L’analyse de risques est un outil indispensable à une bonne hygiène informatique ; et ce, quel que soit le secteur d’activités, le type d’établissement (public ou privé) ou sa taille. Une bonne vision des risques pesant sur un système d’information est une priorité pour protéger savoirs faire et actifs numériques. Certaines fois, la réglementation vous oblige à effectuer ces analyses de risques. Citons par exemple : Le Règlement général sur la protection des données (RGPD) dans le cadre d’analyse d’impact ; Le Référentiel Général de Sécurité pour l’homologation des systèmes d’information ou des applicatifs gérés par des établissement publics ; Le Règlement européen Eidas ayant pour but d’augmenter la confiance dans les transactions électroniques au sein de l’UE, etc. De la même façon, certaines certifications (1) nécessitent une analyse de risques pour pouvoir obtenir les agréments demandés. Analyse de risques : notions générales Une analyse de risques permet d’identifier les menaces qui pèsent sur les systèmes d’information, comme les risques liés à : La cybercriminalité (ransomware, phishing, etc.) ; La concurrence déloyale ; La corruption interne ; Des évènements naturels (inondation, incendie – cas du Datacenter d’OVH). Un risque peut se calculer en termes de gravité et de vraisemblance. La gravité représente l’ampleur d’un risque c’est-à-dire ses impacts potentiels sur le système d’information. La vraisemblance d’un risque traduit sa possibilité de survenance. Cette vraisemblance dépend essentiellement des : Vulnérabilités pesant sur le système d’information face aux menaces ; Capacités des sources de risques à les exploiter. Les niveaux de gravité et de vraisemblance s’évaluent. La Cnil a donné pour cela l’échelle de valeur suivante accompagnée d’exemples concrets : Le risques 4 concerne notamment l’atteinte à des données de santé, et encore une fois l’actualité nous le rappelle tristement avec toutes les cyberattaques qui ont lieu sur les SI d’hôpitaux et de laboratoires de santé qui ont causé le décès d’une personne en Allemagne (2). Concernant la vraisemblance, l’échelle de valeur est la suivante : Une vraisemblance 4 peut concerner par exemple une attaque informatique ayant utilisé la vulnérabilité d’une application non corrigée. Sans correctif apporté,  les attaquants utiliseront de nouveau la faille. Une autre vraisemblance 4 : un traitement de vidéosurveillance dans lequel les postes de supervision seraient accessibles ou visibles par tous les membres du personnel, voire aux visiteurs des locaux. Toutes les vidéos (données personnelles) seraient ainsi diffusées à d’autres personnes que le personnel en charge de la surveillance. Identifier la source de risques La Cnil évoque le fait d’identifier des  « sources de risques ». Lors d’une analyse de risques, il faut donc rechercher le fait générateur d’une atteinte au SI ou à l’application concernée. Cela dépend beaucoup de l’environnement dans lequel évolue le responsable de traitement ; mais des grandes tendances sont communes à tous les secteurs. Les sources de risques peuvent ainsi être humaines et internes à l’entreprise : salariés en poste, administrateurs informatiques, stagiaires, dirigeants, tiers autorisés, etc. Elles peuvent aussi être non humaines : codes malveillants, eau, épidémie, feu, animaux, etc. Elles peuvent également être externes à l’entreprise : pirates informatiques, concurrents, journalistes, visiteurs, sous -traitants, clients, etc. Cette analyse de menaces doit s’accompagner de mesures de traitement du risque. Le but : l’éliminer ou pour le moins, en limiter les effets. Méthodologie pour réaliser une analyse de risques Il existe de nombreuses méthodes pour effectuer une analyse de risques, la méthode Ebios étant celle qui est recommandée par l’Anssi. L’important au final est que la personne qui effectue l’analyse de risques puisse travailler de manière neutre et sans subir la pression de son propre environnement professionnel. C’est la raison pour laquelle, il semble préférable de confier les analyses de risques à des cabinets ou à des sociétés d’audit externes au service responsable du traitement concerné. Les étapes pour mener une analyse de risques sont les suivantes : Étape 1 : effectuer les interviews des personnes concernées Les personnes concernées peuvent être les dirigeants, le délégué à la protection des données, les équipes métiers, les équipes informatiques, les équipes d’info gérance, etc. Le ton employé aura alors ici une importance primordiale.  Il est ainsi nécessaire d’installer un climat de confiance avec la personne interviewée. L’entretien ne devra pas prendre une forme accusatoire si vous souhaitez obtenir des informations correctes. Il s‘agira de bien comprendre les usages au sein de l’entreprise. Ainsi, un bon analyste sera alerté par des équipes métiers qui voient leur propre équipe informatique comme une ressource inutile et qui préfèrent développer eux même leurs propres outils et ce, sans validation d’une équipe technique (c’est ce qu’on appelle le Shadow IT). Étape 2 : rassembler la documentation Il s’agit ici d’étudier toute la documentation de sécurité utilisée par le responsable de traitement ou son sous-traitant : PSSI, Plan assurance sécurité ; Charte informatique ; Politique de mot de passe, politique de sauvegarde et d’archivage des données ; Résultat des tests de sécurité effectués en interne ou en externe (test d’instruction, pentest, audit de code) ; PCA et PRA ; Politique de gestion des logs ; Accord de confidentialité ; Politique de sureté des locaux, etc. Un document qu’il ne faut pas négliger est la cartographie précise des applications hébergées sur le SI, des flux de données qui naviguent entre elles et des DATACENTER utilisés par le responsable de traitement. Ce document est important car il permet de détecter les zones vulnérables d’un SI et notamment celles ouvertes sur internet. Si ce document n’existe pas, l’analyste pourra proposer au RT de l’aider à le construire à partir de nombreux outils de cartographie qui existent sur le net. Étape 3 : dresser un état des mesures mises en œuvre par le responsable de traitement ou son sous-traitant Il s’agira par exemple de décrire les mesures de sécurité appliquées comme la politique de mot de passe, la durée de conservation des logs, la durée de conservation des sauvegardes, le type de sauvegarde effectuée, les mesures de chiffrement, la protection des locaux, la sécurité des postes de travail et également les mesures organisationnelles telles que relation avec les tiers, gestion du … Lire la suite de L’analyse de risques, outil indispensable à une bonne hygiène informatique