Processus de gestion du risque, Système de gestion de la confiance

By 28 February 2013

Gestion du risque – Chapitre 7 :

Dans ce chapitre, nous présentons la gestion des risques telle que nous l’avons intégrée dans notre système de gestion de la confiance. Ce modèle de risque est fait pour être appliqué à des transactions du domaine du commerce électronique. Nous avons précédement vu que la prise en compte des risques est un élément très important de ce type d’application, il s’agit d’un des principaux facteurs qui permettent aux différentes entités impliquées de prendre une décision sur la poursuite de la transaction.

Le modèle de risque que nous présentons dans ce chapitre est proche de ceux proposés par Gransidon [36] et le projet SECURE [20]. L’idée principale est de proposer une méthode quantitative pour disposer d’une valeur mesurant le risque et d’utiliser cette valeur pour identifier les différents niveaux de risque utilisables dans nos politques.

Nous présentons d’abord le développement d’un système intégré de la gestion du risque. Ensuite, nous présentons le modèle du risque appliqué dans le contexte de notre système de gestion de la confiance. Enfin, nous donnons un scénario d’application appliquant notre modèle du risque.

7.1 Processus de gestion du risque

Dans cette section, nous présentons brièvement l’état de l’art des outils de gestion du risque. Nous nous intéressons au processus de la gestion du risque pour un système d’information. Cet aspect est abordé dans le guide de management du risque [46]. Nous résumons quelques points importants en précisant l’application des processus de la gestion du risque dans notre système de gestion de la confiance.

7.1.1 Perception du risque

En général, la sensation de risque est un phénomère très subjectif, lié à la perception d’une certaine situation par un invividu donné.

Dans le contexte de notre application (une transaction de commerce électronique), une entité participant à la transaction peut analyser différents facteurs afin de prévenir la situation de risque où son partenaire pourrait se livrer une tricherie en contrefaisant les preuves de paiement ou d’envoi de produit, le mode de contact ou le type de paiement, etc.

7.1.2 Identification du risque

Quand il y a eu perception ou sensation de risque, il faut identifier celui-ci. Il faut reconnaître les signaux relatifs aux risques potentiels importants, aux dangers ou aux conséquences dommageables (par exemple, pertes potentielles). Dans cette étape, on porte l’attention sur les causes (facteur du risque), sur les objets de risque et sur les ressources potentiellement impactées par ces facteurs de risque en regardant les aspects critiques associés à ces éléments.

Dans la cas de notre scénario de transaction du commerce électronique, l’entité peut identifier le risque lié aux pertes dans la transaction : le client a payé mais ne reçoit pas le produit, le vendeur n’a pas reçu un paiement valide après avoir envoyé le produit, etc.

7.1.3 Évaluation du risque

Le but de cette phase est de déterminer le niveau de tous les risques identifiés lors de la phase précédente. Les niveaux dépendent des critères appliqués. En général, nous pouvons identifier les niveaux : risque élevé, risque moyen ou risque faible.

Pour l’évaluation, il nous faut prendre en compte l’ensemble des paramères de vulnérabilité : la cause (facteur du risque), l’objet de risque (l’organisation ou la ressource) et la conséquence (l’impact), avec leurs gravités potentielles.

Il y a différentes méthodes pour évaluer le risque, qui dépendent du modèle du risque que nous appliquons au système. Il y a différentes approches pour le modèle du risque dans la littérature comme nous l’avons indiqué dans l’état de l’art (chapitre 3) : l’approche qualitative, l’approche quantitive ou l’approche hybride.

En appliquant le modèle du risque, nous obtenons le niveau de risque estimé pour chaque risque identifié. Notre modèle de risque se base sur une approche quantitive, ce qui sera présenté dans la section suivante.

7.1.4 Gestion du risque

Dès que l’on a évalué les plus fortes vulnérabilités, on connaît mieux les causes, les objets de risque, et les conséquences de ces vulnérabilités. Quand on a identifié les risques et leurs niveaux, il convient d’adopter une stratégie pour traiter ces risques afin d’en réduire les différents aspects. Il existe diverses stratégies pour traiter les risques, telles que la prévention, les actions correctives et les palliatifs.

-Prévention : l’action consiste à diminuer la probabilité d’occurrence du risque en diminuant ou supprimant certains des facteurs de risque.
-Préparation de correction : l’action consiste à diminuer l’effet du risque lorsque celui-ci intervient.
-Palliatifs Adaptation au risque : Le risque peut être considéré comme un événement aléatoire d’une transaction, et la théorie des jeux permet d’associer un coût à ce risque. Il est dès lors possible d’appliquer des stratégies palliatives, qui peuvent avoir comme buts de :

-Minimiser les pertes : il faut rendre l’espérance mathématique des pertes la plus faible possible. Les produits financiers sont des exemples typiques de cette approche.

-Maximiser les gains : il faut cette fois rendre l’espérance mathématique des gains la plus forte possible. Dans cette optique on peut décider d’ignorer les risques.

Dans notre système de gestion de la confiance, nous voulons considérer le risque en tant que facteur de la décision sur la confiance en une action d’une entité. L’idée principale est que nous intégrons le risque à la politique de confiance de l’entité, et cela sera effectué à la prise de décision quand la politique est vérifiée.

Notre modèle de gestion de confiance utilise la structure d’événements en modélisant les actions de l’entité, et en considérant les données échangées avec les autres entités comme des événements. Le niveau de risque sera également considéré comme un événement. Il sera pris en compte dans l’historique des transactions et aussi dans la politique, comme nous l’expliquons dans le chapitre 5. Nous citons ici l’exemple de la politique d’une entité, extrait du scénario du chapitre 5.

(ψ2 ) : high_risk → (valid_payment ∨ G−1 (positive))

Cela explicite que si le marchand trouve un risque important pour la transaction, il n’accepte que les commandes dont le paiement est valide, ou si toutes les évaluations des transactions antérieures de ce client sont positives.

Lire le mémoire complet ==> (Infrastructure de gestion de la confiance sur Internet )
Thèse pour obtenir le grade de Docteur – Spécialité : Informatique
École Nationale Supérieure des Mines de Saint-Étienne