Évaluation de l’impact des risques dans la reprise après sinistre : par où commencer

L’évaluation des risques est l’une des premières étapes nécessaires pour trouver un moyen de les réduire et donc de protéger votre infrastructure. La création d’un plan de reprise après sinistre efficace commence par la recherche des menaces potentielles et des vulnérabilités de vos éléments d’infrastructure, ainsi que des moyens de réagir à celles-ci. L’évaluation des risques n’est pas un processus ponctuel. Vous devriez mettre régulièrement à jour vos politiques d’évaluation des risques, surtout si vous exploitez une infrastructure en constante évolution. Notre article vise à expliquer l’importance de l’évaluation de l’impact des risques dans la planification de la reprise après sinistre et à fournir des informations de base sur la manière dont l’évaluation des risques est effectuée.

Évaluation de l’impact des risques : Concepts connexes

L’évaluation des risques est un élément important à la fois dans la planification de la reprise après sinistre (DR) et dans la continuité des activités (BC). Bien qu’expliquer en détail la DR et la BC nécessiterait deux articles de blog séparés, voici un bref aperçu des deux pratiques :

• Le plan de reprise après sinistre est un document qui contient un algorithme bien défini des actions à entreprendre en cas d’incident. Son but est de simplifier la récupération des effets négatifs causés par l’incident. Les instructions décrites dans un plan de DR sont destinées à aider votre entreprise à maintenir ou à reprendre rapidement les opérations critiques, réduisant ainsi au minimum les temps d’arrêt.
• Le plan de continuité des affaires fait référence à un ensemble d’actions visant à prévenir les menaces potentielles et à récupérer des incidents auxquels votre entreprise est confrontée. L’idée principale est de s’assurer que les employés et les actifs de votre entreprise sont protégés et en mesure de reprendre les opérations en cas de catastrophe. Un plan de continuité des activités est plus large qu’un plan de reprise d’activité : il vise à garantir que l’entreprise continue de fonctionner après une catastrophe, tandis qu’un plan de reprise d’activité est conçu pour atténuer rapidement les effets négatifs de cette dernière.

L’évaluation des risques et de toutes les vulnérabilités potentielles auxquelles votre entreprise peut être exposée est effectuée avant la mise en œuvre d’un plan de reprise d’activité. Une bonne pratique est de commencer juste après avoir réalisé une analyse d’impact sur les activités (BIA), un autre élément important d’une stratégie de reprise d’activité, visant à identifier les conséquences potentielles si l’une de vos fonctions ou processus commerciaux est interrompu.

L’évaluation des risques de reprise après sinistre est un document qui contient une description des risques potentiels pour le fonctionnement d’une organisation. Il couvre à la fois les catastrophes naturelles et les catastrophes d’origine humaine et estime la probabilité de chaque scénario se produisant. Les résultats de l’estimation sont ensuite multipliés par les conséquences d’un incident. La valeur que vous obtenez définit le niveau de protection de votre organisation contre une menace donnée. Certains des sujets de base que le document est censé mettre en évidence sont les suivants :

• Les dommages potentiels que l’incident peut causer ;
• La quantité de temps et d’efforts nécessaires pour atténuer les effets de l’incident et les coûts associés ;
• Les mesures préventives pour réduire les risques de catastrophe ;
• Les instructions pour réduire la gravité d’un incident.

L’évaluation des risques est un processus chronophage qui nécessite à la fois des compétences et une attention aux détails. Lors de la préparation de ce document, il est préférable de suivre les directives, de prêter attention aux outils d’évaluation des risques et de télécharger un exemple d’évaluation des risques de reprise après sinistre pour une meilleure compréhension.

Comment effectuer une évaluation de l’impact des risques

Généralement, le processus de réalisation d’une évaluation des risques de reprise après sinistre implique les étapes décrites ci-dessous. Selon les besoins de votre organisation, vous pouvez inclure des étapes supplémentaires ou sauter certaines de celles qui sont répertoriées.

1. Énumérer les actifs

Définir les actifs les plus précieux pour votre organisation est la première étape pour les protéger. Les actifs sont un terme assez large qui peut inclure des serveurs, des sites web et des applications, des informations sur la base de clients, des bases de données, des documents papier ou électroniques, etc., et même des membres clés de l’équipe.

Pour accomplir cette tâche, envisagez de créer un questionnaire. Il est important de recevoir des retours d’information non seulement des principaux responsables et chefs de service, mais de tous les employés de l’entreprise. Cela peut vous aider à prendre conscience de choses qui auraient pu être négligées. Commencez à documenter les risques et menaces spécifiques au sein de chaque département.

2. Identifier les risques

Plus précisément, vous devriez définir ce qui pourrait affecter chacun de vos actifs et de quelle manière. Cela inclut les logiciels, le matériel, les données et les employés. Assurez-vous de suivre une approche intégrée qui aborde le plus large éventail de formes et de types de catastrophes possibles. Ceux-ci sont :

• Les catastrophes naturelles. Même si votre infrastructure est située dans une zone peu susceptible de subir des ouragans ou des tremblements de terre, vous ne pouvez pas ignorer la possibilité d’incendies et de ruptures de canalisations. Prenez cela en compte lorsque vous décidez où placer vos serveurs.
• La défaillance du système. La probabilité de défaillance dépend de la qualité de votre équipement informatique et des efforts de maintenance de votre part. Il existe toujours un risque qu’une machine s’éteigne et cesse de fonctionner sans aucun avertissement ou message d’erreur. De plus, la défaillance du système peut résulter de problèmes logiciels graves, tels qu’une mauvaise ligne de code, par exemple.
• Erreur accidentelle. La formation de vos employés, le temps de repos suffisant, la mise en œuvre de protocoles de sécurité et d’autres mesures préventives n’éliminent pas complètement les risques d’erreurs humaines. Certains de vos employés peuvent supprimer involontairement un fichier important, cliquer sur un lien malveillant ou endommager accidentellement un équipement.
• Activités malveillantes. Ce groupe de risques se présente sous différentes formes, des attaques de pirates traditionnelles ciblant vos données aux menaces internes telles que l’abus d’identifiants et la modification ou la destruction intentionnelle de données.

3. Trouvez les vulnérabilités

Il est important d’identifier les faiblesses qui peuvent être exploitées pour obtenir ou nuire aux actifs de votre entreprise. Pour effectuer une action non autorisée, un attaquant a besoin d’un vecteur d’attaque (c’est-à-dire une méthode) qui peut être appliqué dans une tentative d’exploiter une faiblesse du système. La somme de ces vecteurs d’attaque dans votre infrastructure informatique est connue sous le nom de surface d’attaque. L’idée clé est de réduire la surface d’attaque au minimum.

Assurez-vous d’évaluer la probabilité d’exploitation de la vulnérabilité. C’est la première étape pour prioriser les failles de sécurité et allouer des ressources pour les éliminer. Selon les statistiques basées sur le Common Vulnerability Scoring System (CVSS), une norme de l’industrie pour évaluer la gravité des vulnérabilités, les failles de haute gravité sont exploitées dans la plupart des cas. Cependant, ce n’est pas une règle sans exceptions.

4. Évaluer les conséquences potentielles

Effectuez une analyse d’impact des risques pour déterminer les pertes financières que votre entreprise pourrait subir si certains de vos actifs étaient endommagés. En plus des revenus perdus, les conséquences potentielles peuvent inclure la perte de données, des dommages à votre environnement informatique résultant d’une période d’arrêt, des dommages à la réputation et des problèmes juridiques. Notez que les pertes de surface peuvent ne représenter que le début. Un incident peut entraîner des coûts cachés associés aux relations publiques et aux enquêtes, ainsi qu’à des hausses de primes d’assurance et à des frais juridiques.

5. Prioriser les risques

Définissez le niveau de risque pour chaque paire de menace et de vulnérabilité. Basez votre évaluation sur une combinaison de deux facteurs : la probabilité d’exploitation de la vulnérabilité et les conséquences potentielles que cet incident pourrait avoir. Essayez d’estimer combien de revenus votre entreprise pourrait perdre en raison de l’événement à risque.

La priorisation devrait être basée sur la corrélation entre le niveau d’impact et la probabilité qu’un incident donné se produise. Si l’incident peut entraîner des impacts négatifs graves et est très susceptible de se produire, la question devrait être considérée comme une priorité absolue. Chacune des menaces devrait se voir attribuer une valeur respective, de « très élevée » (risque élevé associé à des pertes monétaires importantes) à « très faible » (faible probabilité et dommages insignifiants).

6. Documenter les résultats

La dernière étape de l’évaluation de l’impact des risques consiste à préparer un rapport ou un document qui couvre toutes les estimations mentionnées ci-dessus. Par la suite, ce document peut vous aider dans la planification budgétaire, l’allocation des ressources, la mise en œuvre des politiques de sécurité, etc. Le document doit décrire les vulnérabilités, l’impact potentiel et la probabilité d’occurrence de chaque menace. Pour une meilleure compréhension, voir un exemple ci-dessous:

Menace	Vulnérabilité	Actif	Impact	Probabilité	Risque	Précautions
Surchauffe dans la salle des serveurs (panne système) – Élevé	Le système de climatisation est vieux et mal entretenu – Élevé	Serveurs – Critique	Les services, sites Web, applications, etc. seront indisponibles pendant quelques heures – Critique	La température dans les salles des serveurs est de 40 °C – Élevée	De lourdes pertes financières pour chaque heure d’arrêt – Élevées	Acheter un nouvel climatiseur & assurer un meilleur entretien

Juste après le début, vous aurez une meilleure compréhension des opérations et des processus de votre organisation, ainsi que des moyens de les optimiser. Sur la base de l’évaluation de l’impact des risques, créez une politique régulant le champ d’action que votre entreprise doit prendre chaque mois, chaque trimestre ou chaque année. Essayez de déterminer comment chacune des menaces doit être abordée et atténuée, et quand effectuer l’évaluation des risques subséquente.

Préparez-vous à l’avance

Ignorer l’importance de préparer un rapport complet d’évaluation des risques est l’un des risques de récupération après sinistre les plus courants. Ce rapport est un outil éprouvé pour réduire la probabilité qu’un incident se produise, atténuer ses effets négatifs et minimiser les temps d’arrêt.

Prendre des sauvegardes régulières et stocker des copies de sauvegarde hors du site est une pratique judicieuse qui garantit la récupérabilité de vos données dans un large éventail de scénarios, allant de la suppression accidentelle à la destruction totale d’une salle serveur. De plus, avec une réplique valide en place, vous pouvez恢复 des incidents en quelques clics.

NAKIVO Backup & Replication offre une large gamme d’outils et de fonctionnalités pour vous aider à sauvegarder et à répliquer vos charges de travail. Vous trouverez ci-dessous une brève présentation de notre fonctionnalité :

Sauvegarde de données

• Sauvegarder des charges de travail virtuelles, physiques et cloud.
• Recupération instantanée de fichiers, dossiers et objets d’applications à partir de sauvegardes compressées et déduplicées. Vous pouvez restaurer les données vers la source ou vers un emplacement personnalisé. La fonction fonctionne dans un réseau local (LAN) et un réseau large (WAN), avec la restauration de toutes les permissions de fichier.
• Envoyez des copies de vos sauvegardes hors du site pour s’assurer qu’elles ne disparaissent jamais à cause de la suppression accidentelle, de la corruption, de la défaillance du disque, d’une cyberattaque ou de tout autre événement imprévu.

Réplication de VM

• Créer des copies identiques, en tant que répliques, de VMware, Hyper-V et des instances AWS EC2.
• Redémarrez vos opérations critiques d’affaires presque instantanément en échec vers une réplique de VM. En d’autres termes, vous pouvez restaurer une VM touchée par une défaillance logicielle ou matérielle en quelques clics.
• Effectuez la réplication à partir des sauvegardes pour décharger votre environnement de production et gagner du temps, ce qui est particulièrement important dans les grandes infrastructures informatiques.

Pour garantir une perte de données minimale et réduire les temps d’arrêt, préparez-vous à l’avance. Ensemble, NAKIVO Backup & Replication et un rapport d’évaluation d’impact des risques adéquat peuvent vous aider à protéger votre environnement contre une large gamme de scénarios inattendus.