Comment évaluer vos risques informatiques 

Le sujet de l’analyse des risques informatiques gagne sans cesse en importance dans l’environnement professionnel; en effet, aucune entreprise ne peut exister aujourd’hui sans informatique et surtout sans appareils connectés à Internet. Malgré d’indéniables avantages, l’utilisation d’une infrastructure numérique présente toutefois quelques risques qui sont susceptibles de menacer les activités de l’entreprise. Outre les attaques de type déni de service (DDos), logiciels malveillants et phishing ou les simples coupures de courant dans le centre de données, il existe aussi un risque lié aux applications exploitées par des tiers. Par ailleurs, l’utilisation inappropriée des appareils par les collaborateurs, autrement dit le «facteur humain», est tout aussi dangereuse.  

Lire l’article spécialisé: Que signifie le «facteur humain» en sécurité informatique? 

Analyse des risques informatiques: étape par étape

Étape n°1: identifier les risques 

Pour pouvoir éviter les risques, encore faut-il les connaître. Pour cela, dressez un schéma de l’informatique de votre entreprise en tenant compte également du «Shadow IT». Il s’agit là d’appareils utilisés officieusement, de solutions de contournement et d’autres adaptations mises en place par les collaborateurs. Veillez également à ne pas oublier non plus le statut des mises à jour des appareils et autres failles de sécurité. 

En matière de risques informatiques, la chaîne est aussi forte que son maillon le plus faible. Vous devez donc identifier les maillons les plus faibles de la chaîne. Passez en revue tous les systèmes et flux de données et notez chaque risque. Vous aurez rapidement une vue d’ensemble de là où se situent les principales failles. Ces risques peuvent être de différente nature: 

• Risques techniques: anciens appareils ou systèmes d’exploitation avec des failles de sécurité 

• Risques physiques: dégâts des eaux dans le centre de données ou vandalisme 

• Risques liés aux procédures: erreur humaine ou prise de conscience insuffisante de la gestion des risques

Étape n°2: structurer les risques 

Vous serez probablement surpris du grand nombre de risques que vous allez identifier. C’est tout à fait normal. La prochaine étape consiste donc à les structurer. Deux échelles sont importantes: 

1. Quelle est l’ampleur du dommage possible? 

2. Quelle est la probabilité qu’il survienne? 

Certains risques menacent l’existence de l’entreprise, tandis que d’autres ont des conséquences moins graves. L’utilisation d’appareils personnels sur le WiFi de l’entreprise constitue par exemple un grand risque. Si un appareil de ce genre n’est pas sécurisé, il peut permettre dans le pire des cas à des pirates d’accéder à l’ensemble des données des clients de l’entreprise. La deuxième échelle concerne la probabilité que le risque survienne. Par exemple, il est nettement moins probable qu’un serveur soit endommagé par une tempête de sable qu’un collaborateur télécharge par erreur un logiciel malveillant. 

Étape n°3: prioriser les risques

Une fois que vous avez identifié et structuré les risques, vous devez les prioriser. On peut utiliser pour cela un système de points par exemple. La règle est la suivante: un risque dont le potentiel de nuisance est élevé et qui a une forte probabilité de survenir se trouvera en haut de la liste des priorités.  

Toutefois, un autre aspect doit encore entrer en ligne de compte: certains risques peuvent être éliminés aisément, d’autres pratiquement pas du tout. Ainsi, il est rapide de procéder à une mise à jour logicielle, mais on ne change pas un système central sans avoir prévu de remplacement ni de stratégie. La règle change donc un peu: même si un risque est improbable et ne peut entraîner que des dommages limités, s’il peut être éliminé en 10 minutes, alors il faut le faire. 

Étape n°4: définir des mesures 

Après la priorisation, il convient de définir des mesures et des processus concrets ainsi qu’un calendrier. Même s’il peut sembler plus judicieux au début de s’occuper directement des risques prioritaires et faciles à éliminer, une bonne planification doit toujours contenir des éléments à court, à moyen et à long terme. N’oubliez pas non plus que de nombreux risques demandent des actions récurrentes, comme les mises à jour logicielles.  

En plus de mesures, définissez aussi des processus et intégrez ces derniers dans le paysage de processus existant. Formez tous vos collaborateurs et n’abordez pas le sujet de la sécurité informatique au sein d’un seul service. En effet, plus il y aura de collaborateurs sensibilisés au sujet, mieux votre entreprise sera protégée. 

Étape n°5: élaborer un plan d’urgence 

N’oubliez pas d’élaborer un plan d’urgence. Il est certes possible de minimiser les risques, mais il arrive souvent qu’on ne puisse pas les éviter complètement. Vous devez donc avoir des plans d’urgence et des systèmes de sauvegarde prêts pour ces cas-là.  En effet, lorsqu’un événement de ce genre surgit, il n’est souvent plus possible d’agir de façon structurée. Il convient donc de clarifier en amont comment l’entreprise peut continuer de fonctionner ou comment l’infrastructure et les activités peuvent être restaurées dans ces conditions. 

Malgré une bonne planification ainsi que la mise en place d’une culture de sécurité, veillez à ne pas devenir inefficace et paralyser des processus essentiels de l’entreprise. La sécurité informatique doit être un élément organique de votre activité et être appliquée par tous les collaborateurs – et non un aspect pénible qui complique chaque processus.