2.2.
1 La notion de vulnérabilité
La notion de vulnérabilité représente une composante importante dans le domaine de la gestion
des risques. Plusieurs définitions ont été développées et adaptées aux besoins spécifiques du
contexte dans lequel elles sont utilisées. Bien que les définitions de la vulnérabilité soient
multiples et sujettes à débat, nous avons retenu celle du CRP jugé significatif pour nos travaux.
[Link] Les travaux du Centre risque & performance sur la vulnérabilité
Depuis 2008, le CRP, dirigé par Benoît Robert, préconise une approche de gestion des risques
centrée sur les conséquences des risques et la vulnérabilité des organisations face à ces derniers
(Robert, 2008). Contrairement à l’approche classique probabiliste qui donne une place centrale à
la notion d’aléa/menace et sa probabilité d’occurrence, cette approche est intéressante dans la
mesure où elle considère non seulement les aléas (menaces), les vulnérabilités et les conséquences
potentielles pour définir le risque, mais également l’état de l’organisation (Petit & Robert, 2009).
[Link].1 Définitions de la vulnérabilité
- Robert (2008) définit la vulnérabilité comme étant « la susceptibilité d’une organisation à subir
des défaillances dans le temps ».
- Petit (2009) précise dans ses travaux que la vulnérabilité d’une organisation est déterminée en
fonction de son état et de la façon dont un aléa peut agir et engendrer des conséquences (Petit,
2009).
- La définition adaptée par Benon (2017) au besoin des PME en matière des vulnérabilités liées
aux utilisations des TIC est déduite de la définition de Robert (2008). Benon (2017) définit la
vulnérabilité comme étant « La caractérisation dans le temps de la susceptibilité d’une PME à
subir des défaillances par rapport à l’utilisation des TIC et à la cohérence entre les visions
organisationnelles et techniques de ces utilisations » (Benon, 2017). Cette définition met l’accent
sur la cohérence entre les visions technique et stratégique d’une organisation, la notion de
susceptibilité et la notion de temporalité.
Dans l’ensemble, toutes les définitions de la vulnérabilité développées par le CRP ont en commun
la perception de la vulnérabilité comme étant la susceptibilité d’une organisation à être exposée
aux atteintes des aléas ou menaces et à subir les conséquences potentielles. De plus, la
vulnérabilité 8
�d’une organisation dépend de son état de préparation à faire face aux menaces et à minimiser les
conséquences potentielles.
[Link].2 Rapport entre risque, vulnérabilité, menace et impacts
La notion de la vulnérabilité est souvent utilisée dans le même contexte que la notion du risque,
des menaces et des impacts. Pour comprendre le lien entre ces quatre notions, il convient de
commencer par les définir.
- La menace :
La menace telle que définie par la norme ISO 22300 (2012) est « toute cause potentielle
d’incidents (indésirables) susceptible de causer des dommages pour un individu, un système ou
une organisation ». Une menace exploite une vulnérabilité pour déclencher un événement
d’attaque entrainant un risque.
- La vulnérabilité :
La notion de vulnérabilité est considérée comme la composante intrinsèque du risque (Cardona,
2004). La vulnérabilité est aussi connue par la qualité de ce qui est susceptible d’être exposé aux
menaces. Elle dépend notamment de l’état de l’organisation et de la manière dont une menace
pourrait se propager à travers les différents départements et activités de l’organisation pour la
rendre inapte à fonctionner d’une manière acceptable.
- Les impacts :
Les impacts potentiels renvoient à l’ensemble des dommages qui peuvent toucher directement ou
indirectement les missions et les objectifs principaux de l’organisation.
- Le risque :
Dans la norme ISO 27000 (2013), le risque est vu comme « l’effet de l’incertitude sur l’atteinte
des objectifs » (ISO 27000, 2013). Le risque est souvent caractérisé par référence à des
événements et à des conséquences potentielles et est souvent exprimé en fonction de la
menace, la vulnérabilité et l’impact [Risque = fonction (menace, vulnérabilité, impacts)].
__________________________________________________________________________________
MELISA
Méthode d'auto audit développée initialement par la DGA (Direction générale de l'Armement) et la
DCN (Direction des constructions navales) en 1985, puis étendue.
Le risque est mesuré au travers de l'analyse des vulnérabilités grâce à l'étude d'évènements, sortes
de mini-scénarios imagés et détaillés (environ 600 par base de connaissance). La vulnérabilité est
considérée comme la résultante de la gravité des conséquences de l'évènement (impact), le risque
de non détection de l'évènement, sa facilité de réalisation et du "facteur d'exposition structurelle"
(id. la vulnérabilité liée aux sujets). Pour chaque mini-scénario, le choix d'une parade permet
d'évaluer la vulnérabilité résiduelle.
Avantages de la méthode :
- Approche concrète
- Existence de bases de connaissance mises à jour annuellement, spécialisées par type de
système et types de sensibilité (S : sensible, P : vitales, R : réseaux).
[Link]
�__________________________________________________________________________________
Mélisa (Méthode d'évaluation de la vulnérabilité résiduelle des systèmes d'information) a été mise
au point dans le cadre de la Direction générale de l'armement (DGA/DCN) par Albert Harari, puis
acquise par la société CF6. Elle en est aujourd'hui à sa troisième version, appelée Mv3, et fonctionne
sur le même principe que les précédentes. CF6 a développé des bases de connaissances pour la
majorité des systèmes que ses consultants sont susceptibles de rencontrer sur le terrain.
__________________________________________________________________________________
La Méthode d'évaluation de la vulnérabilité résiduelle des systèmes d'information (ou
Mélisa) est une méthode d'analyse de risques mise au point dans le cadre de la Direction
générale de l'Armement française par Albert Harari.
La méthode a été rachetée par la société CF6 qui en a fait la promotion pendant de
nombreuses années, et qui a développé des bases de connaissances1 pour la majorité des
systèmes susceptibles d'être rencontrés par ses consultant. Depuis le rachat de CF6 par
Telindus, Melisa a été abandonnée par ses propriétaires bien qu'elle fût largement utilisée en
France2.
[Link]
%C3%A9rabilit%C3%A9_r%C3%A9siduelle_des_syst%C3%A8mes_d%27information
__________________________________________________________________________________
Melisa (Méthode d'évaluation de la vulnérabilité résiduelle des systèmes d'information) fut
inventée par Albert Harari au sein de la Direction Générale de l'Armement (DGA/DCN) en
France. Elle a été rachetée par la société CF6 qui en a fait la promotion pendant de
nombreuses années. Depuis le rachat de CF6 par Telindus, Melisa a été abandonnée par ses
propriétaires bien qu'elle fut largement utilisée en France.
Melisa est une méthode assez lourde basée sur un thésaurus de questions. Elle a vocation à
être utilisée par de grandes entreprises.
En raison de son abandon, cette méthode ne sera pas traitée ici.
[Link]
�__________________________________________________________________________________
[Link]
d_information.php
[Link]
[Link]
Les systèmes d’information modernes sont exposés à des menaces contre lesquelles ils
doivent impérativement être protégés. Pour ce faire, les méthodes d’analyses de risques
permettent dans un premier temps de révéler les vulnérabilités de ces systèmes. Après quoi, il
existe un certain nombre de solutions techniques qui permettent de mettre en œuvre des
parades efficaces.
Le domaine de la cybersécurité est actuellement en pleine expansion, d’une part parce que
les technologies évoluent et que les parades doivent s’adapter, et d’autre part parce que les
attaquants développent sans cesse des nouvelles techniques pour essayer de contourner ces
parades.
