Magic Quadrant™ pour la gestion des accès privilégiés 2025 : Netwrix reconnue pour la quatrième année consécutive. Téléchargez le rapport.

Contactez-nousSupportCommunauté
English Español Italiano Français Deutsch Português
Plateforme
Solutions

Data Security Posture Management

Découvrez et classez les données dans des environnements hybrides. Évaluez, priorisez et atténuez les risques pour les données sensibles.

Directory Management

Simplifiez et sécurisez l'administration des annuaires en réduisant la complexité, les risques et les efforts manuels.

Endpoint Management

Sécurisez les points de terminaison et prévenez la perte de données tout en maintenant la productivité des équipes, peu importe où elles travaillent.

Identity Management

Sécurisez chaque identité, simplifiez chaque processus et restez en avance sur la conformité — sans ajouter de complexité.

Identity Threat Detection & Response

Restez en avance sur les menaces basées sur l'identité — remédiez proactivement aux risques, bloquez les attaques et assurez une récupération rapide.

Privileged Access Management

Réduisez votre surface d'attaque en supprimant les privilèges permanents, en sécurisant les identifiants et en surveillant les sessions privilégiées.
Produits vedettes Voir tous les produits
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La plateforme Netwrix 1Secure™

Explorez
Netwrix AI Environnements que nous protégeons Intégrations MSPs Risques de sécurité Active Directory Conformité Tarification
Centre de ressources Voir tout
BlogAttack CatalogConformitéTémoignages de clientsCadres de cybersécuritéGlossaire de la cybersécuritéÉvénementsFreewareGuidesIdeas PortalActualitésPodcastsPublicationsAnnonces de produitsRechercheWebinars
Asset not found

Témoignage client à la une

DXC Technology permet aux clients d'atteindre la conformité PCI DSS et de se concentrer sur des initiatives stratégiques
Partenaires
Programme PartenaireDevenez partenaireMSPsLocalisateur de partenairesWebinars
Asset not found

Histoire à la une d'un client

AppRiver améliore le contrôle sur Active Directory tout en réduisant considérablement le temps d'audit
Asset not found

Témoignage client à la une

Un MSP aide un client à se remettre d'un rançongiciel en 6 heures
Pourquoi Netwrix
À propos de nousLeadershipNetwrix AITémoignages clientsReconnaissanceActualitésCarrières
Asset not found

Histoire à la une d'un client

Horizon Leisure Centres accélère la classification des données pour se conformer au RGPD et économise 80 000 £ par an
Asset not found

Témoignage client à la une

L'Institut de R&D Samsung sécurise les données avec une utilisation multiplateforme et un déploiement rapide sur macOS grâce à Netwrix Endpoint Protector
Centre de ressourcesBlog
Exemple d'analyse des risques : Comment évaluer les risques

Exemple d'analyse des risques : Comment évaluer les risques

Apr 6, 2020

Les organisations sont confrontées à des risques sur plusieurs fronts, y compris la cybersécurité, la responsabilité, l'investissement et plus encore. L'analyse des risques, ou l'évaluation des risques, est la première étape du processus de gestion des risques. L'analyse des risques informatiques se concentre sur les risques que les menaces internes et externes posent à la disponibilité, la confidentialité et l'intégrité de vos données. Lors de l'analyse des risques, une entreprise identifie les risques et le niveau de conséquences, telles que les pertes potentielles pour l'entreprise, si un incident se produit.

Le processus d'analyse des risques implique de définir les actifs (systèmes informatiques et données) à risque, les menaces auxquelles chaque actif est confronté, la criticité de chaque menace et la vulnérabilité du système face à cette menace. Il est judicieux d'adopter une approche structurée et basée sur des projets pour l'analyse des risques, comme celles proposées dans le NIST SP 800-30 ou l'ISO/CEI 27005:2018 et 31010:2019.

L'analyse des risques est importante pour plusieurs raisons. Les professionnels de l'informatique qui sont responsables de l'atténuation des risques dans l'infrastructure ont souvent du mal à décider quels risques doivent être résolus dès que possible et lesquels peuvent être traités plus tard ; l'analyse des risques les aide à prioriser correctement. De plus, de nombreuses exigences réglementaires et de conformité incluent security risk assessment comme composant obligatoire.

Dans cet article, nous examinerons un exemple d'analyse des risques et décrirons les composants clés du processus d'analyse des risques informatiques.

Exemple d'analyse des risques

Les sections suivantes présentent les composants clés d'un document d'analyse des risques.

Introduction

Cette partie explique pourquoi et comment le processus d'évaluation a été géré. Elle comprend une description des systèmes examinés et précise l'attribution des responsabilités requises pour fournir et recueillir les informations et les analyser.

Objectif

Dans cette section, vous définissez l'objectif d'une évaluation détaillée d'un système informatique. Voici un exemple :

Selon l'évaluation annuelle des risques d'entreprise, < system name > a été identifié comme un système potentiellement à haut risque. L'objectif de l'évaluation des risques est d'identifier les menaces et les vulnérabilités liées à < system name > et de déterminer des plans pour atténuer ces risques.

Portée

Dans cette section, vous définissez le périmètre de l'évaluation du système informatique. Décrivez les composants du système, les utilisateurs et autres détails du système qui doivent être pris en compte dans l'évaluation des risques.

L'objectif de cette évaluation des risques est d'évaluer l'utilisation des ressources et des contrôles (mis en œuvre ou prévus) pour éliminer et/ou gérer les vulnérabilités exploitables par des menaces internes et externes à < system name >.

Description du système

Dressez la liste des systèmes, du matériel, des logiciels, des interfaces ou des données qui sont examinés et ceux qui sont hors du champ de l'évaluation. Cela est nécessaire pour analyser davantage les limites du système, les fonctions, la criticité et la sensibilité du système et des données. Voici un exemple :

< system name > se compose de < components, interfaces > qui traitent des données < sensibles / critiques / réglementées >. < system name > est situé < details on physical environment >. Le système fournit < core functions >.

Participants

Cette section comprend une liste des noms des participants et de leurs rôles. Elle doit inclure les propriétaires d'actifs, les équipes IT et de sécurité, ainsi que l'équipe d'évaluation des risques.

Approche d'évaluation

Cette section explique toute la méthodologie et les techniques utilisées pour l'évaluation des risques. Par exemple :

Le risque sera déterminé en fonction d'un événement menaçant, de la probabilité de survenue de cet événement, des vulnérabilités connues du système, des facteurs atténuants et de l'impact sur la mission de l'entreprise. La phase de collecte des données comprend l'identification et l'entretien du personnel clé de l'organisation et l'examen des documents. Les entretiens se concentreront sur l'environnement opérationnel. Les revues de documents fournissent à l'équipe d'évaluation des risques une base pour évaluer la conformité avec les politiques et procédures.

Identification et évaluation des risques

Voici le début de la partie centrale de l'évaluation du risque de sécurité de l'information où vous compilez les résultats de votre travail de terrain d'évaluation.

Contenu connexe sélectionné :

Inventaire des données

Identifiez et définissez tous les actifs précieux concernés : serveurs, données critiques, données réglementées ou autres données dont l'exposition aurait un impact majeur sur les opérations commerciales. Par exemple :

Type de données

Description

Niveau de sensibilité (Élevé, Modéré, Faible)

Informations personnellement identifiables
  • Nom
  • Adresse
  • Numéro de sécurité sociale
  • Numéro de carte de crédit

Élevé

Informations financières
  • Numéro de carte de crédit
  • Code de vérification
  • Date d'expiration
  • Référence d'autorisation
  • Référence de la transaction

Élevé

Utilisateurs du système

Décrivez qui utilise les systèmes, avec des détails sur l'emplacement de l'utilisateur et le niveau d'accès. Vous pouvez utiliser l'exemple ci-dessous :

Nom du système

Catégorie d'utilisateur

Niveau d'accès (Lecture, Écriture, Complet)

Nombre d'utilisateurs

Organisation à domicile

Emplacement géographique

<Nom de l'application commerciale>

Utilisateur régulier

Lecture/Écriture

10

ABC Group

Atlanta

Identification des menaces

Élaborez un catalogue de sources de menaces. Décrivez brièvement les risques susceptibles d'affecter négativement les opérations de l'organisation, des violations de sécurité et erreurs techniques aux erreurs humaines et défaillances d'infrastructure :

Source de menace

Action de menace

Cybercriminel
  • Défiguration de site web
  • Ingénierie sociale
  • Intrusions de système (effractions)
  • Vol d'identité

Initié malveillant
  • Navigation des informations personnellement identifiables
  • Accès non autorisé au système
  • Des actions accidentelles ou malavisées prises par les employés qui entraînent des dommages physiques non intentionnels, des perturbations du système ou des expositions

Employés
  • Maladie, décès, blessure ou autre perte d'une personne clé

Réputation
  • Perte de confiance de la part des employés
  • Dommages à la réputation de l'entreprise

Organisationnelle (planification, calendrier, estimation, contrôle, communication, logistique, ressources et budget)
  • Actions de licenciement et de réaffectation inappropriées des travailleurs

Actions juridiques et administratives
  • Sanctions réglementaires
  • Procédures pénales et civiles

Technique
  • Code malveillant (par exemple, virus)
  • Bogues du système
  • Échec d'un ordinateur, appareil, application ou technologie de protection ou contrôle qui perturbe les opérations ou expose le système à un préjudice

Environnemental
  • Catastrophes naturelles ou provoquées par l'homme

Identification des vulnérabilités

Évaluez quelles vulnérabilités et faiblesses pourraient permettre aux menaces de compromettre votre sécurité. Voici un exemple :

Vulnérabilité

Description

Faible force du mot de passe

Les mots de passe utilisés sont faibles. Les attaquants pourraient deviner le mot de passe d'un utilisateur pour accéder au système.

Manque de plan de reprise après sinistre

Il n'existe aucune procédure pour garantir le fonctionnement continu du système en cas d'interruption significative des activités ou de désastre.

Détermination des risques

Ici, vous évaluez la probabilité que les menaces et les vulnérabilités causent des dommages et l'étendue de ces conséquences.

Détermination de la probabilité de risque

Au cours de cette étape, concentrez-vous sur l'évaluation de la probabilité de risque — la chance qu'un risque se produise.

Niveau

Définition de la probabilité

Exemple

Élevé

La source de la menace est hautement motivée et suffisamment capable, et les contrôles pour empêcher l'exploitation de la vulnérabilité sont inefficaces.

Divulgation, modification ou destruction malveillante non autorisée d'informations

Modéré

La source de la menace est motivée ou capable, mais des contrôles sont en place qui peuvent entraver l'exercice réussi de la vulnérabilité.

Des erreurs et omissions non intentionnelles

Faible

La source de la menace manque de motivation ou de capacité, ou des contrôles sont en place pour prévenir, ou du moins entraver considérablement, l'exploitation de la vulnérabilité.

Perturbations informatiques dues à des catastrophes naturelles ou humaines

Analyse d'impact

Effectuez une analyse d'impact des risques pour comprendre les conséquences pour l'entreprise en cas d'incident. L'analyse des risques peut inclure des évaluations qualitatives des risques pour identifier ceux qui représentent le plus grand danger, tels que la perte de données, l'arrêt du système et les conséquences juridiques. L'évaluation quantitative des risques est facultative et est utilisée pour mesurer l'impact en termes financiers.

Incident

Conséquence

Impact

Divulgation non autorisée d'informations sensibles

La perte de confidentialité avec des dommages importants aux actifs organisationnels.

L'incident peut entraîner la perte coûteuse de principaux actifs ou ressources tangibles, et peut violer, nuire ou entraver de manière significative la mission, la réputation ou les intérêts de l'organisation.

Élevé

Perturbations informatiques dues à des modifications non autorisées du système

La perte de disponibilité ayant un effet néfaste sérieux sur les opérations organisationnelles.

L'organisation est capable d'exécuter ses fonctions principales, mais l'efficacité de ces fonctions est considérablement réduite.

Moyen

Des données non sensibles sont perdues à cause de modifications non autorisées des données ou du système

La perte d'intégrité ayant un effet limité sur les opérations organisationnelles, les actifs ou les individus.

L'organisation est capable d'effectuer ses fonctions principales, mais l'efficacité de ces fonctions est nettement réduite.

Faible

Évaluation du niveau de risque

Durant cette étape, les résultats de l'analyse des risques sont comparés aux critères d'évaluation des risques. Les résultats sont utilisés pour prioriser les risques selon le niveau de risque.

Niveau d'impact

Définition du niveau de risque

Élevé

Il existe un besoin impérieux de mesures correctives. Le système peut continuer à fonctionner, mais un plan d'action correctif doit être mis en place dès que possible.

Modéré

Des actions correctives sont nécessaires et un plan doit être élaboré pour intégrer ces actions dans un délai raisonnable.

Faible

Le propriétaire du système doit déterminer si des actions correctives sont toujours nécessaires ou décider d'accepter le risque.

Résultats de l'évaluation des risques

Dressez la liste des risques dans le tableau des résultats de l'évaluation des risques. Le rapport doit décrire les menaces et les vulnérabilités, mesurer le risque et fournir des recommandations pour la mise en œuvre des contrôles.

Menace

Vulnérabilités

Atténuation

Probabilité

Impact

Risque

Ouragan

Panne de courant

Installez des générateurs de secours

Modéré

Faible

Faible

Manque de plan de reprise après sinistre

Reprise après sinistre

Développez et testez un plan de reprise après sinistre

Modéré

Élevé

Modéré

Les utilisateurs non autorisés peuvent accéder au serveur et parcourir les fichiers sensibles de l'entreprise

Ouvrez l'accès au contenu sensible

Effectuez une surveillance et des tests de sécurité du système pour garantir une sécurité adéquate pour <server name>.

Modéré

Élevé

Modérer


Conclusion

L'analyse des risques vous permet de savoir quels risques sont votre priorité absolue. En examinant continuellement les domaines clés, tels que les autorisations, la politique, les données et les utilisateurs, vous pouvez déterminer quelles menaces représentent le plus grand risque pour votre écosystème informatique et ajuster les contrôles nécessaires pour améliorer la sécurité et la conformité.

Partager sur

En savoir plus

À propos de l'auteur

Asset Not Found

Ryan Brooks

En savoir plus sur ce sujet

Lois sur la confidentialité des données par État : Différentes approches de la protection de la vie privée

Le Triangle CIA et son application dans le monde réel

Qu'est-ce que la gestion des documents électroniques ?

Analyse quantitative des risques : Espérance de perte annuelle

Créez des utilisateurs AD en masse et envoyez leurs identifiants par e-mail à l'aide de PowerShell

Derniers blogs

Les cinq prochaines minutes de conformité : construire une sécurité des données axée sur l'identité à travers l'APAC

Gestion de la configuration pour un contrôle sécurisé des points de terminaison

Classification des données et DLP : Prévenir la perte de données, prouver la conformité

Conformité CMMC et le rôle crucial du contrôle de type MDM des clés USB dans la protection des CUI

DSPM, ASM et ITDR : Élaboration d'une stratégie de sécurité axée sur les données et consciente des expositions

Du bruit à l'action : transformer le risque des données en résultats mesurables

L'IA au travail : Vitesse, Risque et Pourquoi la Simplicité l'emporte

Lois sur la confidentialité des données par État : Différentes approches de la protection de la vie privée

Exemple d'analyse des risques : Comment évaluer les risques

Le Triangle CIA et son application dans le monde réel

Nos articles les plus populaires

Types courants d'appareils réseau et leurs fonctions

Comment exécuter un script PowerShell à partir du Planificateur de tâches

Comment installer et utiliser Active Directory Users and Computers (ADUC) ?

Téléchargez et installez PowerShell 7

Les cyberattaques les plus grandes et les plus notoires de l'histoire

Commandes PowerShell essentielles : Une feuille de triche pour les débutants

Un aperçu de l'attaque cybernétique MGM

Extraction des hachages de mot de passe du fichier Ntds.dit

Guide pour monter des partages Unix avec un client NFS Windows

Comment les ports ouverts insécurisés et vulnérables posent de sérieux risques de sécurité