Analyse de risques

Alors, je tiens à vous mettre en garde contre une erreur de débutant. Je constate que vous perdrez certainement du temps: faire passer la collecte de données avant le cadrage et la définition du périmètre de votre analyse de risque.

Le cadrage

Le cadrage est la première étape nécessaire dans l’analyse de FAIR, dans laquelle vous définissez le risque (ou l’événement de perte, en termes de FAIR).

Vous commencez par identifier

1. l'actif à risque. Par exemple, les données de la base de données.
2. le(s) acteur(s) de la menace, tel qu'un employé de l'entreprise qui néglige de transmettre des données par courrier électronique.
3. l'impact que vous pouvez craindre - perte de données confidentielles, par exemple.

Vous voilà désormais avec une déclaration de risque qui dirige le reste du processus d'analyse. Ce n’est vraiment pas un processus très intensif.

Le cadrage vous oblige à être spécifique dans la définition du problème à résoudre - j'aime le comparer à une glissière de sécurité qui vous empêcherait de perdre le sujet lorsque vous passez à l'étape suivante, la collecte de données auprès d'experts de la société (combien d'infractions dans les courriers électroniques avons-nous eues? , qu'avons-nous payé en conséquence, etc.).

Tout cela semble être un point de départ logique, mais certaines personnes ignorent le cadrage et passent directement à la collecte de données, pour des raisons compréhensibles, bien que mal orientées.

Certaines explications que j'entends sont:

• Il me semble que le cadrage prend beaucoup de temps et que les délais sont serrés. En fait, les sessions de cadrage peuvent souvent être effectuées en environ 30 minutes.
• L’analyse quantitative des risques est très technique - d’abord, j’ai besoin de données. Tout d'abord, vous avez besoin d'une réflexion critique sur votre scénario de risque.
• Il est difficile d’obtenir des rendez-vous avec les experts internes. Si j’ai la possibilité de participer à la réunion, je devrais saisir cette information, recueillir autant de données que possible et les régler plus tard. Ou devez chercher un autre rendez-vous lorsque vous identifiez enfin ce dont vous avez besoin.

Quel que soit l'effort que vous pensez épargner (ou éviter), vous allez le rembourser sous forme d'effort inutile, sans garde-fou, pas seulement pour la collecte de données, mais pour les phases ultérieures consistant à faire correspondre votre déclaration de risque au modèle FAIR, puis à exécuter vos données via votre logiciel d'analyse quantitative des risques ou votre solution de tableur.

D’après mon expérience, la résistance à la phase de cadrage est un signe d’un problème plus profond: l’organisation ne s’est pas encore vraiment adaptée à la façon de penser juste. La direction peut toujours exiger des analyses de «risques» vagues, tels que les «mots de passe» ou le «nuage».

Les analystes de FAIR considèrent le risque comme une chose définissable à partir d’une fréquence probable et de l’ampleur des pertes.

La bonne nouvelle, c’est que plus l’entreprise effectue des analyses FAIR, plus elle s’habitue à poser des questions d’analyse en termes FAIR, tel que les sinistres, et plus il devient évident et logique pour tout le monde de concentrer ses efforts sur la cadrage à la première étape.

Article initialement publié le 24 mai 2018 par Cary Wise - traduit par Christophe Foret (Antenne de Paris de l'Institut FAIR)