Classification des Risques

Définition du risque :

La norme ISO/IEC Guide 73 définit le risque comme la combinaison de la probabilité d’un événement et des
conséquences de celui-ci.

La FERMA (Federation of European Risk Management Associations) donne la précision suivante :

Le simple fait d'entreprendre ouvre la possibilité d'évènements dont les conséquences sont potentiellement
bénéfiques (aléa positif ) ou préjudiciables (aléa négatif ). On s'accorde de plus en plus à reconnaître que la
gestion du risque s’intéresse à celui-ci sous les deux aspects de l'aléa positif et de l'aléa négatif.

La science qui étudie le risque est la cindynique.

La difficulté de l'évaluation du risque est le fait que la conséquence néfaste est incertaine, le
risque est une notion statistique .

Classification du risque :

Risque d'entreprise : Risque lié aux décisions économiques que prend le management de
l'entreprise dans le but de générer un profit ou avantage.
Risque d'image ou de réputation : Risque de voir les clients partenaires ou les marchés
financiers se détourner d'une entreprise qui n'a pas satisfait aux critères de performance ou
d'éthique.
Risque opérationnel :Risque de pertes résultant de carences ou défauts attribuables à des
procédures, personnels, systèmes internes ou évènements extérieurs. Inclus les risques
(négatifs) liés aux systèmes d'information, risques juridiques ou environnementaux.
Remarque : les risques opérationnels seuls sont assurables.

Risques liés aux systèmes d'information :

On les classe en trois catégories liées à la causalité :

Accidents
Erreurs
Malveillance

et en deux familles :

Risques Physiques ou risques matériels : (incendies, exlosions, domages électriques,

tempêtes, bris de machines, vols...
Risques Logiques ou risques immatériels : Accidents : endomageant ou perturbant les
supports d'information,
Erreurs humaines : (programmation, exploitation, manipulation...),
Malveillance : interne ou externe
Risques Juridiques : responsabilité civile ou pénale vis à vis d'autrui, clients, autorités...
Le capital réputation

La réputation est devenue une valeur économique à part entière.

Longue à bâtir, délicate à cultiver, la réputation est un patrimoine morale et financier que
chacun pressent tout en reconnaissant la difficulté de sa mesure.
Il existe pourtant une valeur de la réputation que les Américains mesurent sous diverses
formes et on se rendra compte de l'ampleur du phénomène en consultant utilement le site
Français de l'Observatoire de la Réputation qui étudie cet indicateur depuis 7 ans à l'initiative
de Jean-Pierre PIOTET.

Le récent exemple de la privatisation partielle d'EDF montre qu'une entreprise (dont le

personnel a construit l' excellente réputation par son attitude exemplaire lors de la crise liée
aux tempêtes de 99 ) peut prétendre au plus haut de la fourchette de sa cotation (32 et 33 €)
lors de sa mise sur le marché.
Le goodwill de la réputation vient consolider la valeur boursière de l'entreprise.

On comprend (sans peine ? *) toute l'attention que les dirigeants vont devoir porter à la
préparation de leur entreprise aux plans de continuité d'activité d'une part et au management
de la sécurité des informations et des systèmes d'information d'autre part pour préserver leur
Capital Réputation en cas de sinistre ou de crise.
« On ne savait pas » n’est plus aujourd’hui une réponse recevable lorsque l’entreprise est
confrontée à une crise. Incident ou accident, coupable ou non, l’entreprise est de toute façon
responsable, sinon sur le plan juridique, pour le moins aux yeux du tribunal de l’opinion.

*d'après l'enquête Hill & Knowlton auprès de 1000 dirigeants internationaux, il s'avère que,
comparés à leurs homologues internationaux, les dirigeants français sont :

moins attentifs à l'impact de la réputation personnelle du Président sur celle de l'entreprise,

ceux qui attachent plus d'importance au leadership pour promouvoir la réputation de leur
entreprise,
ceux qui prennent le moins en compte le risque du média Internet pour la réputation de leur
entreprise.

Aspects Juridiques

Les axes de développement d'une politique de sécurité des informations crédible passent par
un ensemble de dispositions basées sur le droit.
Le points fondamentaux restant :

Le recours diligent à des dispositifs organisationnels et techniques correspondant à l'état de

l'art
Une organisation de process maîtrisée et adéquate, permettant de savoir qui a fait quoi et
quand,

Une organisation juridique de la défense de l'entreprise contre les intrusions

Une valorisation et une protection juridique des actifs immatériels
Séquestre
Archivage numérique
La sécurisation des relations juridiques avec les partenaires, sous-traitants ou infogérants.
 La sécurité de informations et des systèmes d'information résulte d'un ensemble complexe de
mesures techniques, organisationnelles et juridiques. Elle n'est pas seulement l'affaire des
techniciens mais également celle du management, sur qui reposera dans les années à venir une
responsabilité de plus en plus forte à cet égard.

Responsabilité du chef d'entreprise :

Les aspects juridiques liés à la sécurité des systèmes d'information relèvent de manière
globale de la responsabilité du chef d'entreprise et de sa capacité à mener toute diligence pour
faire en sorte que des mesures soient prises, des investissements réalisés pour prévenir les
conséquences juridiques liées à une attaque d'un hacker ou à un acte délictueux commis à
partir du réseau de l'entreprise.

L'impact sur le système d'information concerne 3 points essentiels :

La "traçabilité" des processus,
La capacité du système d'information à remonter des informations fiables et intègres ainsi que
l'origine de l'information,
Le contrôle d'accès ou la répercussion au niveau du système d'information de l'organisation et
des délégations de pouvoirs.

Responsabilités civiles et pénales des dirigeants du fait de l'utilisation du Système

d'Information par les employés :
Il s'agit essentiellement des 3 points suivants :

Contrefaçon, utilisation de logiciels ou de contenus protégés par un droit de propriété

intellectuel,

Actes délictueux :

Diffamation,

Pédophilie,

Incitation à la haine raciale Espionnage,

Traitement de données nominatives sans autorisation,

Détournements d'actifs, de savoir-faire, d'informations confidentielles,...

L'obligation de sécurité mise à la charge des responsables de traitement de données

personnelles :

LA GESTION D'IDENTITÉ

Au coeur de la sécurité des systèmes d'information, la gestion des identités est devenue un des enjeux majeurs
des directeurs des systèmes d'information.
La vitesse avec laquelle l'entreprise doit s'adapter (fusions, acquisitions, repositionnements sur le coeur de
métier, consolidations, externalisations, ...) sur un marché mondial hyperconcurrentiel a imposé le
décloisonnement des systèmes d'information.

Pour l'entreprise étendue, les services en réseau ou services web ouvrent la voie à une nouvelle forme de
décloisonnement des systèmes d'information capable d'accompagner cette évolution frénétique.
Voir l'entreprise en réseau s'expose

La gestion des identités des acteurs internes comme externes de cette nouvelle architecture orientée service
(SOA) est alors un enjeux majeur, pas uniquement sécuritaire mais aussi organisationnel.

Qui a le droit de faire quoi ? est donc bien la question qui résume cet aspect de la sécurité des systèmes
d'information. Préoccupation aujourd'hui revenue au premier plan avec les nouvelles réglementations dont les lois
LSF, Sarbanes Oxley, BâleII,...

MODÉLISATION DU RISQUE
Modèle conceptuel de la gestion des risques :

Le risque interne

Les attaques les plus sérieuses et potentiellement les plus dommageables faites contre les
systèmes d'information sont presque toujours réalisées par ou via ceux (à l'insu de leur plein
gré ?) qui possèdent des accès autorisés à celui-ci.

L'attitude des employés et leur sensibilisation aux problèmes de sécurité doivent constituer le
coeur des programmes ou politiques de sécurité des sytèmes d'information.

Toutes les études convergent vers cette nécessité. Une étude Ernst & Young réalisée auprès de
1233 entreprises dans 51 pays confirme que les dirigeants savent que les risques croissants
liés aux technologies de l'information proviennent de l'insouciance, de l'ignorance ou de la
malhonnêteté des employés. Les entreprises se soucient cependant davantage des menaces qui
proviennent de l'externe, elles sous-estiment considérablement celles qui proviennent de
l'interne.
GESTION DES RISQUES DÉFINITION

La Carte de Référence de la gestion des risques de la FERMA (Federation of European Risk Management
Associations) propose :
La gestion du risque fait partie intégrante de la mise en oeuvre de la stratégie de toute organisation. C’est le
processus par lequel les organisations traitent méthodiquement les risques qui s'attachent à leurs activités et
recherchent ainsi des bénéfices durables dans le cadre de leurs activités, considérées individuellement ou bien
dans leur ensemble.
La gestion du risque est centrée sur l'identification et le traitement des risques. Elle a pour objectif d'ajouter le
maximum de valeur durable à chaque activité de l'organisation. Elle mobilise la compréhension des aléas positifs
ou négatifs qui dérivent de tous les facteurs qui peuvent affecter l’organisation. Elle augmente la probabilité de
succès et réduit la probabilité d’échec et l’incertitude qui s'y attache.
La gestion du risque devrait être un processus continu d’amélioration qui commence avec la définition de la
stratégie et se poursuit avec l'exécution de celle-ci. [...]
La gestion du risque doit faire partie intégrante de la culture de l’organisation et disposer d'une politique efficace
et d'un programme d’actions soutenu et suivi par la direction au plus haut niveau.

Processus de Gestion des Risques :

La gestion du risque protège le patrimoine de l’organisation et
crée de la valeur pour celle-ci et ses parties prenantes en:
 fournissant un cadre méthodologique qui permet à toute
activité future d’être mise en place de façon cohérente et
maîtrisée,
 améliorant le processus des décisions, leur planification et
leur hiérarchisation par une compréhension exhaustive et
structurée des activités de l’organisation, de la volatilité de
ses résultats et par l’analyse des opportunités ou
menaces sur ses projets,
 contribuant à l’optimisation de l’utilisation/allocation du
capital et des ressources dans l’organisation,
 réduisant la volatilité dans les secteurs non essentiels de
l’organisation,
 protégeant et augmentant le patrimoine et l’image de
marque de l’organisation,
 développant et soutenant le potentiel des employés et le
capital de connaissance de l’organisation,

 optimisant l’efficience opérationnelle.

L'entreprise en réseau s'expose

La vitesse avec laquelle l'entreprise doit s'adapter (fusions, acquisitions, repositionnements sur le coeur de
métier, consolidations, externalisations, ...) sur un marché mondial hyperconcurrentiel, a imposé le
décloisonnement en réseau des systèmes d'information. Pour l'entreprise étendue, les services en réseau ou
services web, ouvrent la voie à une nouvelle forme d'urbanisation des systèmes d'information capable
d'accompagner cette évolution frénétique sans remise en cause des investissements initiaux.

L'informatique est aujourd'hui le principal outil de travail pour 72% des employés français. L'usage de l'ordinateur
est «aussi banalisé que celui du téléphone», estime une étude de Cap Gémini « dirigeants et salariés face à
l'informatique ».

Les nouveaux utilisateurs ne sont donc plus seulement les employés ou les clients mais aussi des partenaires
voire des "coopétiteurs" ayant décidé de partager des services sans réelle valeur ajoutée distinctive comme par
exemple la conservation des titres entre diverses banques pourtant concurrentes par ailleurs.

Un utilisateur de l'entreprise étendue souhaite alors bénéficier d'un « bouquet » de services et ne souhaite pas se
préoccuper des aspects techniques lui ayant permis de bénéficier de ces services pourvu qu'il en dispose là où il
se trouve, à n'importe quelle heure, sur n'importe quel type de terminal PC, PDA, GSM...etc...et en toute sécurité!
exemple de réseau de services bancaires : Le client reçoit un bouquet de services consolidés sur son terminal (ici
GSM) comme par exemple le solde de ses comptes et crédits en cours et l'état de son portefeuille titre. Il ne se
préoccupe pas de savoir qui soustraite tel ou tel service et où est-il traité. Ainsi depuis longtemps la conservation
des titres de la banque A est traité e en soustraitance auprès d'une autre benque B.

L'ouverture des sytèmes d'information en réseau, la banalisation des systèmes d'exploitation Windows et Unix
dont linux supportant applications et les protections elles-mêmes du système d'information, la généralisation du
recours aux technologies de communication d'Internet, la nécessité du travail collaboratif des personnes
éloignées et l'incontournable messagerie, rendent particulièrement vulnérables les informations à tous type de
sinistres dont les plus connus sont les attaques par Virus. La généralisation de la mobilité d'une part et des
réseaux sans fils (WIFI, GSM) d'autre part exposent les SI à de nouvelles attaques potentielles. Enfin la
résistance du SI aux possibilités de sinistres tels qu'incendie, pannes, catastrophe même si cette problématique
n'est pas nouvelle impose des stratégies de sauvegarde mais aussi et surtout une capacité à reprendre les
activités commerciales de l'entreprise dans des délais compatibles à sa survie.

Les responsables (DSI) doivent aussi composer avec les autres priorités comme les coûts, la productivité, le
renforcement des processus métier et l'alignement du nouveau SI sur les priorités stratégiques de l'entreprise.

Enfin de nouvelles contraintes légales pèsent sur les dirigeants et par voie de conséquence sur
les systèmes d'information et leur sécurisation : les lois LSF, Sarbanes Oxley, Bâle II,...

Le Capital Informationnel

Le Capital Informationnel d'une entreprise, c'est à dire la somme des informations détenues
par l'entreprise sur ses clients, son marché, ses actionnaires, ses concurrents, son personnel,
ses savoir-faire, ses processus, méthodes de fabrication, etc..., représente des valeurs d'actifs
immatériels sans lesquelles l'activité de l' entreprise ne pourrait s'exercer sans risque de
disparition rapide.

En préambule de la norme ISO17799, on peut lire :

"L'information est un actif qui, comme les autres actifs importants, a une valeur pour
l'organisation et doit en conséquence être protégée. La sécurisation des informations vise à
protéger l'information d'un large éventail de menaces de façon à garantir le fonctionnement de
l'entreprise, diminuer les pertes et maximiser le retour sur investissement et les opportunités
du marché."
Les directions générales découvrent dans les rapports annuels de sociétés américaines,
l'importance stratégique de la sécurité quand celle-ci répond à des normes, standards et
méthodologies reconnus. L'idée se développe outre-Atlantique qu'un patrimoine
informationnel bien protégé valorise les actifs de l'entreprise.

Dans les années 80, les efforts de sécurité ont été concentrés autour de la « sécurité
informatique »,. Par la suite, l'ouverture des systèmes d'information vers l'extérieur a nécessité
la prise en compte de tous ses composants : c'est la sécurité des systèmes d'information mise
en place dès les années 90. Enfin, c'est l'ensemble de l'information au sens large dont
l'information stratégique susceptible d'espionnage économique qui a fait l'objet de toutes les
préoccupations dès les années 95. Avec avec l'explosion des solutions de communications
inspirées d'internent, on parle de cyber sécurité.

Selon Entreprise Strategy Group, 75% des données vitales pour les entreprises sont transmises
.... par email.