ANALYSE DE RISQUES
CYBESECURITE

Indispensable pour la sécurité de votre système d’information, l’analyse de risques permet l’évaluation du niveau de vulnérabilité du Système d’Information (SI) d’une organisation face aux menaces cyber : l’identification, la quantification, la qualification et la priorisation de chaque risque sont réalisées, notamment en fonction de leur impact sur l'entreprise. Un plan d’actions, découlant d’une stratégie à court, moyen et long terme permettra ensuite de prioriser les mesures correctives à réaliser pour assurer sa sécurité.

Dans la démarche de mise en place de bonnes pratiques cybersecurite, l’appréciation des risques est donc une étape fondamentale. Cette étape consiste à déterminer, dans un premier temps, les éléments exposés aux menaces cyber : l’organisation au global, mais aussi le système d’information, les services, les données. Vient ensuite le moment d'identifier les menaces qui pèsent sur ces éléments.
‍
Plusieurs méthodes existent pour l'analyse des risques liés à la sécurité de l'information :
‍
- La méthode EBIOS, notamment EBIOS Risk Manager, est une méthode française d’analyse de risques cyber de référence recommandée par l’ANSSI. EBIOS Risk Manager se distingue par une approche qui réalise une synthèse entre conformité et scénarios et se fonde sur un socle de sécurité solide, construit grâce à une approche par conformité. Cette méthode par scénarios vient solliciter ce socle face à des menaces particulièrement ciblées ou sophistiquées, qui prennent en compte l’environnement métier et technique dans lequel les organisations ciblées évoluent*.
‍
- La méthode ISO 27005. ISO 27005 fait partie des normes internationales qui s’imposent dans le domaine du management des risques informatiques. Elle aide les organisations qui la déploient à rationaliser la protection de leurs données sensibles et à anticiper les conséquences des cyberattaques

Il est important de comprendre les enjeux et les objectifs de l’entreprise qui réalise une analyse de risques cybersecurite. Des mesures de protection trop restrictives auront un impact négatif sur les capacités de production, de réactivité et de créativité d’une entreprise. Il est donc nécessaire de définir comment elle peut réduire les risques mais aussi quel est le niveau de risque qu’elle peut supporter (résilience, évaluation coût-bénéfice …).

Étape 1 : Holiseum vous accompagne dans le cadrage du socle de sécurité afin de permettre l’identification des risques et l’évaluation de la gravité de leur impact ;
‍
Étape 2 : Holiseum identifie et caractérise les risques et leur source ;
‍
Étape 3 : les scénarios représentant les chemins d’attaque empruntables par une source de risque sont créés. Une fois les menaces cartographiées, une évaluation de leur gravité est établie.
‍
Étape 4 : Holiseum établit une synthèse des risques étudiés afin d’élaborer une stratégie de traitement du risque. Cette stratégie recense les mesures de sécurité, d’amélioration continue à mettre en place ainsi que les risques résiduels.
Notre approche globale, dite holistique de la sécurité, nous permet d’intervenir sur l’ensemble de la chaîne de valeurs des services en cybersecurite et d’adresser de manière transverse sur l’ensemble des processus et des environnements (IT/OT/Sûreté/IoT).