S’il y a une chose que les entreprises détestent, c’est la perturbation de leurs activités suite à une cyberattaque. Une approche fondée sur les risques leur permet d’élaborer des contre-mesures personnalisées pour protéger les vulnérabilités critiques, le tout à moindre coût.

Alors que les entreprises adoptent massivement le cloud, les outils de mobilité et l’IoT, leurs systèmes d’information n’ont jamais été aussi ouverts sur l’extérieur. De leur côté, les régulateurs et les législateurs exigent des mises en conformité qui ont le mérite de responsabiliser les entreprises devant la Loi sur les risques qui menacent leurs données.

Dans un tel environnement, ouvert, mobile et connecté, la défense périmétrique conventionnelle ne suffit plus, il faut une approche systémique, basée sur le risque. Une approche de la cybersécurité fondée sur le risque signifie que les dirigeants doivent identifier et se concentrer sur les éléments du cyber-risque à cibler. Plus précisément, les nombreuses composantes du cyber-risque doivent être comprises et classées par ordre de priorité en prenant en compte les exigences métier.

L’expérience confirme que lorsque l’ensemble de l’organisation partage une façon commune de penser les vulnérabilités, la sécurité peut être considérablement améliorée.

Une approche vertueuse qui assigne à chacun son programme

Bien que cette approche de la cybersécurité soit complexe, les meilleures pratiques pour y parvenir font leur apparition. Définie par l’ANSSI, la méthode EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité) propose une méthodologie pour implémenter une défense basée le risque. C’est un outil complet de gestion des risques conforme au RGS et aux dernières normes ISO 27001, 27005 et 31000.

L’approche fondée sur le risque comporte deux effets bénéfiques à la fois. Tout d’abord, elle permet à l’organisation d’établir l’ordre de priorité des investissements, y compris dans la résolution de problèmes liés à la mise en œuvre, en fonction de l’efficacité du programme de réduction des risques adopté. Deuxièmement, la mise en œuvre de ce programme permet d’aligner les objectifs de réduction des risques de la direction en attribuant à tous les organes de l’entreprise, de la direction aux employés, des démarches de mise en œuvre claires et pragmatiques.

01

Voici une procédure en huit étapes, élaborée par le cabinet McKinsey :

  1. Intégrer pleinement la cybersécurité dans le cadre de la gestion des risques et en fonction du ou des métiers de l’entreprise
  2. Définir les sources de valeur de l’entreprise à travers les équipes, les processus et les technologies
  3. Comprendre les vulnérabilités de l’organisation à l’échelle de l’entreprise, parmi les personnes, les processus et la technologie, à l’interne et pour les tiers (sous-traitants, fournisseurs…)
  4. Comprendre les « acteurs pertinents de la menace », leurs capacités et leurs intentions
  5. Établir des liens entre les différents programmes de défense et les vulnérabilités auxquelles ils s’attaquent, et déterminer quels nouveaux efforts sont nécessaires
  6. Cartographier les risques à partir du cadre de gestion du risque de l’entreprise, en tenant compte des acteurs de la menace et de leurs capacités, des vulnérabilités de l’entreprise qu’ils cherchent à exploiter et des contrôles de sécurité des activités et du programme de changement de la cybersécurité de l’organisation
  7. Tracer les risques par rapport à l’appétit de l’entreprise pour le risque ; rendre compte de la façon dont les efforts cybernétiques ont réduit le risque de l’entreprise
  8. Surveiller les risques et les efforts cybernétiques en fonction de l’appétit pour le risque et des principaux indicateurs de cyber-risque (IRC), et des indicateurs de performance (KPI).

Sources : diverses