Évaluation du risque de Sécurité de l’Information
Pourquoi une évaluation du risque de sécurité de l’information ?
L’évaluation du risque de sécurité de l’information permet d’identifier les menaces pesant sur les actifs, d’analyser les vulnérabilités, de mesurer la vraisemblance des attaques et d’en apprécier l’impact potentiel. Les résultats d’une appréciation du risque permettent de définir les actions de gestion appropriées et les priorités en matière de gestion des risques liés à la sécurité de l’information, ainsi que de mettre en œuvre les mesures destinées à minimiser ces risques.
Toute organisation doit impérativement identifier ses exigences en matière de sécurité et apprécier le risque. Les sources d’exigences sont légales, statutaires, réglementaires et contractuelles.
Comment mener l’évaluation du risque de sécurité de l’information ?
L’appréciation du risque est propre à l’entreprise. Par conséquent, elle doit prendre en compte la stratégie et les objectifs généraux de celle-ci.
La norme ISO/IEC 27005:2011 fournit des lignes directrices de gestion du risque lié à la sécurité de l’information, y compris des conseils sur l’appréciation du risque, le traitement du risque, l’acceptation du risque, la communication relative au risque, la surveillance et la revue du risque.
La méthode EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité) est un outil complet de gestion des risques SSI conforme au RGS et aux dernières normes ISO 27001, 27005 et 31000. Elle permet d’apprécier et de traiter les risques relatifs à la sécurité des systèmes d’information (SSI).
L’évaluation du risque n’est pas nécessairement une tâche coûteuse en temps et en ressource. URÆUS dispose de consultants dont l’expertise et les compétences en gestion du risque de sécurité de l’information sont certifiées.
Expert Certifié
