L’Analyse de Risques

Cet article s’inscrit dans la partie Gouvernance de la cybersécurité.

Méthodologies d’Analyse

L’analyse de risques peut se baser sur diverses méthodologies reconnues, comme EBIOS (ou EBIOS RM de l’ANSSI), l’ISO 27005, entre autres.

Objectifs et Manière de Faire

L’objectif principal de l’analyse de risques est de permettre à l’équipe chargée de la cybersécurité d’interagir étroitement avec les équipes métiers. Cette collaboration est essentielle pour identifier la valeur créée (ou la valeur d’apport) de l’entreprise (ou de la collectivité), autrement dit, ce qui est critique pour son fonctionnement.

Une fois ces éléments de valeur identifiés, l’équipe cybersécurité, toujours grâce à des échanges avec le métier, définira des scénarios d’attaques réalistes et en évaluera les impacts potentiels.

Au terme de cette évaluation, il faut déterminer le traitement approprié pour chaque risque. Il existe quatre options principales : l’accepter, le réduire, le transférer ou le refuser.

Les Différents Traitements du Risque

Accepter le Risque

Le risque est accepté si son niveau est jugé conforme à la politique et à la tolérance de l’organisation.

Refuser le Risque

Si le risque n’est pas en adéquation avec le périmètre de l’organisation, il peut être refusé. Par exemple, une organisation peut refuser un risque lié à un serveur web si elle n’en possède aucun.

Réduire ou Transférer le Risque

Quand un risque est applicable et que son niveau est inacceptable en l’état, l’organisation choisit entre le réduire ou le transférer.

  • Transférer : Cela revient à faire supporter le risque (juridiquement ou contractuellement) à un tiers. Par exemple, le risque lié à la sécurité d’un site web peut être transféré à un prestataire externe à qui est déléguée la création et le maintien du site en condition de sécurité.
  • Réduire : L’organisation cherche à réduire un risque quand son niveau n’est pas acceptable en l’état et que, dans ce cas, elle ne peut pas (ou ne veut pas) lo transférer. Elle va mettre en œuvre des actions (qu’elles soient de gouvernance ou techniques) pour faire baisser son impact ou sa gravité, et ainsi réduire son niveau jusqu’à un seuil tolérable.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur la façon dont les données de vos commentaires sont traitées.

Retour en haut