{"id":566641,"date":"2023-01-19T21:16:34","date_gmt":"2023-01-19T23:16:34","guid":{"rendered":"https:\/\/teknomers.com\/fr\/6-types-de-methodologies-devaluation-des-risques-comment-choisir\/"},"modified":"2023-01-19T21:16:36","modified_gmt":"2023-01-19T23:16:36","slug":"6-types-de-methodologies-devaluation-des-risques-comment-choisir","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/6-types-de-methodologies-devaluation-des-risques-comment-choisir\/","title":{"rendered":"6 types de m\u00e9thodologies d&#8217;\u00e9valuation des risques + comment choisir"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Les informations sensibles d&#8217;une organisation sont constamment menac\u00e9es.  L&#8217;identification de ces risques de s\u00e9curit\u00e9 est essentielle pour prot\u00e9ger ces informations.  Mais certains risques sont plus importants que d&#8217;autres.  Certaines options d&#8217;att\u00e9nuation sont plus co\u00fbteuses que d&#8217;autres.  Comment prendre la bonne d\u00e9cision ?  Adopter une forme formelle <a rel=\"nofollow noopener\" href=\"https:\/\/drata.com\/glossary\/risk-assessment\" target=\"_blank\">l&#8217;\u00e9valuation des risques<\/a> processus vous donne les informations dont vous avez besoin pour \u00e9tablir des priorit\u00e9s.<\/p>\n<p>Il existe de nombreuses fa\u00e7ons d&#8217;effectuer une \u00e9valuation des risques, chacune avec ses propres avantages et inconv\u00e9nients.  Nous vous aiderons \u00e0 trouver laquelle de ces six m\u00e9thodologies d&#8217;\u00e9valuation des risques convient le mieux \u00e0 votre organisation.<\/p>\n<h2>Qu&#8217;est-ce que l&#8217;\u00e9valuation des risques\u00a0?<\/h2>\n<p>L&#8217;\u00e9valuation des risques est la fa\u00e7on dont les organisations d\u00e9cident quoi faire face au paysage de s\u00e9curit\u00e9 complexe d&#8217;aujourd&#8217;hui.  Les menaces et les vuln\u00e9rabilit\u00e9s sont partout.  Ils peuvent provenir d&#8217;un acteur externe ou d&#8217;un utilisateur n\u00e9gligent.  Ils peuvent m\u00eame \u00eatre int\u00e9gr\u00e9s \u00e0 l&#8217;infrastructure du r\u00e9seau.<\/p>\n<p>Les d\u00e9cideurs doivent comprendre l&#8217;urgence des risques de l&#8217;organisation ainsi que le co\u00fbt des efforts d&#8217;att\u00e9nuation.  Les \u00e9valuations des risques aident \u00e0 \u00e9tablir ces priorit\u00e9s.  Ils \u00e9valuent l&#8217;impact potentiel et la probabilit\u00e9 de chaque risque.  Les d\u00e9cideurs peuvent alors \u00e9valuer les efforts d&#8217;att\u00e9nuation \u00e0 prioriser dans le contexte de la strat\u00e9gie, du budget et des d\u00e9lais de l&#8217;organisation.<\/p>\n<blockquote><p><span style=\"color: #0000ee;\"><b>\u26a1 <\/b><\/span><b><a rel=\"nofollow noopener\" href=\"https:\/\/drata.com\/demo?utm_source=thehackernews&amp;utm_medium=paid&amp;utm_campaign=thehackernews&amp;utm_content=risk_assessment&amp;utm_term=contributed\" target=\"_blank\">Plateforme d&#8217;automatisation de la s\u00e9curit\u00e9 et de la conformit\u00e9 Drata<\/a><\/b>  \u2014 Automatisez votre parcours de conformit\u00e9 du d\u00e9but \u00e0 la pr\u00e9paration de l&#8217;audit et au-del\u00e0 et b\u00e9n\u00e9ficiez de l&#8217;assistance des experts en s\u00e9curit\u00e9 et en conformit\u00e9 qui l&#8217;ont construit.<\/p><\/blockquote>\n<h2>M\u00e9thodologies d&#8217;\u00e9valuation des risques<\/h2>\n<p>Les organisations peuvent adopter plusieurs approches pour \u00e9valuer les risques : quantitative, qualitative, semi-quantitative, bas\u00e9e sur les actifs, bas\u00e9e sur la vuln\u00e9rabilit\u00e9 ou bas\u00e9e sur les menaces.  Chaque m\u00e9thodologie peut \u00e9valuer la posture de risque d&#8217;une organisation, mais elles n\u00e9cessitent toutes des compromis.<\/p>\n<h3>Quantitatif<\/h3>\n<p>Les m\u00e9thodes quantitatives apportent une rigueur analytique au processus.  Les actifs et les risques re\u00e7oivent des valeurs en dollars.  L&#8217;\u00e9valuation des risques qui en r\u00e9sulte peut alors \u00eatre pr\u00e9sent\u00e9e en termes financiers facilement compr\u00e9hensibles par les dirigeants et les membres du conseil d&#8217;administration.  Les analyses co\u00fbts-avantages permettent aux d\u00e9cideurs de hi\u00e9rarchiser les options d&#8217;att\u00e9nuation.<\/p>\n<p>Cependant, une m\u00e9thodologie quantitative peut ne pas \u00eatre appropri\u00e9e.  Certains actifs ou risques ne sont pas facilement quantifiables.  Les forcer \u00e0 adopter cette approche num\u00e9rique n\u00e9cessite des appels de jugement, ce qui compromet l&#8217;objectivit\u00e9 de l&#8217;\u00e9valuation.<\/p>\n<p>Les m\u00e9thodes quantitatives peuvent \u00e9galement \u00eatre assez complexes.  Communiquer les r\u00e9sultats au-del\u00e0 de la salle de conf\u00e9rence peut \u00eatre difficile.  De plus, certaines organisations ne disposent pas de l&#8217;expertise interne requise par les \u00e9valuations quantitatives des risques.  Les organisations assument souvent le co\u00fbt suppl\u00e9mentaire pour faire appel aux comp\u00e9tences techniques et financi\u00e8res des consultants.<\/p>\n<h3>Qualitatif<\/h3>\n<p>L\u00e0 o\u00f9 les m\u00e9thodes quantitatives adoptent une approche scientifique de l&#8217;\u00e9valuation des risques, les m\u00e9thodes qualitatives adoptent une approche plus journalistique.  Les \u00e9valuateurs rencontrent des personnes dans l&#8217;ensemble de l&#8217;organisation.  Les employ\u00e9s partagent comment, ou s&#8217;ils feraient leur travail si un syst\u00e8me \u00e9tait hors ligne.  Les \u00e9valuateurs utilisent cette entr\u00e9e pour classer les risques sur des \u00e9chelles approximatives telles que \u00c9lev\u00e9, Moyen ou Faible.<\/p>\n<p>Une \u00e9valuation qualitative des risques fournit une image g\u00e9n\u00e9rale de la fa\u00e7on dont les risques affectent les op\u00e9rations d&#8217;une organisation.<\/p>\n<p>Les membres de l&#8217;organisation sont plus susceptibles de comprendre les \u00e9valuations qualitatives des risques.  D&#8217;autre part, ces approches sont intrins\u00e8quement subjectives.  L&#8217;\u00e9quipe d&#8217;\u00e9valuation doit d\u00e9velopper des sc\u00e9narios faciles \u00e0 expliquer, d\u00e9velopper des questions et des m\u00e9thodologies d&#8217;entretien qui \u00e9vitent les pr\u00e9jug\u00e9s, puis interpr\u00e9ter les r\u00e9sultats.<\/p>\n<p>Sans une base financi\u00e8re solide pour l&#8217;analyse co\u00fbts-avantages, les options d&#8217;att\u00e9nuation peuvent \u00eatre difficiles \u00e0 hi\u00e9rarchiser.<\/p>\n<h3>Semi-quantitatif<\/h3>\n<p>Certaines organisations combineront les m\u00e9thodologies pr\u00e9c\u00e9dentes pour cr\u00e9er des \u00e9valuations des risques semi-quantitatives.  En utilisant cette approche, les organisations utiliseront une \u00e9chelle num\u00e9rique, telle que 1-10 ou 1-100, pour attribuer une valeur de risque num\u00e9rique.  Les \u00e9l\u00e9ments de risque qui obtiennent un score dans le tiers inf\u00e9rieur sont regroup\u00e9s comme risque faible, le tiers moyen comme risque moyen et le tiers sup\u00e9rieur comme risque \u00e9lev\u00e9.<\/p>\n<p>La combinaison de m\u00e9thodologies quantitatives et qualitatives \u00e9vite les calculs intensifs de probabilit\u00e9 et de valeur des actifs des premi\u00e8res tout en produisant des \u00e9valuations plus analytiques que les secondes.  Les m\u00e9thodologies semi-quantitatives peuvent \u00eatre plus objectives et fournir une base solide pour hi\u00e9rarchiser les \u00e9l\u00e9ments de risque.<\/p>\n<h3>Bas\u00e9 sur les actifs<\/h3>\n<p>Traditionnellement, les organisations adoptent une approche bas\u00e9e sur les actifs pour \u00e9valuer les risques informatiques.  Les actifs sont compos\u00e9s du mat\u00e9riel, des logiciels et des r\u00e9seaux qui g\u00e8rent les informations d&#8217;une organisation, ainsi que des informations elles-m\u00eames.  Une \u00e9valuation bas\u00e9e sur les atouts suit g\u00e9n\u00e9ralement un processus en quatre \u00e9tapes\u00a0:<\/p>\n<ul>\n<li>Inventorier tous les actifs.<\/li>\n<li>\u00c9valuer l&#8217;efficacit\u00e9 des contr\u00f4les existants.<\/li>\n<li>Identifiez les menaces et les vuln\u00e9rabilit\u00e9s de chaque actif.<\/li>\n<li>\u00c9valuer l&#8217;impact potentiel de chaque risque.<\/li>\n<\/ul>\n<p>Les approches bas\u00e9es sur les actifs sont populaires car elles s&#8217;alignent sur la structure, les op\u00e9rations et la culture d&#8217;un service informatique.  Les risques et les contr\u00f4les d&#8217;un pare-feu sont faciles \u00e0 comprendre.<\/p>\n<p>Cependant, les approches bas\u00e9es sur les actifs ne peuvent produire des \u00e9valuations compl\u00e8tes des risques.  Certains risques ne font pas partie de l&#8217;infrastructure de l&#8217;information.  Les politiques, les processus et d&#8217;autres facteurs &#8220;soft&#8221; peuvent exposer l&#8217;organisation \u00e0 autant de danger qu&#8217;un pare-feu non corrig\u00e9.<\/p>\n<h3>Bas\u00e9 sur la vuln\u00e9rabilit\u00e9<\/h3>\n<p>Les m\u00e9thodologies bas\u00e9es sur la vuln\u00e9rabilit\u00e9 \u00e9tendent la port\u00e9e des \u00e9valuations des risques au-del\u00e0 des actifs d&#8217;une organisation.  Ce processus commence par un examen des faiblesses et des lacunes connues des syst\u00e8mes organisationnels ou des environnements dans lesquels ces syst\u00e8mes fonctionnent.<\/p>\n<p>\u00c0 partir de l\u00e0, les \u00e9valuateurs identifient les menaces possibles qui pourraient exploiter ces vuln\u00e9rabilit\u00e9s, ainsi que les cons\u00e9quences potentielles des exploits.<\/p>\n<p>Lier les \u00e9valuations des risques bas\u00e9es sur la vuln\u00e9rabilit\u00e9 au processus de gestion des vuln\u00e9rabilit\u00e9s d&#8217;une organisation d\u00e9montre des processus efficaces de gestion des risques et de gestion des vuln\u00e9rabilit\u00e9s.<\/p>\n<p>Bien que cette approche capte davantage de risques qu&#8217;une \u00e9valuation purement bas\u00e9e sur les actifs, elle est bas\u00e9e sur des vuln\u00e9rabilit\u00e9s connues et peut ne pas saisir l&#8217;\u00e9ventail complet des menaces auxquelles une organisation est confront\u00e9e.<\/p>\n<h3>Bas\u00e9 sur les menaces<\/h3>\n<p>Les m\u00e9thodes bas\u00e9es sur les menaces peuvent fournir une \u00e9valuation plus compl\u00e8te de la posture de risque globale d&#8217;une organisation.  Cette approche \u00e9value les conditions qui cr\u00e9ent un risque.  Un audit des actifs fera partie de l&#8217;\u00e9valuation puisque les actifs et leurs contr\u00f4les contribuent \u00e0 ces conditions.<\/p>\n<p>Les approches bas\u00e9es sur les menaces vont au-del\u00e0 de l&#8217;infrastructure physique.<\/p>\n<p>En \u00e9valuant les techniques utilis\u00e9es par les acteurs de la menace, par exemple, les \u00e9valuations peuvent red\u00e9finir les priorit\u00e9s des options d&#8217;att\u00e9nuation.  La formation en cybers\u00e9curit\u00e9 att\u00e9nue les attaques d&#8217;ing\u00e9nierie sociale.  Une \u00e9valuation bas\u00e9e sur les actifs peut donner la priorit\u00e9 aux contr\u00f4les syst\u00e9miques sur la formation des employ\u00e9s.  Une \u00e9valuation bas\u00e9e sur les menaces, en revanche, peut r\u00e9v\u00e9ler que l&#8217;augmentation de la fr\u00e9quence des formations \u00e0 la cybers\u00e9curit\u00e9 r\u00e9duit les risques \u00e0 moindre co\u00fbt.<\/p>\n<h2>Choisir la bonne m\u00e9thodologie<\/h2>\n<p>Aucune de ces m\u00e9thodologies n&#8217;est parfaite.  Chacun a des forces et des faiblesses.  Heureusement, aucun d&#8217;entre eux ne s&#8217;exclut mutuellement.  Que ce soit intentionnellement ou par circonstance, les organisations effectuent souvent des \u00e9valuations des risques qui combinent ces approches.<\/p>\n<p>Lors de la conception de votre processus d&#8217;\u00e9valuation des risques, les m\u00e9thodologies que vous utiliserez d\u00e9pendront de ce que vous devez accomplir et de la nature de votre organisation.<\/p>\n<p>Si les approbations au niveau du conseil d&#8217;administration et de la direction sont les crit\u00e8res les plus importants, votre approche s&#8217;orientera vers des m\u00e9thodes quantitatives.  Des approches plus qualitatives pourraient \u00eatre pr\u00e9f\u00e9rables si vous avez besoin du soutien des employ\u00e9s et d&#8217;autres parties prenantes.  Les \u00e9valuations bas\u00e9es sur les actifs s&#8217;alignent naturellement sur votre organisation informatique, tandis que les \u00e9valuations bas\u00e9es sur les menaces r\u00e9pondent au paysage complexe de la cybers\u00e9curit\u00e9 d&#8217;aujourd&#8217;hui.<\/p>\n<p>L&#8217;\u00e9valuation constante de l&#8217;exposition aux risques de votre organisation est le seul moyen de prot\u00e9ger les informations sensibles contre les cybermenaces d&#8217;aujourd&#8217;hui.  La plate-forme d&#8217;automatisation de la conformit\u00e9 de Drata surveille vos contr\u00f4les de s\u00e9curit\u00e9 pour garantir votre pr\u00e9paration \u00e0 l&#8217;audit.<\/p>\n<p><b><a rel=\"nofollow noopener\" href=\"https:\/\/drata.com\/demo?utm_source=thehackernews&amp;utm_medium=paid&amp;utm_campaign=thehackernews&amp;utm_content=risk_assessment&amp;utm_term=contributed\" target=\"_blank\">Planifier une d\u00e9mo<\/a> aujourd&#8217;hui pour voir ce que Drata peut faire pour vous\u00a0!<\/b><\/p>\n<p><noscript><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/01\/6-types-de-methodologies-devaluation-des-risques-comment-choisir.gif\" alt=\"\" height=\"1\" style=\"display:none;\" width=\"1\"\/><\/noscript><br \/>\n<\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/01\/6-types-of-risk-assessment.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Les informations sensibles d&#8217;une organisation sont constamment menac\u00e9es. L&#8217;identification de ces risques de s\u00e9curit\u00e9 est essentielle pour prot\u00e9ger ces informations. Mais certains risques sont plus importants que d&#8217;autres. Certaines options d&#8217;att\u00e9nuation sont plus co\u00fbteuses que d&#8217;autres. Comment prendre la bonne d\u00e9cision ? Adopter une forme formelle l&#8217;\u00e9valuation des risques processus vous donne les informations dont [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":566642,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[12684,767,4168,4158,4165,4161,133,28084,4157,4159,4171,4170,4167,140225,4160,4163,4162,3979,4172,4169,18447,4166,4164],"class_list":["post-566641","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-choisir","tag-comment","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-des","tag-devaluation","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-logiciel-malveillant-de-ransomware","tag-methodologies","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-risques","tag-securite-informatique","tag-securite-internet","tag-types","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/566641","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=566641"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/566641\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/566642"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=566641"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=566641"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=566641"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}