29
[Audit Sécurité des Sy stèmes d’Information]
LICENCE PROFESSIONNELLE – ADMINISTRATION DE SYSTÈMES INFORMATIQUES
La troisième étape est l’identification des vulnérabilités des actifs recensés. La vulnérabilité est la propriété intrinsèque du bien qui l’expose aux menaces. A titre d’exemple, un ordinateur portable est vulnérable au vol mais sa vulnérabilité n’est pas le vol mais sa portabilité. Dans ce cas l’identification de la vulnérabilité est la portabilité. La quatrième étape est l’identification des menaces qui pèsent sur les actifs d’information précédemment recensés. Si l’on reprend l’exemple de l’ordinateur portable, la menace est dans ce cas le vol. La cinquième étape vise à évaluer l’impact d’une perte de la confidentialité, de la disponibilité ou de l’intégrité sur les actifs. Pour mesurer cet impact on peut par exemple utiliser une matrice des risques, la norme n’impose aucun critère de mesure. La sixième étape demande d’évaluer la vraisemblance des précédentes étapes du processus en plaçant dans leur contexte les actifs. Il s’agit par exemple de considérer les mesures de sécurité déjà en vigueur dans l’organisme. Si l’ordinateur portable possède une clef d’authentification, un cryptage de ses données ou un accès VPN pour travailler, alors la vraisemblance d’observer un impact sur la confidentialité, la disponibilité ou l’intégrité de ses données est limitée. La septième étape consiste à attribuer une note finale reflétant les risques pour chacun des actifs d’information. La norme n’impose aucune formule, on peut par exemple utiliser un code couleur (rouge pour un niveau de risque très élevé, orange pour moyen et vert pour faible. Dans le point suivant, nous présentons deux méthodes connues et largement employées par les organismes pour l’appréciation des risques de leur SMSI. 2.2.2- Méthodes d’appréciation des risques En 2004, une étude du CLUSIF (Club de la Sécurité de l’Information Français) dénombrait plus de deux cents méthodes d’appréciation des risques. Nous allons parler des méthodes, EBIOS et MEHARI.