• 8 heures
  • Difficile
Licence

Ce cours est visible gratuitement en ligne.

course.header.alt.is_certifying

J'ai tout compris !

Mis à jour le 06/12/2024

Mettez en place le Plan de Traitement du Risque

Il est maintenant temps de mettre en place votre plan de traitement du risque !

Dans le cadre de la gestion des risques en cybersécurité, les mesures peuvent être classées en quatre grandes catégories :

  1. Gouvernance : Ce sont des politiques, procédures, et règles qui encadrent la gestion des risques. Elles incluent la sensibilisation des employés, la conformité aux normes et la gestion des accès.

  2. Protection : Ce sont des mesures préventives qui visent à empêcher les attaques, comme les pare-feux, l’antivirus, le chiffrement des données, et le contrôle des accès.

  3. Défense : Ces mesures permettent de détecter et répondre aux menaces en cours, telles que les systèmes de détection d’intrusion (IDS) et les outils de surveillance.

  4. Résilience : Ce sont les mesures visant à garantir la continuité des opérations malgré un incident, comme les plans de reprise d’activité, les sauvegardes régulières, et la redondance des systèmes.

L’idée est de recenser dans un tableau l’ensemble des risques comme suit :

Tableau vide destiné à l'évaluation des mesures de sécurité, organisé par catégories : gouvernance, protection, défense et résilience. Les colonnes incluent les informations sur le scénario de risque, le responsable, les difficultés de mise en
Exemple de template pour le Plan de Traitement du Risque

Pour proposer les mesures les plus adaptées il est important de se demander : Quels sont les points faibles sur lesquels je peux travailler pour rendre la tâche plus difficile au hacker ?

Comme vous pouvez l’imaginer, le délai de réalisation d'une mesure de sécurité, ou son échéance, peut varier en fonction de plusieurs facteurs :

  1. La complexité de mise en place joue un rôle clé : certaines mesures nécessitent une configuration technique avancée ou des processus longs, tandis que d'autres peuvent être plus simples à déployer.

  2. Le coût : des solutions onéreuses peuvent demander plus de temps pour être validées ou financées.

  3. La disponibilité des ressources, le besoin de formation ou l'intégration dans les systèmes existants influencent aussi ce délai.

L’analyste, en tant que conseiller, doit fournir des recommandations, mais il ne lui appartient pas d’imposer des délais. Son rôle est d'expliquer clairement les risques auxquels le client est exposé, afin que ce dernier puisse prendre des décisions éclairées. 

Voici le tableau que l’on pourrait imaginer concernant notre logiciel de paie :

En résumé

  • Classez les mesures en gouvernance, protection, défense, et résilience.

  • Évaluez les mesures de traitement du risque.

  • Adaptez les mesures selon la complexité et les ressources.

  • Expliquez les risques sans imposer les décisions.

Rejoignez-moi au dernier chapitre pour apprendre à documenter les risques résiduels.

Exemple de certificat de réussite
Exemple de certificat de réussite