Comment gérer la sécurité des informations de votre entreprise

In Sécurité by Marc Barbezat

black-and-white-fog-lake-31642-825x550

La complexité des environnements stockant  les informations des entreprises et la rapidité de leurs changements ont modifié en profondeur la manière avec laquelle  nous devons aborder aujourd’hui la sécurité des informations.  Les multiples dimensions à  considérer pour les protéger au mieux et les limites de moyens auxquelles  toute entreprise doit faire face nous oblige à  focaliser les  efforts sur les éléments les plus critiques et en conséquence  à  adopter une approche pilotée  par les risques.

Gérer la sécurité, c’est maîtriser ses risques

Logiquement, vous cherchez à  mieux protéger les informations que vous jugez les plus sensibles. Ce réflexe  correspond  totalement aux  principes de gestion des risques dans la mesure où

  1. vous avez apprécié quels  sont  les risques les plus importants ou autrement dit là  où ça risque de faire le plus mal;
  2. vous avez cherché la manière avec laquelle vous pouvez réduire ce risque, soit en  évitant qu’il fasse trop mal ou qu’il ait finalement que peu de chance de survenir.

Vous avez ainsi les deux composantes clés de la gestion des risques:

  1. Le risque lui-même qui correspond à  un  danger éventuel, plus ou moins prévisible, inhérent à  une situation ou à  une activité;
  2. Les contrôles qui permettent de réduire ce risque.

Ce qui peut être simplement représenté de la manière suivante:

Risque et contrôle

Un contrôle permet de diminuer le niveau de risque

En langage mathématique, le risque se traduit par une fonction intégrant des variables relatives à  l’importance du danger et la probabilité de survenance:

Risque = f (impact, probabilité)

Selon cette formule, la gestion des risques consiste à   intervenir à  intervenir sur une ou les deux dimensions possibles, soit l’impact et/ou la probabilité.

Les 4 stratégies de gestion des risques

En théorie, quatre stratégies de base sont possibles pour gérer les risques et la pratique nous montre qu’il s’agit habituellement d’une combinaison d’entre elles:

  • La suppression du risque:  la plus efficace mais rarement réalisable totalement car elle consiste souvent à  l’abandon de l’élément essentiel. Par exemple en confisquant le vélo  à  un enfant, il est préservé du risque d’avoir d’un accident à  vélo;
  • La réduction du risque: La méthode la plus logique qui consiste à  mettre en place des mesures pour réduire  l’impact ou la probabilité de survenance d’un événement qui présente un danger;
  • Le transfert du risque qui consiste à  externaliser le risque et sa gestion. C’est le cas typique pour lequel on se tourne vers une assurance: Le risque de devoir débourser une grosse somme d’un coup lors d’un éventuel accident nous pousse à  payer des primes (de risque) à  l’assurance. L’externalisation informatique est également un exemple typique de transfert de risque;
  • L’acceptation du risque. En sachant que le risque zéro n’existe pas, c’est également une  stratégie. On parle alors  d’appétit pour les risques, ce qui caractérise cette capacité et volonté d’accepter les risques.

Les types de contrôle pour réduire le risque

Le contrôle est une mesure qui va permettre de réduire le risque comme vu ci-dessus et il s’appuie sur 3 types de mesures:

Triangle PPT - Personne - Processus - Technologie

Les 3 dimensions élémentaires pour  réduire le risque

  • organisationnel > l’organisation et les responsabilités sont arrangées de manière à  réduire le risque;
  • processus > les tà¢ches et la manière dont elles sont réalisées permettent de réduire le risque;
  • technique > un outil ou une technologie permet de diminuer le risque comme par exemple en automatisant une série d’opérations à  l’aide d’un développement informatique.

Habituellement, les contrôles sont catégorisés au sein de 2 familles distinctes:

  • Préventif: Le contrôle mis en place a pour objectif de prévenir le risque par exemple en s’assurant, par exemple, qu’une personne ne peut pas saisir et valider une même transaction pour le risque de fraude;
  • Détectif: Le contrôle a pour objectif de détecter si un risque s’est réalisé. Comme un détective qui arrive sur la scène du crime après le meurtre, le contrôle détectif peut être, par exemple, une revue des journaux d’événements informatiques (logs);

Les bonnes pratiques prévoient  qu’un risque doit être couvert en principe par 2 contrôles préventif et détectif. Ainsi,  si la prévention n’a pas correctement fonctionné, le contrôle détectif devrait être en mesure de rattraper le risque dans un deuxième temps.

Un tableau pour identifier les actions prioritaires

Le risque final consiste donc à  apprécier l’efficacité des contrôles prévus ou mis en place pour réduire un risque. Dans ce but, voici un exemple de tableau d’analyse de risque que vous pouvez compléter à  votre guise selon vos besoins:

Le fichier est également accessible via ce lien: Fichier d’analyse de risque

Ce simple tableau a pour objectifs  de:

  1. Lister les principaux risques. A noter que cette liste doit être spécifique à  votre environnement et à  votre organisation;
  2. Mettre en relation les risques et les contrôles en place;
  3. Identifier les risques finaux et en particulier ceux que l’on évalue comme les plus élevés;
  4. Poser les actions d’amélioration ou de correction en ligne avec des  risques clairement identifiés et  prioritaires.

Il est important de  se rappeler que l’analyse de risque n’est pertinente que si elle prend effectivement en compte votre environnement et ses spécificités en termes d’organisation, de processus / fonctionnement et d’outils technologie.

Il faut également être conscient que le risque peut évoluer très vite selon les domaines, comme par exemple: l’apparition d’une vulnérabilité critique dans votre firewall qui nécessite l’installation d’un patch de sécurité dans les meilleurs délais, un collaborateur administrant  les accès à  vos informations qui menace de prendre en otage vos données, un dirigeant qui perd son portable débordant  de données sensibles, …

Le bon sens pour bien gérer la sécurité de ses informations

Comme cet article le montre, la gestion de la sécurité est surtout une affaire de gestion des risques. Elle n’est pas mathématique  mais  subjective car chaque personne a  une appréciation  personnelle de la sécurité, des dangers, des impacts potentiels et des mesures de contrôles en place.

Certes un tableau d’analyse des risques est un outil important et structurant mais il ne doit surtout pas faire oublier l’importance du jugement humain. Gérer la sécurité doit surtout  s’appuyer sur ce bon sens afin qu’elle  ne  se réduise  pas à  un calcul théorique de risques décorrélé de la réalité et du pragmatisme nécessaire à  la conduite de toutes les entreprises.

A propos de l'auteur

Marc Barbezat

Facebook Twitter Google+

Spécialiste Sécurité-Fintech et blogueur, je suis surtout un veilleur passionné par l'innovation et les nouvelles tendances.