Qu’est-ce que le risk assessment ?

La cybersécurité est un enjeu majeur, quels que soient le secteur d’activité et la taille de votre organisation ou de votre société. L’exploitation d’une faille informatique peut à la fois porter préjudice à votre organisation (pertes financières, perte de données, altération de l’image de marque…), vos salariés et vos clients. La protection des données personnelles est par ailleurs obligatoire, encadrée notamment en Europe par le règlement général sur la protection des données (RGPD en Europe).

Le risk assessment, ou l’évaluation des risques en français, désigne en cybersécurité l’identification des failles de sécurité liées aux équipements et données des entreprises et des organisations. Pour chaque menace détectée, il faut en identifier la nature, évaluer la vulnérabilité du système, et définir la valeur de l’actif concerné (c’est-à-dire son importance au sein de la structure). Cette détection est importante pour mettre en place des mesures de sécurité et ainsi réduire l’exposition de vos actifs informatiques face à de potentielles cyberattaques.

Le risk assessment doit vous permettre d’identifier de potentielles failles informatiques liées à votre structure. En fonction des risques observés, adaptez votre posture de sécurité pour réduire l’exposition de vos équipements et des données qu’ils contiennent.

Les risques peuvent différer d’une organisation ou d’une entreprise à l’autre. Trois natures de risques peuvent être identifiées :

• Le risque humain (lié par exemple aux erreurs humaines, à un vol interne de données…)
• Le risque naturel (par exemple : une inondation, un incendie…)
• Le risque matériel (lié à une défaillance technique, que ce soit du software, du hardware...)

Par exemple, une faille peut être liée à vos utilisateurs : certains accès et privilèges accordés à vos utilisateurs pourraient être défaillants. Dans ce cadre, il est important d’accorder le minimum de droits à chacun d’eux pour réduire la possibilité d’erreurs humaines ou d’intrusions à des niveaux trop élevés. Chaque accès doit correspondre au rôle et être adapté aux compétences de vos utilisateurs.

Comment effectuer une évaluation des risques ?

Pour l’évaluation des risques en cybersécurité, la première étape consiste à évaluer et classer l’importance de vos actifs informatiques (par exemple vos bases de données, les ordinateurs des salariés, les serveurs, etc.).

Il faut ensuite identifier les menaces qui pourraient être exploitées ou engendrer une défaillance de vos ressources. Telles que détaillées précédemment, ces menaces peuvent être d’ordre humain, naturel ou matériel. La détection des vulnérabilités est également incontournable pour empêcher par exemple de potentielles cyberattaques. Ces vulnérabilités peuvent être un défaut de conception logicielle, une faille matérielle… qui pourraient exposer vos équipements et vos données à d’importants risques.

Enfin, il faut évaluer la probabilité d’un incident et l’impact qu’il pourrait avoir sur votre entreprise ou organisation, pour définir et prioriser les mesures de protection à mettre en place.

Quelle solution peut permettre de réaliser une évaluation des risques ?

A moins d’avoir d’importants moyens budgétaires, humains et matériels alloués à la cybersécurité, l’évaluation des risques peut être difficile à mettre en place pour une entreprise. Surtout, il peut être compliqué de réaliser des audits de façon suffisamment régulière pour détecter des failles de sécurité.

Concernant la sécurité des données, Oracle a lancé le service Oracle Data Safe pour aider les entreprises à évaluer les risques associés à leurs bases de données sans nécessiter d’importants moyens. Cette solution compatible avec les bases de données Oracle (qu’elles soient hébergées dans le cloud ou installées on-premise) offre la possibilité d’auditer un très grand nombre de bases de données de façon automatique, rapide, et continue. Pour s’en servir, il suffit de connecter les bases de données concernées à Oracle Data Safe (la connexion peut se faire en quelques minutes seulement). En fonction des règles établies par l’entreprise, des rapports d’évaluation des risques sont générés régulièrement pour identifier de potentielles failles de sécurité.

Cette solution permet à la fois d’évaluer la sécurité de vos bases de données, d’identifier les risques associés à vos utilisateurs, d’auditer l’activité de vos bases de données, ou encore de classifier et anonymiser vos données sensibles.