Visualisez la dangerosité de vos parties prenantes
Pour mieux comprendre et gérer les interactions entre les différentes parties prenantes et les risques qu'elles peuvent poser à l'organisation, le plus simple est de les représenter de manière visuelle. La cartographie des parties prenantes offre une vue d'ensemble claire des acteurs impliqués, de leurs rôles, et des niveaux de risque qu'ils représentent.
Cette approche permet non seulement de catégoriser les parties prenantes en fonction de leur criticité, mais aussi d'identifier les actions appropriées à mettre en place pour chaque groupe. En visualisant cette cartographie, vous pourrez facilement repérer les parties prenantes qui nécessitent un suivi particulier, une attention accrue, ou des mesures de sécurité renforcées.
La représentation graphique est un outil essentiel dans l’analyse et la gestion des parties prenantes. Elle permet de visualiser de manière claire et concise la dangerosité de chaque partie prenante, facilitant ainsi la prise de décision stratégique.
Avant toute cartographie, chaque entreprise doit définir ses propres seuils d'acceptation du risque. Ces seuils permettent de :
catégoriser les niveaux de criticité des risques ;
identifier les parties prenantes critiques pour l’entreprise et déterminer les actions nécessaires pour gérer ces risques de manière appropriée.
Comment fixer la valeur de chaque seuil ?
Vous devez définir des valeurs pour chacun des seuils après avoir défini les parties prenantes (PP). Votre rôle est une fois de plus un rôle de conseil avec l’historique de l’entreprise, votre expérience et le socle de sécurité réalisé dans l’atelier 1. Cependant avant d’aller plus loin il faudra en parler au RSSI ou à défaut le chef de projet afin d’expliquer votre point de vue mais c’est à lui de valider ses seuils.
Les seuils associés à chaque zone servent à quantifier le niveau de risque associé aux parties prenantes. Ils permettent de mesurer objectivement leur criticité et d'appliquer des actions appropriées en fonction du niveau de menace.
Voici un exemple de seuils proposé pour notre logiciel de paie VETO+ :
Seuil de veille : En dessous de 2, le risque est considéré comme faible et géré par une surveillance de routine.
Seuil de contrôle : Entre 2 et 3,9, le risque est modéré et nécessite des contrôles réguliers.
Seuil de danger : Au-dessus de 4, le risque devient élevé et nécessite une gestion active et des mesures de prévention rigoureuses.
Nous pouvons ainsi associer dans un tableau les 3 zones à nos différentes plages de valeurs de seuils :
Limites des zones de menaces | ||
Seuil de veille | inférieur à | 2 |
Seuil de contrôle | compris entre | 2 et 3,9 |
Seuil de danger | supérieur à | 4 |
Si nous reprenons alors le niveau de menace de 1,33 de la partie prenante “Employés”, calculé au chapitre précédent : celui-ci est inférieur à 2. Donc pour notre logiciel de paie, nous nous situons dans le seuil de veille.
Classez vos parties prenantes
Une fois vos seuils définis, classez les parties prenantes selon leur niveau de risque dans différentes zones : zone de veille, de contrôle et de danger.
1 - Zone de Veille
Description : Cette zone indique un faible niveau de risque ou de menace. Les parties prenantes situées dans cette zone ne présentent pas de danger immédiat ou significatif pour l’entreprise.
Actions : Surveillance périodique. Il est important de maintenir une veille sur ces acteurs pour détecter rapidement tout changement potentiel qui pourrait augmenter leur criticité.
PP01 – Employés. Les employés de l'entreprise qui n'ont pas d'accès direct aux systèmes critiques de paie ou aux données sensibles. Par exemple, les membres du service communication ou logistique. Ils ne participent pas directement aux processus critiques liés à la gestion de la paie, mais peuvent être exposés à des informations de manière indirecte. Une veille régulière sur leurs activités est nécessaire pour détecter tout changement dans leurs responsabilités ou leur niveau d'accès qui pourrait potentiellement les rendre plus critiques à l’avenir.
Niveau de menace : (1,33)
Exposition : (8). Certains des employés ont accès aux systèmes de paie et donc à des données sensibles.
Fiabilité : (6). Ils sont connus et fidèles à l'entreprise, mais en cas de compromission ou d'erreur humaine, leur impact serait limité en l'absence d'accès direct aux informations critiques.
Ainsi, à l'issue de cette évaluation, le prestataire est placé dans la Zone de veille, avec un suivi périodique de son activité pour détecter tout changement potentiel.
Comment lire ce graphique ?
Pour cette partie prenante, nous avons :
une exposition de 8. Selon la légende à droite, le cercle est alors de la taille comprise entre 7 et 9 points.
une fiabilité de 6. Selon la légende à droite, ce même cercle va être coloré en vert, car il correspond à la fiabilité entre 6 et 7 points.
un niveau de menace de 1,33. Selon l'échelle située sur les cercles centrales, le cercle vert, est positionné au niveau de 1,33 points. Ce qui correspond alors à positionner le point entre le cercle de zone de veille et le cercle de zone de contrôle. Plutôt exentré du centre. Donc notre partie-prenante, se situe bien dans la zone de veille.
2 - Zone de Contrôle
Description : Cette zone représente un niveau de risque modéré. Les parties prenantes dans cette zone nécessitent une attention plus soutenue et des mesures de contrôle régulières pour s'assurer qu'elles ne deviennent pas plus critiques.
Actions : Contrôle régulier et mise en place de mesures de prévention. Il est crucial d'avoir des plans en place pour gérer les risques associés et d'effectuer des vérifications fréquentes.
Exemple : PP05 – Société de conseil. Cette société accompagne l’entreprise sur des aspects stratégiques de la gestion de la paie, comme l’optimisation des processus ou l’implémentation de nouvelles fonctionnalités. Elle a un accès direct à certaines données sensibles et ses recommandations influencent directement les opérations de paie. Une mauvaise évaluation ou une erreur dans ses conseils pourrait avoir des répercussions importantes sur la qualité du service de paie, comme des erreurs dans le calcul des salaires ou des retards de paiement.
Niveau de menace : (3)
Exposition : (12). Cette société de conseil a accès à des données sensibles et ses recommandations ont un impact direct sur les processus critiques de l’entreprise.
Fiabilité : (4). La société est nouvelle dans son domaine. Des contrôles réguliers de la qualité de ses prestations sont nécessaires pour s'assurer qu'elle respecte les standards de l'entreprise et qu'aucun risque opérationnel ne soit introduit par ses conseils.
Dans ce cas, le partenaire est placé dans la Zone de contrôle, avec des contrôles réguliers pour assurer que ses actions ne compromettent pas la stabilité du service de gestion de la paie.
3 - Zone de Danger
Description : Cette zone indique un niveau de risque élevé. Les parties prenantes dans cette zone sont considérées comme critiques et peuvent avoir un impact significatif et immédiat sur l'organisation.
Actions : surveillance constante et mesures de gestion des risques rigoureuses. Des audits réguliers du prestataire ainsi que des comités de sécurité doivent être mis en place, et une attention continue est nécessaire pour atténuer les risques associés.
Le prestataire, PP04 - Fournisseur du logiciel de gestion de paie, a un accès direct aux données sensibles des employés (comme les salaires et informations personnelles). Une défaillance ou une compromission de ce prestataire pourrait entraîner une fuite massive de données ou rendre le service de paie inopérant, affectant gravement les opérations de l'entreprise.
Niveau de menace (5,33)
Exposition : (16). Ce prestataire a un accès direct à des informations sensibles et critiques pour l'entreprise.
Fiabilité : (3). Bien que ce prestataire soit réputé, sa position en tant que fournisseur unique et son accès aux données critiques nécessitent une surveillance constante.
Dans ce cas, le prestataire est placé dans la Zone de danger, nécessitant une surveillance étroite et des mesures strictes pour garantir la continuité des opérations et la protection des données sensibles.
Pour réaliser cette cartographie, vous pouvez utiliser le logiciel Egerie. C’est un logiciel payant. Sinon vous pouvez utiliser Powerpoint, LibreOffice ou Google Slide.
C'est d'ailleurs ce que nous avons utilisé ici pour vous fournir le fichier !
Cartographie à télécharger au format PowerPoint (.pptx)
En résumé, ces zones et seuils permettent d'organiser et de prioriser les efforts de gestion des risques en fonction de la criticité des parties prenantes et des processus, assurant ainsi une approche proactive et efficace pour maintenir la sécurité et la résilience de l'organisation.
Retenez uniquement les parties prenantes les plus critiques
Dans le cadre de l’analyse de risques EBIOS RM, il est essentiel de se concentrer sur les Parties Prenantes Critiques (PPC). Ce sont les acteurs, internes ou externes, qui peuvent avoir un impact significatif sur la sécurité ou le bon fonctionnement de l’organisation. Ces parties prenantes, en raison de leur rôle central ou de leur accès privilégié, doivent faire l’objet d’une attention particulière lors de la gestion des risques.
Parmi les critères permettant d'identifier une PPC, on retrouve :
leur degré d’accès aux systèmes critiques ou aux données sensibles ;
leur dépendance pour assurer des services essentiels à l’organisation ;
le potentiel impact en cas de défaillance de leur part.
Dans le cas du logiciel de gestion de paie VETO+, certaines parties prenantes peuvent être considérées comme critiques :
Le prestataire d’hébergement du logiciel : Il stocke les données sensibles des employés (salaires, données personnelles) et toute défaillance ou compromission de sa part pourrait entraîner une violation des données ou une interruption du service.
Le prestataire de maintenance : Ce prestataire assure le bon fonctionnement et les mises à jour du logiciel. Une défaillance pourrait paralyser les processus de gestion de la paie, affectant directement les employés et les obligations légales de l'entreprise.
En résumé
La cartographie des parties prenantes est un outil visuel essentiel pour identifier et gérer les risques associés à chaque acteur impliqué dans l'organisation.
Les seuils d'acceptation du risque permettent de classer les parties prenantes selon leur niveau de criticité et d'identifier les actions de gestion nécessaires.
Les parties prenantes sont classées selon leur niveau de risque dans différentes zones : zone de veille, zone de contrôle, zone de danger.
Parties Prenantes Critiques (PPC) : Ce sont les acteurs ayant un accès privilégié aux systèmes ou aux données sensibles, et dont la défaillance aurait un impact majeur sur l'organisation.
Maintenant que vous avez une vue d'ensemble des acteurs critiques de votre écosystème, il est temps de passer à l'étape suivante : traduire ces informations en scénarios d'attaque concrets !
