La gestion du risque cyber s’industrialise. Des plateformes permettent de gérer tous les aspects de la gestion de ce risque très particulier, depuis la cartographie des risques, la mesure et l’exécution des plans de traitement.
La gestion du risque est une approche très commune dans l’industrie. Les Risk Manager disposent de plateformes où ils vont cartographier et référencer l’intégralité des risques auxquels sont soumises leurs installations industrielles. Elles permettent de référencer en face de chacun d’eux les moyens techniques, humains et processus mis en place pour le « traiter ». Cette approche de gestion du risque a été transposée dans de multiples domaines, dont la cybersécurité. Plusieurs solutions de gestion du risque cyber ont ainsi été commercialisées ces dernières années. Certaines solutions sont clairement orientées technique et apportent une solution opérationnelle pour gérer la posture de sécurité vis-à-vis des ressources Cloud, par exemple, ou des accès.
D’autres catégories de solutions sont beaucoup plus orientées processus. Les solutions de gestion de risque traditionnelles ont en quelque sorte ajouté un nouvel onglet Cybersécurité à leurs domaines d’expertise existants, comme ils ont pu le faire il y a quelques années pour traiter les risques environnementaux par exemple. L’atout de cette approche est bien évidemment pour l’entreprise de disposer d’une plateforme unique pour gérer l’intégralité de ses risques. Tous les gestionnaires de risques, les utilisateurs métiers vont concentrer leur expertise sur un même outil, un « super ERP » du risque. Le revers de la médaille de l’approche reste le manque d’outils spécifiques liés à la nature même du risque cyber.
Une offre typée cybersécurité va ainsi fournir des outils de cartographie automatisée des ressources IT, implémente des calculs du niveau de risque, génère automatiquement des rapports synthétiques. Ces outils implémentent les normes ISO 27 005, ISO 21 434 ainsi que, pour certains, la méthodologie poussée en avant par l’ANSSI en France depuis 2018, la méthodologie EBIOS.