Guide d'évaluation des risques de cybersécurité

Qu’est-ce qu’une évaluation des risques de cybersécurité ?

Une évaluation des risques de cybersécurité consiste à évaluer la capacité d’une entreprise à protéger ses données et ses systèmes d’information contre les cybermenaces. Les entités de toutes tailles, des PME aux grandes entreprises, utilisent des ressources informatiques et effectuent des évaluations des risques de cybersécurité.

Une évaluation des risques de cybersécurité a pour objectif d’identifier et d’analyser les cybermenaces potentielles, puis de les prévenir et de les atténuer en orientant l’allocation des ressources et en mettant en place des contrôles de sécurité pour protéger les ressources informatiques. En fournissant une vue d’ensemble de toutes ces ressources, l’évaluation des risques de cybersécurité aide également les équipes de sécurité à identifier et à hiérarchiser les lacunes et les domaines à améliorer pour réduire les vulnérabilités.

Le périmètre et l’échelle des évaluations des risques cyber sont dictées par le nombre de systèmes et d’utilisateurs ainsi que par les dommages potentiels associés au risque. Par exemple, une PME peut potentiellement traiter des informations hautement sensibles, ce qui n’est pas toujours le cas d’une grande entreprise.

Principales composantes d’une évaluation des risques de cybersécurité :

• Une analyse des politiques de l’entreprise en vigueur, comprenant les procédures de sécurité, les politiques informatiques, les plans de reprise d’activité (PRA), les plans de continuité des activités (PCA) et les politiques de gestion des risques
• Une analyse des procédures de sécurisation des données ayant pour objectif d’évaluer la manière dont les données sensibles sont stockées, classées et sécurisées, ainsi que l’efficacité des contrôles d’accès mis en œuvre.
• Une analyse de la sécurité physique, telle que l’accès aux alimentations de secours en cas d’urgence, les accès verrouillés, les caméras et les systèmes d’alarme.
• Une analyse du réseau qui a pour objectif d’évaluer la sécurité des réseaux internes et externes, des commutateurs et des routeurs, ainsi que la segmentation du réseau, les pare-feu et les réseaux sans fil.
• Une analyse de la sécurité des serveurs ayant pour but d’évaluer la redondance, la protection contre les malwares ainsi que les mécanismes d’authentification et d’autorisation.
• Une analyse de la sécurité des collaborateurs externes pour les sous-traitants ayant accès aux systèmes informatiques de l’entreprise.

Pourquoi évaluer les risques de cybersécurité est-il si important ?

L’évaluation des risques de cybersécurité est fondamentale car elle permet aux entreprises d’adopter une démarche proactive afin d’atténuer et de prévenir les menaces. Les autres avantages potentiels d’une telle évaluation sont les suivants :

• Éviter les problèmes liés à la conformité
• Garantir une utilisation optimale des équipes et des ressources de sécurité
• Établir des références en matière de risques pour mesurer l’efficacité au fil du temps
• Faciliter l’élaboration de plans de réponse et de reprise en cas de cyberattaque
• Sensibiliser davantage les utilisateurs aux risques cyber
• Protéger l’entreprise contre la perte ou la compromission de données sensibles
• Réduire les coûts associés aux incidents de sécurité

Où commence une évaluation des risques de cybersécurité ?

Avant d’entreprendre une évaluation des risques de cybersécurité, il est important d’élaborer au préalable un plan complet avec des processus en mesure de :

• Identifier les menaces et les vulnérabilités potentielles
• Prédire l’impact des menaces cyber
• Proposer des options d’atténuation et d’éradication des menaces

Une évaluation des risques de cybersécurité peut être menée soit par une équipe interne, soit par un prestataire externe. Quelle que soit l’approche adoptée, son succès dépendra du choix des ressources pour constituer une équipe efficace. L’équipe idéale ne comprendra pas seulement des informaticiens et des experts en cybersécurité, mais également des représentants de toute l’entreprise, sans oublier la direction.

Étapes d’une évaluation des risques de cybersécurité

Étape 1 : identifier les actifs informatiques

Tous les actifs informatiques devront être clairement identifiés pour procéder à une évaluation complète des risques de cybersécurité. Cela englobe l’infrastructure technologique (physique et logique) et les données sensibles créées, stockées ou transmises par ces systèmes. Il est important de ne pas oublier les systèmes et services en sous-traitance.

Étape 2 : classer les risques d’actifs informatiques

Une fois les actifs informatiques identifiés et catalogués, ils doivent être classés. Cela signifie qu’il faut au préalable examiner chacun d’entre eux et évaluer les éléments suivants :

• Les risques financiers encourus
• L’impact sur l’activité de l’entreprise
• La probabilité d’être ciblé par des cybercriminels
• Le potentiel et les répercussions d’une atteinte à la réputation de l’entreprise.
• La présence d’informations sensibles et de données à caractère personnel (DCP)

Lors de la classification des risques pesant sur les actifs informatiques, prendre en compte les risques inhérents et résiduels :

• Le risque inhérent est le niveau de risque qui existait avant la mise en œuvre de tout contrôle visant à atténuer et éliminer le risque.
• Le risque résiduel est le risque qui subsiste une fois les contrôles mis en œuvre.

L’analyse des risques permet de classer les risques par ordre de priorité une fois qu’ils ont été identifiés et répertoriés. Parmi les éléments pris en compte pour l’évaluation des risques de cybersécurité, on retrouve les trois piliers de la triade CIA :

• Confidentialité : cette mesure se concentre sur l’efficacité des processus qui garantissent la protection des informations confidentielles contre tout accès non autorisé. Ce score est généralement calculé en fonction de l’ampleur et du type de dommages subis dans l’éventualité où les données venaient à être compromises.
• Intégrité : mesure l’exactitude, la cohérence et la fiabilité des informations tout au long de leur cycle de vie, en tenant compte des systèmes qui stockent et traitent les informations.
• Disponibilité : mesure la rapidité et la facilité avec lesquelles les utilisateurs autorisés peuvent accéder aux informations dont ils ont besoin.

Afin d’aider à hiérarchiser les ressources, un score doit tenir compte des risques inhérents et résiduels et doit être attribué à chaque risque en fonction des éléments suivants :

• Probabilité
• Impact
• Contrôles

Probabilité

Mesure la probabilité qu’un actif succombe à un risque au cours d’une année donnée. A noter que cet indicateur ne tient pas compte de la sévérité de l’impact du risque. La fréquence à laquelle le risque se manifeste est une échelle de notation couramment utilisée pour mesurer la probabilité dans les évaluations des risques de cybersécurité.

1. Certain (une ou plusieurs fois par jour)
2. Probable (plusieurs fois par semaine, mais pas quotidiennement)
3. Possible (une fois par semaine)
4. Peu probable (une fois par mois)
5. Rare (une fois par an ou moins)

Impact

L’impact global du risque est basé sur la gravité ou l’effet d’un risque devenant réalité. Le score d’impact de l’évaluation des risques de cybersécurité doit prendre en compte les éléments de la triade CIA.

Ces scores sont généralement associés à l’impact des risques financiers, opérationnels, réputationnel et stratégiques. L’échelle de notation généralement utilisée pour mesurer l’impact de ces risques est la suivante :

1. Très élevé
2. Élevé
3. Modéré
4. Faible
5. Très faible

Contrôles

L’efficacité des contrôles est mesurée en fonction de l’étendue et de la pertinence des mesures de prévention et de détection. Les critères suivants sont utilisés pour mesurer l’efficacité des contrôles dans le cadre des évaluations des risques de cybersécurité :

Contrôles stricts

• Des politiques et procédures adéquates existent.
• Des contrôles automatisées sont mis en place
• Des contrôles manuels efficaces sont mis en place.
• Dépendance avérée aux contrôles de surveillance.
• Les résultats des tests et des audits indiquent que les contrôles protègent de manière adéquate l’entreprise contre les risques.
• Les tests et les audits ne révèlent aucun risque.

Contrôles efficaces

• Des politiques et procédures adéquates existent.
• Des contrôles automatisées sont mis en place
• Des contrôles manuels efficaces sont mis en place.
• Dépendance modérée aux contrôles de surveillance.
• Les tests ou audits réalisés indiquent que les contrôles protègent de manière adéquate l’entreprise contre les risques.
• Les observations de risques notées se rapportent à de possibles améliorations des processus.

Contrôles adéquats

• Des politiques et procédures adéquates existent.
• Dépendance modérée aux contrôles de surveillance.
• Des contrôles manuels efficaces sont mis en place.
• Faible dépendance aux contrôles de surveillance.
• Les tests ou audits sont réalisés avec des résultats indiquant que les contrôles protègent de manière adéquate l’entreprise contre les risques.
• Des observations de risques mineurs sont notées.
• Plusieurs possibilités d’amélioration des processus sont notées.

Contrôles faibles

• Des politiques et procédures adéquates existent.
• Faible dépendance aux commandes automatisées.
• Des contrôles manuels efficaces sont mis en place.
• Faible dépendance aux contrôles de surveillance.
• Les tests ou audits réalisés indiquent que les contrôles protègent de manière adéquate l’entreprise contre les risques.
• Des observations de risques mineurs sont notées.
• Plusieurs possibilités d’amélioration des processus sont notées.

Contrôles inadéquats

• Absence de toute politique ou procédure.
• Aucun contrôle automatisé n’est mis en place.
• Aucun contrôle manuel n’est mis en place.
• Soit aucun test ou audit n’a été effectué, soit des tests ou des audits ont été effectués mais les résultats indiquent que les contrôles sont inadéquats.

Étape 4: identifier les contrôles de sécurité

Après avoir noté et hiérarchisé les risques, l’évaluation des risques de cybersécurité consiste à identifier les contrôles de sécurité permettant d’atténuer et d’éliminer les menaces. Ces contrôles englobent tout type de protection ou de contre-mesure utilisée pour éviter, détecter, déjouer ou minimiser les risques pesant sur les actifs informatiques.

Les contrôles de sécurité les plus pertinents comprennent :

• Les systèmes de gestion d’accès
• Les contrôles administratifs, tels que l’audit, la classification des données et la séparation des tâches
• Les logiciels anti-malware
• Les systèmes d’authentification
• Le chiffrement des données statiques et en transit
• Les configurations des pare-feu
• Les systèmes de détection d’intrusion et systèmes de prévention des intrusions (IDS / IPS)
• L’authentification multi-facteurs
• La segmentation des réseaux
• Les procédures de mot de passe
• Les contrôles physiques telles que les systèmes d’alarme, les caméras, les clôtures et les verrous
• Les protections contre les ransomwares
• La sensibilisation du personnel à la sécurité (par exemple, prévention contre le phishing)
• La gestion des risques fournisseurs

Étape 5 : surveiller et mesurer l’efficacité

Axée sur la prévention, la dernière étape d’une évaluation des risques de cybersécurité consiste à examiner les résultats globaux et à mettre en place des systèmes pour garantir que les évaluations sont effectuées régulièrement.

En matière de programmes d’évaluation des risques de cybersécurité, les meilleures pratiques recommandent de répéter le processus au moins une fois par an. Cette tâche sera d’autant plus facilité que les entreprises utilisent les informations collectées initialement et les mettent à jour régulièrement. Parmi ces informations, on notera :

• Les référentiels de données
• Les contrôles de sécurité existants
• Les interactions de tous les systèmes avec des services ou des prestataires externes
• L’inventaire des actifs informatiques de :
• Portefeuille d’applications pour toutes les applications, outils et utilitaires en service
• Actifs physiques, tels que le matériel, le réseau et les périphériques de communication
• Informations sur le système d’exploitation
• Exigences, politiques et procédures de sécurité
• Architectures de systèmes, diagrammes de réseau et données stockées ou transmises par des systèmes

Ressources d’évaluation des risques de cybersécurité

Outil d’évaluation de la cybersécurité (CSET®) de l’Agence de cybersécurité et de sécurité des infrastructures (CISA)

L’outil CSET de l’agence américaine CISA est une application qui a pour but d’aider les responsables et les opérateurs d’actifs informatiques à évaluer la sécurité des technologies de l’information et à mener une évaluation des risques cyber. Une fois cette évaluation terminée, les entreprises se voient remettre des rapports présentant les résultats de manière à la fois synthétique et détaillée. Les entreprises peuvent en manipuler et filtrer le contenu afin d’analyser les résultats sous différents prismes et prendre des décisions éclairées en matière de sécurité et de gestion des risques.

Système national de sensibilisation à la cybersécurité (alertes US-CERT) de l’Agence américaine de la cybersécurité et de la sécurité des infrastructures (CISA)

Les alertes US-CERT de la CISA sont proposées sous la forme d’un service gratuit, sur abonnement, qui fournit des rapports en temps réel sur les incidents cyber, les problèmes de sécurité, les vulnérabilités et les exploits. Elles permettent d’évaluer les risques cyber et fournissent des informations précieuses pour évaluer la probabilité et l’impact des menaces.

Alertes sectorielles du centre de plaintes contre la criminalité sur Internet du FBI américain (FBI IC3)

Les alertes sectorielles du FBI IC3 sont proposées sous la forme d’un service gratuit, sur abonnement, et fournissent des rapports réguliers sur les cybermenaces, les violations en cours et celles qui sont suspectées. Chaque rapport comprend une description de la menace, ainsi que des indicateurs et des techniques d’atténuation recommandées. Tout comme les alertes US-CERT de la CISA, les alertes sectorielles du FBI IC3 facilitent également les évaluations des risques de cybersécurité.

Méthode d’évaluation des risques du Centre pour la sécurité Internet (CIS RAM)

La CIS RAM est une méthode d’évaluation des risques de cybersécurité qui aide les entreprises à mettre en œuvre et à évaluer leur niveau de sécurité par rapport aux meilleures pratiques de cybersécurité des contrôles critiques de sécurité du CIS (CIS Controls).

Référentiel de gestion des risques (RMF) du Ministère de la Défense américain (DoD)

Le référentiel RMF du DoD définit les lignes directrices que les agences du DoD américain utilisent pour mener des évaluations des risques de cybersécurité. Il divise la stratégie de gestion des risques cyber en six étapes : catégoriser, sélectionner, mettre en œuvre, évaluer, autoriser et surveiller. Le RMF du DoD peut être utilisé par toute entreprise pour éclairer et guider les évaluations des risques de cybersécurité.

Référentiel d’analyse factorielle des risques liés à l’information (FAIR)

Le référentiel de l’institut FAIR a pour objectif d’aider les entreprises à mener des évaluations des risques de cybersécurité. Il s’agit de la seule norme internationale proposant un modèle quantitatif pour la sécurité de l’information et le risque opérationnel.

L’institut FAIR propose un modèle d’évaluation des risques de cybersécurité pour comprendre, analyser et quantifier le risque cyber et le risque opérationnel en termes financiers. Contrairement à d’autres, le référentiel FAIR ne concentre pas les résultats sur des diagrammes de couleurs qualitatives ou des échelles de pondération numériques. Organisation internationale de normalisation (ISO) / Commission électrotechnique internationale (CEI)

(IEC) 27001:2013 (ISO 27001)

La norme ISO 27001 fournit un cadre global de gestion de la sécurité de l’information, englobant les exigences relatives à l’évaluation et au traitement des risques de cybersécurité. Cette norme propose des spécifications pour concevoir un système de gestion de la sécurité de l’information (SGSI) basé sur les meilleures pratiques, via une gestion des risques de sécurité de l’information axée sur les risques et prenant en compte les individus, les processus et la technologie.

Référentiel de cybersécurité du National Institute of Standards and Technology (NIST)

Le référentiel de cybersécurité du NIST américain fournit aux responsables et aux exploitants d’infrastructures critiques des normes, des directives et des bonnes pratiques pour gérer les risques de cybersécurité. Ce référentiel classifie les fonctions de cybersécurité en six références : norme NIST 800-53 Rev. 5, Organisation internationale de normalisation/Commission électrotechnique internationale (ISO/CEI) 27001:2013, cadre des objectifs de contrôle pour les technologies de l’information et les technologies connexes 5, centre pour la sécurité Internet Contrôles de sécurité critiques (CIS CSC) et société internationale d’automatisation (ISA) 62443-2-1:2009 et ISA 62443-3-3:2013.

Notons que l’usage de ce document ne se limite pas aux propriétaires d’infrastructures critiques et peut être utilisé par toute entreprise désireuse de renforcer sa cybersécurité et sa résilience. Il fournit en outre des informations pour aider à évaluer les risques de cybersécurité.

Guide du l’institut américain « National Institute of Standards and Technology » (NIST) pour entreprendre une évaluation des risques

Le guide publié par l’institut américain NIST, fournit des conseils pertinents pour mener des évaluations des risques de cybersécurité liés aux systèmes d’information des entités fédérales aux Etats-Unis. Le fait que des équipes de sécurité procèdent régulièrement à des évaluations des risques de cybersécurité procure aux dirigeants de ces entités un état des lieux détaillé de leurs mesures de sécurité. Toute organisation gouvernementale peut utiliser le guide du NIST pour entreprendre des évaluations des risques pour soutenir les programmes d’évaluation des risques de cybersécurité.

Référentiel de gestion des risques (RMF) du National Institute of Standards and Technology (NIST)

Le référentiel RMF du NIST propose un processus à la fois structuré et souple pour gérer les risques de sécurité et de confidentialité. Toute entité peut utiliser le RMF du NIST pour soutenir les programmes d’évaluation des risques de cybersécurité.

Directives pour l’évaluation des risques de la norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS)

Le standard PCI DSS 4.0 exige de toutes les entités traitant et gèrant des données de cartes de paiement qu’elles procèdent à une évaluation formelle des risques de cybersécurité afin d’identifier les vulnérabilités, les menaces et les risques pesant sur leur environnement de données de titulaires de cartes (CDE). Cette exigence aide les entreprises à identifier, hiérarchiser et gérer les risques de sécurité de l’information.

Service Organization Control Type 2 (SOC2)

Elaboré par l’American Institute of Certified Public Accountants (AICPA), SOC 2 est un référentiel de cybersécurité et une norme d’audit fondés sur la confiance, visant à vérifier que les entreprises gèrent les données de leurs clients en toute sécurité. Typiquement, une évaluation SOC 2 des risques de cybersécurité sert à recueillir des informations détaillées et des garanties sur les contrôles mis en place par l’entreprise en matière de sécurité, de disponibilité et d’intégrité du traitement des systèmes utilisés pour traiter les données des utilisateurs, sans oublier la confidentialité des informations traitées par ces mêmes systèmes.

Comparaison des référentiels d’évaluation des risques de cybersécurité

Chaque référentiel d’évaluation des risques de cybersécurité varie dans son approche et son objectif. Certains s’attachent davantage à la conformité, d’autres au risque financier ou encore à la prévention des menaces. Dans la pratique, de nombreuses entreprises utilisent une combinaison de ces référentiels pour répondre à des besoins spécifiques ou à des exigences réglementaires.

Aperçu rapide : outil d’évaluation de la cybersécurité (CSET®) de l’Agence de la cybersécurité et de la sécurité des infrastructures (CISA)

• Idéal pour : les fournisseurs de services d’infrastructures critiques et autres entités essentielles qui nécessitent des évaluations personnalisées.
• Objectif : évaluer la conformité de la sécurité des infrastructures aux réglementations en vigueur.
• Type d’évaluation : outil d’auto-évaluation proposant des questionnaires et modèles de rapports.

Aperçu rapide : méthode d’évaluation des risques du Centre pour la sécurité Internet (CIS RAM)

• Idéal pour : les entreprises de taille moyenne à grande, tenues de se conformer à des réglementations propres à leur secteur d’activité.
• Objectif : évaluer la sécurité des opérations et garantir que les systèmes de gestion des menaces appropriés sont opérationnels.
• Type d’évaluation : auto-évaluations et évaluations menées par des prestataires externes pour valider les résultats en vue de publier des rapports de conformité

Aperçu : Référentiel de gestion des risques (RMF) du Département de la Défense (DOD)

• Idéal pour : principalement les agences fédérales et les agences de défense américaines ainsi que leurs sous-traitants, mais également applicable aux entreprises du secteur privé.
• Objectif : évaluer les systèmes d’identification, d’évaluation et de gestion des risques de cybersécurité
• Type d’évaluation : évaluation en six étapes devant obligatoirement être approuvée par des responsables préalablement identifiés, garantissant que les systèmes répondent à des normes de sécurité spécifiques avant d’être utilisables au sein des réseaux du DoD (également utilisable par des entreprises du secteur privé à des fins d’auto-évaluations).

Aperçu : Référentiel d’analyse factorielle des risques d’information (FAIR)

• Idéal pour : les entreprises cherchant à quantifier financièrement les risques cyber.
• Objectif : adopter une approche quantitative de la gestion des risques pour évaluer l’impact financier des risques de cybersécurité.
• Type d’évaluation : un modèle quantitatif permettant aux équipes internes ou aux experts externes d’effectuer une évaluation probabiliste des risques.

Aperçu : Guide du NIST pour la conduite des évaluations des risques (NIST SP 800-30)

• Idéal pour : les agences fédérales américaines, mais applicable également aux entreprises du secteur privé
• Objectif : mener des évaluations des risques de cybersécurité, comprenant des analyses des menaces et des évaluations de l’impact et du traitement des risques.
• Type d’évaluation : auto-évaluations et évaluations menées par des prestataires externes pour valider les résultats en vue de publier des rapports de conformité

Aperçu : évaluation des risques de cybersécurité PCI DSS

• Idéal pour : toutes les entreprises traitant les informations personnelles des titulaires de carte de paiement.
• Objectif : assurer la sécurité des données des titulaires de carte pour les entités traitant les transactions par carte de crédit
• Type d’évaluation : évaluations des risques obligatoires, menées par des inspecteurs externes agréés dans le cadre de la conformité PCI DSS

Aperçu : Service Organization Control Type 2 (SOC 2)

• Idéal pour : les prestataires de services informatiques, hébergés dans le cloud ou non, ainsi que les autres entités manipulant des données sensibles de leurs clients
• Objectif : démontrer qu’une entreprise répond aux cinq critères de confiance des Services Trust pour la gestion des données clients : la sécurité des données, la disponibilité, l’intégrité du traitement, la confidentialité et le respect de la vie privée.
• Type d’évaluation : nécessite un audit indépendant effectué par un cabinet externe pour vérifier qu’une entreprise répond à des critères spécifiques

Exemples concrets d’évaluations des risques de cybersécurité

Les exemples suivants illustrent de quelle manière les entreprises utilisent des référentiels d’évaluation des risques de cybersécurité.

Fournisseur d’énergie public : CISA CSET®

Un fournisseur américain d’électricité utilise le CSET de la CISA pour évaluer sa posture de cybersécurité dans l’ensemble de ses infrastructures critiques, y compris les réseaux de transmission (par exemple, les sous-stations et les transformateurs) et les systèmes de contrôle industriel (ICS). Cet outil d’évaluation des risques de cybersécurité effectue une évaluation structurée qui identifie les vulnérabilités en fonction des normes du secteur industriel et des exigences réglementaires.

L’évaluation des risques de cybersécurité du CSET a permis à ce fournisseur d’énergie d’identifier les lacunes dans les contrôles de sécurité et de hiérarchiser les améliorations à apporter pour se protéger contre les cybermenaces susceptibles de perturber les services fournis à ses abonnés. Les mises à jour, identifiées dans le cadre de l’évaluation des risques de cybersécurité du CSET, ont permis à l’entreprise d’améliorer sa résilience au risque, ses cyberdéfenses, sa conformité aux normes réglementaires, sans oublier la sensibilisation de son personnel aux risques de cybersécurité.

Organisme de santé : CIS RAM

Un établissement de santé américain utilise le CIS RAM pour rendre ses mesures de sécurité conformes aux contrôles CIS, afin de garantir la sécurité des informations de santé protégées (PHI). Grâce au CIS RAM, l’établissement hospitalier évalue les risques cyber en fonction de la nature spécifique de son activité et de ses besoins administratifs.

En fonction des résultats des examens d’évaluation des risques de cybersécurité, l’hôpital détermine les contrôles à mettre en œuvre en fonction des niveaux de risque jugés acceptables et de leur impact sur son fonctionnement, tant médical qu’administratif. En utilisant le CIS RAM pour guider les activités d’évaluation des risques de cybersécurité, l’hôpital a mis en place une politique de sécurité axée sur les risques qui permet de hiérarchiser efficacement les ressources afin de protéger les données de santé dans les systèmes de dossiers médicaux électroniques (DME) et de se conformer à la loi fédérale américaine HIPAA ainsi qu’à d’autres réglementations visant à assurer la confidentialité des données de santé et à les protéger.

Un fournisseur sous-traitant du secteur de la défense : référentiel de gestion du risque (RMF) du DoD

Un fournisseur de plateforme de communication en ligne souhaitant proposer sa solution aux groupes du Ministère de la Défense américain (DoD) passe par les six étapes du référentiel RMF du DoD pour valider la conformité de ses systèmes de sécurité aux normes en vigueur. Étant donné la grande sensibilité des données que le sous-traitant est amené à gérer, le RMF du DoD a été utilisé pour évaluer les niveaux de risque potentiels (par exemple, élevés ou modérés) en fonction de menaces potentielles et de la capacité de l’entreprise à se défendre contre les risques cybers.

De plus, le sous-traitant opérant a dû se soumettre à un processus de référencement officiel très strict afin d’obtenir l’habilitation nécessaire pour opérer dans le secteur de la défense. Une fois que le sous-traitant eut terminé le processus d’évaluation des risques de cybersécurité en six étapes, le DoD a validé le fait que son système répondait aux exigences de sécurité strictes pour maintenir la conformité et protéger les données militaires sensibles contre les cybermenaces.

Agence fédérale : NIST SP 800-30 pour effectuer des évaluations des risques

La division des Centres de services Medicare et Medicaid (CMS) du Ministère américain de la Santé et des Services sociaux (HHS) utilise la norme NIST SP 800-30 pour encadrer les évaluations des risques sur ses systèmes informatiques. Les CMS traitent de grandes quantités d’informations de santé protégées (PHI) et de données financières relatives aux bénéficiaires des programmes Medicare et Medicaid et utilisent ce référentiel d’évaluation des risques cyber pour garantir la conformité aux normes fédérales en matière de protection et de confidentialité des données.

La norme NIST SP 800-30 aide l’agence fédérale à identifier les menaces, les vulnérabilités et les impacts potentiels liés aux informations sensibles traitées et stockées dans ses systèmes informatiques. L’agence utilise également la norme NIST 800-30 pour évaluer la probabilité et les conséquences potentielles de chaque scénario de risque. Sur la base des résultats de ses exercices réguliers d’évaluation des risques de cybersécurité, l’agence élabore un plan d’atténuation des risques hiérarchisé qui renforce sa capacité à détecter et à répondre aux cybermenaces et à réduire les vulnérabilités conformément aux exigences fédérales.

Entreprise de vente en ligne : évaluation des risques de cybersécurité PCI DSS

Un détaillant en ligne effectue régulièrement une évaluation des risques de cybersécurité PCI DSS pour s’assurer de sa conformité aux normes en vigueur. L’évaluation PCI DSS évalue les risques associés au stockage, à la transmission et au traitement des données des titulaires de carte de paiement, en identifiant les lacunes dans les procédures de protection des données. Le déroulement régulier de cette évaluation des risques de cybersécurité permet non seulement de répondre aux exigences de conformité, mais également d’aider l’entreprise à renforcer son infrastructure de sécurité des paiements en ligne, en s’assurant que le chiffrement, les contrôles d’accès et la segmentation du réseau sont optimisés pour réduire le risque de failles de sécurité susceptibles de compromettre les informations personnelles identifiables (PII) et les données de paiement sensibles.

Fournisseur de logiciels en tant que service (SaaS) : SOC 2

Un fournisseur de services cloud se soumet régulièrement à un audit SOC 2 pour démontrer à ses clients qu’il a mis en place des contrôles solides pour protéger leurs données. Dans le cadre du processus d’évaluation des risques de cybersécurité SOC 2, les mesures de sécurité du fournisseur sont contrôlées par un auditeur externe sur une période définie, qui évalue les contrôles mis en place pour assurer la sécurité, la disponibilité et la confidentialité des données.

La nécessité d’évaluer les risques de cybersécurité

Quelle que soit sa taille, toute entreprise ou entité disposant de ressources informatiques doit procéder à des évaluations régulières des risques de cybersécurité. L’ampleur et la fréquence de ces évaluations dépendront de chaque entreprise, mais toutes doivent impérativement mettre en place un plan d’évaluation des risques de cybersécurité. Comme indiqué précédemment, de nombreuses ressources sont disponibles pour soutenir tout type de programme d’évaluation des risques de cybersécurité jugé approprié.