Pour rappel, dans l’article précédent [Lien vers l’article précédent : Management du risque, dans quel but ?], nous vous parlions du management du risque et des analyses de risques. Comme nous le savons tous, un bon management du risque mène à un déploiement efficace de mesures de sécurité.

QUID?

L’analyse de risques produit une liste de menaces ainsi que leur classification. La prochaine étape est de rigoureusement les analyser et de trouver une ou plusieurs mesures capables de réduire l’impact de la menaces. Ces mesures peuvent soit réduire les chances que la menace se concrétise soit en minimiser les conséquences, ou bien les deux.

Types de mesures de sécurité

Comment construit-on une solution de sécurité ? ceci peut être fait selon différentes méthodes et selon les objectifs. Les mesures de sécurité doivent toujours être liées aux résultats d’une analyse de risques.

Que veut-on achever :

  •  Mesures réductrices visant à réduire la menace
  •  Mesures préventives visant à prévenir les incidents
  •  Mesures détectives visant à détecter les incidents
  •  Mesures répressives visant à stopper les conséquences d’un incident
  •  Mesures correctives visant à récupérer des dommages causés par un incident

Il est aussi possible d’acheter une assurance contre certains incidents car, dans certains cas, les mesures de sécurité peuvent être hors de prix.

Prévention :

La prévention consiste à supprimer, ou au moins minimiser la menace. Exemple : Déconnecter internet, mettre les infos sensibles dans un coffre.

Détection :

Si les conséquences directes d’un incident ne sont pas colossales, ou s’il y’a le temps de minimiser quelconque dommage, alors la détection peut être une bonne option. La détection permet de s’assurer que chaque incident peut être détecté le plus rapidement possible et que les utilisateurs en soient informés. Un simple exemple pourrait être une caméra de surveillance avec un sticker informant que la zone est surveillée. Le fait de simplement informer les utilisateurs que le réseau internet peut être surveillé dissuadera et découragera une partie des utilisateurs à naviguer vers des contenus inappropriés.

Répression :

Déterminer que quelque chose s’est passé n’est pas suffisant. Quand quelque chose se passe vraiment, en termes d’incident, la première chose à faire est d’en minimiser les conséquences. Les mesures répressives visent précisément cette minimisation.

Faire des back-up fréquents peut être considéré comme une mesure répressive. Après tout, faire des sauvegardes périodiques pendant le travail permet de s’assurer que ce dernier n’est pas totalement perdu en cas d’incident.

Correction :

Si un incident survient, il y’a toujours quelque chose qui doit être recouvré. L’étendue des dommages, qu’elle soit minimale ou colossale, dépend des mesures répressives qui ont été choisies. Par exemple, si un collègue crée une nouvelle base de données et écrase la base de données de production, alors l’étendue des dommages dépend du back-up fait avant.

Assurance :

Pour les événements qui ne peuvent être entièrement prévenus et pour lesquels les conséquences ne peuvent être acceptables, il faudra se tourner vers des méthodes pour en alléger les conséquences. Ceci s’appelle la mitigation. Les assurances incendie nous protègent contre les conséquences financières d’un incendie. Placer quotidiennement, par exemple une copie des informations importantes dans une location hors de l’entreprise permet de les garantir.