Gestion de risque

Perceptions de la cybersécurité:

La sécurité ne doit pas être une source d’empêchement ou de ralentissement à l’atteinte des objectifs d’affaire d’une entreprise.

Au contraire, la cybersécurité permettra à une entreprise d’atteindre ses objectifs d’une façon sécuritaire en assurant la Confidentialité, l’Intégrité et la Disponibilité des actifs informationnels et opérationnels.

En general on peut devenir le risque comme la probabilité qu’un évènement indésirable se produise. il y a trois niveaux de sévérité de risque dans les entreprises :

  • Risque Faible : Représente peu de risque à la confidentialité, à l’intégrité et à la disponibilité des systèmes et des informations.
  • Risque Moyen : Représente des inquiétudes à l’égard de la confidentialité, de l’intégrité et de la disponibilité des systèmes et des informations.
  • Risque Élevé : Représente un danger imminent à l’égard de la confidentialité, de l’intégrité et de la disponibilité des systèmes et des informations.

Dans la majorité des entreprises, l’établissement des niveaux de risque est basé sur les pertes financières, les possibles impacts (aux actionnaires, aux employés, à la clientèle), la réputation de l’entreprise (la marque) et les obligations légales.

Le niveau de tolérance varie d’une entreprise à l’autre selon l’ampleur de celle-ci. Certaines entreprises vont prendre des assurances cyber pour assurer des ressources financières au cas d’incident de sécurité majeure.

D’ou l’établissement d’une stratégie de protection des informations doit être adaptée à l’entreprise:

  1. Une bonne compréhension des priorités et des objectifs d’affaire selon le type de l’entreprise. Exemples:
    • Entreprise manufacturière sera axée sur la disponibilité des actifs informationnels (impacts: arrêt de production, pertes financières).
    • Entreprise médicale sera axée sur la confidentialité et la disponibilité des actifs informationnels (confidentialité des dossiers médicaux des patients, impact sur le personnel médical au cas de non-disponibilité).
    • Entreprise de comptabilité sera axée sur l’intégrité des données (complétude des informations, gestion des accès et des privilèges).
  2. Compréhension des principales menaces d’affaires de l’entreprise (la compétition, baisse de marché, la confiance des clients, espionnage industriel, perte de propriété intellectuelle, etc.).
  3. Établissement de la portée (in & out of Scope). Les périmètres où débute où se termine la protection.
  4. Inventaire et nomenclature des actifs informationnels de l’entreprise:
  • Combien de centres de données
  • Combien de postes de travail
  • Combien de serveurs
  • Listes des équipements réseautiques (firewalls, routers, points d’accès, contrôleur de domaine, modems WiFi, etc).
  • Où se trouvent les actifs informationnels ? (bases de données internes,services de collaboration, sur les postes de travail, services infonuagiques, sur des serveurs de partage, etc.).

Est-ce qu’il y a une stratégie d’orientation technologique ?:

  • Migration partielle ou complète vers les services infonuagiques ?
  • Augmentation ou modernisation des infrastructures internes ?
  • Utilisation de l’intelligence artificielle (AI) et internet des objets (IdO) ?
  • Aucune stratégie ?

Parfois on peut seulement contrôler les risques sans toutefois les éliminés.

Normalement, le département des finances est responsable d’établir les seuils de tolérance financiers entre les trois (3) niveaux de sévérité de risque. Souvent un risque représentant une perte de 5% à 8% des revenus est considéré Élevé.

Ex.: Une PME avec des revenus de $75M, les seuils de tolérance seraient:

  • Faible: <= 1M$
  • Moyen: > 1M$ < 5M$
  • Élevé: > 5M$

Acceptation de risque?

Analyse de cybersécurité versus une analyse de risque:

Malgré qu’une analyse de sécurité informatique est un indicateur clé dans la gestion des risques, il y a une différence marquée entre une analyse de sécurité informatique et une analyse de risque:

  • Analyse de risque: Consiste à l’évaluation des dangers, des scénarios d’accident, des conséquences et des probabilités d’occurrence sur les risques qu’une entreprise est confrontée (commerciales, juridiques, environnementales, financiers, santé, etc. etc.).
  • Analyse de sécurité informatique: Consiste à l’évaluation des risques relatifs à la confidentialité, l’intégrité et la disponibilité des actifs informationnels (informations et systèmes informatiques).

A propos MisterSEQUR

Vérifiez aussi

Prévenir le vol d’identité au Canada

Prévenir le vol d’identité au Canada Le Canada est ces dernières années l’un des pays …

Laisser un commentaire

Votre adresse courriel ne sera pas publiée. Les champs obligatoires sont indiqués avec *