Scribd
Importer
177 vues24 pages

SIC-C6 PR

Ce document décrit les concepts de gestion des risques informatiques, y compris les définitions de risque, de menace et de vulnérabilité. Il présente également des exemples de risques, des concepts de gestion des risques et les étapes du cycle de vie de la gestion des risques.

Transféré par

Abdelhak Bigboss
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats PDF, TXT ou lisez en ligne sur Scribd
177 vues24 pages

SIC-C6 PR

Ce document décrit les concepts de gestion des risques informatiques, y compris les définitions de risque, de menace et de vulnérabilité. Il présente également des exemples de risques, des concepts de gestion des risques et les étapes du cycle de vie de la gestion des risques.

Transféré par

Abdelhak Bigboss
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats PDF, TXT ou lisez en ligne sur Scribd

Chapitre 2: Suite

Menaces, Vulnérabilités
et analyse de risque
analyse de risque
Définitions Risque
• A un effet sur la mission de l’entreprise, qui
dépends à la fois de la vraisemblance de, la
menace et de son impacte sur ses actifs et ses
ressources.
Risque informatique :
• Le risque informatique peut être désigné́ comme
le risque métier associé à l'utilisation, la
possession, l'exploitation, l'implication,
l'influence et l'adoption de l'informatique dans
une organisation
Exemples des risques :
1. Risque lié à la disponibilité
2. Risque lié à l’intégrité
3. Risque lié à la confidentialité
Concepts de gestion de risque :
La gestion des risques, « dans son plus simple appareil »,
se compose de trois blocs interdépendants.
• Nous distinguons l’organisation cible de l’étude, définie
par :

- Ses Assets (Patrimone) et ses besoins de sécurité́,

- Puis les risques pesant sur ces Assets

- Et enfin les mesures prises ayant pour but de traiter


les risques et donc d’assurer un certain niveau de
sécurité́.
Figure : concept de gestion des risques
Cycle de vie de gestion de risque :

Une telle opération de gestion des risques doit


passer par 3 axes majeurs :

1. Estimation des risques


2. Réduction des risques
3. Evaluation des risques
ANALYSE DU RISQUE
A) Introduction
Définir les besoins c’est :
- Déterminer les actifs à protéger ( quelles sont
leurs valeurs, leurs criticités, et leurs propriétés)
- Déterminer les menaces représentant des risques (
quels sont acteurs-attaqueurs, leurs motivation et
leurs moyens)
- Déterminer les objectifs à atteindre ( quels sont
les propriétés des actifs à protéger)

10
 proposer une solution : Déterminer les contres
mesures à mettre en place

 Evaluer les risques résiduels :


- Déterminer quelles sont les vulnérabilités
toujours présentes
- Déterminer les impactes sur les objectifs initiaux

11
SCHEMA de L’ANALYSE DE RISQUE

12
B) L’Objectif : Permettre à une organisation d’accomplir
sa mission par :

1- Avoir une meilleure protection des systèmes qui


conservent, traitent et transmettent les
informations essentielles pour le bon déroulement
de ces systèmes.

2- Prendre de meilleures décisions basées sur des faits


tangibles et mesurables (investissement en
équipements, personnel et formation)

13
Objectif de la méthodologie d’analyse
de risque NIST (800-30) :

 Décrire une méthodologie permettant de


réaliser une analyse de risques pour des
systèmes tenant en compte de leur cycle de
développement
NIST (800-30) : trois étapes générales
NIST (800-30) : neuf étapes
spécifiques pour l’évaluation du risque
NIST (800-30) : neuf étapes spécifiques
pour l’évaluation du risque
18
19
20
21
22
Source Motivation Actions
Pirate (hacker, cracker)  Callenge  Piratage
 Ego  Ingénierie sociale
 Rébellion
Criminel informatique  Destruction d’info  Ingénierie sociale
 Divulgation d’info  Interception d’info
 Altération d’info  Intrusion de syst
Gain monétaire  Chantage informatiq
 Cambriolage
 Mystification
(spoofing)
Terroriste  Destruction  Bombe / Terrorisme
 Revanche  Guerre de l’info
 Idéologie  Attaque de système
(DDoS)
 Intrusion de syst
Source Motivation Actions

Espionnage industriel  Avantage compétitif  Ingénierie sociale


 Appât du gain  Intrusion de système
 Vol d’information
Employé  Curiosité  Code malveillant
 Malformé  Ego  Cheval de Troie,
Négligeant  Renseignement Bombe logique
 Malveillant  Appât du gain Accès à l’information
 Malhonnête  Revanche privée
 Congédié  Non- intentionnel  Utilisation
et omission d’ordinateur abusive
 Fraude et vol
 Vente d’info
personnel
 Sabotage de système
 Intrusion de système

Vous aimerez peut-être aussi