La gestion des risques est souvent considérée comme une tâche intimidante pour de nombreuses entreprises. Envisagé du point de vue des pratiques relatives à la gestion des affaires, il s’agit d’un moyen de se préparer à l’inconnu et de rendre votre entreprise plus résiliente.
En réalité, les actions connexes à la gestion des risques en cybersécurité sont faciles à diviser en différentes tâches essentielles, et à les relier de manière proactive à d’autres aspects des technologies de l’information et de la cybersécurité.
La gestion des risques est au cœur du processus de décision lorsqu’il s’agit de déterminer la protection des systèmes d’information critique pour l’organisation.
Risque et gestion des risques
D’une part, en termes simples, un risque est la possibilité que quelque chose se produise pour le meilleur ou pour le pire. Bien que ce terme ait été inventé il y a « seulement » plusieurs centaines d’années, la nature même des risques est connue par l’espèce humaine depuis des temps immémoriaux. Un risque implique une incertitude. Il est généralement considéré comme un danger potentiel, une menace, une perte, une blessure, un dommage ou toute autre circonstance imprévue, défavorable ou indésirable. Pourtant, un risque peut également entraîner des récompenses importantes ou des avantages considérables.
D’autre part, en des termes plus complexes, le concept de gestion des risques englobe « l’identification, l’évaluation et la priorisation des risques (définis dans la norme ISO 31000 comme l’effet de l’incertitude sur les objectifs) suivies par une application coordonnée et économique des ressources pour minimiser, surveiller et contrôler la probabilité ou l’impact d’événements malheureux ou pour maximiser la réalisation des occasions d’affaires1».
Aux fins de la gestion des activités d’une entreprise, la Publication Spéciale NIST 800-39, intitulée Managing Information Security Risk: Organization, Mission, and Information System View (Gestion des risques reliés à la sécurité de l’information : perspectives du point de vue de l’organisation, de la mission et des systèmes d’information), divise le concept du risque en trois niveaux distincts : Niveau 1 : Perspective organisationnelle, Niveau 2 : Perspective de la mission et des processus administratifs, et Niveau 3 : Perspective des systèmes d’information où chacun de ces niveaux est interdépendant. Nous nous concentrerons sur les risques du Niveau 3.
Dans le contexte de la cybersécurité, un risque peut faire référence à la probabilité qu’une vulnérabilité informatique soit exploitée par un agent menaçant – entraînant ainsi un dommage ou un impact négatif sur les processus administratifs ou les systèmes d’information d’une organisation. En d’autres termes, un risque de cybersécurité renvoie à la vraisemblance qu’un incident de cybersécurité survienne et les conséquences potentielles qu’il pourrait avoir sur la gestion quotidienne d’une entreprise.
Pourquoi gérer les risques de cybersécurité?
La raison ultime d’entreprendre une gestion des risques en cybersécurité est d’assurer la résilience de votre entreprise. Inversement, la gestion des risques en cybersécurité fait bien plus que renforcer la résilience des activités d’une entreprise. Premièrement, elle fournit à l’entreprise une compréhension de ses vulnérabilités et un aperçu de l’investissement optimal pour réduire le niveau de cyberrisque à un niveau acceptable pour l’entreprise. Au lieu d’acheter hâtivement le dernier outil de cybersécurité, la gestion des risques en cybersécurité aide l’entreprise à prendre une décision éclairée sur le type d’outils nécessaires et les coûts d’achat qui offriront à l’entreprise un retour sur son investissement. Deuxièmement, au lieu de se contenter de faire face ou de simplement réagir après coup à des circonstances défavorables, résultant à d’inévitables retards, à de la confusion potentielle et surtout aux pertes partielles ou totales des avoirs, la gestion des risques en cybersécurité permet à une entreprise d’espérer le meilleur tout en se préparant de manière proactive au pire.
Avant d’aborder les étapes nécessaires à la gestion des risques, il est important de prendre du recul et de comprendre quelles sont les composantes de l’entreprise qui doivent être protégées. Quels sont les actifs informationnels de l’organisation? Quelle est la valeur de ces actifs? Quel serait l’impact si l’un de ces actifs était compromis?
La gestion des cyberrisques implique plusieurs actions essentielles d’anticipation qui, une fois réunies, forment un processus de gestion des risques en cybersécurité simple et efficace :
1) Reconnaissance des cyberrisques
Cette reconnaissance se fait généralement en détectant les scénarios de cyberrisques. Par exemple : la situation dans laquelle quelqu’un clique sur un hyperlien infecté à l’intérieur d’un courriel.
2) Évaluation des cyberrisques
Cette évaluation est réalisée en estimant la probabilité et l’impact des occurrences de cyberrisques qui pourraient affecter une entreprise, son personnel, ses clients, ses systèmes informatiques, etc. Quelle est la probabilité que l’organisation soit confrontée au scénario mentionné ci-dessus? Quelles seraient les conséquences sur l’organisation? Les organisations utilisent souvent une échelle de faible, moyenne et élevée pour évaluer ces variables.
3) Détermination d’un plan d’action contre les cyberrisques
Si le cyberrisque dépasse le cadre de propension au cyberrisque, l’organisation doit déterminer un plan d’action afin d’atténuer le risque détecté. Dans le scénario de courriel infecté mentionné ci-dessus, le plan d’action pourrait inclure la formation des employés et l’installation d’un système de filtrage ou dépistage des courriers électroniques.
4) Analyse des scénarios de cyberrisques
Cette analyse est effectuée en réévaluant chaque scénario de cyberrisque et en en ajoutant de nouveaux sur une récurrence particulière afin de maintenir à jour le registre des cyberrisques de l’entreprise. Pourquoi? Parce que certains cyberrisques pourraient disparaître ou devenir négligeables.
En débutant avec des scénarios simples et individuels, se produisant une seule fois ou isolément, l’opération préventive susmentionnée peut être progressivement complexifiée pour intégrer, par exemple, plusieurs récurrences d’un même événement de cyberrisque. Une telle opération préventive amène généralement tous les secteurs d’activité d’une entreprise à mener une introspection et une enquête sur « et si cela se produisait » sur les différents processus et actifs de l’entreprise.
Les scénarios de cyberrisques comportent généralement un impact direct, qui peut être matériel ou immatériel, et entraînent souvent suffisamment d’impacts indirects.
Au-delà de l’avantage évident d’assurer la résilience, une entreprise bénéficiera de telles opérations de gestion des cyberrisques, et pourra y être forcée, par des parties externes telles que des clients et/ou des compagnies d’assurance. De temps en temps, une entreprise serait également amenée à effectuer de telles opérations pour améliorer sa maturité en cybersécurité grâce à l’adoption des cadres de conformité tels qu’ISO, SOC2, NIST, etc.
Gestion des risques en cybersécurité et divers cadres de contrôle
Félicitations, votre organisation a désormais adopté les opérations de gestion des risques en cybersécurité et tient à jour un registre des cyberrisques, avec un ensemble de scénarios de cyberrisques clairs relatifs à ses plans d’atténuation ou de remédiation. En utilisant le même exemple que celui décrit précédemment, un plan d’atténuation approprié pour le risque d’hyperlien infecté affectant les postes de travail pourrait être en quelque sorte simplifié et réduit à quelques actions anticipatives principales.
L’équipe informatique envisagera la formation des employés, l’installation d’un système de filtrage ou dépistage des courriers électroniques et d’installer une solution antivirus ou de protection des points de terminaison moderne sur tous les postes de travail.
La mise en œuvre et l’efficacité de ces contrôles seront au cœur de la plupart des plans de traitement des cyberrisques afin de réduire la probabilité et l’impact des cyberrisques. Les cyberrisques résiduels peuvent être jugés acceptables pour l’organisation.
Terminologie
Propension au cyberrisque: Niveau de cyberrisque qu’une organisation est prête à prendre tout en poursuivant ses objectifs d’affaires, avant de devoir agir sur un scénario de cyberrisque spécifique et de traiter ce cyberrisque en question.
Scénario de cyberrisque: Description d’un cyberrisque en particulier, affectant généralement un actif précis (ou un groupe d’actifs).
Classement des cyberrisques: Les scénarios de cyberrisques sont classés en fonction de leur probabilité et de leur impact, la note globale étant une combinaison des deux.
Par exemple : si vous utilisez des valeurs numériques, la probabilité pourrait être définie sur une échelle de 1 à 5 – 1 étant le plus bas, ou peut-être une fois tous les 5 ans – 5 étant le plus élevé, ou peut-être une fois par mois. L’impact pourrait être défini sur une échelle de 1 à 5 – 1 étant le plus faible, aucune perturbation/impact matériel/financier – à 5 étant une perturbation majeure de l’ensemble de l’activité, un impact financier significatif menaçant l’avenir de l’entreprise.
Un exemple de formule de classement des cyberrisques pourrait être : Probabilité x (Impact * 10), de telle sorte qu’un cyberrisque [Probabilité 1 – Impact 3] soit classifié 30,mais un cyberrisque [Probabilité 3 – Impact 1] n’est que classifié par 3.
Le classement global des cyberrisques de tous les scénarios de risques sera utilisé pour prioriser les plans de traitement des cyberrisques.
Plan de traitement des risques
- Acceptation du risque: L’entreprise décide d’accepter le risque tel qu’il est et ne met en œuvre aucune mesure d’atténuation.
- Évitement du risque: L’entreprise prend des mesures pour éviter ou prévenir tout risque en particulier.
- Réduction ou atténuation du risque: L’entreprise délimite et met en œuvre un plan de traitement du risque destiné à réduire un cyberrisque en particulier à des niveaux acceptables (le facteur de risque restant sera à nouveau évalué et pourra être accepté, transféré ou atténué).
- Transfert du risque: L’entreprise décide de transférer le risque vers une autre entité, comme une compagnie d’assurance.
Cybermenace: Une cybermenace est la possibilité d’exploiter une vulnérabilité informatique. Elle peut inclure différents types d’acteurs malveillants, tels que des pirates informatiques, des logiciels malveillants, des menaces internes à l’entreprise, etc.
Cybervulnérabilité: Une cybervulnérabilité est une faiblesse ou une faille au sein d’un système informatique, d’une application ou d’un processus qui pourrait être exploitée par une cybermenace pour compromettre la confidentialité, l’intégrité ou la disponibilité des données ou des ressources.
Cyberimpact: Le cyberimpact fait référence aux conséquences négatives potentielles qui peuvent survenir si une cybermenace parvient à exploiter avec succès une vulnérabilité. Les cyberimpacts peuvent impliquer des violations de données, des pertes financières, des perturbations opérationnelles, des atteintes à la réputation, des conséquences juridiques et réglementaires, etc.
Exemples de normes de gestion des cyberrisques
Tous les principaux organismes de normalisation ont défini un cadre de gestion des cyberrisques aligné sur leur cadre normalisé qui défende la sécurité de leurs technologies de l’information. Parmi plusieurs de ces normes, nous décrivons de manière concise les trois suivantes :
ISO/CEI 27005:2011
L’Organisation internationale de normalisation publie la norme ISO/IEC 27005:2011 sur la Gestion des risques reliés à la sécurité de l’information, qui répond aux exigences du cadre ISO 27001 (Système de gestion de la sécurité de l’information) concernant les actions visant à faire face aux risques de cybersécurité. Cette norme couvre les opérations de gestion des risques relatifs à la sécurité de l’information, telles que l’évaluation et le traitement des risques rattachés à la sécurité informatique.
NIST SP 800-39
La Publication spéciale 800-39 de l’Institut national des normes et de la technologie, produite par le Département du commerce des États-Unis, décrit le cadre de gestion des risques (CGR) et fournit des lignes directrices pour l’application du CGR aux systèmes d’information et aux organisations. Cette publication fournit un processus structuré et flexible pour gérer les cyberrisques relatifs à la cybersécurité et à la vie privée (y compris la catégorisation de la cybersécurité des informations; la sélection, la mise en œuvre et l’évaluation des contrôles; les autorisations des systèmes informatiques et des contrôles communs; et la surveillance continue).
SOC2
Bien que l’AICPA SOC2 elle-même ne décrive aucune « norme » précise en matière de gestion des cyberrisques, elle exige que l’organisation qui dispense des services se soumette régulièrement à des activités d’évaluation des cyberrisques et qu’elle tienne un registre des cyberrisques. Chaque cyberrisque identifié doit être évalué (vraisemblance/probabilité d’occurrence et impact), chaque décision de gestion (accepter, éviter, réduire/atténuer ou transférer) doit être reconnue et un plan de traitement du cyberrisque doit être délimité, mis en œuvre et suivi.
Résumé
Les opérations de Gestion des risques en cybersécurité aident les entreprises à devenir plus résilientes et à se préparer à des événements antagonistes, en particulier dans le domaine des technologies de l’information. Tout en faisant partie intégrante de tout cadre normalisé de cybersécurité de l’information, les entreprises ne doivent pas attendre pour se préparer à la vérification ou à la certification, et elles doivent commencer le plus tôt possible avec un simple chiffrier électronique contenant une liste de cyberrisques définis par rapport aux actifs, les probabilités/impacts, la décision prise par l’entreprise sur la manière de faire face à chaque scénario, et à qui est responsable de gérer ces cyberrisques.
Commencer le plus tôt possible avec un simple chiffrier électronique…
[1] HUBBARD, Douglas W. (2009). The Failure of Risk Management: Why It’s Broken and How to Fix It. (L’échec de la gestion des risques : pourquoi est-elle brisée et comment la réparer.) New Hardcover Edition, John Wiley & Sons Inc., p. 46