Analyse de risques, ce qu'il faut savoir

Le cadrage

Le cadrage est la première étape nécessaire dans l’analyse de FAIR, dans laquelle vous définissez le risque (ou l’événement de perte, en termes de FAIR).

Vous commencez par identifier

1. l'actif à risque. Par exemple, les données de la base de données.
2. le(s) acteur(s) de la menace, tel qu'un employé de l'entreprise qui néglige de transmettre des données par courrier électronique.
3. l'impact que vous pouvez craindre - perte de données confidentielles, par exemple.

Vous voilà désormais avec une déclaration de risque qui dirige le reste du processus d'analyse. Ce n’est vraiment pas un processus très intensif.

Le cadrage vous oblige à être spécifique dans la définition du problème à résoudre - j'aime le comparer à une glissière de sécurité qui vous empêcherait de perdre le sujet lorsque vous passez à l'étape suivante, la collecte de données auprès d'experts de la société (combien d'infractions dans les courriers électroniques avons-nous eues? , qu'avons-nous payé en conséquence, etc.).

Tout cela semble être un point de départ logique, mais certaines personnes ignorent le cadrage et passent directement à la collecte de données, pour des raisons compréhensibles, bien que mal orientées.

Certaines explications que j'entends sont:

• Il me semble que le cadrage prend beaucoup de temps et que les délais sont serrés. En fait, les sessions de cadrage peuvent souvent être effectuées en environ 30 minutes.
• L’analyse quantitative des risques est très technique - d’abord, j’ai besoin de données. Tout d'abord, vous avez besoin d'une réflexion critique sur votre scénario de risque.
• Il est difficile d’obtenir des rendez-vous avec les experts internes. Si j’ai la possibilité de participer à la réunion, je devrais saisir cette information, recueillir autant de données que possible et les régler plus tard. Ou devez chercher un autre rendez-vous lorsque vous identifiez enfin ce dont vous avez besoin.