Gestion des risques de cybersécurité : évaluer les risques en 5 étapes

La gestion et l’atténuation des cyber-risques n’ont jamais été aussi ardues pour les entreprises. Les cybermenaces se multiplient à grande vitesse. Chaque jour, les pirates perfectionnent leurs techniques. Il est difficile de prédire l’impact de l’IA générative sur la cybersécurité. Le fonctionnement des entreprises repose de plus en plus sur les données : selon les experts, les cybercriminels vont dérober plus de 33 milliards d’enregistrements au cours de cette seule année. 

Dans un contexte de dépendance croissante vis-à-vis des fournisseurs et des services cloud, les équipes informatiques n’ont pas d’autre choix que de miser sur des infrastructures complexes qui les exposent à des risques importants. Les entreprises doivent également composer avec un corpus législatif et réglementaire toujours plus vaste qui vise à protéger les données confidentielles. Elles sont responsables des tiers qu’elles engagent, si bien qu’elles doivent gérer le risque fournisseur en plus de leurs propres risques.

Confrontées à ces obstacles croissants, les entreprises doivent s’armer de protections de cybersécurité robustes. Les risques de cybersécurité doivent être gérés en continu pour assurer la sécurité des données malgré l’évolution de l’entreprise et de son environnement.

Vous apprendrez ici tout ce que devez savoir sur la gestion des risques de cybersécurité, et vous découvrirez comment localiser, hiérarchiser et atténuer les menaces externes en cinq étapes clés.

Gestion des risques de cybersécurité : définition

La gestion des risques de cybersécurité est le processus stratégique permettant de découvrir, analyser, hiérarchiser et prendre en charge les menaces de cybersécurité. Elle veille à ce que les menaces les plus significatives soient traitées rapidement en fonction de leur impact potentiel.

Les cyberattaques ne se produisent pas sans raison. Les experts de sécurité savent où chercher pour trouver des signes d’attaque imminente. Voici un échantillon de marqueurs courants :

• mentions de l’entreprise sur le dark web,
• mise en vente de données confidentielles, comme des identifiants de compte utilisateur,
• enregistrement de noms de domaine similaires destinés à des attaques de phishing.

Si les entreprises sont nombreuses à réaliser une évaluation initiale des risques de cybersécurité, elles mettent rarement en place des processus et des pratiques d’examen régulier. Cela peut susciter un sentiment factice de sécurité malgré l’évolution de l’environnement et du risque.

(Tout comprendre à la relation entre vulnérabilités, menaces et risques.)

Gestion continue des risques

La gestion continue des risques joue un rôle essentiel pour maintenir la continuité de la sécurité. Elle exige des administrateurs qu’ils s’informent sur les méthodes d’attaque les plus récentes ciblant les différents périphériques réseau. Ils doivent ensuite actualiser leurs défenses pour combattre les nouvelles techniques de piratage ou d’attaque.

Cette pratique nécessite la coopération de tous les utilisateurs d’une entreprise autour de la sécurité du réseau. Chaque acteur doit assumer pleinement la responsabilité des risques de sécurité. L’époque où chaque service travaillait de façon isolée, sans communiquer avec les autres, est bel et bien révolue. Aujourd’hui, il faut une solution unifiée, disciplinée, coordonnée et cohérente pour assurer une gestion efficace des risques. La gestion des risques repose sur plusieurs actions stratégiques :

• mettre en œuvre des politiques et des solutions robustes pour évaluer le risque fournisseur,
• détecter les faiblesses internes, à commencer par les versions logicielles obsolètes,
• identifier les nouveaux risques comme les nouveaux processus réglementaires,
• réduire les menaces informatiques en développant des politiques, des programmes de formation et des contrôles internes,
• tester la posture de sécurité,
• documenter la gestion des risques fournisseur.

(Les cadres de gestion des risques (RMF) proposent des pratiques efficaces pour gérer le risque. Tout savoir sur les RMF.)

Les cinq étapes de l’évaluation de la gestion des risques

L’évaluation de la gestion des risques se fait en cinq étapes.

1. Déterminer le périmètre de l’évaluation

La première étape de la gestion des risques consiste à déterminer le périmètre total de chaque évaluation. Vous pourriez bien sûr évaluer l’ensemble de votre entreprise, mais c’est généralement bien trop pour une seule évaluation. Il est généralement préférable de commencer par un site, une business unit ou un aspect métier. On peut, par exemple, évaluer une application web ou le traitement des paiements.

Toutes les parties prenantes du périmètre doivent apporter leur plein soutien à l’évaluation des risques. Leur contribution est cruciale pour :

1. Identifier les processus et les actifs les plus critiques.
2. Localiser les risques.
3. Évaluer l’impact de chaque risque.
4. Déterminer le niveau acceptable de tolérance au risque de votre entreprise.

Il faut donc que tout le monde comprenne la terminologie de l’évaluation des risques (notamment l’impact et la probabilité) pour circonscrire le risque selon les mêmes termes. La pondération est cruciale. Il est essentiel d’accepter qu’il y aura toujours des risques et qu’il est impossible de tous les traiter, que ce soit du point de vue technique ou de celui des ressources.

2. Détecter les risques

Une fois que les périmètres et des termes communs ont été établis, vient le moment de localiser les risques auxquels votre entreprise est exposée :

Identifier les actifs

Vous ne pouvez protéger que les actifs que vous connaissez. Il faut donc procéder à un inventaire complet des actifs logiques et physiques relevant du périmètre de votre évaluation. Vous ne devrez pas vous limiter aux actifs métiers stratégiques et aux cibles probables. Vous devez inclure tous les actifs dont un adversaire pourrait souhaiter prendre le contrôle à titre de point de pivot :

• archive d’images,
• systèmes de communication,
• serveur Active Directory.

Utilisez votre inventaire d’actifs pour établir un schéma de l’architecture réseau représentant les parcours de communication et les interconnexions entre les processus et les actifs. Ce schéma vous aidera également à localiser les points d’entrée sur le réseau pour identifier plus rapidement les menaces.

(Découvrez comment les CMDB peuvent faciliter cette étape.)

Localiser les menaces

Les menaces englobent toutes les techniques, tactiques et méthodes utilisées pour endommager les actifs de votre entreprise. Les bibliothèques de menaces et les ressources connexes peuvent vous aider à repérer celles qui pèsent sur vos actifs. Les agences gouvernementales tiennent à jour des outils comme la Bibliothèque de ressources NITTF qui s’appuie sur la communauté pour fournir les informations les plus récentes sur les menaces.

Calculer les conséquences

L’ordre de priorité et la méthode de prise en charge des menaces dépendent de plusieurs facteurs :

• la gravité du risque,
• la gravité des conséquences.

Déterminez quelles peuvent être les conséquences si un acteur malveillant parvient à exploiter une vulnérabilité. Demandez-vous, par exemple, si cela vous expose à des amendes, si les données de vos clients pourraient être volées ou si votre réputation pourrait en souffrir. Résumez les conséquences sous la forme de scénarios simples de façon à ce que chaque personne impliquée comprenne les risques dans la perspective des objectifs métiers. Vous aiderez votre équipe de sécurité à déterminer des mesures appropriées pour neutraliser la menace.

(Donnez à votre SOC une visibilité complète et les meilleurs outils de supervision de sécurité avec Splunk.)

3. Analyser les risques et leur impact

Selon Gartner, le risque informatique décrit « la probabilité d’un résultat métier néfaste impliquant une défaillance ou une mauvaise utilisation de l’informatique. » Quelle est la probabilité qu’une menace exploite votre vulnérabilité, et à quel point cela serait-il grave ? Après avoir identifié les risques, il est essentiel de les analyser par ce prisme pour déterminer la probabilité qu’ils se concrétisent et l’impact que cela exercerait sur votre entreprise.

Déterminez le risque en fonction de la probabilité que des cybercriminels découvrent et exploitent la menace ou la vulnérabilité, puis qu’ils récidivent. L’impact quantifie les dommages que l’exploitation de la vulnérabilité causerait à votre entreprise. Chaque scénario d’impact doit prendre en compte l’intégrité, la confidentialité et la disponibilité.

Du fait de la nature subjective de cette partie de l’évaluation, il est impératif de recueillir l’avis des parties prenantes et des experts en sécurité pour assurer sa précision. Utilisez l’impact le plus élevé dans votre score final :

• Notez la probabilité sur une échelle de 1 (rare) à 5 (très probable).
• Notez l’impact sur une échelle de 1 (très grave) à 5 (négligeable).

4. Hiérarchiser les risques

Une fois que vous avez compris les risques et les possibles implications de vos vulnérabilités, vous pouvez les hiérarchiser. Vous pouvez créer une matrice de risque (ou en remplir une gratuitement en ligne) pour déterminer plus facilement dans quel ordre les traiter afin de maintenir un niveau de tolérance au risque en phase avec celui accepté par votre entreprise.

Un risque peut être traité de trois manières :

• Évitement : déterminez si le risque est très supérieur aux bénéfices. Si c’est le cas, vous pouvez décider de mettre un terme à une activité donnée pour éliminer toute menace.
• Transfert : l’externalisation peut vous permettre de partager le risque avec un tiers. Par exemple, une cyber-assurance ou un service d’atténuation de DDos vous évitera d’être seul face à la menace. Gardez toutefois en tête qu’une assurance, si elle peut réduire le risque financier, ne peut couvrir les coûts immatériels tels que les dommages à la réputation.
• Atténuation : certaines mesures cibles peuvent abaisser le niveau de risque jusqu’à un seuil acceptable. Désignez une équipe qui aura pour mission de mettre en œuvre des mesures pour réduire les risques les plus élevés.

Il est impossible d’éliminer tous les risques. Il y aura toujours des risques résiduels qui devront être acceptés par les parties prenantes dans le cadre de votre stratégie de cybersécurité.

(Envisagez d’adopter une approche spécifique de la gestion des risques pour les tierces parties.)

5. Documenter les risques

Vous devez impérativement consigner tous les risques dans un registre dédié à cet effet. La gestion des risques est un processus continu : vous devez l’examiner régulièrement pour vous tenir au courant de tous les risques de cybersécurité. Ce registre de risque doit inclure :

• les scénarios de risque,
• la date à laquelle chaque risque a été identifié,
• tous les contrôles de sécurité actuels,
• un plan d’atténuation,
• le niveau de risque actuel,
• l’état d’avancement,
• le risque résiduel,
• le responsable du risque.

Maintenez une sécurité continue avec la gestion des risques

La gestion des risques est une pratique essentielle qui nécessite un soutien sur la durée. Vous devez consacrer des ressources, des efforts et du temps à votre pratique de gestion des risques pour garantir la sécurité de votre entreprise à long terme. Face à l’émergence de menaces inédites, à l’apparition de nouveaux systèmes et activités et à la multiplication des réglementations, l’évaluation continue réduit le risque qu’une cyberattaque puisse nuire aux objectifs commerciaux de votre entreprise.

Les entreprises sont de plus en plus vulnérables aux attaques, et un processus de supervision continu est indispensable pour réduire le risque et neutraliser les menaces.