5 choses que vous devez savoir sur l'évaluation des risques informatiques

Avec les menaces sur les données sensibles qui augmentent en nombre et en sophistication chaque jour, les organisations ne peuvent pas se permettre une approche désordonnée de la sécurité. Au lieu de cela, elles doivent concentrer leurs budgets et ressources informatiques limités sur les vulnérabilités spécifiques de leur posture de sécurité unique. Pour ce faire, elles doivent identifier, analyser et prioriser les risques pour la confidentialité, l'intégrité ou la disponibilité de leurs données ou systèmes d'information, en fonction à la fois de la probabilité de l'événement et du niveau d'impact que cela aurait sur l'entreprise.

Ce processus est appelé évaluation des risques informatiques. Dans cet article, nous révélerons les cinq choses les plus importantes à savoir sur l'évaluation des risques de sécurité informatique et sa mise en œuvre dans votre environnement informatique.

1. L'évaluation des risques informatiques devrait être la base de votre stratégie de sécurité informatique

Tout d'abord, nous devons différencier l'évaluation des risques et la gestion des risques. Bien que les deux soient des ingrédients essentiels pour un écosystème de sécurité informatique solide, ils ne sont pas identiques. En réalité, la gestion des risques fait partie de l'évaluation des risques, offrant un contrôle sur les risques commerciaux, opérationnels, de sécurité de l'information et autres. L'évaluation des risques informatiques implique la tâche beaucoup plus large de comprendre les paysages de risque internes et externes pour une approche globale et organisationnelle de la sécurité.

En d'autres termes, l'évaluation des risques de sécurité informatique vous aide à comprendre quels événements peuvent affecter votre organisation de manière négative et quelles lacunes de sécurité représentent une menace pour vos informations critiques, afin que vous puissiez prendre de meilleures décisions de sécurité et adopter des mesures proactives plus intelligentes. Par exemple, en révélant une structure de privilèges organisée de manière chaotique, des comptes d'utilisateurs cachés ou des droits administratifs emmêlés, l'évaluation des risques vous aide à prendre les mesures appropriées de gestion des risques pour minimiser le risque d'abus de privilèges ou de vol de données avant qu'il ne soit trop tard.

2. L'évaluation des risques informatiques est requise par de nombreuses réglementations de conformité

L'utilisation de l'évaluation des risques pour la sécurité de l'information n'est qu'une partie de l'ensemble. L'évaluation des risques de sécurité de l'information est également l'une des principales exigences de nombreuses normes de conformité. Par exemple, si votre organisation doit se conformer à la HIPAA ou pourrait faire l'objet d'audits GDPR à partir de mai 2018, alors l'évaluation des risques de sécurité de l'information est indispensable pour votre organisation afin de minimiser le risque de non-conformité et d'amendes élevées.

Bien que les réglementations ne fournissent pas d'instructions spécifiques sur la manière dont les organisations doivent contrôler et protéger leurs systèmes informatiques, elles exigent que les organisations sécurisent ces systèmes et fournissent aux auditeurs des preuves que les contrôles de sécurité requis sont en place et pour réduire les data security risks.

3. Adopter un cadre approprié facilite le démarrage de l'évaluation des risques informatiques

Un cadre d'évaluation des risques de sécurité informatique est un ensemble de règles qui définissent :

• Ce qui doit être évalué
• Qui doit être impliqué dans les procédures d'évaluation des risques
• Quelles menaces une organisation rencontre
• Comment ces risques identifiés seront analysés et priorisés
• Comment le risque sera calculé en fonction de la probabilité et de l'impact
• Quelle documentation doit être collectée et produite à la suite de l'évaluation

Il est évident que ces règles seront différentes pour chaque organisation, en fonction de ses besoins et objectifs, de sa taille, de la complexité et de la maturité de ses processus commerciaux, des types de données impliquées, de la taille du département informatique, des contrôles de sécurité en place, des exigences industrielles applicables, et plus encore.

Cependant, il n'est pas nécessaire de créer votre cadre d'évaluation des risques de sécurité de l'information à partir de zéro. Au lieu de cela, vous pouvez adopter et adapter l'un de ces cadres de risque couramment utilisés :

• Évaluation opérationnellement critique des menaces, des actifs et des vulnérabilités (OCTAVE) conçue par l'Université Carnegie Melon
• Le cadre d'évaluation des risques du NIST, tel que documenté dans la publication spéciale SP 800-30
• ISO/IEC 27001:2013

Notez que toutes ces normes exigent des organisations qu'elles documentent leurs processus d'évaluation des risques de sécurité de l'information afin qu'elles puissent fournir des preuves que toutes les procédures de sécurité des données requises sont suivies avec diligence.

4. L'évaluation des risques informatiques doit être un processus continu

Les systèmes de sécurité sont comme des voitures de course haute performance — ils doivent être constamment entretenus, mis à jour et réglés. L'évaluation des risques n'est pas un événement ponctuel qui fournit des informations permanentes et définitives pour que les décideurs puissent informer leurs réponses aux risques de sécurité de l'information. Au lieu de cela, parce que l'environnement informatique et le paysage des risques changent constamment, l'évaluation des risques doit se produire de manière continue tout au long du cycle de vie du développement du système, de la planification du système à l'acquisition et à l'utilisation jusqu'à la mise hors service du système.

De plus, l'évaluation des risques doit être effectuée assez fréquemment pour identifier les failles de sécurité potentielles qui peuvent apparaître rapidement, telles que la prolifération des privilèges, les comptes inactifs et les comptes administratifs avec des paramètres de mot de passe inappropriés qui mettent en péril les données sensibles et les systèmes.

5. L'évaluation des risques informatiques implique trois étapes

Le processus d'évaluation des risques peut être grossièrement divisé en trois étapes :

• Identification des risques — Déterminez les vulnérabilités dans les systèmes d'information et l'environnement informatique plus large, telles que les permissions d'accès excessives ou l'imbrication complexe de groupes, qui pourraient entraîner des dommages si elles ne sont pas prises en charge à temps.
• Estimation des risques — Évaluez la probabilité qu'un événement risqué se produise en analysant la probabilité qu'une menace donnée soit capable d'exploiter une vulnérabilité donnée.
• Priorisation des risques — Classez les risques en fonction de l'estimation du risque combinée au niveau d'impact que cela causerait si cela se produisait. Prenez en compte l'impact sur l'entreprise de la divulgation, de la modification ou de la destruction non autorisées d'informations, ou de la perte de disponibilité du système d'information. Accordez la priorité aux menaces ayant la plus haute probabilité et impact en premier.

L'évaluation des risques informatiques est essentielle à la protection des données et à la continuité des activités, et elle doit être réalisée périodiquement afin de détecter de nouveaux risques et d'améliorer les stratégies de sécurité. Si votre évaluation des risques n'est pas à jour, vos stratégies le sont également — c'est aussi simple que cela.

Découvrez quels premiers pas vers une évaluation efficace des risques vous pouvez entreprendre dès maintenant. Pour apprendre certaines des meilleures pratiques pour établir un processus continu d'évaluation et d'atténuation des risques, regardez ce webinaire sur l'évaluation des risques informatiques enregistré.

Utilisez-vous l'évaluation des risques informatiques dans votre environnement informatique ? Quels outils utilisez-vous ?