Zoom sur la gestion des risques d'une entreprise

Comment définir le risque en cybersécurité ?

Le concept de “risque” s’utilise quotidiennement. Pourtant sa définition ne coule pas de source, surtout quand elle s’applique aux entreprises. La définition classique du risque implique cependant une notion d'exposition au danger. Comment s’y retrouver dans ce méli-mélo ?

Définition du risque pour l’entreprise

La norme ISO 31000 avance la définition du risque suivant : “l’effet de l’incertitude sur les objectifs”. La norme ISO/IEC Guide 73 précise encore ce propos, en affirmant qu’il s’agit de la “combinaison de la probabilité d’un événement et des conséquences de celui-ci”.

Cette définition officielle et académique laisse donc la porte ouverte à un risque dont les conséquences sont soit positives, soit négatives pour l’entreprise, c’est-à-dire bénéfiques ou préjudiciables. La gestion du risque deviendrait ainsi une gestion des menaces, mais aussi des opportunités.

On voit pourtant peu de fonctions dans l’entreprise utiliser le terme risque pour décrire une opportunité heureuse. Cette définition du risque se révèle d’ailleurs difficilement compatible avec certains domaines. Comment prétendre qu’un risque lié à la sécurité des employés puisse avoir des conséquences positives.

Qu’est-ce que le cyber risque ?

Comme dans les autres fonctions de l’entreprise, il existe plusieurs définitions du cyber risque :

ISO – la possibilité qu’une menace donnée exploite les vulnérabilités d’un actif ou d’un groupe d’actifs et cause ainsi un préjudice à l’organisation. Il est mesuré en termes de combinaison de la probabilité d’occurrence d’un événement et de ses conséquences.

NIST SP800-30 – Le risque est fonction de la probabilité qu’une source de menace donnée exerce une vulnérabilité potentielle particulière et de l’impact de cet événement indésirable sur l’organisation.

Ces risques cyber peuvent résulter de cyberattaques, c’est-à-dire par des atteintes aux SI menées dans un objectif malveillant. Comme le rappelle notre article sur les cyberattaques, celles-ci se répartissent en 4 catégories : cybercriminalité, atteinte à l’image, espionnage et sabotage. Mais dans une grande proportion des incidents, le risque cyber est le fait d’erreur humaine ou de défaillances techniques. Ces deux grandes familles de risques concernent toutes les tailles d’entreprise.

Chez C-Risk, afin de pouvoir gérer les risques, nous utilisons la définition du standard Factor Analysis of Information Risk – FAIR™ qui décrit le risque cyber comme la fréquence et l'ampleur probables d'une future perte financière résultant d’un incident cyber. Un sinistre cyber est tout événement affectant la confidentialité, l’intégrité ou encore la disponibilité du système d’information ou des données informatiques. (en anglais Confidentiality, Integrity et Availability du triptyque C-I-A.).

‍

‍

En quoi consiste la gestion des risques ?

La gestion des risques dépend intrinsèquement de la définition qu’on donne au risque. Si le risque peut avoir des conséquences positives, comme le laisse entendre la norme ISO 31000, alors le management des risques devient aussi une gestion des “bonnes surprises”.

Cette définition s’applique cependant mal au secteur de la cybersécurité. Dans ce domaine, le risk management est avant tout une affaire d’identification et de compréhension des menaces cyber, couplée aux activités nécessaires pour maintenir ces menaces à un niveau jugé acceptable par l’entreprise.

Définitions croisées du risk management

Les normes ISO 27005 et 31000 conçoivent la gestion des risques comme un processus par lequel une entreprise fait face de façon “méthodique” aux risques liés à ses activités. L'ensemble de la démarche recoupe ainsi à la fois l’identification des risques significatifs pour l'entreprise et la mise en place de réponses adaptées, et notamment de traitements adaptés. Mais faire face n’implique pas comme c’est parfois compris de chercher à diminuer ou éliminer tous les risques.

Ainsi, la nouvelle version de la norme ISO 31000 affirme que le management du risque doit permettre la “réalisation et la protection de valeur”. Cette définition est ainsi en phase avec la vision de la gestion quantitative des risques cyber que nous développons chez C-Risk. Celle-ci consiste à identifier puis traiter les cyber risques en fonction des pertes financières potentielles qu’ils représentent. C’est la démarche d’estimer les risques de manière quantitative qui permet une bonne gestion des risques.

Le risk management, une méthode bénéfique à plusieurs niveaux

Comme le supposent les définitions ci-dessus, le risk management relève avant tout de l'application d’une méthode précise. Il s’agit effectivement d’un “processus continu d’amélioration”, pour reprendre les mots du cadre de référence de la gestion des risques déployé par la fédération des european risk associations (FERMA).

Le management des risques recoupe ainsi plusieurs objectifs, dont :

• offrir une méthode qui encadre tous les projets futurs pour plus de sécurité ;
• améliorer l’utilisation, l’allocation et la préservation du capital de l'entreprise ;
• faciliter le processus de prise de décision en hiérarchisant les menaces ;
• protéger l’image de marque de la structure, et donc aussi sa valeur.

Les différentes étapes de la gestion du risque

La gestion du risque est une méthode qui peut se décliner en 6 grandes étapes :

• appréciation du risque, qui recoupe à la fois l’analyse du risque et son évaluation ;
• compte rendu de cette première étape ;
• prise de décision les concernant ;
• mise en œuvre du traitement de ces risques ;
• communication interne et externe sur les risques identifiés ;
• suivi de la stratégie de risk management mise en place.

1/ Apprécier le risque

L’appréciation du risque désigne le processus qui englobe l’analyse et l’évaluation du risque, selon le guide ISO/IEC 73. Sa première étape, l’analyse, recoupe elle-même trois sous-étapes : l’identification, la description et l’estimation des risques.

1.1 Identifier le risque

L’identification des risques consiste à déterminer les menaces pour l’entreprise, en passant méthodiquement au scan son environnement et ses objectifs stratégiques et opérationnels. Ce scan doit permettre d’isoler les activités significatives pour l’entreprise. Il sert aussi à mettre le doigt sur les instabilités susceptibles de représenter un risque.

Ces “activités significatives” peuvent concerner :

• ses objectifs stratégiques, tels que décrits par le conseil d'administration. Ceux-ci peuvent être menacés par de nombreux cyber risques : risques liés à la réputation, au vol d'identité, au vol de données et à l’espionnage, à l’arrêt des activités informatiques.
• l’opérationnel quotidien ;
• la protection des données ;
• la gestion des finances ;
• la conformité, notamment dans le cadre de la protection des données prévue par le RGPD européen (règlement général sur la protection des données).

1.2 Décrire le risque

L’étape relative à la description des risques consiste quant à elle à structurer leur présentation pour mieux les communiquer en interne. Cette étape peut consister à dresser un tableau des risques identifiés, qui précise :

• leurs conséquences, notamment financières ;
• leurs probabilités, à croiser avec les conséquences pour établir un classement des risques à prioriser ;
• les parties prenantes impliquées ;
• la tolérance envisagée vis-à-vis de ces risques spécifiques ;
• les protocoles déjà existants pour juguler ces menaces ;
• des pistes d’amélioration de l’existant ;
• la désignation du ou des responsables à impliquer pour chaque risque.

1.3 Estimer le risque

L’estimation du risque, enfin, est une étape délicate pour laquelle les méthodes divergent. Il est possible d’estimer le risque de façon qualitative, c’est-à-dire en nommant la menace selon une classification établie pour l’analyse : “forte”, “moyenne”, “faible”, par exemple. La probabilité de ce risque peut aussi s’évaluer de façon nominative : “haute”, “moyenne”, “faible”.

Cette méthode très commune est reprise par le National Institute of Standards and Technology (NIST) dans son Guide for Conducting Risk Assessments ainsi que dans le standard ISO 27005. Les risques résultant de l’analyse sont ensuite présentés selon une matrice, propre à chaque entreprise voir à chaque analyse. Cette matrice permet de les catégoriser dans des plages colorées – rouge pour les risques estimés être les plus sévères, orange pour ceux moins sévères et vert pour les risques réputés moindre. Les limites de ce type d’approches qui ne prescrivent pas comment estimer les risques sont malheureusement nombreuses et très documentées. La section 8.3 ISO 27005 prévient ainsi que l’approche qualitative souffre de la subjectivité des échelles retenues. De nombreuses études telle que celle de Andrew et Michael J. Mauboussin montrent les limites des échelles nominales et ordinales.

Chez C-Risk, nous lui préférons cependant des méthodes d’estimation quantitative du risque plus pragmatiques et plus prescriptives, qui évitent toute interprétation subjective. Nous avons ainsi recours à la méthode FAIR, “Analyse des Facteurs du Risque Informationnel".

Cette démarche consiste à décomposer le risque en variables quantifiables qui permettent d’estimer quantitativement les pertes financières acceptables et inacceptables pour l'entreprise. Ce modèle d’estimation du risque est la seule méthode quantitative pour mesurer le risque informatique. C’est le standard OpenFAIR du consortium Open Group ou TOGAF™ créé en 2005.

Pour plus d’informations sur l’analyse des risques appliquée au secteur cyber, nous vous invitons à lire notre article dédié.

1.4 Évaluer le risque

L’évaluation des risques prend la suite de l’analyse des risques. Elle consiste à comparer les risques issus de l’estimation, selon les critères choisis. Dans le cas de la méthode FAIR, cette comparaison se base donc sur des critères quantitatifs liés aux coûts. Certaines entreprises peuvent adopter d'autres critères, comme la conformité juridique ou les préoccupations des parties prenantes.

L’évaluation des risques doit permettre de décider de leurs importances, et de la tolérance que l’entreprise leur accorde. Elle débouche donc sur une phase décisionnelle. C’est en outre la capacité à tolérer ou non le risque qui détermine ceux à traiter en priorité.

2/ Traiter les menaces cyber

Le traitement du risque relève d’une étape spécifique de la gestion des risques, ancrée dans l'action. Il ne s’agit plus de mesurer, mais bien d'agir pour mettre en place des mesures capables de maîtriser les menaces. Ces mesures peuvent en réalité relever de 4 catégories dites des 4 T :

• Tolérer (Tolerate); assumer le risque
• Traiter (Treat); prendre des actions afin de diminuer le nombre de sinistre ou l’importance de leur impact
• Terminer (Terminate); arrêter le processus ou les actifs qui créent ce risque
• Transférer (Transfer) (financement des pertes potentielles, par exemple par le biais d’une assurance cyber).

Cette phase de mise en place de mesures de prévention doit viser le bon fonctionnement de la structure, mais aussi la conformité aux lois qui encadrent lesdits risques. Dans le cadre des cyber risques, il convient donc de s’intéresser aux réglementations sur la protection de la vie privée et des données personnelles ; le RGPD par exemple, mais aussi aux réglementations étrangères qui concernent les filiales, notamment aux Etats-Unis et en Chine.

Le choix d’une mesure du traitement du risque plutôt que d’une autre dépend ensuite de plusieurs facteurs :

• elles doivent éliminer ou réduire le risque de façon substantielle ;
• les coûts d’installation des mesures de prévention ne doivent pas excéder les risques financiers que représente la menace.

3/ Communiquer sur la gestion des risques mise en place

La communication sur le risk management pratiqué par l'entreprise doit se développer en interne comme en externe.

La communication interne sur les risques a plusieurs objectifs :

• briefer la direction générale sur les principales menaces pour la structure, et leurs conséquences financières et stratégiques ;
• sensibiliser l’ensemble des collaborateurs aux principaux risques. Une démarche particulièrement nécessaire dans le cadre des cyberrisques, car l'essentiel des failles de sécurité informatique relève encore de vulnérabilités humaines, selon un rapport Proofpoint ;
• préparer la gestion de crise ;
• préciser les niveaux de responsabilités de chaque service dans le management des risques ;
• faciliter la surveillance des risques et les remontées d’information.

La communication sur les risques relève aussi de l’obligation vis-à-vis de parties prenantes. Il s'agit de faire preuve de sa performance en matière de prévention, laquelle passe nécessairement par le choix des bonnes méthodes. Les actionnaires et investisseurs doivent savoir que leurs intérêts sont protégés et que l’entreprise va continuer à produire de la valeur.

4/ La surveillance des risques

Le suivi des risques sert à s’assurer de la pertinence de la méthode de risk management adoptées en termes de :

• conformité à la législation, qui évolue régulièrement en la matière ;
• maîtrise de la menace ;
• capacité à évoluer avec l'environnement de l'entreprise ;
• application des mesures de prévention ;
• efficacité des procédures adoptées.

Comment prévenir le risque cyber ?

L’étape qui relève du traitement du risque cyber et donc de sa prévention prend évidemment des formes différentes selon la structure concernée. Une bonne analyse quantitative doit permettre d’identifier les facteurs qui contribuent à la fréquence ou l’importance de l’impact afin de déterminer les contrôles qui pourront être les plus efficaces. Ainsi, en amont d’un sinistre, les actions se concentrent sur les contrôles dits préventifs (évitement, dissuasion et résistance) afin de réduire sa probabilité d’occurrence du sinistre. En aval, pour limiter les conséquences post-sinistre, ce sont les contrôles de réponse (détection, réponse et récupération) qui doivent être mis en œuvre.

Elle implique aussi de dresser un plan de continuité d’activité en cas de cyberattaque, mais aussi un plan de reprise d’activité :

• Le PCA, ou plan de continuité d’activité, permet à l'entreprise de maintenir un fonctionnement minimum malgré les aléas. C’est notamment ce plan qui aide à protéger les données sensibles et confidentielles, malgré un piratage informatique. C’est aussi lui qui prévoit l'utilisation d’un système informatique de secours en cas de panne.
• Le PRA, ou plan de reprise d'activité, prévoit les modalités de reprise du fonctionnement du système informatique après une cyberattaque. Il comprend également des mesures visant à atténuer l’impact des failles de sécurité éventuelles. Il détaille aussi les durées maximales admissibles d'interruption du SI, et les pertes de données maximales admissibles.

Notons, enfin, que la prégnance des risques cyber ces dernières années peut inviter les entreprises à mettre en place certaines démarches bénéfiques :

• sensibiliser les conseils d'administration aux questions de cybersécurité, en veillant à ce qu’ils apparaissent toujours à l’ordre du jour des séances ;
• considérer le risque cyber comme une menace transversale, qui concerne bien sûr la direction des systèmes informatiques (DSI), mais aussi les éventuels fournisseurs, les filiales, la supply chain et les partenaires ;
• développer le dialogue entre l’équipe informatique, le conseil d'administration et la direction générale.

‍