Guide logo
〈   Contrats, SLA et audits
Évaluation et gestion des risques numériques, et intégration dans les processus
Comment identifier les menaces qui pèsent sur votre entrepriseComment identifier, évaluer et traiter les risques numériquesComment intégrer la gestion des risques dans les activités quotidiennes
PrécédentSuivant
Chapitre 2.1

Comment identifier les menaces qui pèsent sur votre entreprise

A. Qu’est-ce qu’un risque ?

Un risque c’est l’effet de l’incertitude sur les objectifs, les activités et les exigences d’une organisation. Un risque est associé à la probabilité qu’une menace exploite une faille humaine, une défaillance d’un processus, une vulnérabilité d’un système et cause ainsi un tort à une organisation.

Le terme « risque » implique les aspects suivants :

  • la combinaison de probabilités que ce risque se concrétise et de l’impact (ce dernier pouvant être positif ou négatif) qu’il aurait sur la marche des affaires.
  • l’incertitude est estimée ou déterminée au moyen de probabilités.
  • Les objectifs de l’organisation s’étendent au développement stratégique (par exemple les besoins des clients, l’innovation, la position sur le marché). Les activités comprennent les activités opérationnelles (par exemple, l’approvisionnement, la production, les services et les ventes). 
  • Les exigences se réfèrent en particulier aux lois, normes et autres exigences réglementaires internes ou externes, concernant également la sécurité des personnes, des biens et de l’environnement. 
  • Le risque est une conséquence d’événements ou de changements de circonstances.

Un risque est un événement, une action ou a contrario une inaction qui peut entraîner :

  • La non-atteinte d’un objectif
  • La réduction de la performance
  • Une perte d’opportunité

La notion de risque est indissociable de celle de vulnérabilité. La vulnérabilité, soit l’absence ou l’insuffisance de mesures destinées à faire face au risque, augmente la probabilité et surtout l’impact du risque. Ainsi, ne pas prévoir de systèmes d’arrosage automatique en cas d’incendie dans des locaux informatiques constitue une vulnérabilité, de même que l’absence de solution de sauvegarde (back-up) avec du matériel de secours pour les équipes dont les équipements informatiques auraient été détruits ou corrompus. 

Si des équipes ne peuvent plus travailler de ce fait, l’impact sera majoré et les conséquences pourraient être graves pour l’organisation concernée : baisses du chiffre d’affaires, pertes financières, dégâts en termes de réputation…

B. Comment identifier et mesurer un risque ?

La perception d’un risque est souvent subjective. Il est crucial d’aborder les étapes d’identification et de mesure du risque dans une démarche collective, afin d’être challengé, d’avoir d’autres avis, d’autres regards sur les menaces. Réunir plusieurs cerveaux autour de la table, si possible issus de différentes strates et de différents métiers de l’organisation concernée, permet de mieux comprendre, cerner et évaluer le risque évoqué, les vulnérabilités qui y sont associées et l’impact qui peut en découler.

De même, la tolérance au risque (ou appétence pour le risque) dépend de la personne qui analyse le risque, mais aussi du contexte de cette évaluation, et de la compréhension des enjeux. Pour mieux mesurer le risque et ses enjeux, l’information la plus complète est indispensable.

C. Les différents types de risques

Les risques peuvent être catégorisés en divers types. Certains risques peuvent évidemment recouper plusieurs catégories.

  • Risque technologique ou numérique : lié à l’utilisation du système informatique ou à la perturbation de ce dernier par des causes internes ou externes.
  • Risque opérationnel : lié à toutes les perturbations sur les opérations et activités de l’entreprise. Ce risque présente un potentiel de pertes provenant de processus internes inadéquats ou défaillants, de personnes et système ou d’événements externes.
  • Risque réglementaire : lié au non-respect d’une réglementation ou d’une loi et aux sanctions qui peuvent en découler.
  • Risque réputationnel : lié à l’image de marque et la réputation de l’organisation envers ses partenaires (sous-traitants, fournisseurs, clients, institutions et autorités) ou du grand public.
  • Risque financier : lié aux investissements, à la rentabilité ou à la trésorerie de l’entreprise.
  • Risque stratégique : lié à la stratégie générale de l’entreprise et à son positionnement sur le marché.

D. Distinguer les analyses de risque macro et micro

L’analyse de risque peut être menée avec deux approches différentes : une vue plus stratégique ou macro, et une vue plus opérationnelle ou micro. Une analyse pertinente du risque réside dans un dialogue qui verra les deux approches se challenger mutuellement.

L’analyse macro représente la vision des risques du point de vue de la direction et de l’IT stratégique, qui doit être questionnée par les responsables des processus et activités. Elle se concentre sur les grandes familles de risques, sans forcément rentrer dans le détail des processus et activités. C’est une vision à large échelle, moins chronophage que l’analyse micro, mais également moins précise. Et ce, notamment dans le processus d’identification des contrôles et mesures qui visent à réduire les risques spécifiques à un processus ou une activité.

L’analyse micro représente la vision des risques du point de vue des responsables des processus et activités et de l’IT opérationnelle, qui doit, elle, être challengée par la direction. Elle se concentre sur les processus et activités, mais elle va complexifier l’agrégation des risques afin de donner une vue d’ensemble à la direction. Cette analyse requiert une connaissance fine de l’organisation, ainsi que de nombreux entretiens avec les responsables des processus et activités pour bien cerner l’ensemble des enjeux, mais aussi identifier les vulnérabilités potentielles.

Guide

À propos

Trust Valley

Centre national pour la cybersécurité

Plan du site

Mentions légales

Signaler une erreur

2023 © Trust Valley. Tous droits réservés.

Conditions générales

Politique de confidentialité