Typologie des risques

La typologie des risques et leurs impacts

Notions théoriques

Vulnérabilité, menace, risque

Commençons par quelques définitions de base.

1. Vulnérabilité : C'est une faiblesse dans un système qui pourrait être exploitée pour provoquer des dommages.

   Imaginez une fenêtre ouverte dans votre maison, c'est une vulnérabilité car un voleur pourrait l'utiliser pour entrer.

2. Menace : C'est ce qui pourrait exploiter une vulnérabilité.

   Dans notre exemple, le voleur serait la menace.

3. Risque : C'est la combinaison de la vulnérabilité et de la menace.

   Le risque serait donc la probabilité que le voleur entre par la fenêtre ouverte et vole quelque chose.

La méthode EBIOS

La méthode EBIOS (créée par l'ANSSI) est une méthode d'évaluation des risques qui permet :

• d'identifier les risques
• et de classer les risques

en fonction

• de leur gravité
• et de leur probabilité.

info

• EBIOS = Expression des Besoins et Identification des Objectifs de Sécurité
• ANSSI = Agence Nationale de la Sécurité des Systèmes d'Information

Les 5 phases la méthode EBIOS

1. Étude du contexte :

   Cette phase consiste à comprendre l'environnement de l'organisation, y compris ses objectifs, ses actifs d'information et les menaces potentielles.

2. Expression des besoins de sécurité :

   Cette phase consiste à identifier les exigences de sécurité de l'organisation.

3. Identification des risques :

   Cette phase consiste à identifier les risques potentiels pour l'organisation.

4. Analyse des risques :

   Cette phase consiste à évaluer les risques identifiés en termes de leur probabilité et de leur impact.

5. Traitement des risques :

   Cette phase consiste à élaborer des stratégies pour gérer les risques identifiés.

Le graphique de l'évaluation des risques

Parmi ses nombreux outils, l'ANSSI dispose d'un graphique de l'évaluation des risques qui permet de visualiser :

• la probabilité d'un risque (vraisemblance) sur l'axe des abscisses
• et l'impact qu'il aurait s'il se produisait (gravité) sur l'axe des ordonnées.

//TODO insérer copie écran p23

//TODO ajouter définitions de vraisemblance et de gravité

Les catégories d'impacts définies dans la méthode EBIOS

Les différentes catégories d'impacts :

• impact sur l'information,
• impact sur le service,
• impact sur l'actif
• et impact transverse.

Exemples pratiques

Vos photos de famille

Vous avez un ordinateur personnel sur lequel vous stockez des photos de famille.

• La vulnérabilité pourrait être que votre ordinateur n'est pas protégé par un mot de passe.
• La menace serait un pirate informatique qui pourrait accéder à votre ordinateur.
• Le risque serait donc que le pirate informatique vole vos photos.
• L'impact, si cela se produit, pourrait être la perte de confidentialité.

  Si le pirate accède à des photos personnelles sensibles, il peut divulguer ces informations sensibles à des personnes non autorisées

Votre application Web

//TODO un exemple avec code PHP sans requête préparée

Avec la méthode EBIOS :

• vous évaluerez la vraisemblance et la gravité de ce risque,
• puis vous déterminerez l'impact (Est-il acceptable ?)
• et enfin vous déterminerez comment gérer ce risque.

Test de mémorisation/compréhension

Qu'est-ce qu'une vulnérabilité en cybersécurité ?

Une mesure de la gravité potentielle d'une attaque.

Une faiblesse dans un système qui pourrait être exploitée pour causer des dommages.

Un acte potentiel qui pourrait exploiter une vulnérabilité pour causer des dommages.

La combinaison de la probabilité qu'une menace se réalise et de l'impact qu'elle aurait si elle se réalisait.

Qu'est-ce qu'une menace en cybersécurité ?

Une mesure de la gravité potentielle d'une attaque.

Une faiblesse dans un système qui pourrait être exploitée pour causer des dommages.

Un acte potentiel qui pourrait exploiter une vulnérabilité pour causer des dommages.

La combinaison de la probabilité qu'une menace se réalise et de l'impact qu'elle aurait si elle se réalisait.

Qu'est-ce qu'un risque en cybersécurité ?

Une mesure de la gravité potentielle d'une attaque.

Une faiblesse dans un système qui pourrait être exploitée pour causer des dommages.

Un acte potentiel qui pourrait exploiter une vulnérabilité pour causer des dommages.

La combinaison de la probabilité qu'une menace se réalise et de l'impact qu'elle aurait si elle se réalisait.

Qu'est-ce que le graphique d'évaluation des risques ?

Un outil pour visualiser la probabilité et la gravité d'un risque.

Un outil pour visualiser la progression d'une attaque.

Un outil pour visualiser le nombre de vulnérabilités dans un système.

Un outil pour visualiser le nombre de menaces potentielles.

Qu'est-ce qu'un impact sur la confidentialité ?

Les données sont modifiées de manière non autorisée

Les services ou les données ne sont pas accessibles lorsque nécessaire

Les informations sensibles sont divulguées à des personnes non autorisées

L'incapacité à nier un acte ou une transaction

Qu'est-ce qu'un impact sur l'intégrité ?

Les services ou les données ne sont pas accessibles lorsque nécessaire

Les informations sensibles sont divulguées à des personnes non autorisées

L'incapacité à nier un acte ou une transaction

Les données sont modifiées de manière non autorisée

Qu'est-ce qu'une preuve en cybersécurité ?

Une trace ou un enregistrement qui atteste d'une action ou d'un événement.

Une technique pour protéger un système contre les virus et les logiciels malveillants.

Une technique pour vérifier l'identité d'un utilisateur, d'un ordinateur ou d'un système.

Une technique pour rendre un message ou des données illisibles pour toute personne qui n'a pas la clé de déchiffrement.

Synthèse à retenir

Termes	Définition à rédiger avec le plus de détails possibles
Vulnérabilité
Menace
Risque
Méthode EBIOS
Typologie des risques informatiques
Graphique d'évaluation des risques
Catégories d'impacts définies dans la méthode EBIOS

synthese_a_retenir.pdf

Une solution

Vous devez être connecté pour voir le contenu.

Email : Mot de passe :

---