Découvrez nos solutions sans obligation d’achat
Dans le monde d’aujourd’hui, la frontière entre la gestion des risques, l’analyse des risques et l’évaluation des risques est de plus en plus étroite. Dans de nombreux cas, ces termes sont utilisés de manière interchangeable, mais avant d’examiner leurs relations mutuelles, il est nécessaire adopter une perspective hiérarchique. L’analyse du risque fait partie de l’évaluation du risque, tandis que l’évaluation du risque fait partie de la gestion du risque. Vous avez certainement rencontré ou entendu ces deux termes connexes utilisés dans de nombreux autres contextes. Sources : 6,15,15]
À première vue, l’analyse de l’impact sur les entreprises et l’évaluation des risques semblent avoir des objectifs similaires, mais chacune traite d’un aspect critique différent de la planification de la DR. L’analyse de l’impact des entreprises et l’évaluation des risques visent à minimiser les dommages causés par la perte des services fournis par un fournisseur de services informatiques. L’analyse de l’impact des entreprises a pour but de quantifier l’impact sur les entreprises qu’aurait une perte de services. Séparation de l’évaluation des entreprises et de l’analyse des risques : la différence entre les deux types d’analyse. [Sources : 9,18,8,8]
L’analyse d’impact, également appelée évaluation de l’impact, estime le total des dommages ou des pertes qui pourraient résulter de l’exploitation d’une vulnérabilité de sécurité. L’évaluation du risque comprend le risque de perte d’activité en fonction d’un certain nombre de facteurs, notamment l’impact sur l’activité de l’entreprise, l’impact potentiel de la perte sur ses clients et les risques pour l’entreprise. [Sources : 12,17]
L’évaluation des risques est conçue pour mesurer la vulnérabilité actuelle de l’environnement des entreprises, tandis que l’analyse de l’impact sur les entreprises évalue les pertes probables qui pourraient résulter d’une catastrophe. Comme étape finale de l’évaluation des risques, les experts en sécurité sont invités à examiner les résultats de l’analyse des risques et à les comparer aux critères de risque établis afin de déterminer où des contrôles supplémentaires pourraient être nécessaires et quels contrôles ils pourraient être. Sources : 9,3]
Compte tenu de ces objectifs, on constate que l’impact sur les entreprises est analysé avant l’analyse des risques. Afin de préparer l’équipe au travail réel d’évaluation de l’impact économique et la direction générale, les objectifs et la portée des évaluations d’impact doivent être définis et documentés. [Sources : 0,14]
L’évaluation des risques se concentre ensuite sur l’évaluation des risques potentiels qui peuvent être associés aux activités ou aux entreprises prévues et sur leur impact potentiel sur l’entreprise. [Sources : 13]
À partir de là, l’évaluation des risques peut être divisée en trois grands domaines : l’évaluation de l’impact, l’analyse des risques et la gestion des risques. Pour réaliser une évaluation des risques en matière de cybersécurité, vous devez identifier les éléments de l’équation du risque, puis utiliser votre connaissance de ces éléments pour déterminer le risque. Une évaluation efficace des risques implique de nombreuses personnes et de nombreux facteurs. Le processus d’évaluation des risques implique l’identification des risques potentiels pour l’entreprise, ses employés, ses clients et autres parties prenantes, la réalisation d’une analyse des risques identifiés, l’identification des risques et l’établissement de contrôles de sécurité pour prévenir ou atténuer les menaces. [Sources : 1,3,5,15]
L’analyse de l’impact d’une menace de cybersécurité sur l’entreprise, ses employés, ses clients et autres parties prenantes est expliquée. L’évaluation des risques analyse l’impact potentiel sur l’entreprise et ses parties prenantes telles que les clients, les employés et les salariés. Sources : 18]
L’analyse d’impact sur les entreprises n’est pas une évaluation complète des risques, mais un plan visant à rétablir la prévention des catastrophes et à vous informer des prochaines étapes. Cependant, vous devrez effectuer une analyse d’impact sur l’entreprise et une analyse des risques de votre plan de continuité des activités pour créer un plan d’urgence et de continuité des activités. L’analyse de l’impact sur l’entreprise et l’analyse des risques, si elles sont bien formulées, constituent une partie importante du plan d’intervention d’une entreprise en cas de menace de cybersécurité. [Sources : 10,14,14,11]
Alors que l’analyse d’impact sur l’entreprise peut être réalisée sans accompagnement lors d’une évaluation des risques, les évaluations des risques peuvent être réalisées lors d’une évaluation d’impact. Les évaluations de risques doivent utiliser la BIA pour quantifier et hiérarchiser les risques qu’elles identifient, plutôt qu’avant l’analyse d’impact. Une évaluation des risques peut être effectuée pendant l’évaluation des risques, mais elle peut aussi être effectuée après l’évaluation d’impact. Une évaluation des risques devrait être utilisée par le BIE pour quantifier et hiérarchiser les risques qu’il découvre et les avantages potentiels d’un plan de continuité des activités pour l’entreprise. Sources : 16,7]
Les résultats de la BIA seront examinés et les perturbations possibles seront classées par ordre de priorité en fonction de leur impact potentiel sur l’activité et des avantages potentiels pour l’entreprise. Les résultats de la BIA peuvent être analysés en conjonction avec un plan de continuité des activités et une évaluation des risques. Sources : 4]
En termes simples, l’analyse des risques et l’analyse d’impact sont liées dans la mesure où toutes deux visent à garantir que l’entreprise n’est pas gravement affectée par une éventuelle perturbation du service. L’analyse des risques vous montre les risques auxquels votre entreprise est exposée et le risque d’une interruption de service. L’analyse de l’impact des activités commerciales peut également donner à l’entreprise la capacité de déterminer le temps d’arrêt maximal tolérable, qu’il soit dû à des raisons fonctionnelles ou opérationnelles, s’il y a des effets opérationnels ou fonctionnels dus aux interruptions de service. Il vous montre comment remettre en marche les processus opérationnels après un incident pour éviter d’autres dommages. [Sources : 2,8,0]
Sources:
[0] : https://hyperproof.io/resource/business-impact-analysis/
[1] : https://reciprocitylabs.com/risk-assessment-vs-risk-analysis-whats-the-difference/
[2] : https://www.enterprisestorageforum.com/management/business-impact-analysis/
[3] : https://cio-wiki.org/wiki/Risk_Assessment
[4] : https://itsm.ucsf.edu/business-impact-analysis-bia-0
[5] : https://blog.netwrix.com/2018/01/16/how-to-perform-it-risk-assessment/
[6] : https://zecuboy.wordpress.com/2013/06/20/risk-assessment-versus-business-impact-analysis/
[7] : https://ipspecialist.net/risk-assessment-vs-business-impact-analysis/
[8] : https://blog.masterofproject.com/business-impact-risk-analysis/
[9] : https://www.supremusgroup.com/business-contingency-strategy/business-impact-analysis-package/
[10] : https://www.cloudskope.com/post/5-best-practices-for-doing-a-business-impact-analysis-bia
[11] : https://www.itgovernance.co.uk/blog/whats-the-difference-between-a-risk-assessment-and-a-business-impact-analysis
[12] : https://www.isaca.org/resources/isaca-journal/past-issues/2010/performing-a-security-risk-assessment
[13] : https://www.bmc.com/blogs/risk-assessment-vs-vulnerability-assessment/
[14] : https://www.stayinbusiness.com/resource/business-impact-and-risk-analysis-as-a-part-of-disaster-recovery-planning/
[15] : https://securitytrails.com/blog/risk-assessment-vs-analysis-management
[16] : https://www.inoni.co.uk/blog/business-impact-analysis-vs-risk-assessment
[17] : https://www.ncontracts.com/nsight-blog/risk-assessments-101-the-role-of-probability-impact-in-measuring-risk
[18] : https://searchdisasterrecovery.techtarget.com/answer/How-do-a-business-impact-analysis-and-risk-assessment-differ