février 2020

Pourquoi cartographier les menaces et les risques d’une entreprise ?

Cyberattaques, malveillance, accidents… Nombreuses sont les menaces qui pèsent sur les entreprises et les collaborateurs, c’est pourquoi un certain nombre de dispositifs de sécurité doivent être mis en place afin de protéger à la fois l’entreprise, les employés et ses biens. La cartographie des menaces et des risques permet d’identifier ces risques et déterminer les points sur lesquels agir en priorité. Nous nous sommes entretenus à ce sujet avec deux experts de chez Horoquartz : Patrick Paranthoen, Directeur Recherche et Développement et Vivian Pelletier, Directeur produit.

De quel type de menaces parle-t-on ?

Les menaces à l’encontre d’une entreprise peuvent être multiples et dépendent de nombreux facteurs comme son activité, sa taille ou son mode de fonctionnement. Elles peuvent agir sur l’intégrité des personnes et des biens. Certaines menaces peuvent être d’ordre volontaire, comme des attaques à l’égard de l’entreprise qui peuvent nécessiter l’installation de systèmes de barrières ou de contrôle. D’autres menaces d’ordre intentionnel comme la malveillance, le vol de bien ou le sabotage sont également à prendre en compte. Protéger les personnes implique par ailleurs de se prémunir de l’inadvertance des employés et éviter ainsi le risque d’accident, par exemple lors de la manipulation de produits chimiques ou d’objets dangereux. Enfin, d’autres menaces plus complexes relèvent de la cybersécurité et demandent une vigilance et un traitement particulier en termes de sécurité, afin de se prémunir des menaces digitales comme le vol, la destruction ou la substitution d’informations.

 

Cartographier les menaces et les risques

La cartographie des risques comporte trois étapes principales : évaluer les menaces, évaluer la vulnérabilité liée à ces menaces et identifier toutes les zones sensibles dans l’entreprise. Il s’agit d’identifier tous les évènements internes ou externes susceptibles de générer un risque, puis les évaluer afin de réaliser une cartographie. Cette évaluation permet de définir les probabilités d’occurrence du risque et d’en mesurer les conséquences vis-à-vis de l’entreprise. Cette cartographie sera par la suite représentée sous forme graphique avec un axe horizontal  qui situe l’occurrence d’un risque et le vertical sa gravité.  Ceci afin de repérer les menaces à traiter en priorité. Parmi les autres outils de travail utilisés pour réaliser une cartographie des risques, on compte aussi le diagramme d’Ishikawa, surnommé “diagramme arête de poisson” pour son apparence, il permet de visualiser les causes et effets.

 

Qui est responsable de la cartographie ?

Généralement, dans une entreprise, deux personnes ont la responsabilité de réaliser cette cartographie. D’un côté, un responsable sécurité ou un membre du service des moyens généraux aura la responsabilité de traiter les menaces liées au domaine du physique. Par ailleurs le RSSI, son pendant dédié aux systèmes d’information, a la responsabilité de veiller à la sécurité dans le domaine du digital. Ces deux personnes ont aussi la responsabilité de mettre à jour régulièrement cette cartographie en fonction des évolutions ou de potentielles modifications qui surviennent au cœur de l’entreprise. Il peut s’agir par exemple d’identifier et évaluer les menaces liées à la démocratisation récente du télétravail au sein des équipes.

 

A quoi sert la cartographie des risques et des menaces ?

Cet état des lieux aboutit en général à une hiérarchisation des risques qui pèsent sur l’entreprise. Les plus critiques feront l’objet d’une étude approfondie pour évaluer l’impact potentiel sur l’entreprise, sous l’angle financier, sous l’angle opérationnel (conséquences sur l’activité), et sous l’angle stratégique (atteinte à la propriété intellectuelle, impact sur l’image de marque…). A partir de cette évaluation, il sera possible de définir les priorités d’action et d’investissement. Dans le cadre d’un projet de sûreté-sécurité, cela amènera à mieux définir les zones à protéger, les moyens technologiques à mettre en œuvre (contrôle d’accès, vidéosurveillance, détection intrusion), le couplage éventuel de ces différents moyens, la technologie la plus adaptée compte tenu du risque à couvrir. La cartographie des risques est donc un excellent moyen pour rendre rationnel un projet de sécurité et mettre le juste niveau de protection pour le risque à couvrir, adapté techniquement, financièrement et humainement.

 

En savoir plus sur les solutions de sûreté-sécurité d’Horoquartz