Qu'est-ce que la gestion des risques informatiques ?

Murphy a établi deux lois, et toutes deux s'appliquent à la gestion des risques informatiques. "Tout ce qui peut mal tourner tournera mal" est la première loi de Murphy, qui est considérée comme exacte car, avec suffisamment de temps, il y a une forte probabilité que tout tourne mal. Vous devez être prêt à tout ! La deuxième loi de Murphy stipule que "rien n'est aussi facile qu'il n'y paraît", ce qui est également vrai lorsqu'il s'agit de gérer les risques professionnels. 

Ce sont les deux raisons pour lesquelles les entreprises se tournent vers un prestataire de services infogérés (MSP) pour les aider à identifier, évaluer, hiérarchiser et corriger les risques. Si vous êtes un MSP, lisez la suite et découvrez comment vous pouvez aider vos clients à limiter les risques et à assurer la protection de leurs systèmes et de leurs données.

Le risque informatique est défini comme le potentiel de perte ou de dommage lorsqu'une menace exploite une vulnérabilité dans les ressources d'information d'une organisation, notamment l'infrastructure informatique, les applications et les données. Il s'agit d'un terme général qui couvre tout type de risque, qu'il s'agisse d'un risque de cybersécurité, d'une panne de courant, d'une catastrophe, d'une erreur humaine, d'une panne de logiciel/matériel, etc., bref, tout ce qui peut perturber une entreprise et repose d'une manière ou d'une autre sur les technologies de l'information (IT en anglais).

La gestion des risques informatiques est le processus qui consiste à analyser une menace pour l'infrastructure informatique d'une entreprise en évaluant le niveau de risque qu'elle est prête à accepter. C'est ce que le secteur appelle "l'appétit au risque". Si l'entreprise ne peut pas assumer un risque spécifique, elle doit alors déterminer si le risque peut être minimisé et comment y parvenir.

Voici quelques exemples de scénarios de risque et l'appétit au risque qu'une entreprise est prête à assumer :

• En cas de catastrophe naturelle, la communication par email d'une entreprise sera interrompue pendant 24 heures. L'entreprise accepte ce niveau de risque car l'impact sur l'entreprise est minime et les catastrophes sont peu fréquentes.
• En cas de chute d'un astéroïde, les bureaux et les bâtiments de l'entreprise seront détruits. L'entreprise accepte ce niveau de risque car la probabilité d'un impact d'astéroïde est peu probable, même si les conséquences seraient alors catastrophiques.
• Si une entreprise subit une attaque par ransomware, elle peut interrompre ses opérations informatiques pendant une période indéterminée. Ce type d'événement est courant et peut dévaster une entreprise, qui ne peut accepter ce niveau de risque. 

La gestion du risque ne signifie pas toujours ramener le risque à zéro, mais minimiser le risque lorsque l'impact est important. 

Une entreprise doit connaître et évaluer les risques auxquels elle est confrontée afin de connaître ses faiblesses, de déterminer si l'entreprise est surexposée, de hiérarchiser ses lacunes et de réduire le risque. Si elle est surexposée, l'entreprise doit prendre des mesures en fonction des ressources disponibles et des priorités en matière de risques, qui sont déterminées à l'aide du calcul des risques présenté ci-dessous. 

Le processus de gestion des risques informatiques est une tâche qu'une entreprise peut réaliser en interne en utilisant soit le processus en cinq étapes présenté ci-dessous, soit en recourant à une évaluation externe des risques, telle que la norme ISO 27005. Il s'agit d'une norme internationale qui décrit comment réaliser une évaluation des risques en matière de sécurité de l'information conformément aux exigences de la norme ISO 27001.

Voici les 5 étapes qu'une entreprise devrait respecter pour identifier les risques informatiques.

1. Identifier les vulnérabilités. Le service informatique doit définir toutes les faiblesses et tous les risques potentiels liés à l'infrastructure informatique.
2. Identifier et classer les données de l'entreprise. Il s'agit d'une étape essentielle car une entreprise ne peut protéger les données que si elle sait quelles données protéger. Cette étape est l'occasion pour l'entreprise d'identifier les données personnelles et sensibles, qui sont les données les plus cruciales à sécuriser et à protéger.
3. Classer les vulnérabilités par ordre de priorité. Cette tâche doit être effectuée lors d'une réunion conjointe avec le secteur d'activité (LOB en anglais pour Line Of Business), qui peut identifier les systèmes critiques qui doivent être opérationnels en permanence, et le service informatique, qui peut déterminer si les services critiques sont protégés. Au cours de cette étape, le service informatique et le LOB effectueront également :

• Une analyse des risques pour déterminer la fréquence à laquelle un événement se produira, la probabilité qu'il se produise et ses conséquences.
• L'évaluation du risque. La "formule" pour calculer un risque est la suivante : Risque = menace x vulnérabilité x conséquence.  Il ne s'agit pas d'une formule mathématique mais d'une ligne directrice.

Voici quelques exemples de la manière d'évaluer le risque à l'aide de cette " formule ".

Si une entreprise ne sauvegarde pas ses systèmes, la probabilité qu'une erreur humaine, une catastrophe naturelle ou d'origine humaine, ou une attaque malveillante fasse tomber ses systèmes est élevée, et les conséquences de la perte de données sont importantes. Cette vulnérabilité constituerait un risque élevé et nécessiterait une intervention corrective urgente.

L'entreprise reconnaît que les publicités intempestives peuvent être une nuisance pour les utilisateurs. Bien qu'il s'agisse d'un phénomène courant, l'impact n'est pas significatif et ce problème est donc considéré comme une deuxième priorité en matière de correction.

En revanche, l'entreprise est sensible aux attaques de phishing qui peuvent dérober le mot de passe d'un utilisateur. Il s'agit d'un phénomène courant, dont l'impact peut être important, et qui doit donc être considéré comme une priorité absolue nécessitant des mesures correctives immédiates.

     4. Traiter les risques. Maintenant que l'entreprise connaît les risques, elle doit les traiter en fonction de la hiérarchisation, de l'appétit au risque et de la tolérance.      5.Effectuer une surveillance continue des risques. Le processus d'identification d'un risque informatique est un processus continu car le secteur de la sécurité est en constante évolution en raison de forces externes et internes.

Il est essentiel pour une entreprise de surveiller en permanence son infrastructure - y compris sa chaîne d'approvisionnement et ses applications basées sur le cloud computing - pour détecter les nouveaux risques. Par exemple, avant la pandémie, le risque de fuites et de violations de données était faible pour les télétravailleurs. Cependant, avec la migration massive vers le télétravail en 2020, la sécurité des données présente un risque élevé, car la plupart des employés travaillent à domicile. Cela signifie une probabilité plus élevée que des ordinateurs portables puissent être perdus, que des ordinateurs portables non surveillés à la maison puissent être consultés par quelqu'un d'autre (ce qui augmente le risque de logiciels malveillants), etc. La pandémie a également créé plus de risques car les cybercriminels exploitent la peur du COVID-19 pour diffuser des logiciels malveillants.

L'entreprise doit s'assurer de surveiller les risques liés aux fournisseurs, aux partenaires, à tout individu (par exemple, les entrepreneurs) ou à toute autre société avec laquelle l'entreprise travaille. Par exemple, la faille de SolarWinds s'est produite parce que des criminels ont piraté le système du logiciel Orion et y ont ajouté un code malveillant. Ce code malveillant a ensuite été diffusé aux 18 000 clients de SolarWinds lorsque l'entreprise a procédé à des mises à jour du système. Il s'agissait d'un événement catastrophique, qui a fait courir un risque élevé à de nombreuses organisations.

Toute entreprise soumise à des contraintes réglementaires, telles que le règlement général sur la protection des données de l'UE (RGPD), la loi californienne sur la protection de la vie privée des consommateurs (CCPA), la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS), la loi sur la portabilité et la responsabilité de l'assurance maladie (HIPAA) ou la norme ISO 27001, doit également surveiller en permanence la conformité aux réglementations et son respect par l'entreprise. 

Acronis Cyber Protect Cloud est une solution unique en son genre qui détecte et protège contre les logiciels malveillants sophistiqués, dispose de fonctionnalités de correction et d'investigation et assure une protection totale des données de vos clients. Elle réunit en une seule solution une protection contre les logiciels malveillants basée sur le comportement et les signatures, la gestion de la protection des terminaux, la sauvegarde et la reprise après sinistre. Avec une console et un agent uniques, Acronis Cyber Protect Cloud offre une intégration et une automatisation inégalées pour une moindre complexité, une amélioration de votre productivité et une diminution des coûts d'exploitation. Avec Acronis Cyber Protect Cloud, vous pouvez améliorer votre service de sauvegarde avec une cyberprotection essentielle sans frais. Vous pouvez également étendre votre service avec des packs de protection avancée, qui incluent :

Une sécurité évoluée :

• Un système anti-malware de nouvelle génération, qui utilise des technologies basées sur l'intelligence artificielle pour prévenir l'émergence de nouveaux malwares.
• Une surveillance globale des menaces et des alertes intelligentes provenant des centres opérationnels de cyberprotection (CPOC) d'Acronis pour que vous restiez bien informé des logiciels malveillants, des vulnérabilités, des catastrophes naturelles et d'autres événements mondiaux susceptibles d'affecter la protection des données de vos clients, afin que vous puissiez prendre des mesures pour les prévenir.
• Une sauvegarde médico-légale qui vous permet de collecter des données de preuves numériques, de les inclure dans des sauvegardes au niveau du disque qui sont stockées dans un endroit sécurisé pour les protéger des cybermenaces, et de les utiliser pour des enquêtes futures.

Une gestion avancée :

• Une gestion des correctifs pour les logiciels Microsoft et les logiciels tiers sous Windows, ce qui vous permet de programmer facilement ou de déployer manuellement des correctifs afin de préserver la sécurité des données de vos clients.
• La santé des disques durs : l'Intelligence Artificielle permet de prédire les problèmes de disque et de vous alerter afin de prendre des mesures de précaution pour protéger les données de vos clients et améliorer le temps de fonctionnement.
• La collecte de l'inventaire des logiciels avec des analyses automatiques ou à la demande pour fournir une visibilité approfondie de l'inventaire des logiciels de vos clients. 
• Des correctifs en toute sécurité en générant une image de sauvegarde des systèmes de vos clients pour permettre une restauration rapide au cas où un correctif rendrait le système de votre client instable.

Une sauvegarde de pointe

• La protection de plus de 20 types de charges de travail à partir d'une seule console, notamment Microsoft Exchange, Microsoft SQL Server, Oracle DBMS Real Application clusters et SAP HAN.
• Une carte de protection des données qui permet de suivre la distribution des données sur les machines de vos clients, de surveiller l'état de protection des fichiers et d'utiliser les données collectées comme base des rapports de conformité.
• La protection continue des données, qui garantit que vous ne perdrez pas les modifications apportées aux données de vos clients entre les sauvegardes programmées.

Une reprise après sinistre élaborée :

• L'orchestration de la reprise après sinistre à l'aide de runbooks - un ensemble d'instructions qui définissent la manière de lancer l'environnement de production de votre client dans le cloud - pour assurer une reprise rapide et fiable des applications, des systèmes et des données de vos clients sur n'importe quel appareil, quel que soit l'incident.

Une sécurité avancée de la messagerie électronique :

• Bloquez les menaces de messagerie, notamment les spams, le phishing, la compromission des e-mails professionnels, les logiciels malveillants, les menaces persistantes avancées (APT) et les attaques de type "zero day" avant qu'elles n'atteignent les messageries Microsoft 365, Google Workspace ou Open-Xchange des utilisateurs finaux. Tirez parti de la solution de sécurité de messagerie électronique dans le cloud de nouvelle génération, optimisée par Perception Point.

Avec Acronis Cyber Protect Cloud, vous êtes en mesure de fournir à vos clients plusieurs couches de protection pour leurs terminaux, de garantir que leurs données, applications et systèmes sont toujours disponibles et protégés, et d'offrir le délai le plus court pour restaurer leurs données et systèmes, quoi qu'il arrive.