Protection d’une organisation grâce à la gestion des risques de cybersécurité
Objectifs de formation
Une fois cette unité terminée, vous pourrez :
- Concevoir et mettre en œuvre un programme de gestion des risques de cybersécurité en vous appuyant sur des cadres existants
- Décrire comment atténuer, transférer ou accepter un risque
- Expliquer les types de partenariats qu’il est nécessaire de nouer dans le cadre de la gestion des cyberrisques
Conception et mise en œuvre d’un programme de gestion des cyberrisques
Dans l’unité précédente, vous avez posé les bonnes questions pour identifier les cyberrisques dans un contexte commercial et obtenu les informations dont vous avez besoin pour comprendre la tolérance au risque de l’organisation. Il est désormais temps de gérer les risques de cybersécurité.
Le fait d’avoir recours au cadre adéquat permet de protéger plus facilement l’organisation. Vous pouvez développer et implémenter votre propre cadre ou exploiter les cadres et méthodologies de votre secteur d’activité. Il existe de nombreux cadres nationaux, internationaux et propres à des secteurs spécifiques parmi lesquels vous pouvez choisir. Le Forum économique mondial (FEM) a élaboré un livre blanc intitulé Faire progresser la cyberrésilience, qui contient un cadre de gestion des cyberrisques. Le cadre s’intéresse à divers actifs informatiques tels que les éléments de propriété intellectuelle, les actifs financiers et les actifs de sécurité physique, et évalue l’impact commercial d’une atteinte à la confidentialité, l’intégrité ou la disponibilité de ceux-ci.
Un autre cadre couramment utilisé est le National Institute of Standards and Technology (NIST) Cybersecurity Framework, qui organise les activités de cybersécurité et les résultats souhaités en cinq fonctions distinctes : l’identification, la protection, la détection, la réponse et la récupération. Ces fonctions permettent d’obtenir une vue d’ensemble de la maturité d’une organisation en matière de gestion des risques et peuvent être adaptées à des organisations des secteurs public et privé de toutes tailles dans le monde entier.
Les 20 meilleurs contrôles de sécurité critiques du Center for Internet Security constituent également une autre ressource couramment utilisée pour gérer les cyberrisques. Les organisations ont recours aux contrôles pour protéger leurs informations stratégiques et réduire les risques de compromission.
Parmi les autres cadres couramment utilisés, on trouve notamment les normes ISO/IEC 27001/2 relatives aux systèmes de management de la sécurité de l’information, la méthodologie FAIR (Analyse factorielle du risque informationnel) et des normes sectorielles telles que la norme de sécurisation des données des cartes de paiement (PCIDSS) dans le secteur financier, ainsi que la loi HIPAA (Healthcare Insurance Portability and Accountability Act) dans le secteur de la santé. Quel que soit le cadre que vous choisissez, gardez à l’esprit que le respect d’un cadre, d’une réglementation ou d’une politique est certes nécessaire, mais se révèle insuffisant. En tant que gestionnaire des risques de cybersécurité, vous devez gérer les risques à un niveau adéquat par rapport à la tolérance au risque de votre organisation, qui lui est propre.
Selon la taille de l’organisation, il peut s’avérer nécessaire d’intégrer les activités de gestion des cyberrisques aux missions d’une équipe de gestion des risques d’entreprise (ERM). Cette entité fonctionnelle, qui assure un traitement plus large de la gestion des risques, prend en considération les risques financiers et réglementaires en plus des risques opérationnels sur le plan organisationnel et stratégique. Par exemple, l’entité fonctionnelle ERM d’une entreprise pharmaceutique peut prendre en considération les risques financiers auxquels l’entreprise serait exposée dans le cas où le nouveau médicament qu’elle met au point n’obtiendrait pas d’approbation. L’entreprise peut également subir un impact négatif si une personne malveillante travaillant pour le compte d’un concurrent pénètre au sein des systèmes de l’entreprise et vole la formule secrète du médicament. Ce risque de cybersécurité et ce risque financier sont pris en considération lors de la gestion du risque global auquel est sujette l’organisation.
Après avoir choisi et adapté les cadres pertinents pour votre organisation, il est temps de les utiliser pour évaluer de manière continue vos unités commerciales, programmes, systèmes et fournisseurs tiers. Pour vous aider à comprendre les risques existant au sein de votre environnement, il est important d’identifier et de collecter à une fréquence régulière des données qui peuvent servir d’indicateurs des tendances en matière de risques. Par exemple, le gouvernement fédéral américain collecte chaque trimestre les métriques fournies par les directeurs des systèmes d’information qui sont définies dans la loi fédérale relative à la gestion des systèmes d’information (FISMA) afin d’aider les ministères et organismes publics à gérer leurs cyberrisques, à améliorer leurs prises de décision et à définir des priorités en ce qui concerne la mise en œuvre des améliorations.
Comprendre la posture de risque de base de l’organisation et ses objectifs d’amélioration vous permet de conseiller celle-ci sur les changements qu’elle doit apporter à sa stratégie, ses politiques et ses normes de cybersécurité. En tant que gestionnaire des risques de cybersécurité, vous contribuez également à la prise de décisions éclairées en ce qui concerne les contrôles et les mesures correctives à mettre en œuvre en priorité. Examinons plus en détail la manière dont vous pouvez prodiguer des conseils relatifs à l’implémentation de contrôles techniques.
Atténuation, transfert ou acceptation du risque
Le fait d’évaluer les différents aspects de chaque risque vous aide à les hiérarchiser et à y répondre. En tant que gestionnaire des risques de cybersécurité, votre travail n’est pas de gérer personnellement chaque risque, mais plutôt de conseiller, si nécessaire, les parties prenantes responsables de la gestion de ces risques sur les décisions qu’elles doivent prendre. Trois options s’offrent à une partie prenante responsable de la gestion d’un risque pour traiter celui-ci : elle peut choisir de l’atténuer, de le transférer, ou bien de l’accepter. Intéressons-nous à chacune de ces possibilités.
Atténuer le risque
La partie prenante responsable de la gestion du risque collabore avec un responsable de contrôles pour implémenter des contrôles de sécurité, afin de réduire les risques de manière adéquate en fonction du degré de confidentialité du système. Par exemple, au sein d’un hôpital, un administrateur de base de données peut collaborer avec l’équipe de gestion des accès pour implémenter une authentification à deux facteurs dans le cadre de l’accès aux données sensibles des patients. L’équipe met en place une procédure d’accès à la base de données exigeant d’une part que les membres du personnel saisissent un nom d’utilisateur et un mot de passe, et d’autre part qu’ils insèrent dans leur ordinateur une carte d’identification munie d’une puce intelligente tout en renseignant un code PIN. De cette manière, l’administrateur réduit le risque qu’une personne malveillante puisse accéder illégalement aux données des patients suite au vol des identifiants d’un employé via un e-mail d’hameçonnage.
Transférer le risque
Vous décidez que la prise en charge du risque requiert l’implémentation d’une solution technique trop complexe pour votre petite organisation ou qui ne correspond pas à votre domaine de compétences de base, et sous-traitez la gestion de ce risque à une autre équipe ou entreprise. Prenons l’exemple de Joe, qui travaille dans un cabinet comptable comptant trois personnes. Joe sait qu’il est important que son entreprise dispose d’une connexion sécurisée à l’Internet public afin d’éviter un scénario dans lequel des personnes malveillantes compromettraient les informations financières de ses clients par le biais d’une connexion non sécurisée. Cependant, Joe n’est pas expert en sécurité Internet. Il décide de faire appel à un prestataire de services de protocole Internet de confiance qui sera chargé de gérer la sécurité de sa connexion Internet en lui fournissant des services d’implémentation de pare-feu, de détection et de prévention des intrusions, et de mise à disposition de logiciels antivirus. Il inclut dans le contrat avec le fournisseur des dispositions relatives aux normes de sécurité qu’il attend que celui-ci respecte, tout en transférant à cette tierce partie le risque associé à la gestion d’une connexion Internet sécurisée.
Accepter le risque
Chaque organisation étant soumise à des contraintes en matière de ressources, il est impossible d’éliminer complètement tous les risques. Peut-être qu’après avoir réalisé une évaluation des risques, vous arriverez à la conclusion qu’un risque est si improbable qu’il n’est pas pertinent de consacrer du temps et des ressources financières à son élimination complète. Il se peut également que votre projet ne dispose actuellement pas du budget nécessaire pour mettre à niveau un système donné vers une technologie plus sécurisée. Dans ce cas, vous pouvez accepter le risque, soit indéfiniment, soit jusqu’à une date précise d’ici laquelle il sera atténué. Il est alors essentiel de documenter la décision et le calendrier associé si une atténuation est prévue. Ainsi, vous vous assurez que l’unité commerciale gère les risques de manière réfléchie, et qu’elle procède au suivi de ceux-ci et de leur impact sur la posture globale de l’organisation en matière de cyberrisques. Cette approche peut également servir à justifier des demandes de ressources budgétaires ou humaines supplémentaires pour un projet spécifique si le risque s’avère plus urgent que ce qu’avait indiqué votre analyse de départ.
Vous connaissez désormais les trois méthodes de gestion des risques. Voyons ensuite comment, en tant que gestionnaire des risques de cybersécurité, vous pouvez tirer parti de partenariats pour gérer efficacement les risques dans l’ensemble de l’organisation.
Exploitation de partenariats pour gérer efficacement les risques
En gérant les cyberrisques en équipe, votre organisation renforce sa posture de cybersécurité. Tout comme un capitaine ne peut pas gagner un match de football important sans le reste de son équipe, vous devez collaborer avec des acteurs de l’ensemble de l’organisation pour défendre l’entreprise et aller droit au but en matière de sécurité. Même si vous jouez un rôle de premier plan dans la détermination des actions qui permettront à l’organisation de réussir, sans établir des partenariats et une culture de cybersécurité globale, votre organisation ne sera jamais en mesure d’obtenir un succès significatif.
Marita gère les risques de cybersécurité au sein d’une banque. Elle utilise ses compétences en matière de communication et de collaboration ainsi que sa capacité de persuasion pour susciter l’adhésion de ses collègues, les sensibiliser et les responsabiliser afin de mettre en place une meilleure gestion des risques au sein de l’ensemble de l’organisation. Elle sollicite l’avis des équipes commerciales et technologiques, et veille à ce que le personnel comprenne son rôle dans l’implémentation et la supervision des contrôles de cybersécurité. Elle collabore avec le personnel de l’entreprise pour comprendre l’importance des divers systèmes et des données qu’ils contiennent, ainsi qu’avec les ingénieurs en sécurité des systèmes pour recommander et implémenter des mesures d’atténuation. Pour obtenir une vision globale des risques dans l’ensemble de la banque, elle travaille en partenariat avec le personnel de différentes équipes, dont celles chargées de la protection de la confidentialité et de la continuité des activités.
Marita s’appuie également sur l’équipe de renseignement sur les menaces pour mieux comprendre la nature actuelle des menaces qui pèsent sur son secteur d’activité. Elle collabore avec l’équipe qui gère les risques liés aux tiers pour faire en sorte d’avoir en permanence une visibilité sur les risques transférés à des fournisseurs externes. Elle travaille également en collaboration avec l’équipe juridique pour se tenir au courant des évolutions réglementaires pouvant avoir une incidence sur les exigences en matière de conformité que doit respecter l’organisation, ainsi qu’avec l’équipe de sensibilisation et de formation pour veiller à ce que les objectifs de sécurité soient compris par tous. Elle sait que le fait de prendre en compte les points de vue variés de ces équipes et d’autres équipes de l’organisation permet de mieux protéger celle-ci dans son ensemble.
Prêt à réviser ce que vous venez d’apprendre ? L’évaluation n’est pas notée : elle vous permet simplement de faire le point sur vos connaissances. Pour commencer, faites glisser l’un des intitulés de fonction figurant dans la colonne de gauche vers la catégorie lui correspondant à droite. Lorsque vous avez fini d’associer tous les éléments, cliquez sur Soumettre pour vérifier votre travail. Pour recommencer, cliquez sur Réinitialiser.
Évaluation de vos connaissances
Vous avez bien travaillé ! Dans l’unité suivante, vous en apprendrez davantage sur les procédures que les gestionnaires des risques de cybersécurité suivent pour détecter les risques, ainsi que pour réagir aux incidents et assurer la reprise après sinistre. C’est parti !
Ressources
-
Trailhead : Développement de programmes de cyberrésilience
-
Trailhead : Exploration du NIST Cybersecurity Framework
-
Site externe : NIST : Aperçu du cadre de gestion des risques (RMF)
-
Site externe : Center for Internet Security : Gestion des risques à l’aide de contrôles