La gestion des cyber-risques, également appelée gestion des risques de cybersécurité, est le processus d’identification, de hiérarchisation, de gestion et de surveillance des risques qui pèsent sur les systèmes d’information. Les entreprises de tous les secteurs ont recours à la gestion des cyber-risques pour protéger leurs systèmes d’information contre les cyberattaques et autres menaces numériques et physiques.
La gestion des cyber-risques joue désormais un rôle essentiel dans le processus plus large de la gestion des risques. En effet, les entreprises de tous les secteurs s’appuient aujourd’hui sur les technologies de l’information pour mener à bien leurs activités clés. Elles sont par conséquent exposées à la cybercriminalité, aux erreurs des employés, aux catastrophes naturelles et à d’autres menaces liées à la cybersécurité. Ces menaces peuvent entraîner la mise hors service de systèmes essentiels et causer d’autres dommages, conduisant à des pertes de revenus, au vol de données, à des atteintes à la réputation sur le long terme et à des amendes réglementaires.
Si ces risques ne peuvent être éliminés, les programmes de gestion des cyber-risques permettent de réduire l’impact et la probabilité des menaces. Les entreprises qui appliquent un processus de gestion des cyber-risques peuvent identifier les menaces les plus critiques et prendre les mesures de sécurité informatique appropriées en fonction de leurs priorités, de leurs infrastructures informatiques et de leurs niveaux de ressources.
Les cyber-risques peuvent difficilement être évalués avec une certitude absolue. En effet, les entreprises ont rarement une visibilité totale sur les stratégies des cybercriminels, les vulnérabilités de leur propre réseau et les risques plus imprévisibles comme les événements météorologiques extrêmes ou les négligences des employés. De plus, les mêmes types de cyberattaques peuvent avoir des conséquences différentes d’une entreprise à une autre. Par exemple, les violations de données coûtent en moyenne 10,1 millions de dollars dans le secteur de la santé, contre 2,9 millions de dollars dans le secteur de l’hôtellerie, selon le rapport 2023 sur le coût d’une violation de données d’IBM.
C’est pourquoi des organismes comme le National Institute of Standards and Technology (NIST) suggèrent d’aborder la gestion des cyber-risques comme un processus continu et itératif plutôt que comme un événement ponctuel. La révision régulière du processus permet en effet à l’entreprise d’intégrer de nouvelles informations et de s’adapter à l’évolution des menaces et de ses propres systèmes informatiques.
Pour s’assurer que les décisions prises concernant les risques tiennent compte des priorités et des expériences de l’ensemble de l’entreprise, ce processus doit être géré par plusieurs parties prenantes. Les équipes de gestion des cyber-risques peuvent comprendre des directeurs, des cadres supérieurs comme le directeur général ou le responsable de la sécurité des systèmes d’information (RSSI), des membres des équipes informatique et de sécurité, des membres des services juridique et RH, ainsi que des représentants d’autres départements.
Les entreprises peuvent s’appuyer sur de nombreuses méthodologies de gestion des cyber-risques, notamment les frameworks de cybersécurité et de gestion des risques du NIST. Bien que ces méthodes diffèrent légèrement, elles comprennent toutes les mêmes étapes fondamentales.
L’encadrement des risques consiste à définir le contexte entourant la prise de décision en matière de risques. Lorsqu’elles encadrent les risques dès le départ, les entreprises peuvent aligner leurs stratégies de gestion des risques sur leur stratégie métier globale. Cet alignement permet d’éviter les erreurs inutiles et coûteuses, comme le déploiement de contrôles qui interfèrent avec les fonctions clés de l’entreprise.
Pour encadrer les risques, les entreprises définissent les éléments suivants :
La portée du processus. Quels systèmes et quels actifs seront examinés ? Quels types de menaces seront étudiés ? Dans quel horizon temporel le processus s’inscrit-il (par exemple, les risques au cours des six prochains mois, les risques au cours de l’année suivante, etc.) ?
L’inventaire et la hiérarchisation des actifs. Que contient le réseau en termes de données, d’appareils, de logiciels et d’autres actifs ? Parmi ces actifs, lesquels sont les plus importants pour l’entreprise ?
Les ressources et les priorités organisationnelles. Quels systèmes informatiques et quels processus métier sont les plus importants ? Quelles ressources, financières et autres, l’entreprise consacrera-t-elle à la gestion des cyber-risques ?
Les exigences légales et réglementaires. Quelles lois, normes et autres mandats l’entreprise doit-elle respecter ?
Toutes ces considérations, entre autres, donnent à l’entreprise des lignes directrices pour prendre des décisions concernant les risques. Elles permettent également à l’entreprise de définir sa tolérance aux risques, c’est-à-dire les types de risques qu’elle peut accepter et ceux qu’elle ne peut pas.
Les entreprises procèdent à des évaluations des risques de cybersécurité pour identifier les menaces et les vulnérabilités, estimer leurs impacts potentiels et hiérarchiser les risques les plus critiques.
La manière dont une entreprise évalue les risques dépend des priorités, de la portée du processus et de la tolérance aux risques définis lors de l’étape de l’encadrement des risques. La plupart des évaluations portent sur les éléments suivants :
Les menaces sont des personnes et des événements susceptibles de perturber un système informatique, de voler des données ou de compromettre la sécurité des informations. Les menaces comprennent les cyberattaques intentionnelles (comme les ransomwares ou le hameçonnage) et les erreurs commises par les employés (comme le stockage d’informations confidentielles dans des bases de données non sécurisées). Les catastrophes naturelles, comme les tremblements de terre et les ouragans, peuvent également menacer les systèmes d’information.
Les vulnérabilités sont les failles ou les faiblesses d’un système, d’un processus ou d’un actif que les menaces peuvent exploiter pour causer des dommages. Les vulnérabilités peuvent être d’ordre technique, comme un pare-feu mal configuré qui laisse pénétrer des logiciels malveillants dans un réseau ou un bogue du système d’exploitation que les pirates peuvent utiliser pour prendre le contrôle d’un appareil à distance. Les vulnérabilités peuvent également résulter de politiques et de processus faibles, comme une politique de contrôle d’accès laxiste qui permet à des personnes d’accéder à plus d’actifs que nécessaire.
Les impacts correspondent aux répercussions qu’une menace peut avoir sur l’entreprise. Une cybermenace peut perturber les services essentiels, ce qui entraîne des temps d’arrêt et une perte de revenus. Les pirates informatiques peuvent voler ou détruire des données sensibles. Les escrocs peuvent utiliser des attaques de compromission de la messagerie d’entreprise pour inciter les employés à leur envoyer de l’argent.
Les impacts d’une menace peuvent s’étendre au-delà de l’entreprise. En effet, les clients dont les informations personnelles identifiables (PII) ont été volées lors d’une violation de données sont également victimes de l’attaque.
L’impact exact d’une menace de cybersécurité peut être difficile à quantifier, c’est pourquoi les entreprises s’appuient généralement sur des données qualitatives comme les tendances historiques et les récits d’attaques subies par d’autres entreprises pour estimer l’impact de la menace. La criticité des actifs est également un facteur important : plus un actif est critique, plus les attaques dont il fait l’objet seront coûteuses.
Le risque mesure la probabilité qu’une menace affecte l’entreprise ainsi que l’ampleur des dommages qu’elle pourrait causer. Les menaces qui sont susceptibles de se produire et de causer des dommages importants sont les plus risquées, tandis que les menaces peu probables qui causeraient des dommages mineurs sont les moins risquées.
Lors de l’analyse des risques, les entreprises prennent en compte plusieurs facteurs pour évaluer la probabilité d’une menace. Les contrôles de sécurité existants, la nature des vulnérabilités informatiques et les types de données détenues par une entreprise sont autant d’éléments qui peuvent influencer la probabilité d’une menace. Même le secteur d’activité de l’entreprise peut avoir son importance : selon le X-Force Threat Intelligence Index, les entreprises des secteurs de la fabrication et de la finance subissent d’avantages de cyberattaques que celles des secteurs des transports et des télécommunications.
Les évaluations des risques peuvent s’appuyer sur des sources de données internes, comme des systèmes de gestion des informations et des événements de sécurité (SIEM) et des renseignements externes sur les menaces. Elles peuvent également étudier les menaces et les vulnérabilités de la chaîne d’approvisionnement de l’entreprise, car les attaques visant les fournisseurs peuvent avoir des répercussions sur l’entreprise.
La prise en compte de tous ces facteurs permet à l’entreprise d’établir son profil de risques. Un profil de risques recense tous les risques susceptibles d’affecter l’entreprise, en les classant par ordre de priorité en fonction de leur degré de criticité. Plus une menace présente un risque élevé, plus elle est critique pour l’entreprise.
Les entreprises s’appuient sur les résultats de l’évaluation des risques pour déterminer la manière dont elles répondront aux risques potentiels. Les risques jugés très improbables ou à faible impact peuvent simplement être acceptés, car l’investissement dans des mesures de sécurité peut se révéler plus coûteux que le risque lui-même.
Les risques probables et les risques à fort impact doivent généralement être traités. Différentes réponses sont alors possibles :
L’atténuation consiste à utiliser des contrôles de sécurité pour rendre plus difficile l’exploitation d’une vulnérabilité ou pour minimiser l’impact de cette exploitation. Il peut s’agir, par exemple, d’installer un système de prévention contre les intrusions (IPS) à proximité d’un actif important ou de mettre en œuvre des plans de réponse aux incidents pour détecter et traiter rapidement les menaces.
La résolution consiste à éliminer complètement une vulnérabilité afin qu’elle ne puisse plus être exploitée. Il peut s’agir, par exemple, de corriger un bogue logiciel ou de retirer un actif vulnérable.
Si des mesures d’atténuation ou de résolution ne peuvent pas être mises en place, l’entreprise peut transférer la responsabilité du risque à une autre partie. Le plus souvent, les entreprises transfèrent le risque en souscrivant une cyber-assurance.
Les entreprises surveillent leurs nouveaux contrôles de sécurité pour vérifier qu’ils fonctionnent comme prévu et qu’ils respectent les exigences réglementaires applicables.
Les entreprises surveillent également l’ensemble du paysage des menaces et leur propre écosystème informatique. Le moindre changement, comme l’apparition de nouvelles menaces ou l’ajout de nouveaux actifs informatiques, peut créer de nouvelles vulnérabilités ou rendre obsolètes des contrôles qui étaient efficaces jusqu’alors. En assurant une surveillance continue, les entreprises peuvent adapter leur programme de cybersécurité ainsi que leur stratégie de gestion des risques quasiment en temps réel.
Avec l’utilisation progressive de la technologie par les entreprises, que ce soit pour leurs opérations quotidiennes ou leurs processus métier critiques, les systèmes informatiques sont devenus de plus en plus conséquents et complexes. L’explosion des services cloud, l’essor du télétravail et la dépendance croissante à l’égard de fournisseurs de services informatiques tiers ont multiplié le nombre de personnes, d’appareils et de logiciels présents dans le réseau des entreprises. Et plus un système informatique se développe, plus son périmètre de vulnérabilité augmente. Les programmes de gestion des cyber-risques permettent alors aux entreprises de cartographier et de gérer leur périmètre de vulnérabilité afin d’améliorer leur posture de sécurité.
Par ailleurs, les menaces évoluent constamment. Chaque mois, environ 2 000 nouvelles vulnérabilités viennent s’ajouter à la base de données des vulnérabilités du NIST (lien externe à ibm.com). Des milliers de nouvelles versions de logiciels malveillants sont également détectées chaque mois (lien externe à ibm.com) et il ne s’agit là que d’un seul type de cybermenace.
Il serait irréaliste et financièrement impossible pour une entreprise d’éliminer toutes les vulnérabilités et de contrer toutes les menaces. La gestion des cyber-risques est une méthode plus efficace qui se concentre sur les menaces et les vulnérabilités les plus susceptibles d’avoir un impact sur l’entreprise. Ainsi, l’entreprise n’applique pas de contrôles coûteux sur les actifs de faible valeur et non critiques.
Les programmes de gestion des cyber-risques peuvent également aider les organisations à respecter le règlement général sur la protection des données (RGPD), la loi Health Insurance Portability Accountability Act (HIPAA), la norme de sécurité des données de l’industrie des cartes de paiement (PCI-DSS) et d’autres réglementations. Dans le cadre du processus de gestion des cyber-risques, les entreprises tiennent compte de ces normes lorsqu’elles élaborent leurs programmes de sécurité. Les données et les rapports générés au cours de la phase de surveillance peuvent aider les entreprises à prouver qu’elles ont fait preuve de diligence lors des audits et des enquêtes menées à la suite d’une violation.
En outre, les entreprises doivent parfois respecter des frameworks spécifiques de gestion des risques. Les agences fédérales américaines doivent par exemple adhérer aux frameworks de cybersécurité et de gestion des risques du NIST. Certains fournisseurs fédéraux doivent également se conformer à ces frameworks, car les contrats publics s’appuient souvent sur les normes du NIST pour définir les exigences en matière de cybersécurité.
Déjouez les cyberattaques grâce à une suite sécurité connectée et modernisée. Le portefeuille QRadar est doté d’une IA de niveau professionnel et offre des produits intégrés pour la sécurité des points de terminaison, la gestion des journaux, le SIEM et le SOAR, le tout avec une interface utilisateur commune, des informations partagées et des flux de travaux connectés.
La recherche proactive des menaces, la surveillance continue et l’examen approfondi des menaces ne sont que quelques-unes des priorités auxquelles doit faire face un service informatique déjà très occupé. En disposant d’une équipe de réponse aux incidents fiable, vous pouvez réduire votre temps de réponse, minimiser l’impact d’une cyberattaque et vous rétablir plus rapidement.
Gérez les risques informatiques en mettant en place des structures qui améliorent la maturité de votre cybersécurité grâce à une approche intégrée de gouvernance, de gestion des risques et de conformité (GRC).
Le Rapport sur le coût d’une violation de données présente les dernières découvertes sur l’évolution des menaces et vous propose des recommandations pour gagner du temps et limiter les pertes.
Découvrez comment les malfaiteurs mènent leurs attaques et comment protéger votre organisation de manière proactive.
La gestion des risques est le processus d’identification, d’évaluation et de contrôle des risques financiers, juridiques, stratégiques et de sécurité qui pèsent sur le capital et les bénéfices d’une organisation.