Passer au contenu principal

Gérer les risques sur des applications et fournisseurs

Mis à jour il y a plus de 4 mois

Si vous souhaitez gérer vos risques sur vos applications et fournisseurs dans Tenacy, voici le cas d'usage que nous proposons à nos clients.

Dans Tenacy, les périmètres Application et Fournisseur ne peuvent être liés à des mesures de sécurité. L’objet Application et Fournisseur ne dispose donc pas d’un socle de sécurité, contrairement à un périmètre de sécurité (en interne à l'organisation).

Donc techniquement, Tenacy ne vous propose pas de suivre la conformité des applications et fournisseurs, pour la simple raison que chaque organisation n'est pas en mesure de savoir quelles mesures sont déployées par les prestataires pour être conformes.

Néanmoins, grâce à ce cas d'usage, vous serez en mesure de suivre vos risques simplement sur la solution.

🔎 N'hésitez pas à lire les articles de la rubrique Risques ou à vous former sur le module pour en savoir plus sur la gestion des risques dans Tenacy.

Créer un périmètre tampon

Comme vous le savez, la gestion des risques sur Tenacy n'est possible que si vous avez un périmètre dédié (a minima) pour y associer vos risques.

Donc pour cela, nous vous invitons à créer un périmètre "tampon" lié à l'ensemble de vos applications et/ou fournisseurs dans votre organisation.

💡Pour savoir comment créer un périmètre, lisez cet article.

Créer vos registres de risques

Une fois le périmètre créé, pour bien distinguer les différents risques sur les différentes applications et/ou fournisseurs, créez autant de registres que d'applications/fournisseurs concernés, en les nommant avec le nom de celui-ci.

Par exemple : Nous souhaitons suivre les risques de l'Application A, nous créons donc un registre de risques "Gestion des risques - Application A".

💡Comment créer un registre de risque ? C'est par ici que nous vous aidons.

Cela vous permet aussi d'avoir une vision claire et détailler par application/fournisseur et faire du reporting en conséquence.

Créer et/ou importer vos risques

Dans chaque registre de risques, vous pouvez donc importer les différents risques en les associant au périmètre tampon créé précédemment.

💡Comment créer ou importer des risques ? C'est par ici et ici que nous vous aidons.

Une fois les risques importés, nous pouvons donc mettre en place le plan de traitement.

Suivre le plan de traitement de vos risques

Une fois vos risques créés dans chaque registre, vous allez pouvoir créer les actions associées afin de suivre leur traitement.

💡Normalement, Tenacy suggère l'ajout de mesures de sécurité dans le plan de traitement de chaque risque, ce qui permet de calculer automatiquement le taux de traitement de ce dernier. Mais dans notre cas de figure, vu que le périmètre tampon contient plusieurs applications et/ou fournisseurs, il est difficile d'utiliser ce moyen (les mesures de sécurité) pour traiter ces risques, car chaque mesure de sécurité est propre à chaque application/fournisseur et que son niveau de performance est différent aussi.

Pareil que pour vos registres de risques, il vous faut donc créer autant de registres d'actions que d'applications et/ou fournisseurs concernés dans le module Plans d'actions. Donc un registre de risques équivaut à un registre d'actions.

Exemple : nous reprenons l'exemple précédent avec l'Application A. Nous avons donc créé le registre de risques "Gestion des risques - Application A" et nous créons ensuite le plan d'actions "Gestion des risques - Application A"

Dans chacun des registres, créez des actions simples et essayez le plus possible d'être explicite dans chaque action pour savoir à quel risque l'action correspond.

Par exemple :

Nous avons créé un risque pour l'application A : Défaut de réduction de la surface d'attaque de la plateforme A, visible dans le registre Gestion des risques - Application A, avec un identifiant de risque customisé :

et le registre d'actions associé Gestion des risques - Applications A avec les 2 actions à mener pour ce risque :

Les 2 actions disposent dans le titre de l'ID du risque concerné, ce qui nous permet de retrouver facilement les actions associées aux risques.

Une fois les actions créées, ajoutez dans la description du risque les actions à mener pour pallier ce risque :

Vous pouvez aussi ajouter à chaque action, dans la description, le pourcentage de réduction du risque (qui peut être utile lorsqu'on traite nos risques par les actions.

Forcer les valeurs de vos risques

Ensuite, pour chacun de vos risques, il faudra déterminer le niveau actuel de réduction courante et la cible. Cela se passe directement dans le paramétrage de votre risque, en cochant "forcer les valeurs ?" :

Nous vous conseillons de mettre systématiquement la cible à 100%. Avec les 2 actions que nous avons créées, nous considérons que chaque action permet de réduire de 50% le risque.

Actuellement, nos actions n'étant pas encore terminées, notre risque ressemble à cela :

Et le taux de traitement de celui-ci est à 0% :

Suivre votre plan de traitement des risques

Maintenant que la cible et la réduction courante est paramétrée, il vous suffit de planifier et réaliser vos actions pour réduire votre risque.

Si nous continuons avec l'exemple de l'article, nous considérons que notre action AC001 est terminée et que celle-ci permet de réduire mon risque de 50%.

Une fois que mon action est terminée, nous revenons sur le risque associé et nous modifions la réduction courante à 50%, ce qui permet d'avoir un taux de traitement du risque à 50% :

Articles connexes
Créer un risque
Créer un plan de traitement des risques
Créer une analyse de risques
Comprendre le taux de traitement d'un risque
Gérer ses audits dans Tenacy
Avez-vous trouvé la réponse à votre question ?