Ce guide met en lumière les particularités de l’analyse des risques et son importance cruciale. Qu’est-ce qui différencie l’analyse des risques de l’évaluation des dangers ? Pourquoi est-il essentiel de mener une analyse approfondie face aux risques numériques ? Quelles étapes suivre et quelles méthodes privilégier pour garantir une approche efficace ? Découvrez toutes les réponses dans ce guide complet.
Qu’est-ce que le risque cyber ?
Le concept de risque est fréquemment abordé dans les discussions courantes, bien qu’il soit souvent confondu avec les notions de danger et de menace. Pourtant, ces termes se distinguent par des aspects fondamentaux. Si le langage courant tolère une certaine flexibilité et des interprétations variées, il est étonnant de constater que même les normes et standards dédiés à la gestion des risques proposent des définitions parfois divergentes :
- ISO 31000/27005 : l’effet de l’incertitude sur l’atteinte des objectifs.
- NIST : la probabilité qu’une source de menace […] exploite une vulnérabilité dans un système d’information.
- ISACA : le risque métier lié à l’utilisation, la gestion, l’influence ou l’adoption des technologies au sein d’une entreprise.
- EBIOS : le risque est défini comme « un scénario combinant un événement redouté […] et un ou plusieurs scénarios de menace ».
Ces définitions variées posent une question centrale : comment analyser efficacement un concept dont les contours mêmes manquent de clarté ?
Différences entre risque et danger ?
Le terme « danger » fait référence à la capacité inhérente d'un équipement ou d'une action à causer un dommage. Dans le contexte de la cybersécurité, les virus informatiques illustrent parfaitement ce concept, représentant un danger intrinsèque pour les systèmes d’information des organisations.
En revanche, le concept de « risque » correspond aux conséquences potentielles pour une organisation lorsqu'elle est exposée à un danger. Le risque est évalué en fonction de la probabilité qu'un incident survienne et de la gravité des conséquences sur les actifs stratégiques de l'organisation. Sans dommage, il n’y a pas de risque. Si aucun actif précieux n'est impacté par la concrétisation d'un danger, alors aucun risque ne peut être identifié. Par exemple, cliquer sur un lien suspect dans un email expose une organisation au danger des emails de phishing. Toutefois, si ce clic résulte en l’installation d’un malware qui perturbe les activités internes ou compromet des données sensibles, cela devient un risque tangible et mesurable.
Les facteurs de risque cyber
Les vulnérabilités en matière de cybersécurité sont souvent cachées dans des pratiques quotidiennes qui peuvent sembler anodines, mais qui exposent les organisations à des menaces significatives :
- l’utilisation d’ordinateurs, notamment portables, pour effectuer des transferts financiers ou gérer des comptes bancaires d’entreprise, particulièrement lorsqu’ils sont utilisés en déplacement ;
- le recours à des accès distants au système informatique, comme dans le cadre du télétravail, sans mesures de sécurité adaptées ;
- une gestion des mots de passe insuffisamment rigoureuse ou sécurisée ;
- l’installation des activités dans des bâtiments dépourvus de dispositifs efficaces de contrôle d’accès ;
- l’utilisation de pratiques BYOD (« Bring Your Own Device » ou « Apportez Votre Équipement Personnel ») sans cadre ni supervision adéquats ;
- une politique de cybersécurité obsolète ou rarement mise à jour.
Aujourd’hui, les défis liés à la cybersécurité dépassent largement la simple protection des systèmes d’information. La transformation numérique des activités exige une gestion globale et transversale des risques informatiques. Les entreprises doivent désormais adopter une approche holistique face à ces menaces, qui impactent directement leurs opérations dans leur ensemble.
Analyser les risques et évaluer l’appétence au risque de l’organisation impliquent de mobiliser un large éventail d’acteurs clés :
- la direction générale et le conseil d’administration ;
- les responsables des différentes directions métiers ;
- les parties prenantes impliquées dans la chaîne de valeur.
Le risque numérique se positionne comme une problématique stratégique, juridique et économique. Il est désormais essentiel pour les entreprises de l’intégrer pleinement dans leurs priorités de gouvernance.
En quoi ça consiste une analyse des risques ?
L’analyse des risques constitue une étape fondamentale dans toute démarche structurée de gestion des risques. Ce processus de gestion se décline en plusieurs phases, parmi lesquelles l’analyse des risques occupe une place prioritaire. Cette étape vise à identifier, décrire et évaluer les risques de manière méthodique. Conformément aux normes ISO, elle représente le socle de l’évaluation des risques, en permettant leur catégorisation et en orientant les décisions concernant les activités de traitement des risques.
Les cadres de référence tels qu’ISO 27005 ou le NIST s’accordent sur le fait que l’analyse des risques inclut également les activités suivantes :
- recenser le cadre réglementaire applicable aux activités numériques de l’entreprise. Certains secteurs, tels que le domaine médical, le nucléaire, les finances ou les transports, sont soumis à des exigences spécifiques en la matière ;
- identifier les services, fonctions supports, missions, ainsi que les offres de l’entreprise participant à la création de chaînes de valeur ;
- établir les liens entre ces chaînes de valeur et les services informatiques qui en soutiennent la réalisation ;
- cartographier l’écosystème de l’« entreprise étendue », incluant l’entreprise elle-même ainsi que l’ensemble de sa chaîne globale de production ;
- évaluer l’efficacité des mesures existantes pour prévenir les scénarios identifiés.
L’analyse des risques est-elle importante ?
L’analyse des risques numériques constitue une étape essentielle pour identifier les menaces, évaluer le niveau de sécurité et définir les mesures de mitigation nécessaires afin de renforcer la protection de l’organisation. Cette démarche s’inscrit dans un processus structuré d’aide à la décision, applicable à de nombreux cas pratiques, notamment :
- Optimiser et allouer de manière précise votre budget de sécurité de l’information.
- Sélectionner la solution de réduction des risques offrant le meilleur retour sur investissement.
- Présenter les risques sous une perspective financière à la direction et au conseil d’administration.
- Analyser l’exposition aux cyber-risques liés aux tiers dans un contexte métier.
- Négocier une police d’assurance cyber adaptée et optimisée.
- Simplifier la mise en conformité réglementaire des organisations.
Comment analyser les risques en cybersécurité ?
Les méthodes d’analyse de risques sont nombreuses. Chaque entreprise y puise ce qui lui semble correspondre à ses habitudes, à ses objectifs stratégiques et aux besoins de sa sécurité informatique.
La méthode ISO 27005
La méthode ISO 27005 figure parmi les plus largement adoptées en Europe. Directement inspirée de la norme ISO 31000, qui couvre la gestion des risques tous secteurs confondus, elle se concentre spécifiquement sur l’analyse des risques liés aux systèmes d’information.
Selon les normes ISO (notamment 31000 et 27005), l’analyse des risques constitue la deuxième des trois étapes essentielles du processus d’évaluation (assessment) des risques.
La première étape, l’identification des risques, consiste à recenser les scénarios susceptibles d’entraîner une perte, tout en analysant comment, où et pourquoi ces situations pourraient survenir. ISO souligne que cet inventaire doit inclure tout type de risque, qu’il soit ou non directement sous le contrôle de l’organisation.
Lors de la phase d’analyse, l’objectif est d’évaluer le niveau de risque en estimant la probabilité ou vraisemblance de survenue de chaque scénario, ainsi que l’ampleur de ses conséquences. ISO précise que cette évaluation peut être réalisée selon une approche qualitative ou quantitative.
Enfin, la troisième étape consiste à exploiter cette compréhension approfondie des risques pour prendre des décisions stratégiques concernant leur traitement.
Les méthodes du National Institute of Standards and Technology
Le NIST a élaboré un guide d’analyse des risques intitulé Guide for Conducting Risk Assessments, basé sur le NIST Cybersecurity Framework. Ce dernier s’appuie largement sur des méthodes nominales et ordinales d’analyse des risques, notamment les traditionnelles cartographies colorées. Toutefois, comme mentionné précédemment, ces approches peuvent être sujettes à des biais cognitifs.
Étapes à suivre pour une bonne analyse des risques en cybersécurité
Quelle que soit la méthode de gestion des risques qui a votre préférence, l’analyse des risques devrait peu ou prou respecter le même déroulement.
Les 3 premières étapes de l'analyse du risque
- Identifier les risques nécessite une connaissance approfondie de l’environnement organisationnel dans son ensemble. L’objectif principal est de définir les éléments liés aux activités et aux actifs jugés critiques pour l’entreprise. Ces actifs et processus sont qualifiés de "critiques" en raison de leur impact direct sur les objectifs stratégiques, le fonctionnement quotidien, la santé financière, la conformité juridique ou la protection des données sensibles de l’organisation.
- La deuxième étape consiste à définir les principaux scénarios de risques, c’est-à-dire des événements susceptibles d’affecter un actif critique, avec des conséquences mesurables. Le choix de la méthode et de l’approche adoptée (qu’elle soit qualitative ou quantitative) joue un rôle essentiel dans la précision, la pertinence et l’objectivité des évaluations réalisées. Ces décisions influencent directement la fiabilité et la valeur des résultats finaux de l’analyse.
- L’évaluation des risques est réalisée en fonction de la méthodologie de gestion des risques que vous avez choisie. Lorsque des échelles nominales sont utilisées, il est important de noter qu’elles présentent souvent des limites, comme le souligne la norme ISO 27005 dans sa section 8.3.
L’évaluation du risque cyber : un parti pris méthodologique
4. L’évaluation des risques, en dernier lieu, ne figure pas systématiquement dans l’analyse des risques. Ici encore, les pratiques divergent en fonction de la méthode adoptée. L’évaluation consiste, dans tous les cas, à déterminer les critères permettant de comparer les risques entre eux. Ces critères peuvent être de nature subjective, tels que ceux associés aux préoccupations des investisseurs. Ils peuvent également être quantitatifs, à l’instar des pertes financières potentielles engendrées par un risque.
Pour évaluer le coût d'une cyberattaque, l'estimation financière intègre les éléments suivants :
- les obligations contractuelles de l’entreprise envers ses parties prenantes ;
- la réglementation en vigueur ainsi que les sanctions applicables en cas de non-conformité à ce cadre juridique ;
- l’interruption des systèmes informatiques et la durée nécessaire à la reprise des activités ;
- les pertes liées à l’exploitation et à la production ;
- les pertes résultant de la disparition de données confidentielles ou essentielles au fonctionnement de l’entreprise.
L’évaluation des risques constitue une étape clé, permettant d’orienter les décisions relatives aux mesures de traitement des risques à envisager.