La gestion des risques informatiques
Commentaire d'oeuvre : La gestion des risques informatiques. Rechercher de 53 000+ Dissertation Gratuites et MémoiresPar suuu • 13 Octobre 2022 • Commentaire d'oeuvre • 5 479 Mots (22 Pages) • 333 Vues
BTS SIO -2sisr- Bloc3 – 4 – La gestion des risques du SI 2022-10-03
La gestion des risques informatiques
Table des matières
I. La contexte de la gestion des risques 2
A. Rappel des critères « DIC » et P 2
1) Disponibilité 2
2) Intégrité 2
3) Confidentialité 2
4) Preuve 2
B. Sureté Vs Sécurité 3
1) Sureté 3
2) Sécurité 3
C. Evaluation du niveau de sécurité d’un bien 3
D. Mécanismes pour atteindre les besoins DICP 4
1) Mécanismes techniques 4
2) Mécanismes organisationnels 4
II. Les caractéristiques du risque 5
A. Le risque - Définition 5
B. Une vulnérabilité 5
C. Une menace 5
D. Une attaque 6
E. La notion d’évènement redouté 6
F. Evaluation de l’impact d’un risque 6
G. Impacts des risques informatiques (CEJMA) 7
III. L’analyse de risque 9
A. Principe général 9
B. Les méthodes d’analyse 10
C. Plan d’action SSI 10
IV. La méthode Ebios Risk Manager 11
A. Introduction 11
B. Présentation 11
C. Les étapes de la méthode EBIOS RM 11
D. Liens entre les différents ateliers 12
E. La notion de biens support (ANSSI) 13
1) SYSTÈMES INFORMATIQUES ET DE TÉLÉPHONIE 13
2) ORGANISATIONS 13
3) LOCAUX ET INSTALLATIONS PHYSIQUES 13
F. L’échelle de gravité 14
G. Sources du risque (SR) et objectifs visés (OV) 14
1) Les sources du risques (SR) 14
2) Les objectifs visés (OV) 16
3) L’analyse des relations SR/OV 16
H. La vraisemblance d’un scenario opérationnel 17
V. Stratégie de traitement du risque 18
A. Le refus du risque 18
B. Le transfert ou partage du risque 18
C. La réduction du risque 18
D. L'acceptation ou maintien du risque 18
VI. Exemple1 de mise en œuvre proposé par l’ANSSI 19
E. Etudes des éléments DICP - Appréciation des risques 19
F. Les évènements redoutés 19
G. Les scénarios de menaces : « Abuser Stories » 20
VII. Exemple2 de mise en œuvre pour « Le.Taxi » 21
A. Etudes des éléments DICP - Appréciation des risques 21
B. Sources de risque 21
C. Evènements redoutés 21
D. Les scénarios de menaces : « Abuser Stories » 22
E. Notion de risques résiduels 22
VIII. Sitographie 22
- La contexte de la gestion des risques
- Rappel des critères « DIC » et P
Ces critères permettre de définir le niveau de sécurité d’un SI
- Disponibilité
- Intégrité
- Confidentialité
- Preuve
- Sureté Vs Sécurité
Le périmètre de chacune des 2 notions n’est pas toujours facile à délimiter.
- Sureté
Exemple de risque : saturation d’un point d’accès, panne d’un disque, erreur d’exécution
Caractéristiques : quantifiable statistiquement (ex. : la durée de vie moyenne d’un disque est de X milliers d’heures).
Exemple de parades : sauvegarde, dimensionnement, redondance des équipements… (Source : ANSSII)
- Sécurité
Exemple de risque : blocage d’un service, modification d’informations, vol d’information
Caractéristiques Non quantifiable statistiquement, mais il est possible d’évaluer en amont le niveau du risque et les impacts
Exemple de parades : contrôle d’accès, veille sécurité, correctifs, configuration renforcée, filtrage…* …
Sources : ANSSII
- Evaluation du niveau de sécurité d’un bien
Pour évaluer si un bien est correctement sécurisé, il faut
_________________________________________________________________________________,
L’évaluation de ces critères sur une échelle permet de déterminer si ce bien est correctement sécurisé.
L’expression du besoin attendu peut-être d’origine :
- Interne : ________________________
- ou externe : ___________________________________
Exemple d’audit DICP :
- Niveau de Disponibilité du bien Très fort
- Niveau d’Intégrité du bien Moyen
- Niveau de Confidentialité du bien Très fort
- Niveau de Preuve du bien Faible
- Mécanismes pour atteindre les besoins DICP
Le périmètre de chacune des 2 notions n’est pas toujours facile à délimiter.
- Mécanismes techniques
Un Système d’Information a besoin de mécanismes de sécurité qui ont pour objectif d’assurer de garantir les propriétés DICP sur les biens de ce S.I.
Voici quelques exemples de mécanismes de sécurité participant à cette garantie :
(Sources ANSII)
[pic 1]
- Mécanismes organisationnels
[pic 2]
- Les caractéristiques du risque
- Le risque - Définition
Un risque de sécurité du SI est la probabilité de l’exploitation d’une vulnérabilité par une menace.
...