DÉFINITIONS

• En système d’information, un risque se définit comme la vraisemblance qu’une menace exploite une
vulnérabilité afin d’impacter un actif.
• Un actif se définit comme tout élément représentant de la valeur pour l’organisation
• Les vulnérabilités sont des failles qui peuvent être intrinsèques à l’actif, c’est-à-dire issues de ses
caractéristiques propres, ou extrinsèques à l’actif, c’est-à-dire provenant de son environnement externe.
• Une menace est une cause potentielle d’un incident indésirable qui peut nuire à l’organisme. Elle peut être
volontaire ou involontaire, et nécessite une vulnérabilité pour exécuter le risque
I-1 IDENTIFICATION DES ACTIFS
• ACTIFS MATERIELS OU VIRTUELS (ACTIF DE SUPPORT)
Poste de travail, portable, tablette, téléphone mobile, etc.
Un système d’opération, windows, linux, etc.
Serveur physique ou virtuel,
Tous les types de serveurs informatiques, NAS ou autres,
Firewall, router, switch et autres éléments de réseautique,
Imprimante, numériseur, etc.
Information d’authentification logiciel ou physique tel que yubikey et autres,
Un service cloud traitant ou hébergant de l’information,
Tous les types de logiciels, de suite bureautique ou autres, quickbook, simple comptable, antidote, etc.
• LES ACTIFS INFORMATIONNELS (UN ACTIF PRIMAIRE )
• Données personnelles employés / clients / fournisseurs,
• Fichiers texte, listes importantes en word, excel, PDF, etc.
• Politiques, directives, processus, procédures, etc…
• Contrats, brevets, plan d’architecture, recette chimique, etc.
• Fichier sonore mp3, m4a, etc.
• Fichier de videos corporatives, youtube, etc.
• Base de données access, sql et mysql, …
• Des fichiers de configurations de systèmes et logiciels,
• Sauvegarde, archives, etc.
• Documents imprimés, dossiers et notes,
• Etc…
I.2-IDENTIFICATION DES MENANCES
• IL EXISTE PLUSIEURS TYPES DE MENACES, DONT VOICI QUELQUES EXEMPLES :
• Les dommages physiques (incendie) ;
• Les catastrophes naturelles (inondation) ;
• Les pertes de services (panne électrique) ;
• Les compromissions d’informations ou de fonctions (vol de documents ou usurpation de droits) ;
• Les actions non autorisées (utilisation non autorisée du matériel).
I.3- IDENTIFICATION DE L’IMPACT

• L’IMPACT D’UN RISQUE SE QUALIFIE PRINCIPALEMENT SELON TROIS CRITÈRES :

• LA DISPONIBILITÉ,
• L’INTÉGRITÉ
• LA CONFIDENTIALITÉ.
 II- L’ANALYSE DE RISQUES SI

• LES OBJECTIFS SONT LES SUIVANTS

• Un moyen d’analyser les risques de manière homogène et reproductible, quel
que soit celui qui réalise cette analyse
• Identifier comment diminuer les coûts des contrôles à mettre en place
• Influencer l’architecture fonctionnelle et technique pour réduire les risques /
mieux les maîtriser
 II.1 IDENTIFIEZ LE CADRE NORMATIF DE
L’ANALYSE DE RISQUES SI
• La sécurité de l’information est un sujet universel qui touche tout type d’organisme
soucieux de protéger son activité. Pour établir un vocabulaire commun et assurer une
homogénéité internationale, il est devenu nécessaire de construire un cadre normatif.
L’organisme international de normalisation (ISO) s’en est chargé au travers des
normes ISO 27000
• les normes ISO sont “facultatives”, dans le sens où ce sont des référentiels de
bonnes pratiques qui ne légifèrent pas. Ne les négligez pas pour autant !
II.2- IDENTIFIER LES RISQUES DE L’ORGANISATION
• PARMI LES CONSÉQUENCES IMPORTANTES DE RISQUES POUR UNE ENTREPRISE OU UN
ORGANISME PUBLIC, LES ÉLÉMENTS SUIVANTS PEUVENT ÊTRE CITÉS :
• La perte financière,
• La perte de réputation,
• La fraude,
• L’atteinte à la propriété intellectuelle et industrielle,
• La perte de savoir-faire ou d’avantage concurrentiel,
• La dégradation de la qualité des produits,
• L’accident humain ou environnemental ;
• La pénalité et la perte de contrat,
• La plainte et procédure judiciaire,
• La chute de cours de bourse.
 III- LES CONCEPTS INTANGIBLES
• L’ANALYSE DE RISQUES FAIT PARTIE D’UN TOUT QUE L’ON PEUT REPRÉSENTER PAR LA PYRAMIDE CI-DESSOUS :
• ANALYSE DE RISQUES :
• • Processus d'identification, d'estimation et d'évaluation des risques afin de décider du traitement des risques retenus (AFNOR – FD X50-117).
• • Déclinaison des menaces en cartographie des risques et définition des plans de contrôle.
• GESTION DE RISQUES :
• • Processus de traitement, de suivi et de contrôle, de mémorisation des risques recensés et des actions entreprises pour les traiter (AFNOR - FD
X50-117).
• • Identification et évaluation des risques opérationnels.
MAÎTRISE DES RISQUES :
• • Maîtriser les risques à un niveau acceptable en fonction des critères de risques retenus.
• • Mettre en place un plan d'action pour traiter les risques résiduels et choix des actions à mettre en œuvre pour leur réduction.
GOUVERNANCE DES RISQUES :
• • Assumer la responsabilité générale de l’approbation des politiques de gestion des risques.
• • Assumer les responsabilités de surveillance de la gestion des différents risques.
• • Vision globale des risques de l’entreprise (risques stratégiques, financiers, opérationnels, etc.).
• • La gouvernance des risques est un volet central dans toute démarche de gestion de risques.
IV- LA NORME ISO
• Elle permettent aux organismes de concrétiser leur engagement dans la sécurité de l’information et d’asseoir leur
crédibilité en donnant lieu à des certifications reconnues et valorisées. Cet engagement est également pris auprès
des partenaires et clients de l’entreprise.

• LES FONDAMENTAUX SUIVANT

• Une coopération internationale et une représentation égale des pays participants ;

• Une adhésion volontaire et une approche par consensus ;

• Une réponse à un besoin existant du marché.

• LA NORME ISO 27005 DÉDIÉE À LA GESTION DES RISQUES

• la norme IEC 27005 ne fournit pas de méthode d’analyse des risques SI spécifique, il appartient à chaque
organisme de choisir la méthode qui correspond le mieux à son contexte, y compris une méthodologie
développée en interne, s’il est prouvé que les résultats sont comparables et reproductibles.
 IV.1- LES ACTIVITÉS PRINCIPALES DE LA NORME ISO 27005
• LES ACTIVITÉS PRINCIPALES DE LA NORME ISO 27005 POSENT LES BASES DE LA GESTION DES RISQUES :
• Établissement du contexte.
• Identification des risques.
• Estimation des risques.
• Évaluation du risque.
• Traitement du risque.
• Acceptation du risque.
• Activités transverses : communication et surveillance.
NB/: La norme 27005 est applicable à tout type d’organisme et à tout type de risque SI. Elle fournit
les lignes directrices de la gestion des risques en soutien aux exigences du SMSI (système de
management de la sécurité de l’information) exprimées dans la norme ISO 27001.
V- MÉTHODOLOGIES D’ANALYSE DES RISQUES

• Parmi les méthodologies d’analyse des risques les plus

connues, nous pouvons citer de manière non exhaustive
: EBIOS, MEHARI ou encore OCTAVE
V.1- LA MÉTHODE EBIOS (EXPRESSION DES BESOINS ET IDENTIFICATION DES OBJECTIFS DE SÉCURITÉ)
• C’EST UNE MÉTHODE PUBLIÉE PAR LA DIRECTION CENTRALE
DE LA SÉCURITÉ DES SYSTÈMES D’INFORMATION (DCSSI) EN
FRANCE EN 1995.
• CETTE TECHNIQUE EST COMPOSÉ DE PLUSIEURS ÉTAPES
CLÉS, NOTAMMENT :
• L’IDENTIFICATION DES ACTIFS ;
• LA DÉFINITION DES OBJECTIFS DE SÉCURITÉ ;
• L’ÉVALUATION DES MENACES ET DES VULNÉRABILITÉS ;
• LA DÉTERMINATION DES RISQUES ;
• LA DÉFINITION DES MESURES DE SÉCURITÉ ET LA MISE
EN ŒUVRE DE CES MESURES.
• Depuis 2018, la méthodologie EBIOS a pris un nouveau virage avec une nouvelle version, “EBIOS risk manager”

• “ La méthode ebios risk manager se distingue par une approche qui réalise une synthèse entre conformité et
scénarios. Elle se fonde sur un socle de sécurité solide, construit grâce à une approche par conformité. La
démarche par scénarios vient solliciter ce socle face à des menaces particulièrement ciblées ou sophistiquées, qui
prennent en compte l’écosystème métier et technique dans lequel l’organisation ciblée évolue.”

• Source : anssi
 V.2- LA MÉTHODE MEHARI(MÉTHODE HARMONISÉE D’ANALYSE DES RISQUES)

• MÉHARI EST BASÉ SUR UN MODÈLE DE RISQUE QUI COMPREND :

• Un aspect « qualitatif » visant à mettre en lumière les différents aspects d’un risque et de sa survenance, afin de
mieux comprendre les paramètres qui jouent sur le niveau de gravité du risque ;

• Et un aspect « quantitatif » visant à quantifier les divers facteurs de risque et à pondérer les effets cumulés des
services de sécurité, afin de pouvoir évaluer les niveaux de risque.
A- LE MODÈLE DE RISQUE QUALITATIF
• MÉHARI décrit chaque risque comme un scénario qui comprend plusieurs éléments, chaque élément étant décrit et
expliqué

• Pour ce faire, MÉHARI définit des typologies qui permettent une standardisation des descriptifs et une
exhaustivité dans la recherche des situations de risque.
• Sur la base de ces éléments et typologies, méhari décrit quatre modes d’action possibles des mesures visant à
réduire des risques :
• La « dissuasion » qui a pour effet de diminuer, par des mesures « dissuasives », la probabilité qu’un acteur décide de
mener l’action à l’origine du risque ;
• La « prévention » qui rend plus difficile, donc moins probable, le fait que le déclenchement de l’événement initial
conduise effectivement à la réalisation du risque ;
• Le « confinement » qui va limiter l’étendue des dommages directs possibles ;
• La « palliation » qui limite l’étendue des conséquences indirectes des dommages.
V.2.1- LE MODÈLE GLOBAL
B- LE MODÈLE DE RISQUE QUANTITATIF
• La partie « quantitative » du modèle de risque comprend trois aspects essentiels :
• La définition de services de sécurité et l’évaluation quantitative de la qualité de ces services (voir sur ce point la
description du module « diagnostic de l’état des services de sécurité ») ou, pour méhari-managerbc la définition
de fonctions de sécurité et l’évaluation quantitative des effets de ces fonctions;

• L’évaluation quantitative, pour chaque scénario de risque, des facteurs de réduction de risque. Chaque scénario
décrit dans les bases de connaissances de MÉHARI contient les éléments nécessaires et suffisants à l’évaluation
de ces facteurs, en fonction de la qualité des services ou fonctions de sécurité pertinents pour ce scénario ;

• L’évaluation des effets cumulés des facteurs de réduction de risque et, in fine, l’évaluation chiffrée du niveau de
gravité de chaque risque. Les bases de connaissances contiennent également les fonctions de calcul et les
algorithmes permettant, sur la base des éléments ci-dessus, d’évaluer la gravité de chaque situation de risque
V.3-LA MÉTHODE OCTAVE
(OPERATIONALLY CRITICAL THREAT, ASSET AND VULNERABILITY EVALUATION)
• OCTAVE est une méthode d’évaluation des vulnérabilités et des menaces sur les actifs opérationnels. Une fois
ces derniers identifiés, la méthode permet de mesurer les menaces et les vulnérabilités pesant sur eux.
• Les trois phases suivantes déclinées au cœur d’octave, respectent l’analyse progressive des trois blocs des
concepts de gestion des risques présentés en amont : …
• La phase 1 (vue organisationnelle) permet d’identifier les ressources informatiques importantes, les menaces associées et les
exigences de sécurité qui leur sont associées. …
• La phase 2 (vue technique) permet d’identifier les vulnérabilités de l’infrastructure (ces dernières, une fois couplées aux menaces,
créant le risque). …
• La phase 3 de la méthode décline le développement de la stratégie de sécurité et sa planification (protection et plan de réduction
des risques).
 V.4- CHOIX DE LA MÉTHODE
• L'origine géographique de la méthode, la culture du pays jouant beaucoup sur le
fonctionnement interne des entreprises et leur rapport au risque. …
• La langue de la méthode, il est essentiel de maîtriser le vocabulaire employé …
• la qualité de la documentation …
• La compatibilité avec une norme nationale ou internationale
• Le coût de la mise en œuvre …
• La quantité de moyens humains qu'elle implique et la durée de mobilisation …
• La taille de l'entreprise à laquelle elle est adaptée …
• Le support de la méthode par son auteur, une méthode abandonnée n'offre plus la possibilité de conseil et de
support de la part son éditeur …
• Sa popularité, une méthode très connue offre un réservoir de personnels qualifiés pour la mettre en œuvre
VI- LES BASE D’UNE BONNE ANALYSE DE RISQUES
• IDENTIFIEZ SON ACTIVITÉ INTERNE
• L’activité interne d’une organisation peut être décrite en répondant aux questions suivantes :
• Quelle est sa mission principale, c’est-à-dire la raison de sa présence sur le marché ?
• Comment est-elle structurée ? quelles sont les cellules décisionnaires, de pilotage et
opérationnelles ?

• Quels sont ses objectifs (en termes de parts de marché, de croissance et de chiffre d’affaires) et
quelle est sa stratégie pour y parvenir ?

• Quelles sont les valeurs véhiculées et partagées par l’ensemble des collaborateurs ?
• UNE FOIS CES RÉPONSES APPORTÉES, VOUS SEREZ PLUS À MÊME D’IDENTIFIER LES ENJEUX DE SÉCURITÉ ET LES
FACTEURS DE RISQUE INHÉRENTS À L’ORGANISME.
• IDENTIFIEZ SON ENVIRONNEMENT EXTERNE
Comprendre l’organisation interne c’est bien, pouvoir la situer dans son environnement
externe, c’est encore mieux. En effet, la structure est forcément impactée par des forces
externes telles que :
• Les environnements social, politique, économique, environnemental, culturel et juridique ;
• La concurrence ;
• Les relations avec les parties prenantes, telles que les clients ou les fournisseurs.
Il est nécessaire que vous anticipiez et maîtrisiez ces facteurs extérieurs afin d’aboutir à
une analyse des risques cohérente, réaliste et exhaustive
IV.1- IDENTIFIER LES PARTIES PRENANTES

• LES PRINCIPALES PARTIES PRENANTES SE RÉSUMENT

AUX CLIENTS, AUX FOURNISSEURS, AUX ACTIONNAIRES ET

AUX INSTITUTIONS LÉGISLATIVES. TOUTEFOIS, IL EST IMPORTANT

DE NE PAS NÉGLIGER LES GROUPES D’INTÉRÊTS, LES MÉDIAS, LE

GRAND PUBLIC OU ENCORE LES INSTITUTIONS FINANCIÈRES.

VI.2- DÉFINIR LE PÉRIMÈTRE ET LES LIMITES DE VOTRE ANALYSE DES
RISQUES

• L’ANALYSE DES RISQUES EST UN EXERCICE QUI MOBILISE DE NOMBREUSES RESSOURCES. LORSQU’IL
NE PEUT ÊTRE APPLIQUÉ À L’ORGANISATION DANS SON ENSEMBLE, IL EST IMPORTANT DE DÉFINIR LE
DOMAINE D’APPLICATION RESTREINT. CE DERNIER SE DÉCLINERA ALORS EN UNE LISTE
D’ACTIFS SPÉCIFIQUES À PROTÉGER. LES ACTIFS PEUVENT ÊTRE LIÉS À UN SERVICE, UNE ÉQUIPE,
UNE ACTIVITÉ OU ENCORE UN PROCESSUS CLÉ.

• CELA NE PEUT ÊTRE DÉFINI QU’UNE FOIS LES OBJECTIFS DE L’ANALYSE DE RISQUES ET
LES CONTRAINTES BIEN IDENTIFIÉS. LES CONTRAINTES SOUVENT RENCONTRÉES SONT
D’ORDRE BUDGÉTAIRE, TEMPOREL, TECHNIQUE ET ORGANISATIONNEL.
VI. 3- DÉTERMINEZ LES OBJECTIFS ET LES CRITÈRES DE BASE

• AVANT MÊME DE LANCER LE PROJET, IL CONVIENT DE DÉFINIR CLAIREMENT, ET DE CONCERT

AVEC LES PARTIES PRENANTES, LES OBJECTIFS DE L’ANALYSE DES RISQUES :
• EST-CE POUR PRÉVENIR UN INCIDENT SPÉCIFIQUE ?
• RÉPONDRE À UNE EXIGENCE RÉGLEMENTAIRE ?
• ASSURER LA CONTINUITÉ DES ACTIVITÉS EN CONTRIBUANT AUX PCA ET PRA (PLAN DE CONTINUITÉ
DES ACTIVITÉS ET PLAN DE REPRISE DES ACTIVITÉS) ?

• OU ENCORE POUR SOUTENIR UN PROJET CONNEXE DU SMSI ?

VI. 4- DÉFINIR LES CRITÈRES
• LES CRITÈRES D’ÉVALUATION DU RISQUE ;
• Les critères d’évaluation du risque ont pour but de donner les clefs suffisantes servant à leur priorisation lors de la
phase de traitement des risques
• Plusieurs aspects doivent être pris en compte pour élaborer ces critères, dont voici les principaux : la valeur des
actifs objets de l’analyse, les exigences légales et réglementaires à respecter et les attentes des parties
prenantes.
• LES CRITÈRES D’IMPACT ;
• Les critères d’impact se mesurent au minimum en termes de disponibilité, intégrité et confidentialité.
• Si un scénario de risque se déclenche, quelle est l’importance opérationnelle et financière de l’impact sur l’actif
visé, selon les 3 axes dic
• LES CRITÈRES D’ACCEPTATION DU RISQUE.
• Les critères d’acceptation du risque permettent de décider si les risques identifiés doivent être réduits voire
annulés, ou s’ils peuvent être conservés comme tels.
• EXEMPLE DE CRITERE D’ACEPTATION
• 1 <= R <= 2 → RISQUE FAIBLE ;
• 2 < R <= 4 → RISQUE MOYEN ;
• 4 <R <= 7 → RISQUE ÉLEVÉ ;
• R>= 8 → RISQUE TRÈS ÉLEVÉ.
 VI.5- MÉTHODOLOGIE POUR RÉALISER UNE ANALYSE DE
RISQUES AVEC EBIOS
• IL EXISTE DE NOMBREUSES MÉTHODES POUR EFFECTUER UNE ANALYSE DE
RISQUES, LA MÉTHODE EBIOS ÉTANT CELLE QUI EST RECOMMANDÉE PAR L’ANSSI.

• L’IMPORTANT AU FINAL EST QUE LA PERSONNE QUI EFFECTUE L’ANALYSE DE

RISQUES PUISSE TRAVAILLER DE MANIÈRE NEUTRE ET SANS SUBIR LA PRESSION DE
SON PROPRE ENVIRONNEMENT PROFESSIONNEL.

• C’EST LA RAISON POUR LAQUELLE, IL SEMBLE PRÉFÉRABLE DE CONFIER LES

ANALYSES DE RISQUES À DES CABINETS OU À DES SOCIÉTÉS D’AUDIT EXTERNES AU
SERVICE RESPONSABLE DU TRAITEMENT CONCERNÉ.

• LES ÉTAPES POUR MENER UNE ANALYSE DE RISQUES SONT LES SUIVANTES :
ÉTAPE 1 : EFFECTUER LES INTERVIEWS DES PERSONNES CONCERNÉES

• LES PERSONNES CONCERNÉES PEUVENT ÊTRE LES DIRIGEANTS,

LE DÉLÉGUÉ À LA PROTECTION DES DONNÉES, LES ÉQUIPES
MÉTIERS, LES ÉQUIPES INFORMATIQUES, LES ÉQUIPES D’INFO
GÉRANCE, ETC.

• IL EST AINSI NÉCESSAIRE D’INSTALLER UN CLIMAT

DE CONFIANCE AVEC LA PERSONNE INTERVIEWÉE
ÉTAPE 2 : RASSEMBLER LA DOCUMENTATION
• Il s’agit ici d’étudier toute la documentation de sécurité utilisée par le responsable de
traitement ou son sous-traitant :
• PSSI, plan assurance sécurité ;
• Charte informatique ;
• Politique de mot de passe, politique de sauvegarde et d’archivage des données ;
• Résultat des tests de sécurité effectués en interne ou en externe (test d’instruction, pentest,
audit de code) ;
• PCA et PRA ;
• Politique de gestion des logs ;
• Accord de confidentialité ;
• Politique de sureté des locaux, etc.
• Ces documents sont importants car ils permettent de détecter les zones vulnérables d’un
si et notamment celles ouvertes sur internet.
ÉTAPE 3 : DRESSER UN ÉTAT DES MESURES MISES EN ŒUVRE PAR LE
RESPONSABLE DE TRAITEMENT OU SON SOUS-TRAITANT
• IL S’AGIRA PAR EXEMPLE DE DÉCRIRE LES MESURES DE SÉCURITÉ APPLIQUÉES COMME
LA POLITIQUE DE MOT DE PASSE,
• LA DURÉE DE CONSERVATION DES LOGS,
• LA DURÉE DE CONSERVATION DES SAUVEGARDES,
• LE TYPE DE SAUVEGARDE EFFECTUÉE,
• LES MESURES DE CHIFFREMENT,
• LA PROTECTION DES LOCAUX,
• LA SÉCURITÉ DES POSTES DE TRAVAIL ET ÉGALEMENT LES MESURES ORGANISATIONNELLES
TELLES QUE RELATION AVEC LES TIERS, GESTION DU PERSONNEL, ETC.
 ÉTAPE 4 : ÉVALUER LES RISQUES
• VOUS POUVEZ PARTIR POUR CELA DES RECOMMANDATIONS QUE VOUS AVEZ EFFECTUÉES, DES TABLEAUX D’ÉCHELLE PROPOSÉS PAR LA CNIL AINSI
QUE DES DIFFÉRENTES SOURCES DE RISQUES QUE VOUS AVEZ IDENTIFIÉES.

• PAR EXEMPLE, VOUS AVEZ DÉTECTÉ QU’UNE SEULE ET UNIQUE PERSONNE DISPOSAIT D’UN MOT DE PASSE POUR ACCÉDER À UNE BOITE MAIL CRÉÉE POUR
RECUEILLIR LES ALERTES PROFESSIONNELLES DES SALARIÉS. IL Y A UN RISQUE IMPORTANT EN CAS D’INDISPONIBILITÉ DE CETTE PERSONNE QUE LES
DONNÉES SOIENT RENDUES INACCESSIBLES. LA SOURCE DE RISQUES SERA ICI INTERNE ET LE RISQUES CONCERNERA LA DISPONIBILITÉ DES DONNÉES.

• AUTRE EXEMPLE, VOUS AVEZ DÉTECTÉ QUE LES COLLABORATEURS ÉTAIENT ADMINISTRATEURS DE LEUR POSTE DE TRAVAIL. IL Y A UN RISQUE QU’UN
LOGICIEL MALVEILLANT SOIT INSTALLÉ PAR UN COLLABORATEUR. CE LOGICIEL MALVEILLANT POURRA AVOIR POUR EFFET DE CHIFFRER LES DONNÉES, SOIT
DU POSTE DE TRAVAIL, SOIT D’UNE PARTIE DU SI DE L’ENTREPRISE. IL S’AGIT DONC D’UN RISQUE SUR L’INTÉGRITÉ DES DONNÉES.

• DE LA MÊME MANIÈRE, VOUS AVEZ DÉTECTÉ QUE LES LOCAUX DU RT ÉTAIENT SITUÉS DANS UNE ZONE INONDABLE ET QU’AUCUNE MESURE DE PROTECTION
N’EST PRISE POUR PROTÉGER LES BAIES DES SERVEURS DE CE RISQUE NATUREL. À NOTER QUE SI LA DERNIÈRE INONDATION DE LA RÉGION DATE DE 1904,
LA VRAISEMBLANCE DU RISQUE RESTERA LIMITÉE.

• L’ENSEMBLE DE CES ÉLÉMENTS DEVRONT ÊTRE INTÉGRÉS À UN TABLEAU RÉCAPITULATIF ET LE MIEUX EST DE CARTOGRAPHIER LES DIFFÉRENTS
RISQUES SUR UN SCHÉMA FACILEMENT LISIBLE POUR TOUTES LES PERSONNES QUI SOUHAITERAIENT ACCÉDER À CES INFORMATIONS : DIRIGEANTS,
CNIL, ANSSI, AUTORITÉ D’HOMOLOGATION RGS, DPO.
ÉTAPE 5 : EFFECTUER DES RECOMMANDATIONS POUR AMÉLIORER LE NIVEAU
DE SÉCURITÉ

• CES RECOMMANDATIONS DOIVENT ÊTRE ADAPTÉES À L’ENVIRONNEMENT DU

RESPONSABLE DE TRAITEMENT, PAR EXEMPLE:

• IL EST INUTILE DE RECOMMANDER D’UTILISER UN ANTIVIRUS COMPORTEMENTAL

(EDR) DE DERNIÈRE GÉNÉRATION SI LE SI N’EST COMPOSÉ QUE DE QUELQUES

SERVEURS CONNECTÉS ENTRE EUX.

 ÉTAPE 6 : RÉÉVALUER LES RISQUES APRÈS APPLICATIONS DES
RECOMMANDATIONS
• VOUS DEVEZ MONTRER COMMENT LES MESURES QUE VOUS AVEZ FORMALISÉ
ATTÉNUENT LES RISQUES.

• PAR EXEMPLE, VOUS AVEZ RECOMMANDÉ L’INTERDICTION POUR LES

UTILISATEURS D’UTILISER LES PORTS USB, CELA ATTENUE AUTOMATIQUEMENT

LE RISQUES DE VRAISEMBLANCE D’UNE ATTAQUE INFORMATIQUE.

RÉSUMÉ
• UNE ANALYSE DES RISQUES SI DOIT TOUJOURS ÊTRE EFFECTUÉE SELON
LE CONTEXTE (INTERNE ET EXTERNE) DE L’ORGANISME, SANS QUOI ELLE N’A QUE PEU, VOIRE
PAS, DE VALEUR ;

• EN CAS DE LIMITATION DES RESSOURCES MISES À DISPOSITION, IL EST IMPORTANT QUE VOUS
DÉFINISSIEZ ET FASSIEZ VALIDER LE PÉRIMÈTRE D’APPLICABILITÉ DE VOTRE ANALYSE ;

• ENFIN, NE NÉGLIGEZ PAS LES CRITÈRES DE BASE QUI DONNENT UN CADRE RATIONNEL À VOS
APPRÉCIATIONS DES RISQUES IDENTIFIÉS.
 VII- L’ANALYSE DE VULNÉRABILITÉ
• UNE VULNÉRABILITÉ EST UNE FAILLE SUR LA CONCEPTION, UNE ERREUR D’IMPLÉMENTATION OU DE CONFIGURATION

QUE L’ON PEUT UTILISER ET EXPLOITER POUR ACCÉDER AU SYSTÈME D’UNE CIBLE.

• LES VULNÉRABILITÉS PEUVENT ÊTRE CLASSÉES DANS DIFFÉRENTS CATÉGORIES EN SE BASANT SUR LEURS NIVEAUX

DE SÉVÉRITÉ (FAIBLE, MOYEN OU ÉLEVÉ) ET SUR LA PORTÉE DE L’ATTAQUE (LOCALE OU DISTANTE).

• C’EST LE FAIT D’EXAMINER LA CAPACITÉ D’UN SYSTÈME OU D’UNE APPLICATION À RÉSISTER AUX ATTAQUES.

• PERMET D’IDENTIFIER DES FAILLES DE SÉCURITÉ DANS UN SYSTÈME INFORMATIQUE ET DES CANAUX DE

COMMUNICATION COMME LES PORTS OUVERTS, LES SERVICES, LES ERREURS DE CONFIGURATION, ETC. AFIN DE

POUVOIR Y APPORTER DES AMÉLIORATIONS.

VII.1- OBJECTIF ÉVALUATION DE VULNÉRABILITÉS

• L’ÉVALUATION DE VULNÉRABILITÉ PERMET DE :

• RECUEILLIR DES INFORMATIONS SUR LES TENDANCES DE SÉCURITÉ,
LES MENACES ET LES ATTAQUES
• TROUVER DES FAIBLESSES ET LES SIGNALER À L’ADMINISTRATEUR
• PRÉVENIR LES PROBLÈMES DE SÉCURITÉ
• SAVOIR COMMENT SE REMETTRE D’UNE ATTAQUE
 VII.2- CAUSES DES VULNÉRABILITÉS
• LES VULNÉRABILITÉS PEUVENT ÊTRE CAUSÉES PAR :
• UNE MAUVAISE CONFIGURATION
• LES INSTALLATIONS PAR DÉFAUT
• LES DÉBORDEMENTS DE TAMPON
• DES FAILLES NON CORRIGÉS SUR LES SERVEURS
• LES FAILLES DE SYSTÈME D’EXPLOITATION
• LES FAILLES D’APPLICATION
• LES MOTS DE PASSE PAR DÉFAUT
 VII. 3- LES TYPES D’ÉVALUATION :
• IL EXISTE DIFFÉRENTS TYPES D’ÉVALUATION :
• L’ÉVALUATION ACTIVE : CETTE ÉVALUATION AGIT DIRECTEMENT SUR LES HÔTES, LES SERVICES, ETC.

• L’ÉVALUATION PASSIVE : CELA SE FAIT EN RENIFLANT LE RÉSEAU POUR REGARDER LES ÉVENTUELLES
VULNÉRABILITÉS.

• L’ÉVALUATION EXTERNE : C’EST UNE ÉVALUATION QUI SE FAIT DEPUIS L’EXTÉRIEUR.

• L’ÉVALUATION INTERNE : C’EST UNE ÉVALUATION QUI SE FAIT DEPUIS L’INTÉRIEUR.

• L’ÉVALUATION BASÉE SUR L’HÔTE : CE TYPE D’ÉVALUATION SE FAIT SUR UN HÔTE SPÉCIFIQUE (SERVEUR
WEB, SERVEUR DE BASE DE DONNÉES, ETC.)

• L’ÉVALUATION D’UN RÉSEAU : C’EST LE FAIT D’ANALYSER DIRECTEMENT LA SÉCURITÉ D’UN RÉSEAU POUR
IDENTIFIER LES FAILLES.

• L’ÉVALUATION D’UNE APPLICATION : C’EST LE FAIT D’ÉVALUER LES VULNÉRABILITÉS D’UNE APPLICATION
SUR UN SERVEUR PAR EXEMPLE.

• L’ÉVALUATION D’UN RÉSEAU SANS FIL : L’ÉVALUATION SE FAIT SUR LE RÉSEAU SANS FIL.
 VII.5- CYCLE DE VIE DE LA GESTION D’UNE
VULNÉRABILITÉ

• POUR BIEN ÉVALUER LES VULNÉRABILITÉS, IL FAUT SUIVRE DIFFÉRENTES PHASES.

PHASE DE PRÉ-ÉVALUATION : CRÉER DES LIGNES DE BASE
• CETTE PHASE CONSISTE À :
• IDENTIFIER ET COMPRENDRE LE PROCESSUS
• IDENTIFIER LES APPLICATIONS, LES DONNÉES ET LES SERVICES
• FAIRE UN INVENTAIRE DE TOUS LES ACTIFS DE L’ORGANISATION ET CLASSER PAR
ORDRE DE PRIORITÉ CEUX QUI SONT CRITIQUES
• CARTOGRAPHIER LE RÉSEAU
• IDENTIFIER LES CONTRÔLES EXISTANTS
• COMPRENDRE LES NORMES ET POLITIQUES DE SÉCURITÉ
• DÉFINIR LA PORTÉE
• CRÉER DES PROCÉDURES DE PROTECTION DES INFORMATIONS POUR APPUYER LA
PLANIFICATION
PHASE D’ÉVALUATION
• C’EST LA PHASE DE L’ÉVALUATION PROPREMENT DIT ET ELLE CONSISTE À :
• EXAMINER LA SÉCURITÉ PHYSIQUE
• VÉRIFIER LES ERREURS HUMAINES ET LES MAUVAISES CONFIGURATIONS
• FAIRE DES SCANS DE VULNÉRABILITÉ AVEC NESSUS, NMAP, ACUNETIX, GFI
LANGUARD.
• PRIORISER LES VULNÉRABILITÉS
• APPLIQUER LES RÉSULTATS DU SCAN AU CONTEXTE TECHNOLOGIQUE ET
ÉCONOMIQUE.
• EFFECTUER LA COLLECTE D’INFORMATIONS OSINT POUR CONFIRMER LES
VULNÉRABILITÉS TROUVÉES
• FAIRE UN RAPPORT D’ANALYSE
PHASE DE POST-ÉVALUATION
• CETTE PHASE D’APRÈS ÉVALUATION PERMET DE FAIRE UNE :
• EVALUATION DE RISQUE : CELA CONSISTE À CARACTÉRISER LE RISQUE, ÉVALUER LE
NIVEAU D’IMPACT ET DÉTERMINER LA MENACE ET LE NIVEAU DU RISQUE.
• RÉPARATION (PAS DE SOLUTIONS, JUSTE DES RECOMMANDATIONS) : IL FAUT
PRIVILÉGIER LA RECOMMANDATION, DÉVELOPPER UN PLAN POUR LA METTRE EN
PLACE, EFFECTUER UNE ANALYSE PROFONDE DES CAUSES, APPLIQUER DES
CORRECTIFS, SAISIR LES LEÇONS APPRISES ET FAIRE DES SENSIBILISATIONS.
• SURVEILLANCE : LA SURVEILLANCE SE FAIT AVEC LES OUTILS DE DÉTECTION ET DE
PRÉVENTION D’INTRUSION (IDS/IPS) ET L’IMPLÉMENTATION DES PROCÉDURES DE
CONTRÔLE
 VII.6- COMPARAISON DES APPROCHES SUR L’ÉVALUATION DE
VULNÉRABILITÉ
Il existe différentes approches : les solutions basées sur le produit, les solutions basées sur le service, l’évaluation à base et l’évaluation à base de déduction.

• APPROCHE BASÉE SUR LE PRODUIT

• Cela consiste à installer un dispositif d’évaluation sur le réseau interne de l’organisation. S’il se trouve derrière un pare-feu, il ne pourra pas toujours détecter les attaques de l’extérieur.

• APPROCHE BASÉES SUR LE SERVICE

• Cela peut être fait par des sociétés qui évoluent dans le domaine d’audit de sécurité. Certaines des solutions sont hébergées à l’intérieur, d’autres à l’extérieur du réseau. L’inconvénient est
que les attaquants peuvent auditer le réseau depuis l’extérieur.

• EVALUATION À BASE D’ARBRES

• L’auditeur utilise différents stratégies pour chaque hôte selon leur niveau de criticité. L’administrateur doit commencer par fournir un plan de renseignement (shot of intelligence).

• EVALUATION À BASE DE DÉDUCTION

• Le scan débute avec l’inventaire des protocoles trouvés sur la machine. Après cela, le scan va permettre de savoir quels sont les services qui tournent derrière les ports ouverts (serveur de
messagerie, serveur web, serveur de données). Après avoir découvert les services, ce sera la découverte de vulnérabilité sur chaque machine selon les types de services qui y sont
disponibles et tenus en compte. En d’autres termes, cela consiste à faire une énumération approfondie sur ces services.
 VII.7- ELEMENT DU SCAN DE VULNERABILITE
• LES TYPES D’OUTILS
Il existe différents types d’outils dans le domaine d’analyse de vulnérabilité :
• Outils basés sur l’hôte : ils sont installés sur l’hôte et permettent de déceler des vulnérabilités sur les ports disponibles sur ce dernier.
• Outils d’évaluation en profondeur : ils permettent de trouver des vulnérabilités inconnues, c’est-à-dire des vulnérabilités que les ids/ips
ou pare-feu ne connaissent pas.
• Outils de la couche application : ils permettent d’évaluer une application dans un hôte pour regarder s’il n’y a pas de failles sur les
codes sources.
• Outils d’évaluation de portée : dédiés aux pare-feu, ids/ips, bases de données, cloud, etc. Ils sont destinés à un but spécifique.
• Outils d’évaluation active/passive : cela consomme les ressources du réseau (pour l’évaluation active), étudie les données du système
et effectue leur traitement (pour l’évaluation passive).
• Outils de localisation/données : ces outils sont destinés à un lieu donné. Par exemple, il est possible d’utiliser un proxy pour voir
certains vulnérabilités sur un endroit, ou utiliser un scanner sur un réseau.
 VII.8- CARACTÉRISTIQUES D’UNE BONNE SOLUTION
D’ÉVALUATION DE VULNÉRABILITÉ
• S’ASSURER QUE LES RÉSULTATS SONT CORRECTS EN TESTANT LE RÉSEAU
• APPROCHE BASÉE SUR LA DÉDUCTION
• BASES DE DONNÉES MISES À JOUR
• RAPPORT DE VULNÉRABILITÉS PAR NIVEAU DE SÉCURITÉ
• SUPPORTER DIVERS RÉSEAUX
• REMÈDES APPROPRIÉS
• VUE EXTÉRIEURE DES ATTAQUANTS
VII.8- CHOIX D’OUTILS D’ÉVALUATION
POUR CHOISIR UN OUTIL D’ÉVALUATION, IL FAUT CHOISIR UN QUI :
• CONTIENT PLUSIEURS SIGNATURES D’ATTAQUES ;
• CORRESPOND À VOTRE ENVIRONNEMENT ET DOMAINE D’EXPERTISE ;
• MET À JOUR RÉGULIÈREMENT SES SCRIPTS DE TESTS DE VULNÉRABILITÉ ;
• GÉNÈRE DES RAPPORTS ;
• VÉRIFIE LES DIFFÉRENTS NIVEAUX DE PÉNÉTRATION POUR ÉVITER LES
BLOCAGES
 VII.9- LES CRITÈRES À TENIR EN COMPTE POUR L’OUTIL
D’ÉVALUATION PORTENT SUR
• SES TYPES DE VULNÉRABILITÉS À ÉVALUER ;
• SES CAPACITÉS DE TEST ;
• SES APTITUDES ;
• SON EFFICACITÉ ET SA PRÉCISION ;
• SA RECHERCHE INTELLIGENTE ;
• SES FONCTIONNALITÉS ;
• SES PLANIFICATIONS D’EXÉCUTION DE TESTS ;
ET DANS LA PRATIQUE, IL FAUT :
• QU’IL NE PUISSE PAS ENDOMMAGER LE RÉSEAU ;
• ESSAYER DE COMPRENDRE SES FONCTIONNALITÉS ;
• LOCALISER LA SOURCE ;
• ACTIVER LA JOURNALISATION ;
• SCANNER DIVERS SYSTÈMES FRÉQUEMMENT.
VII.10- LES SYSTÈMES DE NOTATION DES VULNÉRABILITÉS
POUR LES SYSTÈMES DE NOTATION, ON PEUT CITER :
• SYSTÈME COMMUN DE NOTATION DE VULNÉRABILITÉ (Ou common vulnerability scoring system,
en anglais – CVSS) : il offre un cadre ouvert pour partager les impacts et les caractéristiques des
vulnérabilités découvertes dans le domaine de l’informatique.
• VULNÉRABILITÉS ET DIVULGATIONS COMMUNES OU CVE (Common vulnerabilities and
exposures) : c’est une base de données qui permet de partager un ensemble de vulnérabilités déjà
connues.
• BASE DE DONNÉES NATIONALE DE VULNÉRABILITÉ OU NVD (National vulnerability
database) : c’est un référentiel standard du gouvernement américain basé sur les données de gestion
des vulnérabilités. Ces données activent l’automatisation de la gestion des vulnérabilités, des mesures
de sécurités et de conformité. Ce référentiel est constitué de bases de données contenant des listes de
contrôle de sécurité, des noms de produit et des mesures d’impacts.
• RESSOURCES : SECURITY MAGAZINE, SECURITY FOCUS,HACKER STORM, EXPLOIT-DB.COM.
VII.11- OUTILS D’ÉVALUATION DE VULNÉRABILITÉ

• ILS EXISTE DE NOMBREUX OUTILS D’ÉVALUATION DE VULNÉRABILITÉ, MAIS

NOUS NE POUVONS EN CITER QUE QUELQUES UNS : QUALYS, NESSUS,

LANGUARD, NIKTO, OPENVAS, RETINACS, SAINT, MICROSOFT BASELINE

SECURITY ANALYZER (MBSA), AVDS, BURP SUITE, NMAP, ACUNETIX, RETINA CS

FOR MOBILE, SECURITY METRICS, NESSUS, NETSCAN.

VII.12- RAPPORT D’ÉVALUATION DE VULNÉRABILITÉ
Le rapport d’évaluation dévoile les risques détectés lors du scan du réseau.
Il permet d’alerter l’organisation sur les éventuelles attaques et proposer des
contremesures.
Les informations disponibles dans ce rapport sont utilisées pour fixer des
règles de sécurité.
• CONTENU DU RAPPORT D’ÉVALUATION :
• INFORMATIONS SUR LE SCAN ;
• INFORMATION SUR LA CIBLE ;
• RÉSULTATS.