L’évaluation des risques informatiques révèle que 70 % des entreprises sous-estiment les menaces liées aux technologies émergentes. Cette étude met en lumière des méthodes innovantes pour intégrer l’audit informatique dans l’audit financier, essentiel pour naviguer dans un paysage technologique en constante évolution.
Sous section 3 : Les méthodes d’évaluation de la sécurité informatique
Nous allons dans ce qui suit présenter, d’une façon très brève, certaines méthodes d’évaluation de la sécurité informatique. Nous citons : la méthode statistique empirique, la méthode CHURCHMAN-ACKOFF et la méthode « Marion »19.
Il est utile de préciser que dans le cadre de l’audit financier, nous ne sommes pas concernés par une évaluation numérique du risque mais nous avons plutôt besoin d’exprimer un jugement professionnel sur l’adaptation de la sécurité aux risques identifiés.
1. La méthode statistique empirique :
Elle consiste à estimer les pertes potentielles de l’entreprise sur la base des pertes subies dans le passé. Il s’agit de déterminer la distribution de la fréquence absolue des incidents (nombre d’incidents annuels possibles avec la probabilité de réalisation de chacun), et des pertes unitaires (montants possibles pour un incident et probabilité de chacun).
Cette méthode présente de nombreux inconvénients. Elle suppose, en effet, l’existence d’une base de données statistiques complète et fiable. En outre, elle est basée sur l’hypothèse que le nombre des incidents et leur montant unitaire sont linéaires et répétitifs dans le temps et que le passé est statistiquement représentatif de tous les risques possibles.
2. La méthode CHURCHMAN-ACKOFF :
Elle est basée sur une approche qualitative : l’importance de chaque risque identifié est pondérée par un coefficient de priorité. Les rangs de priorité sont attribués par comparaison des risques deux à deux. Une cotation de la gravité relative de l’un par rapport à l’autre est définie. Le tout est ensuite regroupé pour établir une hiérarchie des risques.
Ces deux méthodes sont essentiellement basées sur des schémas mathématiques. Or, la sécurité est avant tout basée sur une politique de sécurité qui ne peut être prise en compte par des modèles purement mathématiques. C’est la raison pour laquelle elles ont été plus ou moins abandonnées au profit d’autres méthodes telles que la méthode «MARION».
3. La méthode «MARION» (Méthode d’analyse des risques informatiques et optimisation par niveau) :
Cette méthode a été élaborée par l’APSAD20. Le CLUSIF en assure l’actualisation. Elle est fondée sur l’analyse des risques (elle tient compte de leur probabilité d’occurrence) et du coût de leurs conséquences comparé au coût de la prévention.
Elle permet de dresser un inventaire des risques importants et de rechercher les moyens de sécurité susceptibles de les réduire.
En outre, elle permet d’aboutir à la rédaction d’un schéma directeur de la sécurité et à la mise en œuvre de moyens de protection et de prévention cohérents et adéquats.
Schématiquement, elle comporte six phases :
- l’analyse des risques (inventaire des risques encourus et évaluation de leur coût),
- la définition du risque maximum tolérable,
- le questionnaire d’évaluation qui permet l’analyse de la sécurité existante. Les résultats sont reportés sur une grille / questionnaire qui donne lieu à une notation allant de 0 (niveau de risque maximum) à 4 (sécurité maximale). Les résultats sont ensuite présentés dans une rosace.
- la prise en compte des contraintes techniques et humaines dans l’analyse des risques,
- la définition des moyens à mettre en œuvre afin d’améliorer la sécurité,
- la rédaction d’un plan de sécurité indiquant les modalités pratiques de mise en œuvre de la sécurité.
Exemple : Le diagramme qui suit présente l’évaluation de la sécurité d’une banque comparée à la sécurité requise dans le secteur bancaire.
Organisation générale
[11_evaluation-des-risques-informatiques-defis-et-solutions_27]
Micro-informatique Contrôles programmés
Méthodes d’analyse-programmation Procédure de révision
Maintenance
Suivi de l’exploitation
Sauvegardes
Archivage/Désarchivage
Protections des données
3,50
3,00
2,50
2,00
1,50
1,00
0,50
0,00
Contrôles permanents
Réglementation et Audit
Facteurs socio-économiques Environnement de base
Contrôle des accès
Consignes de sécurité
Sécurité incendie
Dégâts des eaux
Amélioration fiabilité de fonctionnement
Sécurité des télécommunications
Fiabilité des matériels et logiciels de base
Plan informatique
Systèmes et procédures de secours
Protocoles utilisateurs-informaticiens Personnel informatique
XXX Banque Commission Bancaire Groupe 4
Conclusion :
Les systèmes d’information ont une importance véritablement stratégique (décider du bon système à mettre en place, des nouvelles technologies à implanter, etc.). En outre, la gestion efficace de l’information et des technologies associées est d’une importance critique pour le succès et la survie d’une organisation. Cette importance a, essentiellement, pour origine :
- la dépendance croissante de l’information et des systèmes qui la délivrent
- le potentiel qu’ont les technologies à changer radicalement les organisations et les pratiques des affaires, à créer de nouvelles opportunités et à réduire les coûts
- une vulnérabilité croissante et un large spectre de menaces.
Par ailleurs, il a été démontré au cours de ce chapitre comment le milieu informatisé et plus particulièrement les nouvelles technologies de l’information et de la communication, peuvent affecter l’organisation et les procédures utilisées par l’entité pour satisfaire à la mise en place d’un contrôle interne fiable.
La mission de l’audit financier, qui repose généralement sur le contrôle interne en place, sera affectée en conséquence. L’approche d’audit doit tenir compte du nouvel environnement d’intervention qui est, généralement, plus difficile que l’environnement traditionnel et ce, en raison notamment de :
- la fréquence des modifications
- la complexité et l’intégration des traitements
- l’augmentation constante des volumes d’information
- la concentration et/ou de la dispersion croissantes des données.
Les principaux impacts des nouvelles technologies sur l’audit financier font l’objet d’une étude détaillée dans le chapitre suivant.
________________________
19 Yves BEGON, mémoire : « Les professionnels des comptes et l’informatique : risques et principes de sécurité », session Mai 1997. ↑
20 APSAD : Assemblée Plénière des Sociétés d’Assurances Dommages ↑
Questions Fréquemment Posées
Quelles sont les méthodes d’évaluation de la sécurité informatique mentionnées dans l’article?
Les méthodes d’évaluation de la sécurité informatique mentionnées sont la méthode statistique empirique, la méthode CHURCHMAN-ACKOFF et la méthode « MARION ».
Comment fonctionne la méthode CHURCHMAN-ACKOFF pour évaluer les risques?
La méthode CHURCHMAN-ACKOFF est basée sur une approche qualitative où l’importance de chaque risque identifié est pondérée par un coefficient de priorité, et les rangs de priorité sont attribués par comparaison des risques deux à deux.
Quels sont les six phases de la méthode « MARION » pour l’analyse des risques informatiques?
Les six phases de la méthode « MARION » sont : l’analyse des risques, la définition du risque maximum tolérable, le questionnaire d’évaluation, la prise en compte des contraintes techniques et humaines, la définition des moyens à mettre en œuvre, et la rédaction d’un plan de sécurité.