Gérer les risques est une activité que toutes les organisations doit accomplir — mais il existe quelques variétés d'approches d'évaluation des risques, chacune ayant ses propres applications et avantages.

Quelle est la manière la plus efficace pour votre organisation d'identifier et de réduire les risques en matière de sécurité de l'information? Comment allez-vous estimer la probabilité et l'impact? Quel est le niveau de risque acceptable pour votre entreprise?

Cet article vous aidera à répondre à toutes ces questions et à choisir une méthodologie de gestion des risques qui protège votre organisation.

6 types communs de méthodologies d'évaluation des risques

Il existe plusieurs approches populaires d'évaluations des risques parmi lesquelles les organisations peuvent choisir. Comprendre ces approches peut vous aider à décider laquelle est la mieux adaptée à vos besoins.

Évaluation qualitative des risques

En général, il existe deux approches d'évaluation des risques: qualitative et quantitative.

Avec une approche qualitative, vous parcourrez différents scénarios et répondrez à des questions « et si » pour identifier les risques. Une matrice de risques est couramment utilisée pour attribuer à chaque risque un score de probabilité et d'impact (c’est-à-dire « élevé », « moyen » et « faible »), permettant une priorisation facile. Les risques à la fois très probables et à fort impact sont les plus prioritaires, et les risques à la fois peu probables et à faible impact sont les moins prioritaires.

Évaluation quantitative des risques

Une approche d'évaluation quantitative des risques utilise des données et des chiffres pour définir le niveau de risque. L'analyse quantitative des risques utilise des données pour mesurer la probabilité et l'impact des risques individuels. Par exemple, les coûts potentiels ou les retards de temps peuvent être prédits par des simulations Monte Carlo. Bien que cette approche puisse être plus précise, elle repose également sur des données précises et complètes.

Pour illustrer la différence avec un exemple, disons que votre entreprise est située dans le Dakota du Nord. Une évaluation qualitative des risques dirait qu'un tremblement de terre est peu probable et de faible impact, donc il y a peu de besoin d'investir dans des racks de serveurs sismiques. Une évaluation quantitative des risques utiliserait des données géologiques pour conclure qu'il y a une chance de 2 % d'un tremblement de terre au cours des 10 prochaines années avec des pertes financières estimées à 5 000 $.

En utilisant la formule Risque = Probabilité x Impact, vous pouvez alors calculer une exposition au risque estimée à environ 100 $. Étant donné que les racks de serveurs sismiques nécessaires sont estimés à 15 000 $, le risque se situe dans votre fourchette acceptable.

Évaluation semi-quantitative des risques

Une évaluation semi-quantitative des risques combine ces deux approches. Elle attribue un paramètre quantitativement et l'autre qualitativement.

Pour continuer l'exemple du tremblement de terre, une approche semi-quantitative quantifierait la probabilité avec des données précises, telles que la probabilité géologique d'un tremblement de terre. Elle attribuerait ensuite un score d'impact numérique, disons un 8 sur une échelle de 1 à 10. Selon une évaluation semi-quantitative des risques, un tremblement de terre serait un fort impact mais très peu probable.

Étant donné que les informations fournies par les évaluations semi-quantitatives des risques sont limitées, elles sont le plus souvent utilisées lorsque les données nécessaires pour effectuer une évaluation quantitative complète des risques sont soit incomplètes, soit peu fiables.

Évaluation des risques basée sur les actifs

Les évaluations des risques basées sur les actifs se concentrent exclusivement sur les risques posés aux actifs d'une organisation. Ceux-ci peuvent inclure des actifs physiques tels que les équipements et les bâtiments, ainsi que les données et la propriété intellectuelle de l'entreprise.

Pour ce type d'évaluation des risques, les organisations créent d'abord un registre des actifs. Ensuite, les propriétaires d'actifs aident à identifier les risques, qui sont ensuite priorisés en fonction de la probabilité et de l'impact. Les évaluations des risques basées sur les actifs sont généralement utilisées lors de la recherche de la certification ISO 27001.

Évaluation des risques basée sur la vulnérabilité

Cette approche aide les organisations à identifier leurs risques les plus prioritaires. Les solutions de gestion des vulnérabilités basées sur les risques utilisent généralement des outils/services de scan de vulnérabilités, l'intelligence artificielle et l'apprentissage automatique pour identifier les risques les plus susceptibles d'être exploités et ayant le potentiel de dommage le plus élevé pour l'entreprise. Ces informations permettent aux équipes de cybersécurité de se concentrer sur les risques les plus significatifs et urgents auxquels font face leurs organisations.

Évaluation des risques basée sur les menaces

Alors qu'une approche de gestion des risques basée sur les actifs se concentre sur les actifs les plus importants d'une organisation, une approche basée sur les menaces examine les conditions qui créent et contribuent à un risque accru. Quelles techniques les acteurs de la menace utilisent-ils et comment pouvez-vous mieux vous protéger contre elles?

Par exemple, une approche basée sur les actifs peut identifier les risques liés à de mauvaises pratiques de mots de passe dans une organisation. Le résultat peut être la mise en œuvre d'une politique de mot de passe qui exige l'utilisation de mots de passe forts ou l'authentification multi-facteurs.

Une approche basée sur les menaces se concentrerait plutôt sur les pratiques de l'ingénierie sociale et sur la probabilité que des acteurs malveillants ciblent les employés et les convainquent de partager des mots de passe ou d'autres informations sensibles pouvant être exploitées. Le résultat de cette évaluation peut être une formation plus fréquente des employés sur les attaques de phishing et les bonnes pratiques de mots de passe.

Méthodologies de gestion des risques pour la sécurité de l'information

Parce que les évaluations des risques sont si importantes pour les entreprises à l'ère numérique, de nombreuses organisations ont créé des cadres de gestion des risques définis pour la sécurité de l'information. Cette liste inclut certains des plus populaires et respectés :

NIST RMF

Créé par le National Institute of Standards and Technology, le Cadre de gestion des risques (RMF) du NIST propose un processus en 7 étapes pour intégrer les activités de sécurité de l'information et de gestion des risques dans le cycle de vie du développement des systèmes :

• Étape 1 : Se préparer à gérer les risques de sécurité et de confidentialité
• Étape 2 : Catégoriser les informations traitées, stockées et transmises en fonction de l'impact
• Étape 3 : Sélectionner les contrôles NIST SP 800-53 pour protéger le système
• Étape 4 : Mettre en œuvre et documenter les contrôles
• Étape 5 : Évaluer les performances des contrôles
• Étape 6 : La direction évalue le risque pour autoriser le système à fonctionner
• Étape 7 : Continuer à surveiller les contrôles et les risques pour le système

ISO 27005:2018

Développé par l'Organisation internationale de normalisation (ISO) pour soutenir ISO/IEC 27001, ISO/IEC 27005:2018 propose des lignes directrices pour la gestion des risques de sécurité de l'information. Le document aide les organisations à identifier, analyser, évaluer, traiter et surveiller les risques spécifiques de sécurité de l'information.

OCTAVE

OCTAVE signifie Évaluation opérationnelle critique des menaces, des actifs et des vulnérabilités. Il définit une méthode complète pour identifier, évaluer et gérer les risques de sécurité de l'information. OCTAVE comporte trois phases :

• Phase 1 : Construire des profils de menace basés sur les actifs
• Phase 2 : Identifier les vulnérabilités de l'infrastructure
• Phase 3 : Développer une stratégie de sécurité

NIST SP 800-30 révision 1

Également développé par le National Institute of Standards and Technology, 800-30 Révision 1 est un guide pour réaliser des évaluations des risques. Ce document est une entrée dans une série de directives de gestion des risques et de la sécurité de l'information développées par un groupe de travail conjoint avec le Département de la Défense, la Communauté du Renseignement et le Comité des Systèmes de Sécurité Nationale. Il développe les directives énoncées dans la Publication Spéciale 800-30 pour inclure des informations détaillées sur les facteurs de risque tels que les sources et événements de menace, les vulnérabilités, l'impact et la probabilité d'occurrence de la menace.

Quelle que soit l'approche ou la méthodologie de gestion des risques que vous choisissez, la direction de l'entreprise doit être étroitement impliquée dans le processus de prise de décision. Ils seront essentiels pour déterminer les critères de sécurité de base de votre organisation et le niveau de risque acceptable.

Et en établissant votre méthodologie de gestion des risques au niveau de l'entreprise, chaque département pourra suivre le même processus cohérent.

Un processus d'évaluation des risques en 6 étapes

La réalisation d'évaluations régulières des risques est une étape cruciale pour protéger votre organisation contre les violations et maintenir la conformité avec de nombreux cadres de sécurité. Ci-dessous, nous décrivons le processus de gestion des risques en six étapes de base.

Étape 1 : Déterminez le niveau de risque acceptable de votre organisation

Le risque est une inévitabilité pour toutes les entreprises. Mais avec une plus grande sensibilisation et compréhension de ces risques, les entreprises peuvent identifier des moyens de les résoudre, de les réduire ou de les contourner pour atteindre leurs objectifs. Parfois, le risque peut même se transformer en opportunité — il est donc important d'avoir une approche de gestion des risques qui équilibre prise de conscience des risques et stratégies de prise de risques.

Un faible risque peut entraîner de la stagnation et un manque d'innovation. Un risque élevé peut entraîner des pertes inutiles de temps et d'argent. Une gestion efficace des risques trouve un équilibre qui permet aux organisations de réaliser leurs objectifs tout en minimisant les pertes potentielles.

Définir l'appétit pour le risque d'une organisation implique généralement quelques étapes clés :

1. Définissez les objectifs stratégiques de votre entreprise. Que cherche à réaliser votre organisation ? Quel niveau de risque êtes-vous prêt et capable d'accepter pour atteindre ces objectifs ?
2. Pour chacun des principaux objectifs que vous avez identifiés, décidez du niveau de risque acceptable.
3. Communiquez votre appétit pour le risque aux parties prenantes de l'entreprise. Les équipes de direction et de gestion doivent travailler ensemble pour discuter de l'appétit pour le risque, de la mitigation, partager les retours et déterminer comment cela affectera les opérations quotidiennes. Rédiger une déclaration d'appétit pour le risque peut clarifier votre stratégie pour les dirigeants, les employés et d'autres parties prenantes clés, et permet de prendre des décisions de risque plus éclairées dans toute l'entreprise.

La tolérance au risque et l'appétit pour le risque sont souvent utilisés de manière interchangeable, mais ils ne sont pas la même chose.

L'appétit pour le risque est la quantité de risque que votre entreprise est prête à accepter avant de le traiter. L'appétit pour le risque varie largement en fonction de facteurs tels que l'industrie de votre entreprise, la situation financière, le paysage concurrentiel et la culture d'entreprise. Quelle est l'analyse coûts-bénéfices de chaque risque ? Si vous avez plus de ressources, vous pouvez être ouvert à accepter un plus grand risque afin de favoriser un rythme d'innovation plus rapide, par exemple.

La tolérance au risque est la quantité de risque résiduel que vous êtes prêt à accepter après traitement. Supposons que vous identifiez un risque ayant une probabilité de 40% de se produire, ce qui dépasse votre appétit pour le risque. Après avoir traité le risque, vous réduisez la probabilité de survenue à 10%. Un risque résiduel de 10 % est-il acceptable pour votre entreprise ?

Étape 2 : Sélectionner une méthodologie d'évaluation des risques

Posez-vous les questions suivantes :

• Qu'espérez-vous gagner de l'évaluation ? Une évaluation quantitative des risques peut fournir des informations basées sur les données, tandis qu'une évaluation qualitative offre souvent une plus grande efficacité.
• Quel est le champ d'application de l'évaluation ? Décidez si l'évaluation des risques sera menée à travers toute votre organisation ou se concentrera sur un seul département ou une seule équipe.
• Quelles exigences de conformité ou réglementaires devez-vous respecter ? Certaines normes de sécurité de l'information telles que ISO 27001, SOC 2, PCI et HIPAA peuvent avoir des procédures d'évaluation des risques spécifiques que vous devez suivre pour satisfaire aux exigences.
• Quelles contraintes de coût ou de temps devez-vous contourner ? Un calendrier accéléré peut exiger une évaluation qualitative plutôt que quantitative. Les organisations ne disposant pas de l'expertise interne nécessaire pour réaliser une évaluation des risques peuvent devoir engager une tierce partie.

Étape 3 : Identification des risques

Les risques de sécurité sont en constante évolution, avec de nouvelles menaces apparaissant apparemment chaque jour. La seule façon de répondre aux risques est d'abord de les identifier.

Commencez par une liste d'actifs informationnels, puis identifiez les risques et les vulnérabilités pouvant affecter la confidentialité, l'intégrité et la disponibilité des données pour chacun d'entre eux. Vous devrez prendre en compte votre matériel (y compris les appareils mobiles), les logiciels, les bases de données d'informations et la propriété intellectuelle.

• Les vulnérabilités sont des failles dans l'état de votre environnement susceptibles d'être exploitées.
• Les menaces sont la possibilité pour quelqu'un ou quelque chose de tirer parti d'une vulnérabilité.
• Les risques sont une mesure de la probabilité qu'une menace donnée tire parti d'une vulnérabilité donnée et de l'impact que cela aura sur l'environnement des données des détenteurs de carte.

Par exemple, considérons un système logiciel qui n'a pas été mis à jour avec une nouvelle version destinée à corriger une vulnérabilité de cybersécurité. Cette vulnérabilité est un logiciel obsolète, la menace est qu'un hacker pourrait infiltrer le système, et le risque de cybersécurité est de ne pas s'assurer que le logiciel est à jour.

Considérez ces catégories de menaces et de vulnérabilités :

• Numérique : Ne pas mettre à jour les logiciels avec les correctifs de sécurité
• Physique : Élimination incorrecte des données
• Interne : Employés
• Externe : Hackers
• Environnemental : Catastrophe naturelle

Étape 4 : Analyse des risques

Une fois que vous avez identifié les risques, déterminez la probabilité potentielle de chacun d'eux de se produire et son impact sur l'entreprise. N'oubliez pas que l'impact n'est pas toujours monétaire - il peut s'agir d'un impact sur la réputation de votre marque et les relations avec les clients, d'un problème juridique ou contractuel, ou d'une menace pour votre conformité.

• Probabilité du risque : Considérez la probabilité qu'une menace tire parti d'un risque donné. Par exemple, si vous avez connu une violation de données l'année dernière, la probabilité qu'une autre survienne serait élevée à moins que vous n'ayez corrigé la vulnérabilité qui a causé la violation.
• Potentiel de risque : Considérez les dommages qu'un risque pourrait causer à votre organisation. Par exemple, des pare-feu mal configurés auraient une probabilité élevée de laisser entrer ou sortir un trafic inutile des systèmes d'information.

Attribuez à chaque risque un score de probabilité et d'impact. Sur une échelle de 1 à 10, quelle est la probabilité que l'incident se produise ? Quel serait l'impact de cet incident ? Ces scores vous aideront à prioriser les risques à l'étape suivante.

Étape 5 : Traitement des risques

Aucune entreprise ne dispose de ressources illimitées. Vous devrez décider quels risques vous devez consacrer du temps, de l'argent et des efforts pour les traiter et lesquels relèvent de votre niveau de risque acceptable.

Maintenant que vous avez analysé l'impact potentiel de chaque risque, vous pouvez utiliser ces scores pour prioriser vos efforts de gestion des risques. Une matrice de risque peut être un outil utile pour visualiser ces priorités (trouvez un registre des risques + modèle de matrice des risques gratuit ici).

Un plan de traitement des risques enregistre comment votre organisation a décidé de répondre aux menaces que vous avez identifiées lors de votre évaluation des risques de sécurité.

La plupart des méthodologies d'évaluation des risques décrivent quatre manières possibles de traiter les risques :

• Traiter le risque avec des contrôles de sécurité qui réduisent la probabilité qu'il se produise
• Éviter le risque en empêchant les circonstances où il pourrait se produire
• Transférer le risque avec un tiers (c'est-à-dire externaliser les efforts de sécurité à une autre entreprise, souscrire une assurance, etc.)
• Accepter le risque car le coût de son traitement est supérieur aux dommages potentiels

Étape 6 : Contrôle et atténuation des risques

Il est maintenant temps de créer un plan d'action et de décider de vos options d'atténuation des risques. Les contrôles des risques peuvent inclure des processus opérationnels, des politiques et/ou des technologies conçus pour réduire la probabilité et/ou l'impact d'un risque.

Par exemple, le risque de perte accidentelle de données peut être atténué en effectuant des sauvegardes régulières des systèmes d'information qui sont stockées à différents endroits.

Chacun des risques identifiés doit avoir un propriétaire assigné qui est responsable de la supervision de toutes les tâches d'atténuation des risques, de l'attribution des échéances de mise en œuvre à la surveillance de l'efficacité des contrôles.

Renforcez votre organisation contre les menaces avec Secureframe

Quelle que soit la manière dont vous choisissez de surveiller et de gérer les risques, c'est un processus continu. Une solution GRC tout-en-un comme Secureframe peut vous aider à évaluer les mesures de sécurité et à identifier les faiblesses pour vous fournir une image claire de votre profil de risque et de votre posture de sécurité.

Secureframe facilite la création et le maintien de processus de gestion des risques robustes :

• Surveillez les risques 24/7 : La surveillance continue de votre pile technologique fournit une visibilité complète sur les problèmes critiques de sécurité et de confidentialité. Suivez et mettez à jour la probabilité et l'impact des risques ainsi que les plans de traitement des risques.
• Suivez les risques sur une seule plateforme : Maintenez un registre de risques à jour à mesure que vous introduisez de nouveaux produits et services, que votre environnement technologique change ou pour incorporer les résultats d'audits internes ou externes.
• Assignez des propriétaires de risques : Les rappels de notification pour examiner et mettre à jour régulièrement les risques assurent la responsabilité.

En savoir plus sur la manière dont Secureframe peut vous aider à bâtir une posture de sécurité solide et évolutive en planifiant une démonstration dès aujourd'hui.