Qu’est-ce que la gestion des risques en entreprise ?

Quels sont les différents types de risque ?

Les entreprises sont confrontées à un large éventail de risques commerciaux, mais les types de risque en entreprise les plus courants sont les risques opérationnels, financiers, stratégiques, de conformité, de réputation et de sécurité.

• Risques opérationnels : ils comprennent les défaillances et les perturbations inattendues qui affectent les opérations quotidiennes de votre entreprise comme les problèmes techniques, les coupures de courant, les erreurs d’employés, la fraude ou l’échec de procédures et de politiques.
• Risque financier : il désigne tout ce qui menace spécifiquement les mouvements d’argent entrant et sortant d’une entreprise.
• Risque de conformité : comme les réglementations changent régulièrement, les entreprises sont constamment confrontées au risque d’enfreindre des règles à leur insu et s’exposent à de lourdes amendes et autres pénalités dommageables.
• Risque pour la réputation : il englobe tout ce qui peut entraîner des dommages d’ampleur et durables à l’image de marque ou à la réputation d’une entreprise, comme un procès de grande envergure, un rappel de produits, un scandale ou autre type de publicité négative, ou encore une critique de ses produits et services émise par une entité éminente.
• Risque stratégique : il freine l’entreprise dans ses efforts pour atteindre les objectifs qu’elle s’est fixée, ou réduit l’efficacité de sa stratégie en raison de changements technologiques, de l’arrivée d’un nouveau concurrent, de changements dans la demande des consommateurs, d’une augmentation rapide des coûts annexes ou des matières premières, ou autre changement de grande envergure.
• Risque de sécurité : leur analyse se base sur la probabilité qu’une entreprise subisse des pertes, des dommages ou une destruction de ses actifs parce qu’un malware, des utilisateurs non autorisés ou d’autres menaces infectent ses systèmes, en exploitent les vulnérabilités, ou dérobent ou compromettent ses données.

Quel est l’objectif de la gestion des risques ?

La mise en place d’un cadre de gestion des risques en entreprise (ou Risk Management Framework) a pour objectif principal d’être en mesure d’identifier, d’analyser et de gérer l’ensemble des menaces qui pèsent sur une organisation. Une gestion des risques, par définition, permettra à l’entreprise de conserver son avantage concurrentiel, disposer d’une organisation fluide et performante, prendre des décisions rapides, appréhender et surmonter tout risque potentiel ou avéré.

En quoi consiste la gestion des risques commerciaux d’une entreprise ?

Les entreprises doivent impérativement comprendre les risques commerciaux auxquels elles sont exposées afin d’avoir de la visibilité, et donc plus de contrôle, sur les nombreux facteurs et variables qui peuvent potentiellement provoquer des dommages graves, coûteux et durables. Comprendre les types de risque spécifiques de l’entreprise ne lui permet pas seulement d’identifier les menaces, les pertes et les perturbations potentielles à l’avance, cela peut également l’aider à apporter une réponse adaptée aux menaces et à affecter les ressources et l’infrastructure nécessaires à la réduction ou à la prévention de pertes graves.

Qu’est-ce que le TCoR, Total Cost of Risk ?

Le coût total du risque (ou TCoR, Total Cost of Risk en anglais) est un indicateur chiffrable et contrôlable qui représente la somme de tous les aspects des opérations d’une entreprise associés à la gestion des risques et des pertes encourues. Cette équation inclut, entre autres choses, des facteurs comme les primes d’assurance, les franchises, les pertes non assurées et les dépenses d’ajustement connexes, les amendes réglementaires, les coûts du contrôle des risques internes et externes, les coûts administratifs, les taxes et les frais. Une part importante de la compréhension des risques réside dans le calcul du Total Cost of Risk (TCoR) pour votre entreprise.

Analyse des risques de sécurité : quelles en sont les causes ?

L’analyse des risques de sécurité peut inclure l’association de personnes, notamment des employés ou des prestataires mécontents, inattentifs ou mal informés. Le risque peut également être attribué à des applications et à des appareils défaillants ou vulnérables, comme certaines applications mobiles qui peuvent exposer les données de l’entreprise à des utilisateurs non autorisés, des équipements ou des systèmes non tenus à jour ou obsolètes, ainsi que des applications de cloud public vulnérables ou des politiques de sécurité inadaptées..

En quoi une faille affecte-t-elle le risque de sécurité informatique ?

Les failles ont souvent de graves conséquences à long terme, notamment en élargissant les types de risque pour les entreprises touchées.

Une faille ou une cyberattaque réussie va nécessairement accroître l’exposition financière d’une entreprise. Une faille de données a des coûts immédiats, comme le versement d’une compensation financière aux victimes ou le remplacement des sommes dérobées lors de la faille. De plus, les entreprises touchées doivent également payer de lourdes amendes de non-conformité au gouvernement et aux organismes réglementaires : selon le RGPD, par exemple, les pénalités peuvent atteindre la somme maximale de 20 millions d’euros (22 millions de dollars) ou 4 % du chiffre d’affaires annuel, selon le montant le plus élevé. De plus, les entreprises qui subissent une faille vont inévitablement voir le cours de leur titre chuter et être contraintes à payer des primes d’assurance plus importantes pour se protéger en cas de récidive.

Outre ces nombreux coûts immédiats, les failles ont encore des conséquences à long terme pour les entreprises. À la suite d’une faille, l’entreprise touchée doit également faire face aux dommages durables infligés à sa réputation : déclin de la confiance des consommateurs, réduction de sa base de clients, perte de parts de marché au profit de la concurrence. De plus, comme les victimes des failles de données sont vulnérables au vol d’identité en cas de fuite d’informations personnelles ou financières, elles s’exposent également à des procès et à des arbitrages pour les mois, voire les années, à venir.

Quelles sont les étapes de la mise en place d’une gestion des risques ?

La gestion des risques se fait généralement en trois étapes : évaluation des risques, analyse des risques et atténuation des risques.

• L’évaluation des risques consiste à identifier les vulnérabilités au sein de votre infrastructure IT et de votre réseau, susceptibles d’entraîner des pertes de données, des baisses de revenus, des interruptions ou des pénalités de conformité. L’objectif principal est de déterminer quels sont les types d’actifs à risque de l’entreprise les plus susceptibles d’être compromis, et de quelle manière.
• L’analyse des risques est le processus permettant de déterminer dans quelle mesure votre entreprise peut être affectée négativement en cas d’incident de sécurité informatique. Cette étape inclut notamment une recherche des menaces et des tests de pénétration visant à mettre au jour les vulnérabilités tout en examinant avec honnêteté les mesures de protection actuelles, et en évaluant l’impact que ces menaces exercent sur les activités.
• L’atténuation des risques consiste à planifier et à prendre des mesures dans le cadre de la gestion des vulnérabilités afin de réduire les menaces et leur impact sur la sécurité, ce qui peut consister à mettre en place des politiques et des procédures à l’échelle de l’entreprise, recruter du personnel ou former le personnel existant, mettre en place de nouveaux contrôles ou adopter de nouvelles technologies. Elle nécessite également de définir vos priorités de sécurité, de décrire les modalités de résolution des problèmes et de mettre en place des mesures de correction.

Comment atténuer les risques de sécurité informatique ?

L’une des étapes clés de l’atténuation des risques de sécurité informatique réside dans l’identification des vulnérabilités et la détection des failles qui vous rendent vulnérables aux attaques. Une analyse régulière des risques de sécurité, comme les cybermenaces, peut entraîner une détection et une atténuation précoces des risques en exposant les vulnérabilités des applications, en détectant les malwares et les botnets, et en identifiant les dispositifs obsolètes ou à risque. De plus, ces évaluations peuvent vous aider à analyser la productivité des utilisateurs et à inventorier les applications exécutées sur le système, tout en fournissant des informations sur l’utilisation et les performances du réseau (la consommation de bande passante, par exemple) afin d’identifier les pics suspects de trafic avant la survenue d’interruptions néfastes.

• Détection des failles : si les indicateurs de faille dépendent beaucoup du type d’attaque, on recense plusieurs signaux d’alerte généraux. Des heures de connexion inhabituelles, des redémarrages inopinés, une latence du réseau qui augmente ou une intensification inexpliquée du trafic, l’utilisation d’un logiciel inconnu ou des dysfonctionnements dans les applications de sécurité, et la présence d’IP non reconnues sont autant de signes pouvant indiquer une faille passée ou en cours.
• Identifier les vulnérabilités : les appareils non mis à jour ou obsolètes contiennent souvent des vulnérabilités qui ouvrent la porte aux attaques et donc aux risques de sécurité informatique. De nombreuses formes de malwares sophistiqués peuvent rester dormantes indéfiniment jusqu’à leur déclenchement (par exemple au cours d’un redémarrage ou d’une mise à jour, quand le système est le plus vulnérable) puis cibler toutes les vulnérabilités non corrigées pour voler des données, conduire des opérations de cyber-espionnage ou perturber le fonctionnement des systèmes.

Comment l’automatisation peut-elle contribuer à la gestion des risques ? 

L’automatisation est un moyen pour les entreprises de traiter les risques dans leur globalité parce qu’elle met une puissance et une structure améliorées au service de la détection des menaces et de la résolution des incidents. Des systèmes critiques comme les opérations IT, la gestion des vulnérabilités et des menaces, les configurations, les audits de conformité et les systèmes de gouvernance des identités peuvent tous être automatisés dans le cadre du processus de gestion des risques de l’entreprise. Les opérations et les incidents de sécurité qui se produisent dans ces systèmes peuvent être associés à des dépôts de risque informatique, ce qui permet aux équipes de réponse aux incidents d’évaluer le niveau de risque qu’ils présentent pour l’entreprise.

Les informations relatives à une vulnérabilité récemment identifiée, par exemple, peuvent être automatiquement téléchargées dans la solution de gestion des risques, qui peut ensuite déclencher une investigation et classer le niveau de risque de l’incident et sa gravité selon un ensemble de critères prédéfinis. Une fois que la solution a classé la menace, le système automatisé peut déclencher le plan d’action de gestion des vulnérabilités nécessaire. Et si la vulnérabilité devient une menace, la solution peut aussi déclencher le processus d’évaluation des risques et utiliser le numéro CVE de la menace pour lancer la gestion proactive des correctifs.

Comment les différents segments verticaux abordent-ils la gestion des risques ?

Face à des groupes différents de clients, de réglementations de conformité, d’objectifs et d’actifs, des secteurs comme la santé, les services financiers et les administrations gouvernementales adoptent tous une approche très différente de la gestion des risques, de l’évitement, aux plans d’atténuation jusqu’aux décisions d’investissement associées. Par exemple :

• la santé : si les organismes de santé se concentraient historiquement sur la sécurité des patients, les types de risque sont devenus, pour les entreprises de ce secteur, beaucoup plus complexes à gérer. Cette complexité est due à l’élargissement du rôle des technologies de santé et des réseaux de santé connectés, à l’accroissement des risques de sécurité informatique et à l’évolution rapide des réglementations sanitaires et du paysage juridique et politique. Dans le domaine du risque, les plus grandes préoccupations du secteur de la santé concernent les réglementations de conformité telles que la loi américaine sur la portabilité et la responsabilité des assurances de santé (HIPAA), les risques associés aux erreurs médicales et les menaces de cybersécurité de plus en plus sophistiquées qui cherchent à dérober ou à compromettre les données des patients ;
• les services financiers : dans le secteur des services financiers, la gestion des risques s’articule autour de la gestion de l’exposition au risque opérationnel, au risque de crédit, de marché et des changes, au risque commercial et juridique, et au risque de réputation et de sécurité. Peut-être plus encore que dans d’autres secteurs, l’industrie des services financiers fait face à des risques en termes de réputation, en particulier depuis une série de failles de sécurité et divers scandales impliquant aussi bien la création de centaines de millions de faux comptes de clients, que le blanchiment d’argent ou des escroqueries sur les frais bancaires ;
• les gouvernements : les menaces pesant sur les opérations des organismes gouvernementaux vont des catastrophes naturelles et criminelles au cyberespionnage, en passant par les défaillances technologiques et les incidents de sécurité. Comme de nombreux services gouvernementaux sont indispensables à la santé et à la sécurité du public, les stratégies de gestion des risques doivent minimiser toutes les perturbations, qu’il s’agisse de désagréments temporaires ou d’une interruption de service d’infrastructure critique.

Pour élaborer des normes cohérentes, reproductibles et fiables dans le cadre de la gestion de sécurité des infrastructures informatiques, les organismes gouvernementaux peuvent s’appuyer sur le cadre de gestion des risques (ou RFM : Risk Management Framework), un ensemble de directives qui régit l’élaboration, la supervision et la sécurisation des systèmes informatiques.

Conçues pour identifier les risques pouvant nuire aux opérations, ces normes de gestion des risques comprennent des directives émanant du département américain de la Défense (DoD), de l’Institut national des normes et de la technologie (NIST) et d’autres autorités.

• Risk Management Framework du DoD : publié par le département américain de la Défense en 2014, ce cadre décrit un processus en six étapes (catégoriser, sélectionner, mettre en œuvre, évaluer, autoriser et superviser) à suivre par les agences gouvernementales et leurs sous-traitants pour prévenir les risques de sécurité IT.
• Risk Management Framework du NIST : le NIST, ou Institut national des normes et de la technologie, est un organisme fédéral non réglementaire au sein du département américain du Commerce qui permet aux entreprises d’appliquer des principes et des bonnes pratiques de gestion des risques afin d’améliorer la sécurité et la résilience des infrastructures critiques. Le NIST a également publié le cadre de cybersécurité volontaire, qui fournit des normes, des directives et des bonnes pratiques pour gérer le risque de cybersécurité dans toutes les organisations, et pas uniquement dans les agences gouvernementales.
• Cadre pour l’amélioration de la cybersécurité des infrastructures critiques : ce cadre est une approche basée sur les risques informatiques qui reprend différentes normes et bonnes pratiques de l’industrie pour mieux gérer les risques de cybersécurité. Ce cadre peut être utilisé pour renforcer un programme existant de gestion des risques ou comme guide pour en élaborer un entièrement.
• Cadre COSO : créé en 1992 par le Committee Of Sponsoring Organizations of the Treadway Commission (COSO), ce cadre très largement utilisé a été mis au point pour évaluer les contrôles internes, en priorité ceux de la conformité financière. Il comprend cinq parties : culture d’entreprise, évaluation des risques, activités de contrôle, information et communication, et supervision.
• Gestion des risques de l’entreprise (ERM) : défini par le Conseil ERM de l’Association pour la gestion des risques comme la « capacité à gérer tous les risques de l’entreprise dans la recherche de retours acceptables », l’ERM va au-delà de la sécurité et aborde l’entreprise dans son ensemble. Ce cadre a pour but pour d’aider les sociétés à déterminer si elles doivent prendre le risque d’adopter de nouvelles directions stratégiques.

La gestion des risques est indispensable à la protection des actifs

Avec la multiplication de réglementations de conformité rigoureuses et la prolifération de menaces de cybersécurité destructives, c’est un fait bien établi que les types de risque en entreprises qui sont confrontées à une augmentation pèsent sur leurs données, leurs actifs et leur réputation. Par conséquent, une gestion des risques efficace est aujourd’hui un aspect essentiel des opérations d’une entreprise.

Pour les entreprises, les avantages de la mise en place d’un programme complet de gestion des risques sont nombreux, car ils donnent aux responsables de la sécurité, aux administrateurs et aux auteurs de politiques la capacité à : 

• adopter une approche logique et systématique de l’amélioration permanente de la sécurité IT ;
• identifier les risques pouvant être les plus dommageables à l’entreprise et protéger à la fois les données et les actifs ;
• rechercher proactivement et atténuer ces risques avant que des cyberattaques ne provoquent des désastres ;
• trouver des moyens d’améliorer l’efficacité des opérations et l’affectation des ressources et des talents ;
• planifier et veiller à ce que l’entreprise ou l’organisme soit équipé pour gérer les incidents de sécurité et puisse s’en rétablir plus rapidement et facilement.

Un plan complet de gestion et de politique de risques aide les professionnels et les responsables de la sécurité à remplir toutes ces missions. Du point de vue de la sécurité comme des opérations, il permet aux DSI, aux analystes de sécurité et aux administrateurs d’apporter continuellement des améliorations aux activités et de les entretenir. Et tout cela contribue à réduire et gérer les risques de sécurité et de conformité qui menacent l’organisation et, en fin de compte, ses revenus.