logo

Évaluations des risques de sécurité : importance et guide pratique

Aujourd’hui, toutes les organisations se doivent de mener des évaluations des risques informatiques : elles s’avèrent essentielles en matière de cybersécurité et de gestion des risques liés à la sécurité de l’information. En identifiant les menaces qui pèsent sur vos systèmes informatiques, vos données ou toute autre ressource, et en comprenant l’impact des risques sur vos opérations, vous pouvez établir des priorités en ce qui concerne vos efforts d’atténuation pour éviter les interruptions d’activité, les violations de données, les sanctions pour non-conformité, ou tout autre dommage.

Cet article définit ce que constitue une évaluation des risques de sécurité, et analyse ses avantages si elle est menée régulièrement, ainsi que les étapes à suivre lors d’un processus d’évaluation du risque.

Évaluation des risques informatiques et évaluation des risques de sécurité : de quoi parle-t-on ?

L’évaluation des risques de sécurité consiste à identifier les vulnérabilités d’un écosystème informatique et à comprendre les conséquences financières qu’elles peuvent provoquer pour l’organisation, que ce soit en raison d’une interruption d’activité et de la perte de bénéfices qu’elle entraîne, à cause de frais juridiques élevés et de sanctions pour non-conformité, ou du fait du mécontentement des clients et de la perte de marchés. Une évaluation des risques méticuleuse et complète vous aidera à établir de manière précise des priorités en ce qui concerne vos efforts de sécurité dans le cadre plus large de votre programme de cybersécurité.

L’évaluation des risques de sécurité constitue un sous-ensemble qui fait partie d’un processus plus vaste : l’évaluation des risques informatiques. L’évaluation des risques informatiques ne contemple pas uniquement les menaces de cybersécurité, mais de multiples cyberrisques. L’Institut de gestion des risques (Institute of Risk Management) définit un cyberrisque comme étant « tout risque, pour une organisation, de pertes financières, d’interruption d’activité ou de dommages réputationnels, provoqués par une quelconque défaillance de ses systèmes informatiques ». De la même manière, Gartner donne la définition suivante du cyberrisque : « éventualité d’un résultat opérationnel négatif non prévu en raison d’une défaillance ou d’un mauvais usage des systèmes informatiques ».

Parmi les cyberrisques les plus courants, on peut citer les exemples suivants :

  • Exfiltration de données sensibles ou importantes
  • Informations d’identification compromises
  • Attaques par hameçonnage
  • Attaques par déni de service (attaques DoS)
  • Attaques de la chaîne d’approvisionnement
  • Paramètres mal configurés
  • Défaillances matérielles
  • Catastrophes naturelles
  • Erreurs humaines

 

Il est important de rappeler que les deux types d’évaluation des risques ne constituent pas des événements uniques. Ces évaluations doivent être menées régulièrement en raison du caractère dynamique aussi bien des environnements informatiques que des méthodes d’attaques. Les avantages présentés ci-dessous, tout comme les étapes décrites, s’appliquent à la fois aux évaluations des risques informatiques et aux évaluations des risques de sécurité.

Évaluations des risques de sécurité : avantages

Les évaluations des risques informatiques et celles des risques de cybersécurité ont une importance et une valeur significatives pour les organisations. Parmi les principaux avantages à mettre en avant, on peut mentionner :

  • Informations précieuses sur l’emplacement de vos actifs informatiques les plus essentiels — Des banques de données, des ordinateurs ou certaines ressources informatiques ont une plus grande importance que d’autres. Étant donné que ces actifs et leur valeur peuvent évoluer au fil du temps, il est primordial de mener à bien ce processus d’évaluation des risques de manière régulière.
  • Compréhension des risques — En identifiant et en analysant les menaces pour votre activité, vous pouvez vous concentrer d’abord sur les risques les plus élevés et les plus susceptibles de se produire.
  • Identification et correction des vulnérabilités — Une méthodologie d’évaluation des risques informatiques orientée sur l’analyse des écarts peut vous aider à détecter et à corriger les vulnérabilités que les acteurs de la menace peuvent exploiter. Des logiciels non corrigés, des politiques d’accès trop permissives et des données non chiffrées constituent de parfaits exemples de vulnérabilités.
  • Visibilité des coûts d’atténuation — Mener une évaluation des risques de sécurité vous permet non seulement de protéger votre entreprise contre les coûts élevés d’une violation de données, mais également de consacrer une partie raisonnable de votre budget à des initiatives de sécurité qui apportent le plus de valeur ajoutée.
  • Conformité aux normes — Évaluer les risques de sécurité de manière régulière permet aux organisations de répondre aux exigences en matière de sécurité des données qu’imposent les normes HIPAAPCI DSSSOX ou encore le RGPD, et ainsi éviter de lourdes amendes ou toute autre sanction.
  • Amélioration de la confiance client — Pouvoir démontrer votre engagement en matière de sécurité peut renforcer la confiance que vous accordent vos clients et améliorer leur rétention.
  • Prise de décision en connaissance de cause — Les informations détaillées et précieuses qu’apporte une évaluation des risques de cybersécurité simplifient et améliorent la prise de décision en matière d’investissements pour la sécurité, l’infrastructure et le personnel.

Étapes à suivre lors d’une évaluation des risques de sécurité

Passons maintenant en revue les étapes à suivre lors d’une évaluation des risques de sécurité en bonne et due forme :

  1. Identifier et classer par ordre de priorité les actifs.
  2. Identifier les menaces.
  3. Identifier les vulnérabilités.
  4. Analyser les mécanismes de contrôle déjà en place.
  5. Déterminer la probabilité d’un incident.
  6. Évaluer l’impact potentiel d’une menace.
  7. Classer par ordre de priorité les risques de sécurité informatique.
  8. Recommander des contrôles.
  9. Documenter les résultats de l’évaluation.

 

À noter : les organisations les plus grandes disposent sans doute des équipes informatiques en interne capables de se charger du processus d’évaluation. En revanche, pour les entreprises plus petites, sans un département informatique dédié, le déléguer à des spécialistes externes peut s’avérer plus avantageux.

Étape 1. Identifier et classer par ordre de priorité les actifs

Sont considérés comme actifs informatiques les serveurs, les imprimantes, les ordinateurs portables, ou tout autre dispositif, ainsi que les données, par exemple les informations de contact des clients, les messages des boîtes de réception et la propriété intellectuelle. Lors de cette première étape, assurez-vous de tenir compte des remarques de l’ensemble des départements et des unités commerciales. Cette approche vous apportera une compréhension globale des systèmes utilisés par votre organisation et des données créées et collectées.

Il vous faut également déterminer l’importance de chaque actif informatique. Pour cela, parmi les critères les plus souvent utilisés, on peut mentionner la valeur financière de l’actif, son rôle dans les processus critiques, ainsi que son statut juridique et son importance au niveau de la conformité. Vous pouvez ensuite classer vos actifs par catégories : importance critique, élevée ou faible.

Étape 2. Identifier les menaces

Une menace peut être définie comme tout élément susceptible de nuire à votre organisation. En voici quelques exemples : acteurs de la menace externes, programmes malveillants, activités malveillantes menées par des utilisateurs de votre organisation, erreurs commises par des administrateurs mal formés, etc.

Étape 3. Identifier les vulnérabilités

Une vulnérabilité constitue une faiblesse qui pourrait engendrer une menace pour votre organisation. Les vulnérabilités peuvent être détectées à l’aide d’analyses des vulnérabilités, de rapports d’audit, de la base de données de vulnérabilités du NIST, de données des fournisseurs, de procédures de tests et d’évaluation de la sécurité informatique (ST&E), de tests d’intrusion, et d’outils d’analyse automatisée des vulnérabilités.

Étape 4. Analyser les contrôles déjà en place

Analysez les contrôles en place pour minimiser la possibilité qu’une menace exploite une vulnérabilité du système. Parmi les contrôles techniques, on peut mentionner le chiffrement, les systèmes de détection d’intrusion, ou encore l’authentification multifacteur (MFA). Les contrôles non techniques comprennent les politiques de sécurité, les mesures administratives et les mécanismes physiques et environnementaux.

Les contrôles techniques et non techniques peuvent tous deux être classés comme contrôles préventifs ou de détection. Les contrôles préventifs, notamment le chiffrement et l’authentification multifacteur (MFA), ont pour but d’anticiper et d’arrêter les attaques. Les contrôles de détection servent à découvrir des attaques passées ou des événements en cours par des moyens tels que les pistes d’audit et les systèmes de détection d’intrusion.

Étape 5. Déterminer la probabilité d’un incident

Évaluez la probabilité qu’une vulnérabilité soit effectivement exploitée, en tenant compte du type de vulnérabilité, des capacités et de la motivation de la source de menace, ainsi que de l’existence et de l’efficacité de vos contrôles. De nombreuses organisations utilisent les catégories élevée, moyenne et faible plutôt qu’une note chiffrée pour évaluer la probabilité d’une attaque.

Étape 6. Évaluer l’impact potentiel d’une menace

Évaluez les possibles répercussions d’un incident lors duquel l’un de vos actifs est soit perdu, soit compromis. Une analyse d’impact doit inclure les facteurs clés suivants :

  • La mission du système, y compris les processus mis en œuvre par le système
  • La criticité du système, déterminée par sa valeur et celle des données pour l’organisation
  • La sensibilité du système

 

Lors de cette étape, commencez par une analyse d’impact sur les activités (BIA) ou un rapport d’analyse d’impact sur la mission. Cette documentation organisationnelle utilise des moyens quantitatifs ou qualitatifs pour déterminer l’impact de dommages ou préjudices causés aux actifs informatiques de l’organisation, notamment sur la confidentialité, l’intégrité et la disponibilité du système d’information. L’impact sur le système peut être évalué de manière qualitative comme élevé, moyen ou faible.

Étape 7. Classer par ordre de priorité les risques de sécurité informatique

Pour chaque couple menace/vulnérabilité, déterminez le niveau de risque pour le système informatique, en fonction des facteurs suivants :

  • La probabilité que la menace exploite la vulnérabilité
  • L’impact de l’exploitation de la vulnérabilité par la menace
  • L’adéquation des contrôles de sécurité existants ou planifiés visant à supprimer ou à réduire les risques pour le système informatique

 

La matrice des risques est un outil très utile pour estimer les risques selon ces critères. Une forte probabilité de menace correspond à une note de 1,0 ; une probabilité moyenne à 0,5 et une probabilité faible à 0,1. De même, un impact élevé correspond à une valeur 100, un impact moyen à 50 et un impact faible à 10. Le risque se calcule en multipliant la valeur de probabilité de menace par la valeur d’impact, et il est classé comme élevé, moyen ou faible selon le résultat.

Étape 8. Recommander des contrôles

En vous basant sur le niveau de risque, déterminez les mesures nécessaires à l’atténuation du risque. Voici quelques directives générales pour chaque niveau de risque :

  • Élevé — Il faut élaborer dès que possible un plan de mesures correctives.
  • Moyen — Il faut élaborer dans un délai raisonnable un plan de mesures correctives.
  • Faible — L’équipe doit choisir entre accepter le risque ou adopter des mesures correctives.

Étape 9. Documenter les résultats

La dernière étape du processus d’évaluation des risques consiste à produire un rapport d’évaluation des risques sur lequel la direction pourra s’appuyer pour prendre les bonnes décisions à propos du budget, des politiques, des procédures, etc. Ce rapport doit décrire, pour chaque menace, les vulnérabilités correspondantes, les actifs à risque, l’impact sur l’infrastructure informatique, la probabilité d’occurrence, ainsi que les mesures de contrôle recommandées et leur coût. Un rapport d’évaluation des risques définit généralement les principales mesures d’atténuation susceptibles de minimiser l’ensemble des risques identifiés.

Résumé

L’évaluation des risques de sécurité et les processus de gestion des risques sont au cœur de toute stratégie de gestion de la sécurité : ils offrent des informations précieuses et détaillées sur les menaces et les vulnérabilités qui pourraient avoir un impact sur l’activité d’une organisation, notamment au niveau financier, ainsi que sur la manière d’atténuer ces risques. L’évaluation précise de vos vulnérabilités en matière de sécurité informatique et la compréhension de la valeur de vos données peuvent vous aider à affiner votre stratégie de sécurité et vos pratiques afin de mieux vous défendre contre les cyberattaques et de protéger vos actifs critiques.

FAQ

Qu’est-ce qu’une évaluation des risques informatiques ?

L’évaluation des risques informatiques est le processus d’identification des actifs informatiques critiques d’une organisation, des menaces qui pourraient les endommager ou les compromettre, et des vulnérabilités de l’infrastructure informatique. L’analyse de ces informations permet d’améliorer les contrôles de sécurité pour éviter toute violation de données ou interruption des activités essentielles de l’entreprise.

Comment doit-on mener une évaluation des risques informatiques ?

Les étapes d’une évaluation des risques informatiques sont les suivantes : identifier les actifs informatiques et leur valeur, mettre au jour les menaces pour chaque actif, découvrir les vulnérabilités qui peuvent être exploitées par ces menaces, et estimer leur probabilité. Par ailleurs, il est important de créer un rapport d’analyse des risques informatiques, et notamment un plan pour faire face aux risques en fonction de leur priorité.

Quels sont les éléments d’une évaluation des risques de sécurité ?

Les principaux éléments d’une évaluation des risques sont les suivants :

  • Un catalogue des actifs informatiques, ainsi que des processus et des opérations métier qui en dépendent
  • Une liste détaillée des menaces qui pèsent sur chacun de ces actifs, qui indique notamment leur probabilité d’occurrence
  • Une analyse des vulnérabilités susceptibles d’entraîner la perte ou la compromission des actifs informatiques
  • Une liste des contrôles de sécurité déjà en place pour atténuer les risques
  • Une évaluation de l’impact financier que pourrait subir l’organisation en cas d’incident lié à une menace concrète