Protéger son entreprise
 

Prévenir les risques

La meilleure façon de sécuriser son entreprise est d'installer un processus de gestion des risques. Il permet d'identifier des mesures de protection adaptées à la situation et aux valeurs de l'entreprise, tout en protégeant les actifs les plus importants. Voir: "pourquoi gérer les risques?" et "pourquoi mutualiser l'analyse des risques?"

Le risque peut se définir par le calcul suivant : risque = vulnérabilité * menace * impact. Il est composé d'un facteur 'probabilité' (provenant de la menace) et d'un facteur 'dégât' (provenant de la valeur de l'actif compromis, respectivement de la valeur du dommage indirect subit). La vulnérabilité utilisée dans cette fonction prend compte des mesures de sécurité mise en place.

Il est pratiquement impossible de prévenir un risque en voulant agir sur les menaces existantes. Par contre, on peut agir sur le risque en réduisant les facteurs 'vulnérabilité' et 'impact' :

  • Réduire le facteur 'vulnérabilité', par la mise en place de mesures de sécurité ciblées

  • Réduire l’impact potentiel, par la mise en place de systèmes de redondances des données (n’a cependant aucun effet sur la confidentialité des données)

Un organisme qui s'initie au domaine de la sécurité de l’information peut choisir de mettre en place des bonnes pratiques, sans nécessairement déployer des processus spécifiques à la gestion des risques.

Un organisme décidé à adresser la majorité des risques, va s'occuper de suivre et mettre en place le

Les «menaces» désignent l'ensemble des éléments pouvant compromettre les ressources informatiques d'une organisation. Une liste des menaces pouvant toucher une entreprise se trouve dans un article dédié.

Les «vulnérabilités» expriment toutes les faiblesses humaines et techniques qui pourraient être exploitées par des menaces, dans le but de les compromettre.

L'«impact» est le résultat de l'exploitation d'une vulnérabilité par une menace, donc le dommage causé.

La combinaison des ces trois facteurs fonde le «risque».