lucadp - stock.adobe.com
Cybersécurité : passer à une approche basée sur les risques
La cybersécurité n’est finalement qu’un risque parmi d’autres qui planent sur l’activité et l’avenir d’une entreprise. Elle a certes certaines spécificités. Mais adopter une approche centrée sur les risques peut aider à entretenir un dialogue constructif au plus haut niveau de la hiérarchie.
« L’analyse de risque est essentielle, parce que sans elle, on parle quand même un peu dans le vide ». Et surtout, cela recouvre un risque numérique qui « doit être perçu comme un risque à part entière ». C’est le principal message que Guillaume Poupard, alors directeur général de l’Agence nationale pour la sécurité des systèmes d’information (Anssi), a tenu à faire passer en ouverture de l’édition 2018 des Assises de la sécurité.
C’était l’occasion de dévoiler Ebios Risk Manager, une version « modernisée » de la méthode d’analyse de risque de l’Agence, codéveloppée avec le Clusif et le club Ebios. Mise à jour en 2024, elle s’appuie sur une démarche itérative articulée autour de cinq ateliers recouvrant des cycles opérationnels et stratégiques. Ensemble, ces ateliers offrent une approche pragmatique et complète des risques, depuis leur identification jusqu’à la définition de leur traitement, en passant par l’examen de la gravité des impacts et de la vraisemblance des scénarios afférents.
Plus récemment, lors de l’édition 2025 de Ready for IT, Nadège Reynaud, directrice cybersécurité de STET (un fournisseur de services de paiement pour les banques), soulignait faire depuis « une vingtaine d’années […] de la gestion des risques, et EBIOS, c’est très bien, mais ce n’est pas vendeur auprès d’une direction. Pour moi, il faut vraiment se rapprocher des risques d’entreprise, sortir de son bureau de CISO pour aller chercher les risques qui pèsent sur la valeur de l’entreprise ».
Cette approche permet de sortir de la question plus ou moins stérile, mais récurrente du ROI de la cybersécurité. Car pour elle, le responsable de la sécurité doit identifier les machines d’un industriel, la clientèle pour un site marchand, ou la propriété intellectuelle qui compte le plus, qui font vivre l’entreprise, et chercher à estimer les coûts liés à leur perte : « la seule manière que l’on a d’évaluer ce que va coûter la perte de ces assets pour les entreprises, ce sont des estimations, des courbes. On peut s’appuyer sur les assureurs dans cette estimation ».
Pas question, donc, de s’échiner à chercher à établir un ROI : ce discours axé sur la valeur et les risques qui pèsent sur celle-ci est beaucoup plus crédible qu’une tentative de calcul de ROI, estime donc Nadège Reynaud.
Et c’est pourquoi nous avons choisir de consacrer ce numéro 32 de notre eZine sécurité à ce sujet.
Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)
-
![]()
IA : le guide des équipements serveur pour votre datacenter
Par: Yann Serra
-
![]()
Comment calculer le ROI de la cybersécurité pour le PDG et le conseil d’administration
Par: Jerald Murphy
-
![]()
DAF : comment augmenter le ROI de vos projets IA ?
Par: Philippe Ducellier
-
![]()
Ready for IT : quel ROI pour la cybersécurité ?
Par: Alain Clapaud
