Articles sur : Gestion des services

⚠️ Le moteur de risques : comment ça fonctionne ?

Le moteur produit une étude de risque automatisée inspirée d'EBIOS RM. À partir des caractéristiques du système d'information, il identifie les risques usuels, leur attribue une gravité et une vraisemblance, puis en déduit les mesures à prioriser.



À quoi sert le moteur de risque ?


Il automatise la construction et la caractérisation des risques usuels d'un système d'information — par exemple un attaquant externe qui compromet un compte par hameçonnage pour récupérer des informations, ou qui rend un service indisponible par une attaque par déni de service (DDoS).

Son but : vous accompagner dans la priorisation des mesures de sécurité, en montrant quels risques pèsent sur vos SI et comment les mesures en place font évoluer leur niveau.


À partir des caractéristiques du SI déclarées, le moteur génère automatiquement une liste de risques cotés (gravité et vraisemblance) et en déduit les mesures à mettre en œuvre en priorité.



Comment la gravité des risques est-elle déterminée ?


Faute d'un atelier 1 complet, la gravité est déduite des caractéristiques du SI (nature des données, besoins de disponibilité, exposition du SI…). Chaque risque reçoit ainsi une gravité cotée de 1 à 4.



Quel attaquant et quels objectifs visés sont retenus ?


Le moteur considère un attaquant externe opportuniste. Les objectifs qu'il pourrait poursuivre — défiguration, fuite ou falsification d'informations, indisponibilité de services, envoi de mails altérés — sont retenus ou écartés selon les caractéristiques du SI.


Seuls les objectifs pertinents au regard du contexte sont conservés pour la suite de l'étude.


Comment les points d'entrée sont-ils sélectionnés ?


Le moteur pré-sélectionne des points d'entrée à l'aide de règles liées au périmètre : présence des postes de travail, type d'hébergement (interne, IaaS / PaaS / SaaS), externalisation de l'administration ou du développement, exposition des services, accès physiques, etc.


Deux filtres se superposent :


  • un filtre de périmètre : un point d'entrée n'est retenu que si le contexte du SI le rend plausible ;
  • un filtre de besoin de sécurité : certains points d'entrée sont écartés lorsque le besoin du SI est seulement basique ou modéré.


Chaque point d'entrée retenu est ensuite rattaché à la source de risque, puis aux objectifs visés applicables.


Comment les risques sont-ils créés ?


Un risque combine trois éléments : la source de risque (un attaquant externe opportuniste), le point d'entrée (la façon dont il procède) et l'objectif visé (ce qu'il cherche à obtenir). Par exemple :


  • un attaquant externe qui compromet un compte utilisateur (point d'entrée) pour récupérer ou falsifier des informations (objectif visé) ;
  • un attaquant externe qui réalise une attaque par déni de service sur les services exposés (point d'entrée) pour rendre indisponibles un ou plusieurs services (objectif visé).


Quand un même point d'entrée peut viser plusieurs objectifs, le moteur ne retient que l'objectif visé de gravité maximale. Les libellés de risque sont alors générés automatiquement, une gravité leur est associée, et leur vraisemblance est évaluée.


Comment la vraisemblance d'un risque est-elle obtenue ?


La vraisemblance traduit la probabilité de réussite d'une attaque — autrement dit la possibilité que le scénario de risque se réalise. Elle est évaluée automatiquement pour chaque risque et dépend des mesures de sécurité en place : plus les mesures pertinentes sont mises en œuvre, plus la vraisemblance baisse.


Pour cette évaluation, le moteur décompose chaque point d'entrée en plusieurs sous-points d'entrée, c'est-à-dire les différentes façons dont un attaquant pourrait l'emprunter pour atteindre son objectif.

Le moteur part d'une hypothèse prudente — le risque est considéré comme a priori élevé — puis réduit cette vraisemblance pour chaque sous-point d'entrée selon les mesures en place.

La vraisemblance finalement retenue est celle du sous-point d'entrée le plus accessible : c'est la logique du maillon faible, un risque étant aussi vraisemblable que son chemin le plus facile.


Vous n'avez pas à manipuler ce calcul : le résultat s'affiche directement dans le niveau de vraisemblance affecté à chaque risque.


Comment le niveau de besoin du SI intervient-il ?


Le moteur s'appuie sur le niveau de besoin de sécurité du SIBasique, Modéré ou Avancé. Ce niveau détermine quelles mesures sont attendues et avec quel poids elles comptent dans l'évaluation.


Une même mesure ne pèse donc pas de la même façon selon le niveau retenu : l'évaluation de la vraisemblance s'ajuste automatiquement au besoin de sécurité sur lequel le SI est basé.



Comment sont produits les cartographies et le plan d'action ?


À partir des risques et de leur vraisemblance, le moteur restitue trois cartographies :


  • Risques bruts — sans aucune mesure appliquée ;
  • Risques actuels — selon les mesures effectivement en place à date ;
  • Risques résiduels cibles — si toutes les mesures proposées étaient mises en place.


Le plan de traitement est produit automatiquement : il correspond aux mesures manquantes pour faire baisser la vraisemblance des risques.



Autres questions



Que se passe-t-il pour les mesures non prises en compte ?


Le moteur peut écarter certaines exigences du référentiel selon le périmètre, et vous pouvez juger une mesure non applicable à son contexte ("non prise en compte"). Dans ces cas, la mesure est traitée comme « en place » pour l'évaluation.


Autrement dit, une mesure écartée à juste titre ne pénalise pas la vraisemblance : elle est neutralisée plutôt que comptée comme manquante.




Remplace-t-il une analyse EBIOS RM complète ?


Non. Le moteur ne remplace pas une analyse de risque EBIOS RM : il s'en inspire pour construire les risques usuels. N'ayant pas de vue exhaustive du périmètre, il procède par approximations assumées et par règles de déclenchement automatiques.


L'utilisateur garde la main : il peut désactiver les risques proposés et ajouter des risques manuellement.




Que se passe-t-il pour la 1ère version du module des risques ?


Vous pouvez accéder à la 1ère version des risques et télécharger en csv ce qui avait été rempli.

Mis à jour le : 30/06/2026

Cet article a-t-il répondu à vos questions ?

Partagez vos commentaires

Annuler

Merci !