Comment apprécier les risques de sécurité de l’information

Appréciation des risques

La liste de risques évalués que nous avons établie la semaine dernière n’est que la première. Il ne faut pas se ruer dessus aveuglément ! C’est pourtant ce que fait la majorité. Soyons plus malins et allons un peu plus loin.

Soyons non seulement paranoïaques et réalistes mais également conscients. Pourquoi irions-nous travailler sur des risques qui ont peu de chances de nous faire réellement mal ? Souvenons-nous que nous nous attaquons aux risques inacceptables, à ceux qui portent sur ce qui a beaucoup de valeur pour nous.

Se focaliser sur ce qui est important

Lors de l’étape 2 (Contextes) nous avons établi des critères d’appréciation des risques : ce qui nous met en porte à faux avec la loi ou notre vie en société, nos valeurs et nos enjeux.

Bien sûr, notre petite famille, notre maison, notre voiture et notre emploi sont concernés. Pour les informations et les actifs informationnels, nous jouons sur la valeur tant pour nous que pour ceux qui ne nous veulent pas du bien.

Si leur confidentialité, leur intégrité ou leur disponibilité n’est pas un problème, pourquoi s’en préoccuper – du moins aujourd’hui.

Nous pourrions, par exemple, ‘réduire’ d’une unité – pour l’instant – le niveau des risques pour lequel la valeur de l’actif est faible. Nous ‘remonterions’ d’une unité le niveau des risques ‘faibles’ pour lesquels la valeur de l’actif est élevée.

Nous obtenons une liste N°2, réorganisée suivant le nouveau niveau de risque.

Se focaliser sur ce qui est urgent

L’évaluation des risques – des craintes – nous donne une indication assez précise sur l’urgence à agir. Notons que nos risques inacceptables sont moins nombreux que sur la liste n°1.

Notre liste est ordonnée par ordre décroissant de niveau de risque, nous savons par où commencer. Nous savons également où finir car nous avons défini à l’étape 2 la limite entre ce qui est acceptable et ce qui ne l’est plus. Mettons ensuite les risques ‘acceptables’ sur une Liste d’Attente.

Les solutions que nous décidons pour ce qui a réellement de la valeur – et les habitudes qui en naîtrons – nous serviront à protéger tout le reste. Leur niveau de risque sera réduit naturellement.

Une fois couvert ce qui est inacceptable. S’il nous reste des scrupules, nous pouvons retourner à notre Liste d’Attente et voir si nous devons et voulons vraiment rajouter quelque chose.

Les pièges à éviter

Piège n°1 : Oublier la Liste d’Attente

De nouveaux risques peuvent apparaître et d’autres disparaître. Surveillons notre contexte pour voir si la vraisemblance ou l’impact ne vont pas leur faire ‘passer la frontière’, auquel cas il faudra agir.

Mettons régulièrement à jour notre Liste d’Attente. C’est notre ‘TO DO List’.

Piège n°2 : Ignorer les extrêmes

Les risques dont la vraisemblance est très faible et dont l’impact est catastrophique ne sont pas anodins ! Une mesure immédiate et permanente sera trop onéreuse. Nous devons nous préparer et prendre une assurance – ce que nous allons faire ‘au cas où’.

Les risques dont la vraisemblance est très élevée et l’impact ridicule peuvent faire très mal à la longue. Estimons le coût annuel si nous ne faisons rien et reconsidérons note décision.

Déterminer la nature de la réponse

La seconde grande information apportée par l’évaluation des risques tient dans l’équilibre ou non entre la valeur de la vraisemblance et celle de l’impact.

Selon que c’est la vraisemblance de la menace ou la sévérité de l’impact qui conduit le risque à un niveau inacceptable, ce seront des solutions préventives et détectives ou des solutions réactives et correctives que nous privilégierons. Faire l’inverse ne réduira pas le niveau de risque et nous dépenserons argent et énergie en pure perte. Si les deux sont équivalents, nous devrons agir sur tous les fronts.

 

Voilà pour la 4e étape. Nous verrons la semaine prochaine quelles options sont à notre disposition pour traiter les risques.

Avez-vous des questions ? Ai-je été assez clair ? Interrogez-moi, je vous répondrai volontiers.
Si cet article (et les autres) vous aide, pourquoi hésiter à les transmettre à ceux qui pourraient également en profiter? Ne gardez pas ces informations pour vous

A bientôt, plus en sécurité avec vos informations…

Jean-Luc

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *