Protégez vos biens les plus précieux

L'information est un bien précieux pour toute organisation. Il faut donc la protéger correctement. Pour ce faire, définissez quels sont vos biens les plus précieux, faites-en un inventaire et définissez les mesures prises ou à prendre afin de les protéger.

L’inventaire des actifs et l’analyse des risques :

  • identifier les actifs de l’information essentiels ;
  • gérer les risques pour définir les priorités  et mettre en place les mesures appropriées afin de diminuer les risques (en les mettant à un niveau acceptable) et impacts potentiels liés aux actifs sur les processus d’information.

L’analyse de risques en 6 points

Pour chaque actif essentiel, il est important de faire une analyse de risque. La section 3 du EU  RGPD (GDPR) préconise de réaliser une analyse de risques pour tout traitement à risques de données à caractère personnel.

  1. Etablissez le contexte de votre organisation.
    1. Quel est le contexte spécifique de votre organisation/secteur spécifique
    2. Quel est le niveau de risque acceptable pour votre organisation ?
  2. Modélisation du contexte.
    • Identification des actifs essentiels
      • Rassembler les informations, comme par exemple le flux du processus, les infrastructures, les bases de données, les brevets
      • Rassembler les contrats avec les parties tierces (fournisseurs, sous-traitants, It provider,cloud – toute parie externe qui gère pour votre organisation des infrastructures, applications ou bases de données
    • Identification des vulnérabilités, des menaces
      • Identifier les risques possibles au niveau de la confidentialité, l’intégrité, la disponibilité et l’authenticité des données.
      • Dans la littérature, on décrit généralement la notion de "risque" comme la possibilité ( “probabilité”) qu'une menace déterminée (profitant d’une vulnérabilité) se présente, avec pour conséquence un impact déterminé (“gravité”)
      • Un risque est souvent exprimé en termes de combinaison des conséquences d'un événement (incluant des changements de circonstances) et de sa vraisemblance
    • Effectuer une appréciation des impacts
      • processus de comparaison des résultats de l'analyse du risque avec les critères de risque afin de déterminer si le risque et/ou son importance sont acceptables ou tolérables
  3. Evaluation et traitements des risques
    • Identifier les mesures de sécurité organisationnelles, opérationnelles et techniques déjà en place pour sécuriser l’actif en question
    • Identifier les mesures de sécurité organisationnelles, opérationnelles et techniques supplémentaires pour renforcer la sécurité
    • Evaluer le niveau de risque résiduel. Est-il à un niveau acceptable pour votre organisation ?
    • En matière de gestion des risques, on peut faire une distinction entre le risque "inhérent" et le risque "résiduel". Le risque "inhérent" renvoie à la probabilité qu'un impact négatif se produise lorsqu'aucune mesure de protection n'est prise. Le risque "résiduel” renvoie au contraire à la probabilité qu'un impact négatif se produise, malgré les mesures qui sont prises pour influencer (limiter) le risque (inhérent). L’analyse du risque résiduel vous sera utile pour sélectionner et développer des actions/mesures à prendre.
  4. Implémentation des contrôles
  5. Monitoring : évaluer l’implémentation des mesures & des risques
  6. Enrichir l’analyse de risque avec des nouveaux actifs (itérer le point 1)

Votre analyse de risques est un élément dynamique qu’il faudra continuellement mettre à jour au vu des incidents, modifications du traitement, maintenance de l’outil, modification des actifs essentiels,..

Quelle méthode utiliser

Une approche d’analyse de risques peut se trouver dans la Méthode Optimisée d’analyse des risques Cases (Monarc). Une approche plus détaillée se retrouve aussi dans la norme ISO 27005 :2011.

Votre analyse de risques peut être très simple, comme elle peut être très détaillée…Tout dépend de la taille de votre organisation, de la complexité des projets et de la sensibilité des données que vous traitez. Ne sous-estimez pas le travail car même si un projet paraît simple, les risques liés peuvent être importants. Il n’y a donc pas de proportionnalité entre la taille du projet et les risques liés à ce projet. Afin de vérifier l’exactitude et l’exhaustivité de votre analyse de risques, faites-la vérifier par différentes personnes de votre organisation.

En règle générale, toute organisation est libre de choisir la méthodologie qu'elle souhaite utiliser, à condition que celle-ci réponde à un certain nombre de caractéristiques minimales de confidentialité et d'objectivité.

Le résultat de votre analyse de risques sera votre plan de sécurité. Pour ce faire, vous devrez fixer en priorité les mesures de sécurité à mettre en place afin d’avoir un plan d’implémentation à faire valider par la direction.