Identifier, analyser et suivre les risques de sécurité

La gestion des risques de sécurité n’est pas toujours intégrée dans les processus de gestion des entreprises. Pourtant connaître ses actifs (matériels et immatériels) et les risques associés est la première étape dans la construction de sa politique de sécuritéPour informationl’ISO a mis gratuitement à disposition la norme ISO31000 pour aider les entreprises à structurer leur approche de gestion des risques dans le contexte de situation sanitaire que nous connaissons.

L’erreur la plus fréquente est de mettre en œuvre des outils de sécurité sans réaliser d’analyse de risques. De fait, les budgets engagés sont mal maîtrisés et ne s’intègrent pas dans une démarche d’amélioration continue de la sécuritéUne analyse de risques va permettre de définir des priorités dans les mesures de protection, d’associer un coût à un risque en fonction des choix de protéger ou pas un actif de l’entreprise. L’évaluation de la probabilité qu’une menace touche l’entreprise et son impact aidera à définir des priorités dans les engagements de dépenses sécurité de l’entreprise.  

Sans outil, les méthodes internes d’analyses de risques s’appuient sur un exemple de modèles de documents avec des stockages plus ou moins bien gérés sur le long terme. Ainsi, on trouvera des versions de fichiers Excel combinés à des documents Powerpoint qui constituerons les informations relatives à l’identification des risques, l’analyse des risques et l’évaluation des risques

Advisecurity a identifié l’outil cq-riskpro de CipherQuest (Europe : Luxembourg). Cet outil est très intéressant pour établir sa méthode d’analyse de risques au sein de l’entreprise.

CipherQuest devient le réceptacle des informations collectées tout en proposant une approche organisée dans le temps. Cet outil facilite les itérations d’analyses successives et régulières impératives pour conserver le meilleur niveau de gestion de ses risques de sécurité. L’infographie réalisée par CipherQuest résume bien l’approche organisée.

La solution cq-riskpro propose de mettre en place une gestion des risques de sécurité des actifs de l’entreprise (un actif peut être un ordinateur, une application, un service, une donnée, etc.). Chaque actif va se voir associer un niveau de risque avec tout l’historique des plans de remédiation Plusieurs référentiels de sécurité comme NIS, ISO27001, RGPD intégrés dans l’outil permettent de structurer les analyses, réaliser aussi un affichage des écarts et définir les actions à mener. L’outil s’appuie sur la norme ISO27002 et le référentiel NIST pour proposer les bonnes pratiques à mettre en œuvre.   

L’outil guide l’analyse et permet de disposer d’une définition cohérente des risques quel que soit l’acteur qui réalise cette analyse de risques. Le suivi des risques est alors facilité notamment au niveau des risques résiduels. Un rapport complet peut être exporté rapidement et permet d’afficher que la sécurité est gérée et prise au sérieux dans l’entreprise. La réponse à des demandes d’auditeurs ou de régulateurs devient plus facile car les éléments sont structurés et disponibles rapidement. 

Le fait de disposer d’une démarche outillée permettant de suivre et afficher rapidement ce type d’informations donne aussi à l’entreprise un avantage commercial (confiance) dans le cadre de mise en place de contrats de prestations de conseil, de sous-traitance ou dans la fourniture de services Cloud.

 

 Besoin d’un conseil ou d’un accompagnement ?

Vous recherchez un partenaire pour vous aider à mettre en œuvre un projet de sécurité

RENCONTRONS-NOUS