Analyse factorielle du risque informationnel

L'analyse factorielle du risque informationnel ou Factor Analysis of Information Risk (FAIR) en anglais, est une taxonomie des facteurs contribuant aux risques et la façon dont ils s’influencent mutuellement.

Il s'agit principalement d’établir des probabilités précises sur la fréquence et l'ampleur des événements de perte de données. Il ne s’agit pas d’une méthodologie pour effectuer une évaluation des risques d'une entreprise (ou d'un individu)[1].

Il s'agit également d’un cadre de gestion des risques développé par Jack A. Jones (fondateur de FAIR Institute). Il peut aider les organisations à comprendre, analyser et mesurer les risques liés à l'information, selon Whitman & Mattord[2].

Un certain nombre de méthodologies traitent de la gestion du risque dans l’environnement des technologies de l’information (TI) ou des risques TI, relatifs aux systèmes de management de la sécurité de l'information et des normes comme la Suite ISO/CEI 27000. FAIR cherche à les valoriser.

La classification et les méthodes ont été mises à disposition pour une utilisation non commerciale sous une licence Creative Commons. L’utilisation de l’analyse factorielle du risque informationnel à des fins commerciales nécessite une licence de RMI[3].

Documentation

modifier

Le document principal de FAIR est « An Introduction to Factor Analysis of Information Risk (FAIR) », Risk Management Insight LLC, novembre 2006[4].

Le contenu de ce livre blanc et le cadre FAIR lui-même sont publiés sous la licence d'attribution non commerciale-partage à l'identique 2.5 Creative Commons. Le document définit d'abord ce qu'est le risque. La section “Risque et analyse du risque” aborde des concepts de risque et certaines réalités entourant l'analyse du risque et les probabilités. Cela fournit une base commune pour comprendre et appliquer le FAIR. La section “Composantes du paysage des risques” décrit brièvement les quatre composantes principales qui composent tout scénario de risque. Ces composantes ont des caractéristiques (facteurs) qui, combinées les unes aux autres, entraînent le risque. La section “Factorisation des risques” commence à décomposer le risque informationnel en parties fondamentales. La classification qui en résulte décrit la façon dont les facteurs se combinent pour générer le risque et établit une base pour le reste du cadre FAIR.

La section “Contrôles” présente brièvement les trois dimensions d'un paysage de contrôles. La section “Mesure du risque” aborde brièvement les concepts et les défis de mesure, puis fournit une discussion de haut niveau sur les mesures des facteurs de risque.

Principaux concepts

modifier

FAIR souligne que le risque est un événement incertain et qu'il ne faut pas se concentrer sur ce qui est possible, mais sur la probabilité d'un événement donné. Cette approche probabiliste est appliquée à chaque facteur analysé. Le risque est la probabilité d'une perte liée à un actif informationnel. Dans FAIR, le risque est défini comme “la fréquence probable et l’ampleur probable d’une perte future”[5]. FAIR décompose en outre le risque en décomposant les différents facteurs qui composent la fréquence probable et la perte probable, qui peuvent être mesurées en un nombre quantifiable. Ces facteurs comprennent : la fréquence de l'événement de menace, la fréquence de contact, la probabilité d'action, la vulnérabilité, la capacité de menace, la difficulté, la fréquence de l'événement de perte, l'ampleur de la perte primaire, la fréquence de l'événement de perte secondaire, l'ampleur de la perte secondaire et le risque secondaire. Une fois le risque décomposé en variables estimées avec des intervalles, les simulations Monte-Carlo permettent d'évaluer la même formule des milliers de fois à l'aide de valeurs sélectionnées parmi les intervalles[6].

FAIR est donc également un outil d'aide à la décision permettant de répondre à des questions relatives aux risques et aux menaces.

Cette méthode complète les méthodes existantes telle que EBIOS.

Le potentiel de perte d’un actif informationnel découle de la valeur qu’il représente et/ou de la responsabilité qu’il introduit pour une organisation[4]. Par exemple, les informations sur les clients fournissent de la valeur grâce à leur rôle de génération de revenus pour une organisation commerciale. Ces mêmes informations peuvent également engager la responsabilité de l'organisation s'il existe une obligation légale de les protéger ou si les clients s'attendent à ce que les informations les concernant soient correctement protégées.

FAIR définit six types de pertes[4] :

  1. Productivité - une réduction de l'organisation pour produire efficacement des biens ou des services afin de générer de la valeur
  2. Réponse - les ressources dépensées en agissant à la suite d'un événement indésirable
  3. Remplacement - les frais de remplacement/réparation d'un actif affecté
  4. Amendes et jugements (A/J) - le coût de l’ensemble de la procédure juridique découlant de l'événement indésirable
  5. Avantage concurrentiel (AC) - opportunités manquées en raison de l'incident de sécurité
  6. Réputation - opportunités ou ventes manquées en raison de la dégradation de l'image de marque après l'événement

FAIR définit la valeur/responsabilité comme[4] :

  1. Critique - l'effet sur la productivité de l'organisation
  2. Coût - le coût brut de l'actif, le coût de remplacement d'un actif compromis
  3. Sensibilité - le coût associé à la divulgation de l’information, divisé en plusieurs parties :
  4. Embarras - la divulgation fait état du comportement inapproprié de la direction de l'entreprise
  5. Avantage concurrentiel - la perte de l’avantage concurrentiel lié à la divulgation de l’information
  6. Légal / réglementaire - le coût associé aux éventuelles violations de la loi
  7. Général - autres pertes liées à la sensibilité des données

Les agents de menace peuvent être regroupés en communautés de menaces, des sous-ensembles de la population globale des agents de menace qui partagent des caractéristiques clés. Les communautés de menaces doivent être définies avec précision afin d'évaluer efficacement l'effet (ampleur de la perte).

Les agents de menace peuvent agir différemment sur un actif informationnel[4] :

  • Accès - lire les données sans autorisation appropriée
  • Mauvaise utilisation - utiliser l'actif sans autorisation et ou différemment de l'utilisation prévue
  • Divulguer - l'agent permet à d'autres personnes d'accéder aux données
  • Modifier - modifier l'actif (modification des données ou de la configuration)
  • Refuser l'accès - l'agent de menace ne permet pas aux utilisateurs légitimes d'accéder à l'actif

Ces actions peuvent affecter différents actifs de différentes manières : l'effet varie en fonction des caractéristiques de l'actif et de son utilisation. Certains actifs ont une criticité élevée mais une faible sensibilité : le refus d'accès a un effet beaucoup plus élevé que la divulgation sur ces actifs. D'un autre côté, un actif informationnel contenant des données très sensibles peut avoir un faible effet sur la productivité s'il n'est pas disponible, mais une gêne et un effet juridique si ces données sont divulguées : par exemple, la disponibilité des données de santé d'anciens patients n'affecte pas la productivité d'un établissement de santé mais sa divulgation peut coûter des millions de dollars à l’organisation[7]. Un même événement peut impliquer différents actifs informationnels : un vol d'ordinateur portable affecte la disponibilité de l'ordinateur portable lui-même mais peut conduire à la divulgation potentielle des informations qui y sont stockées.

C’est la combinaison des caractéristiques d'un actif informationnel et du type d'action contre cet actif informationnel qui détermine la nature fondamentale et le degré de perte.

Notes et références

modifier
  1. (en) Technical Standard Risk Taxonomy, vol. C081, The Open Group, (ISBN 1-931624-77-1)
  2. (en) Michael Whitman et Herbert J. Mattord, Principles of information security, Course Technology Inc., (ISBN 978-1-337-10206-3 et 1-337-10206-7)
  3. (en) « Security and Risk Management », sur The Open Group
  4. a b c d et e (en) Risk Management Insight LLC, « An Introduction to Factor Analysis of Information Risk (FAIR) » [PDF],
  5. (en) Jack Freund et Jack Jones, Measuring and Managing Information Risk, Waltham, Butterworth-Heinemann, (ISBN 9780127999326)
  6. Club Ebios - C-RISK SAS et FAIR Institute & RiskLens, Introduction au Standart FAIR et à la Quantification des Risques Cyber, , 12 p. (lire en ligne [PDF])
  7. (en) Terry Frieden, « VA will pay $20 million to settle lawsuit over stolen laptop's data », sur CNN Politics,

Voir aussi

modifier

Articles connexes

modifier

Liens externes

modifier