Management du risque


Pour accompagner la transformation numérique et ses acteurs vers plus de sécurité, l’ANSSI émet une doctrine qu’elle fait évoluer avec agilité , pour dépasser la seule approche technique, et encourager la création et la mise en œuvre de politiques de management des risques numériques complètes, adaptées et intégrées au plus haut niveau des organisations.

Le numérique bouleverse et enrichit à la fois nos activités en rendant les systèmes dont nous dépendons toujours plus évolutifs et interconnectés. Nous évoluons donc au sein d’écosystèmes particulièrement complexes et mouvants. Les menaces n’échappent pas à ce constat, faisant de la sécurité numérique un véritable enjeu économique et stratégique.

La mise en œuvre d’une politique de management du risque numérique se caractérise par l’établissement d’un système de gouvernance. Celui-ci est responsable de la conduite d’un processus de pilotage et d’amélioration continue de la performance pour mettre en œuvre une défense en profondeur fondée sur des capacités opérationnelles et techniques de protection, défense, résilience et de veille vis-à-vis de l’état de la menace.

Ces quatre domaines constituent le cadre de référence européen tel que défini par la directive européenne NIS :

  • Gouvernance du management du risque numérique ;
  • Protection des réseaux et systèmes d’information ;
  • Défense des réseaux et systèmes d’information ;
  • Résilience des activités.

La mise en place de ces bonnes pratiques au sein de chaque organisation doit en outre tenir compte du niveau de maturité et de la taille de chaque structure pour se rapprocher des préoccupations des instances dirigeantes et les sensibiliser.
Ce cadre s’appuie par ailleurs sur des capacités opérationnelles et techniques dont les prestations associées font l’objet de référentiels et d’une qualification par l’ANSSI (PASSI pour la protection et PDIS et PRIS pour la défense).

Pour accompagner les organisations dans la prise en compte et la gestion du risque numérique dans le cadre de son activité, l’ANSSI propose de nombreuses ressources.

 

La méthode d’analyse de risque EBIOS Risk Manager

Véritable moteur de ce processus, l’analyse de risque est au cœur du management du risque numérique. Pour accompagner les organisations, l’ANSSI modernise sa méthode d’analyse de risque EBIOS et fournit une solution innovante et pratique, adaptée aux nouveaux enjeux de sécurité numérique.

Elle permet de déterminer des objectifs de sécurité et d’identifier les mesures qui permettront de les atteindre à l’issue d’une analyse de risque partagée, comprise et adoptée au plus haut niveau.
En savoir plus

 

L’homologation pour intégrer un nouveau service numérique

Le numérique, au même titre que les opportunités et les menaces qui en découlent, se caractérise par des évolutions rapides et continues (nouvelles missions, activités, technologies, etc.). L’intégration de ces nouveautés dans le management du risque est primordiale et l’ANSSI propose à cette fin un processus appelé « homologation de sécurité ».

Ce processus permet à une autorité « métier » d’appréhender le risque numérique qui pèse sur une activité dont le bon fonctionnement repose sur un ou plusieurs systèmes numériques.
En savoir plus