Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

AGENCE NATIONALE DES INFRASTRUCTURES NUMERIQUE ET DES FREQUENCES SUPPORT D’ANAL

AGENCE NATIONALE DES INFRASTRUCTURES NUMERIQUE ET DES FREQUENCES SUPPORT D’ANALYSE DES RISQUES INFORMATIONNELS DIRECTION DE L’INGENIERIE ET DES APPLICATIONS VERSION 1.0 Février 2014 Auteur : Ph. G. NDENDE Page 1 SUPPORT D’ANALYSE DES RISQUES INFORMATIONNELS SUR LE RESEAU DE L’ADMINISTRATION GABONAISE – RAG AGENCE NATIONALE DES INFRASTRUCTURES NUMERIQUE ET DES FREQUENCES SUPPORT D’ANALYSE DES RISQUES INFORMATIONNELS DIRECTION DE L’INGENIERIE ET DES APPLICATIONS VERSION 1.0 Février 2014 Auteur : Ph. G. NDENDE Page 2 SOMMAIRE Préambule 1. PERCEPTION ET CONCEPTS DE GESTION DES RISQUES INFORMATIONNELS 2. EVALUATION ET HIERARCHISATION DES RISQUES INFORMATIONNELS 3. METHODOLOGIE D’EVALUATION DES MENACES ET DES RISQUES 4. ELEMENTS A RISQUE DU RAG AGENCE NATIONALE DES INFRASTRUCTURES NUMERIQUE ET DES FREQUENCES SUPPORT D’ANALYSE DES RISQUES INFORMATIONNELS DIRECTION DE L’INGENIERIE ET DES APPLICATIONS VERSION 1.0 Février 2014 Auteur : Ph. G. NDENDE Page 3 Préambule : Dans une organisation, telle que l’ANINF, outre définir et mettre en œuvre des politiques de sécurité ; il est nécessaire d’une part, de maîtriser les risques technologiques et plus particulièrement les risques informationnels. D’autre part, il est impératif de contribuer à améliorer la performance des processus métier. Pour ce faire, il convient d’aborder la sécurité du patrimoine informationnel de l’ANINF (Infrastructures de communication, systèmes d’information, …) à l’aide d’approches basées sur les risques informationnels. Ceci, avec pour objectif de réduire les pertes et les indisponibilités liées aux faiblesses de sécurité de ce patrimoine. Ainsi, entre autres la nécessité d’une analyse desdits risques s’impose de fait. Ceci pour : • Identifier les risques et les menaces : une nécessité avant d’envisager toutes contre-mesures. Toutes les menaces possibles sur le patrimoine informationnel est à prendre en compte. • Classer les risques informationnels. • Chiffrer les risques informationnels : réitérer le calcul des risques après l’installation des contre-mesures. • Concevoir des parades (contre-mesures). AGENCE NATIONALE DES INFRASTRUCTURES NUMERIQUE ET DES FREQUENCES SUPPORT D’ANALYSE DES RISQUES INFORMATIONNELS DIRECTION DE L’INGENIERIE ET DES APPLICATIONS VERSION 1.0 Février 2014 Auteur : Ph. G. NDENDE Page 4 1. PERCEPTION ET CONCEPTS DE GESTION DES RISQUES INFORMATIONNELS : 1.1. La perception : Il y’a une différence entre la réalité vraie et la réalité telle que nous individus nous la percevons. En général, il existe deux (2) approches dans la gestion des risques : • Approche scientifique, basée sur : o Principes scientifiques o Analyse o Données probantes o Données historiques (Registre d’incidents et/ou d’intervention, Journaux système (Fichiers LOG), …) • Approche non scientifique, basée sur : o Expérience o Intuition AGENCE NATIONALE DES INFRASTRUCTURES NUMERIQUE ET DES FREQUENCES SUPPORT D’ANALYSE DES RISQUES INFORMATIONNELS DIRECTION DE L’INGENIERIE ET DES APPLICATIONS VERSION 1.0 Février 2014 Auteur : Ph. G. NDENDE Page 5 MENACE SOURCES SCIENTIFIQUES SOURCES NON SCIENTIFIQUES Panne d’électricité Fournisseur d’énergie électrique (SEEG,…) et les prestataires de service électrique Mémoire des participants Vol Registre des incidents Système comptable et financier Gestionnaire de stock Rencontres Mythes et légendes Rupture de l’accès à Internet Fournisseurs d’accès (Orange, ACE, Gabon Télécom,…) Mémoire des participants Du point de vue culturel, nos perceptions qui proviennent de notre expérience varient en fonction de notre appartenance à différents groupes sociaux. Ainsi, le risque : • Dépend de celui qui le perçoit. Une perception qui varie selon les groupes et les individus. • Est un construit social : on s’entend sur ce qui est acceptable ou non. • Est construit, tant par les experts que par les non-spécialistes : tout le monde contribue. AGENCE NATIONALE DES INFRASTRUCTURES NUMERIQUE ET DES FREQUENCES SUPPORT D’ANALYSE DES RISQUES INFORMATIONNELS DIRECTION DE L’INGENIERIE ET DES APPLICATIONS VERSION 1.0 Février 2014 Auteur : Ph. G. NDENDE Page 6 1.2. Les concepts de gestion des risques informationnels : La gestion des risques se compose de trois (3) blocs interdépendants : a. L’organisation cible de l’étude définie par ses « assets » et ses besoins en sécurité. Notez que les « assets » sont définis comme étant l’ensemble des biens, actifs, ressources ayant de la valeur pour l’organisation et nécessaires à son bon fonctionnement. b. Les risques pesant sur ces « assets ». c. Les mesures prises ayant pour but de traiter les risques et par conséquent d’assurer un certain niveau de sécurité. La gestion des risques entoure trois (3) procédés : - La reconnaissance des menaces, - Leur ordonnancement, - La mobilisation des ressources. AGENCE NATIONALE DES INFRASTRUCTURES NUMERIQUE ET DES FREQUENCES SUPPORT D’ANALYSE DES RISQUES INFORMATIONNELS DIRECTION DE L’INGENIERIE ET DES APPLICATIONS VERSION 1.0 Février 2014 Auteur : Ph. G. NDENDE Page 7 Le risque et la prise de risque font partie intégrante de la vie de l’organisation et de son développement. La sécurité étant définie comme l’absence de risques inacceptables et a pour but de protéger le patrimoine informationnel. Cela suppose de : - Définir le cadre de gestion des risques informationnels. Celui-ci est composé de : o Une description d’activités organisationnelles spécifiques, o Des définitions des processus de gestion du risque et de leur place dans l’organisation, o Les processus de gestion du risque et leur ordonnancement. AGENCE NATIONALE DES INFRASTRUCTURES NUMERIQUE ET DES FREQUENCES SUPPORT D’ANALYSE DES RISQUES INFORMATIONNELS DIRECTION DE L’INGENIERIE ET DES APPLICATIONS VERSION 1.0 Février 2014 Auteur : Ph. G. NDENDE Page 8 - Définir la criticité du risque. - Connaître l’existence ou non (réelle ou pas) du risque. - Préparer les métriques. - Identifier les biens du patrimoine informationnel. En général, le risque se définit comme suit : - C’est l’effet de l’incertitude sur les objectifs (Norme ISO 31000). - C’est la combinaison de la probabilité d’un événement et de ses conséquences : combinaison d’une menace et des pertes qu’elle peut engendrer. AGENCE NATIONALE DES INFRASTRUCTURES NUMERIQUE ET DES FREQUENCES SUPPORT D’ANALYSE DES RISQUES INFORMATIONNELS DIRECTION DE L’INGENIERIE ET DES APPLICATIONS VERSION 1.0 Février 2014 Auteur : Ph. G. NDENDE Page 9 Le risque informationnel est lié au patrimoine informationnel concourant à la gestion efficiente et au bon fonctionnement des infrastructures de communication et des systèmes d’information de l’organisation. Pour qu’un risque existe, il faut la combinaison des éléments suivants : a. Eléments à risque (« assets ») : font partie du patrimoine informationnel et représente n’importe quoi qui a de la valeur pour nous, en fonction d’un concept de nature économique qui est l’utilité attendue. Ainsi, on s’intéresse à la valeur des « assets » en fonction de l’utilité que cet élément a pour l’organisation. Pour chacun d’eux, on voit s’il y’a la possibilité qu’il y’ait un « aléa ». b. Aléas ou menaces : C’est un événement ou une séquence d’événement (Panne d’électricité) susceptible de réduire l’utilité attendue d’un élément à risque. On pourrait l’appeler : Impact (financier ou une perte de réputation de l’organisation) ou dommage (technologique). Ainsi, le dommage est un événement susceptible de réduire l’utilité attendue qui est un concept facile à gérer. Pour que l’ « aléa » puisse causer un dommage, un troisième élément doit entrer en jeu. c. Vulnérabilités ou failles de sécurité : C’est quelque chose qui peut être exploitée. C’est une faiblesse ou une faille dans un système informatique (composant matériel et logiciel). Par exemple, les plus connues sont : le dépassement de tampon, l’injection SQL, le cross site scripting, … AGENCE NATIONALE DES INFRASTRUCTURES NUMERIQUE ET DES FREQUENCES SUPPORT D’ANALYSE DES RISQUES INFORMATIONNELS DIRECTION DE L’INGENIERIE ET DES APPLICATIONS VERSION 1.0 Février 2014 Auteur : Ph. G. NDENDE Page 10 2. EVALUATION ET HIERARCHISATION DES RISQUES INFORMATIONNELS : L’évaluation des risques est le processus qui consiste à : - Identifier les dangers, en établissant un inventaire le plus exhaustif et structuré possible des risques informationnels - Analyser les risques associés à un danger, en évaluant pour chacun d’eux son niveau de criticité, c’est-à- dire d’une part la probabilité qu’il survienne, et d’autre part sa gravité, c’est-à-dire l’importance de l’impact qu’il aura ou les dommages qu’il occasionnera s’il survient. C'est une notation subjective, qu'il est plus sûr de réaliser à plusieurs, afin d'obtenir une évaluation la plus réaliste possible. - Déterminer les moyens appropriés pour éliminer ou maîtriser ces risques. Ceci en hiérarchisant les risques identifiés selon leur niveau de criticité, qui déterminera l’urgence des réponses à apporter. Sur le plan pratique, une évaluation des risques consiste en une inspection approfondie des environnements de travail, en vue d'identifier entre autres les éléments, les situations et les procédés qui peuvent causer un préjudice. Puis, il faut ensuite évaluer la probabilité et la gravité du risque et enfin, déterminer quelles mesures adopter afin d'empêcher le préjudice de se concrétiser. AGENCE NATIONALE DES INFRASTRUCTURES NUMERIQUE ET DES FREQUENCES SUPPORT D’ANALYSE DES RISQUES INFORMATIONNELS DIRECTION DE L’INGENIERIE ET DES APPLICATIONS VERSION 1.0 Février 2014 Auteur : Ph. G. NDENDE Page 11 2.1. La grille de criticité : Pour déterminer la hiérarchie des réponses à apporter, il est utile de se servir d'une grille d'analyse. • Grille de gravité : GRAVITE LIBELLE ET CONSEQUENCE G1 Défaillance mineure Sans effet G2 Défaillance moyenne Dégradation du fonctionnement G3 Défaillance importante Perte du fonctionnement G4 Problème de sécurité des personnes ou dommage matériel important S Perte de vie humaine AGENCE NATIONALE DES INFRASTRUCTURES uploads/Management/ analyse-et-gestion-des-risques-informationnels-pdf.pdf