Effectuez une analyse des risques

Votre analyse de risque peut être très simple ou très détaillée. Tout dépend de la taille de votre organisation, de la complexité des projets et de la sensibilité des données que vous traitez. Cependant, ne sous-estimez pas le travail que cela implique, car même si un projet semble simple, les risques associés peuvent être importants.

Il n'y a pas de corrélation entre la taille d'un projet et les risques qui y sont associés. Afin de vérifier l'exactitude et l'exhaustivité de votre analyse de risques, celle-ci doit être vérifiée par différentes personnes de votre organisation.

Pour arriver à ce plan, vous devez prioriser les mesures de sécurité nécessaires (en tenant compte de vos priorités métiers) qui doivent être établies afin d'avoir un plan d'action qui peut être approuvé par la direction.

Une évaluation des risques de sécurité de l'information est le processus d'identification et de priorisation des problèmes de sécurité. L'évaluation des risques sera souvent basée sur les actifs, les risques étant évalués par rapport à vos actifs informationnels.

Avant de pouvoir effectuer une évaluation des risques, nous devons choisir une méthodologie d'évaluation des risques. Il est essentiel de choisir la méthodologie appropriée pour votre organisation afin de définir les règles selon lesquelles vous effectuerez l'évaluation des risques.

La méthodologie doit aborder quatre questions: les critères de sécurité de base, l'échelle de risque, la propension au risque et une évaluation des risques basée sur des scénarios ou des actifs. Pour chaque actif que nous avons identifié précédemment et dont nous avons évalué la vulnérabilité et les menaces, nous attribuons des valeurs d'impact et de probabilité du risque en question.

Le résultat de l'évaluation des risques sera la base de notre plan de sécurité et nous aidera à hiérarchiser les mesures de sécurité que nous voulons mettre en œuvre.