Évaluation des risques de cybersécurité expliquée
Une évaluation des risques répond aux questions fondamentales sur les ressources de données d'une entreprise :
-
• Quelles sont les ressources les plus importantes (c'est-à-dire : qu'est-ce
qui doit être protégé ?
-
• Qui ou quelles sont les menaces et quelles vulnérabilités pourraient-elles
exploiter ?
-
• Quelles sont les implications commerciales si des ressources sont perdues
ou compromises ?
-
• Que peut-on faire pour minimiser la perte ou les dommages de chaque
ressource ?
-
• Quelle est la valeur de chaque ressource clé pour l'ensemble de
l'organisation ?
Les questions fondamentales posées dans une évaluation des risques servent de points de départ pour les politiques et
les processus visant à protéger les entreprises contre les pertes inacceptables dans
le domaine de la cybersécurité. Les activités quotidiennes, les outils
logiciels et d'autres considérations découlent de ces réponses.
Comment une évaluation des risques de cybersécurité gère les menaces ?
Les parties prenantes non techniques ont souvent des difficultés à calculer le retour
sur investissement des mesures de cybersécurité car, dans l'ensemble, il est
impossible d'éliminer totalement la plupart des menaces de sécurité. Dans la
plupart des cas, les menaces doivent être atténuées – réduites autant que possible
dans les circonstances.
La manière dont les menaces doivent être traitées et les investissements pouvant être
réalisés dans cette poursuite dépendent de la valeur des actifs protégés et de
l'impact des mesures de sécurité sur cette valeur.
Par exemple, vous pouvez éliminer les menaces de cybersécurité conventionnelles
basées sur le réseau en prenant l'ordinateur contenant vos données commerciales les
plus précieuses et en l'isolant de tout accès en ligne. Bien entendu, cela
entravera considérablement l'utilisation de ces données.
Chaque évaluation des risques doit commencer par une comptabilité claire des actifs
commerciaux vitaux, y compris quels matériels, logiciels et ressources de données
sont critiques pour l'entreprise et où ils sont stockés ou utilisés.
À partir de là, les menaces spécifiques à chaque actif peuvent être triées en
fonction de leur probabilité.