See discussions, stats, and author profiles for this publication at: [Link]

net/publication/292156518

Conception d'une Plateforme de gestion des risques basée sur les systèmes
multi-agents et ISO 27005

Conference Paper · December 2013

CITATIONS READS

5 4,737

3 authors:

Sophia Faris Hicham Medromi

Ecole Nationale Supérieure d'Electricité et de Mécanique de Casablanca Université Hassan II de Casablanca
14 PUBLICATIONS 75 CITATIONS 310 PUBLICATIONS 1,577 CITATIONS

SEE PROFILE SEE PROFILE

Adil Sayouti

91 PUBLICATIONS 425 CITATIONS

SEE PROFILE

All content following this page was uploaded by Sophia Faris on 29 January 2016.

The user has requested enhancement of the downloaded file.

Conception d’une Plateforme de gestion des risques
basée sur les systèmes multi-agents et ISO 27005
Sophia FARIS#1, Hajar IGUER#1, Hicham MEDROMI*2, Adil SAYOUTI#3

Equipe Architecture des Systèmes, Laboratoire d’Informatique, Système & Energie Renouvelable(LISER)
#
1Université Hassan II-Université Internationale de Casablanca ENSEM Casablanca, Maroc
1
sophiafaris1989@[Link], [Link]@[Link]
2
hmedromi@[Link]
3
sayouti@[Link]

Abstract— Il est actuellement un fait bien connu que la sécurité De ce fait, la SSI est bien distincte voire assujettie aux autres
des systèmes d’information est essentielle pour les organisations, risques relatifs aux SI, que l’on pourrait qualifier de
et qu’un impact majeur peut mener à la fin de leurs activités. stratégiques, tels que la politique de maintenance,
Les systèmes d’information jouent un rôle important dans la l’installation d’un nouveau logiciel, l’organisation du
société d’aujourd’hui.
workflow [3].
Ils représentent le cœur de l’organisation, c’est pour cela qu’il
faut les sécuriser au maximum. Elle est un outil indispensable qui permet de rationaliser la
Le défi actuel consiste à ce que la sécurité soit adaptée à chaque prise de décisions.
organisation. Ces éléments essentiels reposent sur des systèmes
En effet, chaque organisation doit sélectionner les mesures de d'information (SI), organisés pour accomplir des fonctions de
sécurité qui sont adaptées à ses besoins de sécurité, au lieu traitement d'information (processus métiers), et composés
d’essayer de cibler un niveau inaccessible de sécurité. d'entités techniques (logiciels, matériels, supports, réseaux,
Le but de ce papier est de mettre l’accent sur la suite de normes téléphonie…) et d'entités non techniques (organisations, lieux,
ISO2700x, en se concentrant essentiellement sur la norme personnes…).
ISO27005 qui est la norme qui gère les risques des systèmes
Ce papier est présenté comme suit : dans la section 2, nous
d’information.
Dans ce contexte, nous présentons une amélioration du processus présentons un état de l’art de la gestion des risques, ensuite
de gestion des risques de la sécurité de l’information (GRS) en dans la section 3, nous décrivons le processus de gestion de
utilisant l’approche multi-agents. risques, puis dans la section 4, nous proposons une
Cette mutualisation permettra à l’organisation d’améliorer amélioration basée sur l’approche multi-agents du processus
l’efficacité et l’efficience de son système d’information, et de de gestion de risques, enfin la section 5 conclut ce papier et
réduire les niveaux de risque global. dresse quelques perspectives.

Keywords— Sécurité de l’information, gestion des risques,

approche multi-agents, ISO27005, II. ETAT DE L’ART
L'adoption croissante des technologies de l’information et
I. INTRODUCTION
de la communication (TIC) améliore la productivité des
L’utilisation des technologies de l’information entraîne des organisations et leur permet d’offrir de meilleurs services,
risques importants aux systèmes d’information et en d’améliorer leur efficacité et leur agilité.
particulier aux ressources critiques, en raison de leur nature Toutefois, l’évolution rapide de ces technologies a pour
propre (Pereira & Santos, 2010). contrepartie l’augmentation des risques liés aux systèmes
Les systèmes d’information sont également confrontés à une d’information (risques liés à la manipulation, au stockage et à
complexité croissante en raison de leur interopérabilité avec la transmission des données, etc.)
d'autres systèmes et de leur fonctionnement dans des Il est important de noter que la gestion des risques de sécurité
environnements ouverts, distribués et mobiles. est une spécification de la gestion des risques en général.
Dans de tels contextes, les problématiques de sécurité sont La gestion des risques a pour but d’assurer la sécurité des
essentielles et sont encore renforcées dans de nombreux assets, qui sont définis comme étant l’ensemble des biens,
secteurs, avec l'introduction de nouvelles réglementations, actifs, ressources ayant de la valeur pour l’organisme et
telles que Bâle II [1] ou SOX [2]. nécessaires à son bon fonctionnement
La sécurité des systèmes d'information (SSI) vise à protéger Ces assets à protéger sont soumis à des risques de sécurité. Le
les éléments essentiels (biens du patrimoine informationnel : guide 73 de l’ISO [5] définit un risque par la combinaison de
les informations et les processus les utilisant) contre toute la probabilité d’un événement et de ses conséquences. Cette
atteinte de leurs besoins de sécurité (disponibilité, intégrité, définition est généralement étendue et on définit un risque à
confidentialité…), qu'elle soit accidentelle ou délibérée. l’aide de ce que l’on nomme « l’équation du risque » :
 Il faut également rappeler que ces exigences de mitigation des
RISQUE = MENACE * VULNÉRABILITÉ * IMPACT risques porteront à la fois sur le système informatique (comme
le besoin d’encryption des mots de passe), mais aussi sur son
La sécurité de l’information représente un défi majeur pour les environnement (par exemple, « l’utilisateur du système ne doit
organisations qui se trouvent dans l’obligation de résoudre pas dévoiler son mot de passe à un tiers ») [6].
dans les plus brefs délais la sécurité de leur système Le dernier niveau de raffinement est constitué par (e) la
d’information. sélection des contrôles qui sont l’instanciation des exigences
L’information peut se présenter sous différentes formes, son de bas niveau pour le système.
échange doit être protégé d’un très grand nombre de menaces Une fois les contrôles sélectionnés, il reste à les (f)
implémenter au niveau du SI et à les tester et évaluer.
qui peuvent nuire à sa qualité.
Quatre critères (DICP) [4] doivent être pris en compte afin de Le processus de gestion des risques de sécurité (GRS) est
préserver la qualité de l’information que l’on peut définir communément admis par les différentes méthodes de gestion
comme suit : des risques. Par contre, la terminologie est souvent très
 la disponibilité (D) : L’information doit être différente, d’une méthode ou norme à une autre.
disponible quand on en a besoin. C’est un processus itératif qui nécessite que plusieurs
itérations doivent être effectuées, jusqu'à atteindre un niveau
 l’intégrité (I) : L’information doit être exacte et acceptable pour tous les risques.
exhaustive, non modifiée par des tiers. Même après avoir atteint un niveau acceptable pour tous les
 la confidentialité (C) : L’information doit être risques, le processus GRS doit être surveillé et régulièrement
accessible uniquement aux tiers autorisés. révisé.
 la preuve/contrôle (P) : c’est-à-dire à la fois la non- Les risques ne sont évidemment pas statiques et doivent être
surveillés au sein de l’organisation automatiquement ou
répudiation (impossibilité pour un acteur de nier
manuellement par le responsable des risques.
avoir reçu ou émis l’information) et l’ "auditabilité" Chaque modification de l'activité de l'organisation, dans son
de l’information (possibilité de contrôler le bon contexte et / ou dans son SI peut produire des modifications
déroulement du processus ayant permis d’obtenir sur les risques et ses différents niveaux. De façon idéale, le
l’information). processus GRS devrait en fait être réalisé en continu, afin de
maintenir l'activité de l’organisation et de ses besoins en
matière de sécurité alignés sur les mesures prises et le niveau
A. Processus de gestion des risques de sécurité (GRS) de sécurité qui s’en est suit.
Le processus de gestion des risques de sécurité consiste en
B. La famille ISO2700X
six étapes [Mayer et al., 2007], [Matulevicius et al., 2008a],
[Matulevicius et al., 2008b]. La famille ISO / IEC 2700x est une famille de normes
Le processus commence par (a) une étude du contexte de internationales du système de gestion (management) de la
l'organisation et l'identification de ses actifs. Dans cette étape, sécurité de l'information (SMSI). Elle couvre tous les types
l'organisation et son environnement sont décrits, et un aperçu d'organisations et spécifie les exigences et les lignes
du système d'information est mis en place. Ensuite, en directrices nécessaires pour développer, mettre en œuvre,
fonction du niveau de protection requis pour les actifs, on a surveiller, évaluer et améliorer un SMSI. La famille ISO
besoin de déterminer les (b) des objectifs de sécurité. 2700x vient en 13 volumes [7], comme indiqué dans le
La principale étape du processus est (c) l'analyse des risques, tableau suivant:
elle a pour finalité l’identification et l’estimation de chaque TABLEAU I
composante du risque (menace/vulnérabilité/impact), afin LA FAMILLE ISO2700X
d’évaluer le risque et d’apprécier son niveau, dans le but de
Titre Date
prendre des mesures adéquates (parfois, cette étape est de
également appelée « appréciation du risque » [5]). publication
Une fois l’analyse des risques effectuée, (d) la définition des ISO 27000 SMSI - Vue d'ensemble et 2009
exigences de sécurité permettra de réduire les risques vocabulaire
identifiés. ISO 27001 SMSI - Exigences 2005
La définition des exigences de sécurité, de par son importance Code de pratique pour la gestion 2005
et sa complexité, est souvent effectuée de manière ISO 27002 de la sécurité de l'information
incrémentale et par raffinement successif. En effet, on
ISO 27003 Conseils de mise en œuvre du 2010
conseille bien souvent de débuter par des exigences générales,
système de gestion de la sécurité de
qui définiront l’intention de contrer les risques identifiés (de l'information
niveau stratégique), pour les raffiner ensuite en des exigences ISO 27004 SMSI - Mesure 2009
plus précises (vers le niveau opérationnel). Toutefois les ISO 27005 Gestion des risques de sécurité de 2008
exigences sont censées être génériques et applicables à tout SI. l'information
ISO 27006 Exigences pour les organismes 2007
procédant à l'audit et à la certification La gestion des risques est une étape clé dans la procédure à
de SMSI suivre pour sécuriser les systèmes d'information.
ISO 27007 Lignes directrices pour l'audit du 2011 Tandis que la norme ISO27001 définit l'ensemble des
SMSI contrôles à effectuer pour s'assurer de la pertinence du SMSI,
ISO 27008 Lignes directrices pour les auditeurs 2011 à l'exploiter et à le faire évoluer, la norme ISO27005 prend le
sur les contrôles de sécurité de
relais et propose un processus d'évaluation, d'analyse et de
l'information
traitement des risques, conformément au processus
ISO 27010 Gestion de la sécurité de l'information 2012
pour les communications inter- d'amélioration continue de la sécurité de l'information
secteurs et inter-organisationnelle proposée par la norme ISO 27001.
ISO 27011 Directives de gestion de sécurité de 2008
l'information pour les organismes de ISO 27005 est utilisable dans des contextes et des métiers
télécommunications basés sur la variés et permet une gestion des risques simple, pragmatique,
norme ISO 27002 adaptée aux réalités des affaires cela qui la rend utilisable dans
ISO 27013 Indications sur la mise en œuvre 2012 plusieurs pays à l’international.
intégrée de la norme ISO 27001 et
ISO 20000-1 La norme ISO 27005 qui stipule comment un manager peut
ISO 27015 Directives de gestion de la sécurité de 2012 gérer la sécurité de son système d’information reste
l'information pour les services
insuffisante quant à la mise en œuvre de ses directives. Afin
financiers
de combler ces faiblesses, ISO 27005 se doit d’être muni
d’une méthode de gestion des risques informatiques. Notre
travail a voulu l’utilisation des méthodes françaises dont
C. La norme ISO27005 MEHARI et EBIOS. En effet, cette norme internationale ne
peut appliquer ses directives qu’à travers une méthodologie de
Destinée à être utilisé de manière autonome ou en tant que
gestion des risques tels que MEHARI ou EBIOS.
support pour la norme ISO 27001, la norme établit une
méthodologie, qui définit les techniques à mettre en œuvre
Ces méthodes sont pratiquement similaires quant à leurs
dans l'approche de gestion des risques qui pourraient
structures dont on distingue principalement :
compromettre la sécurité de l'information de l'organisation.
Les forces et les faiblesses de la norme ISO 27005 sont  Identification des risques (Etude du contexte, ….)
regroupées dans la matrice SWOT (Strengths, Weaknesses,  Estimation des risques ou l’étude des risques
Opportunities, Threats) suivante:  La gestion des risques ou l’étude des mesures de
sécurité
TABLEAU III
MATRICE SWOT POUR LA NORME ISO27005

 Flexible et  Aucune
Forces (Strengths)

réutilisable méthodologie
 Gestion continue des spécifique
(Weaknesses)

risques pour la
Faiblesses

 Soulignant le gestion des

facteur humain : le risques
concept de
responsabilité

 Manque
Menaces (Threats)

 d'expérience
(Opportunities)

Appartenant à la
Opportunités

famille des normes et de pratique

ISO (par rapport à
MEHARI et
EBIOS) Fig. 1 Processus de gestion des risques

Afin de décrire le processus de gestion de risque, nous avons

Les normes de la famille ISO 2700x sont complémentaires dressé un organigramme logique qui décrit en détails toutes
plutôt que concurrentes. les étapes nécessaires dans la gestion des risques vu par ISO
En outre, les faiblesses de chaque norme convergent presque 27005.
au même point: comment associer les lignes directrices des
normes pour le cadre de l'organisation.
 Le processus de gestion des risques liés à la sécurité des
Définition du contexte systèmes d'information, présentée dans la norme ISO 27005,
elle-même se compose de plusieurs sous activités de processus.
Risk Assessment Chacun de ces processus peut être considéré individuellement,
bien que sa production constitue une entrée pour le processus

Supervision du risque & Revue

Risk Analysis
suivant.
Communication du risque

Identification du risque Dans la suite de ce travail, les processus partiels ainsi que le
processus global seront modélisés sous la forme de
diagrammes d'activités UML.
Estimation du risque
En effet, les diagrammes d’activité UML permettent de
représenter graphiquement le comportement d’une méthode
Evaluation du risque ou le déroulement d’un cas d’utilisation [11].
Comme le montre la figure. 3, le point de départ du processus
1 er point de décision de risque Non de gestion des risques de sécurité de l'information est la
Satisfaction de l’assessment Oui définition du contexte relatif à l'organisation et qui exprime
Traitement du risque
ses objectifs et sa stratégie. Ensuite, une évaluation des
Non
risques est faite pour classer les risques selon un ordre de
2 ème point de décision de risque
Satisfaction du traitement
priorité.
Oui
Acceptation du risque

Fig. 2 Processus de gestion des risques selon ISO 27005

Notre plateforme de gestion des risques de sécurité se doit

d’être une plateforme intelligente, adaptative, modulaire,
autonome et implémentant une architecture distribuée.
Afin de répondre à ces exigences, nous avons opté pour
l’approche multi-agents.

Pour rappel, nous pouvons définir un système multi-agents

comme un ensemble d’agents intelligents et efficaces
coopérant entre eux afin de résoudre les problèmes les plus
complexes et d’atteindre leurs objectifs.
Un agent peut être représenté comme de simples variables et
des structures de données. L’agent peut être défini comme une Fig. 3 Diagramme d'activités du processus de la gestion des risques de
entité physique ou abstraite caractérisée par sa capacité à sécurité de l’information
prendre indépendamment des décisions, sa connaissance de
l’environnement qui l’entoure ainsi que sa capacité d’agir en Le processus de gestion des risques de sécurité de
conséquence. Les caractéristiques d’un modèle d’agent est la l'information a la particularité d'être itératif.
coopération, la coordination et la communication [10]. Deux points de décision favorisent cette itération.
D’où nous pouvons décliner plusieurs types d’agents : Le premier point de décision vise à la suite de l'appréciation
• Agent communicationnel : du risque. Si elle n'est pas satisfaisante, c'est que l'appréciation
• Agent réactif ne fournit pas suffisamment d'informations pour déterminer
• Agent cognitif correctement les mesures nécessaires pour retourner les
• Agent intentionnel risques à un niveau acceptable, alors l’itération vers l'étude du
contexte. Dans le cas contraire, le processus de gestion des
Revenons à la figure 2, la coopération et la communication est risques se poursuit vers le stade du traitement des risques.
requise entre les différents processus de gestion des risques. Quant au deuxième point de décision qui vient par conséquent,
Chaque étape nécessite la validation et l’approbation de si les résultats du traitement des risques ne sont pas
l’étape précédente et, dans le cas où une étape n’est pas satisfaisants, le processus de gestion des risques sera repris
validée, l’intelligence artificielle d’un agent est nécessaire afin soit depuis le stade de l’étude du contexte ou depuis l'étape du
de prendre les bonnes décisions. traitement des risques.
L’agent grâce à son intelligence intervient afin de prendre les
bonnes décisions au bon moment.

III. MODELISATION DE LA SOLUTION

 mineur, ainsi ils pourront soit itérer le processus de gestion
des risques de sécurité soit passer à l’étape suivante.
Le degré de gravité d’un risque va être calculé par l’agent en
se basant sur sa base de connaissance qui contient les
scénarios de risque définis par la méthodologie de gestion des
Identification

risques MEHARI.
du risque

Basé sur le fait que le risque est le potentiel d'une menace

donnée exploitant une vulnérabilité d'un actif et donc causant
des dommages à l’organisation, un risque majeur survient
lorsque la vulnérabilité et la menace sont accrues, et
paradoxalement un risque est moyen lorsque la vulnérabilité et
la menace sont moins importantes et n’affectent pas les
processus métiers de l’organisation.
Ainsi nous pouvons établir des critères de distinction entre les
différents types de risques.
Estimation
du risque

IV. CONCLUSIONS
Ce papier illustre les différentes facettes de la norme ISO
27005, ses avantages et ses faiblesses.
ISO 27005 est considéré comme l’un des piliers de la
Evaluation

risque

gestion des risques dans le domaine de la sécurité des

du

systèmes d’information. En effet, les deux méthodes

françaises MEHARI et EBIOS ont estimé l’importance de
suivre les processus de la norme dans leurs versions de 2010.
Cette modélisation nous a permis un éclaircissement par
rapport au fonctionnent effectif de la norme ainsi dans un
Acceptation
du risque

prochain travail, nous procéderons à la réalisation de cette

plateforme.

ACKNOWLEDGMENT
Ce travail de recherche n’aurait pu être mené à bien sans
l’assistance conjointe de l’ensemble des auteurs de ce papier.
On tient à remercier notre mentor et directeur de thèse Pr.
Hicham MEDROMI qui ne cesse de nous encourager à puiser
Fig.4 Diagramme d'activités du processus de la gestion des risques de dans la recherche scientifique.
sécurité de l’information selon ISO27005
REFERENCES
La plateforme se compose de quatre systèmes multi-agents à
[1] Basel Committee on Banking Supervision: International Convergence
savoir : of Capital Measurement and Capital Standards. Bank for International
1- SMA Identification du risque Settlements (2004)
2- SMA Estimation du risque [2] United States Senate and House of Representatives in Congress:
3- SMA Evaluation du risque Sarbanes-Oxley Act of 2002. Public Law 107-204 (116 Statute 745)
(2002)
4- SMA Acceptation du risque [3] [Link]
Selon la norme ISO 27005, une règle générale à appliquer est [Link]
la suivante: si le manque de sécurité de l'information peut [4] [Link], [Link], [Link] and [Link], “New model multi-agent
avoir des conséquences néfastes importantes sur l'organisation, systems based for the security of information system” Proc. IC2INT’13,
2013.
ses processus d'affaires ou ses actifs, alors une seconde [5] H. Iguer, [Link] and [Link],”A new architecture multi-agents
évaluation du risque d'itération, à un niveau plus détaillé, est based combining EBIOS and ISO 27001 in IT risk management,” in
nécessaire pour identifier les risques potentiels. En d'autres Proc. ICEER’13, 2013, paper 126.
termes, la décision à ce moment dépend de la nature du risque. [6] [Link]
[7] Hervé Schauer, Méthode de management des risques ISO 27005, 2010.
S'il s'agit d'un risque majeur, qui est un événement de grande [8] [Link]
gravité, mais une très faible probabilité d'occurrence, il article/1-management/1758-dicp-disponibilite-integrite-confidentialite-
convient de rappeler le processus d'évaluation des risques. [Link]
Sinon, si le risque est mineur, qu'il se caractérise par une très [9] ISO/IEC Guide 73:2002, Risk management – Vocabulary – Guidelines
for use in standards.
forte probabilité et un impact faible, alors la décision à [10] [Link]
prendre est de poursuivre le traitement des risques. [11] 1995 [Link] . « Les systèmes multi-agents, vers une intelligence
Les SMA dont est composée notre plateforme prendront les collective ». InterEditions,
décisions de distinction entre le risque majeur et le risque

View publication stats