Analyse de risques

L’analyse de risque permet d'évaluer et prioriser les menaces pesant sur une organisation. Inspirée de méthodologies telles qu’EBIOS, elle permet d’aligner la stratégie de cybersécurité sur les risques les plus critiques.

Dans Qontrol, nous avons simplifié ce processus pour le rendre accessible et efficace, en intégrant notamment les ateliers 1 (Contexte, actifs et menaces) et 5 (Traitement des risques) d’EBIOS. Vous pouvez identifier vos risques, les évaluer et élaborer des plans de traitement, le tout de manière centralisée et intuitive.

Identification des risques

Pour gérer vos risques, accédez à “Analyse” dans le menu latéral. Cette section contient tous vos risques identifiés. Pour en ajouter de nouveaux, cliquez sur “Ajouter un risque”. Vous avez alors deux options :

Choisir un risque du catalogue

Qontrol propose un large catalogue de scénarios de risque types.

  • Recherchez le risque pertinent via la barre de recherche.

  • SĂ©lectionnez le risque souhaitĂ©.

  • Il sera automatiquement ajoutĂ© Ă  votre tableau d’analyse.

Créer un nouveau risque

Besoin de personnaliser vos scénarios de risque ? Aucun problème.

  • Cliquez sur “Ajouter un risque” et choisissez “Nouveau risque”.

  • Lancez l’assistant pour dĂ©finir un risque sur mesure.

Anatomie d’un risque

Un risque dans Qontrol est constitué des éléments suivants :

  • Nom du scĂ©nario de risque : Pour identifier le risque.

  • Description : DĂ©tails complĂ©mentaires sur le risque.

  • CatĂ©gorie : SĂ©lectionnez une catĂ©gorie parmi celles disponibles sur la plateforme.

  • CIA : DĂ©finissez les impacts sur la ConfidentialitĂ©, l’IntĂ©gritĂ© ou la DisponibilitĂ©.

Évaluation des risques

Une fois un risque ajouté, il peut être évalué via trois étapes :

Risque inhérent

Le risque inhérent représente l’impact du risque avant toute mesure corrective.

  • ProbabilitĂ© : Évaluez la probabilitĂ© sur une Ă©chelle de 1 Ă  4 (Peu probable Ă  Très probable).

  • GravitĂ© : Évaluez la gravitĂ© sur une Ă©chelle de 1 Ă  4 (Mineur Ă  Critique).

  • Niveau de risque : CalculĂ© en multipliant probabilitĂ© et gravitĂ© (exemple : ProbabilitĂ© = 2, GravitĂ© = 3 → Risque = 2 x 3 = 6).

Traitement des risques

Choisissez parmi quatre stratégies pour gérer le risque :

  • Mitiger : RĂ©duire le risque en ajoutant des contrĂ´les de sĂ©curitĂ©.

  • Accepter : Accepter le risque tel quel (impact faible ou coĂ»t de mitigation trop Ă©levĂ©).

  • Éviter : Supprimer le risque en abandonnant l’activitĂ© ou le processus Ă  risque.

  • TransfĂ©rer : TransfĂ©rer le risque Ă  une autre entitĂ© (assurance, partenaire, etc.).

Selon la méthode choisie, associez des contrôles de sécurité pour implémenter le plan de traitement.

Risque résiduel

Après traitement, évaluez le risque résiduel en répétant l’évaluation de probabilité et gravité. Ce nouveau niveau de risque reflète l’impact après mise en place des mesures correctives.

Synthèse des risques

Depuis le menu “Analyse”, accédez à la vue de synthèse de votre analyse de risque 👍

  • Visualisez rapidement les niveaux de risque inhĂ©rent et rĂ©siduel.

  • Consultez les plans de traitement associĂ©s Ă  chaque risque.

  • Parcourez la liste des risques classĂ©s par niveau de criticitĂ© pour prioriser vos actions.

PrécédentDiagnostic des usagesSuivantContrôles de sécurité

Dernière mise à jour