L’Analyse de Risques

Laisser un commentaire / Par /

Cet article se situe dans la partie Gouvernance de la cybersécurité.

Méthodologies d’Analyse

L’analyse de risques repose sur diverses méthodologies reconnues, telles qu’EBIOS (ou EBIOS RM de l’ANSSI), l’ISO 27005, entre autres.

Objectifs et Démarche

L’objectif principal de l’analyse de risques est de permettre à l’équipe en charge de la cybersécurité d’interagir étroitement avec les équipes métiers. Cette collaboration est essentielle pour identifier la valeur ajoutée de l’entreprise (ou de la collectivité), autrement dit, ce qui est critique pour son fonctionnement.

Une fois ces éléments de valeur identifiés, l’équipe cybersécurité, toujours en échange avec le métier, définit des scénarios d’attaques réalistes et évalue leurs impacts potentiels.

À l’issue de cette évaluation, il faut déterminer le traitement approprié pour chaque risque. Il existe quatre options principales : l’accepter, le réduire, le transférer ou le refuser.

Les Différents Traitements du Risque

Accepter le risque

Le risque est accepté si son niveau est jugé conforme à la politique et à la tolérance de l’organisation.

Refuser le risque

Si le risque n’est pas en adéquation avec le périmètre de l’organisation, il peut être refusé. Par exemple, une organisation peut refuser un risque lié à un serveur web si elle n’en possède tout simplement pas.

Réduire ou Transférer le risque

Lorsqu’un risque est applicable et que son niveau est inacceptable en l’état, l’organisation choisit entre le réduire ou le transférer.

Transférer : Cela consiste à faire supporter le risque (juridiquement ou contractuellement) à un tiers. Par exemple, le risque lié à la sécurité d’un site web peut être transféré à un prestataire externe à qui est déléguée la création et la maintenance du site en condition de sécurité.

Réduire : L’organisation cherche à réduire un risque lorsque son niveau est inacceptable et qu’elle ne peut (ou ne veut) pas le transférer. Dans ce cas, elle met en œuvre des actions (de gouvernance ou techniques) afin de diminuer son impact ou sa gravité, et ainsi ramener son niveau à un seuil tolérable.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur la façon dont les données de vos commentaires sont traitées.

Retour en haut