Identifiez les risques afin de relancer un programme de niveau A d'atténuation

Identifiez les risques afin de relancer un programme de niveau A d'atténuation des risques Checklist d'évaluation des risques Tout ce qui est multiplié par zéro est égal à zéro. Si l’un des facteurs est nul, même si les autres facteurs sont élevés ou critiques, votre risque est nul. Le risque implique une incertitude. Si quelque chose doit obligatoirement arriver, il ne s’agit pas d’un risque. Qu’est-ce que l’évaluation des risques informatiques ? Avec des menaces aux données sensibles, de jour en jour plus nombreuses et sophistiquées, les organisations ne peuvent pas se permettre de disperser l’approche de la sécurité. Au contraire, elles doivent focaliser leurs budgets et ressources informatiques sur les vulnérabilités de leur seule position de sécurité. Pour ce faire, elles doivent identifier, analyser et hiérarchiser les risques à la confidentialité, à l’intégrité ou à la disponibilité de leurs systèmes de données ou d’informations, en se basant à la fois sur la probabilité de l'événement et le niveau de l'impact que cela aurait sur l'entreprise. Ce processus est appelé évaluation des risques informatiques. Le risque est un concept économique – la probabilité de pertes financières pour l’organisation est-elle élevée, moyenne, faible ou nulle ? Trois facteurs entrent en ligne de compte dans la détermination du risque : la nature de la menace, la vulnérabilité du système et l’importance de l’actif qui pourrait être endommagé ou rendu indisponible. Le risque peut donc être défini de la manière suivante : Risque = Menace X Vulnérabilité X Actif Le risque est ici représenté par une formule mathématique, pourtant il ne s’agit pas de chiffres, mais d’un concept logique. Supposons, par exemple, que vous souhaitiez évaluer le risque associé à une menace de piratage qui compromettrait un système particulier. Si votre réseau est très vulnérable (peut-être parce que vous n’avez ni pare-feu ni solution antivirus), et que l’actif est critique, votre risque est élevé. Mais si vous avez de bonnes défenses périmétriques et que votre vulnérabilité est faible, même si l’actif est critique, votre risque est moyen. Vous devez garder à l’esprit deux principes : 2 Pourquoi avez-vous besoin d’évaluer les risques informatiques ? L’évaluation des risques informatiques doit être le socle de votre stratégie de sécurité informatique afin de comprendre quels événements peuvent affecter votre organisation de manière négative et quelles lacunes de sécurité constituent une menace pour vos informations critiques. Vous pourrez, ainsi, prendre les meilleures décisions de sécurité et des mesures proactives plus astucieuses. L’évaluation des risques vous aide à déterminer les vulnérabilités dans les systèmes d’information et l’environnement informatique le plus étendu, à évaluer la probabilité d’un événement à risque, et l’importance des risques, en se basant sur l’estimation du risque combiné avec le niveau de l’impact que cela engendrerait si ça se produit. L’évaluation des risques informatiques est exigée par de nombreux règlements de conformité. Par exemple, si votre organisation doit se conformer à HIPAA ou au RGPD, l’évaluation des risques de sécurité d’informations est une nécessité pour votre organisation, afin de minimiser le risque de non-conformité et d’énormes amendes. Comme la plupart des organisations disposent d’un budget limité pour l’évaluation des risques, vous devrez probablement limiter la portée du projet aux actifs essentiels à la mission. De ce fait, vous devez définir une norme pour déterminer l’importance de chaque actif. Les critères habituels comprennent la valeur monétaire des actifs, leur statut juridique et leur importance pour l’organisation. Une fois la norme approuvée par la direction et intégrée officiellement à la politique de sécurité d’évaluation des risques, utilisez-la pour classer chaque actif que vous avez identifié comme critique, majeur ou mineur. ÉTAPE #1 Recueillir les informations dont vous avez besoin pour évaluer les risques. Voici quelques manières de procéder : ÉTAPE #2 Trouver quels éléments dans toute l'organisation qui puissent être endommagés par les menaces. Voici juste quelques exemples : Questionnez la direction, les propriétaires de données et les autres employés Analysez vos systèmes et vos infrastructures Revoyez la documentation Serveurs Site Internet Information de contact client Secrets commecieux Données de carte de crédit de clients 3 ÉTAPE #4 Identifier les menaces et leur niveau. Une menace est quelque chose qui pourrait exploiter une vulnéra- bilité pour violer votre sécurité et causer des dommages à vos biens. Voici quelques types communs de menaces : ÉTAPE #3 Identifier les conséquences potentielles. Déterminer quels dommages l’organisation pourrait subir si un actif donné a été endommagé. Il s’agit d’un concept d’entreprise, la probabilité de pertes financières ou autres. Voici quelques conséquences auxquelles vous devriez porter attention : Conséquences juridiques. Si quelqu’un vole des données dans l’une de vos bases de données, même si ces données ne sont pas particulièrement précieuses, vous pouvez encourir des amendes et d’autres frais juridiques parce que vous n’avez pas respecté les exigences de sécurité HIPAA, PCI DSS ou d’autres normes relatives à la protection des données. Perte de données. Le vol de secrets commerciaux peut vous faire perdre des marchés au profit de vos concurrents. Le vol d’informations clients peut entraîner une perte de confiance et une érosion de la clientèle. Interruption du système ou des applications. Si un système ne remplit pas sa fonction première, il est possible que les clients ne soient pas en mesure de passer des commandes, que les employés ne soient pas en mesure de faire leur travail ou de communiquer, etc. Catastrophes naturelles. Les inondations, les ouragans, les tremblements de terre, les incendies et d’autres catastrophes naturelles peuvent être plus destructeurs qu’un pirate informatique. Vous pouvez non seulement perdre des données, mais aussi vos serveurs et vos équipements. Au moment de décider où héberger vos serveurs, pensez aux risques de catastrophe naturelle. Par exemple, n’installez pas votre salle de serveurs au rez-de-chaussée dans une région qui présente un risque élevé d’inondation. Défaillance du système. La probabilité d’une défaillance du système dépend de la qualité de vos ordinateurs. Pour un équipement relativement neuf et de haute qualité, le risque de défaillance du système est faible. Mais si l’équipement est ancien ou s’il provient d’un fournisseur inconnu, le risque de défaillance est beaucoup plus élevé. Il est donc sage d’acheter du matériel de haute qualité, ou du moins assorti d’un bon support. Interférence humaine accidentelle. Cette menace est toujours élevée, quelle que soit votre activité. N’importe qui peut commettre des erreurs comme supprimer accidentellement des fichiers importants, cliquer sur des liens de logiciels malveillants ou endommager physiquement, par accident, un appareil. Vous devez donc sauvegarder régulièrement vos données, y compris les paramètres système, les listes de contrôle d’accès et autres informations de configuration, et surveiller attentivement toutes les modifications apportées aux systèmes essentiels. Humains malveillants. Il existe trois types de comportements malveillants : 4 L’interférence : quelqu’un cause des dommages à votre entreprise en supprimant des données, en créant un déni de service distribué (DDoS) contre votre site Web, en volant physiquement un ordinateur ou un serveur, etc. L’interception : un piratage classique, quelqu’un vole vos données L’usurpation d’identité : une utilisation abusive des identifiants de quelqu’un d’autre, souvent acquis via des attaques d’ingénierie sociale ou des attaques par force brute, ou encore achetés sur le dark Web. 5 ÉTAPE #5 Analyser les contrôles. Analysez les contrôles en place ou planifiés, pour minimiser ou supprimer la possibilité qu’une menace exploite une vulnérabilité du système. Des contrôles peuvent être mis en œuvre par des moyens techniques, tels que du matériel ou des logiciels informatiques, le chiffrement, des mécanismes de détection d’intrusion et des sous-systèmes d’identification et d’authentification. Les contrôles non techniques comprennent les politiques de sécurité, les mesures administratives et les mécanismes physiques et environnementaux. Les contrôles techniques et non techniques peuvent tous deux être classés comme contrôles préventifs ou de détection. Comme leur nom l’indique, les contrôles préventifs ont pour but d’anticiper et d’arrêter les attaques. Parmi les contrôles techniques préventifs, mentionnons les dispositifs de chiffrement et d’authentification. Les contrôles de détection servent à découvrir des attaques ou des événements par des moyens tels que les pistes d’audit et les systèmes de détection d’intrusion. ÉTAPE #6 Identifier les vulnérabilités et évaluez la probabilité de leur exploitation. Une vulnérabilité est une faiblesse qui permet à certaines menaces de violer votre sécurité et provoquer un dommage à un actif. Des vulnérabilités peuvent être physiques, comme les anciens équipements, ou un problème de conception ou de configuration de logiciels, telles que les autorisations d’accès excessives ou des postes de travail non protégés. Les vulnérabilités peuvent être identifiées au moyen d’analyses des vulnérabilités, de rapports d’audit, de la base de données du NIST sur les vulnérabilités, des données des fournisseurs, des équipes d’intervention en cas d’incident affectant les ordinateurs commerciaux et des analyses de sécurité logicielle système. Effectuer des tests sur le système informatique contribue également à identifier les vulnérabilités. Les tests peuvent inclure : Procédures de tests et d’évaluation de la sécurité informatique (ST&E) • Techniques de tests de pénétration Outils d’analyse automatisée des vulnérabilités Vous pouvez réduire les vulnérabilités qui concernent vos logiciels et gérant correctement les correctifs. Mais ne négligez pas les vulnérabilités physiques. Par exemple, en déménageant votre salle de serveurs au uploads/Management/ risk-assessment-checklist-fr.pdf

Documents similaires

COURS DE MANAGEMENT DES ORGANISATIONS & CREATION D’ENTREPRISE A L A IN M . M A 0 0

Gros plan RISQUE Faire face au risque de fraude Exploration du rôle de l’audit 0 0

Rechercher sur le site: Recherche Home | Publier un mémoire | Flux Securite dan 0 0

Audit des contrôles applicatifs GUIDE PRATIQUE D’AUDIT DES TECHNOLOGIES DE L’IN 0 0

Travaux pratiques nr.3 Nom:Raileanu Olga Groupe: F913 Discipline : Français app 0 0

Campagnes de communication sur la sécurité routière MANUEL POUR L’ÉLABORATION, 0 0

Université des Sciences et de la Technologie Houari Boumediene Faculté de Génie 0 0

Jules Karl-Heinz Martiny Sujet 1: Parler un peu de système de gestion dynamique 0 0

1. Introduction Centreon est un outil de supervision/monitoring au même titre q 0 0

LANGUES ANGLAIS APPLIQUÉ À L'INFORMATIQUE PROGRAMME DE LA FORMATION 3 JOURS Dat 0 0

• Détails
• Publié le Jui 28, 2021
• Catégorie Management
• Langue French
• Taille du fichier 0.3205MB