Évaluation des risques

En cybersécurité, une évaluation des risques est une analyse complète d'une organisation visant à identifier les vulnérabilités et les menaces. L'objectif d'une évaluation des risques est d'identifier les risques d'une organisation et de formuler des recommandations pour les atténuer. Les évaluations des risques peuvent être demandées suite à un déclencheur spécifique, pour effectuer une évaluation avant d'avancer dans le cadre de processus plus larges de gouvernance et de gestion des risques, ou pour évaluer périodiquement un portefeuille dans le cadre d'un objectif de gestion des risques d'entreprise ou de conformité.

Deux cadres d'évaluation des risques populaires sont le Cadre de cybersécurité du National Institute of Standards and Technology (NIST) et la norme 27001:2022 de l'Organisation internationale de normalisation/Commission électrotechnique internationale (ISO/IEC).

Les évaluations des risques peuvent reposer sur différentes méthodologies : qualitative, quantitative, ou une combinaison des deux. Une évaluation quantitative fournit des données concrètes, incluant la probabilité et l'impact potentiel d'une menace, sur la base de la collecte de données et de l'analyse statistique. Une évaluation qualitative offre une vision plus subjective et générale, ainsi qu'une idée de ce qui arriverait aux opérations et à la productivité des différentes équipes internes si l'un des risques se produisait.

Une évaluation des risques devrait inclure un inventaire à jour des systèmes, fournisseurs et applications concernés par l'évaluation. Ces informations aident les responsables de la gestion des risques de sécurité à comprendre les risques associés à :

• La technologie utilisée
• Comment les processus métier dépendent de ces actifs
• Quelle valeur commerciale ils apportent

Une évaluation des risques unique offre un instantané des risques actuels et des moyens de les atténuer. Des évaluations des risques continues ou régulières offrent une vision plus globale de l’évolution du paysage des risques qui existe dans la plupart des organisations.

Les évaluations des risques aident également les organisations à évaluer et à hiérarchiser les risques pour leurs informations, y compris leurs données et leurs systèmes d'information. Une évaluation aide aussi les responsables de la sécurité et de la technologie à communiquer les risques en termes commerciaux aux parties prenantes internes, en particulier à l'équipe de direction et au conseil d'administration. Ces informations les aident à prendre des décisions éclairées sur les domaines du programme de cybersécurité qui doivent être priorisés et sur la façon d'allouer les ressources en fonction des objectifs commerciaux.

La croissance des activités numériques et des actifs associés nécessite une meilleure gestion des environnements technologiques complexes, qui incluent aujourd'hui :

• L'Internet des objets (IoT)
• Intelligence artificielle (IA)
• Apprentissage automatique (ML)
• Modèles de livraison cloud
• Offres en tant que service

>Elle génère également un volume croissant de données, de types de données et d’actifs technologiques. Une évaluation complète des risques doit inclure ces actifs, permettant à une organisation d’avoir une visibilité sur l’ensemble de ses données, de savoir si certaines d’entre elles sont exposées et d’identifier tout problème de sécurité majeur. Une évaluation des risques liés aux données peut aider une organisation à sécuriser et limiter l’exposition des données sensibles en offrant une vue d’ensemble des données sensibles, en identifiant les accès trop permissifs et en détectant les données obsolètes ou fantômes.