Notre contribution à la communauté de la sécurité de l'information et des systèmes d'information

niveau de risqueDéfinir un indicateur du niveau de risque global (2/2)

Dans cette seconde partie de l’article, nous allons montrer comment les réseaux bayésiens permettent de créer un indicateur niveau de risque avec un exemple simple et compréhensible.

[disclaimer]L’exemple a réellement été simplifié, que les puristes ne nous en veulent pas d’avoir utilisé des raccourcis simplistes, tels que donner une valeur autre que 0 ou 1 à la conformité. Nos lecteurs comprendront aisément ce besoin de simplification.[/disclaimer]

Prenons pour exemple une entreprise de commerce en ligne qui cible des prix attractifs : SmallPrice. Dans un premier temps, et c’est une pratique usuelle des démarches d’analyse de risque simplifiées, il est nécessaire de définir les principales causes du risque.

En premier lieu : l’indisponibilité IT. En effet, si le site internet de SmallPrice est indisponible, les clients ne peuvent plus faire des achats ou suivre leurs commandes. Cette indisponibilité rend les clients moins confiants envers la société et peut les amener à ne plus faire d’achat chez SmallPrice. De même, une indisponibilité du back office peut rallonger le temps de traitement de l’achat et diminuer la qualité de service de SmallPrice.

En second lieu : l’entreprise, car elle traite des paiements carte bancaire, est éligible à PCI-DSS v2 ; ses banques acquéreurs exerçant une pression forte sur l’entreprise, une non-conformité est une cause importante du risque. Si les données des cartes bancaires mal protégées, l’image de l’organisation peut se dégrader, elle est éligible à des amendes, et elle peut, à l’extrème perdre son privilège d’encaissement, cette dernière conséquence étant bien plus contraignante mais néanmoins moins probable.

En dernier lieu, on identifie le risque de fraude, inhérent aux systèmes et aux organisations effectuant du commerce en ligne.

D’autres causes de risque existe, mais afin de garder l’exemple simple, nous allons nous contenter de trois causes :
– L’indisponibilité IT
– La fraude
– La non-conformité PCI-DSS

La figure suivante représente les éléments présentés sous forme de réseau bayésien, et les flèches représentent les relations de cause à effet.

 

Diagramme de réseau bayésien

Diagramme de réseau bayésien

Chaque nœud du réseau comporte deux états : un état « bon » et un état « mauvais » : OUI / NON pour la conformité, l’indisponibilité IT et la fraude et A_Risque / Sans_Risque pour le niveau de risque.

Pour le nœud « Niveau de risque » on définit une table de probabilité conditionnelle, telle que présentée dans la figure suivante et explicitée ci-après.

Table de probabilité conditionnelle

Table de probabilité conditionnelle

Cette table de probabilité peut être définie à l’aide de données empiriques ou à partir du jugement d’un expert. Elle se lit de la manière suivante (valeur en surbrillance dans la figure) :la probabilité d’être dans l’état A_Risque du nœud « Niveau de risque » sachant que l’on est dans l’état Oui pour le nœud « Indisponibilité IT » (donc indisponible), Non pour le nœud « Conformité PCI-DSS » (non conforme) et Non pour le nœud « Fraude » (pas de fraude) est de 0,9 (soit 90%).

Maintenant, il faut alimenter les trois nœuds causant le risque avec des valeurs. Par exemple, L’analyse des événements passés énonce que l’indicateur de disponibilité nous donne une valeur de 95 sur 100 (soit 95 pour l’état Non du nœud « Indisponibilité IT » et 5% pour l’état Oui), que l’indicateur de fraude vaut 85% et que l’indicateur de conformité est à 75%. Une fois les valeurs rentrées dans le réseau il suffit de propager l’information dans ce dernier pour définir le niveau de risque. Comme le montre la figure suivante le niveau de risque est de 28,2%.

Propagation d'un information entre noeuds

Propagation d’un information entre noeuds

Dans cet article nous avons montré comment sont utilisés les réseaux bayésiens pour définir un niveau de risque. Il est important de comprendre que ceci n’était qu’un exemple simplifié, voire simpliste.

En effet chaque nœud qui cause le niveau de risque peut à son tour être décomposé par une relation de cause à effet. De plus le nombre d’état que peut avoir un nœud n’est pas limité à deux. Des informations sur les principes des réseaux bayésiens sont disponibles dans cet excellent livre [1].

[1] Les réseaux bayésiens, P. Naïm, P. Wuillemin, P. Leray, O. Pourret, A. Becker, 3e édition, Eyrolles 2007.

CONIX

By | 2017-08-07T09:53:15+00:00 13/01/2012|Gouvernance|