Qu’est-ce qu’un cadre de gestion des risques ?

Un cadre de gestion des risques est une approche structurée séquentiellement, basée sur des règles et documentée qui permet d’examiner, de réduire et de surveiller les risques au sein d’une organisation. Les organisations choisissent des cadres standardisés ou créent les leurs, plutôt que d’aborder les risques au moyen de processus ad hoc. En utilisant un cadre, vous pouvez être plus sûr d’obtenir de meilleurs résultats et de réagir plus rapidement en cas d’événement inattendu.

La gestion des risques est une fonction du secteur d’activité de la gouvernance, des risques et de la conformité (GRC), qui relève souvent du service de cybersécurité ou de conformité. La manière dont votre organisation gère les risques peut être essentielle à la continuité des activités, aux opérations, à la conformité réglementaire et à la réputation. Les cadres de gestion des risques vous aident à identifier, évaluer, atténuer et suivre les risques dans l’ensemble de l’organisation. 

Les risques peuvent affecter l’organisation, les secteurs d’activité et les actifs de l’entreprise. Cela inclut les risques opérationnels, commerciaux, de conformité, de cybersécurité, juridiques, de fusion et d’acquisition, de confidentialité, matériels, logiciels et contractuels. Bien que les entreprises mettent souvent l’accent sur les cyberrisques, il est également important de ne pas négliger les autres types de risques. Ce document couvrira principalement les risques opérationnels, commerciaux et de conformité, tels qu’ils s’appliquent au cloud.

Le risque opérationnel est lié à la disponibilité, à la fiabilité, aux performances et à la sécurité de l’infrastructure. Cette catégorie de risque est très importante pour les opérations quotidiennes.

Le risque commercial est lié à la réputation, à la compétitivité et aux conditions du marché. Ce type de risque a une portée plus large que le risque opérationnel et peut avoir un impact global plus important sur l’entreprise.

Le risque de conformité fait référence à la probabilité que les activités commerciales ne répondent pas à une norme de conformité réglementaire requise. Ce type de risque peut entraîner des amendes, des sanctions, des implications juridiques ou une augmentation des niveaux d’audit et de reporting. Les objectifs de conformité proviennent des normes de l'industrie, des agences fédérales et d'autres organismes de réglementation.

Les cadres de gestion des risques courants incluent :

• Le cadre de gestion des risques (RMF) du National Institute of Standards and Technology (NIST) pour les systèmes d’information et les organisations
• COBIT
• ISO/IEC 31000 Management des risques - Lignes directrices
• ISO/IEC 27005:2022 Sécurité de l’information, cybersécurité et protection de la vie privée - Lignes directrices sur la gestion des risques liés à la sécurité de l’information
• Analyse factorielle du risque lié à l’information

Il est conseillé d’utiliser un cadre de gestion des risques connu et régulièrement mis à jour pour se tenir au courant des bonnes pratiques en matière de gestion des risques.

Un cadre de gestion des risques solide permet de gérer les risques de tous types dans l’ensemble de l’organisation.

Identification des risques

Identifiez tous les actifs, menaces et vulnérabilités de l’architecture organisationnelle. Un risque est une menace qui pèse sur un actif en raison d’une vulnérabilité. L’identification des risques potentiels peut être un processus long qui couvre de multiples vecteurs organisationnels et objectifs commerciaux.

Vous pouvez classer les risques dans des domaines tels que les risques techniques, les personnes, les processus, les finances ou les tiers. Vous pouvez également subdiviser chacune de ces catégories plus larges ; par exemple, dans la catégorie « personnes », en la décomposant davantage en silos de compétences, d’erreurs manuelles et de connaissances.

Analyse d’impact

En analysant vos actifs, vos menaces et vos vulnérabilités, vous pouvez déterminer la probabilité et l’ampleur de l’impact d’un risque potentiel. L’analyse et l’évaluation des risques comprennent des mesures qualitatives et quantitatives. Par exemple, vous pouvez recueillir tous les détails sur un type de risque spécifique ou développer des matrices de notation des risques pour classer les risques, ce qui déterminera les conséquences et les stratégies d’atténuation. Ces catégories peuvent inclure des scores de risque faibles, moyens, élevés et très élevés, en fonction de la probabilité d’un événement et de son impact attendu.

Stratégies d’atténuation

Voici les quatre stratégies d’atténuation des risques pour aborder chaque risque spécifique :

• Atténuer : mettre en œuvre des contrôles pour éliminer ou réduire les risques
• Accepter : acceptez le risque tel quel, tout en surveillant attentivement l’évolution de la probabilité ou de la gravité du risque
• Éviter : supprimez les risques et reconfigurez les systèmes
• Transférer : externalisez la fonction liée aux risques, créez des mesures d’atténuation contractuelles ou assurez-vous contre l’événement

Outre la criticité et la probabilité du risque, la propension au risque de l’organisation peut également aider à déterminer la stratégie appropriée.

Mise en œuvre de solutions

Selon la stratégie d’atténuation choisie, vous pouvez appliquer les contrôles, apporter des modifications au système, introduire des solutions de surveillance et externaliser le risque. Les contrôles peuvent être administratifs, physiques ou techniques. Cette étape peut impliquer plusieurs systèmes, unités commerciales, parties prenantes et étapes pour produire le résultat souhaité.

Une solution d’atténuation des risques peut inclure des processus d’escalade des risques, des responsables des risques et une collaboration avec les équipes de réponse aux incidents pour élaborer des plans post-incident.

Après avoir mis en œuvre la solution, vous calculez le risque résiduel. La plupart des solutions ne permettent pas d’éliminer complètement le risque, il existe donc un risque résiduel. Ce risque résiduel peut fluctuer en fonction de l’évolution des conditions.

Gouvernance et surveillance continue

Après la mise en œuvre de la solution d’atténuation des risques, vous devez surveiller, suivre, analyser et auditer les risques si nécessaire. Vous devez intégrer le reporting dans le processus de suivi des risques pour les responsables des risques, les équipes GRC et la direction.

Dans le cadre de gouvernance, il devrait y avoir un processus à la demande et régulièrement planifié pour identifier les risques nouveaux et croissants pour l’entreprise. Vous devez établir des politiques concernant la gestion des risques et la fréquence de réévaluation du processus actuel et fournir une formation aux membres de l’équipe concernés. Mettez en place des barrières de protection pour empêcher automatiquement que les mêmes types de risques ne se reproduisent.

Ce guide explique comment mettre en œuvre un pipeline AWS aligné sur les phases d’un cadre de gestion des risques classique.

Trois services AWS clés sont utilisés à chaque phase du processus de gestion des risques en matière d’assistance :

• AWS Audit Manager pour auditer en permanence votre utilisation d'AWS afin de simplifier l’évaluation des risques et de la conformité
• AWS Config pour évaluer, auditer et déterminer les configurations de vos ressources
• AWS Security Hub permet de hiérarchiser vos problèmes de sécurité critiques grâce à une corrélation automatisée et à un contexte de risque amélioré, ainsi qu’à des rapports sur la posture de sécurité, etc.

1. Planification

La phase de planification garantit que l’organisation dispose d’une base solide pour mettre en place des processus de gestion des risques conformes aux bonnes pratiques.

Prévoyez de réaliser des activités de gestion des risques fondées sur les bonnes pratiques avec les services suivants :

• AWS CloudTrail pour suivre l’activité des utilisateurs et l’utilisation des API
• AWS Control Tower pour configurer et gérer votre environnement AWS sécurisé et multi-comptes
• AWS Identity and Access Management pour gérer en toute sécurité les identités et l’accès à vos services et ressources AWS
• AWS IAM Access Manager pour identifier les accès externes, internes et inutilisés à vos ressources AWS
• AWS Organizations pour une gestion basée sur des règles sur plusieurs comptes AWS
• AWS Secrets Manager pour gérer l'accès aux secrets au sein de votre organisation
• AWS Systems Manager pour l’application automatique des correctifs et la conformité

2. Découverte

La phase de découverte permet de découvrir et de baliser vos actifs, vos ressources et vos services.

Pour découvrir et classer vos actifs, utilisez les services AWS suivants :

• Amazon Macie pour découvrir et protéger vos données sensibles
• AWS CloudFormation va introduire l’infrastructure en tant que code (IaC)
• Explorateur de ressources AWS pour rechercher et découvrir des ressources pertinentes sur AWS
• Inventaire AWS Systems Manager pour fournir une visibilité sur votre environnement informatique AWS
• Outil AWS Well-Architected pour évaluer votre architecture cloud par rapport aux bonnes pratiques.

3. Sélection des contrôles et des règles

La phase de sélection introduit des contrôles et des règles de protection contre les risques identifiés.

Sélectionnez des contrôles parmi les règles de bonnes pratiques prédéfinies dans les services AWS suivants :

• Règles gérées par AWS Config pour des règles prédéfinies et personnalisables qu’AWS Config utilise pour évaluer si vos ressources AWS sont conformes aux bonnes pratiques courantes
• AWS Control Tower et AWS Security Hub pour le contrôle de sécurité, et AWS Audit Manager pour les contrôles de conformité aux politiques.
• AWS Systems Manager Compliance est un outil intégré à AWS Systems Manager qui vous permet de créer vos propres types et définitions de conformité en fonction de vos exigences informatiques ou commerciales

4. Mise en œuvre

La mise en œuvre garantit que les contrôles sont appliqués de manière cohérente à tous les actifs et environnements souhaités.

Vous pouvez utiliser les outils de mise en œuvre des contrôles suivants dans l’ensemble des services AWS :

• AWS CloudFormation pour les déploiements de contrôles intégrés, associé à AWS Service Catalog, pour créer, partager, organiser et gérer vos modèles IaC sélectionnés
• AWS Config, pour les règles de contrôle et les étapes suivantes
• AWS Security Hub pour la mise en œuvre des règles de sécurité
• AWS Systems Manager pour le respect des politiques en matière de ressources et de services

5. Évaluation

L’évaluation évalue les performances des contrôles appliqués dans la pratique.

Vous pouvez évaluer dans quelle mesure votre organisation gère les risques grâce à la combinaison suivante de services AWS :

• AWS Audit Manager pour des évaluations traçables
• AWS Config pour vérifier le respect des règles de conformité
• Amazon Detective va analyser et visualiser les données de sécurité afin d’étudier les problèmes de sécurité potentiels
• Amazon GuardDuty pour effectuer une surveillance continue des menaces sur les comptes, les charges de travail et les données AWS
• AWS Inspector pour effectuer des évaluations automatisées des risques de vulnérabilité
• AWS Security Hub pour des évaluations permanentes des risques de sécurité

AWS Trusted Advisor est une autre option pour les organisations qui mettent en place leur cadre de gestion des risques. Le service AWS Trusted Advisor permet de vérifier l’optimisation des coûts, les performances, la sécurité, la tolérance aux pannes, les limites de service et l’excellence opérationnelle. Vous pouvez consulter les alertes, les actions recommandées et les ressources supplémentaires via le tableau de bord. Les clients AWS peuvent accéder à l’outil à l’adressehttps://console.aws.amazon.com/trustedadvisor/home.

6. Autorisation

La fonction d’autorisation formalise l’approche, les étapes précédentes, l’acceptation du risque résiduel et le suivi.

Autorisez en toute confiance en utilisant les services AWS suivants :

• AWS Artifact produit des rapports de sécurité et de conformité sur AWS et ISV
• AWS Audit Manager fournit des rapports aux décideurs
• AWS Config détaille les rapports de conformité et le suivi
• AWS Security Hub offre une vue en temps réel de l’état de la sécurité du système et des rapports

7. Surveillance

La surveillance continue garantit que le processus de gestion des risques reste à jour et intègre les risques nouveaux et changeants.

Bénéficiez d’une surveillance continue grâce aux services AWS suivants :

• AWS CloudWatch pour surveiller les applications, émettre des alertes en cas d’anomalies et fournir des informations sur l’état opérationnel à des fins de conformité
• AWS Config pour une surveillance continue de la conformité
• Amazon EventBridge va créer des réponses automatiques en fonction des déclencheurs d’autres services AWS
•  AWS Security Hub pour une surveillance continue de la sécurité
• AWS Systems Manager pour la surveillance des correctifs et de la configuration

Les organisations qui cherchent à améliorer leur résilience et leurs performances organisationnelles devraient mettre en œuvre un cadre de gestion des risques. Les cadres de gestion des risques aident à réduire et à comprendre les risques auxquels l’entreprise est exposée, ce qui rend ces inconnues beaucoup plus faciles à gérer.

Choisir un cadre standardisé et s’appuyer sur celui-ci est un bon moyen de démarrer, et AWS propose des services qui facilitent la mise en œuvre du cadre. En combinaison avec le cadre AWS Well-Architected, vous pouvez créer une base solide en matière de gouvernance, de gestion des risques et de conformité sur AWS.

Commencez à développer vos processus de gestion des risques sur AWS en créant un compte gratuit dès aujourd’hui.