Une idée fondamentale à avoir à l’esprit à propos du risque est qu’il est inévitable. Toutefois, l’atténuation de chaque risque est incroyablement coûteuse en termes financiers mais aussi de ressources. Cet article fournit un guide sur l’acceptation des cyber-risques et souligne le rôle de la gestion des vulnérabilités basée sur le risque dans la prise de décisions éclairées.
L’acceptation des risques est une stratégie dans laquelle une organisation décide des risques qu’elle peut accepter en fonction de leur impact potentiel. Les RSSI, en collaboration avec d’autres décideurs exécutifs, sont les mieux placés pour identifier les risques qui représentent les plus grandes menaces pour l’organisation, ainsi que les risques qui sont à éviter, transférer, atténuer ou accepter. Il existe en fait différents niveaux d’acceptation des risques :
Il s’agit d’une décision consciente de reconnaître une vulnérabilité ou une menace connue, mais de ne pas y remédier. Accepter définitivement le risque ne signifie pas l’ignorer. Au contraire, ce niveau d’acceptation signifie qu’après une évaluation minutieuse, votre entreprise considère le risque comme tolérable dans son contexte opérationnel actuel. Par exemple, vous pouvez accepter une vulnérabilité logicielle mineure qui affecterait un système non critique, avec des chances d’exploitation très faibles et dont le coût de correction serait disproportionné.
Ce niveau d’acceptation des risques implique la mise en œuvre de contrôles, de politiques ou des procédures afin de réduire l’impact ou la probabilité de la concrétisation d’un risque. Dans ce cas, vous acceptez temporairement le risque, mais vous en assurez le suivi après un certain nombre de jours pour mettre en œuvre des mesures d’atténuation, qu’il s’agisse d’une mise à jour logicielle ou du blocage d’un système sur Internet.
Le transfert de risque consiste à transférer la responsabilité ou la charge d’un risque à un tiers. Cela se fait généralement par la souscription d’une assurance cyber. Une autre méthode de transfert de risque consiste à externaliser certaines fonctions informatiques ou à faire appel à des fournisseurs de services en cloud tiers. Le risque n’a pas disparu pour autant ; une autre entreprise qui se charge de l’atténuer.
Ce scénario s’applique lorsque l’élimination du risque le plus rapidement possible est importante pour préserver la production ou protéger les données et les systèmes contre des menaces imminentes. Les vulnérabilités logicielles critiques relèvent souvent de ce type de risque. Dans ce cas, il n’y a pas d’acceptation du risque possible, vous refusez d’accepter les conséquences potentielles d’un risque donné.
La décision d’accepter un risque aujourd’hui ne vous lie pas à cette position. Compte tenu de l’évolution du paysage des cybermenaces, un système de gestion des vulnérabilités basé sur les risques sert de boussole pour naviguer dans les décisions d’acceptation des risques.
Outscan NX d’Outpost24 rationalise le processus de gestion des vulnérabilités grâce à une évaluation des risques en temps réel et à une technologie de veille sur les menaces. Les scores de risque sont basés sur l’exploitabilité réelle et adaptés aux nouvelles informations et activités des cyber-criminels. Cela vous permet de mieux prioriser les efforts de remédiation en fonction des facteurs de risque réels et de mettre en place un programme de sécurité axé sur les risques, pour une protection renforcée.
Les plateformes de trading ont considérablement évolué, transformant le paysage de la finance moderne. Ces…
Dans le secteur dynamique du bâtiment et des travaux publics (BTP), les entreprises font face…
De tous les types de connectivité, les professionnels devraient privilégier la fibre dédiée Entreprise qui…
CELESTE est un acteur engagé aux niveaux tant environnemental que social et territorial. Eclairages avec…
« La sécurité des datas est primordiale. Pour la garantir, il est crucial de choisir…
Stocker et sauvegarder ses données. Pour relever cet impératif crucial, les entreprises ont tout intérêt…