Gestion des risques

Nos spécialistes expérimentés en matière de sécurité vous aident à identifier, hiérarchiser et gérer les risques pour vos systèmes, processus, réseaux ou informations.

En gérant vos risques de manière organisée et standardisée, vous pouvez à la fois minimiser les risques de divers incidents, mais aussi minimiser en amont les conséquences potentielles, et être prêt à faire face aux situations inopinées et non désirées qui peuvent survenir.

Description du service

Le service comprend un ensemble d'ateliers permettant d'identifier et de classer les actifs, d'identifier et de décrire les menaces et les vulnérabilités, de documenter les risques associés, et d'identifier et de planifier les mesures visant à atténuer les risques et les conséquences.

Nos consultants expérimentés en cybersécurité peuvent jouer différents rôles dans le cadre de ces ateliers, afin de diriger ou soutenir le processus à toutes les étapes, dans la mesure requise, pour garantir que votre gestion des risques est adéquate.

Vous pouvez choisir d'utiliser vos propres modèles, échelles de risque, définitions des niveaux de sécurité et systèmes de hiérarchisation, ou nous laisser vous aider à en développer d'autres, sur la base des normes industrielles et de ce qui convient à votre organisation.

Méthode général

Les menaces surgissent en permanence, et la gestion des risques doit donc être un travail itératif, dont les méthodes et les résultats sont soigneusement documentés. En général, les risques sont gérés en trois étapes (qui sont elles-mêmes souvent décomposées en sous-étapes):

  • Analyse des risques

  • Plannification des actions

  • Decisions et documentation

Toutes les étapes peuvent et doivent être réalisées sous forme d'ateliers de groupe. Il est très important pour leur efficacité que ces groupes comprennent les bonnes personnes. Le groupe doit comprendre des personnes ayant des connaissances techniques et organisationnelles de l'objet en question, mais il faut en même temps tenir compte du fait qu'un groupe plus petit est souvent nettement plus efficace en termes de temps. Un groupe de participants trop restreint court le risque de manquer de compétences ou de connaissances nécessaires, et de limiter la possibilité d'une discussion utile. Un groupe trop important risque au contraire de conduire à un processus d'évaluation très inefficace, dans lequel les opinions et les points de vue d'un trop grand nombre d'individus doivent être pris en compte.

Definitions:

  • Menace/Risque – Un évènement avec un impact négatif (si il survient)

  • Probabilité – La probabilité qu’une menace se concrétise

  • Conséquences – Le résultat de la concrétisation d’une menace

  • Valeur du risque – Une valeur ajoutée au risque pour permettre la priorisation

  • Objet/Objet examiné – Le système, le processus ou la quantité d’information concerné par le risque en question

Risk assessment

Au cours de l'évaluation des risques, les risques doivent être identifiés et évalués. Cela implique de noter formellement les risques et les menaces qui peuvent être observés contre le système, d'évaluer leurs conséquences et la probabilité qu'ils se produisent, puis de les classer par ordre de priorité en utilisant une valeur de risque calculée. La valeur du risque R = P*C est souvent utilisée, où P & C sont la probabilité et la conséquence évaluées, normalement sur une échelle de 1-4 ou   1-5.

Il est très important que l'échelle soit bien définie et comprise par tous les participants, et qu'elle soit cohérente entre l'évaluation des risques de différents objets. L'échelle doit toujours être basée sur l'entreprise dans son ensemble, plutôt que sur le système ou le processus analysé. Un risque catastrophique pour un système spécifique n'est pas forcément catastrophique pour l'entreprise dans son ensemble.

Plannification d’actions, Decisions & Documentation

La gestion des risques consiste à identifier les mesures de sécurité qui peuvent être mises en œuvre pour soit empêcher la concrétisation du risque, soit minimiser ses conséquences. On peut s'attendre à ce que chaque risque identifié ait plusieurs actions potentielles, avec différents effets attendus, et différents coûts attendus.

Il convient d'évaluer le coût des mesures par rapport à la valeur de la réduction de la probabilité ou des conséquences du risque.

Toutes les décisions doivent être justifiées et documentées, en particulier les risques qui ne sont pas traités (ce que l'on appelle les "risques acceptés")

 Interesté par notre Service de Gestion des Risques ?