Analyse de risques cybersécurité

Pourquoi faire une analyse de risques ebios ?

L’analyse de risques est la pierre angulaire de l'organisation de la cybersécurité dans une entreprise ou un établissement public. Elle vise à identifier les actifs à protéger en priorité et les mesures correctives à adopter. La réalisation d’une telle analyse s’ancre dans le contexte de l’organisme à protéger. Des scénarii réalistes d’attaques et de vulnérabilités sont postulés et des propositions concrètes de remédiation sont proposées.

Les résultats de l’analyse de risques permettent à la direction de prendre conscience de l’impact d’un incident de sécurité informatique sur leur activité et de budgétiser les mesures adéquates à adopter pour en réduire les risques.

Comment se déroule une analyse de risques cybersécurité ?

Notre méthodologie d’intervention se base sur le référentiel de sécurité EBIOS Risk Manager de l’Agence nationale de la sécurité des systèmes d'information (ANSSI). Nous initions notre intervention par une étude documentaire de l’existant que nous complétons par des entretiens avec les directions informatiques, et en fonction du périmètre, des ateliers avec les opérationnels impactant la sécurité du système d’information.

En fonction du besoin exprimé par notre client et du contexte, nous pouvons intervenir sur de multiples périmètres pour notre analyse : données personnelles, systèmes industriels, objets connectés, prestataires tiers...

Chaque scénario est justifié, documenté et un niveau de risque est établi en fonction de la vraisemblance et de la gravité de l'évènement redouté. Notre méthodologie met en avant une étroite collaboration avec nos clients et la rédaction itérative des livrables.

Que produit-on avec une analyse de risques en sécurité informatique ?