Notre contribution à la communauté de la sécurité de l'information et des systèmes d'information

réseaux bayésiens

Définir un indicateur du niveau de risque global (1/2)

Dans cet article, nous allons discuter de la réalisation d’un indicateur représentatif du niveau de risque global. Selon le référentiel ISO Guide 73 – Vocabulaire du management du risque – « le risque est l’effet de l’incertitude sur les objectifs » [1]. Dans la norme ISO 27005 [2], un risque est défini comme une fonction de deux facteurs vraisemblance et impact. Plusieurs méthodes existent pour définir un niveau appliqué à un risque. Mais, comment créer un indicateur du niveau de risque global prenant en compte l’incertitude, et étant le plus représentatif et le moins subjectif possible?

Un niveau de risque est forcement subjectif. Le manque d’objectivité n’est pas un problème majeur dans la définition du niveau de risque, puisque cet indicateur doit permettre à ses utilisateurs de le comprendre facilement et rapidement. Cependant, il faut éviter que la subjectivité ne crée un trop fort biais rendant l’indicateur peu pertinent et inutile. Pour éviter ce biais, il est important de confronter les points de vue, de prendre du recul, et de remettre en question les méthodes validées pour la modélisation d’un niveau de risque global afin de trouver le moyen le plus adapté. Comme par exemple : les variables utilisées sont-elles toutes pertinentes ? le périmètre est-il bien couvert ? Cette étape, qui peut paraitre triviale, est en réalité très importante.

Lorsque qu’on procède à une analyse du risque, et plus particulièrement lors de la phase d’appréciation des risques, les risques sont mesurés (décrits quantitativement ou qualitativement) et ordonnés. Il devient donc possible pour un expert d’avoir une vue « haut niveau » sur le risque global. L’expert est capable de donner un niveau de risque global approprié à un instant donné, sans pour autant être capable d’expliquer son processus de raisonnement.

La connaissance des experts sur les processus générateurs de risque est indispensable pour le modéliser, du fait du manque de données historiques et de contexte instable. Toute approche qui n’est pas fondée sur la connaissance des experts est incapable d’appréhender les risques et les évolutions contextuelles et conduit nécessairement à user d’artifices mathématiques pour réconcilier des données qui ont été fusionnées par manque de compréhension des processus générateurs de risque. Les données ne constituent qu’un élément alimentant la connaissance, l’élément fondamental en étant l’expertise humaine. La connaissance permet à la fois de réduire notre incertitude et nos risques. Les comprenant mieux, nous les voyons mieux et les contrôlons mieux. Comment définir un système capable de fournir un niveau de risque en suivant au mieux le mode de raisonnement de l’expert?

En pratique, un système expert modélise le mode de raisonnement de l’expert puis essaye de reproduire ce raisonnement sur de nouvelles requêtes (mode de raisonnement causal). Un modèle probabiliste ne modélise pas le mode de raisonnement de l’expert, mais la connaissance qualitative que l’expert a des phénomènes physiques influençant le système (mode de raisonnement fondé). Par rapport aux systèmes à base de règles déterministes, le plus souvent utilisés dans les systèmes experts, les réseaux bayésiens permettent d’intégrer l’incertitude dans le raisonnement. Un réseau bayésien est un graphe causal auquel on associe une représentation probabiliste sous-jacente (c’est l’ « incertain »). Cette représentation permet de rendre quantitatifs les raisonnements sur les causalités que l’on peut faire à l’intérieur du réseau. De plus, là où les méthodes classiques ne fonctionnent pas pour l’estimation des risques, les réseaux bayésiens décrivent bien les causes et les effets qui donnent une quantification rigoureuse de cette estimation des risques et permettent donc de bien estimer un niveau de risque global.

En conclusion, parce que le raisonnement des experts est clef pour l’estimation du risque et nous avons retenu une méthode à base de réseaux bayésiens, car ils permettent de prendre en compte à la fois l’incertain et les connaissances des experts pour créer un niveau de risque global. Dans le prochain article, nous montrerons comment les réseaux bayésiens permettent de créer un indicateur de niveau de risque.

[1] Référence officielle ISO Guide 73:2009 – Management du risque — Vocabulaire, www.iso.org
[2] Référence officielle ISO Guide 27005 – Gouvernance de la sécurité, www.iso.org
[3] Les réseaux bayésiens, P. Naïm, P. Wuillemin, P. Leray, O. Pourret, A. Becker, 3e édition, Eyrolles 2007.

 

CONIX

By | 2017-08-04T15:22:23+00:00 04/11/2011|Gouvernance|