Comment quantifier un risque

Soyons précis d’ailleurs : la 27001 dit qu’il faut d’abord identifier les risques (voir l’article susnommé), et ensuite, seulement ensuite, les analyser. On retrouve cela en 6.1.2d du manuel, et le paragraphe est découpé en 3 parties :

• l’appréciation des conséquences ; on parle aussi d’impact dans le jargon RSSI ;
• l’évaluation de la vraisemblance ; on voit quelquefois utilisé le terme « probabilité » ;
• la détermination du niveau de risque.

Première remarque : à aucun moment donné, on ne voit le croisement entre une vulnérabilité, sa facilité d’exploitation, une menace et sa capacité à exploiter ladite vulnérabilité. C’est un truc des EBIOSistes ; en général, ils s’éclatent avec cela. On peut laisser le rejeton devant Tchoupi et le conjoint EBIOSiste devant une matrice n-n et partir en week-end tranquillement.

Pour ce qui concerne l’impact, d’habitude, on le divise en trois axes : juridique, image et financier. Mais à un moment donné, il va falloir mettre en place des échelles, sinon la détermination du niveau de risque va être délicate. Par exemple, pour le juridique, on peut imaginer une échelle de la sorte :
0 : aucun impact ;
1 : simple amende ;
2 : procès au civil ;
3 : procès au pénal ;
4 : une partie des dirigeants en costume rayé.

Idem pour le financier, idem pour l’image ; l’important est d’avoir une échelle, et il en circule pas mal dans le milieu. On vient de régler le cas de l’impact.

Pour ce qui concerne la vraisemblance, idem, on peut inventer une échelle du type :
1 : se produit moins d’une fois tous les 5 ans ;
2 : se produit une fois par an ;
etc., etc., etc.

Pour ce qui concerne enfin la détermination du niveau de risque, la norme ne donne aucune indication, et en général, on utilise une petite formule mathématique du genre : Max (Juridique, Image, Financier) × Vraisemblance. Aucune contrainte en la matière : si vous voulez utiliser une équation du 8e degré, faites-vous plaisir. Et là, on pense avoir terminé le travail, mais en fait non, car le diable est partout, et pas que dans les détails.

La norme parle en effet d’une évaluation réaliste de la vraisemblance, et je vois d’ici l’auditeur vous demander comment vous vous assurez de ce côté « réaliste », à la fois de votre échelle de vraisemblance et des notations attribuées à chaque risque. Pour l’échelle de vraisemblance (comme pour les autres échelles décrites), le principe est de les mettre à l’ordre du jour soit de la revue de direction, soit de l’audit interne, histoire de garantir qu’elles ont été examinées par un tiers (idem d’ailleurs pour la formule finale de calcul du niveau de risque). Pour ce qui est du côté « réaliste » de l’évaluation de chaque risque, le principe est de faire une veille des principaux sinistres cyber dans la profession et au-delà pour construire, même à minima, une bibliothèque des risques les plus courants.

Cela vous semble compliqué, mais en fait, c’est assez simple. La norme est extrêmement souple ; elle permet de faire à peu près ce que l’on veut en matière d’axes d’impact, d’échelles, de formule, etc. Parce que le centre de gravité de la norme n’est pas cela (eh non, ce n’est pas l’analyse de risque qui est au centre), il se résume en deux expressions :

• vous ne pouvez pas ne pas traiter le sujet impact / vraisemblance / calcul du niveau de risque (le paragraphe stipule bien les trois, car cela en constitue l’ossature) ;
• et surtout, quelle que soit la décision prise, qui vous regarde, vous devez la faire évaluer ; l’audit interne et la revue de direction ne sont que deux moyens parmi d’autres.

Dit autrement, il y a :

• une méthode, qu’il faut décrire ;
• les risques, qu’il faut évaluer selon cette méthode ;
• et une revue de la méthode elle-même.

Et là, on a compris ce qu’était un SMSI. Enfin, en principe.

[1] https://dsih.fr/articles/6211/lanalyse-de-risque-et-la-pssi-cela-ne-sert-a-rien

[2] https://dsih.fr/articles/6211/lanalyse-de-risque-et-la-pssi-cela-ne-sert-a-rien

[3] Interdiction de spoiler