Mand tenant une tablette

À la base, la cybersécurité est la pratique consistant à protéger les systèmes informatiques, les réseaux et les données contre le vol, les dommages ou l’accès non autorisé. Et là où il y a un besoin de protection, il y a un besoin de gestion des risques.

En matière de sécurité informatique, le risque fait référence au potentiel de perte ou de préjudice lié à l’infrastructure technique ou à l’utilisation de la technologie par votre organisation. Ce risque englobe à la fois la probabilité qu’une cybermenace se matérialise et son impact potentiel.

Une idée fondamentale à comprendre à propos du risque est qu’il est inévitable. Cependant, atténuer chaque risque est à la fois prohibitif et gourmand en ressources.

Cet article fournit un guide sur l’acceptation des cyber-risques et souligne le rôle précieux des tests d’intrusion continus à prendre des décisions éclairées en matière d’acceptation des risques.

Publicité

Définir l’acceptation des risques dans un contexte de cybersécurité

L’acceptation des risques est une stratégie dans laquelle une organisation décide quels risques elle peut accepter en fonction de l’impact potentiel. Les RSSI, en collaboration avec les autres décideurs exécutifs, sont les mieux placés pour identifier les risques qui constituent les plus grandes menaces pour l’organisation et les risques à éviter, transférer, atténuer ou accepter.

Il existe en effet différents niveaux d’acceptation du risque qu’il convient de définir :

Acceptez le risque pour toujours

Cela fait référence au moment où vous prenez la décision consciente de reconnaître une vulnérabilité ou une menace connue, mais de ne pas y remédier. Accepter un risque pour toujours ne signifie pas que vous l’ignorez. Au lieu de cela, ce niveau d’acceptation signifie qu’après une évaluation minutieuse, votre entreprise considère le risque comme tolérable dans son contexte opérationnel actuel.

Par exemple, vous pourriez accepter une vulnérabilité logicielle mineure qui affecte un système non critique, a de très faibles chances d’exploitation et nécessite un coût disproportionné pour sa réparation.

Accepter temporairement

Ce niveau d’acceptation du risque implique de prendre la décision de mettre en œuvre éventuellement des contrôles, des politiques ou des procédures pour réduire l’impact ou la probabilité qu’un risque se matérialise.

Ici, vous acceptez temporairement le risque, mais vous y effectuez un suivi après un nombre de jours défini pour mettre en œuvre des mesures d’atténuation, qu’il s’agisse d’une mise à jour logicielle ou du blocage d’un système à partir d’Internet.

Transférer le risque

Le transfert de risque implique le transfert de la responsabilité ou du fardeau d’un risque vers un tiers. Cela se produit généralement en souscrivant une police d’assurance cyber. Une autre méthode de transfert de risque consiste à externaliser certaines fonctions informatiques ou à faire appel à des fournisseurs de cloud tiers.

Le risque n’a pas disparu ici ; au lieu de cela, une autre entreprise se charge d’atténuer le risque.

Éliminer maintenant

Ce scénario s’applique lorsqu’il est important d’éliminer le risque le plus rapidement possible pour préserver les fonctionnalités opérationnelles ou protéger les données et les systèmes contre les menaces imminentes. Les vulnérabilités logicielles critiques entrent souvent dans cette catégorie de risques.

Ici, il n’y a aucune acceptation du risque car vous refusez d’accepter les conséquences potentielles d’un risque donné.

Les différents types d’acceptation des risques illustrent la nature nuancée de la cybersécurité, où toutes les menaces ne nécessitent pas une action immédiate et où toutes les vulnérabilités ne nécessitent pas une solution instantanée.

Meilleures pratiques pour l’acceptation des cyber-risques

  • Avant d’accepter un risque, évaluez-le correctement en termes d’impact potentiel et de probabilité de survenance. Utilisez des cadres établis tels que le cadre de cybersécurité du NIST ou ISO/CEI 27005 à titre indicatif.
  • Impliquez les parties prenantes de différents départements tels que l’informatique, les opérations, le juridique et les unités commerciales spécifiques affectées par le risque. Consultez les décideurs de haut niveau dans ces domaines, car ce sont les parties prenantes les mieux placées pour éclairer ces décisions stratégiques en matière de sécurité.
  • Tenez un journal détaillé de chaque risque accepté, y compris les raisons de l’acceptation, l’impact attendu, les parties prenantes impliquées dans la décision et la date d’acceptation.
  • Mettez en œuvre un système standardisé de notation ou de notation des risques pour évaluer de manière cohérente la gravité des risques et garantir l’uniformité de la prise de décision dans votre environnement de risque informatique. Cela favorise la confiance et garantit que chacun est informé des vulnérabilités potentielles.
  • Planifiez des examens périodiques pour vous assurer que les risques précédemment acceptés restent tolérables. À mesure que votre organisation évolue, modifie son environnement informatique ou que le paysage des menaces change, certains risques peuvent devoir être réexaminés. Mettez régulièrement à jour vos renseignements sur les menaces pour comprendre la nature évolutive des menaces. Un risque acceptable aujourd’hui ne l’est peut-être pas dans un environnement de menace changeant.
  • À mesure que les systèmes et les technologies évoluent, le profil de risque de votre organisation est également susceptible de changer. Pour résoudre ce problème, assurez-vous d’intégrer les pratiques d’acceptation des risques aux processus de gestion du changement afin de garantir que les risques sont réévalués lorsque des changements importants se produisent.
  • Les exigences réglementaires, les attentes des clients et les normes industrielles peuvent toutes influencer les risques acceptables, il faut donc toujours tenir compte du contexte plus large.
  • Les audits externes, les tests d’intrusion et les consultations peuvent offrir une nouvelle perspective sur les décisions d’acceptation des risques. Ces validations externes peuvent révéler des angles morts et valider les évaluations internes.

Revoir les décisions d’acceptation des risques

À mesure que le paysage numérique évolue constamment, votre position sur les risques précédemment acceptés devrait également évoluer. La nature dynamique des paysages de menaces nécessite de revoir régulièrement les décisions d’acceptation des risques afin de maximiser la cyber-résilience face au changement.

Il y aura des cas où la nécessité de réévaluer une décision d’acceptation du risque deviendra immédiate.

Ces événements déclencheurs incluent une violation de données, un test d’intrusion qui révèle qu’un risque précédemment accepté est une vulnérabilité plus grave que prévu, ou l’introduction d’un nouveau système, logiciel ou matériel dans votre environnement.

Outre ces examens déclenchés, il est également prudent de revoir périodiquement les décisions d’acceptation des risques sur une base programmée.

Le rôle de la surveillance continue dans l’acceptation des risques

La décision d’accepter un risque aujourd’hui ne vous lie pas à cette position. Compte tenu de l’évolution du cyberpaysage, la mise en œuvre de tests d’intrusion continus sert de boussole pour naviguer dans les décisions d’acceptation des risques.

Contrairement aux évaluations ponctuelles traditionnelles, la surveillance continue permet de comprendre en temps réel les vulnérabilités de votre organisation et leurs conséquences potentielles.

Tests d’intrusion d’Outpost24 en tant que service (PTaaS) est une solution PTaaS complète pour sécuriser vos applications Web à grande échelle.

Grâce à une évaluation des risques contextuelle, la solution PTaaS d’Outpost24 garantit un état de surveillance continue. Outpost24 combine la profondeur et la précision des tests d’intrusion manuels avec l’analyse des vulnérabilités pour sécuriser les applications Web à grande échelle.

Tous les résultats sont examinés par des pairs, avec un accès direct à des experts en sécurité pour des conseils de validation et de correction. Cela joue un rôle crucial en aidant votre organisation à prendre des décisions éclairées et à prioriser les efforts de remédiation en fonction des risques les plus élevés posés à votre entreprise.

L’agilité dans l’évaluation des cyber-risques est primordiale. De nouvelles vulnérabilités sont découvertes quotidiennement et les acteurs malveillants affinent constamment leurs tactiques pour exploiter les faiblesses de différentes manières.

Être agile dans votre approche signifie être ouvert à réévaluer les décisions, à s’adapter aux nouvelles informations et à être proactif pour garder une longueur d’avance sur les menaces potentielles.

Apprenez-en davantage sur le PTaaS ici.

Sponsorisé et écrit par Avant-poste24

4.2/5 - (25 votes)
Publicité
Article précédentiPhone 15 Pro vs Samsung S23: Battle of the small flagships
Article suivantRevue de Total War: Pharaoh – évitez les batailles et profitez d’une grande campagne stratégique
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici