1. Université Pierre Mendès France
Institut d'Administration des Entreprises (IAE) de Grenoble
Mémoire pour l’obtention du
Master Management Spécialité Recherche en Organisation
Anticipation et gestion du risque numérique :
Proposition d’un guide de travail pour les Equipes de Réponse aux Incidents de
sécurité
Présenté par
Andres PEREZ
Directeurs de recherche :
Moufida SADOK
Institut Supérieur des Etudes Technologiques en Communications de Tunis
Humbert LESCA
Professeur émérite à l’UPMF de Grenoble
2010

2. Dédicace
Les grandes personnes ne comprennent jamais rien toutes seules, et c’est fatigant, pour les
enfants, de toujours et toujours leur donner des explications.
Antoine de Saint-Exupéry « Le petit prince », 1943
Ce mémoire est dédicacé à
ma mère qui m’a motivé à accomplir mes rêves,
mon père avec ses phrases
« les choses faciles ont été déjà faites, celles importantes sont difficiles »,
ma sœur qui est toujours là pour m’aider,
mon petit frère qui va devoir se battre pour ses rêves,
Anne pour son soutien et la continuation de nos rêves en Colombie,
La Police Nationale de Colombie « Tous avec le même cœur »
2

3. Remerciements
Je remercie tout d’abord mes deux directeurs de recherche: Mme. Moufida SADOK, qui m’a
apporté sa compréhension et qui grâce à sa discipline de travail m’a permis de progresser dans
ma recherche; M. Humbert LESCA pour l’intérêt qu’il a manifesté pour mon sujet et les conseils
qu’il m’a donné dans ma recherche.
Je tiens à remercier M. Christian DEFELIX et M. Daniel LLERENA qui m’ont donné
l’opportunité de faire mon master en France à l’IAE de Grenoble.
Je remercie également M. Ricardo ROMERO pour m’a montré la manière de monter haut et loi.
Mme. Danielle Prevosti, professeur de Français retraitée qui à du faire face à mon écriture.
Enfin, merci aux Policiers de Colombie, l’Université Nationale de Colombie, Mme. Valérie
MARCHAL, M. Hubert DROUVOT et Mme. Hélène CRUZ pour leurs aide dans les procédures
administrative qui m’a permis de venir en France pour d’y effectuer mon master.
A toutes les personnes qui m’ont aidés.
3

4. Table des matières
Listes des figures ................................................................................................................... 7
Liste des tableaux ................................................................................................................. 8
Introduction Générale .......................................................................................................... 9
Chapitre 1 : Sécurité de l’information : Enjeux et état des pratiques........................... 12
Introduction ........................................................................................................................ 12
1.1 Ampleur du Risque Numérique ....................................................................................... 12
1.1.1 Dépendance de l’Entreprise par Rapport aux TI ............................................ 14
1.1.2 Les enjeux du risque numérique..................................................................... 16
1.1.3 Caractéristiques du risque numérique ............................................................ 17
1.2 Gestion et organisation de la sécurité de l’information ................................................... 20
1.2.1 La politique de sécurité .................................................................................. 21
1.2.2 L’analyse du risque ........................................................................................ 23
1.2.3 Le responsable Sécurité des Systèmes d’Information .................................... 24
1.3 Intérêt et pertinence de la recherche ................................................................................ 26
1.3.1 Rôles et activités des ERI ............................................................................... 27
1.3.2 Intérêt managérial .......................................................................................... 29
1.3.3 Intérêt académique ........................................................................................ 29
Conclusion ........................................................................................................................... 31
Chapitre 2 : L’analyse du risque ...................................................................................... 32
Introduction ........................................................................................................................ 32
2.1 Identification des flux informationnels ............................................................................ 32
2.1.1 Classification de l’information ....................................................................... 33
2.1.2 Identification des conditions d’exploitation, de traitement et de production des
informations dans la chaîne de valeur de l’entreprise ................................................... 34
2.1.3 Détermination des niveaux de barrière d’information liés à l’échange, à l’accès et
ou au stockage ............................................................................................................... 36
2.2 Identification des vulnérabilités et menaces .................................................................... 37
2.2.1 Identification des vulnérabilités liées à l’organisation, à l’opération et à L’échange
des flux informationnels ............................................................................................... 38
2.2.2 Identification des menaces qui peuvent affecter les ressources critiques ...... 39
2.2.3 Estimation de la probabilité de l’occurrence des menaces ............................. 41
4

5. 2.2.4 Estimation de la perte potentielle relative à chaque ressource en cas de réalisation
de la menace .................................................................................................................. 42
2.2.5 Estimation du coût des actions d’audit et de surveillance des systèmes afin de
réduire le risque............................................................................................................. 42
2.3 Définition des mesures de protection .............................................................................. 43
2.3.1 Contrôles d’information et chiffrement d'information ................................... 44
2.3.2 Temps de destruction et de diminution de niveau .......................................... 46
2.3.3 Identification de l’émetteur et du récepteur d'information ............................. 47
2.3.4 Sécurité physique ........................................................................................... 49
2.3.5 Mesures de sécurité spéciales ......................................................................... 49
Conclusion ........................................................................................................................... 50
Chapitre 3 : Techniques de monitoring et vérification de l’efficacité des mesures de
protection ............................................................................................................................ 51
Introduction ........................................................................................................................ 51
3.1 Identification des points de contrôle ................................................................................ 51
3.1.1 Identification des ressources informatiques et des réseaux de communication53
3.1.1 Temps d'utilisation des applications et temps de manipulation des informations
54
3.1.3 Contrôle de limites des utilisateurs ................................................................ 55
3.2 Définition des métriques .................................................................................................. 56
3.2.1 Typologie des métriques ................................................................................ 56
3.2.2 Test d’opérabilité et du fonctionnement du système qui gère la métrique ..... 59
3.2.3 Coût du système d’alarme .............................................................................. 59
3.3 Détermination des moyens de protection ........................................................................ 60
3.3.1 Vérification de l’efficacité des mesures de protection ................................... 60
3.3.2 Activation de l’alarme .................................................................................... 60
Conclusion ........................................................................................................................... 61
Chapitre 4 : Amplification des alarmes et réponse aux incidents de sécurité .............. 62
Introduction ........................................................................................................................ 62
4.1 Processus d’amplification ................................................................................................ 62
4.1.1 Détection signaux faibles ............................................................................... 63
4.1.2 Amplification et création des liens ................................................................ 64
4.1.3 Représentation Figure du modèle conceptuel ................................................ 65
4.2 Rôle de la médiation ........................................................................................................ 67
4.2.1 Médiation et création collective de sens......................................................... 68
5

6. 4.2.2 Rôles du médiateur ......................................................................................... 69
4.2.3 Heuristiques pour assister l’activité du médiateur ....................................... 70
4.3 Scenarios d’attaque ......................................................................................................... 71
Conclusion ........................................................................................................................... 72
Chapitre 5 : Réparation et mise à jour du système de protection ................................. 73
Introduction ........................................................................................................................ 73
5.1 Réparation des dégâts occasionnés par les incidents de sécurité ..................................... 73
5.1.1 Dégâts directs et indirects............................................................................... 73
5.1.2 Dégâts matériels et immatériels ..................................................................... 73
5.2 Anticipation des protections nécessaires pour réduire le risque d’être attaqué de nouveau
dans le futur ................................................................................................................................ 74
5.2.1 Solutions techniques ..................................................................................... 74
5.2.2 Solutions managériales .................................................................................. 74
5.2.3 Solutions humaines ....................................................................................... 75
5.3 Constitution d’une base de données et de connaissances ................................................ 75
5.3.1 Mémorisation des événements ...................................................................... 75
5.3.2 Base des connaissances pour le stockage des scenarios d’attaques .............. 75
5.4 Changements opérés au niveau de l’organisation et le traitement des flux informationnels 76
5.4.1 Les processus d’exploitation et de manipulation de l’information ............... 76
5.4.2 L’analyse du risque ....................................................................................... 76
5.4.3 Le processus de monitoring.......................................................................... 76
5.4.4 Le processus d’amplification........................................................................ 77
5.5.5 Communication aux employés et aux partenaires ......................................... 77
Conclusion ........................................................................................................................... 77
Conclusion générale ........................................................................................................... 78
Bibliographie ....................................................................................................................... 79
Annexe ................................................................................................................................. 82
6

7. Listes des figures
Figure 1. Démarche générale de la recherche ................................................................................ 10
Figure 2. Dépendance des entreprises à l'informatique .................................................................. 14
Figure 3. Connexion à distance aux réseaux d’entreprises ............................................................ 16
Figure 4. Pertes financières des incidents de sécurité par année .................................................... 18
Figure 5. Pourcentage des incidents ............................................................................................... 19
Figure 6. Malveillants et Non-malveillants .................................................................................... 20
Figure 8. Appui de la PSI entreprise sur une « norme » de sécurité .............................................. 22
Figure 9. Budget informatique pour la sécurité de l'information ................................................... 23
Figure 10. Part du budget informatique consacrée à la SSI ........................................................... 23
Figure 11. Méthode d'analyse des risques utilisée ......................................................................... 24
Figure 12. Attribution de la fonction RSSI .................................................................................... 25
Figure 13. Prise en charge de la fonction RSSI, lorsqu’il n’existe pas de RSSI ............................ 25
Figure 14. Répartition des missions du RSSI ................................................................................. 26
Figure 15. Trois flux d’information de l’entreprise ....................................................................... 33
Figure 16. Phases du guide proposé ............................................................................................... 43
Figure 17. Cycle de vie de l'information ........................................................................................ 46
Figure 18. Classification de barrière .............................................................................................. 46
Figure 19. Composants des Anneaux de sécurité ........................................................................... 52
Figure 20. Cycle du monitoring des Ressources informatiques, réseaux, trafic d'information...... 53
Figure 21. Cycle de monitoring des applications et des manipulations ......................................... 55
Figure 22. Cycle de monitoring des limites des utilisateurs .......................................................... 55
Figure 23. Cycle des métriques quantitatives ................................................................................. 57
Figure 24. Zones des analyses ........................................................................................................ 58
Figure 25. Cycle des métriques qualitatives ................................................................................... 58
Figure 26. Les phases de MARRAN .............................................................................................. 62
Figure 27. Chemin de raisonnement .............................................................................................. 65
Figure 28. Exemple raisonnement conceptuel pour les ERI .......................................................... 66
7

8. Liste des tableaux
Tableau 1. Budgets informatiques des hôpitaux ............................................................................ 15
Tableau 2. Le coût global du pire incident d'une organisation ....................................................... 18
Tableau 3. Le nombre médian de violations subies ....................................................................... 19
Tableau 4. Orientation de l'information ......................................................................................... 33
Tableau 5. Matrice d’identification type et raison ......................................................................... 39
Tableau 6. Analyses de probabilité ................................................................................................ 41
Tableau 7. Contrôle d'identification de l’émetteur et du récepteur ................................................ 47
8

9. Introduction Générale
Domaine et Objet de la recherche
Chaque jour les entreprises deviennent plus dépendantes des Nouvelles Technologies de
l’Information et de la Communication (NTIC), notamment l’Internet afin de réduire les coûts,
améliorer la qualité, fournir de meilleurs services aux clients et ainsi développer et maintenir un
avantage concurrentiel.
Cependant, cette dépendance expose l’entreprise aux agressions ou attaques numériques contre
ses ressources informationnelles. Ces actions sont de plus en plus complexes et dangereuses. La
visibilité des agressions numériques n’est clairement possible que lorsqu’elles sont terminées, de
plus une entreprise peut être victime d’une agression sans en avoir conscience. La complexité
s’accroît dans la mesure où les pirates sont de plus en plus inventifs. Les enjeux stratégiques des
agressions numériques pour une entreprise ne se limitent pas à des pertes financières. Ils peuvent
concerner également son image de marque ou son capital client ainsi que son efficacité et la
continuité de son activité.
Ainsi, l’entreprise devrait développer un ensemble de mesures techniques et managériales afin de
gérer et réduire le risque numérique. Notre recherche concerne un aspect particulier de la fonction
sécurité à travers le travail des équipes de réponse aux incidents (ERI) de sécurité. Nous
proposons un guide de travail pour planifier, organiser et contrôler l’intervention de ces équipes
afin de maintenir un niveau de sécurité acceptable.
Intérêt et objectifs de la Recherche
D’un point de vue managérial, ce travail soulève un problème important lié à la gestion de la
sécurité au sein de l’entreprise. En effet, l’insuffisance des solutions techniques de sécurité face à
la complexité et l’imprévisibilité croissantes des attaques numériques obligent les entreprises à
valoriser le rôle des ERI. L’analyse de l’état des pratiques des entreprises montre un manque de
méthodes appropriées afin de soutenir leur travail ainsi que de capitaliser leurs expériences et
connaissances.
Comme apport académique, ce travail intègre différents concepts dans un domaine
principalement dominé par les informaticiens et les ingénieurs réseaux en proposant un guide de
9

10. travail pour l’efficacité de l’activité des ERI et en mettant l’accent sur les aspects d’organisation
et de management liés à la sécurité des informations au sein de l’entreprise. De plus, le présent
travail prend la suite d’un travail de recherche élaboré au sein de l’équipe de Professeur Lesca
(CERAG, CNRS UMR 5820 UPMF) dans le domaine de la veille anticipative stratégique pour
réduire le risque des agressions numériques (Sadok, 2004).
Ainsi, les objectifs à travers ce travail peuvent être articulés autour des axes suivants :
1. Analyse des états pratiques des entreprises en matière de gestion de la sécurité
2. Identification et définition des activités nécessaires dans le travail des ERI
3. Elaboration d’un guide de travail pour assister le travail des ERI de sécurité.
Méthodologie
Ce travail est de nature exploratoire où le chercheur peut intégrer des connaissances théoriques à
travers des articulations de connaissances disponibles dans une étude bibliographique en
permettant la création de nouvelles connaissances actionnables pour des organisations pour
modéliser un guide de travail pour l’anticipation et la gestion du risque numérique.
Pour répondre aux objectifs de la recherche, un entretien a été réalisé avec à un experte dans le
domaine de la sécurité des réseaux afin de comprendre et de définir le rôle et les activités
accomplis par les ERI. De même, nous avons étudié et analysé les résultats empiriques des
rapports spécialisés dans la sécurité de l’information et publiés récemment par le comme
Computer Security Institute aux Etats Unis (CSI), Information Security Breaches Survey au
Royaume Uni et le Club de la Sécurité de l’Information Français (CLUSIF).
Articulation des
connaissances
•Connaissances Théoriques •Limites
• Rapports Spécialisés •Identification des activités •Futures Recherches
du guide
•Entretien avec un Expert
•Identification des tâches
liées à chaque activité
•Elaboration du guide
Conception du Proposition du
Guide de Travail Guide
Figure 1. Démarche générale de la recherche
10

11. Plan du Master
Cette recherche est divisée en cinq chapitres. Le premier chapitre présente les aspects
organisationnels et de management de la fonction la sécurité de l’information à travers l’étude
des rapports officiels publiés par des organismes internationaux spécialisés. Les quatre chapitres
décrivent les activités du guide de travail des ERI. Ainsi, le deuxième chapitre traite l’analyse du
risque. Le troisième chapitre sera consacré aux techniques de monitoring et de vérification de
l’efficacité des mesures de sécurité implémentées. Le quatrième chapitre fait la relation entre la
méthode MARRAN (Sadok, 2004) et le guide de travail proposé lors de l’activité d’amplification
des alarmes et de réponse aux incidents de sécurité. Le cinquième chapitre présentera les mesures
de réparation des dégâts occasionnés par les incidents de sécurité et de mise à jour du système de
protection.
11

12. Chapitre 1 : Sécurité de l’information : Enjeux et état des pratiques
Introduction
Les objectifs de ce chapitre sont, premièrement, mettre l’accent sur l’importance de la sécurité de
l’information pour l’entreprise à l’ère numérique, deuxièmement, présenter les résultats des
études réalisées dans ce domaine (Club de la Sécurité de l'Information Français CLUSIF, 2010 ;
Computer Security Institute CSI, 2009 ; Europe & PricewaterhouseCoopers, 2010 ; Department
for Business, Enterprise & Regulatory Reform (BERR), 2008) ;troisièmement, mettre l’accent sur
la nécessité de l’intervention humaine (à travers le travail de l’ERI1) dans le processus de réponse
et d’anticipation du risque numérique. Ainsi, nous montrons d’une part comment les entreprises
deviennent plus dépendantes des TI et la situation actuelle des risques numériques selon les
pertes financières, ainsi que l’importance qu’elles acquièrent dans les agendas de la haute
direction. D’autre part, nous décrivons l’état des pratiques des entreprises en matière de gestion
de la sécurité de l’information, notamment la politique de sécurité, l’analyse du risque et la
définition du rôle du RSSI2.
1.1 Ampleur du Risque Numérique
Comme définition du risque numérique, nous avons cette éventualité qui empêche les
organisations d’arriver au but, également le risque de la probabilité qu’une menace se matérialise,
une menace qui utilise des vulnérabilités qui existent d’une manière active, générant pertes et
dommages.
Au Royaume Uni, pendant l’année 2008, les grandes entreprises ont eu 96% d’incidents de
sécurité, nombre moyen d’incidents >400 (>1,300) et ses coûts du pire incident de l'année de
£1m à £2m ; également 13% ont détecté des étrangers non autorisés au sein de leur réseau, 9%
de faux (phishing) e-mails envoyés à leurs clients pour demander des données, 9% avaient fait
1
Equipe de Réponse aux Incidents de Sécurité
2
Responsable de la Sécurité des Systèmes d’Information
12

13. passer pour des clients (par exemple après le vol d'identité) et 6% ont subi une violation de
confidentialité (Department for Business, Enterprise & Regulatory Reform (BERR), 2008).
Selon l’étude de Computer Crime and Security Survey faite par Computer Security Institute CSI
en décembre 2009, parmi 443 entreprises dans plusieurs secteurs industriels des Etats-Unis, 102
entreprises ont eu des pertes par $234.000. En 2009, il y a eu une réduction par rapport à 2008
qui a eu $289.000 ; la troisième part des organisations interrogées ont été représentées de façon
frauduleuse : l'expéditeur d'un message de phishing (Computer Security Institute CSI, 2009).
Dans cette enquête, les principaux types d’attaques ont été de 64,3% avec malware infection,
42,2% avec Ordinateur portable ou vol ou perte de matériel mobile, 34% représentés de façon
frauduleuse par l'expéditeur d'un message de phishing, 30% avec des abus d'accès Internet ou e-
mail, 29% avec service déni, 23% avec Bots / zombies au sein de l'organisation, 20% avec
fraude financière.
Les dernières entreprises ont eu en moyenne $450.000 de pertes par organisation ; après un
incident de sécurité, 22% des réponses d’envoi de notification aux personnes infectées et 17%
acquièrent de nouveaux services de sécurité.
Ce rapport montre que 25% des répondants estiment que plus de 60% de leurs pertes financières
sont dues à des actions malveillantes; La plupart des répondants estiment que leur investissement
dans la formation et les mesures de sécurité était adéquate mais la sensibilisation des utilisateurs à
la sécurité était inadéquate.
Les entreprises montraient une diminution de la sous-traitance des services de sécurité, 71% des
entreprises ne le faisaient pas en comparaison avec l’année 2008 où 59% ne le faisait pas. Les
répondants ne sont pas tout à fait contents des solutions techniques, mais les ont expérimentées,
aussi ils demandent une solution depuis le management.
67,8% a expérimenté l’usage du Retour Sur investissement (ROI), outre la Valeur Présent Net
(VPN) ou Taux de Rendement Interne (IRR), ceux-ci comme métrique pour la sécurité. En
général, les organisations considéraient les efforts de sécurité comme ayant un effet positif dans
l’organisation.
Alors, le risque numérique est à l'ordre du jour des entreprises pour les dommages financiers qu’il
cause et pour la croissante dépendance en IT. Aussi ces rapports montrent chaque fois davantage
que les entreprises ont des faiblesses au niveau de la sécurisation des systèmes d’information.
13

14. 1.1.1 Dépendance de l’Entreprise par Rapport aux TI
Les TI sont indispensables aux entreprises pour avoir un avantage concurrentiel ou rester dans un
marché compétitif. Les organisations sont de plus en plus interconnectés à Internet, ainsi en
Angleterre durant l’année 2008, 97% des entreprises ont eu une connexion haut débit à Internet,
93% ont eu un site Web corporatif, 54% permettent au personnel d'accéder à leurs systèmes à
distance et 84% sont fortement dépendants de leurs systèmes de TI (Department for Business,
Enterprise & Regulatory Reform (BERR), 2008).
D'ailleurs, cette enquête montre qu’en 2008 les services financiers, les télécommunications et les
sociétés d'énergie sont les plus préoccupées par la corruption des documents alors que leur chiffre
d'affaires dépend en grande partie de documents électroniques.
Au cours de l’année 2010, en Angleterre, le taux d'adoption de nouvelles technologies s'est
accéléré les deux dernières années. En conséquence, la plupart des répondants utilisent
maintenant des réseaux sans fil, 85% utilisent le réseau Wireless (42% en 2008), accès à distance
et 47% (17% en 2008) utilise la téléphonie Voix sur IP (VoIP), 32% envisagent l'utilisation de
sites de réseaux sociaux comme important pour leurs affaires, et les logiciels en tant que service
ont déplacé l'utilisation d'Internet au-delà des sites Web et e-mail. L’enquête sur les résultats de
l'exercice montre que l'environnement des entreprises est en pleine mutation, 34% des
entreprises dépendent essentiellement de l'extérieur des services hébergés de logiciels accessibles
sur Internet (Europe & PricewaterhouseCoopers, 2010).
Quant à la France, la dépendance à l’informatique peut s’observer dans le schéma suivant
illustration du CLUSIF:
Figure 2. Dépendance des entreprises à l'informatique
14

15. Les TI sont considérées comme stratégiques pour la grande majorité des entreprises, tous secteurs
confondus et quelle que soit leur taille, 73% d'entre elles jugent lourde de conséquences une
indisponibilité de moins de 24 h de leurs outils informatiques (avec un maximum de 83% pour le
secteur du commerce) (Club de la Sécurité de l'Information Français CLUSIF, 2010).
Ce rapport montre un budget informatique moyen à €1,45 million, lorsqu'on les interroge sur leur
budget informatique, 51% des entreprises répondent (soit 2 fois plus qu’en 2008). Ainsi, 58% ont
un budget inférieur à 1 million d'euros, 20% compris entre 1 et 2 millions d'euros et 15% entre 2
et 5 millions d'euros. Enfin, 7% des budgets sont supérieurs à 5 millions d'euros pour un
maximum de 20 millions d'euros.
CLUSIF a étudié le budget informatique dans les hôpitaux français, Il doit être noté que, dans le
domaine hospitalier, une partie non négligeable des investissements informatiques est réalisée
directement dans les services qui sont représentés dans le tableau :
Tableau 1. Budgets informatiques des hôpitaux
Dans le cas des internautes, CLUSIF montre que les foyers ont augmentés de 5% les deux
dernières années, leurs budget informatique. La connexion à Internet est permanente (dès que
l’ordinateur est allumé) pour 80% des internautes, ce qui est stable, 58% déclarent établir des
connexions en déplacement hors de leur domicile (23% souvent et 35% plus rarement) par
exemple 3G/EDGE, iPhone, Blackberry ; souvent, ils sont en train de changer les connexions
familières par wifi.
Les usages de l’internaute sont : 96% stockent et manipulent des photos ou des vidéos, 90%
traitent des documents personnels (courriers, comptabilité, etc.), seuls 42% traitent des
documents professionnels (ce chiffre est en baisse par rapport aux 49% de l’enquête 2008).
L’enquête confirme bien que l’ordinateur familial est utilisé uniquement pour un usage privé par
70% des personnes, 23% faisant un usage mixte et 2% un usage strictement professionnel. Les
jeunes (15-24 ans) étant deux fois plus nombreux (46%) à déclarer panacher un usage privé et «
professionnel ».
15

16. Pour la connexion à distance du réseau des entreprises en comparant 2008 et 2010 :
Figure 3. Connexion à distance aux réseaux d’entreprises
Egalement 42% utilisent l’ordinateur familial pour stocker et manipuler des documents
professionnels ou de travail. Les TI sont présentes dans toutes les activités sociales, culturelles,
de travail, pour les organisations ou les internautes. Ces outils sont en train de changer la vie
sociale de l’humanité et ils créent une dépendance pour faciliter l’accès à l’information, aux
achats ou simplement l’interaction avec les autres.
1.1.2 Les enjeux du risque numérique
L’environnement des risques numériques est en constant évolution, les pirates informatiques
créent de nouvelles façon d’attaquer les systèmes d’information, les risques cohabitent
constamment dans le travail quotidien. Ils sont tout le temps latents, même lorsqu’ils ne sont pas
possibles ou qu’on ne peut pas les identifier donc l’unique manière d’éviter un risque est de
détruire l’activité qu’elle a générée (Sena & Tenzer, 2004).
L’évolution des menaces de sécurité est rapide, par exemple CSI a ajouté en 2007 dans ses
rapports quatre types d’attaques et le pourcentage des entreprises touchées selon le rapport 2009,
qui ont eu l’expérience des entreprises Bots / zombies au sein de l'organisation avec 23%, l’Être
représentée frauduleusement comme expéditeur de messages de Phishing avec 34%, Mot de
passe reniflant avec 17%, Exploit du serveur DNS avec 7%, abus de messagerie instant avec 8%.
Pour l’année 2008, il a ajouté le vol ou l'accès non autorisé à des informations personnelles
identifiables (PII sigle Anglais) ou de vol d'informations personnelles de santé (PHI sigle
Anglais) en raison du vol dispositif mobile ou pertes avec 6%, le vol ou l'accès non autorisé à la
propriété intellectuelle suite à un vol d’ appareil mobile ou de pertes avec 6%, le vol ou l'accès
non autorisé à PII ou causes PHI en raison de tous les autres 10%, le vol ou l'accès non autorisé à
la propriété intellectuelle en raison de toutes les autres causes avec 8%.
16

17. Dans l’année 2009, l’enquête a ajouté l’extorsion ou le chantage liés à la menace d'attaque ou de
diffusion des données de vol avec 3%, l'exploitation d'autres des partenariats public-face site Web
avec 6%, l’exploitation du profil de l'utilisateur du réseau social avec 7%, l'accès non autorisé ou
élévation de privilèges par un initié avec 15%, la pénétration du système par outsider avec 8%.
Ci-dessus s’explique le dynamisme des pirates pour profiter de chaque avance technologique et
faire le mal ; cette tendance semble constituer chaque année l’occurrence de nouvelles menaces,
qui génèrent des coûts financiers pour les entreprises. C’est pour cette raison que les entreprises
améliorent ses systèmes de sécurité d’information afin de les adapter à l’environnement en
mutation.
Les enjeux du risque numérique poussent les entreprises au développement de politiques et de
stratégies de sécurité, l’augmentation de la capacité d’anticipation et la réponse aux attaques à
travers des solutions plus sophistiquées : des techniques, une méthodologie et des processus de
travail.
1.1.3 Caractéristiques du risque numérique
Pour le cas de notre étude, nous allons identifier les caractéristiques principales des risques
numériques (Ghernaouti-Hélie, 2002) :
 Ils pourraient causer des dégâts pouvant être importants
 Son occurrence est plus ou moins probable
 Son origine peut être accidentelle ou volontaire
La possibilité des dégâts par exemple financiers, les attaques affectent les pays : les répondants
ont subi aux Etats Unis, en moyenne, $234,000 dans les pertes dues à des incidents de sécurité
entre Juillet 2009 à Juin 2008. Il s'agit d'une baisse de 19 pour cent de la moyenne de l'an dernier
de $289,000;qui était une baisse de 16 pour cent à partir de 2007 la moyenne de $345.000
(Computer Security Institute CSI, 2009, p. 11) :
17

18. Figure 4. Pertes financières des incidents de sécurité par année
En Angleterre, le coût global du pire incident d'une organisation de l'année 2009, Le coût total
moyen vari entre £ 27,500 et £ 55.000. Une tendance similaire est observée parmi les répondants
des grandes entreprises, avec le coût total moyen du pire incident se maintenant entre £ 280 000
et £ 690 000 (Europe & PricewaterhouseCoopers, 2010) :
Grande organisation Petite organisation
£15,000 - £30,000 £200,000 - £380,000
L'interruption des activités
sur 2-4 jours sur 2-5 jours
£600 - £1,500 £6,000 - £12,000
Le temps passé à répondre aux incidents
2-5 jours-homme 15-30 jours-homme
Trésorerie directe consacrée à répondre à
£4,000 £7,000 £25,000
l'incident
Pertes financières directes (par exemple la
£3,000 £5,000 £25,000
perte d'actifs, amendes, etc.)
Perte indirecte financière (par exemple le vol
£5,000 £10,000 £15,000
de la propriété intellectuelle)
Atteinte à la réputation £100 £1,000 £15,000
Coût total du pire incident en moyenne £27,500 £55,000 £280,000
comparative 2008 £10,000 £20,000 £90,000
Tableau 2. Le coût global du pire incident d'une organisation
Dans le cas, son occurrence pour l’année 2010 : 92% des grands entreprises >250 employés et
des petit entreprises <50 employés 83%. Ils ont eu des incidents de sécurité la dernière année ;
46% des répondants avaient de grandes attaques personnelles pertes ou fuites de données
confidentielles, 45% des violations de la confidentialité ont été très graves ou extrêmement
graves (contre seulement 15% d'autres types d'infractions), Le nombre moyen des violations
subies par les organisations concernées dans l’année 2009 en Angleterre, statistiques équivalentes
comparées à 2008, elles sont indiquées entre parenthèses (Europe & PricewaterhouseCoopers,
2010):
18

19. Grande organisation Petite organisation
la défaillance de systèmes ou de corruption des 4 2
données (3) (1)
Infection par des virus ou autres logiciels 2 1
malveillants (3) (2)
4 8
Vol ou fraude impliquant des ordinateurs
(2) (1)
20 7
D'autres incidents causés par le personnel
(9) (6)
Attaques par un étranger non autorisé (y compris 28 13
les tentatives de piratage) (11) (6)
45 14
Tout incident de sécurité
(15) (6)
Tableau 3. Le nombre médian de violations subies
Tout incident de sécurité
Un incident de sécurité accidentelle
Un incident de sécurité malveillant
Un incident grave
ISBS 2010 Grande organisation
ISBS 2010 Petite organisation
ISBS 2008 Global
Figure 5. Pourcentage des incidents
Selon ces données, plus de 80% des organisations par année ont au moins un incident de sécurité
et les pourcentages hauts sont graves, c’est-à-dire que les risques numériques sont d’une
probabilité forte et des organisations ont besoin de plusieurs outils pour combattre, réduire et
anticiper.
Pour sa caractéristique d’origine peut-être accidentelle ou volontaire, aux Etats Unis le
pourcentage de pertes dues à des incidents selon CSI dans son rapport 2009, malveillants et non
malveillants, deux types différents de menaces sont posés par l'employé malveillant qui tire parti
d’ informations à l'intérieur pour mener une attaque ciblée avec un effet très grand et ceux qui
sont posés par le bien intentionné utilisateur moyen qui divulgue des données à un ingénieur
social simplement parce qu'ils ne savent pas mieux :
19

20. Pas de
81-100% of pertes Pas de pertes
81-100% of
Losses (56.8%) (34.2%)
Losses
(0.7%) (16.1%)
61-80% 1-20% des 61-80% des 1-20% des
des pertes pertes pertes pertes
(4.3%) (24.1%) (8.9%) (26.6%)
21-40% des 21-40% des
pertes (9.3%) pertes (8.9%)
Figure 6. Malveillants et Non-malveillants
Ceux-ci créent un risque accidentel ou involontaire qui pourrait générer des dégâts avec une
haute probabilité. Il est intéressant de noter que 43.2% des répondants ont déclaré qu'au moins
une partie de leurs pertes étaient imputables à des initiés malveillants ; mais les initiés clairement
non-malveillants sont les plus grands problèmes.
1.2 Gestion et organisation de la sécurité de l’information
L’anticipation du risque numérique a besoin d’une très bonne gestion de la fonction sécurité de
l’information au sein de l’entreprise. Dans notre proposition de guide, il y a trois phases de
gestion de l’information qui sont l’identification des flux organisationnels, l’analyse du risque,
l’initialisation du monitoring et la vérification de l’efficacité, ceux-ci nous les considérons
comme les principales techniques de gestion d’informations sans oublier d’autres phases qui
gèrent aussi l’information, ce sont des phases d’ Amplification des alertes et de réponse aux
incidents, mitigation et mise à jour du système de protection.
Les organisations devraient mettre en place un processus de gouvernance de la sécurité de
l'information, notamment pour protéger l'organisation de l'information des actifs (Humphreys,
2008) ; c’est la raison pour laquelle, dans l'enquête de l’année 2010, l’ISBS en Angleterre
montre que l’information de sécurité pour la haute direction des grandes entreprises a 28% de très
haute priorité, 41 % de hautes priorités et seulement 6% de faibles priorités, 1% sans priorité.
Pour le cas des petites entreprises. 41% considèrent l’information de sécurité de très haute
priorité, 36% de haute priorité et seulement 7% de faible priorité et 1% sans priorité.
20

21. Ils ont besoin pour assurer une gouvernance correcte de l'organisation de déployer un processus
de gestion des risques et un système efficace de contrôles internes, en place pour soutenir ce
processus de gestion des risques. L'histoire de l'information de la sécurité est une série de défauts
(parfois profondément viciés) et de succès. La communauté déplore que les attaquants possèdent
un avantage tactique ; on ne peut nier que les pare-feu partout et une couverture de logiciels anti-
virus ont réduit un certain nombre d'attaques dévastatrices, une fois largement hors de propos
(Humphreys, 2008)
Le guide proposé est un outil de gestion qui permet la gestion de l’information de toute
l’organisation, la gestion de l’information de sécurité et l’anticipation aux attaques numériques,
comme il est écrit plus loin dans le document. Nous expliquons chaque phase de la gestion de
l’information.
1.2.1 La politique de sécurité
La politique de sécurité détermine d’une façon claire, précise les règles, les limites et les
autorisations assignées aux utilisateurs du système d’information ; la détection et la réponse sont
très difficiles à cause de l’ambiguïté des informations, pour réduire le risque à un niveau
acceptable par l’utilisation des solutions de sécurité adaptées à leurs besoins et en fonction des
caractéristiques de leurs services offerts pour assurer la confidentialité, l’intégrité et la
disponibilité des informations. La politique de sécurité tient compte de la taille de l’entreprise, de
sa nature et de ses besoins d’activité, du degré d’ouverture du réseau de l’entreprise et de
l’organisation de ses services (Sadok, Impact des lois de la sécurité financière sur la gestion du
système d'information). Elle comprend des documents et des guides décrivant de manière
formelle les principes ou les règles auxquelles se conforment les personnes qui ont le droit
d’accès au système d’information de l’entreprise (Sadok, Veille anticipative stratégique pour
réduire le risque des agressions numériques, 2004).
Aux Etats Unis, selon le rapport ISBS 2010, 90% des grandes organisations ont une politique de
sécurité de l'information documentée officiellement et les petites organisations, 67%, en France
selon le CLUSIF 63% formalisent sa Politique de Sécurité de l'Information (PSI).
Les objectifs de la politique de sécurité sont constitués d’une suite de règles et de principes
répondant aux besoins de sécurité de l’entreprise et sont explicités dans un document écrit.
21

22. La mise en place suppose l’utilisation de méthodes et de techniques pour réaliser une détection et
une analyse du risque afin de choisir par conséquent des solutions. Des pratiques appropriées en
matière de sécurité visent tout à la fois à définir les besoins de l’entreprise, à élaborer des
stratégies de sécurité afin de protéger les biens les plus critiques et à définir le référentiel des
contrôles de sécurité. Cela fait partie intégrante de la stratégie globale de l’entreprise dans la
mesure où la stratégie de l'entreprise existe.
Par exemple, en Angleterre, la politique de sécurité de l’information des entreprises s’appuie sur
des normes de sécurité, pour le cas de l’implémentation en 2010. ’ISO/CEI 27001 est une norme
internationale de Système de Management de la sécurité de l’Information ; en pourcentage
d’implémentation, les grandes entreprises 26% complètement, 42% partialement et 13% Plan au
cours des 12 prochains mois ; les petites entreprises 20% complètement, 31% partiellement et
13% dans le plan au cours des 12 prochains mois.
En France CLUSIF spécifique : différentes normes pour les années 2010 et 2008 dans le suivi de
l’illustration:
Figure 7. Appui de la PSI entreprise sur une « norme » de sécurité
Elle est également décrite selon un certain nombre de procédures à caractère opérationnel et
technique et explicitant d’une manière concise les étapes à suivre pour atteindre un objectif de
sécurité donné. Efficace et appropriée, elle nécessite l’étude préalable du risque afin d’optimiser
les investissements en matière de solutions et de mesures de sécurité.
Le rapport de CSI aux Etat Unis, selon un pourcentage du budget de sécurité consacré à
l'utilisateur final : formation à la sûreté de sensibilisation et de l'investissement, a considéré
54,9% comme trop peu, 44,4% adéquate et 0,4% comme trop.
22

23. L’Angleterre entre 2% et 5% du budget des entreprises, le pourcentage du budget informatique a
été consacré à la sécurité de l'information pour l’année 2010.
Plus que 25% Entre 11% et 25% Entre 6% et 10%
Entre 2% et 5% 1% ou moins Aucun
8%
26%
Petit Organisations 22%
29%
13%
2%
3%
13%
Grands Organisations-2010 24%
41%
17%
2%
Figure 8. Budget informatique pour la sécurité de l'information
En France, pour l’année 2010, le pourcentage représente le budget sécurité par rapport au budget
informatique total, qui est aussi de 26% la dépense est de plus de 3% à 6% du budget
d’informatique à la sécurité.
Figure 9. Part du budget informatique consacrée à la SSI
C’est dans ce cadre que la composition d'une ERI apparaît comme étant une solution
complémentaire et adoptée de plus en plus par les entreprises. Elle comprend trois bases : la
prévention, la détection et la réponse doivent évoluer au fur et à mesure de la croissance de
l’entreprise (son implantation géographique) ou de ses choix stratégiques (son développement à
l’international) ou technologiques (extension de son réseau local, interconnexion de sites distants
par VPN).
1.2.2 L’analyse du risque
Dans la gestion et l’organisation de la sécurité de l’information, l’analyse du risque indiqué dans
notre recherche a des éléments communs avec la norme BS ISO / IEC 27001:2005(Technologies
23

24. de l'information - Techniques de sécurité - Systèmes de gestion de sécurité de l'information –
Exigences) lors de l’étape 2 :
 Identifier et évaluer les risques liés à la sécurité et élaborer la politique de sécurité Identifier
les personnes responsables,
 Identifier les vulnérabilités, Identifier les menaces,
 Identifier les impacts,
 Evaluer la vraisemblance, Estimer les niveaux de risque; mais comme notre guide est là pour
anticiper des attaques plus ses conséquences possibles, c’est-à-dire pas seulement comme ISO
/ IEC 27001:2005 , qui pour ce contrôle, supprime, partage ou accepte des risques sans
anticiper comment les attaques pourraient profiter de ces risques à travers la méthode
MARRAN.
Ceci est très important car selon le rapport du CLUSIF 2010 seulement 38% des entreprises
réalisent des analyses de risques avec une méthode formelle, 20% le font sur une partie du
Système d’Information et 3% sur des activités qui ne dépendent pas uniquement du Système
d’Information. L’illustration suivante montre les méthodes que les entreprises en France utilisent
pour l’analyse du risque :
Figure 10. Méthode d'analyse des risques utilisée
Le guide proposé comprend la mise en place d’un ensemble de mesures de protection avec ses
éléments : le contrôles et le chiffrement des informations, le temps de destruction, le temps de
diminution de niveau, l’identification de la source d'information et l'identification du récepteur
d’information.
1.2.3 Le responsable Sécurité des Systèmes d’Information
Le responsable Sécurité des Systèmes d’Information (RSSI) n’a pas une fonction clairement
identifié et définie au sein de la structure organisationnelle. Dans le rapport CLUSIF 2010, 51%
des entreprises interrogées répondent à cette observation.
24

25. Figure 11. Attribution de la fonction RSSI
Figure 12. Prise en charge de la fonction RSSI, lorsqu’il n’existe pas de RSSI
Cette fonction est de plus en plus clairement identifiée et attribuée au sein des entreprises, ce qui
marque un net progrès par rapport aux années précédentes comme l’indique CLUSIF dans son
rapport 2010 : l’évolution du nombre de Responsables de la SSI (RSSI) (49%, + 12% vs 2008) ;
avec toutefois une baisse quant à son rattachement à la Direction Générale (34%, - 11% vs 2008),
certainement liée au fait que les RSSI « récents » proviennent souvent de la Direction des
Systèmes d’Information (DSI). L’utilisation des « normes » est également en hausse. Celui-ci a
répondu pour 29% (21% en 2008) des entreprises interrogées, mais plus de 40% dans les plus de
1 000 salariés. Toutes tailles et secteurs confondus, les personnes sondées sont à 72% des DSI
(Directeur des Systèmes d’Information), des Directeurs ou Responsables informatiques ou des
RSSI (Club de la Sécurité de l'Information Français CLUSIF, 2010)
Aux Etats-Unis, selon le rapport CSI 2009 sur l'enquête, classe les répondants également par titre
d'emploi : 31,5 % sont des hauts-chef de la direction des cadres (8,8 %) directeur de l'information
(6,6 %), chef de la sécurité (3,2 %) et chef de la sécurité de l'information (12,9 %). Ces chiffres
sont conformes à ceux de ces dernières années. Un répondant seul lui-même identifié comme
chef de la protection, qui est également conforme au fil du temps. Il est clair qu’au moins 39%
des répondants (OSC, RSSI, et les agents de sécurité combinés) ont le temps plein de
responsabilités de sécurité. En outre, comme indiqué précédemment, la piscine enquête est tirée
de la communauté CSI, et ils sont donc censés être plus avisés de sécurité » que serait un bassin
25

26. d'enquête choisi au hasard de professionnels des technologies de l'information (Computer
Security Institute CSI, 2009).
CLUSIF 2010 dans la question le cadre de ses missions, quel pourcentage de son temps le RSSI
consacre-t-il ? Quelques aspects du travail des RSSI :
Figure 13. Répartition des missions du RSSI
L’importance d’avoir un responsable des systèmes d’information est de plus en nécessaire avec
l’utilisation croissante des technologies de l’information ainsi que les risques associés à cette
utilisation.
1.3 Intérêt et pertinence de la recherche
Dans cette section, nous expliquons comment la recherche, dans le champ des systèmes
d’information, prend plus d'importance puisque, chaque fois, les nouvelles technologies de
l’information et la communication NTIC, jouent un rôle plus important dans le travail des
entreprises quelles que soient leur taille ou leur secteur, les entreprises doivent utiliser ces
technologies pour améliorer leurs processus productifs, la diminution de coût, la relation avec des
clients et fournisseurs, tout cela pour défendre ou augmenter leurs position dans le marche.
Mais les criminels sont chaque fois plus inventifs ou innovateurs pour menacer et attaquer des
entreprises ; des erreurs humaines peuvent, également, causer des pertes financières, des
dégradations d’image. Des résultats opérationnels ne sont atteints que difficilement car ils ne sont
pas quantifiables ou calculables.
Prenant en compte que les NTIC et, principalement internet, sont les systèmes de communication
que les entreprises ne peuvent jamais mettre à l’écart, si elles veulent être dans le marché
compétitif, mais, entrer dans leurs utilisations, entraîne des risques, c’est pourquoi les entreprises
doivent avoir des outils pour sécuriser et protéger leurs secrets industriels, l’information de leurs
clients, les transactions bancaires ou simplement leurs pages web .
26

27. L’intérêt de cette recherche est de proposer un guide de travail pour les Equipes de Réponse aux
Incidents de sécurité ERI, afin d’anticiper les attaques et de gérer les risques, c’est-à-dire que la
recherche travaille sur le domaine de la sécurité de l’information.
Alors, réduire l’incertitude à travers un guide qui permet aux ERI de sécuriser des informations
des attaques de l’extérieur ou de l’intérieur, qu’ils sont causés par des erreurs humaines.
Généralement, ce modèle donne un outil qui analyse tout le processus de sécurisation des
informations d’une façon pratique.
Cette recherche se tient sur la Méthode d’Analyse et de Réduction du Risque des Agressions
Numériques MARRAN (Sadok, Veille anticipative stratégique pour réduire le risque des
agressions numériques, 2004), celle-ci qui, grâce à la construction collective de connaissances,
qui se base sur Internet pour réduire le risque numérique. Cette méthode constitue une
transposition et une adaptation de la méthode L.E.SCAnning® dans un domaine nouveau, à
savoir la sécurité informationnelle à l’égard des agressions numériques.
Avec tous ces éléments, le guide propose un design de processus et d’activités pour implémenter
dans les organisations et sécuriser des informations qui doivent gérer.
1.3.1 Rôles et activités des ERI
Les ERI font le travail d’anticipation et de réduction du risque numérique, principalement
comme une activité d’interprétation collective pour anticiper, avec, pour but, d’élaborer des
réponses techniques et managériales appropriées d’informations, des signaux faibles et /ou
signes, qui ont été obtenus dans un contexte d’incertitude, en tenant compte d’une variable très
importante comme est le temps (Sadok, Veille anticipative stratégique pour réduire le risque des
agressions numériques, 2004, p. 46).
Mettre en œuvre des ERI est de plus en plus important, dans la mesure où l’évolution de la
cybercriminalité ne semble pas s’arrêter. Malheureusement, chaque fois, l’innovation de ces
actes est plus complexe et dangereuse. Egalement, parce que, dans quelques cas, les entreprises
ne savent qu’elles sont attaquées ou qu’elles courent des risques.
En effet, les solutions contre la cybercriminalité ne sont pas seulement techniques mais aussi
intégrées dans la gestion et la stratégie de sécurité de l’organisation.
27

28. La détection des signaux faibles ou précoces n’a pas de signification individuellement, si ce
n’est, à travers un processus collectif. Pour les comprendre, il faut tenir compte de toute
l’organisation qu’elle soit interne ou externe, et de toutes les autres équipes. Aussi, les ERI
offrent trois types de services : les réactifs qui sont là pour diffuser l’information sur toutes les
activités de sécurité, les proactifs qui anticipent toute activité contre le système d’information de
l’organisation et les services de gestion qui sont gérés par un département mais intègrent toute
l’organisation pour améliorer les pratiques de sécurité.
Le travail des ERI consiste à analyser les signaux et/ou signes faibles qui sont collectés, pour
anticiper les attaques et réduire les risques numériques de l’organisation ; cette activité est
intégrée dans la stratégie de sécurité. Les activités plus importantes que les ERI, selon Sadok
(2004), sont les suivantes :
1. La notification (mémorisation temporaire): chaque incident doit être identifié à temps et
communiqué aux personnes ou aux départements concernés.
2. L’analyse qui détermine les causes et les conséquences de l’incident de sécurité ainsi que
les éventuels liens avec les précédents incidents.
3. La réaction afin de stopper ou limiter l’impact de l’incident en tenant compte des
spécificités et des contraintes de l’activité de l’entreprise. Cette réaction doit être rapide,
efficace et réalisée collectivement.
4. La documentation et la traçabilité (la mémorisation): chaque incident de sécurité doit être
documenté selon un format spécifique et publié sur des sites Web de façon à être
accessible à tout moment.
5. L’investigation qui vise la détection précoce de problèmes de sécurité ou la détection
précoce des intrusions ou des tentatives d’intrusions.
Pour la réponse à une attaque ou une agression, les ERI ont sept étapes :
1. Préparation 2. Identification 3. Notification
4. Analyses de l’agression 5. Réparation 6. Recouvrement
7. Apprentissage
Les ERI n’ont pas une structure unique, elles s’adaptent selon les problèmes de sécurité, la
situation géographique, la structure organisationnelle. Comme une structure basique, les ERI
peuvent être composées de la façon suivante :
28

29.  Le manager de l’équipe, qui peut être le coordinateur ou le chef technique, coordonne,
supervise et oriente les activités de l’équipe.
 Le staff technique fournit un support à la manipulation d’un incident grâce à son
expertise dans le domaine de la sécurité (le staff peut être interne ou externe).
 Les assistants au bureau ou le staff en garde sont les premiers à reporter des
informations relatives à une agression.
 Les experts en sécurité informatique, spécialistes en plate-forme ou en réseau, peuvent
fournir des conseils ou des orientations lors du traitement de l’incident.
 Les autres professionnels peuvent appartenir à plusieurs départements comme le
département informatique, ressources humaines, relations publiques ou des
responsables en management qui assistent l’ERI.
 Le personnel administratif de support.
1.3.2 Intérêt managérial
Du point de vue managérial, cette recherche est très importante pour donner de nouveaux outils
qui permettent aux entreprises l’identification des flux informationnels, l’analyse du risque, le
monitoring, l’amplification des alertes et la réponse aux incidents, la mitigation et la mise à jour
du système de protection. Cela permet aux entreprises et aux organisations à travers le guide
proposé d’anticiper des attaques et de gérer des informations.
Le guide proposé est une solution managériale depuis les sciences de gestion contre un problème
qui a été considéré comme technique, de plus, il a intégré la gestion de l’information de sécurité,
l’information des entreprises.
Notre contribution principale est de fournir un outil de gestion pour les entreprises à modifier leur
position réactive, proactive et anticipative contre les risques numériques, avec l'intégration de la
méthodologie MARRAN et la gestion intégrale des informations et des risques.
1.3.3 Intérêt académique
Comme apport académique, cette recherche intègre différents concepts en un domaine nouveau
qui, auparavant, avait été seulement la technique des informaticiens pour la sécurité des
29

30. informations et, maintenant, est un sujet de gestion habituelle car nous verrons ci-dessous que les
solutions techniques ne sont pas suffisantes pour sécuriser les informations et, aussi, que
beaucoup d’autres problèmes de sécurité sont dus à des erreurs humaines qui, sans doute, sont du
champ de la gestion.
Il y a l’existence de différentes connaissances actionnables pour analyser le risque numérique et
la gestion des informations, mais peu pour anticiper, ce guide a proposé l’ articulation de la
méthode MARRAN qui travaille le lien avec la veille stratégique pour anticiper à travers la
détection de signal et/ou signaux faibles Elle se base sur certains aspects de la méthode
LESCAnning® orientée davantage vers l’anticipation et qui a été conçue, réalisée et validée en
prenant en compte la nature des informations anticipatives et en utilisant l’intelligence collective
pour l’interprétation de ces informations.
Cette recherche utilise des rapports spécialisés sur la sécurité informatique d’études en trois pays
en France le Club de la Sécurité de l'Information Français CLUSIF, rapport 2010, aux Etats- Unis
le Computer Security Institute CSI, rapport 2009 et en Angleterre le Department for Business,
Enterprise & Regulatory Reform (BERR), rapport 2008 et Europe & PricewaterhouseCoopers,
rapport 2010.
Egalement cette recherche prend en compte la variable du temps, donc le temps limite des
réponses aux attaques, si cette donnée n’est pas bien gérée elle peut incrémenter des pertes,
dommages et performances des systèmes d’information.
30

31. Conclusion
Dans ce chapitre, nous avons montré à travers des chiffres de rapports d’organisations
spécialisées sur la sécurité informatique, comment le risque numérique affecte des organisations
et a généré des pertes financières, également comme chaque fois les entreprises ont plus de
dépendance des IT pour avoir une participation dans le marché.
D’une les organisations ont besoin d’outils pour anticiper et gérer des informations de sécurité et
d’autre part de mettre en place d’adopter des mesures de protection pour leurs systèmes
d’information.
Nous avons expliqué l’intérêt et la pertinence de la recherche pour des entreprises et l’académie,
et, comme notre question de recherche a commencé par répondre à la conception de la création
d’un guide de travail pour les Equipes de Réponse aux Incidents de sécurité qui s’appuie sur la
méthode MARRAN et la veille stratégique.
31

32. Chapitre 2 : L’analyse du risque
Introduction
Ce chapitre présente la première activité du guide de travail à savoir l’analyse du risque. Celle-ci
est d’une importance considérable dans le travail d’une ERI et nécessite une classification et une
organisation des informations au sein de l’entreprise en fonction de leur importance
opérationnelle et stratégique. L’analyse du risque suppose également l’identification des
principales menaces et vulnérabilités, les probabilités d’occurrence des attaques numériques et les
coûts des mesures de sécurité.
2.1 Identification des flux informationnels
Les organisations doivent classifier des informations et identifier les flux d’informations avant
que celles-ci soient sécurisées dans tous les départements et les dépendances du système
informatique. Il convient de noter que les flux informationnels que gère l’entreprise sont
différents des flux que gère le système informatique.
Ce dernier doit représenter un support pour que l'information puisse circuler librement dans
l'organisation selon les nécessités. Le système informatique ne peut pas devenir une contrainte
dans le processus de l’entreprise.
C’est pourquoi quand les organisations qui tiennent organisés leurs informations ont plus facile à
gérer l’information dans le système informatique et donc à les sécuriser.
La classification ci-dessous présente les pré-requis afin de pouvoir sécuriser l’information.
Comme l’explique Lesca & Lesca (1995), les organisations doivent identifier trois types
d’informations :
 Information de fonctionnement : Indispensable au fonctionnement, c’est l’information liée
à l’activité opérationnelle de l’entreprise et elle est liée à des tâches répétitives.
 Information d’influence : sa finalité est d’influer sur le comportement des acteurs internes
et externes.
32

33.  Information d’anticipation : qui permet de voir venir à l’avance certains changements de
son environnement, dans le but d’en tirer un avantage ou bien d’éviter un risque.
Egalement, identifier des flux d’information de l’entreprise :
Informations de
l’intérieur vers
l’intérieur
Informations
de l’extérieur Informations
vers l’intérieur de l’intérieur
vers l’extérieur
Figure 14. Trois flux d’information de l’entreprise
Pour finir la classification des informations organisationnelles se trouvent dans le tableau ci-
dessous :
Tableau 4. Orientation de l'information
Les neuf cases de ce tableau nous permettent de situer l’information dont nous parlons à un
moment donné. Cette grille est un peu la carte qui va nous permettre de nous orienter dans le
monde de l’information de l’entreprise (Lesca & Lesca, Gestion de l'information, 1995).
Quand l’entreprise a ses informations organisées, on peut l’entrer dans la classification selon le
système de sécurité que le guide a proposé, on identifie plus facilement le flux d’informations sur
sa chaîne de valeur.
2.1.1 Classification de l’information
Après l’identification des flux de l’information, nous procédons à la classification des
informations pour les sécuriser en fonction de leur importance, priorité et urgence.
33

34. Importance : soutenir la prise de décision stratégique et les opérations au sein de l’entreprise, par
exemple, codes d'accès pour les voûtes d'une banque (système de clé de rotation); ou des
transactions bancaires internationales, autre caractéristique c’est qu’ils n’ ont pas de traitement
constant.
Les tâches mise en place sont d’identifier des informations en relation avec l'activité
opérationnelle et stratégique de l'entreprise, d’importance vitale pour l’entreprise, selon la
classification des types et flux d’informations, dont un catalogue d’informations permet la
classification.
Priorité : certaines informations sont prioritaires pour l’activité opérationnelle de l’entreprise, ce
ne sont pas les plus importantes mais les problèmes pourraient affecter les activités normales des
processus tels que la paie ou le retard d'une ordonnance.
Les tâches d’implémentation doivent identifier la fréquence de traitement/utilisation des
informations, par exemple, chaque journée, dans une entreprise de déménagement, doit donner
une équipe de déménagement, la fiche du travail, les lieux, les adresses ; chaque année, le
comptable fait le bilan général de l’entreprise.
Urgence : certains changements de l’environnement, interne ou externe, de l’entreprise
impliquent des modifications de l’importance ou de la priorité des informations. Par exemple, un
déversement de pétrole dans le sud de la Floride aux Etats- Unis, une chute brutale de la bourse
ou des questions de la haute direction pour une décision.
La mise en place des mesures de sécurité a besoin d’un système d’identification claire des
utilisateurs et un endroit de stockage de l’information, pour rendre l'information disponible, pour
répondre d'une façon efficace à des problèmes de gestion imprévisibles.
2.1.2 Identification des conditions d’exploitation, de traitement et de production
des informations dans la chaîne de valeur de l’entreprise
Les flux d’informations sont inclus dans une chaîne de valeur, qui s’étend depuis les fournisseurs
jusqu’aux consommateurs finaux. Lorsque l’entreprise a identifié les flux d’informations, elle
doit protéger la transmission et la réception des informations. Par exemple, les courriers et les
34

35. paiements électroniques, les téléchargements de fichiers ou les clés USB, disques dur et
ordinateurs portables doivent être protégés.
Pour procéder à l’identification de ces flux, on doit suivre quatre étapes :
D’abord, on fait l’Identification des points d’entrée et de sortie : les entrées et sorties
d’information dans le système à travers la saisie, le téléchargement, l’e-mail, le disque dur, les
clés USB, les accès de l'extérieur. Pour l’exécution de tout type de réseaux physiques et virtuels,
il faut avoir identifié au préalable d’où entre et sort l'information, le nombre de serveurs, les
directions IP, l’utilisateur, l’ordinateur, les comptes de courriel électronique, l’habilitation des
ports USB, etc.
Les applications en exécution : quels sont les différents logiciels et applications
informatiques utilisés pour le traitement de l’information ? Ex. Word de programmation, plates-
formes virtuelles (Blackboard) ou spécialisées. Installer dans les ordinateurs des réseaux de
logiciels accrédités pour le traitement des informations.
Canaux de communication des informations : Comment l’organisation gère ses informations en
interne et externe ?
A travers par exemple l'utilisation des réseaux Internet, VPN ou Intranet. De cette façon les
banques permettent de faire des transactions bancaires par les téléphones mobiles. Pour mettre en
place les réseaux, la haute direction doit déterminer quels sont les canaux de communication pour
chaque transfert ou réception d'information à l’intérieur comme à l’extérieur de l'organisation,
selon la classe d’information ou le niveau de barrière comme nous l’expliquerons dans la suite de
notre guide.
Différentes procédures de gestion du système informatique : Procédures formelles utilisées pour
spécifier et coordonner le travail au sein de l'organisation grâce à la standardisation dans la
chaîne de valeur, des informations à donner et à recevoir de la part des différents partenaires, qui
ont été identifiés dans le flux et le type d’informations ; c’est-à-dire ils sont des processus du
système informatique pour l’accomplissement des procédures dans la chaîne de valeur, par
exemple l’assignation de mot de passe pour l’entrée d’un fournisseur dans le réseau, la réparation
ou l’actualisation des logiciels dans les ordinateurs.
35

36. 2.1.3 Détermination des niveaux de barrière d’information liés à l’échange, à
l’accès et ou au stockage
Dans le guide proposé, nous réalisons la distinction de niveaux d'importance de l’information que
nous appelons de « Barrière », car celui-ci permet d’identifier quelles informations sont des
limites pour l’accès, la manipulation de l’information (Policía Nacional de Colombia , 2008),
également sa classification ; le mauvais usage de l'information peut causer la perte de vies
humaines, des dommages à l'image organisationnel ou mettre en danger la survivance de
l'entreprise. Ils ont six niveaux de barrière de l’information:
Ultrasecret: Celui-ci peut occasionner des pertes de vies humaine, des catastrophes naturelles, la
disparition de l'organisation. Il n'est pas possible que toutes les organisations aient des
informations de ce type ; informations qui sont déjà transformées ou finies. Par exemple, des
recherches sur l’énergie nucléaire, une nouvelle molécule chimique, la recette de coca-cola.
Secret: Informations qui sont déjà transformées ou dans un processus de production, mais, quand
elles finissent, étant en relation avec l’innovation ou le changement dans le marché. Par exemple
l'innovation dans les processeurs des ordinateurs.
Réservé : Informations en processus qui se traitent dans le niveau secret, mais elles se donnent en
fraction jamais de façon complète, ceux-ci sont en train de rechercher pour devenir ultrasecrets
ou secrets déjà transformés.
Restreint : Informations qui ne sont pas connues de tous les employés, comme l’histoire du
travail des employés, processus de contrôle interne en cours, une investigation disciplinaire.
Confidentiel : Label pour des informations d'intérêts destinés seulement aux employés des
entreprises, par exemple données à caractère personnel de certains fournisseurs ou de clients-clés
de l'organisation, ou que la juridiction ne devrait pas connaître.
Public : L'information que tout le monde peut consulter dans la page web, bilan financier,
structure organisationnelle, etc.
Cette classification se fait pour établir selon chaque niveau de barrière, les canaux de
communication, l’endroit du stockage et la gestion des informations selon leur cycle de vie, c’est-
à-dire, chaque information est comme un être vivant qui naît, grandit, se reproduit et meurt ; toute
information doit avoir un cycle de vie clair. Donc, l’information augmente ou diminue le niveau
36

37. de la barrière en fonction des exigences de l'environnement interne ou externe, alors ces niveaux
sont dynamiques et non statiques.
De plus, il est nécessaire d’identifier les différentes personnes intervenant dans les flux
informationnels liés à l’échange, à l’accès et au stockage qui ont inclus des personnes qui
manipulent l’information où ils ont quelques responsabilités pour la confidentialité, l’intégrité, la
disponibilité. Les intervenants sont de deux sortes :
Responsabilités des utilisateurs : Chaque employé doit avoir dans ses fonctions des informations
qu’il peut trahir car il a accès à la confidentialité et sa responsabilité pour quelque problème est
engagée, une responsabilité claire pour protéger, emporter, faire le stockage, modifier, actualiser
ou faire les tâches que lui assigne la hiérarchie.
Les attributions des utilisateurs : Pour les employés qui doivent avoir des limites dans les
responsabilités de traitement des informations comme le temps, l’endroit l'accès, les réseaux, les
ordinateurs et les logiciels, selon sa classification. Des limites pour l’utilisation, les transferts, la
modification. Le temps d’utilisation où les responsabilités sont restreintes ainsi que
l’information, par exemple, un employé a la responsabilité ou l’autorisation pour modifier
l’information, mais ses attributions sont pour changer dans les ordinateurs de l’entreprise,
seulement en heures de matinée, sans pouvoir transférer vers une adresse physiquement ou
virtuellement.
2.2 Identification des vulnérabilités et menaces
Dans cette étape, l’ERI identifie les menaces et les vulnérabilités liés aux flux informationnels,
par exemple, une menace de raison intentionnelle de type interne, externe ou interne-externe de
vol d’information.
Mais, d’abord, nous avons besoin de connaitre l’architecture des réseaux avec tous ses
composants comme nombre d’utilisateurs, la technologie qui s’utilise pour le chiffre, la
transmission de données, les logiciels, le hardware, etc. celui-ci est comme la carte de navigation
pour un militaire.
Avant d’identifier les vulnérabilités, on doit connaitre les menaces, se placer sur les prémisses
des activités industrielles de l’entreprise, c’est-à-dire une banque est plus menacée dans ses
37

38. transferts par internet qu’une entreprise de pêcheurs, mais les pécheurs sont plus vulnérables dans
le même cas.
L’entreprise et les spécialistes informatiques doivent identifier selon les caractéristiques de la
technologie mise en place, les menaces et les vulnérabilités, pour assurer la continuité et
l’efficacité du travail au sein de l’entreprise.
2.2.1 Identification des vulnérabilités liées à l’organisation, à l’opération et à
L’échange des flux informationnels
La vulnérabilité est de considérer la capacité ou la propension aux dégâts ou aux dommages que
le système informatique subirait, surtout dans certaines zones . Notre classification de niveau de
vulnérabilité est : insignifiant « Il n'y a pas de conditions », faible « Il y a des conditions qui
rendent de très loin la possibilité », moyenne « Il existe des conditions qui rendent peu probable
une attaque dans le court terme, mais pas suffisamment pour empêcher à long terme », forte
« L'achèvement de l'attaque est imminente. Il y a des conditions internes et externes qui
favorisent le développement de l'attaque » (Gestión de Riesgo en la Seguridad Informática).
Pour identifier des vulnérabilités, le guide distingue des trois composants pour analyser les
ressources informatiques et les réseaux, les processus de gestion et les utilisateurs.
Les ressources informatiques et réseaux : ceux-ci sont liés à l’architecture des réseaux et à tout le
système physique de hardware, ordinateurs, modems, logiciels et à l’échange d’informations à
travers ’Internet ou les réseaux internes ou naturels (inondation).
Le travail d’identification des vulnérabilités se fait avec des spécialistes en informatique, selon
les procédures de gestion qui sont déterminantes pour l’utilisation du système informatique.
Notre propos est d’analyser l’ensemble des ressources informatiques et les réseaux avec les
procédures de gestion, parce que ce sont ces derniers qui déterminent comment se communique
l’information dans le système informatique, et, comment sont identifiés les endroits plus
vulnérables à travers le flux d’informations.
Par exemple, une entreprise de bourse qui doit télécharger sur Internet (les ressources
informatiques et réseau) chaque journée, différents rapports internationaux (processus de
gestion), un virus peut être téléchargé (la menace), mais certains virus n'affectent pas le système.
38

39. Les utilisateurs : Pour ces derniers, on doit analyser les vulnérabilités en deux aspects : les
compétences pour la manipulation du système, la motivation et la loyauté.
Les vulnérabilités des utilisateurs, dans notre exemple : l’utilisateur peut télécharger le virus
pour le libre-arbitre (sabotage), le manque de connaissances de leurs travaux (incompétence) ; ou
le paiement pour faire du dommage (faute de loyauté.)
2.2.2 Identification des menaces qui peuvent affecter les ressources critiques
Les menaces sont internes (ex. employés) et externes (ex. criminels, l'espionnage industriel),
intentionnelles (le vol de données, différences personnelles, l'ignorance délibérée des règles) ou
accidentelles (la connaissance insuffisante du système, le stress, le manque réel de connaissances
des règles). Des conséquences maléfiques pour l’opération du système, les réseaux de données et
hardware (Magklaras & Furnell, 2002). Une matrice qu’on peut utiliser pour identifier le type et
la raison des menaces dont nous avons parlé :
Type d'événement
internes Externes
Intentionnelles
Raisons
Accidentelles
Tableau 5. Matrice d’identification type et raison
D’abord identifier les menaces du système d’informatique intégralement selon les critères ci-
dessus, ainsi que proposé, afin de reconnaitre des menaces de type (BASC, 2007):
Contre les ressources physiques et la sécurité industrielle : Il existe des endroits physiques où
résident l'infrastructure comme des voûtes ou bureaux, aussi des éléments de stockage comme
des disques durs portables, c’est-à-dire quelques éléments physiques en relation avec le système
informatique, y compris les bâtiments, également un fort composant d’ergonomie
« compréhension des interactions entre les humains et d'autres éléments d'un système, trouver que
les êtres humains et le travail technique sont en parfaite harmonie ».
 Menace de choc électrique : les niveaux élevés de tension.
 Menace d'incendie : Les matières inflammables.
 Niveaux insuffisants de l'électricité.
 Dangers des rayonnements : Vagues de bruit, de laser et les ultrasons.
 Risques mécaniques : Instabilité les pièces électriques.
39

40.  Tremblements de terre, tsunamis, inondations
 L'hygiène, l'assainissement, et l'ergonomie
Ce sont quelques risques physiques plus communs, mais, selon l’endroit géoFigure, il existe
d’autres différences.
Contre l’information : Les menaces de modification, le vol, l'altération, la transformation
abusive, la publication, accès non autorisé au système, la transformation, etc. sont des freins à
l’utilisation positive de l’outil informatique.
Spéciales : D'autres risques qui affectent la sécurité informatique, qu’on appelle spéciales, car
ils augmentent les points de vulnérabilité des systèmes, et, comme caractéristique, ils n’ont pas de
relation directe avec l’entreprise ou l’entreprise dépend d’autres facteurs. Politique, juridique, la
concentration du traitement des demandes est de plus en plus complexe : la dépendance des
personnes clés, la disparition et l'entrée de nouveaux contrôles, les grèves, le terrorisme et
l'instabilité sociale, le stockage ou d’autres activités de sécurité en outsourcing. Donc l’entreprise
assume les risques que connaît la personne qui fournit le service.
Après la révision intégrale, l’organisation fait le Catalogue des ressources critiques,
L’organisation a des informations très importantes et des ressources qui donnent un support aux
activités principales ou aux clés pour la productivité, l’expansion dans le marché et la crédibilité ;
si il y a des défauts de fonctionnement, cela peut paralyser l'activité de l'organisation.
La page web d’une entreprise de jeux sur Internet, une inondation ou un choc électrique,
devraient inclure toutes les ressources système, car les critiques sont importantes.
Nous ferons la liste de toutes les ressources critiques de l'organisation ; il faut identifier
l’emplacement, également le type d'information qui passe par cet endroit, ses fournisseurs et ses
clients, ses utilisateurs, ses responsables.
Les menaces de fait : elles sont les menaces de l’organisation évoquée ci-dessus qui a un certain
niveau de persévérance de façon directe ou indirecte. Dans un moment du temps, ils sont
menaces, donc il doit être pris en compte pour la protection. Par exemple : la tentative des pirates
pour tenter de violer les systèmes de sécurité du Pentagone. Cela classifie le niveau de menace
en : insignifiant, faible, moyen, fort.
40

41. 2.2.3 Estimation de la probabilité de l’occurrence des menaces
Pour notre recherche de classification du niveau des menaces identifiées, qu’on peut appeler aussi
niveaux de probabilité, ils sont : insignifiants, faibles, moyens, forts. Voici cette classification :
Des données historiques collectées par l’entreprise : Pour ses propres enquêtes externes de
chaque incident de sécurité, ce sont des informations qu’a obtenu l'organisation par rapport à ses
activités à travers son histoire. Il donne un niveau de probabilité.
Les appréciations de certains experts dans le domaine de la sécurité informatique : comme
l’organisation par elle-même ne peut pas interpréter toutes les données collectées, elle fait appel à
un cabinet de conseil ou à d’autres experts pour pouvoir établir son niveau de probabilité. Il
donne un niveau de probabilité.
Situation contextuelle : c’est l’analyse par rapport à des nouvelles d’environnement. Par
exemple : le mouvement d'un virus informatique dans le monde entier. Il donne un niveau de
probabilité.
Aussi, on prend en compte les menaces de fait, mais cette menace a déjà un niveau de probabilité,
si elle n’est pas une menace de fait, elle est évaluée comme insignifiante.
A chaque niveau de probabilité on assignée une valeur numérique :
Insignifiant = 1, faible = 2, moyenne = 3, forte = 4
Le tableau suivant montre comment faire l’analyse, il doit exister une tableau par chaque type de
menace :
Description Données Appréciations Situation
Menaces de fait Résultat
menace historiques des experts contextuelle
Tableau 6. Analyses de probabilité
Le résultat est la somme de toutes les variables, pour établir un niveau de probabilité, Il est classé
comme suit:
Occurrence faible (1 – 6), Occurrence moyenne (7 – 11), Occurrence haute (12 – 16).
41

42. 2.2.4 Estimation de la perte potentielle relative à chaque ressource en cas de
réalisation de la menace
Quand nous connaissons les ressources critiques menaces, avec le type de menace, nous
établissons des coûts financiers, de production, d'image et de crédibilité. Nous évaluons le conflit
du travail, la législation, la motivation et le comportement des travailleurs.
Avec le responsable (département, bureau, area) de la ressource menace, s’établit le type de
pertes en image ou d’opérations par exemple, nous estimons combien chaque perte potentielle
s’évalue en termes financiers.
Il faut établir dans chaque entreprise des critères et des procédures, ce qui est une activité
complexe : la modification du site web est plus dommageable pour « Amazon » que pour une
entreprise de vente de chaussures dans les magasins.
Cette activité se fait pour comprendre les pertes en image, production et autres, avec ses relations
en termes financiers. Dans un cas précis, l’assurance, savoir le coût de protection économique.
2.2.5 Estimation du coût des actions d’audit et de surveillance des systèmes afin de
réduire le risque
Toutes les activités pour réduire le risque, génèrent des coûts financiers, en relation avec le
temps, les analyses, l’opération, l’utilisation des employés, la surveillance….
L'audit et la surveillance sont prévus pour vérifier toute la santé du système d'information, mais il
doit être moins cher que l'information qu’il aide à protéger. Les coûts d'audit et de surveillance
doivent s’établir selon l'importance de l'information, le volume d'information, la technologie
utilisée dans les processus. Les activités de protection doivent avoir un budget assigné, selon les
nécessités et une planification. L’entreprise doit connaitre tous les coûts en relation avec les
activités de sécurité, en termes financiers, parce qu’il n’est pas possible que les coûts des
protections soient plus hauts que les coûts par attaques. Dans le schéma suivant, nous montrons
des phases de notre proposition du guide :
42