L’essor de l’internet et de la technologie nous a facilit\u00e9 la vie, mais il a \u00e9galement r\u00e9v\u00e9l\u00e9 de nouvelles vuln\u00e9rabilit\u00e9s que les cybercriminels peuvent exploiter.<\/p>\n
En l’absence de mesures appropri\u00e9es en mati\u00e8re de s\u00e9curit\u00e9 de l’information, les organisations sont vuln\u00e9rables aux violations de donn\u00e9es et aux cons\u00e9quences financi\u00e8res souvent importantes qui en d\u00e9coulent pour votre entreprise.<\/p>\n
La gestion des risques est donc de retour, alors qu’elle n’avait jamais disparu. \u00ab\u00a0Elle n’a jamais disparu parce qu’elle est un \u00e9l\u00e9ment essentiel de la cybers\u00e9curit\u00e9 dans les organisations et de toute strat\u00e9gie de cybers\u00e9curit\u00e9 qui en d\u00e9coule.<\/p>\n
\u00ab\u00a0De retour\u00a0\u00bb parce que la gestion des risques est mentionn\u00e9e nomm\u00e9ment dans la directive NIS2, ce qui en fait \u00e9galement une obligation l\u00e9gale.<\/p>\n
Aujourd’hui, de nombreuses normes sont r\u00e9dig\u00e9es sur la gestion des risques, des livres sont publi\u00e9s et des cours sont disponibles, mais parfois il n’est pas mauvais de commencer par les bases.<\/p>\n
Alors que les subtilit\u00e9s de la gestion des risques rel\u00e8vent d’une sp\u00e9cialisation, les principes de base sont relativement simples.<\/p>\n
Dans cet article, nous passerons en revue les principes fondamentaux de la gestion des risques en mati\u00e8re de cybers\u00e9curit\u00e9, ce qui vous donnera un aper\u00e7u imm\u00e9diat de l’obligation l\u00e9gale entourant la gestion des risques dans le contexte du NIS2.<\/p>\n
Pourquoi devriez-vous assurer la cybers\u00e9curit\u00e9 de votre entreprise ?<\/p>\n
Parce qu’il s’agit d’une aide juridique, nous vous entendons penser.<\/p>\n
C’est tout \u00e0 fait exact, bien s\u00fbr, mais normalement, une obligation l\u00e9gale d\u00e9coule de quelque chose de rationnel. Il en va de m\u00eame pour la gestion des risques. Elle aide\/oblige une organisation \u00e0 identifier d’abord o\u00f9 les choses peuvent mal tourner.<\/p>\n
En d’autres termes, ne sautez pas imm\u00e9diatement sur le dernier outil de cybers\u00e9curit\u00e9 ou sur le \u00ab\u00a0projet favori\u00a0\u00bb du responsable de la s\u00e9curit\u00e9 de l’information (CISO). \u00ab\u00a0Prenez plut\u00f4t du recul et examinez aussi objectivement que possible les risques auxquels l’organisation est expos\u00e9e, tels que les cyberattaques, les logiciels malveillants, le phishing, les ransomwares, l’ing\u00e9nierie sociale, les attaques DDoS ou d’autres vuln\u00e9rabilit\u00e9s, afin de d\u00e9terminer les mesures les plus n\u00e9cessaires.<\/p>\n
Il n’est pas n\u00e9cessaire que cela se transforme imm\u00e9diatement en une interminable surcharge administrative ; la gestion des risques peut en toute s\u00e9curit\u00e9 \u00eatre simple et pragmatique. Vous trouverez ci-dessous les trois phases essentielles de la gestion des risques.<\/p>\n
Cela commence par l’identification proactive des risques de cybers\u00e9curit\u00e9 ou, en d’autres termes, par la cartographie des risques auxquels votre organisation est confront\u00e9e et des risques li\u00e9s \u00e0 vos syst\u00e8mes et \u00e0 vos donn\u00e9es. Il n’existe pas de m\u00e9thode officielle pour ce faire, et le guide NIS2 vous laisse libre de le remplir.<\/p>\n
Des s\u00e9ances de brainstorming par d\u00e9partement ? Des s\u00e9ances de papier brun avec la direction ? Des feuilles Excel avec des questions envoy\u00e9es par courrier ?<\/p>\n
Tout va bien, mais n’oubliez pas qu’il est pr\u00e9f\u00e9rable de trouver un moyen de rendre les risques sp\u00e9cifiques. Les listes de risques existantes que l’on peut trouver en ligne peuvent \u00eatre une source d’inspiration utile, mais concentrez-vous sur les risques qui sont pertinents pour votre organisation et sur les faiblesses de celle-ci.<\/p>\n
L’art de formuler les risques dans une \u00ab\u00a0d\u00e9claration de risque\u00a0\u00bb n’est pas sans importance<\/p>\n
Il s’agit d’une ou deux phrases qui r\u00e9sument un risque et qui doivent \u00eatre r\u00e9dig\u00e9es de mani\u00e8re \u00e0 ce que le profane comprenne pourquoi ce risque est un risque.<\/p>\n
Au minimum, un \u00e9nonc\u00e9 de risque doit pouvoir r\u00e9pondre \u00e0 la question \u00ab\u00a0et alors ?\u00a0\u00bb : quel est l’impact de ce risque ?<\/p>\n
Par exemple, la d\u00e9claration de risque doit pouvoir r\u00e9pondre \u00e0 la question \u00ab\u00a0et alors ?<\/p>\n
M\u00eame si le risque que vous souhaitez nommer est le m\u00eame : la deuxi\u00e8me d\u00e9claration de risque d\u00e9crira beaucoup mieux les raisons pour lesquelles un risque particulier m\u00e9rite d’\u00eatre pris en compte.<\/p>\n
\u00c0 la fin de l’\u00e9tape pr\u00e9c\u00e9dente, vous avez dress\u00e9 une liste des risques li\u00e9s \u00e0 la cybers\u00e9curit\u00e9. Mais quels de ces risques allez-vous traiter ? Il n’est pas possible de tout faire en m\u00eame temps ; apr\u00e8s tout, les RSSI ne vivent pas dans un monde aux ressources illimit\u00e9es.<\/p>\n
Il faudra donc faire des choix, et l’\u00e9valuation des risques vous aidera \u00e0 d\u00e9terminer quels risques sont plus importants que d’autres.<\/p>\n
Classiquement, nous consid\u00e9rons deux aspects d’un risque \u00e0 cette fin : l’impact et la probabilit\u00e9.<\/p>\n
Quelle est l’ampleur des dommages si ce risque se r\u00e9alise et quelle est la probabilit\u00e9 qu’il se r\u00e9alise ?<\/p>\n
Un risque qui peut avoir un impact important mais qui n’est susceptible de se produire qu’une fois toutes les quelques ann\u00e9es peut se voir accorder une priorit\u00e9 moindre qu’un risque dont l’impact est moindre mais qui est susceptible de se produire r\u00e9guli\u00e8rement.<\/p>\n
\u00c0 ce stade, il est important de d\u00e9terminer les crit\u00e8res que vous utilisez pour \u00e9valuer les risques et leur attribuer une certaine note.<\/p>\n
Il existe toutes sortes de notes : des tr\u00e8s classiques \u00ab\u00a0faible\u00a0\u00bb, \u00ab\u00a0moyen\u00a0\u00bb et \u00ab\u00a0\u00e9lev\u00e9\u00a0\u00bb aux \u00e9chelles de 0 \u00e0 100. Tant pour la probabilit\u00e9 que pour l’impact, vous devrez fournir (par exemple, pour les scores superclassiques) des crit\u00e8res objectifs et reproductibles pour les niveaux \u00c9lev\u00e9, Moyen et Faible.<\/p>\n
En d’autres termes, qu’est-ce qui fait que l’impact d’un risque est \u00e9lev\u00e9 ? En quoi diff\u00e8re-t-il d’un risque moyen ? Si une personne X \u00e9value un risque aujourd’hui, elle devrait obtenir \u00e0 peu pr\u00e8s la m\u00eame note que la personne Y, qui l’a \u00e9valu\u00e9 hier.<\/p>\n
Non seulement nous disposons maintenant d’une liste de risques, mais ils sont \u00e9galement \u00e9valu\u00e9s. Nous savons quels sont les risques les plus \u00e9lev\u00e9s et, par cons\u00e9quent, ceux que nous devons traiter en premier lieu.<\/p>\n
Il existe quatre fa\u00e7ons de traiter les risques. Nous les nommons dans l’ordre dans lequel vous pr\u00e9f\u00e9rez traiter les risques.<\/p>\n
Une fois ces trois \u00e9tapes franchies, vous avez jet\u00e9 les bases d’une bonne gestion des risques. Bien entendu, la mise en \u0153uvre des traitements du risque est maintenant cruciale, c’est pourquoi nous terminerons par quelques conseils concrets :<\/p>\n
Devriez-vous commencer votre carri\u00e8re en tant que RSSI ou approfondir vos connaissances en tant que RSSI ? C’est possible gr\u00e2ce \u00e0 notre formation CISO, qui se compose de 7 modules en 2 jours.<\/p>\n