CASES.LU

Glossary

  1. ▹ Antivirus
  2. ▹ Actifs
  3. ▹ Authentification
  4. ▹ Disponibilité
  5. ▹ Critères de base pour l'analyse des risques
  6. ▹ Attaque informatique
  7. ▹ Confidentialité
  8. ▹ Control
  9. ▹ Cryptographie
  10. ▹ Cybercriminalité
  11. ▹ Cybercriminel
  12. ▹ DRP – Disaster Recovery Plan
  13. ▹ Sauvegarde de données
  14. ▹ Perte de données
  15. ▹ Défiguration
  16. ▹ Désinfectez la machine avec un live CD
  17. ▹ Mise au rebut
  18. ▹ Email
  19. ▹ Firewall
  20. ▹ Erreurs humaines
  21. ▹ IDS/IPS
  22. ▹ Droit à l'image
  23. ▹ Impact
  24. ▹ Intégrité
  25. ▹ Internet et droits d'auteurs
  26. ▹ Aspects légaux
  27. ▹ LuxTrust
  28. ▹ Logiciels malveillants
  29. ▹ Sites Web malicieux
  30. ▹ Segmentation réseau
  31. ▹ Password
  32. ▹ Correctifs - patch
  33. ▹ Phishing
  34. ▹ Pannes physiques
  35. ▹ Sécurité physique
  36. ▹ Vol Physique
  37. ▹ Recommandations pour sécuriser un serveur de fichiers
  38. ▹ Recommandations pour sécuriser un serveur connecté à Internet
  39. ▹ Recommandations pour sécuriser un serveur Web
  40. ▹ Supports amovibles
  41. ▹ Gestion des risques
  42. ▹ Spam - les courriers indésirables
  43. ▹ SSL/TLS - les technologies de chiffrement sur la toile
  44. ▹ Mettre à jour les logiciels sur son ordinateur à l'aide de Secunia PISA
  45. ▹ Charte de sécurité
  46. ▹ Ingénierie sociale
  47. ▹ Menaces
  48. ▹ VPN : Les réseaux privés virtuels
  49. ▹ Vulnérabilités
  50. ▹ Web of Trust - WOT
  51. ▹ Filtre web - Proxy
  52. ▹ Pourquoi est-il important de protéger son ordinateur?

Gestion des risques

En quelques mots

Une entreprise qui veut se protéger va essayer de traiter les risques (menacevulnérabilitéimpact) auxquels elle est confrontée. Pour ce faire l’entreprise peut procéder de plusieurs façons plus ou moins formelles:

  • processus formel de gestion des risques, en partant des actifs importants et vitaux de l’entreprise
  • application des bonnes pratiques pour les différents types d’actifs sans pour autant procéder à une analyse de risques formelle
  • analyse des menaces les plus répandues pour certains types d’actifs et application des mesures appropriées
  • analyse des impacts les plus redoutés et application des mesures nécessaires pour les prévenir
  • analyse des vulnérabilités les plus facilement exploitables et mise en place des mesures pour les réduire

Il est toujours recommandé de procéder via l’approche formelle de gestion des risques. Mais vu que cette approche est assez complexe, une entreprise peut aussi bien envisager de procéder via une méthode moins formelle, plutôt basée sur des “quick wins” respectivement des expériences ou bonnes pratiques.

En tant que traitement du risque, une entreprise a généralement les options suivantes:

  • réduction du risque en appliquant des mesures
  • évitement du risque en cessant le processus en question
  • transfert du risque vers une autre entité (externalisation)
  • maintien du risque (aucun traitement n’est économiquement souhaitable)

Approche par gestion des risques

La gestion des risques est la meilleure façon de traiter les risques. Cette approche est malheureusement, sans bons outils, hors de portée de la plupart des organisation, pour des raisons de coût et de complexité. Avant d’entamer ce chemin d’excellence, de nombreuses entreprises préféreront choisir une approche plus pragmatique.

Approche par bonnes pratiques

Une entreprise, qui se décide à ne pas procéder à la méthode par gestion des risques peut tout de même atteindre un haut niveau de sécurité si elle adopte les bonnes pratiques liées aux différents types d’actifs. Cette approche n’est cependant pas suffisante si l’entreprise a des besoins très spécifiques en termes de sécurité.

De plus, elle peut être pénalisante au niveau des coûts pour des entreprises avec un besoin de sécurité faible, car elle propose la mise en place de bonnes pratiques, sans tenir compte des vrais besoins de l’entreprise.

L’adoption des bonnes pratiques dans les domaines suivants est préconisée:

The adoption of best practices in the following fields is also advisable:

Approches non-exhaustives

Pour traiter les risques, une entreprise peut donc décider de mettre en place un processus de gestion des risques respectivement implémenter les bonnes pratiques pour les différents types d’actifs. Chaque entreprise peut, parallèlement à ces approches plus ou moins exhaustives qui se concentrent toutes sur la protection des différents actifs importants et vitaux de l’entreprise, entamer une réflexion en partant des menaces et vulnérabilités. Cette approche n’est pas exhaustive et ne doit pas être considérée comme suffisante puisqu’elle ne se concentre pas sur les actifs importants ou vitaux de l’entreprise.

Analyse des menaces

L’analyse des menaces peut être considérée comme une approche optionnelle qui autorise à analyser de façon plus détaillée certaines menaces, respectivement de vérifier si l’on n’a oublié aucune menace dans l’approche gestion des risques respectivement dans l’approche basée sur les bonnes pratiques.

Voir: Check list des mesures de sécurité pour PME

Les menaces les plus répandues sont:

Analyse des vulnérabilités

L’analyse des vulnerabilités n’est rien d’autre qu’une démarche optionelle, parallèle au traitement des risques par la mise en place d’un processus de gestion des risques respectivement par l’implémentation des bonnes pratiques.

Sans trop aller dans le détail, on peut lister quatre types de vulnérabilités qu’il faut adresser. En mettant en place des mesures de sécurité, on vise à réduire ces vulnérabilités et donc à réduire les risques.

  • Les vulnérabilités humaines
    La peur, la curiosité, la libido, la cupidité, la pitié sont des exemples de vulnérabilités humaines. Ces vulnérabilités sont facilement exploitables sur des personnes non avisées ou non sensibilisées.

  • les vulnérabilités organisationnelles
    Sans bonne organisation, les mesures de sécurité ne pourront pas être efficaces ou efficientes. Il est nécessaire de mettre en place une charte ou même une politique de sécurité.

  • les vulnérabilités techniques
    Nombreuses sont les vulnérabilités techniques. Erreurs dans le système d’exploitation, les logiciels, règles firewall manquantes ou erronées, … Il est nécessaire de mettre en place des mesures de sécurité palliant ces vulnérabilités techniques.

  • les vulnérabilités physiques
    Au niveau de la sécurité physique, de nombreuses entreprises ont de nombreuses défaillances, qu’il est important d’éliminer.