Vous êtes sur la page 1sur 11

Checklist d'évaluation

des risques

Identifiez les risques afin de relancer


un programme de niveau A d'atténuation
des risques
Qu’est-ce que l’évaluation des risques
informatiques ?
Avec des menaces aux données sensibles, de jour en jour plus nombreuses et sophistiquées, les organisations
ne peuvent pas se permettre de disperser l’approche de la sécurité. Au contraire, elles doivent focaliser leurs
budgets et ressources informatiques sur les vulnérabilités de leur seule position de sécurité.

Pour ce faire, elles doivent identifier, analyser et hiérarchiser les risques à la confidentialité, à l’intégrité ou à la
disponibilité de leurs systèmes de données ou d’informations, en se basant à la fois sur la probabilité de
l'événement et le niveau de l'impact que cela aurait sur l'entreprise. Ce processus est appelé évaluation des
risques informatiques.

Le risque est un concept économique – la probabilité de pertes financières pour l’organisation est-elle élevée,
moyenne, faible ou nulle ? Trois facteurs entrent en ligne de compte dans la détermination du risque : la nature
de la menace, la vulnérabilité du système et l’importance de l’actif qui pourrait être endommagé ou rendu
indisponible. Le risque peut donc être défini de la manière suivante :

Risque = Menace X Vulnérabilité X Actif

Le risque est ici représenté par une formule mathématique, pourtant il ne s’agit pas de chiffres, mais d’un
concept logique. Supposons, par exemple, que vous souhaitiez évaluer le risque associé à une menace de
piratage qui compromettrait un système particulier. Si votre réseau est très vulnérable (peut-être parce que vous
n’avez ni pare-feu ni solution antivirus), et que l’actif est critique, votre risque est élevé. Mais si vous avez de
bonnes défenses périmétriques et que votre vulnérabilité est faible, même si l’actif est critique, votre risque est
moyen.

Vous devez garder à l’esprit deux principes :

Tout ce qui est multiplié par zéro est égal à zéro. Si l’un des facteurs est nul, même si les autres facteurs
sont élevés ou critiques, votre risque est nul.

Le risque implique une incertitude. Si quelque chose doit obligatoirement arriver, il ne s’agit pas d’un
risque.

2
Pourquoi avez-vous besoin d’évaluer
les risques informatiques ?
L’évaluation des risques informatiques doit être le socle de votre stratégie de sécurité informatique afin de
comprendre quels événements peuvent affecter votre organisation de manière négative et quelles lacunes
de sécurité constituent une menace pour vos informations critiques. Vous pourrez, ainsi, prendre les
meilleures décisions de sécurité et des mesures proactives plus astucieuses.

L’évaluation des risques vous aide à déterminer les vulnérabilités dans les systèmes d’information et
l’environnement informatique le plus étendu, à évaluer la probabilité d’un événement à risque, et
l’importance des risques, en se basant sur l’estimation du risque combiné avec le niveau de l’impact que cela
engendrerait si ça se produit.

L’évaluation des risques informatiques est exigée par de nombreux règlements de conformité. Par exemple,
si votre organisation doit se conformer à HIPAA ou au RGPD, l’évaluation des risques de sécurité
d’informations est une nécessité pour votre organisation, afin de minimiser le risque de non-conformité et
d’énormes amendes.

ÉTAPE #1
Recueillir les informations dont vous avez besoin pour évaluer les risques. Voici quelques manières de
procéder :

Questionnez la direction, les propriétaires de données et les autres employés

Analysez vos systèmes et vos infrastructures

Revoyez la documentation

ÉTAPE #2
Trouver quels éléments dans toute l'organisation qui puissent être endommagés par les menaces. Voici
juste quelques exemples :

Serveurs

Site Internet

Information de contact client

Secrets commecieux

Données de carte de crédit de clients

Comme la plupart des organisations disposent d’un budget limité pour l’évaluation des risques, vous devrez
probablement limiter la portée du projet aux actifs essentiels à la mission. De ce fait, vous devez définir une
norme pour déterminer l’importance de chaque actif. Les critères habituels comprennent la valeur monétaire
des actifs, leur statut juridique et leur importance pour l’organisation. Une fois la norme approuvée par la
direction et intégrée officiellement à la politique de sécurité d’évaluation des risques, utilisez-la pour classer
chaque actif que vous avez identifié comme critique, majeur ou mineur.

3
ÉTAPE #3
Identifier les conséquences potentielles. Déterminer quels dommages l’organisation pourrait subir si un actif
donné a été endommagé. Il s’agit d’un concept d’entreprise, la probabilité de pertes financières ou autres. Voici
quelques conséquences auxquelles vous devriez porter attention :

Conséquences juridiques. Si quelqu’un vole des données dans l’une de vos bases de données, même si
ces données ne sont pas particulièrement précieuses, vous pouvez encourir des amendes et d’autres frais
juridiques parce que vous n’avez pas respecté les exigences de sécurité HIPAA, PCI DSS ou d’autres
normes relatives à la protection des données.

Perte de données. Le vol de secrets commerciaux peut vous faire perdre des marchés au profit de vos
concurrents. Le vol d’informations clients peut entraîner une perte de confiance et une érosion de la
clientèle.

Interruption du système ou des applications. Si un système ne remplit pas sa fonction première, il est
possible que les clients ne soient pas en mesure de passer des commandes, que les employés ne soient
pas en mesure de faire leur travail ou de communiquer, etc.

ÉTAPE #4
Identifier les menaces et leur niveau. Une menace est quelque chose qui pourrait exploiter une vulnéra-
bilité pour violer votre sécurité et causer des dommages à vos biens. Voici quelques types communs de
menaces :

Catastrophes naturelles. Les inondations, les ouragans, les tremblements de terre, les incendies et
d’autres catastrophes naturelles peuvent être plus destructeurs qu’un pirate informatique. Vous pouvez
non seulement perdre des données, mais aussi vos serveurs et vos équipements. Au moment de décider
où héberger vos serveurs, pensez aux risques de catastrophe naturelle. Par exemple, n’installez pas votre
salle de serveurs au rez-de-chaussée dans une région qui présente un risque élevé d’inondation.

Défaillance du système. La probabilité d’une défaillance du système dépend de la qualité de vos


ordinateurs. Pour un équipement relativement neuf et de haute qualité, le risque de défaillance du
système est faible. Mais si l’équipement est ancien ou s’il provient d’un fournisseur inconnu, le risque de
défaillance est beaucoup plus élevé. Il est donc sage d’acheter du matériel de haute qualité, ou du moins
assorti d’un bon support.

Interférence humaine accidentelle. Cette menace est toujours élevée, quelle que soit votre activité.
N’importe qui peut commettre des erreurs comme supprimer accidentellement des fichiers importants,
cliquer sur des liens de logiciels malveillants ou endommager physiquement, par accident, un appareil. Vous
devez donc sauvegarder régulièrement vos données, y compris les paramètres système, les listes de
contrôle d’accès et autres informations de configuration, et surveiller attentivement toutes les modifications
apportées aux systèmes essentiels.

Humains malveillants. Il existe trois types de comportements malveillants :

4
L’interférence : quelqu’un cause des dommages à votre entreprise en supprimant des données, en créant
un déni de service distribué (DDoS) contre votre site Web, en volant physiquement un ordinateur ou un
serveur, etc.

L’interception : un piratage classique, quelqu’un vole vos données

L’usurpation d’identité : une utilisation abusive des identifiants de quelqu’un d’autre, souvent acquis
via des attaques d’ingénierie sociale ou des attaques par force brute, ou encore achetés sur le dark
Web.

ÉTAPE #5
Analyser les contrôles. Analysez les contrôles en place ou planifiés, pour minimiser ou supprimer la possibilité
qu’une menace exploite une vulnérabilité du système. Des contrôles peuvent être mis en œuvre par des moyens
techniques, tels que du matériel ou des logiciels informatiques, le chiffrement, des mécanismes de détection
d’intrusion et des sous-systèmes d’identification et d’authentification. Les contrôles non techniques comprennent
les politiques de sécurité, les mesures administratives et les mécanismes physiques et environnementaux.

Les contrôles techniques et non techniques peuvent tous deux être classés comme contrôles préventifs ou de
détection. Comme leur nom l’indique, les contrôles préventifs ont pour but d’anticiper et d’arrêter les attaques.
Parmi les contrôles techniques préventifs, mentionnons les dispositifs de chiffrement et d’authentification. Les
contrôles de détection servent à découvrir des attaques ou des événements par des moyens tels que les pistes
d’audit et les systèmes de détection d’intrusion.

ÉTAPE #6
Identifier les vulnérabilités et évaluez la probabilité de leur exploitation. Une vulnérabilité est une faiblesse
qui permet à certaines menaces de violer votre sécurité et provoquer un dommage à un actif.
Des vulnérabilités peuvent être physiques, comme les anciens équipements, ou un problème de conception ou
de configuration de logiciels, telles que les autorisations d’accès excessives ou des postes de travail non protégés.

Les vulnérabilités peuvent être identifiées au moyen d’analyses des vulnérabilités, de rapports d’audit, de la base
de données du NIST sur les vulnérabilités, des données des fournisseurs, des équipes d’intervention en cas
d’incident affectant les ordinateurs commerciaux et des analyses de sécurité logicielle système.

Effectuer des tests sur le système informatique contribue également à identifier les vulnérabilités. Les tests
peuvent inclure :

Procédures de tests et d’évaluation de la sécurité informatique (ST&E) •

Techniques de tests de pénétration

Outils d’analyse automatisée des vulnérabilités

5
Vous pouvez réduire les vulnérabilités qui concernent vos logiciels et gérant correctement les correctifs. Mais ne
négligez pas les vulnérabilités physiques. Par exemple, en déménageant votre salle de serveurs au premier étage
du bâtiment, vous réduisez considérablement votre vulnérabilité aux inondations.

ÉTAPE #7
Évaluer l’impact potentiel d’une menace. Une analyse d’impact doit inclure les facteurs suivants :

La mission du système, y compris les processus mis en œuvre par le système

La criticité du système, déterminée par sa valeur et celle des données pour l’organisation

La sensibilité du système et de ses données

Les informations nécessaires à une analyse d’impact – y compris une analyse d’impact sur les activités (ou rapport
d’analyse d’impact sur la mission) – peuvent être trouvées dans la documentation organisationnelle existante. Une
analyse d’impact sur les activités utilise des moyens quantitatifs ou qualitatifs pour déterminer l’impact de
dommages ou préjudices causé aux actifs informatiques de l’organisation.

Une attaque ou un événement malencontreux peuvent compromettre la confidentialité, l’intégrité et la


disponibilité du système d’information. Comme pour la probabilité d’une attaque ou d’un événement
malencontreux, l’impact sur le système peut être évalué de manière qualitative comme élevé, moyen ou faible.

Les aspects supplémentaires suivants doivent être inclus dans l’analyse d’impact :

La fréquence annuelle estimée de l’exploitation d’une vulnérabilité par la menace

Le coût approximatif de ces événements

Un facteur de pondération basé sur l’impact relatif d’une vulnérabilité spécifique exploitée par une menace
spécifique

ÉTAPE #8
Classer par ordre de priorité les risques de sécurité informatique. Pour chaque couple menace/vulnérabilité,
déterminez le niveau de risque pour le système informatique, d’après les facteurs suivants :

La probabilité que la menace exploite la vulnérabilité

L’impact de l’exploitation de la vulnérabilité par la menace

L’adéquation des contrôles de sécurité existants ou planifiés visant à supprimer ou à réduire les risques pour
le système informatique

6
La matrice des risques est un outil très utile pour estimer les risques selon ces critères. Une forte probabilité de
menace correspond à une note de 1,0 ; une probabilité moyenne à 0,5 et une probabilité faible à 0,1. De même,
un impact élevé correspond à une valeur 100, un impact moyen à 50 et un impact faible à 10. Le risque se calcule
en multipliant la valeur de probabilité de menace par la valeur d’impact, et il est classé comme élevé, moyen ou
faible selon le résultat.

ÉTAPE #9
Recommander des contrôles. En vous basant sur le niveau de risque, déterminez les mesures que doivent
prendre la direction et les autres responsables afin d’atténuer le risque. Voici quelques directives générales pour
chaque niveau de risque :
Élevé – Il faut élaborer dès que possible un plan de mesures correctives.

Moyen – Il faut élaborer dans un délai raisonnable un plan de mesures correctives.

Faible – L’équipe doit choisir entre accepter le risque ou adopter des mesures correctives.

Lorsque vous examinez les contrôles visant à atténuer chaque risque, n’oubliez pas de prendre en compte les
aspects suivants :

Politiques organisationnelles

Analyse coût-avantage

Impact opérationnel

Faisabilité

Réglementations en vigueur

Efficacité globale des contrôles recommandés

Sécurité et fiabilité

ÉTAPE #10
Documenter les résultats. La dernière étape du processus d’évaluation des risques consiste à produire un
rapport d’évaluation des risques sur lequel la direction pourra s’appuyer pour prendre les bonnes décisions à
propos du budget, des politiques, des procédures, etc. Ce rapport doit décrire, pour chaque menace, les
vulnérabilités correspondantes, les actifs à risque, l’impact sur l’infrastructure informatique, la probabilité
d’occurrence et les recommandations de contrôle. Voici un exemple très simple :
Recommandation
Menace Vulnérabilité Actif Impact Probabilité Risque
de contrôle
Défaillance Tous les services (site
Le système de Serveurs Web, messagerie, etc.) ÉLEVÉE Élevée Achat d’un
système –
climatisation a dix Critique La température de Perte potentielle nouveau
Surchauffe dans la seront indisponibles
ans la salle de serveurs de 45 000 € par climatiseur
salle de serveurs pendant au moins
Élevée est de 40 °C occurrence 2 700 €
Élevée trois ans
Critique

Attaque DDoS par Le pare-feu est Site Web Les ressources du Moyenne Moyenne Surveiller le pare-feu
des humains correctement Critique site Web seront Une attaque Perte potentielle
malveillants configuré et dispose indisponibles DDoS est de 8 900 € par
(interférence) d’une bonne Critique découverte tous heure
atténuation des d’indisponibilité
Élevée les deux ans
attaques DDoS
Faible

Catastrophes La salle de serveurs Serveurs Tous les services Faible Faible Aucune action requise
naturelles – se trouve au Critique seront La dernière
inondation deuxième étage indisponibles inondation a eu
Élevée Faible Critique lieu dix ans
auparavant dans
la région
Les autorisations
Faible Continuer à surveiller les
Interférence sont correctement Fichiers Des données critiques Moyenne
humaine sur un seront peut-être modifications apportées
configurées, un
accidentelle – partage perdues, mais aux autorisations, les
logiciel d’audit
suppressions de pourront presque utilisateurs privilégiés et
informatique est
accidentelles de fichiers certainement être les sauvegardes
en place, des
fichiers
sauvegardes sont Moyenne restaurées depuis une
Élevée réalisées sauvegarde
régulièrement Faible
Faible

Vous pouvez utiliser votre rapport d’évaluation des risques pour identifier les étapes correctives clés qui
réduiront de multiples risques. Par exemple, des sauvegardes régulières vers un stockage hors site atténuent le
risque de suppression accidentelle de fichiers et en même temps le risque d’inondation. Chacune de ces étapes
a un coût et doit comporter un réel avantage en matière de réduction des risques. Considérez les motifs
opérationnels et commerciaux de chaque mesure d’amélioration.

ÉTAPE #11
Créer une stratégie pour améliorer l’infrastructure informatique afin d’atténuer les vulnérabilités
les plus importantes et obtenir l’accord de la direction.

ÉTAPE #12
Définir les processus d’atténuation. Vous pouvez améliorer la sécurité de votre infrastructure informatique,
mais vous ne pouvez pas éliminer tous les risques. Si une catastrophe survient, vous réparez ce qui est survenu,
vous analysez pourquoi c’est arrivé, puis vous essayez d’empêcher que cela se reproduise ou, au minimum,
rendezles conséquences moins néfastes.

8
En suivant ce processus, vous vous ferez une meilleure idée du fonctionnement de l’entreprise, de son
infrastructure, et des améliorations possibles. Vous pouvez ensuite créer une politique d’évaluation des risques
définissant ce que l’organisation doit périodiquement effectuer (chaque année dans de nombreux cas),
comment les risques doivent être traités et atténués (par exemple, un seuil minimal acceptable de
vulnérabilité) et comment effectuer des évaluations ultérieures pour les composantes d’infrastructure
informatique et autres ressources.

Gardez toujours à l’esprit que les processus d’évaluation des risques de sécurité informatique et de gestion des
risques d’entreprise sont le cœur même de la cybersécurité. Ce sont ces processus qui établissent les règles et
les lignes directrices de toute la gestion de la sécurité informatique, qui répondent aux menaces et aux
vulnérabilités susceptibles de causer un préjudice financier à l’entreprise et qui déterminent les mesures pour
les atténuer.

9
À propos de Netwrix
Netwrix est un éditeur de logiciels qui permet aux professionnels de la sécurité et de la gouvernance de
l’information de reprendre le contrôle des données sensibles, réglementées et stratégiques, quel que soit
leur emplacement. Plus de 10 000 organisations du monde entier s’appuient sur les solutions Netwrix pour
sécuriser leurs données sensibles, tirer pleinement parti des contenus d’entreprise, réussir les audits de
conformité en déployant moins d’efforts et en dépensant moins et améliorer la productivité de leurs équipes
informatiques et de leurs travailleurs du savoir.

Fondée en 2006, Netwrix a obtenu plus de 150 distinctions sectorielles et a été sélectionnée dans les listes
Inc. 5000 et Deloitte Technology Fast 500, qui recensent les entreprises à la croissance la plus rapide aux
États-Unis.

Pour en savoir plus, visitez www.netwrix.fr

Siège Social :
300 Spectrum Center Drive, Suite 200, Irvine, CA 92618
Téléphone : +33 9 75 18 11 19 Appel Gratuit : 888-638-9749 netwrix.com/social
Identifiez, évaluer
et réduisez
les risques IT
avec Netwrix Auditor

Bénéficiez d'une vue d'ensemble de votre situation en


matière de sécurité

Identifier les faiblesses en matière de sécurité qui


requièrent votre attention

Obtenez des données concrètes sur la manière de réduire


les risques identifiés

Télécharger un essai de 20 jours