L’essor de l’internet et de la technologie nous a facilité la vie, mais il a également révélé de nouvelles vulnérabilités que les cybercriminels peuvent exploiter.
En l’absence de mesures appropriées en matière de sécurité de l’information, les organisations sont vulnérables aux violations de données et aux conséquences financières souvent importantes qui en découlent pour votre entreprise.
La gestion des risques est donc de retour, alors qu’elle n’avait jamais disparu. « Elle n’a jamais disparu parce qu’elle est un élément essentiel de la cybersécurité dans les organisations et de toute stratégie de cybersécurité qui en découle.
« De retour » parce que la gestion des risques est mentionnée nommément dans la directive NIS2, ce qui en fait également une obligation légale.
Aujourd’hui, de nombreuses normes sont rédigées sur la gestion des risques, des livres sont publiés et des cours sont disponibles, mais parfois il n’est pas mauvais de commencer par les bases.
Alors que les subtilités de la gestion des risques relèvent d’une spécialisation, les principes de base sont relativement simples.
Dans cet article, nous passerons en revue les principes fondamentaux de la gestion des risques en matière de cybersécurité, ce qui vous donnera un aperçu immédiat de l’obligation légale entourant la gestion des risques dans le contexte du NIS2.
Quelle est l’importance de la cybersécurité ou de la cybersécurité ?
Pourquoi devriez-vous assurer la cybersécurité de votre entreprise ?
Parce qu’il s’agit d’une aide juridique, nous vous entendons penser.
C’est tout à fait exact, bien sûr, mais normalement, une obligation légale découle de quelque chose de rationnel. Il en va de même pour la gestion des risques. Elle aide/oblige une organisation à identifier d’abord où les choses peuvent mal tourner.
En d’autres termes, ne sautez pas immédiatement sur le dernier outil de cybersécurité ou sur le « projet favori » du responsable de la sécurité de l’information (CISO). « Prenez plutôt du recul et examinez aussi objectivement que possible les risques auxquels l’organisation est exposée, tels que les cyberattaques, les logiciels malveillants, le phishing, les ransomwares, l’ingénierie sociale, les attaques DDoS ou d’autres vulnérabilités, afin de déterminer les mesures les plus nécessaires.
Il n’est pas nécessaire que cela se transforme immédiatement en une interminable surcharge administrative ; la gestion des risques peut en toute sécurité être simple et pragmatique. Vous trouverez ci-dessous les trois phases essentielles de la gestion des risques.
#1 Identifier les risques
Cela commence par l’identification proactive des risques de cybersécurité ou, en d’autres termes, par la cartographie des risques auxquels votre organisation est confrontée et des risques liés à vos systèmes et à vos données. Il n’existe pas de méthode officielle pour ce faire, et le guide NIS2 vous laisse libre de le remplir.
Des séances de brainstorming par département ? Des séances de papier brun avec la direction ? Des feuilles Excel avec des questions envoyées par courrier ?
Tout va bien, mais n’oubliez pas qu’il est préférable de trouver un moyen de rendre les risques spécifiques. Les listes de risques existantes que l’on peut trouver en ligne peuvent être une source d’inspiration utile, mais concentrez-vous sur les risques qui sont pertinents pour votre organisation et sur les faiblesses de celle-ci.
L’art de formuler les risques dans une « déclaration de risque » n’est pas sans importance
Il s’agit d’une ou deux phrases qui résument un risque et qui doivent être rédigées de manière à ce que le profane comprenne pourquoi ce risque est un risque.
Au minimum, un énoncé de risque doit pouvoir répondre à la question « et alors ? » : quel est l’impact de ce risque ?
Par exemple, la déclaration de risque doit pouvoir répondre à la question « et alors ?
- Le risque d’une violation de données dans notre application. Ici, la réponse à la question « et alors ? » fait défaut.
- Le risque d’une violation de données dans notre application qui pourrait mettre les données de l’entreprise dans la rue et entraîner une atteinte à la réputation et une perte financière pour l’organisation qui nous expose à des demandes de dommages-intérêts. C’est ici que la question « et alors ? » trouve sa réponse.
Même si le risque que vous souhaitez nommer est le même : la deuxième déclaration de risque décrira beaucoup mieux les raisons pour lesquelles un risque particulier mérite d’être pris en compte.
#2 Évaluer le risque
À la fin de l’étape précédente, vous avez dressé une liste des risques liés à la cybersécurité. Mais quels de ces risques allez-vous traiter ? Il n’est pas possible de tout faire en même temps ; après tout, les RSSI ne vivent pas dans un monde aux ressources illimitées.
Il faudra donc faire des choix, et l’évaluation des risques vous aidera à déterminer quels risques sont plus importants que d’autres.
Classiquement, nous considérons deux aspects d’un risque à cette fin : l’impact et la probabilité.
Quelle est l’ampleur des dommages si ce risque se réalise et quelle est la probabilité qu’il se réalise ?
Un risque qui peut avoir un impact important mais qui n’est susceptible de se produire qu’une fois toutes les quelques années peut se voir accorder une priorité moindre qu’un risque dont l’impact est moindre mais qui est susceptible de se produire régulièrement.
À ce stade, il est important de déterminer les critères que vous utilisez pour évaluer les risques et leur attribuer une certaine note.
Il existe toutes sortes de notes : des très classiques « faible », « moyen » et « élevé » aux échelles de 0 à 100. Tant pour la probabilité que pour l’impact, vous devrez fournir (par exemple, pour les scores superclassiques) des critères objectifs et reproductibles pour les niveaux Élevé, Moyen et Faible.
En d’autres termes, qu’est-ce qui fait que l’impact d’un risque est élevé ? En quoi diffère-t-il d’un risque moyen ? Si une personne X évalue un risque aujourd’hui, elle devrait obtenir à peu près la même note que la personne Y, qui l’a évalué hier.
#3 Traiter les risques
Non seulement nous disposons maintenant d’une liste de risques, mais ils sont également évalués. Nous savons quels sont les risques les plus élevés et, par conséquent, ceux que nous devons traiter en premier lieu.
Il existe quatre façons de traiter les risques. Nous les nommons dans l’ordre dans lequel vous préférez traiter les risques.
- Éviter le risque: vous faites quelque chose pour que le risque ne se reproduise pas. C’est l’idéal, bien sûr, mais ce n’est pas toujours possible.
- Transférer le risque: Le risque demeure, mais nous veillons à ce que quelqu’un d’autre s’en charge. L’assurance ou l’externalisation sont deux moyens courants de transférer le risque.
- Atténuer le risque: c’est la façon la plus courante de gérer le risque. Vous prenez des mesures qui affectent l’impact ou la probabilité d’un risque, rendant le risque (beaucoup) moins grave.
- Accepter le risque: Bien qu’il ne s’agisse pas d’une bonne méthode standard pour traiter le risque, vous pouvez accepter un « risque résiduel » en tant qu’étape finale après avoir pris d’autres mesures
Une fois ces trois étapes franchies, vous avez jeté les bases d’une bonne gestion des risques. Bien entendu, la mise en œuvre des traitements du risque est maintenant cruciale, c’est pourquoi nous terminerons par quelques conseils concrets :
- Déterminez correctement qui met en œuvre la méthode de traitement choisie, ce que l’on appelle le « propriétaire du risque »
- Fixez des délais aussi précis que possible et veillez à ce qu’ils soient respectés. Après tout, le danger d’un exercice sur papier qui ne cesse de s’enliser est grand.
- Ne considérez surtout pas la gestion des risques comme un exercice ponctuel : il s’agit d’un processus continu, et une validation un peu plus formelle des phases susmentionnées devrait avoir lieu, en moyenne, une fois par an.
Devriez-vous commencer votre carrière en tant que RSSI ou approfondir vos connaissances en tant que RSSI ? C’est possible grâce à notre formation CISO, qui se compose de 7 modules en 2 jours.