INTRODUCTION À LA GESTION DE RISQUE INFORMATIONNEL. Centre de recherche Hochelaga-Maisonneuve

Transcription

1 C R H O M A Centre de recherche Hochelaga-Maisonneuve INTRODUCTION À LA GESTION DE RISQUE INFORMATIONNEL PAR MARC-ANDRÉ LÉGER Centre de recherche Hochelaga-Maisonneuve 1691, Pie-IX, Montréal, Qc, H1V 2C3 Téléphone:

2 Introduction à la gestion de risque informationnel par marc-andré Léger 1691, boul Pie-IX, Montréal, Québec, Canada, H1V 2C3 Livre électronique : isbn Version imprimée: isbn publié le 1er mars 2013 Dépôt légal - Bibliothèque et Archives nationales du Québec, 2013 Dépôt légal - Bibliothèque et Archives Canada,

3 Table des matières Chapitre 1: La sécurité! 9 Informatique ou informationnel?! 14 Mise en oeuvre sur le terrain! 18 Le risque! 28 La gestion de risque! 31 Exercice à réaliser en classe! 40 Questions de révision! 42 Bibliographie de ce chapitre! 49 Chapitre 2: La gestion de risque informationnel! 51 La perception! 56 Le changement! 60 Questions de révision! 66 Bibliographie! 72 Chapitre 3: L aléa! 73 Les menaces pouvant causer des dommages matériels! 75 Les menaces pouvant causer des dommages immatériels! 77 Hackers! 84 Aléas dans les projets TI! 87 Aléas en impartition! 90 Aléas en infonuagique! 92 Sources d aléas potentiels en infonuagique! 93 Exercice à faire en classe! 95 Bibliographie! 104 Chapitre 4: Les vulnérabilités! 105 Questions de révision! 114 Chapitre 5: L impact! 119 Externalisation! 126 Assurance! 127 Exercices à réaliser en classe! 128 Questions de révision! 131 Bibliographie! 135 3

4 Chapitre 6: La norme ISO 27005! 137 Les domaines de la norme! 140 Les critères de base d ISO 27005! 142 Les critères d acceptation des risques d ISO 27005! 144 L organisation de gestion de risque informationnel! 146 L évaluation des risques:! 148 L identification des actifs informationnels! 150 L identification des contrôles existants! 153 L identification des conséquences! 156 Les méthodes de mesure du risque selon ISO 27005! 158 L estimation qualitative du risque! 158 L estimation quantitative du risque! 159 L évaluation des conséquences! 160 L évaluation de la probabilité de réalisation des incidents! 162 Estimation du niveau de risque! 164 L évaluation du risque! 164 Chapitre 7: Les méthodologies d analyse de risque! 167 Comprendre ce qu est une méthodologie.! 168 La validité interne et externe! 170 La mesure des variables! 171 Les échelles de mesure! 173 L'échantillonnage! 175 OCTAVE! 176 MÉHARI! 180 Les éléments de MÉHARI! 181 EBIOS! 184 L établissement du contexte! 185 L appréciation des risques! 185 Le traitement des risques! 187 La validation du traitement des risques! 187 La communication et la concertation relatives aux risques! 187 La surveillance et la revue des risques! 189 Une démarche itérative en cinq modules! 189 4

5 Module 1 Étude du contexte! 189 Module 2 Étude des événements redoutés! 190 Module 4 Étude des risques! 190 Module 5 Étude des mesures de sécurité! 191 Questions de révision! 192 Chapitre 8: Le processus IPM! 199 Avant de débuter l analyse! 200 Phase 1: identification et évaluation des scénarios de risque! 202 Création des portfolios de risque! 218 Proposition et approbation du plan directeur! 221 Mise en oeuvre du plan directeur! 221 Sélection d un portfolio! 221 Proposition et approbation du plan directeur de gestion du risque informationnel!222 Mise en oeuvre du plan directeur! 222 Exercice en classe! 223 Questions de révision! 227 Bibliographie! 233 5

6

7 Introduction Ce livre porte sur la gestion du risque informationnel, c est-à-dire sur la gestion des risques associés à la gestion des informations dans les organisations. Nul ne douteront que les organisations modernes nécessitent de grande quantités d informations pour créer et maintenir un avantage compétitif. Aujourd hui, cette gestion de l information nécessite l utilisation par les organisations d une multitude de technologies de l information et de la communication, les TIC. L utilisation de technologies complexes et hétérogènes, comme les TIC, créent des risques que les organisations doivent maîtriser. De plus, l accès à l information et la connaissance qu elle transporte, par des utilisateurs autorisés, au moment opportun et dans divers lieux, est critique au fonctionnement efficace des organisations en ces temps de globalisation. C est ce qui rend un livre comme celui-ci essentiel à tous les gestionnaires, les responsables des TIC, les équipes techniques et l ensemble de ceux qui évoluent dans l écosystème informationnel de l organisation. Du matériel multimédia et des vidéos accompagne ce livre via le lien internet suivant: Introduction à la gestion de risque informationnel p a r M a r c - A n d r é L é g e r

8

9 Introduction à la gestion de risque informationnel Chapitre 1: La sécurité L organisation qui souhaite gérer ses risques informationnels le fait souvent dans une optique de sécurité, qu il s agisse de sécurité informatique ou sécurité de l information. Il est donc utile de débuter par une compréhension de ce qu est la sécurité. La sécurité désigne un état de fait, l absence de risque inacceptables. Cette définition générale est applicable dans plusieurs contexte. Par exemple, un individu se sentira en sécurité s il perçoit qu il n est pas en présence de risques qu il considère inacceptables ou qu un danger est imminent. S il souhaite traverser la rue, un risque inacceptable pour un individu serait une automobile qui arrive dans sa direction. Dans ce cas il ne traversera pas la rue, il attendra que la l automobile ai passé et que la situation soit devenue sécuritaire. Ainsi la notion de sécurité est indissociable de celle du risque. D une certaine façon la sécurité est le contraire du risque, il y a de la sécurité quand il n y a pas de risque inacceptable. De même, plus le risque est acceptable et plus la sécurité est élevé. Il y a plusieurs éléments importants à cette définition: La sécurité est un concept gradué; La sécurité comporte une dimension subjective; et L acceptabilité du risque varie selon le contexte. 9

10 Chapitre 1 La sécurité est un concept gradué C est-à-dire que l on peut être plus ou moins en sécurité, dépendant de l intensité du risque auquel nous faisons face, et à l étendue des intérêts visés. Il n existe aucun seuil métaphysique au-delà duquel nous entrons dans un état de sécurité, et en deçà duquel on peut dire que la sécurité manque. 10

11 Introduction à la gestion de risque informationnel La sécurité comporte une dimension subjective La sécurité est un sentiment qui, au même titre que la confiance, varie en fonction des individus, des communautés et du contexte. Le sentiment de sécurité, c est-à-dire, le sentiment que nos intérêts les plus fondamentaux ne sont pas menacés par des agents disposés à poser des gestes susceptibles de nous être préjudiciables, fait que nous n avons pas à faire des investissements de ressources matérielles ou psychologiques démesurées pour protéger ces intérêts, que nous pouvons au contraire investir ces ressources dans des activités productives. Ce sentiment est intimement lié à la prévisibilité. Le sentiment de sécurité n exige pas que nous soyons à l abri de tout risque inacceptable, mais plutôt que ceux auxquels nous faisons face se situent à l intérieur d un cadre de règles et de pratiques auxquels nous consentons. 11

12 Chapitre 1 L acceptabilité du risque varie selon le contexte Ce qui est inacceptable pour un individu, à un moment donné, dans un contexte donné peut varier. Cette tolérance à l acceptabilité peut varier dans le temps et selon le contexte. Par exemple, il est possible de tolérer un risque si les bénéfices envisagés par une activité, même à court terme, sont perçus comme étant suffisamment élevés pour justifier les possibles résultats non désirables. On peut penser aux fumeurs qui, par habitude ou par addiction, considèrent le tabagisme comme un risque acceptable. Encore, un individus qui s adonne dans ses loisirs à un sport extrême, par exemple la parachutisme depuis un immeuble ou un pont (base jumping), dont il retire un plaisir apporté par une surdose d adrénaline, comme un risque acceptable. 12

13 13 Introduction à la gestion de risque informationnel

14 Chapitre 1 Informatique ou informationnel? L informatique, dans ce livre, réfère aux technologies utilisées: les ordinateurs, périphériques et autres éléments techniques qui sont utilisés en TIC. L informatique est le support physique à l information sous une forme numérique. L informationnel est en relation aux informations, c est-à-dire aux données structurées, qui sont emmagasinées, manipulés et transmises en utilisant des outils informatiques. En considérant que ce qui contribue le plus à la création d un avantage compétitif d une organisation c est l information et non l informatique, l accent de ce livre est sur l informationnel. Nous parlerons donc de sécurité de l information et de risque informationnel. Quand nous parlerons de mesures particulières qui ont pour but de permettre de réduire, contrôler ou mitiger les risques, alors nous entrerons dans la sécurité informatique, c est-à-dire associé à des TIC. La sécurité de l information est une sous-catégorie de la sécurité de façon générale telle que nous l avons présenté précédemment. Elle est définie comme l ensemble des actions et des procédures conçues pour prévenir, avec un niveau de certitude démontrable, la divulgation, le transfert, la modification ou la destruction non autorisée, volontaire ou accidentelle des informations détenues par une organisation. L ensemble des ces informations forment le patrimoine informationnel de l organisation. Par patrimoine informationnel, nous entendons les données, informations, ressources informationnelles, actifs informationnels et l ensemble des TIC qui sont utilisés durant le cycle de vie de l information. 14

15 Introduction à la gestion de risque informationnel Les principaux objectifs de la sécurité de l information sont : la confidentialité des données, l intégrité des données, la disponibilité des données, Ces objectifs varient selon les situations, les contextes et le temps. Les objectifs de sécurité proviennent de différentes sources: besoins d'affaires, analyse de risque, politiques de sécurité, recueils de pratiques exemplaires, obligations légales ou contractuelles, lois et règlements, accords internationaux, codes d'éthique, de déontologie ou de gouvernance, normes locales, sectorielles, nationales ou internationales. Ce sont ces sources des objectifs de sécurité de l information qui doivent être identifiées afin définir les objectifs et les besoins de sécurité de l information (confidentialité, intégrité, disponibilité, etc.) qui seront utilisés en gestion de risque informationnel. Par exemple, dans le contexte d un organisation dans le domaine de la santé au Québec (Canada), nous identifions des objectifs de gestion de risque informationnels qui peuvent être catégorisés selon les multiples éléments suivants: 15

16 Chapitre 1 Confidentialité des données cliniques obtenues d un patient par un professionnel de la santé; Intégrité des données cliniques afin de s assurer qu elles ne sont pas altérés; Disponibilité des données au moment opportun pour le bien-être des patients; Non-répudiation de l accès et de l utilisation des données par les professionnels de la santé; Respect de l intégrité des individus et de leur dossier clinique, par exemple en exigeant un consentement libre et éclairé lors de la saisie des données et de leur utilisation; Transparence dans l utilisation des données cliniques, par exemple en interdisant le transfert des données d un patient à un tiers qui les utiliserait à des fins de publicité ou de vente de médicaments; Mise en oeuvre du principe de prudence. En plus d aider l organisation à atteindre ses objectifs, la sécurité de l information est nécessaire parce que la technologie appliquée à l information crée des risques. Des composants logicielles peuvent comporter des failles ou des bogues. Les composantes matérielles peuvent être défectueuses, souffrir de bris ou s user. Globalement, l information pourrait être indûment communiqué (sa confidentialité pourrait être compromise), modifié de manière inappropriée (son intégrité peut être compromise), détruite ou perdue (sa disponibilité pourrait être compromise). Cette compromission des données pourra causer une réduction de l avantage compétitif que l organisation espérait obtenir des TIC, tel que des pertes économiques au propriétaire de l information, qu elles soient avérées ou non. La perte pourrait être directe (par la 16

17 Introduction à la gestion de risque informationnel réduction de la valeur de l actif d information lui-même) ou indirecte (par le biais d interruption de service, des dommages à la réputation, la perte d un avantage concurrentiel, la responsabilité juridique, etc.). 17

18 Chapitre 1 Mise en oeuvre sur le terrain Nous proposons la mise en oeuvre de la sécurité de l information sur le terrain en utilisant le modèle des trois P (Prévention, protection, punition) de mise en oeuvre de la sécurité de l information. Ce modèle est structuré selon 3 axes: la prévention: de mesures de prévention seront mise en oeuvre dans l organisation. Par exemple, une politique de sécurité, un processus formel d analyse de risque, des audits TI annuels et un programme de sensibilisation des employés et de formation des ressources informatiques. la protection: la mise en oeuvre d actions de mitigation de risque ou l allocations des rôles et des responsabilités en matière de gestion à des individus dans l organisation et la mise en oeuvre de processus de gestion des incidents, de recouvrement en cas de sinistres et de continuité des affaires. la punition: il sera nécessaires des actions punitives en cas de non respect ou de contournement volontaires des deux premiers axes. 18

19 Introduction à la gestion de risque informationnel La politique de sécurité Sur le terrain, la mise en oeuvre de la sécurité de l information débute par l élaboration d une politique de sécurité qui s intègre dans le premier P: la prévention. Cette politique décrit ce qui est autorisé et ce qui est interdit. La politique de sécurité de l information devrait mettre en évidence la valeur de l information et la mesure dans laquelle on en a besoin, ainsi que l importance de la sécurité de l information pour l organisation. Elle devrait identifier les exigences minimales au plan de la conformité et des règlements en matière de sécurité. La politique de sécurité inclut des éléments tels que: la politique de gestion des risques, la catégorisation et l étiquetage d information, la sécurité du personnel et matérielle, les exigences juridiques et contractuelles, l élaboration et le fonctionnement des systèmes, la planification de la poursuite des activités, la production de rapports sur les incidents et les exigences d intervention, l application de mesures en cas de violation et la sensibilisation à la sécurité et la formation. La politique peut tenir compte de tout système d information critique ou des exigences pertinentes. Elle doit cependant identifier les besoins en matière de sécurité de l information développée en fonction des sept objectifs mentionnés précédemment. Il est nécessaire que soient assigné les rôles et les responsabilités en matière de sécurité de l information et la distribution des responsabilités dans la structure organisationnelle. Dans les organisations qui effectuent des projets de développement, il faut inclure la sécurité de l information dans le développement de systèmes d information et dans les 19

20 Chapitre 1 processus de mise en place ou d achats de systèmes d information. De plus la politique devrait : définir les règles et les procédures en matière de sécurité de l information; définir les procédures pour l identification de la nature sensible et la classification de l information; identifier la stratégie de gestion du risque; définir les besoins en matière de continuité des affaires; définir des normes de gestion des ressources humaines; prévoir des plans de sensibilisation des employés et de formation continue en matière de sécurité de l information; encadrer les obligations légales; identifier les règles de la gestion de l impartition et des tiers; et définir la stratégie de gestion des incidents. 20

21 Introduction à la gestion de risque informationnel Mise en oeuvre de la politique Une fois qu une politique de sécurité de l information a été définie, la tâche suivante consiste à appliquer la politique. Pour ce faire, l organisation déploie un mélange de processus d affaires et de mécanismes techniques. Ce sont ces mécanismes de sécurité de l information qui forment la sécurité informatique. Ces processus et mécanismes entrent dans six catégories: Les mesures de prévention, tels que la sensibilisations de ses employés et la formation de son personnel technique. Les mesures de protection, ce qui consiste à mettre en place des processus d affaires et des mécanismes techniques qui visent à prévenir que des aléas se produisent, à réduire la probabilité qu ils se produisent ou à minimiser leur impact. Les mesures de détection qui servent à alerter l organisation quand des aléas surviennent afin qu elle puisse prendre des actions afin de minimiser leur impact sur l organisation. Les processus et mesures de réponse face aux conséquences d aléas afin d optimiser le retour à état d équilibre. Des processus de réponses peuvent aussi inclurent des mesures punitives selon le troisième P: punition (réprimandes ou renvoi d employés), criminelles (référé du dossier à des forces policières) ou légales (poursuites). Les mesures d assurance afin de valider l efficacité et le bon fonctionnement de la protection, de détection et les mesures d intervention. L audit pour déterminer l efficacité des processus et des mesures. 21

22 Chapitre 1 22

23 Introduction à la gestion de risque informationnel Création d un comité de sécurité Il est recommandé de créer un comité de sécurité de l information pour assister l organisation dans l élaboration de sa politique de sécurité et pour l ensemble des activités de gestion du risque informationnel. Le comité devrait comprendre de quatre (4) à sept (7) membres et devrait comprendre : un membre identifié comme chef de projet; le principal responsable de la sécurité s il y en a un; des représentants du groupe ayant la responsabilité opérationnelle et budgétaire des TIC; des représentants des responsables de l exécution de la mission de l organisation; un représentant des ressources humaines; et un conseiller juridique. Des accommodements sont nécessaire selon la taille de l organisation. Dans un premier temps le chef de projet devrait être identifié. Celui-ci pourra prendre en charge le suivi des différentes étapes de la méthodologie, dont la création du comité de sécurité de l information. Il pourra documenter les règles de fonctionnement du comité et s assurer de conserver des minutes des rencontres. Les membres du comité pourront varier selon les besoins de l organisation et les priorités des gestionnaires de l organisation. La structure et le modus operandi du comité de sécurité de l information devraient tenir compte de cette possibilité. 23

24 Chapitre 1 24

25 Introduction à la gestion de risque informationnel Les objectifs de sécurité L organisation devra définir ses objectifs de sécurité, les exprimer en terme de besoins spécifiques (confidentialité,intégrité,disponibilité, etc.) et faire un inventaire des éléments de son patrimoine informationnel. Entre autre, cela lui permettra d identifier les éléments à risque qui sont plus prioritaires auxquels les efforts de gestion de risque devront s attaquer en premier. Il est proposé de rencontrer les ayants cause de la sécurité, c est-àdire les membres de l organisation qui ont un rôle à jouer da la sécurité de l information, les propriétaire des actifs informationnels et les gestionnaires de l organisation pour valider avec eux les besoins de sécurité. 25

26 Chapitre 1 Amélioration continue Évidemment, le travail n est jamais terminé. La sécurité de l information doit appliquer les principes d amélioration continue. La définition de la politique, la protection, et les tâches de vérification sont effectuées maintes et maintes fois, et les leçons apprises à chaque fois à travers le cycle sont appliquées lors du prochain cycle. 26

27 Introduction à la gestion de risque informationnel Principe de prudence La sécurité de l information doit appliquer le principe de prudence. En cas de doutes sur l importance relative d un actif informationnel, sur l importance des dommages, sur la probabilité de réalisation d un aléa ou en cas d incertitude quant aux résultats, les individus impliqués en gestion de risque informationnel devraient choisir la décision sage, vertueuse et prudente afin de minimiser les risques. Ils devraient diligemment chercher à obtenir suffisamment d informations pour prendre une décision éclairée. Ceci ne signifie pas qu il est préférable de ne pas prendre de décision, ce qui peut être pire. Mais dans le doute, le gestionnaire devrait agir en bon père de famille. 27

28 Chapitre 1 Le risque Nous avons mentionné que la sécurité est définie par l absence de risque inacceptables. De plus, la mise en oeuvre de la sécurité de l information, qui débute par la politique de sécurité de l information et l identification des objectifs de sécurité, doit s appuyer sur l identification du risque et la détermination de ce qui est acceptable et, plus précisément, non-acceptable dans un contexte organisationnel particulier. Il est important de comprendre ce que signifie le risque en général et le risque informationnel plus précisément. Il n y a pas une seule définition du risque. Une recherche sur Google avec les mots risque ou risk propose plus de résultats. Il ressort d une analyse de la littérature scientifique sur le risque que beaucoup de ce qui a été écrit sur ce sujet est basé sur des données anecdotiques et sur des études limitées à un aspect particulier. Dans cette section, nous présentons les principales définitions du risque qui sont utile pour la compréhension des concepts présentés. Notre objectif est de présenter au lecteur les éléments d une définition contextuelle du risque appliqué à la sécurité de l information qui permettra d identifier les variables qui pourrons être utilisés pour la gestion du risque informationnel. Le risque est un construit social, il dépend de celui qui le perçoit, de la nature du risque et du domaine dans lequel on s intéresse au risque. Selon les différentes sources que l on retrouve, le mot risque tire ses origines de plusieurs sources, entre autres: 28

29 Introduction à la gestion de risque informationnel du terme italien (Moyen âge) risco signifiant rocher escarpé, écueil, utilisé par les premières compagnies d assurance pour désigner le péril couru en mer, du latin resecum signifiant coupant et du mot arabe rizq. Le risque réfère à des situations par lesquelles un individu assigne des probabilités mathématiques aux événements aléatoires auxquels il fait face (par exemple 10%, 1 fois aux 10 ans, 0,5). Le risque est présent même si cette assignation est subjective et utilise des échelles nominative (par exemple bas, moyen ou élevé). Le risque est aussi défini comme une variation possible des résultats sur une période déterminé dans une situation donnée. On retrouve dans le risque une notion implicite de discontinuité, de désastres, de surprise, d inconnu ou d ignorance. Le risque est souvent défini comme une combinaison de la probabilité d occurrence d un dommage et de sa gravité. Cette définition est valable seulement dans les cas ou nous disposons de données probantes suffisantes, par exemple des données historiques, qui permettent de démontrer que les probabilités d'occurrence d aléas comparables sont distribué également dans le temps. Dans cette situation, il s agira de risque objectif, lorsque la variation existe dans la nature et est la même pour tous les individus dans une situation identique. Le risque objectif se différencie du risque subjectif, c est-à-dire lorsqu il y a estimation du risque objectif par un individu. 29

30 Chapitre 1 Ce qui n est pas du risque Quand on ne peut exprimer l aléatoire par des probabilités, mêmes subjectives, on doit plutôt parler d incertitude. Il est important de distinguer ces deux termes, risque et incertitude. Car, bien qu on puisse espérer gérer le risque, il est impossible de gérer l incertitude. Le mot risque est généralement utilisé lorsqu il existe au moins la possibilité de conséquences négatives d un aléa, tel qu une réduction de l avantage compétitif attendu (conséquence négative) d un processus d affaire ou d un système d information après une intrusion par un cybercriminel ou hacker (l aléa). S il ne s agit que de conséquences probables positives, on parlera plutôt de possibilités. La gestion de possibilités ne fera pas appel à des mesures de mitigation de risque, on accueillera favorablement le bénéfice inattendu ou inespéré. Ainsi, la gestion des possibilités positives n est pas de la gestion de risque. De même, si un résultat est inévitable on utilisera le terme certitude: la mort éventuelle de tout organisme vivant est une certitude. On pourra la retarder, mais pas l éviter. Nul ne peut gérer la certitude, on peux s y préparer et, dans les meilleurs cas, retarder l inévitable. 30

31 Introduction à la gestion de risque informationnel La gestion de risque L idée que le risque peut être géré peut être compris comme une conséquence à long terme d un désastre naturel qui s est produit à Lisbonne, au Portugal, en 1755, combiné à la découverte des probabilités par Blaise Pascal et à d autres avancées en mathématiques d abord et en sciences de la gestion ensuite. Le désastre de Lisbonne marque un point tournant dans le monde occidental moderne de la vision de l aléa comme un acte divin, tel qu illustré par un poème de Voltaire, vers une approche rationnelle qui peut être soumise à un traitement scientifique. C est la réponse de Rousseau à Voltaire qui sème le germe de gestion du risque: Serait-ce à dire que l ordre du monde doit changer selon nos caprices, que la nature doit être soumise à nos lois, et que pour lui interdire un tremblement de terre en quelque lieu, nous n avons qu à y bâtir une ville? La gestion est la mise en œuvre de moyens humains et matériels d une organisation pour atteindre des objectifs préalablement fixés. La croissance des bureaucraties professionnelles dans nos sociétés a transformé l appareil administratif d organisations en une puissante machine de gestion des organisations dont les opérations visent l efficacité et la prévisibilité dans l atteinte de ses objectifs. Dans une organisation du secteur privé, l efficacité est mesuré avec des variables de nature pécuniaire ou mesurés en part de marché. Dans le cas d un organisation du secteur public, l efficacité peut être mesuré par une livraison efficiente de services à la population. Par 31

32 Chapitre 1 exemple, dans une organisation publique du secteur de la santé, telle qu est existe au Québec, l efficacité peut être mesurée par une amélioration de la qualité de vie, la réduction de la morbidité ou de la mortalité dans une population cible. Cette machine de gestion s exprime par des actes visant une transformation du monde réel par le travail, la médiation ou l instrumentation. La gestion du risque est nécessaire parce les organisations doivent identifier ce qui est prévisible afin d assurer leur pérennité et identifier les actions susceptibles de produire des résultats qui réduisent son efficacité, qui vont à l encontre de l atteinte de ses objectifs ou qui produisent des résultats négatifs. L organisation doit identifier les risques les plus significatifs pour elle. Ainsi, la gestion de risque est l une des composantes d une gestion prudente et diligente. C est-àdire que, sachant qu il existe la possibilité qu ils se produisent des aléas susceptible de réduire l utilité espérée ou de nuire à l atteinte efficace des objectifs, le gestionnaire, en tant qu acteur individuel vertueux, doit tenir compte du risque. De plus, la saine gouvernance d une organisation, par exemple dans le cadre normatif de gouvernance tel que ISO 38500, la conformité à des cadres de gestion, tel que COBIT ou ISO 27001, requiert la mise en oeuvre d un programme de gestion de risque formalisé. Fondamentalement, la gestion du risque est accomplie par des activités d identification (I) et d évaluation des scénarios de risque (les combinaisons d élément à risque, aléas et de vulnérabilités susceptible de causer des dommages), de la priorisation (P) de ces scénarios (en fonction de l importance des dommages ou de la réduction de l Utilité espérée (μ) au delà de l appétence au risque de l organisation) et des actions de mobilisation (M) de ses 32

33 Introduction à la gestion de risque informationnel ressources humaines et financières pour un traitement approprié du risque: le processus IPM qui sera traité plus en détails plus loin. Ces actions de mobilisation vont généralement prendre les formes suivantes: Ignorer le risque : l organisation peut décider consciemment d ignorer le risque. Éviter le risque : l organisation pourra décider de ne pas poursuivre une opportunité car elle considère que le risque ne vaut pas la chandelle. Accepter le risque : l organisation détermine que le risque associé à un scénario donnée est acceptable pour l organisation compte tenu de ses contraintes, des ses objectifs d affaires ou de sa résilience. Mitiger le risque par la mise en oeuvre de mécanismes de protection, de détection ou de réponse: par exemple par la mise en place d un pare- feu, une organisation réduira la menace d intrusion de son réseau informatique via l Internet. Transférer le risque : une organisation pourrait décider de prendre une police d assurance qui couvre un risque précis, une organisation pourrait aussi transférer le risque, contractuellement, à un tiers ou l externaliser via d autres mécanismes. Les actions de mobilisation (Ω) seront diverses et nombreuses en fonction des différents risques auxquels fait face l organisation. L ensemble des actions de mobilisation (Ω), pour une période de temps (Δt) défini à priori dans un espace (s) donné, formeront le portfolio de mesures (φ) composé des actions de mobilisation individuelles (Ωn). La gestion de risque est discuté avec plus de détails dans le chapitre suivant. En risque informationnel, l adjectif informationnel fait référence à l information. Notamment, le risque informationnel s intéresse aux risques relatifs à la sélection, la mise 33