aux incidents, aux problèmes et aux enquêtes.

  • APO12.01.4.1 Organiser les données recueillies et mettre en évidence les facteurs contributifs.
  • APO12.01.4.2 Déterminer quelles conditions spécifiques existaient ou n’existaient pas lorsque les aléas sont survenus et comment les conditions pourraient avoir affecté la fréquence des aléas et de l’ampleur de la perte.
  • APO12.01.4.3 Déterminer les facteurs communs qui contribuent à travers plusieurs aléas. Effectuer périodiquement l’analyse des vulnérabilités pour identifier de nouveaux risques ou des risques émergents et d’acquérir une compréhension des vulnérabilités internes et externes associées.

Ce travail (APO12.01.3 et APO12.01.4) est, ici encore, essentiellement réalisé par l’analyste de risque, en utilisant les données des étapes APO12.01.1 et APO12.01.2. Toujours, le travail être réalisé selon une approche systématique qui sera bien documentée et qu’il sera possible de justifier plus tard, lors d’une évaluation de l’analyse de risque et des résultats.

L’analyse de risque

Les étapes précédentes avaient trait à la préparation et à l’identification du cadre de l’analyse de risque. Une fois que ces étapes sont complétées, c’est ici que débute réellement l’analyse de risque avec COBIT 5GR dans les activités APO12.02 à. APO12.04.

APO12.02 Analyse de risque

L’organisation doit approfondir l’information utile pour appuyer les décisions sur le risque qui tiennent compte de la pertinence pour l’organisation des vulnérabilités.


APO12.02.1.
 Définir la profondeur (Scope) Analyse de risqueappropriée des efforts d’analyse de risque tenant compte de toutes les vulnérabilités et de la criticité des actifs informationnels dans la réalisation des objectifs d’affaires. Définissez la portée de l’analyse de risque après avoir effectué une analyse coûts/bénéfices .

  • APO12.02.1.1 Définir la portée de l’analyse des risques. L’organisation doit décider de la profondeur attendue des efforts d’analyse des risques. Il est nécessaire de considérer un large éventail d’options qui permettront à l’organisation d’avoir en main tous les éléments qui lui permettront de prendre des décisions sur le risque, ceci compte tenu de son niveau de maturité en gestion de risque informationnel.
  • APO12.02.1.2 Identifier des vulnérabilités pertinentes, la criticité des actifs informationnels pour l’organisation et les déclencheurs des aléas sur le terrain.
  • APO12.02.1.3 Fixer des objectifs afin d’optimiser les efforts d’analyse des risques en favorisant un vue étendue basée sur les processus d’affaires et les extrants (produits et services offerts) de l’organisation et sur les structures internes qui ne sont pas directement liées aux résultats.
  • APO12.02.1.4 Définir la portée de l’analyse des risques après un examen de la criticité pour l’organisation, le coût des mesures par rapport à la valeur attendue des actifs informationnels, de la réduction de l’incertitude et de ses exigences réglementaires globales .

APO12.03.2. Définir et obtenir un consensus organisationnel sur les services informatiques et les ressources de l’infrastructure informatique qui sont essentiels pour soutenir le bon fonctionnement des processus d’affaires de l’organisation. Analyser les dépendances et identifier les maillons faibles.

  • APO12.03.2.1 Déterminer les services informatiques et les ressources de l’infrastructure informatique sont nécessaires pour maintenir le fonctionnement des services essentiels et les processus critiques de l’organisation.
  • APO12.03.2.2 Analyser les dépendances et les maillons faibles TI dans l’ensemble des processus d’affaires et des enchaînements de processus.
  • APO12.03.2.3 Obtenir un consensus des unités d’affaires et des gestionnaires TI sur l’information la plus précieuse de l’organisation et des actifs technologiques connexes.

Création des scénarios de risque 

APO12.02.2. Créer et mettre à jour régulièrement des scénarios de risque, y compris des scénarios composés de séquence d’aléas ou de coïncidences de menaces, des attentes pour les contrôles spécifiques, des capacités de détection et d’autres mesures de gestion des incidents. Débutez avec les scénarios de risque génériques de COBIT 5.

  • APO12.02.2.1 Estimer la fréquence et l’ampleur probable probable de perte ou de gain associé à chacun des scénarios de risques informationnels. Tenir compte de l’influence des vulnérabilités applicables aux scénarios.
  • APO12.02.2.2 Estimer le montant maximum des dommages qui pourraient être subis ou les gains provenant des opportunités.
  • APO12.02.2.3 Envisager des scénarios composés de séquences d’aléas et de coïncidences de menaces.
  • APO12.02.2.4 Sur la base de scénarios les plus importants, identifier les attentes organisationnelles pour les contrôles spécifiques, la capacité de détecter des aléas et d’autres mesures de gestion des incidents.
  • APO12.02.2.5 Évaluer les contrôles opérationnels connus et leur effet sur la fréquence (probabilité), l’ampleur probable des dommages et les vulnérabilités applicables.
  • APO12.02.2.6 Estimer les niveaux d’exposition et le risque résiduel. Comparer le risque résiduel à la tolérance au risque de l’organisation et le niveau de risque acceptable. Cet exercice permettra à l’organisation d’identifier les risques qui peuvent nécessiter un traitement particulier

APO12.02.3. Estimer la fréquence, la probabilité et l’ampleur des pertes ou des gains associés aux scénarios de risques informationnels. Prendre en compte tous les vulnérabilités applicables, évaluer les contrôles opérationnels connus et estimer les niveaux de risque résiduel pour chacun des scénarios.

  • APO12.02.3.1 Identifier les options de réponse aux risques. Examiner la gamme des options de réponse aux risques (mesures de mitigation de risque), par exemple: éviter, mitiger (réduire, atténuer), transférer (externalisation, assurances), accepter le risque.
  • APO12.02.3.2 Documenter la raison d’être et les arbitrages potentiels à travers la gamme des options de réponse au risque.
  • APO12.02.3.3 Spécifier les exigences et les paramètres de haut niveau pour des projets ou des programmes qui, fondée sur l’appétence au risque, permet d’atténuer les risques à des niveaux acceptables. Identifier les coûts , les avantages et le partage de responsabilité de l’exécution des projets.
  • APO12.02.3.4 Développer de façon plus détaillée les exigences et les attentes organisationnelles en matière de contrôles appropriés. Déterminer où et comment ils sont censés être mis en oeuvre pour qu’ils soient efficaces.

L’organisation devrait créer un nombre suffisant de scénarios pour réaliser son analyse de risque. Il n’y a pas de nombre idéal. Le nombre de scénarios utilisés dépendra de plusieurs facteurs, tels que la portée de l’analyse de risque, le budget et le temps alloué pour la réaliser, le niveau de maturité de l’organisation en matière de gestion du risque informationnel et de nombreux autres facteurs. Dans un premier temps, il est suggéré de faire une rencontre en groupe, de type remue-méninges, avec les participants à l’analyse de risque afin d’identifier des scénarios candidats. Il est aussi possible d’utiliser des scénarios provenant d’une banque de scénarios ou ceux qui sont inclus dans COBIT 5.

Il est à noter que ce qui est présenté ici est un modèle de référence qui peut servir de base à l’analyse de risque. Dans une application dans une situation réelle, ce modèle devra être ajusté ou améliorer pour tenir compte de la situation réelle de l’organisation.

Pour chacun des scénarios, il s’agit d’abord de les identifiers de façon sommaire. Par exemple, le scénario de risque Ζn(A,ψ,δ), ou n est un nombre entier séquentiel unique, incluent une description sommaire de l’aléa (A) et des aléas ou séquences d’aléas, des actions, des décisions et des facteurs connexes qui ont rendu possible l’exploitation d’une vulnérabilité (ψ) dont le résultat est un dommage (δ). Par exemple, un scénario numéro Z301 qui porte sur  l’aléa (A) Virus, la vulnérabilité (ψ) CVE1999-233 et dont le dommage (δ) est la perte de confidentialité, serait identifié Z301(Virus, CVE1999-233, Confidentialité). Ces descriptions sommaires sont ensuite enrichies.

Une fois les scénarios identifiés et décrits sommairement lors de la rencontre en groupe avec les participants, l’analyse devra effectuer un travail d’analyse et de documentation de chacun des scénarios. À cette fin, il est proposé d’utiliser un formulaire normalisé de documentation des scénarios de risque informationnel. L’objectif de ce travail d’analyse et de documentation et d’amener un plus grand niveau de détail. Les informations minimales nécessaires pour chacun des scénarios sont:

  • Nom du scénario: Un nom qui décrit le scénario. Par exemple, un scénario de risque portant sur le vol d’identité d’un client de l’organisation pourrait se nommer vol d’identité.
  • Nom de l’organisme: Le nom de l’organisation pour laquelle le scénario est créé.
  • Date de création du scénario: La date de création du scénario.
  • Ayants cause: les individus impliqués dans le scénario, qui devraient inclure les propriétaires des actifs informationnels en cause et ceux qui sont impliqués dans les processus d’affaires reliés aux actifs.
  • Description du scénario de risque ou de l’aléa: description détaillée de l’aléa (A) et des aléas ou séquences d’aléas, des actions, des décisions et des facteurs connexes qui ont rendu possible l’exploitation d’une vulnérabilité (ψ) dont le résultat est un dommage (δ). Il s’agit de décrire avec plus de détails ce qui sera développé avec les participants lors de l’étape précédente.
  • Vulnérabilité: description de la vulnérabilité, faille ou faiblesse qui rend ce scénario possible.
  • Données historiques: documentation des données historiques disponibles sur des situations similaire à ce qui est décrit dans le scénario et des sources de ces données, par exemple un registre des incidents ou des rapports de support à la clientèle.
  • Cible de ce scénario: disponibilité, intégrité, confidentialité, continuité, autre.
  • Impacts de la réalisation du scénario: descriptions des impacts et des dommages qui résulteraient de la réalisation de l’aléa qui est décru dans le scénario.
  • Mesures de mitigation en place ou envisagées: description des mesures de mitigation du risque qui sont envisagées.
  • Contrôles de gestion en place ou proposés: description des contrôles de gestion en place ou proposés.
  • Historique des modifications du scénario: suivi des changements fait au document décrivant le scénario.

Il est probable, une fois les scénarios détaillés, que les similitudes entre certain des scénarios permettre d’en réduire le nombre en combinat les scénarios similaires. En général, il est fréquent de réduire de 20% le nombre de scénarios par la combinaison de scénarios similaires. Ensuite, l’analyse devra rencontrer les participants individuellement afin de valider les scénarios détaillés. Il pour être nécessaire d’y faire des ajustements selon les commentaires des participants. La création de scénarios se terminera avec l’identification des données qui permettront à l’organisation de mesurer le niveau de risque et, plus particulièrement de créer des indicateurs de risque à partir, entre autres, de données probantes disponibles (registre des incidents et autres sources de données probantes) ou des estimés de la part des participants à l’analyse de risque. En particulier, il sera nécessaire d’identifier:

  • la probabilité de réalisation de l’aléa : Pb(A), une valeur entre 0,01 et 0,99
  • la présence de la vulnérabilité: Pb(ψ), généralement soit 0 (vulnérabilité absente) ou 1 (vulnérabilité présente)
  • la probabilité d’exploitation de la vulnérabilité par l’aléa: Pb(ψ,A), une valeur entre 0,01 et 0,99
  • le dommage estimé et le dommage maximal lors de ce scénario: δ(ψ,A), une valeur entre 0,01 et 0,99 (qualitatif) ou un nombre réel (approche scientifique et données probantes)
  • le niveau de résilience de l’organisation lors de ce scénario: θ(ψ,A), une valeur entre 0,01 et 0,99
  • l’utilité espérée (la contribution aux bénéfices de l’organisation) des processus d’affaires ou des actifs informationnels impliqués dans le scénario de risque: μ(ψ,A), une valeur entre 0,01 et 0,99 (qualitatif) ou un nombre réel (approche scientifique et données probantes)

Voir aussi la section sur les KRI pour des exemples d’indicateurs.

Phase de priorisation

APO12.02.4. Comparer le risque résiduel à la tolérance au risque de l’organisation et identifier les expositions qui peuvent nécessiter une réponse au risque .

  • APO12.02.4.1 Effectuer une revue par les pairs de l’analyse des risques informationnels.
  • APO12.02.4.2 Confirmer que l’analyse est documentée de façon suffisante en fonction des besoins de l’organisation.
  • APO12.02.4.3 Revoir la base des estimations de probabilités, des impacts, dommages et opportunités (gains).
  • APO12.02.4.4 Vérifier que tous les participants à l’analyse de risque qui ont participé à l’estimation des probabilités et à la quantification des métriques n’ont pas été influencés par des biais (au besoin s’assurer de la mise en oeuvre de mécanismes pour contrôler les biais). Vérifier qu’il n’y a pas eu de manipulation du processus afin d’obtenir un résultat prédéterminé. Vérifier que, lorsque c’est possible, une recherche de données probantes fut effectuée.
  • APO12.02.4.5 Vérifier que le niveau d’ expérience et les qualifications de l’analyste de risque étaient appropriés pour l’ampleur et la complexité de l’analyse de risque.
  • APO12.02.4.6 Fournir une opinion sur le processus d’analyse de risque, la réduction attendue des risques inacceptables atteints et si le coût du processus d’analyse de risque est raisonnable en fonction du coût des mesures de mitigation de risque et de la réduction du risque envisageable.

À partir des scénarios de risque qui furent créés lorsPriorisation de l’activité 12.02.3, il est nécessaire de les quantifier. Cela peut être réalisé de différentes façons, tel que nous en avons discuté dans le cours (entrevues, focus group, rencontres en groupes, etc.). Les résultats doivent ensuite être validés par l’ensemble des participants à l’analyse de risque. Il est essentiel d’effectuer un exercice de revision par les pairs (les participants) des résultats de l’analyse de risque avant de les envoyer à la direction pour approbation (comité de gouvernance du risque) et avant de les utiliser dans la prise de décision. Ce processus de révision permet de réduire les biais introduits dans l’analyse de risque et augmenter la fidélité et la scientificité des résultats.

APO12.04.1. Transmettre les résultats de l’analyse des risques à toutes les parties concernées pour appuyer les décisions de l’organisation. Inclure les estimations des probabilités et des dommages ou de gain avec des niveaux de confiance.

  • APO12.04.1.1 Coordonner au besoin des activités d’analyse de risque supplémentaire tel que requis par les gestionnaires (par exemple sui à des rapports de non-conformité ou des changements dans la portée de l’analyse de risque).
  • APO12.04.1.2 Communiquer clairement le contexte et les résultats pour évaluer les rapports coût/bénéfices.
  • APO12.04.1.3 Identifier les impacts négatifs des aléas et scénarios qui devraient guider les décisions de mitigation des risques et les effets positifs des aléas et scénarios qui représentent la gestion des opportunités qui sont susceptibles d’avoir un impact sur la stratégie et les objectifs organisationnels.

APO12.04.2. Fournir aux décideurs les données qui leurs permettront de comprendre le pire des cas et des scénarios les plus probables, les risques en matière de diligence raisonnable, les risques réputationels significatifs et les considérations légales ou réglementaires.

  • APO12.04.2.1 Dans cet effort sont les suivants :
    • Les éléments clés de risque (par exemple la fréquence, l’ampleur, l’impact), les vulnérabilités et leurs effets estimés
    • Ampleur de la perte probable estimée ou gain futur probable
    • Pertes maximales estimées en fonction des gain éventuels pour un scénario et les pertes les plus probable en fonction des gains.
    • Des informations complémentaires pertinentes pour appuyer les conclusions et recommandations de l’analyse

APO12.03 Maintenir un profil de risque

L’organisation doit maintenir un inventaire ou un registre des risques connus et des composantes du risque, c’est-à-dire les aléas (menaces), les vulnérabilités et les impacts (dommages). Ceux-ci doivent inclure l’estimation de leur probabilité, l’impact envisagé et les mesures de mitigation des risques en place. L’organisation doit documenter les ressources connexes, les capacités organisationnelles en matière de gestion de risque informationnel et les contrôles en place.

APO12.03.3. Agréger les scénarios de risque actuels (qui se sont matérialisé) par catégorie , secteur d’activité et secteur fonctionnel .

  • APO12.03.3.1 Inventorier et évaluer la capacité des processus, les compétences et les connaissances des individus de l’organisation. Évaluer les résultats et les performances à travers le spectre du risque informationnel (par exemple , ROI, TCO, coûts de prestation, coûts des projets, coûts des opérations informatiques et la prestation de services TI).
  • APO12.03.3.2 Déterminer si l’exécution normale des processus peut ou ne peut pas fournir les bons contrôles et la capacité à prendre des risques acceptables.
  • APO12.03.3.3 Identifier où la variabilité des résultats associés à un processus peut contribuer à une structure de contrôle interne plus robuste, améliorer l’information et performance de l’organisation, et contribuer saisir des opportunités d’affaires.

APO12.03.4. Sur une base régulière, l’organisation doit identifier et saisir toutes les informations utiles sur son profil de risque. L’organisation doit ensuite consolider ces informations dans un profil de risque global. Ce travail est souvent réalisé par l’analyste de risque de concert avec le groupe de gestion de risque d’organisation dans un contexte de gouvernance du risque.

  • APO12.03.4.1 Examiner la collection d’attributs (les variables) et de valeurs (métriques) à travers lesquelles les composants du scénario de risque sont quantifiés. Examiner leurs interconnexions inhérentes aux catégories d’impact de l’organisation .
  • APO12.03.4.2 Ajuster les données en fonction de l’évolution des conditions de risque et les menaces émergentes pour maximiser les bénéfices et les avantages compétitifs apportés par les TI en considérant leur coût de mise en place (TCO), des efforts de mise en oeuvre de la prestation des programmes TI et des projets TI, du coût d’exploitation et de gestion des opérations informatiques et de la prestation de services.
  • APO12.03.4.3 Évaluer le coût de mise à jour des systèmes d’information et des actifs informationnels sur la base de la criticité des actifs, les données sur l’environnement d’exploitation et des données d’aléas. Faire des liens entre les d’aléas assimilés à des catégories de risque et aux catégories d’impact de l’organisation.
  • APO12.03.4.4 Cataloguer et agréger les types d’aléas par catégorie, secteur d’activité et secteur fonctionnel de l’organisation.
  • APO12.03.4.5 Au minimum, mettre à jour les scénarios de risque informationnel en réponse aux changements interne ou externe significatifs et les réviser annuellement .

APO12.03.5. Sur la base de toutes les données de profil de risque, définir un ensemble d’indicateurs de risque (key risk indicators ou KRI) qui permettent l’identification rapide et de surveillance des risques et des tendances.

  • APO12.03.5.1 Capturer le profil de risque au sein des outils comme un registre des risques informationnels et de la cartographie des risques d’entreprise (ERM).
  • APO12.03.5.2 Bonifier le profil de risque par les résultats de la portion informatique de l’évaluation du risque d’entreprise (ERM), les composants du scénario de risque, la collecte de données d’aléas, l’analyse continue des risques et les  résultats de l’évaluation des interdépendances.
  • APO12.03.5.3 Pour les éléments individuels du registre des risques informationnels, mettre à jour les attributs clés tels que le nom, la description, le propriétaire, les parties prenantes, la fréquence réelle et potentielle, l’ampleur des scénarios associés, l’impact potentiel et réel, et les mesures de mitigation de risque.

APO12.03.6. Recueillir des informations sur les aléas de l’informatique qui se sont matérialisés, pour inclusion dans le profil de risque informationnel de l’organisation.

  • APO12.03.6.1 Créer des métriques et des indicateurs de risque clés (KRI) qui peuvent cibler des aléas et des incidents liés aux TI qui peuvent influer de manière significative sur les résultats de l’organisation.
  • APO12.03.6.2 Baser ces indicateurs sur un modèle qui permet de comprendre les variables susceptibles d’avoir un impact sur l’exposition et les capacités de l’organisation en matière de gestion des risques en général et des risques informationnels en particulier.
  • APO12.03.6.3 Assurer la compréhension des indicateurs de risque clés (KRI) par l’ensemble des parties prenantes de l’organisation.
  • APO12.03.6.4 Examiner régulièrement les indicateurs (KRI) utilisés et recommander des ajustements pour suivre l’évolution des conditions internes et externes .

Voici une sélection de KRI qui sont susceptible d’êtres utilisé comme point de départ pour la mise en oeuvre de COBIT 5GR. Il est à noter que ces KRI devront être enrichis, adaptés ou modifiés pour tenir compte des particularités de chaque organisation.

  • Appétence au risque de l’organisation: Ar(organisation)
  • Scénario de risque: Zn(A,ψ,δ)
  • Élément à risque: En
  • Probabilité de réalisation de l’aléa : Pb(A)
  • Présence de la vulnérabilité: Pb(ψ)
  • Probabilité d’exploitation de la vulnérabilité par l’aléa: Pb(ψ,A)
  • Dommage estimé: δe(ψ,A)
  • Dommage maximal: δm(ψ,A)
  • Niveau de résilience: θ(ψ,A)
  • Utilité espérée: μ(E), une valeur entre 0,01 et 0,99 (qualitatif) ou un nombre réel (approche scientifique et données probantes). C’est ici que l’on tiendra compte de l’opportunité créé par l’élément à risque
  • Mesures mitigation: MMn(Zn)
  • Réduction dommages causés par l’exploitation de la vulnérabilité par l’aléa avec la mesure de mitigation en place: δr(ψ,A,MMn)
  • Réduction de la probabilité d’exploitation de la vulnérabilité par l’aléa avec la mesure de mitigation en place: Pb(ψ,A,MMn)

En utilisant ces indicateurs, l’organisation pourrait faire une estimation de risque qualitative, en réalisant une estimation des indicateurs en collaboration avec les parties prenantes et les participants à l’analyse de risque. Dans un tel cas, les choix des échelles de mesures et de collecte de données sont susceptibles d’avoir un effet sur le degré de scientificité des résultats. Dans les meilleurs cas, l’organisation disposera de données probantes qui pourront être utilisées.

APO12.04.4. Passez en revue les résultats des évaluations objectives des risques de tiers, l’audit interne et des examens d’assurance de la qualité afin de faire les correspondances avec le profil de risque de l’organisation. Identifier les lacunes et les risques pour déterminer la nécessité d’une analyse de risque supplémentaire.

  • APO12.04.4.1 Prendre les lacunes et les expositions de l’organisation afin d’évaluer les besoins de transfert de risque ou la nécessité d’analyse de risque supplémentaire ou plus en profondeur.
  • APO12.04.4.2 Aider l’organisation à comprendre comment des plans d’actions correctives auront une incidence sur le profil de risque global.
  • APO12.04.4.3 Identifier les possibilités d’intégration avec des projets et des activités de gestion des risques en cours.

APO12.04.5. Identifier, sur une base périodique, pour les secteurs à risque relatif élevé et en tenant compte de l’appétence au risque de l’organisation, les opportunités qui permettraient l’ acceptation de risque plus élevé et une croissance accrue.

  • APO12.04.5.1 Rechercher des opportunités qui permettent:
    • D’utiliser les ressources de l’organisation pour créer un effet de levier qui permet de créer un avantage concurrentiel.
    • Réduire les coûts de coordination.
    • De profiter d’économies d’échelle en utilisant des ressources stratégiques communes à plusieurs secteurs d’activité.
    • Tirer parti des différences structurelles avec ses concurrents.
    • Intégrer des activités entre les unités d’affaires ou les composantes de la chaîne de valeurs de l’organisation.

Phase de mobilisation

APO12.05 Définir un portefeuille de projets de gestion des risques

C’est par la mise en oeuvre d’actions de mitigation de risque, sous la forme de projets, que l’organisation pourra gérer ses risques. Ceci afin de réduire les risques inacceptables à un niveau acceptable, en tenant compte de sa tolérance au risque tel qu’exprimé. L’identification d’un ensemble de projets pour la période de référence en considération (la prochaine année budgétaire par exemple) se fait sous la forme d’un portefeuille de projets.

APO12.04.3.
Communiquer le profil de risque Mobilisationactuel à toutes les parties prenantes, y compris l’efficacité des processus de gestion des risques, l’efficacité des contrôles, les lacunes, les incohérences, l’acceptation de risques, les mesures de mitigation et leurs impacts sur le profil de risque .

  • APO12.04.3.1 Identifier les besoins des différentes parties prenantes en matière de rapports sur l’évolution du risque en appliquant les principes de pertinence, l’efficacité, la fréquence et l’exactitude des rapports .
  • APO12.04.3.2 Inclure ce qui suit dans la déclaration: l’efficacité et de performance, les problèmes et les lacunes, l’état des mesures de mitigation, les aléas, les incidents et leur impact sur le profil de risque et la performance des processus de gestion des risques.
  • APO12.04.3.3 Contribuer aux rapports de gestion intégrée des risques d’entreprise.

APO12.05.1. Maintenir un inventaire des activités de contrôle qui sont en place pour gérer les risques en accord avec l’appétence au risque et la tolérance de l’organisation. Classer les activités de contrôle et de les faire correspondre à des aléas ou des scénarios spécifiques et des agrégations de risques informationnels. Utilisez les contrôles de COBIT 5 ou d’autres normes (ITIL, ISO, etc.) comme guide pour déterminer les contrôles de gestions pertinents ou utiles pour votre organisation.

  • APO12.05.1.1 Partout dans le domaine d’intervention de risque, l’inventaire des contrôles en place pour gérer les risques et permettent risque à prendre en ligne avec l’appétit du risque et de la tolérance .
  • APO12.05.1.2 Classer les contrôles (par exemple , prédictive, préventive , détective , corrective) et les identifier aux déclarations de risque informationnel spécifiques (scénarios et aléas) et faire des agrégations de risques informationnels.

APO12.05.2. Déterminer si chaque entité organisationnelle surveille le risque et accepte la responsabilité de l’exploitation au sein de ses niveaux de tolérances individuelles et de son portefeuille.

  • APO12.05.2.1 Surveiller l’alignement opérationnel avec des seuils de tolérance au risque .
  • APO12.05.2.2 Veiller à ce que chaque ligne d’affaires accepte la responsabilité de l’exploitation au sein de ses niveaux de tolérances individuelles et de portefeuille et pour l’intégration des outils de surveillance dans les processus clés de l’exploitation .
  • APO12.05.2.3 Surveiller le rendement de chaque contrôle, et mesurer la variance de seuils par rapport aux objectifs .

APO12.05.3. Définir un ensemble équilibré de propositions de projets visant à réduire les risques et des projets qui permettent des opportunités stratégiques, compte tenu du rapport coûts/bénéfices, l’effet sur le profil de risque et le risque actuel .

  • APO12.05.3.1 Répondre à l’exposition au risque de découvrir et d’opportunité.
  • APO12.05.3.2 Choisir candidat contrôles informatiques basés sur des menaces spécifiques, le degré d’exposition au risque , la perte probable et les exigences obligatoires spécifiées dans les normes informatiques .
  • APO12.05.3.3 suivre l’évolution des profils de risque sous-jacents opérationnels d’affaires et régler le classement des projets de réponse aux risques.
  • APO12.05.3.4 Communiquer avec les principaux intervenants au début du processus.
  • APO12.05.3.5 Mener des essais pilotes et d’examen des données de performance pour vérifier opération contre la conception .
  • APO12.05.3.6 Plan de nouvelles et mises à jour des contrôles opérationnels aux mécanismes qui permettront de mesurer la performance de contrôle sur le temps, et la gestion rapide des actions correctives en cas de besoin de surveillance.
  • APO12.05.3.7 Identifier et former le personnel sur les nouvelles procédures comme ils sont déployés.
  • APO12.05.3.8 Rapport plan d’action du risque informatique progrès. Surveillez le risque informatique des plans d’action à tous les niveaux pour assurer l’efficacité des actions requises et déterminer si l’acceptation du risque résiduel a été obtenue.
  • APO12.05.3.9 Veiller à ce que les actions engagées sont détenues par le propriétaire de processus concerné(s) et les écarts sont signalés à la haute direction.

APO12.06 Mitigation du risque

Résolument dans la phase M du processus IPM. L’APO12.06 consiste à la mise en place des mesures de mitigation de risque retenues suite à l’identification et la priorisation du risque, dans un encadrement de projet, qui permettront à l’organisation de répondre aux risques au-delà de son seuil de tolérance en temps opportun, par des mesures efficaces afin de limiter l’ampleur des dommages. Vous pouvez utiliser une norme comme ISO27002:2013 pour trouver des mesures de mitigation de risque à mettre en oeuvre.

D’autres éléments de COBIT 5 seront aussi utiles, voire nécessaire à la gestion des risques qui doit s’opérer. Entres autres:

  • EDM03.03 Monitor risk management.
  • APO13.01 Establish and maintain an ISMS.
  • APO13.02 Define and manage an information security risk treatment plan.
  • APO13.03 Monitor and review the ISMS.
  • BAI01.10 Manage programme and project risk.
  • BAI02.03 Manage requirements risk.
  • BAI04.04 Monitor and review availability and capacity.
  • BAI06.02 Manage emergency changes
  • DSS02.02 Record, classify and prioritise requests and incidents.
  • DSS02.03 Verify, approve and fulfil service requests.
  • DSS02.04 Investigate, diagnose and allocate incidents.
  • DSS02.05 Resolve and recover from incidents.
  • DSS02.06 Close service requests and incidents.
  • DSS03.01 Identify and classify problems.
  • DSS03.02 Investigate and diagnose problems.
  • DSS03.03 Raise known errors.
  • DSS03.04 Resolve and close problems.
  • DSS03.05 Perform proactive problem management.
  • DSS04.01 Define the business continuity policy, objectives and scope.
  • DSS04.02 Maintain a continuity strategy.
  • DSS04.03 Develop and implement a business continuity response.
  • DSS04.04 Exercise, test and review the BCP.
  • DSS04.05 Review, maintain and improve the continuity plan.
  • DSS04.06 Conduct continuity plan training
  • DSS04.07 Manage backup arrangements.
  • DSS04.08 Conduct post-resumption review.
  • DSS05.01 Protect against malware.
  • DSS05.02 Manage network and connectivity security.
  • DSS05.03 Manage endpoint security.
  • DSS05.04 Manage user identity and logical access.
  • DSS05.05 Manage physical access to IT assets.
  • DSS05.06 Manage sensitive documents and output devices.
  • DSS05.07 Monitor the infrastructure for security-related events.
  • L’ensemble des contrôles de Monitor, evaluate & Assess (MEA)

L’organisation devra mettre en place un processus d’audit pour valider rétroactivement les résultats des analyses de risque précédentes. Elle devra aussi répéter le processus d’analyse de risque quand il y a des changements majeurs dans son l’environnement, sa situation, ses actifs informationnels ou quand cela devient nécessaire de la faire. Au minimum, elle devrait une analyse de risque par cycle budgétaire et au moins une fois par année.

Métriques et KRI

Voici une sélection de KRI qui sont utilisés comme point de départ pour la mise en oeuvre de COBIT 5GR. Il est à noter que ces KRI devront être enrichis, adaptés ou modifier pour tenir compte des particularités de chaque organisation.

  • Appétence au risque de l’organisation: Ar(organisation)
  • Scénario de risque: Zn(A,ψ,δ)
  • Élément à risque: En
  • Probabilité de réalisation de l’aléa : Pb(A)
  • Présence de la vulnérabilité: Pb(ψ)
  • Probabilité d’exploitation de la vulnérabilité par l’aléa: Pb(ψ,A)
  • Dommage estimé: δe(ψ,A)
  • Dommage maximal: δm(ψ,A)
  • Niveau de résilience: θ(ψ,A)
  • Utilité espérée: μ(E), une valeur entre 0,01 et 0,99 (qualitatif) ou un nombre réel (approche scientifique et données probantes)
  • Mesures mitigation: MMn(Zn)
  • Réduction dommages causés par l’exploitation de la vulnérabilité par l’aléa avec la mesure de mitigation en place: δr(ψ,A,MMn)
  • Réduction de la probabilité d’exploitation de la vulnérabilité par l’aléa avec la mesure de mitigation en place: Pb(ψ,A,MMn)

En utilisant ces indicateurs, l’organisation pourrait faire une estimation de risque qualitative, en réalisant une estimation des indicateurs en collaboration avec les parties prenantes et les participants à l’analyse de risque. Dans un tel cas, les choix des échelles de mesures et de collecte de données sont susceptible d’avoir un effent sur le degré de scientificité des résultats. Dans les meilleurs cas, l’organisation disposera de données probantes qui pourront être utilisées.

Appétence au risque de l’organisation

Symbole: Ar(organisation)

Description: L’appétence au risque représente le niveau de risque agrégé qu’une organisation accepte de prendre en vue de la poursuite de son activité et d’atteindre ses objectifs stratégiques. Il est nécessaire d’identifier l’appétence au risque de l’organisation pour ajuster les dommages et l’utilité pour obtenir l’Utilité espérée telle que perçue par l’organisation. Une faible appétence signifie une aversion au risque. Le résultat est une augmentation de l’Utilité espérée de l’élément à risque, C’est-à-dire qu’il a plus de valeur aux yeux de l’organisation et ses décideurs que sa valeur réelle ou comptable. à contrario, une propension au risque, qui signifie un grande appétence au risque, se traduit par une diminution de l’Utilité espérée.

Valeur qualitative: entre 0,01 et 0,99appétence001

Source de données qualitatives:  L’échelle à curseur peut être utilisée pour évaluer l’appétence au risque. La valeur neutre est 0,5, une valeur de plus de 0,5 est utilisé pour indiquer l’aversion au risque. Une valeur entre 0,01 et 0,49 représente une propension au risque.

Valeur quantitative: Cette variable ne peut être mesurée quantitativement.

Sources de données quantitative: Aucune

Scénario de risque

Symbole: Zn(A,ψ,δ)

Description: Le scénario de risque est un document qui raconte une histoire. Il décrit dans une approche structurée, l’histoire d’un aléa ou une séquence d’aléas et de menaces, qui exploite une vulnérabilité d’un actif informationnel causant un dommage.

Élément à risque

Symbole: En 

Description: Actif informationnel qui fait l’objet d’un scénario de risque

Valeur qualitative: Code nominatif unique qui permet d’identifier chaque actif informationnel ou élément à risque qui est inclut ans une analyse de risque.

Source de données qualitatives: Déterminé par l’analyste de risque ou assigné lors d’un inventaire des actifs informationnels.

Probabilité de réalisation de l’aléa

Symbole : Pb(A)

Description: Lors des rencontres l’analyse devra aussi évaluer, avec les participants, la probabilité de la réalisation d’un scénario. Pour cela, il utilisera des échelles à curseur pour évaluer les dommages et la probabilité de réalisation des scénarios. Les échelles à curseur sont imprimées et distribuées aux participant.

L’échelle à curseur présentée est utilisé pourprobabilité001 l’évaluation de la probabilité de réalisation du scénario présenté.

Valeur qualitative: Les valeurs attribué à cette variable sont entre 0,01 et 0,99, soit entre 1% (faible) et 99% (forte). La valeur centrale, neutre ou moyenne est situé au centre de l’échelle de mesure qui représente 0,5, ou 50%.

Source de données qualitatives: L’évaluation de la probabilité de réalisation des aléas peut se faire lors d’une rencontre de groupe (focus group, brainstorming, etc.). Dans ce cas, la valeur utilisé devra résulter du consensus des participants à la rencontre. Il est aussi possible d’utiliser un tableau blanc ou un autre moyen avec les participants. L’essentiel est de laisser les participant indiquer le niveau estimé en fonction de l’élément évalué, sur une ligne continue entre la plus bas et le plus élevé.

Valeur quantitative: nombre réel

Sources de données quantitative: données historiques ou données probantes issues de la recherché ou de la collecte de données.

Présence de la vulnérabilité

Symbole: Pb(ψ)

Description: L’objectif de cet indicateur est d’évaluer la presence (Pb(ψ)= 1) ou l’absence (Pb(ψ) =0) de la vulnérabilité en consideration dans un scenario de risqué.

Valeur: 0 (absence) ou 1 (présence)

Source de données qualitatives: Analyse par spécialiste

Source de données quantitatives: Analyse par balayage (NVAS) ou un autre outil

Probabilité d’exploitation de la vulnérabilité par l’aléa

Symbole: Pb(ψ,A)

Description: Cet indicateur est utilize pour estimer la probabilité que l’aléa considéré dans le scenario de risqué puisse exploiter la vulnérabilité.

Valeur qualitative: entre 0,01 et 0,99

Source de données qualitatives: L’évaluation de la probabilité peut se faire lors d’une rencontre de groupe (focus group, brainstorming, etc.). Dans ce cas, la valeur utilisé devra résulter du consensus des participants à la rencontre. Il est aussi possible d’utiliser un tableau blanc ou un autre moyen avec les participants. L’essentiel est de laisser les participant indiquer le niveau estimé en fonction de l’élément évalué, sur une ligne continue entre la plus bas et le plus élevé.

Valeur quantitative: nombre réel

Sources de données quantitative: données historiques ou données probantes issues de la recherché ou de la collecte de données.

Dommage estimé

Symbole: δe(ψ,A)

Description: Mesure de l’impact de la réalisation du scénario le plus probable. Si des sources de données probantes ou historiques sont disponibles, ce sont ces données qui devraient être privilégiés. Autrement, l’échelle à curseur peut être utilisée. L’échelle à curseur présentée est utilisé pour l’évaluation de l’impact du scénario présenté.

Valeur qualitative: Les valeurs attribué à impact001cette variable sont entre 0,01 et 0,99, soit entre 1% (faible) et 99% (forte). La valeur centrale, neutre ou moyenne est situé au centre de l’échelle de mesure qui représente 0,5, ou 50%.

Source de données qualitatives: L’évaluation de l’impact peut se faire lors d’une rencontre de groupe (focus group, brainstorming, etc.). Dans ce cas, la valeur utilisé devra résulter du consensus des participants à la rencontre. Il est aussi possible d’utiliser un tableau blanc ou un autre moyen avec les participants. L’essentiel est de laisser les participant indiquer le niveau estimé en fonction de l’élément évalué, sur une ligne continue entre la plus bas et le plus élevé.

Valeur quantitative: nombre réel

Sources de données quantitative: données historiques ou données probantes issues de la recherché ou de la collecte de données.

Dommage maximal

Symbole: δm(ψ,A)

Description: Mesure de l’impact de la réalisation du scénario dans le pire des cas. Si des sources de données probantes ou historiques sont disponibles, ce sont ces données qui devraient être privilégiés. Autrement, l’échelle à curseur peut être utilisée. L’échelle à curseur présentée est utilisé pour l’évaluation de l’impact du scénario présenté.

Valeur qualitative: Les valeurs attribué à cette variable sont entre 0,01 et 0,99, soit entre 1% (faible) et 99% (forte). La valeur centrale, neutre ou moyenne est situé au centre de l’échelle de mesure qui représente 0,5, ou 50%.

Source de données qualitatives: L’évaluation peut se faire lors d’une rencontre de groupe (focus group, brainstorming, etc.). Dans ce cas, la valeur utilisé devra résulter du consensus des participants à la rencontre. Il est aussi possible d’utiliser un tableau blanc ou un autre moyen avec les participants. L’essentiel est de laisser les participant indiquer le niveau estimé en fonction de l’élément évalué, sur une ligne continue entre la plus bas et le plus élevé.

Valeur quantitative: nombre réel

Sources de données quantitative: données historiques ou données probantes issues de la recherché ou de la collecte de données.

Niveau de résilience

Symbole: θ(ψ,A)

Description: Le niveau de résilience individuelle ou organisationnelle en relation au scénario de risque présenté.

Valeur qualitative: Les valeurs attribué à cette variable sont entre 0,01 et 0,99, soit entre 1% (faible) et 99% (forte). La valeur centrale, neutre ou moyenne est situé au centre de l’échelle de mesure qui représente 0,5, ou 50%

Source de données qualitatives: L’évaluation peut se faire lors d’une rencontre de groupe (focus group, brainstorming, etc.). Dans ce cas, la valeur utilisé devra résulter du consensus des participants à la rencontre. Il est aussi possible d’utiliser un tableau blanc ou un autre moyen avec les participants. L’essentiel est de laisser les participant indiquer le niveau estimé en fonction de l’élément évalué, sur une ligne continue entre la plus bas et le plus élevé. L’échelle à curseur présentée est utilisé pour l’évaluation de l’impact du scénario présenté.

Valeur quantitative: nombre réel

Sources de données quantitative: données historiques ou données probantes issues de la recherché ou de la collecte de données.

Ici encore, l’échelle à curseur peut être utilisée. Résilience001

Utilité espérée

Symbole: μ(E)

Description: La valeur de l’élément à risque, sa contribution aux objectifs d’affaire de l’organisation ou sa valeur de remplacement.

Valeur qualitative: entre 0,01 et 0,99

Source de données qualitatives: L’évaluation peut se faire lors d’une rencontre de groupe (focus group, brainstorming, etc.). Dans ce cas, la valeur utilisé devra résulter du consensus des participants à la rencontre. Il est aussi possible d’utiliser un tableau blanc ou un autre moyen avec les participants. L’essentiel est de laisser les participant indiquer le niveau estimé en fonction de l’élément évalué, sur une ligne continue entre la plus bas et le plus élevé.

Valeur quantitative: nombre réel

Sources de données quantitative: données historiques ou données probantes issues de la recherché ou de la collecte de données.

Mesures mitigation

Symbole: MMn(Zn)

Description: Les mesures de mitigation de risque.

Valeur qualitative: entre 0,01 et 0,99

Source de données qualitatives: L’évaluation peut se faire lors d’une rencontre de groupe (focus group, brainstorming, etc.). Dans ce cas, la valeur utilisé devra résulter du consensus des participants à la rencontre. Il est aussi possible d’utiliser un tableau blanc ou un autre moyen avec les participants. L’essentiel est de laisser les participant indiquer le niveau estimé en fonction de l’élément évalué, sur une ligne continue entre la plus bas et le plus élevé.

Valeur quantitative: nombre réel

Sources de données quantitative: données historiques ou données probantes issues de la recherché ou de la collecte de données.

Réduction dommages causés par l’exploitation de la vulnérabilité par l’aléa avec la mesure de mitigation en place

Symbole: δr(ψ,A,MMn)

Description: Les mesures de mitigation de risque existantes.

Valeur qualitative: entre 0,01 et 0,99

Source de données qualitatives: L’évaluation peut se faire lors d’une rencontre de groupe (focus group, brainstorming, etc.). Dans ce cas, la valeur utilisé devra résulter du consensus des participants à la rencontre. Il est aussi possible d’utiliser un tableau blanc ou un autre moyen avec les participants. L’essentiel est de laisser les participant indiquer le niveau estimé en fonction de l’élément évalué, sur une ligne continue entre la plus bas et le plus élevé.

Valeur quantitative: nombre réel

Sources de données quantitative: validation par un expert de la sécurité de l’information, données historiques ou données probantes issues de la recherché ou de la collecte de données.

Réduction de la probabilité d’exploitation de la vulnérabilité par l’aléa avec la mesure de mitigation en place

Symbole: Pb(ψ,A,MMn)

Description: L’effet de la mesure de mitigation de risque qui permet de réduire la probabilité d’exploitation de la vulnérabilité par l’aléa avec la mesure de mitigation en place.

Valeur qualitative: entre 0,01 et 0,99

Source de données qualitatives: L’évaluation peut se faire lors d’une rencontre de groupe (focus group, brainstorming, etc.). Dans ce cas, la valeur utilisé devra résulter du consensus des participants à la rencontre. Il est aussi possible d’utiliser un tableau blanc ou un autre moyen avec les participants. L’essentiel est de laisser les participant indiquer le niveau estimé en fonction de l’élément évalué, sur une ligne continue entre la plus bas et le plus élevé.

Valeur quantitative: nombre réel

Sources de données quantitative: validation par un expert de la sécurité de l’information, données historiques ou données probantes issues de la recherché ou de la collecte de données.

Exemple de calcul de risque qualitatif

Voici un modèle d’estimation de l’indice de risque basé sur l’utilisation de données qualitatives. Dans un contexte réel e modèle doit être ajusté pour tenir compte des particularités de chaque organisation.

Les KRI utilisées dans cet exemple:

  • Appétence au risque de l’organisation: Ar(organisation)
  • Scénario de risque: Zn(A,ψ,δ)
  • Élément à risque: En
  • Probabilité de réalisation de l’aléa : Pb(A)
  • Présence de la vulnérabilité: Pb(ψ)
  • Probabilité d’exploitation de la vulnérabilité par l’aléa: Pb(ψ,A)
  • Dommage estimé: δe(ψ,A)
  • Dommage maximal: δm(ψ,A)
  • Niveau de résilience: θ(ψ,A)
  • Utilité espérée: μ(E), une valeur entre 0,01 et 0,99 (qualitatif) ou un nombre réel (approche scientifique et données probantes)
  • Mesures mitigation: MMn(Zn)
  • Réduction dommages causés par l’exploitation de la vulnérabilité par l’aléa avec la mesure de mitigation en place: δr(ψ,A,MMn)
  • Réduction de la probabilité d’exploitation de la vulnérabilité par l’aléa avec la mesure de mitigation en place: Pb(ψ,A,MMn)

Calcul du risque estimé pour le scénario de risque Z001(virus, courriel, perte de réputation), il s’agit du risque de perte de réputation par la divulgation d’informations privées de clients de l’organisation causée par un virus un informatique envoyé par courriel ouvert par un employé mal avisé:

  • Ar(organisation) = 0,3 (léger)
  • Pb(A) = 0,7 (élevé)
  • Pb(ψ) = 1 (présence)
  • Pb(ψ,A) = 0,5 (moyen)
  • δe(ψ,A) = 0,4 (moyen)
  • δm(ψ,A) = 0,9 (très élevé)
  • θ(ψ,A) = 0,5 (moyen)
  • μ(E) = 0,6 (moyen)
  • MM001(Z001) = 45000$ (système de DLP)
  • δr(ψ,A,MM001) = 0,82
  • Pb(ψ,A,MM001) = 0,75

Estimation qualitative de l’indice de risque estimé:

Re(Z001) = (Pb(A) * Pb(ψ) * Pb(ψ,A) * δe(ψ,A) * μ(E) )/ θ(ψ,A)

Re(Z001) = (0,7 * 1 * 0,5 * 0,4 * 0,6 )/ 0,5

Re(Z001) = 0,084 / 0,5

Re(Z001) = 0,168

Estimation qualitative de l’indice de risque maximal:

Rm(Z001) = (Pb(A) * Pb(ψ) * Pb(ψ,A) * δm(ψ,A) * μ(E) )/ θ(ψ,A)

Rm(Z001) = (0,7 * 1 * 0,5 * 0,9 * 0,6 )/ 0,5

Rm(Z001) = 0,189 / 0,5

Re(Z001) = 0,378

Estimation qualitative de l’indice de risque toléré:

Rt(Z001) = (Pb(A) * Pb(ψ) * Pb(ψ,A) *  Ar(org) * μ(E) ) )/ θ(ψ,A)

Rt(Z001) = (0,7 * 1 * 0,5 * 0,3 * 0,6 )/ 0,5

Rt(Z001) = 0,063 / 0,5

Rt(Z001) = 0,126

Estimation qualitative de l’indice de risque mitigé avec l’utilisation la mesure de mitigation de risque MM001(Z001), un système de DLP (data loss prevention) qui coûte 45 000$:

Rmm001 = Re(Z001) * δr(ψ,A,MM001) * Pb(ψ,A,MM001)

Rmm001 = 0,168 * 0,82 * 0,75

Rmm001 = 0,103

Exemple de calcul de risque quantitatif

Voici un modèle d’estimation de l’indice de risque basé sur l’utilisation de données quantitatives. Dans un contexte réel e modèle doit être ajusté pour tenir compte des particularités de chaque organisation.

Les KRI utilisées dans cet exemple:

  • Appétence au risque de l’organisation: Ar(organisation)
  • Scénario de risque: Zn(A,ψ,δ)
  • Élément à risque: En
  • Probabilité de réalisation de l’aléa : Pb(A)
  • Présence de la vulnérabilité: Pb(ψ)
  • Probabilité d’exploitation de la vulnérabilité par l’aléa: Pb(ψ,A)
  • Dommage estimé: δe(ψ,A)
  • Dommage maximal: δm(ψ,A)
  • Niveau de résilience: θ(ψ,A)
  • Utilité espérée: μ(E), une valeur entre 0,01 et 0,99 (qualitatif) ou un nombre réel (approche scientifique et données probantes)
  • Mesures mitigation: MMn(Zn)
  • Réduction dommages causés par l’exploitation de la vulnérabilité par l’aléa avec la mesure de mitigation en place: δr(ψ,A,MMn)
  • Réduction de la probabilité d’exploitation de la vulnérabilité par l’aléa avec la mesure de mitigation en place: Pb(ψ,A,MMn)

Calcul du risque estimé pour le scénario de risque Z001(virus, courriel, perte de réputation), il s’agit du risque de perte de réputation par la divulgation d’informations privées de clients de l’organisation causée par un virus un informatique envoyé par courriel ouvert par un employé mal avisé:

  • Ar(organisation) = 0,3 (léger)
  • Pb(A) = 0,6 (c’est arrivé 3 fois dans les derniers 5 ans dans notre organisation et les chiffres de l’industrie sont similaires pour des entreprises comme la nôtre)
  • Pb(ψ) = 1 (la vulnérabilité est présente dans notre organisation)
  • δe(ψ,A) = 1 000 000$ (moyenne des 3 incidents connus)
  • δm(ψ,A) = 4 000 000 (le pire cas chez nous)
  • θ(ψ,A) = 1 (la résilience actuelle est sans effet)
  • μ(E) = 10 000 000$ (contribution de l’actif informationnel aux objectifs de l’organisation)
  • MM001(Z001) = 45000$ (système de DLP)
  • δr(ψ,A,MM001) = 0,82
  • Pb(ψ,A,MM001) = 0,75

Estimation quantitatif de l’indice de risque estimé:

Re(Z001) = (Pb(A) * Pb(ψ) * δe(ψ,A)) / θ(ψ,A)

Re(Z001) = (0,6 * 1 * 1000000 )/ 1

Re(Z001) = 600 000$

Estimation qualitative de l’indice de risque maximal:

Rm(Z001) = (Pb(A) * Pb(ψ) * δm(ψ,A))/ θ(ψ,A)

Rm(Z001) = (0,6 * 1 * 4000000 )/ 1

Rm(Z001) = 2 400 000$

Estimation qualitative de l’indice de risque toléré:

Rt(Z001) = (Pb(A) * Pb(ψ) *  Ar(org) * μ(E) ) )/ θ(ψ,A)

Rt(Z001) = (0,6 * 1 * 0,3 * 10 000 000 )/ 1

Rt(Z001) = 1 800 000$

Estimation qualitative de l’indice de risque mitigé avec l’utilisation la mesure de mitigation de risque MM001(Z001), un système de DLP (data loss prevention) qui coûte 45 000$:

Rmm001 = Re(Z001) * δr(ψ,A,MM001) * Pb(ψ,A,MM001)

Rmm001 = 600 000$ * 0,82 * 0,75

Rmm001 = 369 000$

Bibliographie

Léger, Marc-André (2013) Introduction à la gestion de risque informationnel, Centre de recherche Hochelaga-Maisonneuve, Montréal, Québec, Canada

ISACA (2013), COBIT 5 for RISK, disponible en ligne http://www.isaca.org/COBIT/Pages/Risk-product-page.aspx?cid=1002152&Appeal=PR