C’est comme un vieux Polaroid délavé d’une autre époque : celle où un ordinateur doté de logiciels centralisés était soigneusement enfermé dans un bureau. Car, pour la plupart des organisations, cette époque est bel et bien révolue : on s’en souvient avec nostalgie, mais elle est aujourd’hui totalement déconnectée de la réalité.

Pensez simplement au nombre d’appareils, d’actifs et de personnes qui interagissent aujourd’hui avec l’infrastructure IT d’une entreprise :

  • Appareils (ordinateurs de bureau, ordinateurs portables, appareils mobiles et IoT, appartenant à l’entreprise ou personnels).
  • Logiciels et applications (de plus en plus basés dans le cloud et largement hors du contrôle de l’organisation).
  • Actifs numériques et documents.
  • API et intégrations.
  • Personnel interne, collaborateurs à distance ou hybrides, freelances, prestataires et fournisseurs.

De plus, nombre de ces appareils, applications et actifs peuvent faire partie d’un vaste environnement de shadow IT, invisible pour les équipes IT et de cybersécurité.

Cet écosystème en pleine croissance a créé un paysage des risques IT tout aussi complexe. Un risque IT non atténué peut avoir un impact majeur sur les finances, le fonctionnement, le moral et la réputation de l’entreprise. Le flux constant de cybermenaces auquel les organisations sont confrontées, associé à leurs conséquences bien réelles, a rendu la nécessité d’un processus solide de gestion des risques IT particulièrement évidente.

Dans ce guide concis sur la gestion des risques IT, nous aborderons les points suivants :

  • Qu’est-ce que la gestion des risques IT ?
  • Cinq étapes pour gérer les risques dans l’IT.
  • Les processus et stratégies de gestion des risques IT à suivre.
  • Les meilleures pratiques de gestion des risques IT.

Qu’est-ce que la gestion des risques IT ?

Une entreprise est confrontée à une forme de « risque » ou une autre dans presque toutes les dimensions de son organisation et de ses opérations. Mais lorsque nous parlons de gestion des risques IT, nous faisons référence au risque de cybersécurité

Comme nous l’avons vu, avec l’intégration croissante de processus et d’outils IT complexes dans les opérations quotidiennes des organisations, les risques associés augmentent. C’est là qu’intervient la gestion des risques IT, une pratique qui applique les principes de gestion des risques aux organisations IT.

La gestion des risques IT consiste à identifier, évaluer et hiérarchiser les risques pesant sur le capital et les revenus d’une organisation. Elle implique de prendre des mesures pour réduire, surveiller et contrôler l’impact de ces risques.

En termes simples, il s’agit de protéger les actifs métier de valeur, de garantir le respect des règles et des normes, de préserver une image positive, de prendre des décisions éclairées et d’assurer la continuité et la résilience des opérations, même dans les situations difficiles.

La gestion des risques n’a rien de nouveau pour les organisations ; il s’agit simplement d’appliquer des processus et procédures éprouvés à un réseau d’interactions IT en pleine expansion. Lorsque les organisations élaborent des plans de gestion des risques IT, cela implique souvent de pourvoir des rôles familiers, comme celui de responsable des risques ou d’analyste en remédiation des risques, des fonctions qui exigent non seulement une solide compréhension des pratiques générales de gestion des risques, mais aussi une expérience IT afin de garantir que les risques sont correctement évalués et corrigés.

Le nouveau paysage des risques cyber

Toutefois, un défi majeur réside dans le fait que les risques que les équipes IT et de cybersécurité doivent traiter n’évoluent pas de manière statique. En réalité, leur nature en constante mutation est peut-être leur caractéristique principale, et la plus grande source de risque.

Au cours des cinq dernières années, la nature de la gestion des risques IT a considérablement évolué, élargissant son périmètre et sa signification pour répondre aux défis d’un paysage des risques cyber en constante évolution.

La tâche consistant à simplifier la gestion des risques IT est devenue progressivement plus complexe, car les menaces auxquelles elle fait face ne correspondent souvent pas aux définitions traditionnelles du « risque ».

Définir le risque IT et les disciplines qu’il impacte

Commençons par une question simple : à quels risques avons-nous réellement affaire ? Car ils ne sont plus les mêmes qu’il y a encore peu de temps.

Fondamentalement, un risque IT peut se manifester par un datacenter compromis, une vulnérabilité sur l’ordinateur d’un utilisateur ou un virus malveillant. Mais les menaces actuelles, plus diverses et plus mouvantes, nous obligent à envisager la gestion des vulnérabilités fondée sur les risques (RBVM) et à explorer des moyens d’automatiser ce processus. De plus, nous devons prévenir les risques de manière proactive en adoptant des pratiques DevSecOps.

Pour poser le cadre, distinguons le risque IT du risque de sécurité :

  • Le risque IT désigne les conséquences négatives potentielles liées à la défaillance ou à une mauvaise utilisation de l’IT.
  • Le risque de sécurité désigne une personne ou un élément qui représente une menace potentielle pour la sécurité ou pourrait causer un préjudice à une organisation.

À mesure que le paysage de la cybersécurité a évolué, il a remodelé notre conception des menaces et des vulnérabilités : les organisations font face à des menaces, et les expositions à ces menaces constituent des vulnérabilités. Lorsque ces vulnérabilités sont exploitées, elles deviennent un risque. La gestion des risques IT repose donc sur la gestion des vulnérabilités IT. Nous ne pourrons peut-être jamais éliminer totalement les menaces, mais nous pouvons les moduler et les maîtriser grâce à une gestion vigilante des vulnérabilités.

Deux disciplines sont essentielles à la gestion des vulnérabilités IT : la gestion des actifs IT (ITAM) et la gestion des services IT (ITSM), ainsi que les technologies qu’elles déploient :

  • L’ITAM consiste à suivre et optimiser les actifs d’une organisation, physiques comme numériques, tout au long de leur cycle de vie, afin d’assurer une utilisation efficace et une gestion appropriée des ressources de valeur.
  • Les outils ITAM permettent de gérer les éléments de configuration (CI), tels que les actifs matériels et logiciels, afin que l’IT puisse configurer, optimiser et suivre les CI tout au long de leur cycle de vie.
  • L’ITSM est la pratique qui consiste à concevoir, fournir, gérer et améliorer les services IT afin de répondre aux besoins de l’organisation de manière efficace et efficiente. Ses outils et bonnes pratiques renforcent la capacité de l’IT à suivre, traiter et servir les demandes technologiques des utilisateurs finaux et de tout autre client interne.
  • Les outils ITSM peuvent également permettre aux utilisateurs de se servir eux-mêmes en résolvant des problèmes techniques simples et courants, dans le cadre d’une démarche visant à atteindre un support helpdesk de niveau zéro.
  • Une autre discipline joue-t-elle un rôle dans la maîtrise du risque IT ? La gestion de l’exposition, un domaine émergent qui identifie et atténue de manière proactive les vulnérabilités potentielles et les risques de sécurité avant qu’ils ne puissent être exploités.

En quoi ces outils permettent-ils de simplifier la gestion des risques IT, surtout au vu de la complexité croissante des réseaux IT et des cybermenaces que nous venons de décrire ?

Les plateformes technologiques ITAM et ITSM dotées des bonnes fonctionnalités peuvent aider une organisation à unifier les opérations IT au sein d’un processus de sécurité en boucle fermée, avec une détection, une évaluation et une remédiation automatisées, continues et proactives des vulnérabilités.

Le mot-clé est bien sûr « automatisées ». L’intervention humaine n’est pas nécessaire si les vulnérabilités peuvent être corrigées ou les problèmes résolus avant d’impacter les utilisateurs, évitant ainsi des répercussions sur la sécurité, voire le besoin de contacter un helpdesk.

Décaler à gauche les charges de travail de sécurité IT

Les outils utilisés par l’IT, en particulier l’ITAM et l’ITSM, peuvent donc aider la Sécurité à « décaler à gauche » grâce à l’automatisation ITAM et ITSM. Ils permettent de réaliser davantage d’actions de sécurité avec moins de travail et de coûts, en évoluant vers une remédiation proactive des risques.

Quelles sont les façons d’utiliser les automatisations ITAM et ITSM pour simplifier le travail des équipes de Sécurité ?

Améliorer les options de libre-service pour les utilisateurs finaux

Automatisez le tri des demandes et questions de sécurité afin que les demandes de niveau inférieur soient orientées vers le personnel de niveau approprié, libérant ainsi les analystes seniors des tâches telles que l’identification du phishing. Mettez en place des formulaires de demande pour l’accès aux fichiers ou les exemptions de politique dans un wiki de sécurité, afin de proposer aux utilisateurs un support en libre-service de niveau zéro.

Unifier la résolution des incidents de sécurité

Réutilisez les logiciels de tickets IT et les files de priorisation, alimentées par des formulaires de demande, afin d’améliorer la priorisation, le suivi et la contextualisation.

Réutiliser les automatisations IT d’arrière-plan pour des cas d’usage de sécurité

Les mêmes automatisations IT proactives au sein de l’ITAM et de l’ITSM, déclenchées selon des paramètres spécifiques, peuvent être dupliquées et ajustées pour répondre à une grande variété d’objectifs de sécurité, comme la sécurisation des environnements de terminaux et la détection d’activités malveillantes.

Configurer des déclencheurs d’automatisation

Les équipes de Sécurité peuvent utiliser les CI existants et créer des variables personnalisées propres à la sécurité, suivies dans la base de données de gestion de configuration (CMDB) d’un outil ITAM, à la fois comme déclencheurs et comme composants de formules automatisées.

Automatiser l’application des règles de sécurité

Les mêmes fonctionnalités IT qui appliquent des règles générales d’utilisation des ordinateurs peuvent signaler et faire respecter des protocoles de sécurité. Par exemple, elles peuvent envoyer des alertes lorsqu’elles détectent de possibles violations de politique ou menaces internes.

5 clés pour rationaliser la gestion des risques IT

Simplifier et optimiser la gestion des risques IT ne relève pas uniquement de l’IT. L’équipe de cybersécurité de votre organisation a naturellement tout intérêt à toute mesure visant à améliorer l’efficacité des processus et des outils que vous mettez en place. C’est pourquoi nombre des étapes clés pour améliorer la gestion des risques IT reposent sur la communication et la collaboration entre l’IT, la Sécurité et les autres parties prenantes.

Pour approfondir les points ci-dessous, consultez notre e-book D’adversaires à alliés.

1. Les équipes de Sécurité doivent expliquer leurs plans et leurs demandes

Évitez les injonctions et expliquez aux parties prenantes de l’organisation la stratégie et les bénéfices qui sous-tendent vos plans, changements et demandes de sécurité. Avant de lancer tout plan de sécurité, le RSSI doit partager la stratégie de sécurité et le plan de mise en œuvre, car les départements IT peuvent rapidement être frustrés par des demandes de sécurité non expliquées.

En raison de contraintes de temps et de disponibilité, des demandes de sécurité peuvent être émises sans explication sur la raison du changement demandé. Cela peut compliquer leur mise en œuvre par l’IT. Il est important que les équipes de Sécurité tiennent compte de la manière dont leurs demandes peuvent être mises en œuvre par les départements IT.

2. Tenir compte de la charge qui pèse sur l’IT

Les équipes de Sécurité doivent toujours tenir compte de la charge de travail de l’équipe IT avant de formuler une demande ; l’IT peut être mobilisée sur un projet plus important ou ne pas disposer de suffisamment de personnel pour traiter la tâche. Il est impératif de rechercher des outils et systèmes qui facilitent la mise en œuvre des politiques, demandes et correctifs de sécurité par votre équipe IT.

La combinaison de la gestion des vulnérabilités fondée sur les risques (RBVM) et de l’ITSM contribue à réduire la charge de l’IT en priorisant « automatiquement » les tâches importantes et en ignorant celles qui sont mal priorisées.

Considérez ceci : à tout moment, environ un quart de million de vulnérabilités sont identifiées par le Common Vulnerability Scoring System et classées en risque élevé, moyen ou faible. Parmi elles, environ 38 000 sont exploitées comme armes, dont environ 11 000, soit 4 %, sont considérées comme dangereuses. À travers le prisme de la RBVM, nous constatons que la plupart des risques « critiques » signalés par le CVSS ne le sont pas réellement, car nous pouvons cibler les 4 % les plus dangereux parmi les vulnérabilités élevées et moyennes. Cette reclassification des vulnérabilités identifiées selon la norme CVSS redirige fortement l’attention vers les vulnérabilités véritablement critiques sur lesquelles l’équipe IT doit se concentrer.

3. Encourager la collaboration

Les départements qui travaillent ensemble pour rationaliser la gestion des risques IT doivent collaborer afin d’obtenir des résultats mutuellement bénéfiques. Après tout, chacun a ses propres priorités : l’IT veut que les opérations se déroulent sans heurts, tandis que la Sécurité veut gérer les problèmes le plus rapidement possible.

En collaborant et en faisant preuve de flexibilité dans l’élaboration des protocoles et processus de gestion des risques IT, les deux parties peuvent y gagner. L’un des moyens de créer cette flexibilité consiste à établir des accords de niveau de service (SLA) acceptés mutuellement.

4. Définir des objectifs communs

La Sécurité et l’IT ont un terrain d’entente : toutes deux veulent maintenir le bon fonctionnement de l’organisation, des utilisateurs et des processus. Il est donc essentiel que les directions IT et Sécurité s’alignent sur les objectifs et définissent des indicateurs clés de performance (KPI), des tableaux de bord et d’autres métriques pour les suivre et les renforcer.

Il est également important qu’une organisation comprenne les implications de la mise en place d’objectifs stratégiques, afin que les impacts éventuels sur les produits, les processus et les personnes soient connus avant que ces objectifs ne soient arrêtés.

5. Apporter son aide

Le partage de ressources administratives, d’expertise technique et d’outils entre les équipes Sécurité et IT peut réduire les coûts et renforcer la collaboration. Par exemple, si la Sécurité emprunte des outils, politiques et processus IT pour ses propres cas d’usage, elle doit proposer quelque chose en retour.

Les outils, tableaux de bord et rapports partagés créent un contexte qui permet aux deux équipes de comprendre leurs univers respectifs, favorisant ainsi l’empathie et la confiance.

Compte tenu des menaces qui pèsent aujourd’hui sur les réseaux numériques des entreprises, ce type de collaboration est essentiel.