L’analyse de risque (aussi appelée évaluation de risque) est un exercice particulier, très utile si on l’utilise correctement, qu’on dispose d’informations de qualité en quantité suffisante et si on la réalise au bon moment, afin d’informer une décision (généralement protéger ou pas un actif); elle n’est pas du tout utile si elle est réalisée au mauvais moment, quand on ne possède aucune information fiable qui rend tout résultat une pure spéculation, quand on veut évaluer des risques instantanément entre le fromage et le dessert.
C’est un domaine de la cybersécurité particulier. On ne peut pas correctement analyser des risques si on n’aime pas prendre le temps de lire et d’écrire. Et on n’écrit pas les mêmes rapports pour la haute direction, pour les secteurs d’affaires, que pour des chefs de projet, des développeurs ou des administrateurs réseau. Comme pour le cadre de référence interne, cela nécessite d’avoir des compétences spécifiques que tout professionnel de la cybersécurité ne possède pas forcément.
Dès lors qu’il existe de l’incertitude, l’analyse de risque tente de la maîtriser (généralement de la réduire lorsque l’approche est correcte) pour favoriser la prise de décision à tout niveau de l’organisation. Les résultats de l’analyse doivent permettre d’orienter certains choix (dont l’investissement nécessaire à la protection additionnelle) en hiérarchisant les risques entre eux (approche qualitative) ou en calculant les probabilités de perte (approche quantitative). Dans tous les cas, nous consignerons tous les risques analysés et évalués dans un grand registre qui résume toutes les données de base de ces risques, favoriser la vision globale pour l’organisation ou une partie en faisant parler les données.
Ce que nous pouvons faire pour vous :
- Analyser les risques de vos actifs critiques (vue micro)
- Analyser les risques globaux de l’entreprise (vue macro)
- Créer des scénarios de risque adaptés à votre organisation et à vos enjeux métier
- Rédiger des notes de positionnement technologiques
Les analyses peuvent être très détaillées pour préserver les données et les arguments qui ont abouti aux résultats ou un peu plus simples. La complexité est peu attrayante de nos jours, on aime que les choses aillent très vite, mais elle seule peut justifier des décisions importantes. On préfère que les évaluations se fassent rapidement avec le moins de contenu à lire, mais en négligeant l’analyse on réduit l’exerice à de la pure spéculation difficile à communiquer efficacement à la haute direction. Pour chaque sujet, dépendamment des contraintes organisationnelles, nous plaçons le curseur de manière à trouver le bon compromis. Dans tous les cas, nos rapports incluent des diapos de synthèse afin de communiquer plus simplement les conclusions.
Parlons méthode(s) …
Sans demande particulière, nous utiliserons notre méthode (voir la section Risques/Méthodologie) qui est une version harmonisée d’autres méthodes réputées, mais dont nous avons changé certaines choses dans l’espoir de rendre les analyses plus pertinentes et si possible plus rapides. Mais si vous avez une méthode de prédilection, moyennant un petit temps d’adaptation, nous pourrons utiliser la vôtre. Nous utilisons la NIST SP800-30r2 et ISO 27005 (oui, étant une méthodologie c’est donc aussi une méthode en elle-même) sans délai. Sous certaines conditions, nous pouvons utiliser EBIOS RM dans les secteurs et les pays qui ont adopté cette méthode et la rendent obligatoire. Nous les outillons sous Excel (sauf EBIOS), mais nous préférons utiliser un bon outil GRC dont nous aurons pu personnaliser le contenu. Nous étudions des partenariats possibles avec des solutions pour éviter autant que possible les feuilles Excel !
Analyses
- Analyses rapides (si elles sont outillées et avec la documentation adéquate) S (comme Simples) – Forfait 3 jours (livrable simplifié sous la forme de 4-5 diapos Powerpoint)
- Analyses normales (pas forcément ou partiellement outillées) M (comme Medium) – Forfait 6 jours (livrable sous la forme des diapos précédentes + un fichier Word)
- Analyses détaillées (non outillées, c’est un travail de recherche), L (comme Larges) – Forfait 10 jours (livrable sous la forme de diapos complètes et fichier PDF correspondant)
- Modélisation d’attaques complexes (représentation graphique maison, voir la section Risques/Modélisation des attaques)