19 déc. 2007

Le risque informatique ... c'est quoi au juste ?

Dans le monde des affaires on parle souvent du risque financier ou le risque économique ... dans le monde des sapeurs pompiers on parle du risque d'incendie ... dans n'importe quel domaine le risque existe .... le risque étant défini comme une formule à deux composantes probabilité et probabilité
RISQUE = F(Probabilité , Impact).
le risque que votre voiture tombe en panne est très négligeable ... tout simplement vous venez d'acheter une nouvelle voiture et donc la probabilité que ca tombe en panne est très négligeable ... mais si vous êtes pilote d’avion.. même si le risque est très négligeable avec deux moteurs, vous avez besoin d'un parachute ... car si jamais l'avion crash c'est une vie qui est mise en jeu ... ceci dit que les deux composantes déterminent clairement la valeur ou le niveau du risque ... on peut tout de même accepter certains risque pour deux raisons : on ne peut rien faire pour les arrêter ..Comme le risque de mourir .... ou bien leur impact est négligeable ... comme le risque que je rate un train vers rabat..je prendrai le second ...il est donc conseillé au retardataires d'évaluer le risque lorsqu'ils sont entrain de conduire comme des fous pour arriver et donc il augmente un risque insupportable et diminue un risque supportable ... Bref , dans la sécurité des SI , le risque est défini comme suit :


Risque = Vulnérabilité X Menace X Impact

La vulnérabilité augmente la probabilité d'être attaqué ... ce qu'on appelle l'exposition au risque au risque ... dans l'exposition on parle aussi de l'exposition naturelle ...l'argent est par nature exposé au risque ...
La menace : c'est tous scénario de risque qui pourra mettre en jeu votre SI. l'inondation est un scénario de risque pour votre salle informatique ...
L'impact :ce sont les pertes suite à un scénario de risque ...
sachez que le virus sasser a causé des arrêts dans la bourse au USA ..donc des pertes d'argent considérable ...
il est donc à ce stade trés logique que dans une entreprise il ne faut pas sécuriser tout ..car c'est bete que le cout de sécurité depasse le cout de l'impact de l'insécurité ... Dans la pratique on choisit les ressources les plus critiques à sécuriser ... jusqu'à arriver à un niveau de risque dit acceptable et on s'arrete ... sauf pour les militaires ou la sécurité est à tout prix ...
Comment faire alors pour diminuer le risque ..Vous avez la formule devant vous ! ... Z = A* B ... à moins que FERMA s'est trompé dans son théoreme .. il faut agir donc sur A et B jusqu'à trouver l'équilibre ideal ...
on cite dans ce cas plusieurs mesures pour diminuer le risque :
1-mesure dissuasive : si vous n'afficher pas le reglement ainsi que les sanctions qui en découle si il est violé vous ne pouvez pas dissuader les gens de ne pas respecter les consignes.
2-Mesures présventives : avant que le siniste se déroule il faut prévoir des moyens pour signaler ses symptomes ... un scan des ports est generalement preccede une attaque ciblée....
3-Mesures de detection : si au mement du sinistre vous n'avez pas les moyens de le detecter les dégats sont à deviner ... c'est pour ca qu'on met des detecteur d'incidents dans les locaux ...
4-Mesures de protection : aprés detection il faut atteindre le feux ..Donc diminuer ou reduir les dégats du risque ...
5- Mesures correction : il faut aussi corriger aprés le sinistre ..donc reparer si votre systeme est endommagé ...
6-Mesures palliatives : si jamais les dégats sont la ...vous n'avez rien pu faire alors vous avez le choix entre deux choses ... consulter votre assureur pour récuperer votre argent ... ou bien consulter votre avocat pour reporter la résponsabilité sur une autre partie ... un contrat bien fait avec un opérateur pourra vous éviter des pertes enormes ... pensez surtout à inculure les pénalités ...c'est toujours util.
C'est la la philosophie du risque informatique à qui doit croire les RSSIs .... ces pauvres qui bossent chaque jours et qui lorsque ca marche c'est leurs boulots et lorsque ca ne marche pas c'est grave ... un RSSI est à mon sens un homme dont :
Récompenser ou Sauver Sa peau ...est Impossible .... je me demande si le destin du risque est entre les mains d'un RSSI ..ou le destin d'un RSSI est sa fin après un sinistre ...
La vie appartient à ceux qui savent attendre ...

Publié par à

1 commentaire:

Khalid EL OUSAMI a dit…

Je n'ai pas lu ce billet à cause de sa mauvaise présentation.

1 janvier 2008 à 21:47

Enregistrer un commentaire

Inscription à : Publier les commentaires (Atom)