_1.png)
En cybersécurité, il existe un terme fortement utilisé et pas toujours bien compris : le risque.
En cybersécurité, il y a un terme fortement utilisé et pas toujours bien compris : le risque.
Selon la définition stricto-sensu, le risque est la probabilité qu’une vulnérabilité (un élément vous impactant négativement) soit exploitée et multipliée par l’impact (ce que cela va finalement vous coûter si cette vulnérabilité est réellement exploitée).
Quittons cette définition assez théorique pour nous pencher sur « comment » les organisations devraient appréhender ce terme. Dire qu’un risque est élevé dans l’absolu ne veut rien dire. J’entends souvent dire : « … le risque étant très grand, vous devriez absolument faire quelque chose … » (ex. installer de nouveaux outils, …).
Cette recommandation provient majoritairement de vendeurs peu scrupuleux qui n’ont eux-mêmes aucune notion de « risque » ou, pire encore, qui demandent à leur client de faire ce qu’eux-mêmes ne feraient pas.
En cette période de vacances, il est parfois de bon ton de partir en vacances à la montagne pour tâter de la belle poudreuse (pour autant que vous séjourniez assez haut). Que remarque-t-on rapidement sur les pistes enneigées ? Les personnes qui prennent des risques : ceux qui se sentent invincibles et qui se retrouvent en hors-piste (et pas juste à côté de la piste). On pourrait dire d’eux qu’ils prennent des risques « extrêmes ». De l’autre côté, nous avons les personnes plus raisonnables, qui restent sur les pistes balisées.
Pourquoi cette comparaison ? Car elle démontre que l’attitude des êtres humains est différente face au risque. Certains sont prêts à les prendre, indépendamment de leur ampleur, et d’autres ne le sont pas : on parle donc d’un profil d’ « aversion/appétit » au risque.
Pour en revenir à la cybersécurité, il ne faut donc pas « faire quelque chose » quand le risque est élevé, mais simplement lorsqu’on estime qu’on n’est pas prêt à l’assumer … C’est quand même une sacrée différence !
Il reste un dernier point, mais qui n’est pas des moindres : est-ce que les organisations, ou les personnes qui les dirigent, ont une bonne perception du risque cyber ?
Un peu comme les skieurs qui font du véritable hors-pistes en se sentant invincibles, certaines peinent à évaluer le degré de risque pour leurs affaires. Et c’est bien là que se trouve le deuxième défi par rapport au terme de « risque » : comment l’évaluer à son juste niveau ? Pour aider ces organisations, un security assessment ou un audit lié aux risques cyber sont des bons points de départ … mais cela nécessite une approche rigoureuse liant savoir-faire et expertise.
En conclusion, si l’on souhaite réellement gérer le risque cyber dans une organisation, deux éléments préliminaires sont indispensables : déterminer le « profil de risque » et réaliser une « évaluation du risque cyber ».
Évaluons ensemble votre CyberSécurité