Data Insider

Qu’est-ce que la gestion des risques ?

La gestion des risques est la pratique qui consiste à évaluer proactivement les points de vulnérabilité de votre entreprise face aux menaces, puis à évaluer et à atténuer ces menaces.

La gestion des risques comprend différentes politiques et processus visant à identifier, à évaluer et à contrôler un large éventail de risques potentiels pour une entreprise, y compris l’incertitude financière, les risques juridiques, les erreurs de gestion stratégique, les accidents, les catastrophes naturelles et les cyberattaques. En définitive, la gestion des risques permet aux entreprises de passer d’une approche d’incertitude et de réaction à une approche proactive et préventive.

Avec la prolifération de malwares sophistiqués et furtifs, ainsi que la multiplication de réglementations de conformité aussi strictes que punitives sur le plan financier, comme le règlement général sur la protection des données (RGPD), les outils et les stratégies de gestion des risques sont devenus une priorité essentielle pour les entreprises. On ne sera donc pas surpris qu’elles élaborent de plus en plus des plans de gestion des risques complets présentant les processus d’identification et de contrôle des menaces sur l’intégralité de leurs actifs numériques, qui incluent des données confidentielles, propriétaires ou sensibles, de la propriété intellectuelle et des informations personnellement identifiables de clients.

L’article suivant aborde différents types de risque, explique pourquoi vous devez comprendre les risques de votre entreprise, et présente les différentes techniques de réponse et de réduction globale des risques.

Comprendre le risque

Pourquoi est-il indispensable de comprendre les risques commerciaux de votre entreprise ?

Les entreprises doivent impérativement comprendre les risques commerciaux auxquels elles sont exposées afin d’avoir de la visibilité, et donc plus de contrôle, sur les nombreux facteurs et variables qui peuvent potentiellement provoquer des dommages graves, coûteux et durables. Comprendre les facteurs de risque spécifiques ne permet pas seulement à une entreprise d’identifier les menaces, les pertes et les perturbations potentielles à l’avance, cela peut également l’aider à apporter une réponse adaptée aux menaces et à affecter les ressources et l’infrastructure nécessaires à la réduction ou à la prévention de pertes graves.

Quels sont les différents types de risque ?

Les entreprises sont confrontées à un large éventail de risques commerciaux, mais les plus courants sont les risques opérationnels, financiers, stratégiques, de conformité, de réputation et de sécurité.

  • Risques opérationnels : ils comprennent les défaillances et les perturbations inattendues qui affectent les opérations quotidiennes de votre entreprise comme les problèmes techniques, les coupures de courant, les erreurs d’employés, la fraude ou l’échec de procédures et de politiques.
  • Risque financier : il désigne tout ce qui menace spécifiquement les mouvements d’argent entrant et sortant d’une entreprise.
  • Risque de conformité : comme les réglementations changent régulièrement, les entreprises sont constamment confrontées au risque d’enfreindre des règles à leur insu et s’exposent à de lourdes amendes et autres pénalités dommageables.
  • Risque pour la réputation : il englobe tout ce qui peut entraîner des dommages d’ampleur et durables à l’image de marque ou à la réputation d’une entreprise, comme un procès de grande envergure, un rappel de produits, un scandale ou autre type de publicité négative, ou encore une critique de ses produits et services émise par une entité éminente.
  • Risque stratégique : il freine l’entreprise dans ses efforts pour atteindre les objectifs qu’elle s’est fixée, ou réduit l’efficacité de sa stratégie en raison de changements technologiques, de l’arrivée d’un nouveau concurrent, de changements dans la demande des consommateurs, d’une augmentation rapide des coûts annexes ou des matières premières, ou autre changement de grande envergure.
  • Risque de sécurité : il correspond à la probabilité qu’une entreprise subisse des pertes, des dommages ou une destruction de ses actifs parce qu’un malware, des utilisateurs non autorisés ou d’autres menaces infectent ses systèmes, en exploitent les vulnérabilités, ou dérobent ou compromettent ses données.

Qu’est-ce que le coût total du risque (TCoR) ?

Le coût total du risque est un indicateur chiffrable et contrôlable qui représente la somme de tous les aspects des opérations d’une entreprise associés à la gestion des risques et des pertes encourues. Cette équation inclut, entre autres choses, des facteurs comme les primes d’assurance, les franchises, les pertes non assurées et les dépenses d’ajustement connexes, les amendes réglementaires, les coûts du contrôle des risques internes et externes, les coûts administratifs, les taxes et les frais. Une part importante de la compréhension des risques réside dans le calcul du TCoR pour votre entreprise.

Quelles sont les causes des risques de sécurité ?

Les risques de sécurité peuvent être associés à des personnes, notamment des employés ou des prestataires mécontents, inattentifs ou mal informés. Le risque peut également être attribué à des appareils et à des applications défaillants ou vulnérables, comme certaines applications mobiles qui peuvent exposer les données de l’entreprise à des utilisateurs non autorisés, des équipements ou des systèmes non tenus à jour ou obsolètes, ainsi que des applications de cloud public vulnérables ou des politiques de sécurité inadaptées.

En quoi une faille affecte-t-elle le risque ?

Les failles ont souvent de graves conséquences à long terme, notamment en élargissant les types de risque, pour les entreprises touchées.

Une faille ou une cyberattaque réussie va nécessairement accroître l’exposition financière d’une entreprise. Une faille de données a des coûts immédiats, comme le versement d’une compensation financière aux victimes ou le remplacement des sommes dérobées lors de la faille. De plus, les entreprises touchées doivent également payer de lourdes amendes de non-conformité au gouvernement et aux organismes réglementaires : selon le RGPD, par exemple, les pénalités peuvent atteindre la somme maximale de 20millionsd’euros (22millionsde dollars) ou 4 % du chiffre d’affaires annuel, selon le montant le plus élevé. De plus, les entreprises qui subissent une faille vont inévitablement voir le cours de leur titre chuter et être contraintes à payer des primes d’assurance plus importantes pour se protéger en cas de récidive.

Outre ces nombreux coûts immédiats, les failles ont encore des conséquences à long terme pour les entreprises. À la suite d’une faille, l’entreprise touchée doit également faire face aux dommages durables infligés à sa réputation : déclin de la confiance des consommateurs, réduction de sa base de clients, perte de parts de marché au profit de la concurrence. De plus, comme les victimes des failles de données sont vulnérables au vol d’identité en cas de fuite d’informations personnelles ou financières, elles s’exposent également à des procès et à des arbitrages pour les mois, voire les années, à venir.

Gérer le risque

Quelles sont les étapes de la mise en place d’une gestion des risques ?

La gestion des risques se fait généralement en trois étapes : évaluation des risques, analyse des risques et atténuation des risques.

  • L’évaluation des risques consiste à identifier les vulnérabilités au sein de votre infrastructure IT et de votre réseau, susceptibles d’entraîner des pertes de données, des baisses de revenus, des interruptions ou des pénalités de conformité. L’objectif principal est de déterminer quels sont les actifs de l’entreprise les plus susceptibles d’être compromis, et de quelle manière.
  • L’analyse des risques est le processus permettant de déterminer dans quelle mesure votre entreprise peut être affectée négativement en cas d’incident de sécurité informatique. Cette étape inclut notamment une recherche des menaces et des tests de pénétration visant à mettre au jour les vulnérabilités tout en examinant avec honnêteté les mesures de protection actuelles, et en évaluant l’impact que ces menaces exercent sur les activités.
  • L’atténuation des risques consiste à planifier et à prendre des mesures pour réduire les menaces et leur impact sur la sécurité, ce qui peut consister à mettre en place des politiques et des procédures à l’échelle de l’entreprise, recruter du personnel ou former le personnel existant, mettre en place de nouveaux contrôles ou adopter de nouvelles technologies. Elle nécessite également de définir vos priorités de sécurité, de décrire les modalités de résolution des problèmes et de mettre en place des mesures de correction.
regulatorycompliance-hipaa
Comment atténuer les risques de sécurité ?

L’une des étapes clés de l’atténuation des risques de sécurité réside dans l’identification des vulnérabilités et la détection des failles qui vous rendent vulnérables aux attaques. Des évaluations régulières des cybermenaces peuvent entraîner une détection et une atténuation précoces des risques en exposant les vulnérabilités des applications, en détectant les malwares et les botnets, et en identifiant les dispositifs obsolètes ou à risque. De plus, ces évaluations peuvent vous aider à analyser la productivité des utilisateurs et à inventorier les applications exécutées sur le système, tout en délivrant des informations sur l’utilisation et les performances du réseau (la consommation de bande passante, par exemple) afin d’identifier les pics suspects de trafic avant la survenue d’interruptions néfastes.

  • Détection des failles : si les indicateurs de faille dépendent beaucoup du type d’attaque, on recense plusieurs signaux d’alerte généraux. Des heures de connexion inhabituelles, des redémarrages inopinés, une latence du réseau qui augmente ou une intensification inexpliquée du trafic, l’utilisation d’un logiciel inconnu ou des dysfonctionnements dans les applications de sécurité, et la présence d’IP non reconnues sont autant de signes pouvant indiquer une faille passée ou en cours.
  • Identifier les vulnérabilités : les appareils non mis à jour ou obsolètes contiennent souvent des vulnérabilités qui ouvrent la porte aux attaques. De nombreuses formes de malwares sophistiqués peuvent rester dormants indéfiniment jusqu’à leur déclenchement (par exemple au cours d’un redémarrage ou d’une mise à jour, quand le système est le plus vulnérable) puis cibler toutes les vulnérabilités non corrigées pour voler des données, conduire des opérations de cyber-espionnage ou perturber le fonctionnement des systèmes.
Comment l’automatisation peut-elle contribuer à réduire le risque ? 

L’automatisation est un moyen pour les entreprises de traiter les risques dans leur globalité parce qu’elle met une puissance et une structure améliorées au service de la détection des menaces et de la résolution des incidents. Des systèmes critiques comme les opérations IT, la gestion des menaces et des vulnérabilités, les configurations, les audits de conformité et les systèmes de gouvernance des identités peuvent tous être automatisés dans le cadre du processus de gestion des risques de l’entreprise. Les opérations et les incidents de sécurité qui se produisent dans ces systèmes peuvent être associés à des dépôts de risque informatique, ce qui permet aux équipes de réponse aux incidents d’évaluer le niveau de risque qu’ils présentent pour l’entreprise.

Les informations relatives à une vulnérabilité récemment identifiée, par exemple, peuvent être automatiquement téléchargées dans la solution de gestion des risques, qui peut ensuite déclencher une investigation et classer le niveau de risque de l’incident et sa gravité selon un ensemble de critères prédéfinis. Une fois que la solution a classé la menace, le système automatisé peut déclencher le plan d’action nécessaire. Et si la vulnérabilité devient une menace, la solution peut aussi déclencher le processus d’évaluation des risques et utiliser le numéro CVE de la menace pour lancer la gestion proactive des correctifs.

Comment les différents segments verticaux abordent-ils le risque ?

Face à des groupes différents de clients, de réglementations de conformité, d’objectifs et d’actifs, des secteurs comme la santé, les services financiers et les administrations gouvernementales adoptent tous une approche très différente de l’évitement des risques, des plans d’atténuation et des décisions d’investissement associées. Par exemple :

  • Santé : si les organismes de santé se concentraient historiquement sur la sécurité des patients, le risque est devenu, dans ce secteur, beaucoup plus complexe à gérer. Cette complexité est due à l’élargissement du rôle des technologies de santé et des réseaux de santé connectés, à l’accroissement des menaces de cybersécurité, et à l’évolution rapide des réglementations sanitaires et du paysage juridique et politique. Dans le domaine du risque, les plus grandes préoccupations du secteur de la santé concernent les réglementations de conformité telles que la loi américaine sur la portabilité et la responsabilité des assurances de santé (HIPAA), les risques associés aux erreurs médicales et les menaces de cybersécurité de plus en plus sophistiquées qui cherchent à dérober ou à compromettre les données des patients.
  • Services financiers : dans le secteur des services financiers, la gestion des risques s’articule autour de la gestion de l’exposition au risque opérationnel, au risque de crédit, de marché et des changes, au risque commercial et juridique, et au risque de réputation et de sécurité. Peut-être plus encore que dans d’autres secteurs, l’industrie des services financiers fait face à des risques en termes de réputation, en particulier depuis une série de failles de sécurité et divers scandales impliquant aussi bien la création de centaines de millions de faux comptes de clients, que le blanchiment d’argent ou des escroqueries sur les frais bancaires.
  • Gouvernements : les menaces pesant sur les opérations des organismes gouvernementaux vont des catastrophes naturelles et criminelles au cyber-espionnage, en passant par les défaillances technologiques et les incidents de sécurité. Comme de nombreux services gouvernementaux sont indispensables à la santé et à la sécurité du public, les stratégies de gestion des risques doivent minimiser toutes les perturbations, qu’il s’agisse de désagréments temporaires ou d’une interruption de service d’infrastructure critique.
Qu’est-ce que le cadre de gestion des risques (RMF) ?

Pour élaborer des normes cohérentes, reproductibles et fiables pour la sécurité des infrastructures informatiques, les organismes gouvernementaux peuvent s’appuyer sur le cadre de gestion des risques (RMF), un ensemble de directives qui régit l’élaboration, la supervision et la sécurisation des systèmes informatiques du gouvernement américain.

Conçues pour identifier les risques pouvant nuire aux opérations, ces normes de gestion des risques comprennent des directives émanant du département américain de la Défense (DoD), de l’Institut national des normes et de la technologie (NIST) et d’autres autorités.

  • Cadre de gestion des risques du DoD : publié par le département américain de la Défense en 2014, ce cadre décrit un processus en six étapes (catégoriser, sélectionner, mettre en œuvre, évaluer, autoriser et superviser) à suivre par les agences gouvernementales et leurs sous-traitants pour prévenir les risques de sécurité IT.
  • Cadre de gestion des risques du NIST : le NIST, ou Institut national des normes et de la technologie, est un organisme fédéral non réglementaire au sein du département américain du Commerce qui permet aux entreprises d’appliquer des principes et des bonnes pratiques de gestion des risques afin d’améliorer la sécurité et la résilience des infrastructures critiques. Le NIST a également publié le cadre de cybersécurité volontaire, qui fournit des normes, des directives et des bonnes pratiques pour gérer le risque de cybersécurité dans toutes les organisations, et pas uniquement dans les agences gouvernementales.
  • Cadre pour l’amélioration de la cybersécurité des infrastructures critiques : ce cadre est une approche basée sur les risques qui reprend différentes normes et bonnes pratiques de l’industrie pour mieux gérer les risques de cybersécurité. Ce cadre peut être utilisé pour renforcer un programme existant de gestion des risques ou comme guide pour en élaborer un entièrement.
  • Cadre COSO : créé en 1992 par le Committee Of Sponsoring Organizations of the Treadway Commission (COSO), ce cadre très largement utilisé a été mis au point pour évaluer les contrôles internes, en priorité ceux de la conformité financière. Il comprend cinq parties : culture d’entreprise, évaluation des risques, activités de contrôle, information et communication, et supervision.
  • Gestion des risques de l’entreprise (ERM) : défini par le Conseil ERM de l’Association pour la gestion des risques comme la « capacité à gérer tous les risques de l’entreprise dans la recherche de retours acceptables », l’ERM va au-delà de la sécurité et aborde l’entreprise dans son ensemble. Ce cadre a pour but pour d’aider les sociétés à déterminer si elles doivent prendre le risque d’adopter de nouvelles directions stratégiques

Pour résumer

La gestion des risques est indispensable à la protection des actifs

Avec la multiplication de réglementations de conformité rigoureuses et la prolifération de menaces de cybersécurité destructives, c’est un fait bien établi que les entreprises sont confrontées à une augmentation des risques qui pèsent sur leurs données, leurs actifs et leur réputation. Par conséquent, une gestion des risques efficace est aujourd’hui un aspect essentiel des opérations d’une entreprise.

Pour les entreprises, les avantages de la mise en place d’un programme complet de gestion des risques sont nombreux, car ils donnent aux responsables de la sécurité, aux administrateurs et aux auteurs de politiques la capacité à : 

  • adopter une approche logique et systématique de l’amélioration permanente de la sécurité IT ;
  • identifier les risques pouvant être les plus dommageables à l’entreprise et protéger à la fois les données et les actifs ;
  • rechercher proactivement et atténuer ces risques avant que des cyberattaques ne provoquent des désastres ;
  • trouver des moyens d’améliorer l’efficacité des opérations et l’affectation des ressources et des talents ;
  • planifier et veiller à ce que l’entreprise ou l’organisme soit équipé pour gérer les incidents de sécurité et puisse s’en rétablir plus rapidement et facilement.

Un plan complet de gestion des risques aide les professionnels et les responsables de la sécurité à remplir toutes ces missions. Du point de vue de la sécurité comme des opérations, il permet aux DSI, aux analystes de sécurité et aux administrateurs d’apporter continuellement des améliorations aux activités et de les entretenir. Et tout cela contribue à réduire et gérer les risques de sécurité et de conformité qui menacent l’organisation et, en fin de compte, ses revenus.