Passer au contenu principal
SPIE Suisse
Carrière

De l’exposition au risque maîtrisé grâce à une

évaluation

des risques

Les menaces en matière de sécurité de l’information évoluent en permanence, et les dispositifs de défense doivent évoluer en conséquence. Une évaluation des risques fournit à votre organisation une compréhension structurée et fondée sur des preuves des risques susceptibles de compromettre la confidentialité, l’intégrité et la disponibilité de vos actifs informationnels.

Le résultat n’est pas un exercice théorique. Il s’agit d’un registre des risques documenté et priorisé, qui permet à votre organisation de sélectionner et de mettre en œuvre des mesures de sécurité en fonction des besoins métiers et d’une analyse coûts-bénéfices justifiée, ainsi que de démontrer cette justification aux auditeurs, aux autorités de régulation et à la direction.

Parlez à un expert
Défis

Pourquoi une gestion informelle des risques sous-performe systématiquement

Les référentiels ISO 27001, NIST CSF et les directives ICT de la FINMA exigent tous des évaluations des risques formelles et documentées. Au-delà de la conformité, les organisations qui gèrent les risques de manière informelle ont tendance à sous-investir dans les contrôles ayant le plus fort impact protecteur et à surinvestir dans des mesures techniquement visibles mais à faible impact. Sans évaluation formelle, il n’existe pas de base fiable pour les décisions d’acceptation des risques au niveau du conseil d’administration, ni de méthode structurée pour démontrer à un régulateur ou à un auditeur que les risques significatifs ont été identifiés et traités.

Les évaluations indépendantes des risques éliminent les conflits d’intérêts internes et fournissent une vision du risque actualisée et vérifiable, sur laquelle la direction peut agir et que les autorités de surveillance peuvent examiner.

Périmètre des services

Périmètre flexible, rigueur constante

Le périmètre d’une évaluation des risques peut être défini pour couvrir l’ensemble du portefeuille d’actifs informationnels de l’organisation, une unité métier spécifique, une application ou un système critique, ou encore un périmètre réglementaire défini tel qu’un périmètre IT relevant de la FINMA ou une frontière de certification ISO 27001. La méthodologie, la profondeur d’analyse et le format de reporting sont adaptés à votre contexte spécifique, à vos contraintes de délai et aux besoins de vos audiences.

Processus

Méthodologie structurée, de l’actif au plan de traitement

1 Profil des actifs et des menaces

Identifier et classifier les actifs informationnels selon leur criticité métier. Cartographier les acteurs de menace pertinents, les vecteurs d’attaque réalistes et les scénarios de menace plausibles pour votre secteur, votre environnement opérationnel et votre écosystème de dépendances tiers.

2 Évaluation des risques

Évaluer la probabilité et l’impact potentiel sur l’activité de chaque scénario de menace identifié pour chaque actif. La notation des risques suit une méthodologie documentée alignée sur ISO 27005 et NIST SP 800-30.

3 Revue de l’efficacité des contrôles

Évaluer l’efficacité des contrôles de sécurité existants dans la réduction des risques identifiés. Cette étape permet d’éviter les investissements redondants et fournit une vision claire du risque résiduel après application des contrôles actuels.

4 Plan de traitement des risques

Pour chaque risque significatif, définir et justifier une option de traitement : acceptation, réduction, transfert ou évitement. Les recommandations de réduction incluent des mesures de contrôle spécifiques, référencées dans l'ISO 27002 ou d'autres référentiels applicables.

5 Communication aux parties prenantes

Structurer les résultats pour deux audiences distinctes : les équipes techniques responsables de la mise en œuvre des actions de traitement, et la direction ou le conseil d’administration responsables des décisions d’acceptation des risques et des investissements en sécurité.

Résultats

Ce que vous recevez

  • Méthodologie d’évaluation des risques documentée, alignée sur ISO 27005 et NIST SP 800-30
  • Registre complet des risques, incluant la classification des actifs, les scénarios de menace, la probabilité, l’impact et les scores de risque
  • Rapport de résultats de l’évaluation des risques, avec actions de traitement priorisées et recommandations de contrôles
  • Analyse de la répartition des risques, présentant le portefeuille de risques par catégorie d’actifs et type de menace
  • Document de communication des risques à destination de la direction, structuré pour une présentation au conseil d’administration ou à la direction générale
Valeur et confiance

Expertise indépendante et résultats exploitables

Nos évaluations des risques sont réalisées par des consultants n’ayant aucun intérêt commercial dans les contrôles recommandés ni dans les fournisseurs de technologies. La méthodologie utilisée et l’ensemble des constats sont entièrement documentés et traçables jusqu’aux éléments de preuve ayant servi à l’analyse.

Les organisations soumises à la supervision de la FINMA peuvent utiliser directement les résultats de l’évaluation dans le cadre de leurs échanges avec l’autorité de surveillance. Les organisations engagées dans une démarche de certification ISO 27001 bénéficient d’une évaluation répondant aux exigences de la clause 6.1.2, dont les résultats peuvent être intégrés directement à la Déclaration d’applicabilité (Statement of Applicability) et au plan de traitement des risques.

Prochaine étape

Définissez le périmètre de votre évaluation des risques

Nous commençons chaque évaluation des risques par une courte session de cadrage visant à définir le périmètre des actifs, le paysage de menaces applicable, le contexte réglementaire et le niveau de profondeur attendu de l’évaluation. Cette session dure généralement une demi-journée et constitue la base de l’ensemble de la mission.

Vos informations
Newsletter
Protection des données 
Parlez à un expert