Présentation de la gestion des risques de cybersécurité
Objectifs de formation
Une fois cette unité terminée, vous pourrez :
- Décrire les objectifs d’un programme de gestion des risques de cybersécurité
- Expliquer l’importance de la gestion des risques de cybersécurité
Présentation de la gestion des risques de cybersécurité
Votre entreprise vient de conclure un accord pour l’utilisation d’un nouveau service de Cloud Computing. Voilà qui est formidable ! Cette nouvelle technologie facilite l’automatisation du développement d’applications et ouvre de nouvelles opportunités. Toutefois, arrêtons-nous un instant. Avez-vous envisagé l’impact potentiel d’une compromission par une personne malveillante des données traitées par cette nouvelle technologie ? Avez-vous pensé aux risques associés à l’usage de cette technologie ?
C’est dans de tels cas de figure que la gestion des risques de cybersécurité a un rôle à jouer. La gestion des risques de cybersécurité est le processus de gestion des risques associés aux actifs numériques commerciaux. Ce processus consiste en l’identification, l’évaluation et l’atténuation des risques afin de protéger la confidentialité, l’intégrité et la disponibilité des actifs d’une organisation. En tant que gestionnaire des risques de cybersécurité, il vous incombe d’œuvrer à obtenir une meilleure visibilité sur les risques encourus par votre entreprise, ses unités commerciales et ses systèmes afin de renforcer la cyberrésilience de votre organisation. La cyberrésilience fait référence à la capacité d’une organisation à prévenir et détecter les cybermenaces, à répondre à celles-ci et à assurer la reprise après sinistre. Dans un monde en constante évolution, de nouveaux cyberrisques et menaces apparaissent quotidiennement. Vous permettez à votre organisation de réagir aux événements en temps opportun, afin de minimiser les interruptions d’activité et les pertes financières. Il va donc sans dire qu’il s’agit d’une fonction relativement importante !
Alors, pour revenir à notre exemple du début, comment, en tant que gestionnaire des cyberrisques, identifiez-vous les risques liés à l’utilisation du nouveau service de Cloud Computing ? Pour commencer, vous devez considérer la probabilité que des menaces connues exploitent des vulnérabilités. Par exemple, existe-t-il des données client sensibles stockées dans le Cloud qu’une personne malveillante pourrait vouloir voler ? Existe-t-il des vulnérabilités connues dans les applications exécutées dans le Cloud qui pourraient permettre à une personne malveillante d’accéder aux informations qu’elles contiennent ? Si une telle violation se produisait, quel serait son impact potentiel sur votre entreprise sur le plan financier et opérationnel, ainsi qu’en matière de réputation ? Quelle est la probabilité que ce scénario se produise réellement ? Il s’agit là du type de questions auxquelles un gestionnaire de risques réfléchit quotidiennement.
Une fois que le risque lié à un certain programme, système ou technologie est identifié, l’organisation prend des mesures pour se protéger contre ce risque. Imaginez que vous souscrivez à une complémentaire santé. Lorsque vous bénéficiez de la couverture offerte par une mutuelle, vous n’avez pas à véritablement vous soucier du coût de vos factures de soins de santé. Si vous avez un accident, vous savez que vous pouvez bénéficier de soins de qualité et vous rétablir rapidement. Lorsque vous choisissez votre complémentaire santé, vous examinez attentivement les avantages et les coûts de chaque contrat afin de choisir celui qui répond le mieux à vos besoins en matière de soins de santé. De la même manière, en tant que gestionnaire des risques de cybersécurité, vous comparez les coûts et les avantages de l’atténuation des cyberrisques en implémentant des protections et en conseillant à l’organisation de mettre en œuvre le meilleur plan d’action.
Tout comme la souscription d’une couverture santé réduit le risque associé aux accidents, la gestion des cyberrisques « réduit » l’impact potentiel que pourrait avoir la compromission des données par une personne malveillante. Bien qu’il soit impossible d’éliminer complètement tous les risques, la gestion des cyberrisques minimise la probabilité qu’une personne malveillante puisse exploiter une vulnérabilité. Si une personne malveillante réussit à pirater un système, la gestion des risques peut toujours minimiser les interruptions d’activité et les pertes financières, afin que l’organisation puisse reprendre ses activités plus rapidement.
L’importance de la gestion des cyberrisques
Au fur et à mesure que votre organisation acquiert de nouveaux actifs technologiques et devient de plus en plus connectée, les menaces qui pèsent sur les données de vos clients et de votre entreprise augmentent également. Il est temps de mettre en place un plan visant à fournir le niveau adéquat de cyberprotection, afin que votre clientèle sache qu’elle peut faire confiance à votre organisation pour sécuriser ses informations. Gérer les cyberrisques signifie prendre des décisions réfléchies en matière de sécurisation des informations sensibles.
En tant que gestionnaire des cyberrisques, vous vous efforcez de faciliter l’identification et l’évaluation des risques, afin que tout le monde, de votre responsable à vos clients, ait connaissance de la tolérance au risque de votre organisation, ainsi que des actions et des coûts associés nécessaires pour gérer ces risques. Même si le fait d’assurer la gestion des risques de cybersécurité ne garantit pas que vous preniez toujours les bonnes décisions, cela permet de faire en sorte que chacun comprenne qui est responsable de gérer un risque donné pour l’amener à des niveaux acceptables.
Chaque organisation est unique face aux risques et au niveau de risque qu’elle est prête à assumer. Toutefois, la gestion des cyberrisques est une activité importante pour les organisations du monde entier, qu’elles soient petites ou grandes, et ce, dans tous les secteurs d’activité (finance, santé, institutions officielles, énergie, etc.) Les petites entreprises peuvent sous-traiter les fonctions de gestion des risques à un tiers. Vous pourriez être chargé de piloter la collaboration avec l’un de ces fournisseurs. Il se peut d’ailleurs même que vous travailliez pour une entreprise qui vend des services de gestion des risques de cybersécurité. En tant que membre de l’équipe de gestion des cyberrisques dans une grande organisation, vous devrez peut-être collaborer avec de nombreuses équipes au sein de votre structure pour comprendre les risques de manière globale, notamment en prenant part aux activités de l’équipe de gestion des risques de l’entreprise. Cette équipe gère de manière stratégique les risques variés auxquels l’organisation est exposée dans son ensemble, y compris ceux de nature financière, opérationnelle et juridique, en plus des risques de cybersécurité.
Évaluation de vos connaissances
Prêt à réviser ce que vous venez d’apprendre ? L’évaluation ci-dessous n’est pas notée, elle vous permet simplement de faire le point. Pour commencer, faites glisser l’une des descriptions de la colonne de gauche vers la catégorie lui correspondant à droite. Lorsque vous avez fini d’associer tous les éléments, cliquez sur Soumettre pour vérifier votre travail. Pour recommencer, cliquez sur Réinitialiser.
Vous avez bien travaillé ! N’oubliez pas que, quel que soit le type d’organisation pour laquelle vous travaillez, l’essentiel est de trouver le bon équilibre entre retombées positives et tolérance au risque. Dans l’unité suivante, vous en apprendrez davantage sur vos responsabilités en tant que gestionnaire des risques de cybersécurité en ce qui concerne la manière de composer avec les risques, ainsi que sur les compétences qui vous aideront à réussir dans ce rôle.
Ressources
- Trailhead : Développement de programmes de cyberrésilience
- Site externe : Norme ISO/CEI 27005 : 2022 Sécurité de l’information, cybersécurité et protection de la vie privée
- Site externe : Blog du Forum économique mondial : Pourquoi le cyberrisque devrait être une préoccupation centrale dans le secteur des services financiers
- Site externe : National Institute of Standards and Technology : cadre de gestion des risques pour les systèmes d’information et les organisations
- Site externe : GitHub : Awesome-security-GRC