Risk Assessment

Prenez toute la mesure de vos actifs, des menaces, des vulnérabilités et des risques. pour optimiser votre sécurité

Etapes suivantes :

Présentation

Le service Risk Assessment de McAfee Foundstone propose un audit indépendant des risques existants, présente des stratégies destinées à vous aider à gérer les risques et décrit les processus et systèmes qui réduisent les facteurs de risque. Des évaluations des risques régulières constituent un volet essentiel de la conformité aux règlementations nationales et locales, dont les lois GLBA et HIPAA, la California Senate Bill (SB) 1386 et la norme PCI DSS. Une évaluation des risques est par ailleurs indispensable à tout programme de sécurité efficace.

Il s'agit du fondement même du développement de stratégies de gestion des risques au sein d'une entreprise. La méthodologie de Foundstone identifie les actifs qui soutiennent les activités de l'entreprise, décèle les vulnérabilités et met en lumière les menaces potentielles pesant sur ces actifs.

Principaux avantages

Le service Risk Assessment de Foundstone aide votre entreprise à réaliser les tâches suivantes :

  • Identifier les actifs opérationnels critiques
  • Protéger les informations les plus importantes contre les menaces potentielles
  • Optimiser les investissements en sécurité
  • Maximiser le retour sur investissement de la sécurité
  • Soutenir l'élaboration de stratégies de sécurité

Méthodologie

Le service Risk Assessment de Foundstone identifie les actifs fondamentaux pour les activités et détermine leur valeur pour l'entreprise. Nous identifions les menaces susceptibles d'affecter ces actifs et examinons les vulnérabilités afin de déterminer la probabilité de l'impact. Foundstone adopte une approche équilibrée vis-à-vis de l'évaluation du profil de risque d'une entreprise en s'appuyant sur des entrevues, l'examen de la documentation et l'analyse technique pour déterminer le risque, plutôt que sur des auto-évaluations ou des questionnaires.

Identification des actifs, des vulnérabilités et des menaces
Lors de cette phase, Foundstone s'entretient avec des responsables de l'entreprise et le personnel technique et examine la documentation relative à la sécurité des informations et aux actifs, y compris la topologie du réseau. Le service Risk Assessment de Foundstone identifie les actifs opérationnels critiques, notamment les systèmes de centres de données, les ordinateurs du personnel, les périphériques et canaux de communication en réseau, les postes de travail à distance tels que les ordinateurs privés du personnel, les données des clients et du personnel et la propriété intellectuelle. Une attention particulière est accordée aux systèmes qui traitent, stockent, gèrent et transmettent des données personnelles. Nous examinons la manière dont les actifs relevant des technologies de l'information sont employés par les différents types d'utilisateurs du système, tels que les administrateurs, les clients ou les employés, puis nous classons chaque actif en fonction de son impact sur les activités en cas de défaillance.

Foundstone s'entretient avec le personnel technique afin d'identifier les vulnérabilités potentielles et utilise également l'examen de la documentation et l'analyse technique (en cas de combinaison avec une évaluation des vulnérabilités) pour épingler les points faibles potentiels. Les vulnérabilités sont classées en fonction de leur gravité, c'est-à-dire du risque d'exposition d'un actif. L'évaluation des vulnérabilités réalisée dans le cadre du service Risk Assessment est une analyse de haut niveau. Les vulnérabilités identifiées par le biais de cette évaluation sont autant de candidats possibles pour une évaluation technique plus détaillée réalisée par Foundstone.

Au moyen d'un processus de modélisation des menaces, Foundstone élabore ensuite des scénarios illustrant des événements possibles. Chaque actif est analysé en fonction de son coût potentiel en cas d'attaque, y compris les coûts directs d'une destruction ou d'une perte physique, la perte de confiance des consommateurs, le non-respect des exigences réglementaires et autres scénarios catastrophes. Vous obtenez ainsi un classement des menaces basé sur la prévalence, qui permet de déterminer si une menace possède la capacité et la motivation nécessaires pour affecter un actif.

Analyse complète
Après avoir classé les actifs, les vulnérabilités et les menaces, Foundstone entame l'analyse à proprement parler. Il y a risque lorsque des actifs stratégiques, des menaces crédibles et des vulnérabilités existantes sont réunies. Foundstone concentre ses efforts sur l'évaluation qualitative des risques plutôt que de tenter de chiffrer l'impact financier de pertes potentielles.

Planification du programme de sécurité
Foundstone se concentre sur les stratégies qui permettent de réduire le risque au maximum à un coût d'investissement minimal dans la sécurité. Nous élaborons un programme de sécurité qui détaille les quatre stratégies de Foundstone en matière de gestion des risques : réduction, transfert, prévention et acceptation. Les stratégies sont hiérarchisées en fonction de l'ampleur de la réduction des risques et du coût relatif. Les résultats sont documentés dans un plan de mesures de sécurité qui détaille les problèmes systémiques et les solutions, sur la base des contraintes en termes de ressources et des objectifs de votre entreprise en matière de risques.

Au terme de la mission, vous recevez un rapport technique complet d'évaluation des risques, un rapport de synthèse et des recommandations concernant les mesures à prendre. Vous bénéficiez en outre d'un atelier d'une demi-journée sur les résultats de l'évaluation et leur analyse.