Lorsque l'on fait face à des risques, que cela soit des cyber risques ou d'autres types de risques, il est particulièrement important d'être vigilant pour éviter les déconvenues. Il est alors recommandé de mettre en place une cartographie de ces mêmes risques, un outil de gestion qui va permettre à l'entreprise de cartographier précisément et clairement les différents risques auxquels elle est exposée. Cette cartographie est en fait un tableau qui est organisé autour de différents axes classant les risques selon leur importance. Cette technique est particulièrement utilisée pour tout ce qui concerne la cybersécurité, domaine très sensible aujourd'hui pour les entreprises.
Qu'entend-on par une cartographie des risques ?
Pour simplifier, on entend par carte des risques un schéma organisé autour de couleurs classant le niveau des risques (heatmap) pour la société en question. La mise en place de ce schéma peut sembler très simple. Mais en fait, cela demande une organisation pointue autour de différents acteurs.
La cartographie des risques ou risk mapping est précisément définie dans les textes de l'Agefi (Agence économique et financière). Ces textes définissent donc la cartographie des risques comme « une démarche d'identification, d'évaluation, de hiérarchisation et de gestion des risques inhérents aux activités de l'organisation. » Cette démarche s'appuie sur deux groupes liés aux failles de cybersécurité :
Il sera nécessaire d'identifier et gérer les différents cyber risques pour organiser la protection ;
La DSI (Direction des systèmes d'Information) pourra ainsi mettre en place les mesures nécessaires pour gérer ces risques au mieux.
Cette approche méthodologique ou « carte » qui est une représentation graphique synthétise les différents risques encourus par l'entreprise dans un tableau qui est organisé selon deux axes :
L'axe horizontal va détailler le niveau de surveillance effective du risque et sa gravité. Cela va de risque mineur à risque majeur, voire catastrophique. C'est avant tout une évaluation nominale du cyber risque.
L'axe vertical concerne le niveau de probabilité du risque. Cela peut être improbable ou très probable.
Certains professionnels peuvent inverser ces axes. Mais dans tous les cas, il s'agit de la criticalité (ou criticité ou encore état critique) des risques. Il s'agit donc du rapport entre l'impact et la probabilité du risque. On pourra ainsi déterminer facilement quels sont les risques les plus faibles, situés sur la gauche et en bas du tableau et les risques les plus élevés, placés, quant à eux, en haut sur la droite.
À cela s'ajoutent les codes couleur. Ces couleurs ont un rôle important. Généralement, on utilise des couleurs allant du vert au rouge. Le vert correspondra ainsi aux risques acceptables alors que le rouge correspondra à un risque élevé.
Raisons d'élaborer une cartographie des risques
La cartographie des risques est avant tout un outil destiné aux dirigeants de l'entreprise. Son objectif est de :
Répertorier les différents risques possibles, cela couvre différents domaines : management, commercial, ressources humaines, risques cyber, corruption ou risques sanitaires et naturels.
Cette visualisation schématisée des différentes probabilités et des impacts de ces risques permet de comprendre plus rapidement et facilement ces mêmes risques auxquels l'entreprise peut être exposée.
Cette cartographie peut, de ce fait, se décliner pour chaque fonction de la société. Dans ce cas, l'entreprise concevra un risk mapping pour chaque catégorie : cybersécurité, management, ressources humaines… Pour ce qui est de la cyber sécurité, ce tableau va avant tout assurer la parfaite compréhension des risques liés aux différentes technologies de l'information. C'est aussi très utile pour informer de la prise de décision dans la stratégie relative à la cyber sécurité.
Néanmoins cette cartographie n'est pas obligatoire. Elle sera toutefois très utile principalement si elle est intégrée au DUER (document unique d'évaluation des risques) prévu par la loi. Il faut noter que les entreprises cotées doivent adopter un dispositif de gestion des risques efficace. Elles doivent ainsi répertorier précisément les différents risques majeurs auxquels elles peuvent faire face.
Les risques cyber : les plus importants à surveiller
Les cyberattaques touchent de plus en plus d'entreprises et cela, quelle que soit leur taille. Les petites et grandes entreprises pourront se trouver face à des ransomwares (rançongiciel), du phishing (ou hameçonnage), des malwares (logiciels malveillants). Elles peuvent aussi être confrontées à l'ingénierie sociale, le vol de données ou des menaces internes.
Les attaques par ransomware sont les plus répandues. Elles consistent à crypter les données de l'entreprise et à les conserver jusqu'au paiement d'une rançon.
Le phishing est également une menace très populaire. Il s'agit d'inciter un utilisateur à fournir ses données personnelles en utilisant un mail ayant l'apparence d'un mail officiel.
Le malware est un logiciel simple qui s'infiltre dans un ordinateur via un mail (généralement une pièce jointe). Une fois dans l'ordinateur, le malware peut faire des ravages.
L'ingénierie sociale a principalement touché les réseaux sociaux et avec leur augmentation, cette ingénierie s'est élargie. Les différents messages envoyés par ces plateformes peuvent évidemment contenir des malwares visant à voler les informations personnelles de l'utilisateur. Cela s'accompagne du vol de données qui touche de nombreuses entreprises. Les employés verront ainsi leurs informations dérobées et utilisées. Le hacker pourra alors émettre des attaques (ransomware, phishing…) dans le réseau de l'entreprise.
Les menaces internes sont aussi un risque majeur à surveiller. Les employés peuvent être considérés comme des menaces importantes dans le domaine de la sécurité de l'entreprise. Ils conservent les données importantes sur des clefs USB, utilisent des mots de passe simples ou utilisent ceux-ci pour plusieurs comptes, tant personnels que professionnels, peuvent être victimes de phishing. Une étude récente a démontré que 95 % des violations dues à la cyber criminalité sont dues à une erreur humaine.
Comment préparer une cartographie des risques informatiques étape par étape
Pour déterminer une cartographie des risques efficace, une procédure en 4 temps doit être utilisée. L'Agefi recommande, quant à elle, une procédure en 6 étapes.
La méthode la plus rencontrée se déroule en 4 étapes. Il faudra avant tout recenser les activités de l'entreprise et les différents actifs clés. Vient ensuite l'étape de l'identification des risques. Il sera alors indispensable de déterminer les vulnérabilités de la société. Il faudra alors dresser la liste des situations pouvant causer problème. On pourra prendre en compte les attaques DDoS, l'hameçonnage, les rançongiciels ou encore les autres logiciels malveillants. Vient ensuite l'étape de l'évaluation des impacts et de la survenance du risque. Pour ce qui est de l'impact, la cyber attaque peut ruiner la réputation de l'entreprise, l'obliger à arrêter son fonctionnement, toucher ses actifs financiers ou ses infrastructures ou encore toucher les informations personnelles des utilisateurs. Il sera alors utile de donner une couleur à ces conséquences (vert, jaune, orange ou rouge). Une probabilité d'occurrence sera aussi donnée, là encore selon un code couleur : peu probable (vert), très probable (rouge). Ce classement sera la base de la cartographie des risques.
Il est à noter que cette méthode se base sur des évaluations personnelles et subjectives. Pour être réellement efficace, il est recommandé de l'associer avec des études moins subjectives.
Dernière étape : déterminer les mesures à mettre en place pour détecter les risques.
Pour que cette cartographie soit optimale, plusieurs erreurs sont à éviter :
Il sera nécessaire d'identifier les actifs critiques avant de se focaliser sur les menaces ;
Négliger les éléments dans lesquels l'entreprise travaille ;
Rester trop théorique. Il sera alors utile de dresser des scénarios précis ;
Se limiter à une analyse qualitative, trop subjective ;
Ne pas oublier d'impliquer la direction générale et les différentes fonctions métiers qui ont bien pris en compte et compris la chaîne de valeur de l'entreprise.
La cartographie des risques est un procédé très utile pour protéger au mieux son entreprise, elle a aussi des limites. Même si elle est très simple à comprendre, cela peut présenter une simplification exagérée ou présenter des erreurs. Le numérique a fait grandement évoluer les risques. Il est important de rester toujours à l'écoute des nouveautés. La cartographie a ainsi tout intérêt à s'associer à des méthodes mathématiques ou probabilistes de quantification. Il est capital d'identifier plus finement les cyber risques et leurs conséquences. Le domaine financier ne devra ainsi pas être négligé. Il sera ainsi plus facile de piloter les budgets de sécurité.
Faire du risk mapping n'est pas obligatoirement une procédure très simple. Il y a en effet quelques principes (et astuces) à utiliser.
Actualiser sa carte
La carte doit être avant tout exhaustive, mais aussi évolutive. Elle doit de ce fait être régulièrement actualisée et s'adapter aux nouvelles menaces.
Être précis
La nomination des risques n'est pas suffisante. Il est aussi impératif de les situer dans le fonctionnement général de l'entreprise. Il sera également indispensable de déterminer avec précision la fréquence et la gravité des différents dangers. Et cette détermination doit être décrite comme l'indique la norme ISO 27005. Cette cartographie doit, en outre, être compréhensible par tous les collaborateurs et être accessible.
Associer cette cartographie
Même si le risk mapping peut s'avérer très utile pour protéger son entreprise au mieux, il pourra s'avérer utile de la combiner à une méthode quantitative d'évaluation du risque, mais en terme financier. On pourra ainsi utiliser la méthode VaR (Value at Risk) qui consiste à réunir les données statistiques afin d'établir des estimations du cyber risque. Cette méthode sera ainsi beaucoup plus précise et rigoureuse.
Numéroter les risques
De nombreuses entreprises, pour se simplifier le travail, ont choisi de numéroter les risques les plus importants. Elles peuvent ainsi utiliser la stratégie du risk measurement (provenant du cabinet de conseil McKinsey & Company). Cette méthode associe à la cartographie des risques une numérotation allant de 1 à 4 pour les risques principaux. Il pourra ainsi s'agir, par exemple, des perturbations des services en ligne, de la cyberfraude… La numérotation facilite la compréhension, car elle renvoie à la subjectivité des personnes liées au groupe de travail. Il sera ainsi possible de comparer fiablement, mais aussi de vérifier que les mesures à prendre sont efficaces.
Pour lutter efficacement contre les risques cyber, dresser une cartographie peut donc s'avérer très utile. Mais pour cela, il est important de vous adresser à un expert dans le domaine. Celui-ci pourra ainsi déterminer les risques les plus importants pour votre entreprise et dresser une liste précise sans oublier de donner les solutions pour réduire ces risques. Pour être sûr de contacter un professionnel dans le domaine, faire appel à une personne détenant un Master management cybersécurité est indispensable. Celle-ci maîtrise les différentes menaces et pourra déterminer les conséquences et répercussions pour votre entreprise.