Mettre en œuvre une stratégie de sécurité basée sur les risques en 5 étapes

Qu’est-ce que la sécurité fondée sur les risques ?

Les praticiens de la sécurité savent que le risque est fonction de deux facteurs :

1. Impact. La gravité d’un résultat donné.
2. Probabilité. La probabilité que ce résultat survienne.

Un programme de sécurité fondé sur les risques tient compte de ces deux éléments dans son champ d’application et sa planification : des décisions de contrôle et de la gouvernance à la gestion du programme et aux choix budgétaires – et tout ce qui se trouve entre les deux.

À première vue, la prise en compte des risques dans un programme de sécurité semble évidente. Dans la pratique, c’est rarement l’approche par défaut. De nombreuses organisations élaborent leurs programmes de sécurité en s’alignant sur des ensembles de contrôles spécifiques plutôt que sur les conditions de risque réelles. De par leur conception, les cadres de conformité se concentrent sur l’existence de certains contrôles plutôt que sur leur justification, leur efficacité ou leur adéquation avec les circonstances réelles.

L’approche fondée sur les risques n’est souvent pas la solution par défaut, car elle nécessite davantage d’informations et de planification que le simple fait de se concentrer sur un catalogue de contrôles. Au minimum, il faut connaître les éléments suivants :

• Menaces. Comprendre qui pourrait attaquer l’organisation, ses motivations et la manière dont il pourrait le faire.
• Vulnérabilités. Comprendre la fragilité de l’environnement, des systèmes d’information aux technologies opérationnelles.
• Actifs. Comprendre comment les actifs supportent l’entreprise afin d’évaluer précisément l’impact.
• Criticité relative. Comprendre quels sont les actifs critiques.
• Appétence pour le risque. Comprendre ce que l’organisation considère comme une tolérance au risque acceptable.

De nombreuses organisations ne disposent pas de ces informations. Ou, si elles en disposent, elles ne les connaissent qu’au niveau le plus élémentaire. L’obtention de ces informations n’est que la première étape. Elles doivent ensuite être analysées de manière systématique pour permettre une prise de décision efficace.

Bien que difficile, cette démarche présente des avantages considérables :

• La prise en compte des résultats en matière de sécurité permet aux organisations de définir des objectifs pratiques et réalistes qui soutiennent la mission de l’organisation.
• La comptabilisation de l’utilisation des ressources permet d’améliorer l’efficacité des investissements et de l’utilisation du budget.
• La prise en compte des menaces et des vulnérabilités permet de mieux prévenir les cyberattaques et les violations de données et de prendre conscience que la non-conformité constitue également un risque.

Un programme de sécurité basé sur les risques demande du travail, mais n’est pas nécessairement difficile à mettre en place. La mise en œuvre d’un programme de sécurité fondé sur les risques comporte cinq étapes clés qui nécessitent un investissement en temps plus important au départ, mais dont les bénéfices – en termes d’économies de temps et d’argent – les compensent largement à long terme.

Étape 1. Évaluation des actifs

La première étape consiste à comprendre la valeur des actifs de l’organisation. Pour ce faire, les praticiens doivent savoir deux choses :

1. Quels sont les actifs existants. Il s’agit de tenir un inventaire complet, précis et à jour de tous les actifs, y compris les actifs technologiques et les données.
2. La valeur de ces actifs. Il s’agit de comprendre l’importance des actifs pour l’organisation, et pas seulement leur coût de remplacement. Les criticités des processus que les actifs supportent ne sont pas toujours équivalentes. Pour comprendre la valeur, il faut évaluer les actifs en tenant compte des utilisateurs, des processus opérationnels qu’ils supportent, des coûts de remplacement, de l’impact opérationnel et commercial des temps d’arrêt, etc.

Il existe un chevauchement important entre la compréhension de la criticité des actifs pour l’évaluation des risques et celle pour la continuité des activités. En fait, une technique productive consiste à combiner les phases de découverte et d’inventaire des actifs de l’évaluation des risques avec les évaluations de l’impact sur l’activité, tout comme les équipes peuvent le faire pour la planification de la continuité de l’activité.

Étape 2. Identifier les menaces

Outre la compréhension des actifs, les praticiens doivent également savoir comment ces actifs peuvent être attaqués. Cela signifie qu’il faut savoir qui – ou quoi – peut perturber, impacter ou compromettre ces actifs.

Identifier les personnes susceptibles de vouloir voler ou endommager les actifs, ainsi que les raisons et la manière dont elles pourraient le faire. Il peut s’agir de concurrents, de nations hostiles, d’employés ou de clients mécontents, de terroristes et d’activistes, ainsi que de menaces non hostiles, telles que des employés mal formés ou négligents. Pensez également à la menace de catastrophes naturelles, telles que les inondations, les incendies et les tornades. Enfin, tenez compte des situations non environnementales et non intentionnelles, telles que les pandémies ou les bouleversements géopolitiques.

Attribuer à chaque menace identifiée un niveau de menace en fonction de sa probabilité d’occurrence. Pour ce faire, les équipes commerciales doivent contribuer à l’évaluation des menaces par l’équipe de sécurité en y ajoutant des connaissances spécifiques au secteur. Envisager d’intégrer des données supplémentaires, telles que des renseignements commerciaux sur les menaces ou d’autres informations sur le paysage des menaces.

Étape 3. Identifier les vulnérabilités

Une vulnérabilité est une faiblesse qui peut être exploitée pour voler, endommager ou affecter négativement des biens clés. Pour qu’un résultat de sécurité indésirable se produise, les praticiens ont besoin de deux choses : un acteur – par exemple, un pirate informatique, une catastrophe naturelle, etc. – et un moyen pour cet acteur d’affecter l’entreprise. Comme ces deux éléments doivent être présents pour qu’un résultat indésirable se produise, les praticiens doivent les analyser tous les deux.

Au cours de cette étape, il s’agit d’identifier les vulnérabilités de l’environnement de l’entreprise. Cela permet aux praticiens d’évaluer les menaces les plus pertinentes pour l’entreprise et de sélectionner les contrôles optimaux pour atténuer ces menaces spécifiques. Envisagez d’utiliser les outils suivants :

• Tests d’intrusion et outils d’analyse des vulnérabilités pour identifier les vulnérabilités des logiciels et des réseaux.
• Modélisation de la menace pour cartographier les problèmes d’implémentation.
• Outils de gestion de la configuration ou des correctifs pour trouver les systèmes non corrigés ou en fin de vie.

En outre, il faut tenir compte des vulnérabilités physiques. Les périmètres sont-ils sécurisés et font-ils l’objet de patrouilles ? Les extincteurs sont-ils régulièrement vérifiés ? Les générateurs de secours sont-ils testés ? Tenez également compte des vulnérabilités associées aux employés, aux sous-traitants et aux fournisseurs, y compris leur vulnérabilité aux attaques d’ingénierie sociale. Une fois encore, collaborez avec les équipes métiers pour trouver et prendre en compte les vulnérabilités spécifiques aux processus métiers utilisés.

Étape 4 : Établissement du profil de risque

Après avoir identifié les actifs, les menaces et les vulnérabilités de l’organisation, il faut commencer à établir le profil de risque. Ce processus permet d’évaluer les contrôles et les mesures de protection existants et de mesurer le risque pour chaque combinaison actif-menace-vulnérabilité. Les praticiens doivent systématiquement évaluer la sensibilité de chaque actif à chaque menace en utilisant les vulnérabilités pour déterminer la probabilité de chacune d’entre elles.

Faites-le de manière formelle ou informelle, quantitative ou qualitative. Il existe des centaines d’approches possibles, dont les suivantes :

• Le modèle d’analyse factorielle du risque d’information.
• Ebios Risk Manager
• Publication spéciale 800-30 du NIST : Guide for Conducting Risk Assessments, en particulier l’annexe I : Risk Determination.
• ISO 31000 : Management du risque – Lignes directrices.

Baser les scores sur le niveau de menace et l’impact sur l’organisation en cas de réalisation du risque. Envisagez d’utiliser une approche qualitative pour noter chaque résultat potentiel sur une échelle de faible, moyen et élevé en fonction de la probabilité et de l’impact. Vous pouvez également utiliser des calculs économiques, par exemple l’espérance de perte annualisée. L’important n’est pas tant la manière dont les praticiens procèdent que le fait qu’ils le fassent.

En savoir plus sur l’évaluation des risques liés à la sécurité des réseaux.

Étape 5. Traitement des risques et remédiation

La dernière étape, sans doute la plus importante, consiste à résoudre les problèmes identifiés. Les risques vont de ceux qui sont suffisamment faibles pour que l’entreprise puisse les accepter sans conséquences négatives à ceux qui sont si graves qu’ils doivent être évités à tout prix.

Pour faire la différence, les praticiens doivent comprendre la tolérance au risque de l’organisation, c’est-à-dire dans quelle mesure elle est prête à prendre des risques, compte tenu des résultats potentiels.

Évaluer chaque risque en fonction de la tolérance au risque. Pour ceux qui sont considérés comme inacceptables, décidez de la manière de les éliminer. De nombreux guides de gestion des risques évoquent quatre options :

1. L’évitement. Mettre l’organisation hors d’état de nuire, par exemple en cessant le processus commercial sur lequel un risque donné a une incidence.
2. Atténuation. Mettre en place un contrôle ou une contre-mesure pour réduire la probabilité d’un résultat.
3. Transfert. Utiliser un mécanisme – par exemple, l’assurance – pour transférer la dynamique du risque à un autre.
4. L’acceptation. Décider de vivre avec le risque tel qu’il est.

Documenter chaque décision et les raisons qui l’ont motivée. Répéter le processus pour chaque scénario de menace afin d’affecter les ressources de manière appropriée aux risques identifiés comme ayant l’effet le plus important sur l’entreprise.

Une fois mis en œuvre, tester les nouveaux contrôles de sécurité pour s’assurer qu’ils fonctionnent comme prévu.

N’oubliez pas que la sécurité fondée sur les risques n’est pas un exercice ponctuel ; les praticiens doivent établir une cadence de validation au fil du temps. Les profils de risque changent constamment : l’entreprise adapte ses méthodes, les technologies changent et les menaces évoluent. Les praticiens doivent périodiquement revalider tout ce qu’ils ont évalué précédemment. C’est pourquoi il est si important de disposer d’enregistrements détaillés des décisions prises.

Conseils pour les débutants dans la mise en œuvre d’une sécurité basée sur les risques

Il est primordial d’obtenir un soutien approprié. Dans certains cas, le soutien de la direction peut suffire, dans d’autres, l’approbation du conseil d’administration est nécessaire. Essayez d’instaurer une culture de la prise de conscience des risques dans laquelle la direction adhère et aide les praticiens à la propager dans l’ensemble de l’organisation.

La contribution des parties prenantes est essentielle. Chaque étape de la sécurité basée sur les risques montre à quel point l’impact sur les entreprises est critique, mais gardez à l’esprit que le partage des connaissances se fait dans les deux sens, donc associez les membres des équipes métiers à vos efforts. Les décisions d’atténuation des risques peuvent avoir un effet important sur les opérations, ce que les équipes de sécurité peuvent ne pas comprendre pleinement. Une culture axée sur les risques est payante, car les équipes métiers peuvent communiquer des informations sur les risques de manière proactive plutôt que d’avoir à le demander.

Il est impossible d’assurer une sécurité totale au sein d’une organisation, et les budgets ne sont pas illimités. Il est important de déployer les ressources et l’expertise de manière intelligente et rentable. Un bon moyen d’y parvenir est d’adopter un modèle tenant compte des risques. Bien que leur mise en œuvre nécessite un peu plus d’huile de coude, ces étapes peuvent aider les organisations à progresser dans cette direction.

Ed Moyle est un rédacteur technique qui possède plus de 25 ans d’expérience dans le domaine de la sécurité de l’information. Il est partenaire de SecurityCurve, une société de conseil, de recherche et d’éducation.

Michael Cobb a contribué à cet article.