Ce module est une ressource pour les enseignants

Risque

Les décisions visant à protéger les ressources sont prises dans un contexte d'incertitude, c'est-à-dire à un moment où l’on ne dispose pas d’informations complètes et vérifiées sur les menaces, les vulnérabilités et la façon dont elles pourraient être exploitées (Knight, 1921). Au sens strict du terme, on désigne par risque la probabilité (c’est-à-dire les chances) de voir une menace se concrétiser et, le cas échéant, l’impact (autrement dit, les conséquences) que cela entraînerait (Dali et Lajtha, 2012). Cette conception du risque est illustrée par la formule suivante :

R isque = P robabilité x I mpact

Formulas, such as the one depicted above, are used to quantify risks (for information on how to quantify cybersecurity risks and the limitations of these efforts, see: Freund and Jones, 2015; Hubbard and Seiersen, 2016).

En 2009, l’Organisation internationale de normalisation (ISO), une organisation non gouvernementale internationale qui définit et publie des normes internationales visant à harmoniser les pratiques à travers le monde, a proposé une autre définition, pour qu’elle serve de référence et encourager une compréhension commune et l’utilisation uniforme des termes et concepts clé dans le domaine du risque (Luko, 2013 ; Dali and Lajtha, 2012). Plus précisément, le Guide ISO 73 : 2009 définit le risque comme l’« effet de l’incertitude sur l’atteinte des objectifs » (paragraphe 3.1 du Guide ISO 73 : 2009), tels que les objectifs financiers à court et/ou à long terme. Dans cette définition du risque, « L'incertitude est l'état, même partiel, de défaut d'information concernant la compréhension ou la connaissance d'un événement [« l'apparition ou le changement d'un ensemble particulier de circonstances » (paragraphe 3.3.4.2 du guide ISO 73)], de ses conséquences [autrement dit de l’« effet d'un événement affectant les objectifs » (paragraphe 3.3.5.3 du guide ISO 73)], ou de sa vraisemblance [« possibilité que quelque chose se produise, que cette possibilité soit définie, mesurée ou déterminée de façon objective ou subjective, qualitative ou quantitative, et qu'elle soit décrite au moyen de termes généraux ou mathématiques [telles une probabilité ou une fréquence) sur une période donnée (notes du paragraphe 3.3.5.2 du Guide ISO 73)] » (voir les notes du paragraphe 3.1 du Guide ISO 73 ; pour une analyse détaillée de la terminologie relative au risque, voir Hoyle, 2018).

Figure 1 : Processus d’évaluation des risques en matière de sécurité (traduit de l’anglais, copyright © 2006-2012 Threat Analysis Group, LLC)

Source: Threat Analysis Group. (2012). Security Risk Management - Methodology.

L’évaluation des risques (illustrée dans la figure 1) permet de reconnaître les vulnérabilités des ressources ou est informée des menaces internes et externes par les médias, les partenariats public-privé, et/ou d'autres acteurs des secteurs public et privé, et précise l’impact et le degré de probabilité des menaces (NIST, 2018). Une évaluation des risques a pour objectif « de reconnaître […] les menaces, […] le préjudice (c’est-à-dire les répercussions négatives) pouvant survenir compte tenu de la possibilité d’exploitation des vulnérabilités par des menaces, et […] la probabilité qu'un préjudice survienne » (NIST, 2012 ; pour une discussion des faiblesses et limites de l’évaluation des risques en matière de cybersécurité et d’éventuels moyens de .les surmonter, voir Hubbard et Seiersen, 2016).

Après l'évaluation des risques, on définit les mesures à prendre pour y répondre (autrement dit, le traitement des risques) et on les classe en ordre de priorité en fonction des ressources (par exemple, financières) et des besoins. Les mesures ainsi adoptées ont pour but d’éliminer, de réduire ou d’atténuer les risques (Maras, 2014b).

Section suivante : Divulgation de vulnérabilités
Haut de page