B - Analyse et estimation des risques
Le système informatique d'une entreprise
multinationale, à l'instar de tout système de gestion
d'entreprise complexe, est composé de différentes parties, qui
ont une importance plus ou moins stratégique. Les moyens employés
pour protéger ces divers composants doivent donc être en
adéquation avec leur importance. Le choix des dispositifs de protection
est l'aboutissement d'une démarche rationnelle d'analyse des risques.
Celle-ci prend en compte d'une part les caractéristiques du dispositif
à protéger (valeur pour l'entreprise, protection) et d'autre part
les probabilités de concrétisation des différentes
menaces.
On peut résumer une démarche d'analyse des
risques informatiques en 8 étapes :
1. Identifier ce qu'il faut protéger.
2. Identifier les menaces.
3. Identifier les points faibles.
4. Estimer la probabilité des risques.
5. Calculer les prévisions de pertes annuelles pour
chaque point faible (P.P.A.).
6. Identifier les mesures protectrices nécessaires.
7. Estimer (statistiquement) la réduction du PPA pour
chaque mesure protectrice.
8. Sélectionner les meilleures mesures de protection
(rapport prix /réduction du PPA)
Le PPA est calculé par des méthodes
mathématiques. On peut citer la méthode basée sur le
travail de Robert Courtney et d'IBM. Cette méthode calcule le PPA en
fonction de 2 valeurs V et P, expression de la valeur du bien
protégé et de la probabilité d'une menace, sur une
échelle de 1 à 8.
On obtient ces valeur à partir de v :valeur du
bien (en unité monétaire) et p : fréquence (en
probabilité par an ), et par les conversions logarithmiques
suivantes :
P=3+log103p et V=log10V
Ce qui nous permet de calculer une expression du PPA :
PPA= (0,3) (10P+V-3)
On voit donc qu'il est possible de quantifier les risques avec
une précision qui va dépendre des méthodes
employées. Ceci va permettre d'établir des règles de
sécurité informatiques cohérentes et adaptées aux
objectifs.
|