Évaluation des menaces et des risques (EMR)

Qu'est-ce que l'évaluation des menaces et des risques?

Une EMR consiste à évaluer, du point de vue de la sécurité technologique, les personnes, les processus et l'infrastructure, en appliquant des méthodes d'évaluation standard de l'industrie. Le rapport qui en résulte comprend tous les risques identifiés, leur évaluation et des recommandations pour y remédier.

Une EMR en matière de cybersécurité comprend généralement au moins les éléments suivants:

  • Identification et évaluation des actifs

    • Les actifs

    • Les employés qui dépendent de ces actifs

    • Les services fournis par ou à travers les actifs

    • Les dommages qui peuvent survenir en raison de la perte ou de la compromission de l'actif

  • Évaluation des menaces

    • Description des menaces sérieuses (niveau de détail de la catégorie d'activité ou d'agent)

    • Indication des biens affectés et du niveau de risque de compromission

    • Détermination de la probabilité d'un incident

    • Évaluation des dommages qu'une menace pourrait causer

  • Évaluation des vulnérabilités

    • Description des vulnérabilités graves (généralement regroupées)

    • Indication des actifs affectés et des menaces facilitées

  • Évaluation des risques

    • Description de tous les risques résiduels évalués qui sont inacceptables

    • Concentration des risques les plus graves et consolidation du plus grand nombre possible d'entre eux dans des groupes de remédiation

    • Identification des contrôles qui sont en place

  • Recommandations

    • Résumé de chaque contrôle recommandé, avec les coûts associés (si estimés et disponibles)

    • Présentation des risques résiduels

Exemples de méthodologie

Au Canada, une évaluation commune des menaces et des risques est la méthodologie d'évaluation harmonisée des menaces et des risques (HTRA) élaborée par la Gendarmerie royale du Canada (GRC) et le Centre de la sécurité des télécommunications (CST)

"La méthodologie d'évaluation harmonisée des menaces et des risques est conçue pour prendre en compte l'ensemble des employés, des biens et des services à risque. En outre, elle s'intègre facilement aux méthodologies de gestion de projet et aux cycles de vie du développement de systèmes. L'analyse peut être effectuée à n'importe quel niveau de granularité, depuis les profils de risque départementaux au sens large jusqu'aux examens plus ciblés de problèmes spécifiques, afin de répondre aux besoins de la direction en matière de solutions réactives aux niveaux stratégique et opérationnel. L'utilisation d'outils communs peut favoriser l'interopérabilité lors de la gestion des risques dans des installations partagées et des systèmes informatiques interconnectés, une considération de plus en plus importante lorsque les responsabilités en matière de prestation de services transcendent les frontières organisationnelles. Enfin, dans l'esprit de la fonction de contrôleur moderne, des mesures objectives et des rapports analytiques appuient le Cadre de responsabilisation de gestion pour évaluer les résultats et le rendement, particulièrement en ce qui concerne la gestion des risques, la gérance et la responsabilisation"

Le HTRA est utilisé par les ministères du gouvernement du Canada, certains gouvernements provinciaux et territoriaux et certaines industries privées.  On peut le trouver ici.

Aux États-Unis, et dans d'autres juridictions, le NIST 800-30, Guide for Conducting Risk Assessments est couramment utilisé. Il peut être consulté ici. Il est similaire dans sa présentation et comprend les éléments suivants :

Étapes de l'EMR du NIST

L'importance de la préparation

Une étape souvent oubliée par de nombreuses organisations et même par certains auditeurs est la préparation d'une évaluation des risques.  Cette étape est importante. Effectuer une EMR sans raison est une perte de temps et d'argent, alors que les ressources et les budgets sont déjà poussés à leurs limites.  Comme indiqué dans le document NIST 800-30, les éléments suivants doivent être réalisés avant de commencer une EMR :

  • Identifier l'objectif de l'évaluation;

  • Identifier l'objectif de l'évaluation;

  • Identifier les hypothèses et les contraintes associées à l'évaluation;

  • Identifier les sources d'information à utiliser pour l'évaluation; et

  • Identifier le modèle de risque et les approches analytiques (c'est-à-dire les approches d'évaluation et d'analyse) à employer pendant l'évaluation.

Intéressé par l'exécution d'une EMR, ou un de nos autres services?

Votre entreprise ou organisation n'a peut-être pas encore besoin d'une EMR. Une simple analyse des lacunes en matière de cybersécurité peut peut-être répondre à vos besoins. 

Laissez-nous vous aider à répondre à cette question !