MENACE vs RISQUE

Il y a trois termes dont nous devons prendre note pour éviter toute confusion.

• Vulnérabilité : Vulnérable signifie susceptible d'être attaqué ou endommagé. En sécurité de l’information, une vulnérabilité est une faiblesse.
• Menace : Une menace est un danger potentiel associé à cette faiblesse ou vulnérabilité.
• Risque  : le risque concerne la probabilité qu'un acteur menaçant exploite une vulnérabilité et l'impact qui en résulte sur l'entreprise.

GRC- Governance, Risk, and Compliance

Terminologies importantes

• Gouvernance : Gérer et diriger une organisation ou un système pour atteindre ses objectifs et assurer le respect des lois, réglementations et normes.
  • Stratégie  : Développer et mettre en œuvre une stratégie complète de sécurité de l'information qui s'aligne sur les objectifs commerciaux globaux de l'organisation.
  • Politiques et procédures : Préparer des politiques et des procédures qui régissent l'utilisation et la protection des actifs informationnels.
  • Gestion des risques  : effectuer des évaluations des risques pour identifier les menaces potentielles pour les actifs informationnels de l'organisation et mettre en œuvre des mesures d'atténuation des risques.
  • Mesure de la performance : Établir des mesures et des indicateurs de performance clés (KPI) pour mesurer l'efficacité du programme de gouvernance de la sécurité de l'information. Conformité : Assurer le respect des réglementations en vigueur et des meilleures pratiques de l'industrie.
• Réglementation : Une règle ou une loi appliquée par un organe directeur pour garantir le respect et protéger contre les dommages.
• Conformité  : état d'adhésion aux lois, réglementations et normes qui s'appliquent à une organisation ou à un système (HIPAA, RGPD,PCI DSS …)

1- Définir la portée et les objectifs : Cette étape consiste à déterminer la portée du programme GRC et à définir ses objectifs. Par exemple, une entreprise peut mettre en œuvre un programme GRC pour son système de gestion des données clients. L’objectif pourrait être de réduire les cyber-risques à 50 % dans les 12 prochains mois tout en préservant la confiance de ses clients.

2- Réaliser une évaluation des risques : Dans cette étape, l'organisation identifie et évalue ses cyber-risques. Par exemple, une évaluation des risques peut révéler que le système de gestion des données clients est vulnérable aux attaques externes en raison de contrôles d'accès faibles ou de logiciels obsolètes. L'organisation peut alors prioriser ces risques et élaborer une stratégie de gestion des risques.

3- Élaborer des politiques et des procédures  : des politiques et des procédures sont élaborées pour guider les pratiques de cybersécurité au sein de l'organisation. Par exemple, l'entreprise peut établir une politique de mot de passe pour garantir l'utilisation de mots de passe forts. Ils peuvent également mettre en œuvre des procédures d’accès au système de journalisation et de surveillance pour détecter les activités suspectes.

4- Établir des processus de gouvernance  : les processus de gouvernance garantissent que le programme GRC est géré et contrôlé efficacement. Par exemple, l'organisation peut établir un comité directeur de sécurité qui se réunit régulièrement pour examiner les risques de sécurité et prendre des décisions concernant les investissements et les priorités en matière de sécurité. Les rôles et responsabilités sont définis pour garantir que chacun comprend son rôle dans le programme.

5**-Mettre en œuvre des contrôles**  :

des contrôles techniques et non techniques sont mis en œuvre pour atténuer les risques identifiés lors de l'évaluation des risques. Par exemple, l'entreprise peut mettre en œuvre des pare-feu, un système de prévention des intrusions ( IPS ) , un système de détection des intrusions ( IDS ) et une gestion des informations et des événements de sécurité ( SIEM ) pour prévenir les attaques externes et dispenser une formation aux employés pour améliorer la sensibilisation à la sécurité et réduire le risque d'intrusion humaine.