Analyses des risques : Qualitative ou Quantitative ou les deux ?
« Avec la transformation numérique de l’ensemble des acteurs de la société et de leur interconnexion croissante, la gestion des risques IT a progressivement évolué au sein des organisations vers une gestion plus globale du risque numérique. Ce dernier, au regard des contextes technologique, économique, voire géopolitique, pèse de plus en plus fortement sur l’activité des organisations. »
Agence Nationale de la Sécurité des Systèmes d’Information – ANSSI
Essayons d’apporter une définition générale de ce qu’est une analyse de risque :
Une analyse de risque est un ensemble d’activités visant à identifier, classifier et agir sur des risques potentiels menaçant des actifs.
L’analyse de risque est un composant d’un processus d’évaluation de risque plus large.
L’évaluation de risques inclut d’habitude les activités suivantes :
- Identifier des problèmes qui contribuent au risque
- Analyser leurs significations et impacts
- Identifier des options pour gérer le problème associé au risque
- Déterminer quelle option est la meilleure solution
- Communiquer les résultats et adresser des recommandations aux décideurs
L’analyse des risques est associée aux actions d’analyse de la signification et impact et à l’évaluation des options pour faciliter leur comparaison (en gras dans la liste précédente).
Pour être en mesure de prendre des décisions financières par exemple, les décideurs ont besoin d’éléments quantitatifs sur lesquels s’appuyer, prendre des décisions rentables (Cost-Effective), les analyses qualitatives sont plus limitées dans ce sens.
Concrètement, deux approches sont possibles : les analyses de risques qualitatives et les analyses de risques quantitatives.
Décrivons brièvement les deux méthodes d’analyse et ensuite nous vous présenterons les lignes générales associées à leur déroulement.
Évaluation quantitative du risque
Une évaluation quantitative du risque est une approche formelle et systématique permettant d’estimer la probabilité et les conséquences d’évènements et d’exprimer les résultats de manière quantitative en tant que risque pour les personnes, l’environnement ou l’entreprise.
Ceci revient à analyser et quantifier le risque en termes financiers.
Elle répond à la question : combien peut coûter financièrement un incident de sécurité.
Évaluation qualitative du risque
L’évaluation qualitative du risque permet d’étudier un évènement ou un contrôle réglementaire et comprendre la qualité de son implémentation.
Les évaluations qualitatives de risques sont excellentes pour informer le Manager Risque ou les Consultants Risques au sujet de la qualité de l’implémentation du contrôle en utilisant une échelle de valeurs qualitative, de 1 à 5 par exemple.
En utilisant la méthode qualitative d’évaluation des risques, vous pouvez évaluer votre entreprise sur la base d’une norme spécifique. Vous pouvez décrire les contrôles que la norme recommande et évaluer l’implémentation de ces contrôles (sur une échelle de 1 à 5), puis déterminer le pourcentage de mise en œuvre du contrôle.
Elle répond à la question : quel est mon niveau de conformité du point de vue politique de sécurité.
Les analyses de risques qualitatives et quantitatives sont complémentaires, elles adressent des problématiques différentes et fournissent des informations de nature différente.
La réalisation des analyses de risques
Réaliser une évaluation de risques qualitative
Commençons par identifier les actifs IT ou systèmes, puis appliquons les contrôles associés. À titre d’exemple un actif peut être un serveur de base de données et un contrôle associé à ce serveur, la vérification que la procédure de gestion des patchs du système opérationnel est bien implémentée, le serveur est donc bien à jour.
Ensuite, procédons à une valorisation de ces actifs. Une méthode de valorisation consiste à comparer nos actifs en fonction de certains critères tels que la Confidentialité, l’Intégrité, la Disponibilité et le Volume, CIDV (CIAV en anglais). À chaque critère nous attribuons une valeur numérique qui représente son importance, par exemple : Haute (3), Moyenne (2) et Basse (1).
- Confidentialité : La confidentialité signifie que les données, les objets et les ressources sont protégés contre des accès non autorisés, mais la valorisation de ce critère a pour but d’indiquer l’impact sur notre entreprise d’un accès non autorisé.
- Intégrité : Les mesures d’intégrité protègent l’information contre des modifications non autorisées, mais la valorisation de ce critère correspond au niveau d’impact sur notre organisation d’une modification non autorisée de l’information.
- Disponibilité : La disponibilité concerne les mesures garantissant l’accès ininterrompu et à temps des systèmes contenant l’information, mais la valorisation de ce critère indiquera le degré d’indisponibilité toléré pour les systèmes contenant l’information.
- Volume : Le volume apporte un élément additionnel aux critères précédents en valorisant la quantité d’information traitée par les actifs.
| Actif | Confidentialité | Intégrité | Disponibilité | Valeur profil |
| Serveur db | 5 | 5 | 4 | 14 |
| … |
Une fois les critères précédents valorisés, nous allons les additionner et les comparer avec les autres actifs pour identifier les actifs qui ont le plus de ‘valeur’. Celle-ci est la valeur du profil.
| Actif | Confidentialité | Intégrité | Disponibilité | Valeur profil |
| Serveur db | 5 | 5 | 4 | 14 |
| Routeur | 1 | 3 | 5 | 9 |
Le pas suivant consiste à identifier les menaces potentielles sur les actifs. Nous devons aussi déterminer la Probabilité qu’une menace donnée devienne réalité de même que son Impact. Nous pouvons attribuer une valeur à la Probabilité et à l’Impact (de 1 à 5 ou de 1 à 3 par exemple) et multiplier ces deux valeurs pour obtenir un Score de Menace (Threat Score), par exemple Probabilité 3 x Impact 5 = 15.
| Menace | Probabilité | Impact | Score Menace |
| Accès employé non autorisé au serveur db / données client | 3 | 5 | 15 |
| Accès hacker non autorisé au serveur db / données client | 1 | 5 | 5 |
| … |
Quantifier le risque
Présentés d’une manière simplifiée dans cet article, nous calculons le Risque Inhérent et le Risque Résiduel pour nos actifs.
Pour obtenir le Risque Inhérent, nous multiplions la valeur du profil de l’actif et le Score de Menace, aucun contrôle de mitigation a été réalisé sur cet actif.
| Valeur profil | Score Menace | Risque Inhérent | |
| Accès employé non autorisé au serveur db / données client | 14 | 15 | 210 |
L’obtention de la valeur associée au Risque Résiduel vient après avoir implémenté les contrôles sur l’actif, nous recalculons le Risque Inhérent après soustraction des valeurs des contrôles.
Dans notre exemple nous allons assumer l’implémentation d’un contrôle dans le serveur de base de données, disons le chiffrement de la base de données. Ce chiffrement réduit l’impact de la menace car si les données sont exfiltrées, elles seront chiffrées et inutilisables. L’impact est réduit à 2.
| Menace | Probabilité | Impact | Score Menace |
| Accès employé non autorisé au serveur db / données client | 3 | 2 | 6 |
Le Score de Menace est donc réduit à 6.
Recalculons à nouveau le Risque Inhérent, cette fois-ci appelé Risque Résiduel, avec la nouvelle valeur associée au Score de Menace :
| Valeur profil | Score Menace | Risque Résiduel | |
| Accès employé non autorisé au serveur db / données client | 14 | 6 | 84 |
Réaliser une évaluation de risques quantitative
Dans cette section nous présentons les lignes générales de la réalisation d’une analyse de risque quantitative en utilisant le standard FAIR. La méthode FAIR permet d’estimer les risques en termes financiers.
Le standard FAIR (Factor Analysis of Information Risk – Analyse Factorielle des Risques Informatiques) est un standard de l’Open Group.
Le risque associé au scénario est désormais décomposé en variables : Fréquence d’incident, Fréquence des évènements de menace, Niveau de Vulnérabilité, etc. (voir diagramme ci-dessous).
Fig. 1- Les facteurs FAIR
Comment renseigner les facteurs est décrit de manière générale dans les sections suivantes.
Il est important de noter que dans la méthodologie FAIR, le risque est défini comme la fréquence probable et l’ampleur probable d’une perte future.
Déroulement de la méthode
Le diagramme suivant décrit les étapes à suivre lors du déploiement de la méthode :
Pour illustrer le déploiement de la méthode, nous utiliserons le même scénario d’analyse que sur l’analyse qualitative précédente : déterminer le niveau de risque associé à l’accès d’un employé non autorisé (sans privilèges) au serveur de base de données clients.
Élaboration des scénarios
Nous allons commencer par la définition des différents scénarios à analyser et pour les définir nous allons décomposer les informations associées aux scénarios en facteurs. Ces facteurs sont décrits dans la liste à continuation :
- Actifs
- Communauté de menace
- Type de menace
- Impact
Actifs : Les droits associés aux comptes utilisateurs permettent l’accès à la base client composée de n données personnelles.
Communauté de menace : La notion de communauté de menace essaie de regrouper plusieurs agents de menace qui partagent un certain profil. Dans notre exercice, les communautés de menace concernées sont : des internes avec privilèges, des internes sans privilèges et des cybercriminels.
Type de menace : Avec le type de menace, nous essayons de définir la nature de la menace. Nous avons dans notre exemple : malintentionné et curieux.
Impact : Nous définissons le type d’impact potentiel sur notre actif en termes de Confidentialité, Intégrité et Disponibilité.
Nous complétons cette étape avec la mise en place du périmètre de l’analyse qui regroupe les informations précédemment identifiées sous forme de tableau (non exhaustif) :
| Actif | Communauté de menace | Type de menace | Impact |
| Base de données clients | Internes avec privilèges | Malintentionnée | Confidentialité |
| Base de données clients | Internes avec privilèges | Curieux | Confidentialité |
| Base de données clients | Internes avec privilèges | Malintentionnée | Disponibilité |
| Base de données clients | Internes avec privilèges | Malintentionnée | Intégrité |
| Base de données clients | Internes sans privilèges | Malintentionnée | Confidentialité |
| Base de données clients | Cybercriminels | Malintentionnée | Confidentialité |
| … | |||
Les variables FAIR, l’estimation des experts et l’estimation PERT
Ces étapes consistent à collecter les informations associées à chaque scénario défini dans notre table de contexte (étape précédente) et ensuite à affiner les informations collectées par des estimations des experts et des estimations PERT.
Dans notre diagramme de la Fig. 1, les facteurs sont divisés en deux branches, à gauche nous décrirons les facteurs qui composent la fréquence d’un incident et à droite les facteurs qui composent l’ampleur financière de la perte lors d’un incident.
La fréquence d’incident est exprimée en occurrence d’évènements / an, la perte, elle, est exprimé en euros, dollars, etc.
Les facteurs sont renseignés à l’aide de trois mesures, la valeur minimum, la valeur maximum et la valeur la plus probable.
| Minimum | Plus probable | Maximum | |
| Fréquence d’incident | 1 | 1.5 | 5 |
Le tableau ci-dessus montre pour une fréquence d’incident, qu’il peut survenir au moins une fois par an, au plus 5 fois par an et le plus probable est qu’il survienne 1.5 fois par an.
Dans cet article nous ne rentrerons pas dans le détail de la description de tous les facteurs.
Les ateliers avec les responsables business et métiers sont les moyens privilégiés pour réaliser la collecte de ces informations qui permettront de renseigner les valeurs des différentes variables FAIR.
Les mesures FAIR sont faites à l’aide des distributions de la forme PERT, pour rappel, en probabilité et statistique, une distribution PERT est une famille de distributions de probabilité définie par la valeur minimum, la valeur la plus probable et la valeur maximum, qu’une variable (facteur) peut prendre.
Les estimations collectées sont exprimées sous forme de distributions PERT qui deviennent les données d’entrée à la méthode Monte-Carlo (Excel ou outil commercial disponibles, i.e. http://www.montecarlito.com/, ou https://opensourcelibs.com/libs/monte-carlo-simulation).
La méthode Monte-Carlo (https://fr.wikipedia.org/wiki/M%C3%A9thode_de_Monte-Carlo) désigne une famille de méthodes algorithmiques visant à calculer une valeur numérique approchée en utilisant des procédés aléatoires, c’est-à-dire, des techniques probabilistes. La méthode de simulation Monte-Carlo d’introduire une approche statistique du risque dans une décision financière, objet justement de notre analyse.
Variables relatives à la fréquence de la menace :
| Actif | Communauté de menace | Type de menace | Impact | Fréquence d’incident/an | |
| Base de données clients | Cybercriminel | Malintentionnée | Confidentialité | 0.5-2 | |
| Base de données clients | Internes sans privilèges | Malintentionnée | Confidentialité | 0.02-0.05 | |
| … | |||||
Quelques variables relatives à l’estimation des pertes avec des estimation minimum et maximum :
| Forme de perte | Confidentialité | Disponibilité |
| Productivité | $5.000 – $75.000 | $ 5.000 – $50.000 |
| Réponse | $50.000 – $250.000 | $50.000 – $100.000 |
| Remplacement | ||
| … |
Nous n’allons pas rentrer dans le détail de l’évaluation des valeurs de toutes les variables FAIR et leur signification, si vous souhaitez connaitre davantage sur la méthode FAIR vous pouvez consulter le livre ‘Measuring and Managing Information Risk, a FAIR’s approach par Jack Freund et Jack Jones.
Le moteur Monte Carlo
Dans cette phase nous devons procéder à l’utilisation d’un outil qui utilise une fonction Monte Carlo. « La méthode Monte Carlo, désigne une famille de méthodes algorithmiques visant à calculer une valeur numérique approchée en utilisant des procédés aléatoires » (Wikipedia.fr).
Exemple de résultat issu de la fonction Monte Carlo :
| Scénario No | Fréquence évènement de perte | Perte annuelle Événement | Max : Fréquence évènement de perte | Max : Perte annuelle évènement |
| 1 | 0.03 | $95.004 | 0.20 | $190.000 |
| 2 | 0.05 | $378.000 | 0.10 | $1.228.254 |
| … |
Avec les résultats présentés dans un tableau comme celui-ci, il devient plus clair l’identification des scénarios avec un potentiel de perte très important et le scénario de perte qui se ‘produira’ le plus souvent.
Risque
Les résultats issus de l’outil Monte Carlo peuvent être présentés sous forme de graphe (voir Fig. 2- Résultats de l’analyse). Ce graphe nous montre l’exposition aux pertes annualisée (ALE, Annualized Loss Exposure) en fonction de la probabilité de l’évènement.
Le risque présenté étant la fréquence probable et l’ordre de grandeur probable d’une perte future.
Fig. 2- Résultats de l’analyse
La lecture des résultats de l’analyse montre que, grâce à l’utilisation de plages de valeurs dans la description des facteurs (minimum, maximum et le plus probable), nous pouvons interpréter le risque comme étant dans une fourchette entre le minimum attendu de perte pour la fréquence d’évènement décrite ($0) et le maximum attendu ($2.0M) avec aussi une moyenne estimée de perte ($300.6k).
Il est possible de visualiser aussi, grâce au graphe de la Fig. 2, la relation entre la probabilité d’une perte versus une l’ampleur de la perte, par exemple, il y a 20% de probabilité d’avoir une perte d’environ $800.000.
Il est possible aussi de distinguer les résultats entre l’ampleur des pertes primaires ou directes et celles liées aux parties prenantes externes, appelées aussi pertes secondaires.
Fig. 3- Résultats relatifs à l’ampleur des pertes primaires et secondaires
Dans la Fig. 3-, nous obtenons un détail plus précis sur l’ampleur et la fréquence des pertes primaires et secondaires. La fréquence d’une perte primaire n’étant pas nécessairement la même que celle associée à une perte secondaire (impact sur une partie prenante externe).
Dans notre exemple, en moyenne, nous aurons 0.54/an incidents entrainant une perte directe ou primaire d’environ $47.1k, et 0.27/an incidents ou impact secondaire avec une perte de $1.0M.
La valeur de la perte secondaire nous indique qu’il est plus prioritaire de mettre en place des mesures de réduction du risque au niveau des partie prenantes externes (pertes secondaires) que dans les primaires, ce qui montre l’utilité de la méthodologie FAIR dans l’identification et réduction du risque
Conclusion
En fin de compte, la méthodologie d’évaluation des risques que vous utilisez doit dépendre de ce que vous essayez de mesurer et des résultats que vous souhaitez obtenir de cette mesure.
Une méthodologie de gestion des risques quantitative est la mieux adaptée pour un examen détaillé des menaces dans votre organisation exprimé en termes financiers, tandis qu’une évaluation des risques qualitative est meilleure pour évaluer la mise en œuvre d’un cadre qui n’a pas intrinsèquement de valeurs prédéfinies.
Par contre, du point de vue complexité et temps de déroulement des méthodes, la méthodologie quantitative demande un investissement en temps et ressources plus important que les méthodologies qualitatives, en effet, la collecte des données et informations demandent beaucoup d’interviews avec les responsables métiers et du calibrage des informations reçues. Les méthodologies qualitatives, par exemple EBIOS, sont conçues pour être déroulées très rapidement avec la possibilité d’itérations rapides.
Quelques méthodes d’analyses de risque qualitatives : La technique Delfi, L’analyse SWIFT, L’analyse Fly.
Quelques méthodes d’analyse de risque quantitatives : La simulation Monte Carlo, L’analyse d’arbre décisionnel, L’analyse de sensibilité.