Influence des tests d'intrusion sur l'évaluation des risques

La sécurité de l'information est un domaine prenant un essor considérable suite aux attaques informatiques fréquentes ayant fait l'objet d'une couverture médiatique internationale, depuis les dix dernières années. Nous sommes donc à l'ère où la protection de l'information numérique représente un enjeu capital pour les entreprises et les gouvernements. Ces acteurs sont de plus en plus sujets à la numérisation de leur processus d'affaires et des documents associés. Les attaques informatiques auxquelles ils sont exposés ont donc des impacts d'autant plus importants selon la criticité de l'information. L'évaluation des risques informatiques est la discipline permettant d'analyser les actifs informationnels détenus par ces acteurs. Elle a pour but d'en évaluer les différents aspects de sécurité afin d'identifier les risques, les évaluer et formuler des recommandations pour les réduire. Pour cela, les méthodologies actuelles d'évaluation des risques se basent principalement sur des scénarios de menaces pouvant potentiellement se matérialiser sur l'environnement informatique d'une entreprise. Ces approches prennent pour acquis que la démarche d'analyse de risque repose principalement sur l'énumération de scénarios de menaces qui sont génériques et peu adaptés à l'environnement de l'entreprise concernée. Nous sommes donc arrivés à nous questionner sur plusieurs aspects liés à la validité des processus d'analyse et d'évaluation des risques informatiques. Cette notion de risque informatique n'a cessé de croître durant les vingt dernières années, et ce principalement dû à la médiatisation des incidents de sécurité ainsi qu'à la prise de conscience concernant l'importance des actifs informationnels numériques, tant du côté corporatif qu'individuel. L'évaluation des risques informatiques est désormais une des préoccupations principales des entreprises soucieuses de la protection liée à leurs actifs informationnels.

Abstract

The security of digital information is an area of extreme importance nowadays, since the various attacks on the Internet have been the focus of international media coverage for the last ten years. We therefore are in an era where the protection of information is a key issue for businesses and governments. These actors are increasingly subject to the digitization of their business processes and related documents. The attacks they are exposed to can have severe impacts depending on the criticality of the proprietary information concerned. Computer risk assessment is the discipline used to analyze the information assets held by these enterprises and governments. Its purpose is to evaluate the various aspects of security in order to identify risks, evaluate them, and implement recommendations to reduce them. To this end, current risk assessment methodologies are based mainly on threat scenarios that could potentially materialize on a company's digital environment. These approaches enforce that the risk analysis approach relies mainly on the enumeration of threat scenarios that are generic and not adapted to the digital environment of the company concerned. Thus, we have come to question several aspects related to the validity of the processes of analysis and evaluation of computer risks. This notion of computer risk has kept increasing for the last twenty years, mainly due to media coverage of security incidents and to raising awareness about the importance of securing digital assets. IT security risk assessment is now one of the main concerns of companies concerned about the protection of their information assets.