Skip to main content

Identification des risques de cybersécurité et des impacts commerciaux

Objectifs de formation

Une fois cette unité terminée, vous pourrez :

  • Décrire comment identifier les risques de cybersécurité
  • Expliquer comment identifier la tolérance au risque d’une organisation en matière de cybersécurité et utiliser une méthodologie d’évaluation des risques
  • Décrire comment hiérarchiser les lacunes en matière de cybersécurité en vue de remédier à celles-ci

Identification des cyberrisques dans un contexte commercial

Parfois, essayer d’identifier des risques peut donner l’impression de regarder dans une boule de cristal. Cependant, la première étape de la gestion des risques consiste en réalité à identifier les actifs informationnels susceptibles de subir les conséquences d’une cyberattaque. Au fur et à mesure que vous identifiez les risques, vous collectez des données vous permettant de comprendre les menaces qui pèsent sur les infrastructures matérielles, les logiciels, les données client, la propriété intellectuelle et les utilisateurs de l’organisation. 

Lors de l’analyse des risques, il est utile de suivre une séquence d’événements pour identifier les risques sous toutes leurs formes et sous tous les angles. Vous pouvez avoir recours au processus d’analyse des menaces pour comprendre une menace donnée. Par exemple, une personne malveillante peut espionner pour le compte d’une nation qui souhaite voler des informations sensibles sur les antécédents de vos employés. Il se peut également qu’un hacktiviste en désaccord avec les campagnes de sensibilisation de votre organisation attaque votre site Web. Quelles sont les vulnérabilités existant dans votre environnement que des personnes malveillantes sont susceptibles d’exploiter, et quel serait l’impact d’une violation du système ? La réalisation de cet exercice vous permet de hiérarchiser les risques en fonction des menaces les plus importantes. 

Il est essentiel de considérer les risques de cybersécurité dans un contexte commercial. Le risque est composé de deux dimensions : la probabilité et l’impact. La probabilité quantifie la possibilité que le risque se concrétise. L’impact représente en quoi le risque peut avoir une incidence négative sur l’entreprise, qu’il s’agisse d’une perte sur le plan financier ou opérationnel, ou d’une atteinte à sa réputation. En outre, les gestionnaires de risques évaluent également à quel point les contrôles (ou les garde-fous/contre-mesures) en place contribuent à réduire la probabilité ou l’impact. Pour en savoir plus sur l’impact des atteintes à la réputation et l’importance de la technologie et de la confiance dans le monde professionnel, consultez le module Confiance numérique dans le cycle de vie du développement logiciel

Gérer les risques peut fortement ressembler au fait de jongler avec plusieurs balles à la fois. Lors de l’examen des risques, l’objectif ultime est de décider si l’atténuation d’un risque donné est pertinente par rapport aux résultats de l’entreprise et aux priorités générales en matière d’atténuation des risques. Lorsqu’elles mettent en œuvre le processus d’analyse des risques menant à cette décision, les organisations développent leur propre méthodologie ou ont recours à des outils d’évaluation des risques fournis par des fournisseurs spécialisés dans l’analyse des risques de cybersécurité. Découvrons maintenant comment vous, en tant que gestionnaire des risques de cybersécurité, aidez l’organisation à évaluer le niveau de risque qu’elle peut accepter.

Compréhension de la tolérance au risque et utilisation d’une méthodologie d’évaluation des risques

Le concept de gestion des risques joue un rôle prépondérant aussi bien dans la vie quotidienne qu’en matière de cybersécurité. En tant que gestionnaire des risques de cybersécurité, votre mission consiste à aider les dirigeants à évaluer le niveau de risque que l’organisation est prête à accepter, également appelé tolérance au risque de l’organisation. Ainsi, vous aidez l’organisation à déterminer quels sont ses actifs informatiques les plus précieux afin qu’elle puisse décider comment consacrer ses ressources temporelles, humaines et financières limitées à l’amélioration de sa posture de cybersécurité.

Annie travaille dans l’équipe de cybersécurité d’un hôpital. Elle est chargée de protéger l’organisation contre diverses menaces pesant sur la sécurité des systèmes d’information de l’établissement. L’une des menaces potentielles est qu’une personne malveillante pourrait lancer une attaque par logiciel de rançon sur le réseau informatique de l’hôpital, et empêcher ainsi le personnel de se connecter aux machines qu’il utilise pour gérer les données des patients. Elle s’inquiète aussi des attaques par hameçonnage qui peuvent compromettre les identifiants de connexion d’un médecin et détruire ou modifier les données médicales des patients. Elle considère également le risque qu’une personne malveillante exploite une vulnérabilité existant au sein d’un dispositif médical intelligent pour altérer les fonctionnalités de l’appareil. Une telle attaque pourrait facilement entraîner un décès. Bien qu’à ce jour, aucun patient n’ait été blessé suite à un incident de cybersécurité, si un dispositif médical présente une vulnérabilité, il pourrait permettre à des utilisateurs non autorisés d’envoyer des commandes sur celui-ci, ce qui pourrait provoquer des lésions chez un patient. 

Image représentant des données électroniques concernant des patients stockées au sein des systèmes d’un hôpital, ainsi qu’une personne malveillante tentant d’accéder aux informations.

Il existe diverses méthodologies d’évaluation des risques. Dans le cadre de cet exemple, nous nous concentrerons sur une seule de ces méthodologies. Annie emploie un cadre qui s’intéresse à la probabilité et à l’impact. Plusieurs méthodologies générales d’évaluation des risques informatiques ont recours à ces éléments. Elle quantifie son évaluation en attribuant un score. Elle peut utiliser une échelle telle que élevé-intermédiaire-faible ou attribuer une note allant de 1 à 100. Le fait d’attribuer un score facilite la hiérarchisation des risques et la détermination de ceux à traiter en premier. Lorsqu’elle a recours à un processus qualitatif consistant à évaluer un risque comme étant élevé/intermédiaire/faible, Annie peut déterminer la probabilité, l’impact et le score global en examinant des indicateurs quantitatifs tels que le nombre d’organisations similaires qui ont été confrontées à un risque donné. Elle peut également analyser des indicateurs qualitatifs, comme des conversations menées avec des responsables de systèmes et des analystes spécialisés dans le renseignement sur les menaces. 

Risque

Probabilité

Impact

Score global

Une attaque par logiciel de rançon limite la capacité du personnel à accéder aux données des patients sur le réseau

Intermédiaire

Élevée

Intermédiaire

Une attaque par hameçonnage compromet les identifiants de connexion d’un médecin, permettant ainsi à une personne malveillante de voler des informations confidentielles au sujet des patients

Élevée

Élevée

Élevée

Une personne malveillante exploite une vulnérabilité d’un dispositif médical pour altérer son fonctionnement

Faible

Élevée

Intermédiaire

Après avoir examiné les données et discuté avec les parties prenantes concernées, Annie détermine que le score global du risque d’attaque par hameçonnage est élevé. Annie décide donc de faire de ce problème une priorité absolue. Elle travaillera également avec les responsables des systèmes pour remédier aux autres risques, mais comme ce risque est associé à une forte probabilité d’occurrence et à un impact élevé, elle décide de s’en occuper en premier.

Lorsqu’elle procède à l’identification des risques, Annie garde à l’esprit les lois, réglementations, politiques et normes qui s’appliquent à son secteur d’activité, comme la loi HIPAA (Healthcare Insurance Portability and Accountability Act) relative à la protection des données des patients. Le non-respect des normes applicables expose son organisation à des risques juridiques et réglementaires. Elle doit donc y prêter une attention particulière. 

Identification des lacunes et définition de priorités pour l’application de mesures correctives

Il existe une blague sur les gestionnaires de risques qui dit ceci : « Nous avons pris en compte tous les risques potentiels, à l’exception des risques liés à l’évitement de tous les risques. » Toutes les entreprises numériques fonctionnent en composant avec un certain cyberrisque. Une fois que vous avez compris quels risques menacent concrètement la sécurité de votre organisation, l’étape suivante consiste à identifier quelle est la situation de référence associée à la posture de risque actuelle. 

Dans le cas d’Annie, cela implique d’identifier les protections actuellement en place pour empêcher une attaque par hameçonnage sur le compte de messagerie d’un médecin, et de déterminer quelles sont leurs lacunes par rapport aux mesures de sécurité qui devraient idéalement être appliquées. Elle collabore ensuite avec les responsables des systèmes et la direction de l’hôpital pour identifier des objectifs à court et à long terme en adéquation avec la stratégie globale de tolérance au risque et de sécurité. Elle suggère au responsable du système concerné d’envisager l’implémentation d’une technologie de filtrage des e-mails et fait appel à un prestataire tiers pour organiser auprès du personnel une formation mettant en scène une simulation d’attaque par hameçonnage. En effectuant cet exercice, elle aide l’hôpital à identifier une procédure pour atteindre l’état d’exposition au risque souhaité, dans lequel le risque qu’une attaque par hameçonnage parvienne à compromettre les données des patients est extrêmement faible. 

Évaluation de vos connaissances

Prêt à réviser ce que vous venez d’apprendre ? L’évaluation n’est pas notée : elle vous permet simplement de faire le point sur vos connaissances. Pour commencer, sélectionnez les mots appropriés parmi les options proposées dans les listes déroulantes du paragraphe. Lorsque vous avez fini de sélectionner tous les mots, cliquez sur Soumettre pour vérifier votre travail. Pour recommencer du début, cliquez sur Réinitialiser.

Bon travail. Maintenant, comment allez-vous, en fin de compte, déterminer quelles protections mettre en place ? Comment l’organisation peut-elle rester consciente de sa posture de sécurité ? Enfin, comment pouvez-vous parvenir à composer de manière équilibrée avec tous les risques auxquels est exposé un environnement informatique ? Nous approfondirons chacune de ces problématiques dans l’unité suivante, intitulée Protection d’une organisation grâce à la gestion des risques de cybersécurité. 

Ressources

Partagez vos commentaires sur Trailhead dans l'aide Salesforce.

Nous aimerions connaître votre expérience avec Trailhead. Vous pouvez désormais accéder au nouveau formulaire de commentaires à tout moment depuis le site d'aide Salesforce.

En savoir plus Continuer à partager vos commentaires