Analyse de risques

La démarche de gestion des risques permet aux décideurs de construire leur stratégie en étant en pleine connaissance des risques liés aux activités métiers. En effet, l’avantage majeur de l’analyse de risques est de faire le lien entre les enjeux métiers, la stratégie, les opportunités, les besoins de conformité aux lois et aux réglementations et la mise en œuvre de la sécurité de l’information au sein de l’entreprise.

L’appréciation des risques permet de mettre en place des mesures de sécurité techniques et fonctionnelles adaptées au contexte de l’entreprise, ce qui évite les oublis de protection et la surcharge de protection sur des éléments du système d’information. La couverture de sécurité est alors plus performante et les ressources sont concentrées sur les éléments de l’entreprise le nécessitant.
La gestion des risques permettant de rationaliser de nombreuses activités, et d’élaborer ou de contribuer à l’élaboration de nombreux documents livrables pilier de la sécurité, tel que des documents fondateurs (schémas directeurs, politiques de sécurité, plans de continuité d’activités), des spécifications sécurité (cahiers des charges, clauses de sécurité sous-traitants) ou des supports de communication (cartographie des risques, tableaux de bord, etc.).

Avant de démarrer tout projet, toute évolution d’un système d’information ou pour évaluer régulièrement son niveau de risques, il est conseillé de s’appuyer sur une analyse de risques. Cette étude répétable permet de d’appréhender les enjeux liés à la sécurité, d’identifier les objectifs de sécurité pour couvrir les risques et de les suivre dans le temps.
En fonction de vos besoins, Digitemis vous propose de réaliser une analyse des risques de sécurité sur votre système d’information ou sur tout autre périmètre selon vos projets (nouveaux service, applications, systèmes embarqués, systèmes industriels, etc.). Les méthodologies que nous utilisons sont conformes à la norme ISO 27005 qui décrit les grandes lignes de la gestion des risques (EBIOS, MEHARI, etc.).

Le premier temps de l’analyse est l’étude du contexte, c’est le point le plus important. Il permet de se familiariser avec l’environnement, le périmètre de l’étude et d’identifier les éléments (internes et externes) pouvant impacter la manière de gérer les risques. Cette étape s’appuie notamment sur une analyse documentaire, une phase d’entretiens avec les acteurs clés tant d’un point de vue métiers que techniques, et de toutes sources permettant d’alimenter l’étude (audit de sécurité, résultats de tests, scan de vulnérabilités, etc.).
Le second temps est la production de l’analyse en elle-même. L’objectif pour identifier les risques est de confronter les éléments à protéger (données sensibles, maintien en conditions opérationnelles d’un service, etc.) avec les menaces pouvant les affecter (cyber intrusions, vol, compromissions de données, etc.). Les risques sont hiérarchisés en fonction de leur criticité basé la vraisemblance de la réalisation de l’attaque et des impacts induits. Un plan de traitement priorisé est alors défini pour les réduire.
À l’issue, Digitemis délivre un rapport d’étude des risques décrivant le déroulement linéaire de la mission, la méthodologie employée et présentant les résultats et en particulier les risques découverts ainsi que les mesures correctives proposées..