.svg)
Introduction
Le système d’information est un ensemble organisé de ressources qui permet de collecter, stocker, traiter et distribuer de l'information, il s’agit probablement d’un des éléments les plus importants d’une entreprise. Il arrive trop souvent qu’une entreprise se retrouve dans une position inconfortable à la suite d’un événement imprévu impactant son système d’information et cela peut entraîner des conséquences désastreuses sur sa santé et ses activités, on peut imaginer des pertes financières, des dommages à la réputation, des dommages matériels ou encore de la perte de compétitivité.
Mais comment assurer la sécurité de ce système d’information ?
L’analyse de risque ! Une méthode utilisée pour évaluer et comprendre les menaces potentielles qui guettent le cœur de métier d’une organisation. Au travers de cette analyse précise, l’entreprise va déterminer les vulnérabilités associées à ses activités en vue de gérer les incidents, sécuriser les actifs de l’entreprise et améliorer continuellement la sécurité de son système d’information.
Pour se faire, la connaissance préalable de son système d’information est primordiale, il est important de couvrir l’ensemble des actifs de l’entreprise pour avoir un résultat représentatif des risques. L’objectif est d’obtenir un risque résiduel acceptable pour chaque risque identifié.
Comment mener une analyse de risque ?
L’analyse de risque ne s’improvise pas, il faut choisir un ensemble de méthodes, d’acteurs et créer une équipe pluridisciplinaire qui devra récolter et traiter des informations concernant les métiers ou les supports de l’entreprise. La phase de planification est l’une des plus importante, elle va déterminer les paramètres de l’analyse et permettre de sélectionner les étapes clés du projet.
Identification des actifs
Les actifs correspondent à tout ce qui a de la valeur pour une organisation, on parle ici de :
- Données (informations sensibles, données financières etc..)
- Systèmes informatiques (matériel informatique, logiciels, réseaux, serveurs etc…)
- Infrastructure physique (Bâtiments, locaux etc..)
- Propriété intellectuelle (brevets, méthodes de travail etc…)
Dans ce premier temps, il est important d’inventorier l’ensemble de ces actifs pour connaitre la portée de l’analyse. Chaque actif fera l’objet d’une analyse pour connaitre la valeur de celui-ci, ces analyses devront être effectuées par un propriétaire connaissant leur importance, on peut par exemple utiliser des critères comme la disponibilité, l’intégrité et la confidentialité pour obtenir une valeur.
Evaluation des menaces
Différentes menaces peuvent compromettre la sécurité des actifs d’une entreprise, dans un premier temps il est question de les identifier, qu’elles soient internes ou externes. Pour chaque menace il faut déterminer la gravité de l’impact sur un actif et la probabilité de survenir et ainsi obtenir un niveau de conséquences potentielles pour l’organisation, les menaces ayant une gravité / probabilité élevée font l’objet d’une priorisation de traitement.
Plan d’action et traitement des risques
Le plan d’action et le traitement des risques sont des étapes capitales de l’analyse de risque, elles vont permettre de gérer efficacement les risques identifiés.
L’élaboration du plan d’action prend en compte les résultats précédents pour réduire (mesures de sécurité), transférer (avec une autre entreprise ou un prestataire), éviter (arrêter une activité) ou accepter (jugé acceptable par le propriétaire de l’actif) les risques identifiés. La mise en œuvre des actions suit les règles de priorité définis auparavant.
L’analyse de risque se doit d’être réévaluer périodiquement pour garder une pertinence dans le temps et ainsi conserver des risques acceptables pour l’organisation.
Quels sont les meilleurs outils de l’analyse de risque pour son système d’information ?
Une analyse de risque peut être mener pour différentes raisons : dans le cadre d’une certification, pour augmenter la sécurité de son entreprise, à la suite d’une demande client ou imposé par une réglementation. Plusieurs référentiels aident à la réalisation d’une analyse de risque mais tous ne sont pas facile à maitriser :
ISO 27005
Une norme internationale qui fournit des lignes directrices pour la gestion du risque de l’information. Elle aide les entreprises à évaluer, gérer et traiter les risques liés à la sécurité de l’information de façon structuré et normalisé. Cette norme facilite les décisions en guidant les acteurs dans la compréhension et la gestion des étapes de l’analyse.
EBIOS RM
EBIOS Risk Manager est une méthode française maintenue et mise à jour par l’ANSSI (l’Agence Nationale de la Sécurité des Systèmes d’Information), elle vise à aider les entreprises à gérer les risques liés aux systèmes d’information en proposant une démarche guidée et méthodiques. EBIOS RM prend en compte les risques techniques, organisationnels et humains ce qui lui permet de s’adapter aux besoins spécifiques de chaque organisation. L’avantage de cet outil est qu’il est complet et reconnu, il est considérablement utilisé en France ce qui fait de EBIOS RM un outil essentiel dans le domaine de la sécurité des systèmes d’information.
MEHARI
MEHARI est également une méthode de gestion des risques en matière de sécurité de l’information, développée par le CLUSIF (Club de la sécurité de l’information français). Elle répond aux lignes directrices de la norme ISO 27005 et donc peut être applicable en cas de certification ISO 27001. Plusieurs déclinaisons de cet outil sont disponibles :
- Mehari standard, version utilisée par des structures moyennes
- Mehari expert, pour tout type d’entreprise
- Mehari pro, une version simplifiée pour les petites et moyennes entreprises
- Mehari manager, qui permet de comprendre la méthode et utilisée pour des projets
Conclusion
L'analyse de risque d’un système d'information est d'une importance capitale pour plusieurs raisons. Tout d'abord, elle permet d'évaluer les éventualités et les conséquences plausibles de multiples risques, avant de décider des actions à mener et de leur ordonnancement, ce qui permet de réduire ces risques à un niveau acceptable. De plus, elle aide à identifier, quantifier, qualifier et prioriser chaque risque par rapport à ses impacts sur l'entreprise, ce qui permet de mettre en place une stratégie à court, moyen et long termes pour prioriser les travaux.
En outre, l'analyse de risque contribue à la sécurisation du système d'information en permettant de détecter les manquements, d'identifier les potentiels piratages informatiques et de prévenir des risques, renforçant ainsi la fiabilité et la protection face aux cyberattaques et aux événements pour impacts le système d’information de son organisation. Réaliser une analyse de risque sur son système d'information est donc essentiel pour protéger les actifs numériques et assurer une bonne hygiène informatique.
Maxime Consultant Avangarde Consulting : contact@avangarde-consulting.com
