Risque (/ʁisk/): nom masculin, de l’italien risco, du latin populaire resecum, « ce qui coupe ».
Le risque, par définition, est la possibilité ou la probabilité qu’un événement survienne et qu’il soit considéré comme un mal ou un dommage.
En sécurité de l’information, un risque est le produit d’une menace et d’une vulnérabilité.
Revenons donc sur ces notions.
Une menace est un signe ou un indice qui laisse prévoir quelque chose de dangereux ou de nuisible.
Une vulnérabilité, quant à elle, est une faiblesse ou une imperfection pouvant être exploitée pour mener une attaque.
Ainsi :
- sans menace, il n’y a pas de risque (« Il n’y a pas de risque de se faire dévorer par un requin dans un lac »),
- sans vulnérabilité, il n’y a pas non plus de risque (« Inutile de mettre une alarme à ma fenêtre : j’habite au 30ᵉ étage »).
Lors de l’analyse de vos risques, il est donc primordial de bien comprendre votre contexte :disposez-vous de données sensibles ? Êtes-vous connectés à des réseaux non fiables ?
Prenons un exemple :
Vous hébergez toutes les données de votre entreprise sur un cloud privé. Une des menaces est la perte d’accès au réseau. La vulnérabilité réside dans l’absence de ligne de secours.
Dans ce cas, le risque est une perte de disponibilité des données, pouvant impacter votre chiffre d’affaires.
| Menace | Vulnérabilité | Risque | Perte d'accès réseau | Absence de ligne de secours | Indisponibilité des données → perte de chiffre d’affaires |
|---|
Avant de décider des actions à mettre en place, il est essentiel d’évaluer la réalité de ce risque.
Combien de fois perdez-vous le réseau par an ? Une fois, deux fois, plus ? Quelles en sont les conséquences financières ?
Imaginons que vous perdiez le réseau deux jours par an. Vos salariés ne peuvent plus accéder aux données de l’entreprise et vous ne pouvez pas répondre aux appels d’offres dans les délais. La perte est estimée à 10 000 euros par an.
La mise en place d’une ligne de secours est évaluée à 2 000 euros par mois, soit 24 000 euros par an.
- Probabilité du risque (Annualized Rate of Occurrence – ARO) : 2 jours par an
- Criticité du risque (Annualized Loss Expectancy – ALE) : 10 000 euros par an (5 000 euros par jour)
- Coût de la solution (Annual Cost of Safeguard – ACS) : 24 000 euros par an
- Bénéfice de la solution : -14 000 euros par an ☹️
Dans ce cas, un simple ajustement de procédure (par exemple, conserver un cache local des données sur les postes des salariés) serait plus pertinent qu’un investissement coûteux.
Prenons maintenant un second scénario : un incendie dans votre salle informatique.
| Menace | Vulnérabilité | Risque | Incendie en salle machine | Absence de système anti-incendie | Perte totale des données → perte de chiffre d’affaires, problèmes contractuels, pénalités |
|---|
Ce type d’incident s’est déjà produit : la probabilité est donc élevée.
- Probabilité du risque : survenance probable dans les 5 ans
- Criticité du risque : maximale (fermeture de l’entreprise, coût estimé > 1 million d’euros)
- Coût de la solution : système d’extinction FM200 avec maintenance → 50 000 euros sur 5 ans
- Bénéfice de la solution : 950 000 euros sur 5 ans 😊
Dans ce cas, l’investissement est clairement justifié.
En conclusion, une analyse détaillée du risque — incluant sa probabilité d’occurrence (likelihood) et son impact (criticality) — permet à la direction de prendre des décisions éclairées, rapides et rationnelles.
Pour aller plus loin avec la gestion des risques cyber
- Portée par l'ANSSI, la méthode EBIOS RM permet d'identifier les risques cyber de façon pragmatique,
- ISO27005 fait partie de la famille ISO27001 et est parfaitement adaptée au SMSI.
A voir aussi
👉 les réferentiels de Cybersécurité
👉 Comment sécuriser les données sensibles de son entreprise ?