Analyse de risques

Pourquoi l’analyse de risques est indispensable à la protection de votre entreprise

En tant que consultant en sécurité des systèmes d’information, si je vous conseille de mieux protéger votre entreprise et d’augmenter votre budget sécurité, vous pourriez penser que j’essaie de vous manipuler. Après tout, je suis juge et partie car c’est dans mon intérêt de le faire.

Je pourrai ainsi vous convaincre en exposant la menace grandissante des attaques de pirates, les menaces étatiques, etc… Mais la vérité est que ces menaces externes ne constituent qu’une minorité des menaces qui pèsent sur votre entreprise.

De plus, la moitié des entreprises ne savent pas quelles menaces pèsent sur elles et quelles seraient les conséquences d’un incident de sécurité car elles n’ont jamais procédé à une analyse de risques, hormis si elles ont mis en place un Plan de Continuité d’Activité (PCA) ou un Système de Management de la Sécurité de l’information (SMSI – ISO27001).

Il est temps de revoir certaines notions…

La sécurité préventive plutôt que réactive

A titre préventif, votre dentiste vous conseille de revenir régulièrement le consulter. Il y a deux possibilités : soit vous allez régulièrement le voir car vous pensez que c’est important et que vous privilégiez l’approche préventive. Soit vous allez chez votre dentiste lorsque vous avez mal à une dent, alors que la carie est déjà installée. Si c’est le cas, et bien que la technologie fasse des merveilles, vous ne retrouverez jamais votre dent intacte. C’est trop tard.

Concernant la sécurité de votre entreprise et de ses données, c’est exactement la même chose. Vous pouvez décider d’anticiper en déterminant quels sont les risques qui pèsent sur votre entreprise et prendre vos décisions en toute connaissance de cause. Ou vous pouvez attendre qu’un incident se produise et vous ne maitriserez pas les répercussions sur votre entreprise car vous n’aurez jamais évalué leurs conséquences.

Un consultant en sécurité a le même rôle qu’un dentiste. Il essaie de protéger les actifs de votre entreprise contre les risques qu’ils peuvent encourir.

La sécurité n’est pas une contrainte mais une nécessité

Voir la sécurité comme une contrainte et uniquement un centre de coûts, c’est ne pas comprendre ce qu’est réellement la sécurité et ses enjeux.

Les menaces qui pèsent sur votre entreprise ne sont pas uniquement liés à des pirates. Dans le rapport du Clusif « Menaces informatiques et pratiques de sécurité, édition 2012 », on constate qu’un tiers seulement des incidents de sécurité sont liés à des menaces externes.

La sécurité consiste à analyser toutes les menaces qui peuvent peser sur votre entreprise, internes ou externes, qui peuvent vous nuire. Le piratage externe mais aussi le vol de données interne, mauvaise configuration, problème électrique, sinistre, etc…

La sécurité vise à protéger votre société des risques qu’elle encourt. Elle n’est donc pas une contrainte mais une nécessité.

Elle apporte des contraintes lorsque l’on met en place des systèmes de sécurité non adaptés. Et elle est onéreuse quand les choix de protection sont disproportionnés au regard de la menace.

Une approche par les risques

Mettre en place toutes les mesures de sécurité issues des divers référentiels existants peut vous prendre une éternité et vous coûter une fortune. Certes, elles sont toutes utiles mais dans un contexte économique où vous devez compter chaque sou que vous dépensez, il convient de choisir les mesures de sécurité les plus adaptées à vos risques.

Et c’est l’analyse de risques qui vous le permettra. Lors de cette analyse, vous définirez quels sont les actifs de valeur de votre entreprise (systèmes, applications, informations, …), les menaces qui pèsent sur ces actifs, la probabilité de l’occurrence de la menace, et les impacts sur les actifs.

Cet exercice va donc vous permettre d’anticiper les incidents qui pourraient impacter votre business et surtout d’estimer leurs coûts et conséquences. Ainsi, et en toute connaissance de cause, vous saurez quels sont vos priorités en terme de sécurité et comment utiliser votre budget à bon escient, là où vous en avez le plus besoin.

C’est donc un élément primordial et stratégique. Pour cette raison, l’analyse de risques est incontournable et devrait être la première action à lancer dans votre entreprise.

Quelle méthode utiliser ?

Il existe plusieurs méthode de gestion et analyse de risques mais il n’y a pas de méthode idéale. Dans le rapport du Clusif susmentionné, 47% des entreprises utilisent l’ISO27005 (qui n’est pas une méthode mais une démarche), EBIOS ou MEHARI, 40% une autre méthode (qui peut être une méthode propre à l’entreprise) et 30% ne savent pas. De son côté, L’ANSSI préconise la méthode EBIOS.

Quelle que soit la méthode utilisée, le plus important est, d’une part de respecter les principes de l’analyse de risques. La norme ISO27005 constitue le cadre de référence approprié. D’autre part, utiliser une méthode reconnue mais procéder à une mauvaise appréciation des risques aboutirait à une perte de temps et d’argent pour votre entreprise.

Ce n’est donc pas la méthode qui importe le plus mais son utilisation, notamment lors de l’appréciation des risques.

Vous pouvez procéder à une analyse de risques sans faire appel à un consultant externe. L’avantage est que vous utiliserez un interne qui connaît déjà les personnels de l’entreprise et parfois également la partie métiers. Les inconvénients sont le temps passé à procéder à cette analyse mais aussi à la formation et préparation du personnel interne.

Selon le temps imparti et le périmètre à traiter, on pourra jouer sur le niveau de détail de l’analyse de risques.

Que peut faire 1blink pour vous ?

Vous avez besoin d’un conseil dans le cadre de la sécurité de votre entreprise ?

Vous souhaitez former et sensibiliser vos personnels à la sécurité ? Découvrez « le maillon fort », notre nouvelle formation de sensibilisation à la sécurité en e-learning , une formation à distance composée de vidéos enregistrées par un consultant dans un langage simple et accessible à tous vos utilisateurs. Nous vous proposons de tester gratuitement cette formation.

Pour toute demande, n’hésitez pas à nous appeler ou envoyer un email !