Gestion des risques

En quelques mots

Une entreprise qui veut se protéger va essayer de traiter les risques (menace – vulnérabilité – impact) auxquels elle est confrontée. Pour ce faire l’entreprise peut procéder de plusieurs façons plus ou moins formelles:

• processus formel de gestion des risques, en partant des actifs importants et vitaux de l’entreprise
• application des bonnes pratiques pour les différents types d’actifs sans pour autant procéder à une analyse de risques formelle
• analyse des menaces les plus répandues pour certains types d’actifs et application des mesures appropriées
• analyse des impacts les plus redoutés et application des mesures nécessaires pour les prévenir
• analyse des vulnérabilités les plus facilement exploitables et mise en place des mesures pour les réduire

Il est toujours recommandé de procéder via l’approche formelle de gestion des risques. Mais vu que cette approche est assez complexe, une entreprise peut aussi bien envisager de procéder via une méthode moins formelle, plutôt basée sur des “quick wins” respectivement des expériences ou bonnes pratiques.

En tant que traitement du risque, une entreprise a généralement les options suivantes:

• réduction du risque en appliquant des mesures
• évitement du risque en cessant le processus en question
• transfert du risque vers une autre entité (externalisation)
• maintien du risque (aucun traitement n’est économiquement souhaitable)

Approche par gestion des risques

La gestion des risques est la meilleure façon de traiter les risques. Cette approche est malheureusement, sans bons outils, hors de portée de la plupart des organisation, pour des raisons de coût et de complexité. Avant d’entamer ce chemin d’excellence, de nombreuses entreprises préféreront choisir une approche plus pragmatique.

Approche par bonnes pratiques

Une entreprise, qui se décide à ne pas procéder à la méthode par gestion des risques peut tout de même atteindre un haut niveau de sécurité si elle adopte les bonnes pratiques liées aux différents types d’actifs. Cette approche n’est cependant pas suffisante si l’entreprise a des besoins très spécifiques en termes de sécurité.

De plus, elle peut être pénalisante au niveau des coûts pour des entreprises avec un besoin de sécurité faible, car elle propose la mise en place de bonnes pratiques, sans tenir compte des vrais besoins de l’entreprise.

L’adoption des bonnes pratiques dans les domaines suivants est préconisée:

• bonnes pratiques liées à la protection des données de l’entreprise; la façon de les classifier, la sauvegarde, le transfert, le transport ainsi que la destruction définitive
• bonnes pratiques liées à la protection des machines de l’entreprise; ordinateurs, ordinateurs portable, serveurs fichiers, serveurs mail, serveurs web
• bonnes pratiques liées à la protection des réseaux; réseaux fixes, réseaux wifi, télétravail
• bonnes pratiques liées à la sensibilisation et la formations des employés et/ou clients
• bonnes pratiques liées à l’organisation de la sécurité
• bonnes pratiques liées à la sécurité physique
• bonnes pratiques liées aux réseaux sociaux
• bonnes pratiques liées aux voyages de service

The adoption of best practices in the following fields is also advisable:

• bonnes pratiques: courriers électronique
• bonnes pratiques: logiciels malveillants
• bonnes pratiques: e-banking e-commerce
• Checklist sécurité pour les applications web en PHP

Approches non-exhaustives

Pour traiter les risques, une entreprise peut donc décider de mettre en place un processus de gestion des risques respectivement implémenter les bonnes pratiques pour les différents types d’actifs. Chaque entreprise peut, parallèlement à ces approches plus ou moins exhaustives qui se concentrent toutes sur la protection des différents actifs importants et vitaux de l’entreprise, entamer une réflexion en partant des menaces et vulnérabilités. Cette approche n’est pas exhaustive et ne doit pas être considérée comme suffisante puisqu’elle ne se concentre pas sur les actifs importants ou vitaux de l’entreprise.

Analyse des menaces

L’analyse des menaces peut être considérée comme une approche optionnelle qui autorise à analyser de façon plus détaillée certaines menaces, respectivement de vérifier si l’on n’a oublié aucune menace dans l’approche gestion des risques respectivement dans l’approche basée sur les bonnes pratiques.

Voir: Check list des mesures de sécurité pour PME

• L’infrastructure face aux menaces
• Le logiciel face aux menaces
• Le matériel face aux menaces
• Les ressources humaines face aux menaces
• Le côté légal

Les menaces les plus répandues sont:

• logiciels malveillants
• sites malicieux
• ingénierie sociale
• phishing
• vol
• pannes

Analyse des vulnérabilités

L’analyse des vulnerabilités n’est rien d’autre qu’une démarche optionelle, parallèle au traitement des risques par la mise en place d’un processus de gestion des risques respectivement par l’implémentation des bonnes pratiques.

Sans trop aller dans le détail, on peut lister quatre types de vulnérabilités qu’il faut adresser. En mettant en place des mesures de sécurité, on vise à réduire ces vulnérabilités et donc à réduire les risques.

• Les vulnérabilités humaines
  La peur, la curiosité, la libido, la cupidité, la pitié sont des exemples de vulnérabilités humaines. Ces vulnérabilités sont facilement exploitables sur des personnes non avisées ou non sensibilisées.

• les vulnérabilités organisationnelles
  Sans bonne organisation, les mesures de sécurité ne pourront pas être efficaces ou efficientes. Il est nécessaire de mettre en place une charte ou même une politique de sécurité.

• les vulnérabilités techniques
  Nombreuses sont les vulnérabilités techniques. Erreurs dans le système d’exploitation, les logiciels, règles firewall manquantes ou erronées, … Il est nécessaire de mettre en place des mesures de sécurité palliant ces vulnérabilités techniques.

• les vulnérabilités physiques
  Au niveau de la sécurité physique, de nombreuses entreprises ont de nombreuses défaillances, qu’il est important d’éliminer.