Ce guide s’intéresse aussi à l’analyse des risques et ses spécificités. Pourquoi une analyse des risques n’est-elle pas une évaluation des dangers ? Pourquoi faut-il absolument analyser le risque numérique ? Comment s’y prendre et quelle méthode privilégier ?
Qu’est-ce que le risque cyber ?
Tout le monde évoque quotidiennement la notion de risque, parfois même en la confondant avec celles de danger et de menace. Les concepts se différencient pourtant en plusieurs points. Si on peut comprendre que le langage courant permet des variations et tolère des appréciations, il est étonnant de constater que les normes et standards qui s’attachent a expliquer comment gérer les risques en ont des définitions différentes:
- ISO 31000/27005 – l’effet de l’incertitude sur les objectifs
- NIST : la probabilité qu’une source de menace […]exploite une vulnérabilité du système d’information
- ISACA : le risque métier associé à l’utilisation, la propriété, la participation ou l’influence et l’adoption de l’informatique dans une entreprise
- EBIOS : définition de risque : « c’est un scénario qui combine un évènement redouté […] et un ou plusieurs scénarios de menaces
- Le Robert : un danger éventuel plus ou moins prévisible
On voit bien la problématique de ces définitions variées car comment en effet analyser quelque chose dont on n'a pas défini la nature ?
Quelles différences entre risque et danger ?
Le “danger” définit la capacité intrinsèque d’un équipement ou d’une action à causer un dommage. Dans le cas de la cybersécurité, les virus représentent par exemple un danger, une menace “par nature" pour les systèmes d’information d’une entreprise.
Le “risque” incarne quant à lui le résultat de l’exposition de l’entreprise au danger. Il se caractérise toujours selon la probabilité et le niveau de gravité potentiels des conséquences de l’événement pour ce qui a de la valeur pour son propriétaire. Sans dommage, il n’y a pas de risque. Sans quelque chose de valeur qui subirait la conséquence d’un danger qui se matérialise, il n’y a pas de dommage donc il n’y a pas de risque. Cliquer sur un lien non-identifié dans un email expose au danger que représente les emails de phishing, par exemple. Cliquer sur ce lien et qu’en conséquence un malware se répande sur le réseau des postes de travail empêchant les collaborateurs de travailler est un risque.
Le risque numérique, une notion spécifique
Les définitions du risque sont nombreuses.
La norme ISO/IEC Guide 73 estime par exemple que le risque se définit comme une “combinaison de la probabilité d’un événement et des conséquences de celui-ci”. Ces conséquences peuvent donc être positives comme négatives, et relever du préjudice comme du bénéfice.
Cette conception positive du risque est néanmoins peu utilisable dans le cadre de l’analyse des risques numériques. Cette dernière a effectivement un rôle de prévention et de protection vis-à-vis des dangers informatiques. Elle ne prévoit pas de risque cyber “bénéfique”, vu qu’il n’existe pas de danger numérique aux effets potentiellement souhaitables.
Chez C-Risk, nous utilisons la définition du risque proposée par la taxonomie du standard FAIR™ (Factor Analysis of Information Risk) : la fréquence et l'ampleur probables d'une perte financière future. Bien qu’initialement développée dans le contexte du risque à l’information, on voit que cette definition s’applique également aux risques opérationnels. Dans le contexte des risques cyber, il s’agit des risques impliquant des informations au format numérique ou des éléments d’un système d’information.
Certaines méthodes d’analyse distinguent les risques intentionnels des risques accidentels sur la base de ce qu’ils peuvent être traités a priori par conformité. Cette distinction nous semble très théorique et elle échappe aux responsables d’entreprise avec qui nous travaillons. Heureusement, grâce à la taxonomie et la définition des risques de FAIR, nous ne faisons pas cette distinction et traitons des pertes futures probables que leur origine soit accidentelle ou malicieuse.
Effectivement, les risques cyber peuvent s’expliquer par une défaillance dans la gestion du SI, par des erreurs humaines ou par des attaques pirates. Comme nous le rappelons dans notre article sur les cyberattaques, ces dernières se définissent comme des atteintes informatiques à visée malveillante. Ils recoupent 4 catégories de méfaits : cybercriminalité, atteinte à l’image, espionnage et sabotage.
L’analyse des risques cyber, applicable à toutes les entreprises
Les chefs de petites et moyennes entreprises pensent parfois que le risque numérique concerne principalement les grands groupes qui déploient des opérations numériques à grande échelle.
Cette croyance s’explique en partie par le fait que les médias relaient beaucoup les cas de cyberattaques d’ampleur, comme celles menées contre Yahoo, Renault, Sony ou dans les hôpitaux français. Il est d’ailleurs vrai que les attaques cyber en 2021 ont concerné 61% d’entreprises de plus de 1000 salariés, contre 51% en 2020 (rapport Hiscox sur la gestion des cyberisques en 2021).
En réalité, les pirates informatiques visent aussi de plus en plus les petites et moyennes entreprises, qu’ils savent moins préparées. Les PME et TPE s’avèrent en outre plus concernées par le risque de faillite qu'implique une attaque informatique. En 2021, 1 entreprise sur 6 a vu sa survie menacée par une cyberattaque.
Les facteurs de risque cyber
Le risque lié à la sécurité informatique se cache parfois dans des habitudes quotidiennes qu’on n’imagine pas comme porteuses de danger :
- utilisation d’ordinateurs dans le cadre de transfert financier ou de manipulation de comptes bancaires de la société, surtout si ces ordinateurs sont portables et utilisés en mode nomade ;
- utilisation distante du système informatique, par exemple dans le cadre du télétravail;
- faible politique de sécurité concernant les mots de passe ;
- résidence dans un bâtiment sans sécurité d’accès ;
- application d’une démarche BYOD, “Bring Your Own Device” en anglais, ou “Apportez Votre Equipement personnel de Communication” ;
- politique de sécurité informatique peu actualisée.
Les risques cyber ne relèvent plus de la simple sécurisation du SI. La digitalisation des processus de travail implique effectivement de globaliser et de transversaliser la gestion des risques liés aux activités informatiques. Les sociétés doivent dorénavant adopter une vision holistique du risque informatique, car celui-ci touche toutes les activités de l’organisation.
L’analyse du risque et la détermination du degré d’appétence aux risques de la structure concerne donc maintenant de nombreux acteurs :
- direction générale et conseil d'administration ;
- directions métiers ;
- parties prenantes de la chaîne de valeur.
Le risque numérique devient ainsi à la fois stratégique, juridique et économique.
Analyse des risques : en quoi ça consiste ?
L’analyse des risques s'inscrit dans le cadre d'une démarche de gestion des risques. La gestion des risques se décline effectivement en plusieurs étapes, et l'analyse des risques est une des premières d’entre elles. Elle se dédie à l’identification, la description et l’estimation des risques. Selon ISO, elle est la base de l’évaluation (comprendre catégorisation) des risques et des décisions quant aux activités de traitement des risques.
Ces frameworks ISO 27005 ou le NIST conviennent que l’analyse des risques comprend également les activités suivantes :
- reprendre le cadre réglementaire qui s’applique aux activités numériques de l'entreprise. Certains secteurs, comme le médical, le nucléaire, les finances ou les transports ont des obligations particulières dans ce domaine ;
- identifier les services / fonctions supports / missions et les offres de l'entreprise qui créent les chaînes de valeur ;
- faire le lien avec les services informatiques qui permettent cette création de valeur ;
- cartographier l’écosystème de l’“entreprise étendue”, c’est-à-dire de l'entreprise et de sa chaîne globale de production ;
- vérifier la capacité des mesures existantes à prévenir ses scénarios ;
La quantification des risques cyber transformera la façon dont vous mesurez les risques
La CRQ utilisant la méthode FAIR est un cadre basé sur les risques et piloté par les données qui permet de traduire les menaces cyber en informations commerciales exploitables.
Pourquoi l’analyse des risques est-elle importante ?
L’analyse des risques numériques est indispensable pour comprendre les risques, mesurer la sécurité et déterminer les actions de mitigations à entreprendre pour sécuriser davantage l’organisation. Elle participe d’un processus d’aide à la decision dans de nombreux cas d’usage tels que :
- Dimensionner et allouer plus efficacement votre budget de sécurité de l’information.
- Choisir la solution de réduction des risques avec le meilleur retour sur investissement.
- Communiquer le risque en termes financiers à la direction et au conseil d’administration.
- Comprendre l’exposition cyber-risque posé par les Tiers en termes métier.
- Négocier la police d’assurance cyber optimale.
- Faciliter la conformité réglementaire des organisations.
Par contre, elle comporte aussi un certain nombre d’écueils qu’il faut identifier afin de les éviter le plus souvent.
1/ Chronophage
Parce qu’elle est nécessairement transversale à toute l'entreprise et qu’elle inclut l’ensemble des parties prenantes, l’analyse des risques numériques peut se révéler chronophage. Il est donc primordial que les objectifs et motivations de l’analyse soient bien compris et définis. Ainsi, l’ensemble des parties prenantes doivent avoir à l’esprit la décision ou l’ensemble des décisions que l’on cherche à informer.
2/ Potentiellement biaisée
Les méthodes d’analyse des risques sont nombreuses comme on l’a vu. Et elles ont un point commun en ce qu’elles ne sont pas prescriptives sur les manières de mesurer les risques. Les praticiens utilisent le plus souvent des échelles nominales et ordinales du risque. Le groupe de travail estime par exemple la probabilité de la menace comme “forte” ou “faible”. Il lui attribue par ailleurs un niveau de gravité de “1 sur 3”, ou de “3 sur 3”, sans que cette évaluation ne repose sur des critères objectifs ou mathématiques. De nombreuses études scientifiques (reprises dans les articles du Harvard Business Review et Wiley Online Library) ont montré que ces approches sur lesquelles sont pourtant basées la plupart des matrices de risques «obscurcissent plutôt qu’elles n’éclairent la communication» sur les risques.
C’est l’existence de ces biais cognitifs au sein des groupes de travail que la méthode quantitative FAIR™️, “Analyse factorielle du risque informationnel”, essaye de contourner. Chez C-Risk, nous nous efforçons de comparer des valeurs quantitatives pour proposer des analyses de risques probabilistes et plus objectives.
Comment analyser les risques en cybersécurité ?
Les méthodes d’analyse de risques sont nombreuses. Chaque entreprise y puise ce qui lui semble correspondre à ses habitudes, à ses objectifs stratégiques et aux besoins de sa sécurité informatique.
La gestion des risques liés aux tiers, indispensable
La gestion des risques liés aux tiers ne concerne historiquement que les enjeux relatifs aux approvisionnements. Avec la digitalisation des procédures, assurer votre cybersécurité passe par la collaboration avec l’ensemble des partenaires, amont mais aussi aval. En juillet 2021, la chaîne de supermarchés suédoise Coop s’est par exemple retrouvée dans l’impossibilité de servir ses clients. En cause : le sous-traitant qui régissait ses caisses avait été piraté.
La gestion des risques liés aux tiers est devenue essentielle à l'"entreprise digitale étendue” dont les partenaires en lien informatique avec les activités amont d’approvisionnement et aval de distribution sont devenus essentiels à la plupart des chaines de valeur. La gestion de ces risques tiers implique d’identifier les plateformes logicielles et les réseaux, les traitements et échanges de données entre votre société et ses partenaires : fournisseurs, sous-traitants, prestataires, intermédiaires et bénéficiaires de dons.
L’analyse des risques liés aux tiers s’organise généralement en 4 étapes :
1 / Identifier les tiers et les catégoriser selon la nature des risques éventuels ;
2 / Déterminer les critères d’évaluation du risque numérique ;
3 / Définir les responsables et les fréquences de contrôle des tiers ;
4 / Évaluer les pratiques informatiques des tiers au regard des réglementations internationales et locales.
La méthode AMDEC, une tradition
Dans notre article sur la méthode AMDEC, ou Analyse des Modes de Défaillance, de leurs Effets et de leur Criticité, nous rappelons ses avantages et ses inconvénients. Cette procédure d’origine américaine sert à obtenir une analyse des risques prévisionnels.
Cette méthode se construit autour de l'identification de “modes de défaillances” capables d’affecter le fonctionnement de la société. Ces défaillances sont dues à des risques auxquels il convient d’attribuer des “indices de criticité”. L’ensemble de cette analyse des risques donne ainsi lieu à l’élaboration de mesures de prévention et de correction.
À l’image de la méthode HAZOP, AMDEC a deux spécificités à prendre en compte :
- Elle se veut exhaustive et réclame donc un important investissement du groupe de travail. Il n'est effectivement pas question d’identifier des situations critiques, mais de recenser l’ensemble des modes de défaillances éventuels.
- Les indices de criticité choisis relèvent uniquement de la subjectivité les membres du groupe de travail. Ce n’est donc pas une méthode quantitative de prévision du risque.
La taxonomie et la méthode du standard FAIR™️, pour une analyse du risque quantitative
C’est pour éviter les biais cognitifs inhérents à la plupart des normes et standards qui ne prescrivent pas de méthode pour mesurer les risques que C-Risk appuie son analyse sur le standard FAIR. Il s’agit d’une taxonomie des variables qui composent le risque et d’une méthode d’analyse quantitative.
- La taxonomie FAIR décompose la question «Quel est le montant de risque d’un scénario donné ?»
- Un scénario = un actif + une menace + un impact
- Le modèle FAIR définit les variables, leurs relations et leur type (valeur, pourcentage, montant) qui permettent de calculer le montant du risque pour chaque scénario sur une période donnée.
Elle permet ainsi d’estimer les pertes financières probables que l’entreprise subirait dans le futur en conséquence d’un incident sur des données ou le système d’information. Ce sont donc ces pertes chiffrées qui permettent d’aider à la prise de décision dans le traitement des risques.
Cette méthode d’analyse des risques se veut pragmatique en permettant de descendre plus ou moins dans la taxonomie afin de chiffrer et prioriser les risques de la société. Elle se révèle moins chronophage que les autres en cherchant à identifier les risques les plus probables plutôt qu’un inventaire exhaustif de tous les possibles. Elle est enfin plus facilement défendable en utilisant des estimations de plages de données et des calculs probabilistes qui permettent de rendre compte de l’incertitude d’événements futurs.
La méthode ISO 27005
La méthode ISO 27005 est sans doute la plus répandue en Europe. Très étroitement inspirée de la méthode ISO 31000 de gestion des risques de toute nature, elle traite spécifiquement de l’analyse des risques informatiques.
Selon ISO (31000 et 27005 d’ailleurs), l’analyse est la deuxième des trois étapes de l’appréciation (assessment) des risques.
La première consiste à identifier les risques, c’est-à-dire à déterminer quels scénarios pourraient résulter en une perte et comprendre comment, ou et pourquoi cette perte pourrait survenir. ISO précise que cet inventaire doit inclure les risques que leur source soit ou non sous le contrôle de l’organisation.
La phase d’analyse va permettre de mesurer le niveau de risque en estimant la vraisemblance ou probabilité d’un évènement et l’importance de ses conséquences. ISO documente le fait que cette deuxième phase de mesure peut se faire de manière qualitative ou quantitative.
La troisième étape consiste à utiliser la compréhension des risques résultant de l’analyse afin de prendre des décisions quant aux activités de traitements des risques.
Les méthodes du National Institute of Standards and Technology
Le NIST a conceptualisé un guide d’analyse du risque intitulé Guide for Conducting Risk Assessments. Ce guide se base sur le NIST Cybersecurity Framework. Ce dernier s'inspire beaucoup des méthodes nominales et ordinales d’analyse du risque, et notamment sur les traditionnelles cartographies colorielles du risque. Ces méthodes peuvent cependant souffrir, comme expliqué plus haut, de biais cognitifs.
5 étapes à suivre pour une bonne analyse des risques en cybersécurité
Quelle que soit la méthode de gestion des risques qui a votre préférence, l’analyse des risques devrait peu ou prou respecter le même déroulement.
Les 3 premières étapes de l'analyse du risque
1 / L’identification des risques réclame de comprendre l'ensemble de l’environnement de l’entreprise. Objectif : commencer à définir ce qui relève des activités et actifs critiques de l’entreprise. Ces actifs et processus métiers peuvent être évaluées comme “critiques” parce qu’elles touchent aux objectifs stratégiques de l’entreprise, à son fonctionnement quotidien, à ses finances, sa conformité juridique ou la protection de ses données. Dans le cadre de la méthode FAIR, ce sont les activités créatrices de la valeur la plus importante qui sont priorisées.
2 / la deuxième étape consiste à définir les scénarios de risques principaux : ceux permettant de décrire un événement survenant sur un actif critique et dont les conséquences sont mesurables.
La méthode utilisée et l’approche qualitative ou quantitative ont ici une incidence très importante sur la pertinence et l’objectivité des estimations de l’étape suivante et donc in fine des résultats de l’analyse.
3 / L’estimation du risque se déroule en fonction de la méthode de gestion des risques que vous avez choisie. Si elle se base sur des échelles nominales, elles souffrent souvent des limites que documente ISO27005 dans sa section 8.3. Vous pouvez aussi préférer une approche mathématique mettant en oeuvre des estimations statistiques et probabilistiques telles que celles permises par la méthode FAIR.
L’évaluation du risque cyber : un parti pris méthodologique
4 / L’évaluation des risques, enfin, n’est pas toujours incluse dans l’analyse des risques. Ici encore, les pratiques varient selon la méthode choisie. Elle consiste, dans tous les cas, à choisir les critères permettant de comparer les risques entre eux. Il peut s’agir de critères de gravité subjectifs, comme ceux liés aux inquiétudes de vos investisseurs. Il peut aussi s’agir de critères quantitatifs, comme les pertes financières probables dues à un risque.
Pour déterminer le coût d’une cyberattaque, l’estimation financière prend en compte :
- les engagements contractuels de l'entreprise vis-à-vis de ces parties prenantes ;
- la réglementation applicable et les pénalités encourues en cas de non-respect de ce cadre juridique ;
- l’arrêt du système informatique et le temps passé avant la reprise d’activité ;
- les pertes d'exploitation et de production ;
- la perte due à la disparition de données confidentielles, ou indispensables au bon fonctionnement de la société.
C’est l’évaluation des risques qui permet d’orienter la prise de décision sur le traitement des risques à envisager.
FAQ : Analyse des risques
Quelle est la différence entre l'analyse des risques et la gestion des risques ?
L'analyse des risques est une étape du processus de gestion des risques. Il ne prévoit que l'identification, l'estimation et l'évaluation des risques, et non leur traitement. Elle est essentielle à la prise de décisions.
Comment choisir votre méthode d'analyse des risques ?
Il existe plusieurs méthodes d'analyse des risques. Certaines entreprises privilégient les méthodes recommandées par les entités officielles. D'autres préfèrent opter pour des méthodes plus mathématiques, dotées de réelles capacités prédictives. La méthode qui vous convient est celle qui vous permet de prendre des décisions en matière de gestion des risques, de les suivre et de les justifier en interne et en externe.
Quand devez-vous effectuer une analyse des risques informatiques ?
De nos jours, les entreprises de toutes tailles devraient le faire. Il est conseillé de lancer une analyse des risques dès que l'équipe dédiée à cette tâche a été constituée, puis de la refaire au moins une fois par an.
Nous avons conçu des solutions évolutives pour quantifier les risques cyber en termes financiers afin que les organisations améliorent leur gouvernance et leur résilience grâce à des décisions éclairées.