L'acceptation des cyber-risques

En matière de sécurité informatique, la notion de risque désigne les pertes ou préjudices potentiels liés à l’infrastructure technique ou à l’utilisation de la technologie par votre organisation. Ce risque englobe à la fois la probabilité qu’une cybermenace se concrétise et son impact potentiel.

Une idée fondamentale à avoir à l’esprit à propos du risque est qu’il est inévitable. Toutefois, l’atténuation de chaque risque est incroyablement coûteuse en termes financiers mais aussi de ressources. Cet article fournit un guide sur l’acceptation des cyber-risques et souligne le rôle de la gestion des vulnérabilités basée sur le risque dans la prise de décisions éclairées.

Définir l’acceptation des risques dans un contexte de cybersécurité

L’acceptation des risques est une stratégie dans laquelle une organisation décide des risques qu’elle peut accepter en fonction de leur impact potentiel. Les RSSI, en collaboration avec d’autres décideurs exécutifs, sont les mieux placés pour identifier les risques qui représentent les plus grandes menaces pour l’organisation, ainsi que les risques qui sont à éviter, transférer, atténuer ou accepter. Il existe en fait différents niveaux d’acceptation des risques :

Accepter définitivement le risque 

Il s’agit d’une décision consciente de reconnaître une vulnérabilité ou une menace connue, mais de ne pas y remédier. Accepter définitivement le risque ne signifie pas l’ignorer. Au contraire, ce niveau d’acceptation signifie qu’après une évaluation minutieuse, votre entreprise considère le risque comme tolérable dans son contexte opérationnel actuel. Par exemple, vous pouvez accepter une vulnérabilité logicielle mineure qui affecterait un système non critique, avec des chances d’exploitation très faibles et dont le coût de correction serait disproportionné.

Accepter le risque de façon temporaire

Ce niveau d’acceptation des risques implique la mise en œuvre de contrôles, de politiques ou des procédures afin de réduire l’impact ou la probabilité de la concrétisation d’un risque. Dans ce cas, vous acceptez temporairement le risque, mais vous en assurez le suivi après un certain nombre de jours pour mettre en œuvre des mesures d’atténuation, qu’il s’agisse d’une mise à jour logicielle ou du blocage d’un système sur Internet.

Transférer le risque

Le transfert de risque consiste à transférer la responsabilité ou la charge d’un risque à un tiers. Cela se fait généralement par la souscription d’une assurance cyber. Une autre méthode de transfert de risque consiste à externaliser certaines fonctions informatiques ou à faire appel à des fournisseurs de services en cloud tiers. Le risque n’a pas disparu pour autant ; une autre entreprise qui se charge de l’atténuer.

Éliminer le risque immédiatement

Ce scénario s’applique lorsque l’élimination du risque le plus rapidement possible est importante pour préserver la production ou protéger les données et les systèmes contre des menaces imminentes. Les vulnérabilités logicielles critiques relèvent souvent de ce type de risque. Dans ce cas, il n’y a pas d’acceptation du risque possible, vous refusez d’accepter les conséquences potentielles d’un risque donné.

Les bonnes pratiques pour l’acceptation des cyber-risques

Avant d’accepter un risque, il convient de l’évaluer correctement en termes d’impact potentiel, de probabilité d’occurrence et le confronter aux normes établies la norme ISO/IEC 27005.

Impliquer les parties prenantes de différents services comme l’informatique, l’opérationnel, le service juridique et les business units concernées par le risque.

Tenir un registre détaillé de chaque risque accepté, y compris les raisons de l’acceptation, l’impact attendu, les parties prenantes impliquées dans la décision et la date d’acceptation.

Mettre en place un système standardisé de notation ou d’évaluation des risques afin d’évaluer de manière cohérente la gravité des risques et d’assurer l’uniformité de la prise de décision pour l’ensemble des risques courus par l’environnement informatique.

Planifiez des examens périodiques afin de vous assurer que les risques précédemment acceptés restent tolérables. Au fur et à mesure que votre organisation évolue, qu’elle modifie son environnement informatique ou que le paysage des menaces change, certains risques peuvent nécessiter un réexamen.

Intégrer les pratiques d’acceptation des risques dans les processus de conduite du changement afin de garantir que les risques sont réévalués lorsque des changements importants se produisent.

Les exigences réglementaires, les attentes des clients et les normes industrielles peuvent toutes avoir une influence sur l’acceptabilité ou non d’un risque, c’est pourquoi il faut toujours tenir compte du contexte général.

Les audits externes, les tests d’intrusion et les consultations peuvent mettre à jour des zones d’ombre et apporter un regard neuf sur les décisions en matière d’acceptation des risques.

Le rôle de la gestion des vulnérabilités basée sur les risques

La décision d’accepter un risque aujourd’hui ne vous lie pas à cette position. Compte tenu de l’évolution du paysage des cybermenaces, un système de gestion des vulnérabilités basé sur les risques sert de boussole pour naviguer dans les décisions d’acceptation des risques.

Outscan NX d’Outpost24 rationalise le processus de gestion des vulnérabilités grâce à une évaluation des risques en temps réel et à une technologie de veille sur les menaces.  Les scores de risque sont basés sur l’exploitabilité réelle et adaptés aux nouvelles informations et activités des cyber-criminels. Cela vous permet de mieux prioriser les efforts de remédiation en fonction des facteurs de risque réels et de mettre en place un programme de sécurité axé sur les risques, pour une protection renforcée.