Dans cet article, nous vous expliquons comment évaluer les risques et les menaces dans une PME.
L’un des plus grands défis lorsque l’on souhaite aborder la sécurité de l’entreprise et les plans de reprise après sinistre (Disaster Recovery ou DR en anglais) est l’identification, l’évaluation et la priorisation des risques et des menaces.
Introduction à l’évaluation des risques et des menaces dans une PME
Le processus d’évaluation des risques est fondamental pour identifier et gérer les menaces potentielles pouvant affecter les opérations de l’entreprise et, par conséquent, sa survie.
Voici un petit guide que nous avons confectionné pour aider les organisations à se préparer à toute éventualité.
Voici une méthode en neuf étapes pour gérer les risques dans une PME :
- Identifier les actifs de l’organisation.
- Identifier les menaces.
- Évaluer les vulnérabilités.
- Estimer l’impact.
- Calculer les probabilités d’occurrence.
- Prioriser les risques.
- Développer des stratégies de mitigation.
- Développer des mesures de contrôle.
- Maintenir le modèle.
Voyons maintenant comment utiliser ces étapes.
Étape 1 : Identifier les actifs de l’organisation
Vous vous souvenez peut-être de cette publicité de pneus qui disait « Sans maîtrise, la puissance n’est rien ». Elle est en phase avec le célèbre « Ce qui ne se définit pas ne peut être mesuré. Ce qui ne se mesure pas ne peut être amélioré. Ce qui ne s’améliore pas se dégrade toujours » de Lord Kelvin.
La première étape consiste à identifier les actifs de votre organisation, en soulignant les actifs les plus critiques dont la dégradation pourrait stopper la production et affecter l’économie de l’entreprise.
Qu’est-ce qu’un actif ? Selon ITIL (Information Technology Infrastructure Library), un cadre et un standard de facto en IT, un actif est tout composant pouvant contribuer à la livraison d’un produit ou service IT, comme un serveur ou même une chaise.
Il s’agit donc d’énumérer et de catégoriser par importance les systèmes informatiques, les équipements, les installations physiques, les données et même les ressources humaines. Cela inclut également l’identification des informations confidentielles, des données clients, de la propriété intellectuelle et d’autres actifs critiques pour l’entreprise.
Étape 2 : Identifier les menaces potentielles
Après avoir identifié les actifs, il faut maintenant déterminer et analyser les menaces potentielles pouvant les affecter. En faisant cet exercice, il se peut que vous identifiiez de nouveaux actifs susceptibles d’affecter votre activité en cas de problème. Il est important de mettre en place une révision continue, ce que nous verrons plus loin dans l’étape 9.
Les menaces potentielles comprennent des menaces physiques (tremblements de terre, inondations, incendies) et des menaces cybernétiques (virus, malware, phishing, exfiltration de données, échecs de sauvegarde). Mais il ne faut pas non plus oublier les vols, les attaques terroristes, les accidents, les sabotages et les erreurs humaines. Ainsi, les menaces peuvent être à la fois externes et internes.
Étape 3 : Évaluer les vulnérabilités
Une fois les actifs et les menaces identifiés, il est crucial de passer en revue les vulnérabilités possibles de tous les éléments de l’organisation. Cela inclut l’examen des systèmes, des processus, des contrôles de sécurité, etc., pour repérer les points faibles.
Il faut inclure toutes les failles de sécurité des éléments réseau, des protocoles, des systèmes d’exploitation, et examiner les logiciels, les applications, les services, surtout ceux non mis à jour et obsolètes, qui pourraient être exploités par une faille de sécurité.
Note : Il est recommandé d’être constamment au courant des mises à jour des applications et systèmes, ainsi que des rapports d’attaques, des tendances en sécurité ou des vulnérabilités de type « zero day ».
Étape 4 : Estimer l’impact
Il s’agit ici de réfléchir à l’impact potentiel de chaque menace identifiée sur les actifs critiques de l’entreprise.
L’estimation de l’impact doit couvrir plusieurs domaines :
- L’impact financier ou coût économique.
- L’interruption des opérations.
- La perte de données.
- L’impact sur la réputation.
- Et surtout, le coût humain.
Étape 5 : Calculer les probabilités d’occurrence
Ensuite, il faut déterminer la probabilité que chaque menace identifiée se concrétise et impacte les actifs de l’organisation. Cela peut se faire à partir de données d’analyse de tendances, d’évaluations de risques similaires, de séries de données historiques, etc.
Étape 6 : Prioriser les risques
Une fois les menaces et leur probabilité d’occurrence identifiées, il faut classer et prioriser les risques.
Un risque se décrit généralement par l’équation :
RISQUE = PROBABILITÉ x IMPACT.
Cette description permet d’allouer les ressources nécessaires pour traiter les risques les plus urgents ou critiques.
Une matrice des risques, ou carte de chaleur, aide souvent à identifier graphiquement les risques.
Image. Matrice d’évaluation des risques
Étape 7 : Développer des stratégies de mitigation
Il est maintenant temps d’identifier et de développer des stratégies et des contrôles pour réduire ou éliminer les risques, en commençant par les plus critiques et ceux dont la mitigation est la plus simple.
Il existe principalement quatre techniques de gestion des risques :
- Transfert du risque : faire gérer le risque par un tiers, comme une assurance ou une sous-traitance.
- Élimination du risque : supprimer une machine ou un service pour éliminer le risque, si possible.
- Acceptation du risque : si le coût de la mitigation est supérieur à celui du dommage potentiel, accepter le risque. Attention, cela doit être justifié et ne s’applique pas aux risques pour des vies humaines.
- Mitigation du risque : réduire la probabilité d’occurrence, par exemple en construisant des clusters de serveurs.
Étape 8 : Développer des mesures de contrôle
Il est crucial de mettre en place des mesures de contrôle et de mitigation pour maintenir les risques à un niveau acceptable.
Cela implique d’investir dans l’actualisation des politiques et des procédures, l’amélioration de la technologie, et surtout, la formation du personnel technique et la sensibilisation de tout le personnel.
Étape 9 : Maintenir le modèle
Enfin, il faut établir un processus continu de surveillance et de révision des risques pour garantir que les mesures restent à jour.
Il est inutile de définir une politique de gestion des risques si elle n’est pas maintenue, car les menaces évoluent constamment.
Des évaluations périodiques des risques, la veille des nouvelles menaces, et l’ajustement des réponses aux menaces sont essentiels pour maintenir le modèle à jour.
Conclusion
Dans cet article, nous avons exploré comment évaluer les risques et les menaces dans une PME, en suivant une méthode en neuf étapes qui simplifie l’implémentation et le maintien de la gestion des risques.
Ces étapes vous aideront à identifier, évaluer et gérer efficacement les risques qui pourraient affecter les opérations de votre PME ou de votre organisation, protégeant ainsi vos actifs et garantissant la continuité de vos activités.
Pour plus d’articles sur les risques et la continuité des activités, nous vous recommandons de consulter :