Contents
La gestion des risques web est un domaine de la gestion d’entreprise. Malheureusement, son importance est encore largement sous-estimée. En effet, jusqu’à maintenant, la gestion des risques web n’est traitée par aucune norme officielle de gestion des risques. C’est la raison pour laquelle encore très peu d’entreprises prennent aujourd’hui l’initiative de l’adopter. Et les peu d’entreprises qui le font ne disposent pas de références sur lesquelles baser leur stratégie et méthodes de gestion des risques ; un problème auquel nous allons remédier dans cet article.
La gestion des risques implique de comprendre, d’analyser et de traiter les risques pour s’assurer que les objectifs puissent être atteints et que les pertes ne soient pas très importantes. Dans cet article, nous aborderons plusieurs points importants : qu’est-ce que la gestion des risques web ? Sur quelles normes internationales de gestion de risques se baser pour gérer les risques web ? Quelles solutions pour traiter les risques web ?
Qu’est-ce que la gestion des risques web ?
Parce que le risque est inhérent à tout ce que nous faisons, le fait d’utiliser Internet expose les entreprises à des risques et menaces web qui génèrent des pertes (pertes financières, perte d’intégrité, atteinte à la reputation…). C’est au contrôle de ces éventuelles pertes que la gestion des risques web bute.
Dans la pratique, elle est l’utilisation de processus, de méthodes et d’outils pour identifier, évaluer et maitriser les risques. En principe, le processus en question comprend les étapes suivantes :
PREMIERE ETAPE : établissement du contexte
Il s’agit d’une étape préparatoire durant laquelle l’entreprise évalue les ressources financières, humaines et temps à allouer lors du processus de gestion des risques. La façon de conduire l’étude et les moyens d’intervention seront également fixés lors de cette étape.
DEUXIEME ETAPE : identification et évaluation des risques
Une fois les ressources fixées, l’équipe de gestion des risques peut débuter l’étude en procédant à l’identification et l’évaluation des risques. Le niveau de risque d’un évènement donné est jugé élevé si le résultat de son impact négatif multiplié par la probabilité qu’il survienne est aussi élevé. Les risques dont les niveaux sont importants devront obligatoirement faire l’objet de traitement, si évidemment les ressources allouées le permettent.
TROISIEME ETAPE : Traitement des risques
C’est l’étape où l’équipe de gestion des risques mettent en place les mesures pour traiter les risques. L’objectif est de faire réduire le niveau des risques, voire les supprimer complètement. Néanmoins, tous les risques ne seront pas traités. Certains vont être supportés, transférés ou partagés.
Norme ISO 31000 et Gestion des risques web
Les étapes citées précédemment ont été évoquées uniquement à titre indicatif. Elles sont trop succinctes pour vous permettre de comprendre dans les détails comment faire exactement pour gérer les risques web. Pour bénéficier de directives détaillées, précises et adaptées, vous devez vous référer à des normes internationales de gestion des risques. À ce sujet, nous vous suggérons de vous baser sur la famille de norme de gestion des risques codifiés par l’Organisation internationale de normalisation, l’ISO 31000 lors de l’établissement de votre stratégie de gestion des risques web. L’ISO 31000 vise l’établissement d’une vision commune des cadres, des processus et des pratiques de gestion des risques, tout en encourageant les dirigeants d’entreprise de trouver par leurs propres moyens des mesures de gestion des risques mises à jour et adaptées à leur structure.
L’ISO 31000 fournit des principes et des lignes directrices dites génériques. À ce titre, elle convient donc à tous les secteurs et tous les domaines, y compris le domaine du Web. Pour prendre connaissance des grands principes et lignes directrice de la gestion des risques, lisez ISO 31000:2018. Et pour les techniques d’évaluation des risques, référez-vous à l’ISO/CEI 31010:2009.
Les différents dangers et menaces du Web
Le Web est jonché de dangers et menaces en tout genre. Mais dans le lot, quatre en particulier affectent de façon importante les entreprises, à savoir les cyberattaques, les atteintes à l’e-reputation, le risque de distraction et pour finir les arnaques en ligne.
Les cyberattaques
En termes simples, une cyberattaque est une attaque lancée contre un ou plusieurs ordinateurs ou réseaux. Elle a pour objectif soit de neutraliser le ou les ordinateurs cibles ou de les mettre hors ligne, soit d’obtenir l’accès aux données des ordinateurs cibles ou encore afin de les d’administrer.
Aucune entreprise n’est à l’abri des cyberattaques. L’entreprise américaine Uber a avoué publiquement avoir été victime de cyberattaque à une certaine époque. Des données personnelles de 57 millions de ses clients auraient été volées lors de cette attaque et l’entreprise a dû verser beaucoup d’argent, dont la somme n’a pas été divulguée, aux pirates pour acheter leurs silences.
Les cyberattaques les plus courantes sont les malwares, l’hameçonnage, le ransomware, le déni de service, man in the middle, cryptojacking, Injection SQL et pour finir le zero-day exploits.
Les atteintes à l’e-réputation
Les enjeux e-reputation sont énormes, car une mauvaise réputation en ligne peut en très peu de temps engloutir une marque. Outre les avis négatifs d’internautes, il existe également d’innombrables « destructeurs » d’e-réputation dont les entreprises devront se soucier en permanence.
Risque de distraction
Selon une étude menée par le site Salary.com, les employés américains passeraient plus de 2 heures par jour à surfer sur le Web sans but précis ou pour se distraire durant leurs heures de travail. Et la situation est plus ou moins la même partout dans le monde.
Les arnaques en ligne
Les entreprises seraient les cibles privilégiées des arnaqueurs, car elles sont beaucoup plus d’argent que les simples particuliers. Par mégarde, ou à cause de stratégie bien rodée de la part des arnaqueurs, les entreprises déposent de l’argent dans des banques en ligne qui en réalité n’existent même pas, collaborent sans le savoir avec des commerçants qui ne compteront jamais livrer la marchandise ou des prestataires qui ne vont jamais livrer le travail déjà payé à l’avance. Bref, les scénarios sont nombreux.
Quelques solutions de gestion des risques web
Les mesures qui vont suivre vont vous permettre de limiter les risques web auxquels votre entreprise est confrontée régulièrement.
Consacrer une équipe à la détection des arnaques en ligne
Cette nouvelle équipe, ou nouveau département si votre entreprise est très grande, aura pour mission de détecter les éventuelles arnaques. Il s’assure que les commerçants, clients ou fournisseurs en ligne avec qui l’entreprise compte collaborer sont vraiment ce qu’ils disent. Cela est possible en prenant le temps de bien vérifier leur présence en ligne (site internet, réseaux sociaux…), si leur site est en règle ou non, s’ils ont une existence légale, s’ils ont un bureau… Pour réduire considérablement le risque de se faire arnaquer, les professionnels dans le domaine suggèrent de procéder à une analyse plus poussée des contenus publiés sur les sites et les réseaux sociaux. Si les contenus, y compris les échanges mails et téléphoniques, sont jugés douteux ou peu crédibles, alors l’entreprise devra refuser la collaboration.
Surveillance e-reputation
Il existe en ce moment des outils qui permettent de savoir ce que les internautes pensent de votre entreprise. Les outils e-reputation comme Google Alerts, WebMii, Radarly sont très efficaces pour ce qui est de détecter les avis négatifs déposés sur forums et réseaux sociaux, ainsi que les articles de sites ou de blogs qui vous concernent. Certains outils permettent même la modération automatique et instantanée de commentaires et posts négatifs sur vos différents comptes réseaux sociaux.
La surveillance des postes de travail
Au travail, les salariés surfent plusieurs heures par jour à des fins personnelles. Cela engendre beaucoup de problèmes : baisse de productivité, risque e-reputation, virus, risque de piratage… En effet, le fait que les employés utilisent les ordinateurs de l’entreprise pour visiter des sites web, télécharger des vidéos ou commentent des forums exposent celle-ci à des risques de piratage et d’infection de virus. Pour éviter cela, il est envisageable de mettre en place un système de surveillance ou encore de bloquer l’accès à certains sites.
Investir sur des logiciels de sécurité
Pour gérer les risques de cyberattaques (malwares, hameçonnage, ransomware, déni de service, man in the middle, cryptojacking, injection SQL, Zero-day exploits…), vous devez vous équiper des meilleurs logiciels de sécurité web et informatiques qui assureront la protection de votre système informatique, votre système réseau et vos sites web. Toutes les failles de sécurité doivent être identifiées et supprimées, car les pirates disposent de programmes de détection automatique de failles potentielles au niveau de votre système de sécurité et n’hésiteront pas les exploiter s’ils en trouvent.
MEMOGuard – une solution logicielle de Gestion des risques web
MEMOGuard vous permet d’être informé d’éventuels dangers et attaques web lancés à l’encontre de votre entreprise ou de votre marque. Ces attaques et dangers peuvent être des attaques par force brute, malware, Hameçonnage, attaque sur vos comptes réseaux sociaux, atteinte à l’e-reputation, utilisateur non reconnu et bien d’autres encore. Il s’agit d’un système de gestion d’astreinte et d’alarmes sécurisé qui peut se connecter ou s’interfacer avec divers systèmes de surveillance comme vos logiciels de monitoring informatique et réseau (Nagios, Centreon…), vos outils e-reputation (Google Alertes, Notify, Talkwalker Alerts, Webmii, Mention…), vos logiciels de surveillance sites web ou encore vos logiciels administrateurs de réseaux sociaux (Netvibes, Hootsuite, Tweetdeck…) par exemple.
Le rôle de MEMOGuard consiste à vous prévenir dès que ces logiciels détectent un danger. Il dispose pour cela de plusieurs canaux de diffusion : SMS, email, téléphone fixe, Gsm, pager, application, contact sec, télécopie, imprimante, haut-parleur (carte son), panneau lumineux et radio 5 tons. Avant autant de canaux de diffusion disponibles, vous pouvez être sûr que votre système d’alarme et de diffusion d’alerte web soit des plus performants. Il peut atteindre tout le monde, qu’il soit au bureau ou non et quelle que soit l’heure.
Les informations (numéro de téléphone, adresse mail…) qui concernent les membres du personnel d’astreinte sont à saisir dans le logiciel. Dès qu’une menace est détectée par les systèmes de surveillance, ces personnes seront automatiquement informées de la situation via MEMOGuard.
Notez aussi que la version complète de MEMOGuard autorise une connexion avec plusieurs systèmes de surveillance et la définition de plusieurs équipes d’astreinte (exemple : équipe sécurité informatique, équipe e-reputation, équipe sites web, équipe réseau…). De cette manière, si par exemple une attaque par force brute sur l’un des sites web de l’entreprise a été détectée, la seule équipe qui sera prévenue de la situation sera l’équipe chargée des sites web.