Sections
- Concepts clés : risque, menace et impact
- Les 4 grandes stratégies de gestion des risques en sécurité
- Principaux types de menaces IT
- Comment concevoir un plan efficace de réduction des risques
- Stratégies pratiques pour anticiper les menaces
- Outils essentiels pour protéger l’infrastructure
- Normes clés pour la sécurité IT
- Cas pratique : comment Pandora SIEM aide à protéger votre entreprise
- La formation et la culture de sécurité dans l’atténuation des risques
Dans la vie, il est impossible d’éliminer complètement les risques. Mais en tant que responsables de la sécurité, nous devons trouver un juste équilibre : réduire les risques au maximum sans compromettre les opérations de l’organisation.
Trouver cet équilibre est loin d’être simple. Commençons donc par le début.
Concepts clés : risque, menace et impact
Avant toute chose, mettons-nous d’accord sur les définitions. Lorsqu’on parle d’atténuation des risques, il est essentiel de bien comprendre les concepts de base.
- Risque. La probabilité qu’une menace entraîne des dommages opérationnels, financiers ou de réputation. Cette probabilité ne sera jamais nulle, mais notre mission est de la réduire autant que possible — sans électrocuter l’utilisateur chaque fois qu’il clique là où il ne faut pas (la facture d’électricité serait ruineuse).
- Menace. Un événement potentiellement nuisible, comme un ransomware ou une panne matérielle.
- Impact. La conséquence de la réalisation d’une menace. Il doit être quantifiable, par exemple en temps d’arrêt, en amendes ou en pertes de chiffre d’affaires.
Une stratégie de sécurité solide consiste à équilibrer ces trois facteurs, comme un jongleur essayant de maintenir des assiettes en rotation sans les faire tomber. Cela implique de prendre des risques calculés et d’allouer les ressources selon l’impact et la gravité des menaces.
Les 4 grandes stratégies de gestion des risques en sécurité
Traditionnellement, il existe quatre approches pour gérer les risques et les menaces :
- L’acceptation. Comme dans la vie, certaines choses ne peuvent être changées. Cette stratégie consiste à accepter le risque lorsque le coût de sa réduction est supérieur à l’impact potentiel. Exemple : un serveur trop coûteux à remplacer redémarre une fois par mois, entraînant quelques secondes d’indisponibilité. Le coût étant inférieur au remplacement, on accepte ce risque.
- Le transfert. Faire supporter le risque à un tiers, comme une compagnie d’assurance ou un fournisseur SaaS. Externaliser certains services transfère une partie du risque à l’équipe de sécurité du prestataire. Avec les assurances, il faut évaluer non seulement la couverture financière, mais aussi l’impact réputationnel à moyen terme.
- La réduction. AMettre en place des contrôles techniques (patchs, firewalls…), des processus (sauvegardes, formations à la sécurité…) et des outils (SIEM, EDR…). C’est la stratégie principale au quotidien.
- L’élimination. Bien que le risque zéro n’existe pas, certains risques peuvent être éliminés. Exemple : déconnecter une machine d’Internet pour supprimer les vecteurs d’attaque en ligne. Idem pour la mise hors service de systèmes obsolètes comme Windows XP.
Principaux types de menaces IT
Le ransomware n’est qu’une menace parmi tant d’autres qui pèsent sur l’infrastructure IT, On peut classer les menaces en plusieurs catégories :
- Menaces opérationnelles. Pannes et erreurs, qu’elles viennent des machines ou des personnes qui les utilisent (techniciens mal configurant un serveur, ou utilisateurs capables de provoquer un désastre sans avoir « touché à rien »).
- Menaces de sécurité. Elles évoluent à une vitesse vertigineuse : phishing, identifiants compromis, ransomware, attaques DDoS, etc.
- Menaces réglementaires. De plus en plus importantes avec le durcissement des lois. Le risque est ici constitué des amendes et sanctions en cas de non-conformité.
- Menaces de réputation. Les plus imprévisibles et délicates à mesurer. Une fois la réputation entachée, la confiance des clients s’effrite, les contrats se perdent et la survie même de l’entreprise est menacée.
Ces types de menaces sont interconnectés : une faille opérationnelle ou de sécurité peut affecter la réputation et entraîner des sanctions.
Par exemple, Gitlab a connu une panne opérationnelle en 2017 sur une base de données de production, provoquant des heures d’indisponibilité et la perte de 300 Go de données… et de réputation. De même, une coupure dans un centre de données AWS en 2021 a mis hors service des entreprises comme Coinbase ou Disney+, montrant qu’en dépit de la stratégie de transfert, le risque ne se crée ni ne se détruit, il se transforme simplement.
De la même façon, on a l’amende record infligée à Amazon de 746 millions d’euros (la petite monnaie dans la poche de pantalon de Bezos) pour non-respect du RGPD. Ou encore les 18,5 millions de Target (plus 202 millions de frais juridiques, montrant que les avocats sont une autre menace) pour le vol de 40 millions de numéros de cartes de crédit et violation du PCI-DSS.
En termes de réputation, l’affaire Cambridge Analytica a causé plus de tort à Facebook que n’importe quelle déclaration de Zuckerberg, tandis que le piratage de Sony Pictures en 2014 a laissé l’impression qu’il valait mieux ne même pas leur confier le nom du chat.
Comment concevoir un plan efficace de réduction des risques
Dans un tel contexte, tout ce qui ne serait pas un plan global sera insuffisant. Il ne s’agit pas d’un document statique oublié dans un tiroir, murmurant pourquoi on l’a abandonné, mais bien d’une approche active alignée sur les meilleures pratiques et normes telles que l’ISO 31000 ou le NIS SP 800-37 pour la gestion des risques.
Les étapes du plan :
- Identification des risques.
- Analyse.
- Prioritation.
- Supervisiong.
Analysons chaque étape.
1. Réaliser un inventaire
La cybersécurité est le plus vaste des continents et il est impossible de tout couvrir — mais ce n’est pas nécessaire. Chaque organisation possède un modèle de menaces différent et la première étape consiste à identifier celles qui sont prioritaires pour nos actifs critiques (données, systèmes et services).
Comme nous n’avons pas un budget illimité et que tous les risques ne se valent pas, nous devons :
- Réaliser un inventaire. Avec des outils comme Pandora ITSM, qui cartographient l’ensemble de nos actifs et associent les tickets à chaque élément pour nous simplifier la tâche.
- Scanner les vulnérabilités de chaque élément. Avec des applications comme Nessus ou OpenVAS, afin de nous assurer que nous ne sommes pas exposés à une CVE (Common Vulnerabilities and Exposures). De plus, des audits de code doivent être réalisés sur nos applications critiques.
- Anticiper les menaces. Toute approche qui ne serait pas proactive est vouée à l’échec. C’est pourquoi, en utilisant des sources telles que MITRE ATT&CK, nous restons à jour et anticipons les nouvelles menaces potentielles.
Le résultat concret de cette étape est une liste de risques associés à notre infrastructure. Par exemple, notre ancien ERP ne reçoit plus de mises à jour de sécurité, nous exposant ainsi aux attaques SQLi.
2. Analyse des risques
Tous les risques ne se valent pas. Certains peuvent être improbables, d’autres plausibles mais avec un impact minimal. C’est pourquoi nous devons évaluer ces deux facteurs et classer les risques identifiés selon leur probabilité et leur impact. Cela nous permet d’établir un tableau ou une matrice indiquant si chaque facteur de risque est faible, moyen ou élevé.
Par exemple, en suivant le principe de sauvegarde 3-2-1, la copie hors site peut être difficile d’accès, ce qui rend la probabilité de brèche faible, mais son impact élevé en cas de survenance.
Si nous travaillons pour une organisation mature disposant de données historiques, nous pouvons réaliser une analyse quantitative en plus de l’analyse qualitative. Cela implique de se familiariser avec des concepts de gestion des risques tels que :
- ARO (Annual Rate of Ocurrence): la probabilité que le risque se réalise sur une année.
- SLE (Single Loss Expectancy): la perte engendrée si le risque se réalise.
- ALE (Annualized Loss Expectancy): la perte annuelle attendue pour un risque donné. Elle correspond généralement au produit de la probabilité par la perte associée à chaque événement (ARO × SLE).
Le résultat tangible de cette phase est un classement des risques (qualitatif, quantitatif ou les deux) selon leur niveau de criticité.
3. Priorisation des risques
Au cours de notre travail, nous aurons parfois l’impression d’avoir mille fronts ouverts avec seulement quelques soldats disponibles. L’étape précédente sert à les affecter dans les bonnes tranchées. Autrement dit, à allouer les ressources disponibles aux menaces présentant le plus grand impact.
Par exemple, nous avons une liste qui ferait pâlir la liste de courses hebdomadaire. Nous y identifions un risque DDoS avec un ALE calculé de 300 000 euros, car nous sommes une boutique en ligne et chaque seconde d’indisponibilité compte. De la même manière, nous analysons que, compte tenu des données clients à protéger, le RGPD pourrait nous infliger une lourde amende de plus de 100 000 euros si nous ne les sécurisons pas correctement.
Le résultat de cette étape serait une liste d’actions immédiates, comme par exemple, mettre en place un WAF (Web Application Firewall) et/ou collaborer avec Cloudflare pour atténuer le risque DDoS, ainsi que vérifier les points du RGPD afin de réduire le montant potentiel de l’amende.
Ensuite, nous continuerons avec les autres risques… ceux qui ont moins de zéros derrière.
4. Suivi et supervision
Vider l’océan à la louche serait plus facile que de contenir toutes les menaces. En plus, elles se reproduisent plus vite que les tribbles (référence pour les vrais geeks qui trahissent mon âge et mes obsessions). C’est pourquoi, après les étapes précédentes, le travail ne fait que commencer.
À ce stade, nous devons valider l’efficacité des mesures mises en place et continuer à nous adapter aux nouvelles menaces qui émergent chaque jour.
Autrement dit, faire notre travail, dont la performance est généralement évaluée à l’aide d’indicateurs tels que :
- MTTD (Mean Time to Detect) : temps moyen pour détecter un incident. Plus il est bas, mieux c’est — ce qu’on obtient par exemple avec un bon SIEM.
- MTTR (Mean Time to Respond) : temps moyen pour contenir une menace. Ici, l’automatisation des mesures peut nous aider, par exemple lorsqu’un EDR met automatiquement en quarantaine un poste détecté comme à risque de ransomware.
- Taux de faux positifs : en optimisant et affinant les règles de détection et les outils, afin d’éviter d’être submergés sous une montagne d’alertes.
Stratégies pratiques pour anticiper les menaces
Attendre n’est ni une manière de vivre, ni une façon de défendre notre infrastructure IT. C’est pourquoi la gestion des risques doit être proactive et anticipative, en partant du principe qu’il ne s’agit pas de savoir si une menace se concrétisera, mais quand et en mettant en œuvre des stratégies capables de les atténuer immédiatement. En suivant le schéma des 4 stratégies classiques que nous avons vu, nous pouvons appliquer :
Réduction des risques. Réduire la probabilité d’une brèche et de ses conséquences grâce à :
- Les meilleures pratiques de conception et de sécurité, comme la segmentation des réseaux pour éviter les mouvements latéraux des attaquants.
- La mise en place d’un SIEM, qui alerte en temps réel sur tout danger et peut même automatiser des réponses immédiates.
- Une politique stricte de sauvegardes, minimisant les dégâts causés par les malwares.
- Des défenses contre les attaques les plus courantes, telles que les DDoS, via des pare-feux périmétriques et des services comme Cloudflare.
- La formation des utilisateurs, afin de les sensibiliser aux nouvelles attaques et aux protections à adopter.
Transfert des risques. Impliquant des stratégies telles que :
- Des assurances contre les catastrophes, car l’alternative serait de faire de l’acrobatie sans filet.
- La délégation de la sécurité à des équipes et entreprises réputées dans les domaines où nous ne sommes pas experts, ou en faisant confiance aux équipes de sécurité de clouds comme celui de Google.
- Des services tiers, comme un WAF proposé par des sociétés telles qu’Imperva contre le trafic malveillant, ou un CDN (Content Delivery Network) d’Akamai ou d’autres.
Élimination des risques. Impossibles à supprimer totalement, mais fortement réduits sur certains aspects grâce à des tactiques telles que :
- L’implémentation d’un modèle Zero Trust où chaque accès est vérifié, y compris en interne.
- L’instauration d’un système strict de permissions et d’accès : seules les personnes indispensables peuvent accéder à certaines parties du système ou aux données, réduisant ainsi le nombre d’utilisateurs capables de causer des dommages, volontaires ou non.
- D’autres actions comme, par exemple, créer un site web statique si aucune interaction utilisateur n’est requise, supprimant ainsi des vecteurs d’attaque comme la base de données.
Acceptation des risques. Lorsque ceux-ci ont un faible impact ou que leur atténuation aurait un coût prohibitif. Par exemple, en acceptant qu’un certain pourcentage de phishing passe à travers nos défenses.
Outils essentiels pour protéger l’infrastructure
Une grande partie de la cybersécurité quotidienne repose sur l’utilisation d’outils spécialisés. Sans eux, il est impossible de faire face à la situation actuelle en matière de risques.
IDS, firewalls, SOAR… les options sont nombreuses et nous devons déployer les outils nécessaires selon l’analyse des risques réalisée dans les étapes précédentes. Mais au centre de ces outils se trouve le SIEM, le centre de commande, l’ordinateur central de l’Enterprise, qui permet la proactivité et l’action instantanée face aux brèches. Cela grâce aux capacités d’un SIEM comme celui de Pandora pour :
- Unifier les informations provenant de différentes sources via les logs (serveurs, endpoints, réseau…).
- Corréler les événements en détectant des schémas d’attaque complexes.
- Alerter immédiatement le SOC, en créant des tickets automatiquement comme le fait Pandora SIEM.
- Déployer des mesures automatisées, par exemple bloquer les IP à l’origine d’une attaque DDoS.
L’essentiel est que le SIEM agit comme l’œil de Sauron qui voit tout et constitue la première ligne de défense active, envoyant les premières réponses automatisées sur le champ de bataille.
Sans lui, les autres applications mettront en place une défense fragmentée, sans vision globale et sans communication entre les outils, laissant passer sous le radar des attaques sophistiquées comportant de nombreuses étapes.
Normes clés pour la sécurité IT
En technologie, il faut répondre à de nombreux maîtres, et l’un des plus importants est la législation en matière de cybersécurité, particulièrement en ces temps troublés.
Tout responsable doit enfiler sa casquette d’avocat et bien connaître la réglementation qui le concerne.
Par exemple, la directive européenne NIS2 ds’applique aux entreprises considérées comme critiques, comme celles du secteur de l’énergie ; le PCI-DSS nous concerne si nous traitons des paiements en ligne ; le RGPD s’applique à nous tous ; et l’ISO 27001 n’est pas une loi obligatoire mais constitue un cadre d’excellence et de bonnes pratiques qui nous apportera la confiance des clients et des institutions.
Ces lois exigent des audits, une supervision active, la tenue de journaux (logs)… Nous devons connaître leurs exigences, mais voici la clé pour toutes les respecter :
Si nous appliquons les meilleures pratiques de cybersécurité, restons à la pointe de l’excellence et mettons en œuvre des outils professionnels pour nous accompagner, nous serons toujours en avance sur les exigences et resterons conformes.
La législation a généralement un léger retard par rapport à l’innovation, ce qui est normal. En restant informés et en adoptant ces innovations, nous nous assurons de notre conformité.
Cas pratique : comment Pandora SIEM aide à protéger votre entreprise
eu importe votre niveau d’expertise, vous ne pourrez pas stopper le tsunami constant de menaces sans outils spécialisés. Bonne chance si vous comptez vous user les yeux sur les logs ou gaspiller votre expertise à mitiger les DDoS et le énième phishing, pendant que des acteurs malveillants exploitent des attaques complexes qui passent parce que vous n’avez pas eu le temps de les voir venir.
C’est pourquoi il est essentiel d’utiliser des outils qui intègrent également les meilleures pratiques, et de disposer de ce chef d’orchestre qu’est le SIEM.
Dans le cas de Pandora SIEM, il permet notamment :
1. Corrélation avancée
Détection des menaces complexes en croisant en quelques secondes les données et la télémétrie des réseaux, endpoints et applications, renforcée par l’IA pour la gestion de l’ensemble de ces données Et cela quel que soit l’environnement : Red Hat Windows, macOS, ou tous à la fois.
Example : identification d’une attaque APT (schéma : VPN + téléchargements massifs + PowerShell suspect), permettant d’éviter un vol de données.
2. Règles personnalisées
Adaptation de la détection aux risques propres à notre secteur et aux exigences réglementaires.
Example : règle anti-fraude pour notre société financière bloquant les transactions supérieures à 10 000 € depuis des localisations anormales, réduisant ainsi les fraudes.
3. Réponse automatisée ajustabl
MAtténuation des menaces sans intervention humaine et alerte transmise au SOC pour les mesures complémentaires.
Example : neutralisation d’un ransomware en mettant en quarantaine le poste concerné, en le déconnectant du réseau et en alertant le SOC.
4. Audits sans effort
Génération des preuves et des rapports nécessaires aux normes réglementaires en un simple clic.
La formation et la culture de sécurité dans l’atténuation des risques
Une chaîne est aussi solide que son maillon le plus faible, et en cybersécurité, ce maillon est souvent l’utilisateur qui parvient toujours à faire exactement ce qu’on lui a répété mille fois de ne pas faire.
Les acteurs malveillants en profitent, exploitant les biais cognitifs et psychologiques que nous avons tous à travers leurs attaques d’ingénierie sociale, combiné au fait que ces utilisateurs ne sont pas des experts dans ce domaine et que changer les habitudes est difficile.
Il n’est pas nécessaire de les transformer en experts pour une gestion des risques efficace. Heureusement, une formation continue sur les points clés et les attaques les plus fréquentes (comme le phishing) permet de neutraliser la majorité des menaces.
Cela montre clairement que cette atténuation — et la sécurité en général — repose sur les processus, les outils, les connaissances et les personnes. Toute stratégie de réduction des risques qui négligerait l’un de ces piliers rendrait l’édifice fragile et, tôt ou tard, il s’effondrerait.
Au-delà des limites, au-delà des attentes









