Domicile > Gestion des menaces > Stratégie De Sécurité Basée Sur Les Risques

Stratégie de sécurité basée sur les risques

Une stratégie de sécurité basée sur les risques est une stratégie dans laquelle une organisation identifie les précautions de sécurité spécifiques qui doivent être prises dans un environnement de technologie de l'information (TI) et documente quand et où ces précautions doivent être appliquées. Les stratégies de sécurité basées sur les risques aident les organisations à identifier les actifs numériques qui nécessitent le plus de protection. Trois domaines essentiels qu'une entreprise devrait aborder avec une stratégie de sécurité basée sur le risque sont ; quels sont leurs principaux actifs d'information, qui a accès à ces actifs / comment ils sont protégés, et qui peut vouloir voler ou endommager ces actifs. 

La sécurité basée sur le risque devrait être soigneusement planifiée et continuellement surveillée pour s'assurer que les stratégies soutiennent une approche complète et approfondie de la cybersécurité. Les pratiques de sécurité fondée sur les risques les plus efficaces complètent les autres stratégies de gestion des risques de l'entreprise (ERM) de l'organisation. 

Éléments de la stratégie de sécurité fondée sur les risques

Il existe cinq étapes de base de la stratégie de sécurité fondée sur les risques qu'une organisation doit suivre lorsqu'elle pratique la sécurité fondée sur les risques. Ces étapes comprennent :

  1. Évaluation des actifs -- Dans cette étape, une organisation devrait déterminer quels sont ses actifs clés, où ils se trouvent et qui les possède. Cette étape devrait également inclure tout impact commercial et les coûts qui viennent avec l'intégrité ou la disponibilité d'un actif compromis évalué. L'objectif est de s'assurer que les actifs les plus importants pour le fonctionnement quotidien d'une organisation reçoivent une priorité élevée.
  2. Identifier les menaces -- L'organisation doit identifier les acteurs malveillants qui pourraient vouloir voler des informations ou endommager des actifs. Il peut s'agir de concurrents, d'employés en colère ou de menaces non hostiles comme des travailleurs non formés. Parmi les autres menaces potentielles à garder à l'esprit figurent les catastrophes naturelles telles que les inondations ou les incendies. Chaque menace doit se voir attribuer un niveau de menace qui est basé sur sa probabilité de se produire.
  3. Identifier les vulnérabilités -- Cette étape consiste à identifier les vulnérabilités potentielles des logiciels et des réseaux. Les pen tests et les outils automatisés d'analyse des vulnérabilités peuvent y contribuer.
  4. Profilage des risques -- Cette étape évalue la probabilité qu'une menace exploite une vulnérabilité. Les activités de profilage évaluent les mesures de protection existantes et mesurent le risque pour des actifs spécifiques. L'objectif est d'attribuer à chaque actif son propre score de risque.
  5. Traitement des risques -- Cette étape consiste à décider s'il faut tolérer, traiter ou mettre fin aux risques. Il est important que chaque décision soit documentée, avec les raisons de chaque choix. Des tests de pénétration doivent être utilisés pour simuler chaque menace et garantir la sécurité de certains actifs. Ce processus devrait être répété pour chaque menace qui a été identifiée.

Mise en œuvre de la stratégie de sécurité basée sur les risques

Bien que la mise en œuvre de la sécurité basée sur les risques puisse être une tâche chronophage, elle garantira la sécurité des actifs informationnels et alignera les efforts de sécurité sur les objectifs de l'entreprise. Les discussions entre les professionnels de la sécurité et les responsables d'entreprise doivent commencer par l'identification des menaces potentielles et de la probabilité qu'une menace potentielle se produise. Cela permettra aux parties prenantes de commencer à attribuer des niveaux de risque à chaque menace et vulnérabilité potentielle.

Une fois ce travail effectué, les administrateurs réseau peuvent revoir leurs politiques de contrôle d'accès pour vérifier que l'organisation applique le principe du moindre privilège (PoLP). Une fois qu'un audit des contrôles techniques est édicté pour s'assurer que tout fonctionne comme prévu, des tests peuvent alors être lancés pour simuler chaque menace.

Cette vidéo explique pourquoi il est important d'obtenir le soutien de la direction lors de la mise en œuvre de stratégies de sécurité basées sur les risques.

.

Par Eradis Digiouanni

Certification de tests fonctionnels unifiés :: Facebook Live
Liens utiles