Zoom sur la gestion des risques d'une entreprise
Mettre en place une gestion des risques cyber implique de s'intéresser aux différentes définitions du risque et aux méthodes de management qui en découlent.
Lille a accueilli en septembre le Forum international de la cybersécurité (FIC) de 2021. L'occasion, pour les experts en présence, de rappeler que la “menace croît de manière exponentielle”, pour reprendre les mots de l’Agence nationale de la sécurité des systèmes d'information.
La cybersécurité incarne un enjeu colossal pour les entreprises en 2021, lequel requiert une gestion des risques méthodique et performante. Reste, pour ce faire, à choisir sa technique de risk management. Si le risque cyber est dorénavant discuté quotidiennement, il recoupe pourtant des définitions variables selon les courants de pensée. De ces conceptions découlent des théories de ce que doit être le management du risque pour performer. Quelle définition du risque dans le cadre de la cybersécurité ? Quelle méthode pour maîtriser l’imprévisible ?
Comment définir le risque en cybersécurité ?
Le concept de “risque” s’utilise quotidiennement. Pourtant sa définition ne coule pas de source, surtout quand elle s’applique aux entreprises. La définition classique du risque implique cependant une notion d'exposition au danger. Comment s’y retrouver dans ce méli-mélo ?
Définition du risque pour l’entreprise
La norme ISO 31000 avance la définition du risque suivant : “l’effet de l’incertitude sur les objectifs”. La norme ISO/IEC Guide 73 précise encore ce propos, en affirmant qu’il s’agit de la “combinaison de la probabilité d’un événement et des conséquences de celui-ci”.
Cette définition officielle et académique laisse donc la porte ouverte à un risque dont les conséquences sont soit positives, soit négatives pour l’entreprise, c’est-à-dire bénéfiques ou préjudiciables. La gestion du risque deviendrait ainsi une gestion des menaces, mais aussi des opportunités.
On voit pourtant peu de fonctions dans l’entreprise utiliser le terme risque pour décrire une opportunité heureuse. Cette définition du risque se révèle d’ailleurs difficilement compatible avec certains domaines. Comment prétendre qu’un risque lié à la sécurité des employés puisse avoir des conséquences positives.
Qu’est-ce que le cyber risque ?
Comme dans les autres fonctions de l’entreprise, il existe plusieurs définitions du cyber risque :
ISO – la possibilité qu’une menace donnée exploite les vulnérabilités d’un actif ou d’un groupe d’actifs et cause ainsi un préjudice à l’organisation. Il est mesuré en termes de combinaison de la probabilité d’occurrence d’un événement et de ses conséquences.
NIST SP800-30 – Le risque est fonction de la probabilité qu’une source de menace donnée exerce une vulnérabilité potentielle particulière et de l’impact de cet événement indésirable sur l’organisation.
Ces risques cyber peuvent résulter de cyberattaques, c’est-à-dire par des atteintes aux SI menées dans un objectif malveillant. Comme le rappelle notre article sur les cyberattaques, celles-ci se répartissent en 4 catégories : cybercriminalité, atteinte à l’image, espionnage et sabotage. Mais dans une grande proportion des incidents, le risque cyber est le fait d’erreur humaine ou de défaillances techniques. Ces deux grandes familles de risques concernent toutes les tailles d’entreprise.
Chez C-Risk, afin de pouvoir gérer les risques, nous utilisons la définition du standard Factor Analysis of Information Risk – FAIR™ qui décrit le risque cyber comme la fréquence et l'ampleur probables d'une future perte financière résultant d’un incident cyber. Un sinistre cyber est tout événement affectant la confidentialité, l’intégrité ou encore la disponibilité du système d’information ou des données informatiques. (en anglais Confidentiality, Integrity et Availability du triptyque C-I-A.).
Qu’est-ce qu’une procédure de gestion des risques
La gestion des risques appliquée aux entreprises désigne une procédure visant à identifier, prévenir et traiter les risques susceptibles d’apparaître dans le cadre de son fonctionnement quotidien.
Quelle différence entre gestion des risques et analyse des risques ?
Le management des risques est une démarche plus large que l’analyse des risques, qui n’en est qu’une étape.
Zoom sur la gestion des risques d'une entreprise
Les étapes du management des risques varient selon les théories, mais on retrouve généralement : l’identification des risques, leur analyse, leur évaluation, l'élaboration d’un plan d’actions préventives et une phase dédiée au suivi de son avancement.