Identifier les risques numériques et mettre en œuvre des stratégies de protection des ressources matérielles et logicielles.
Identifier avant de protéger : on ne défend bien que ce qu’on connaît bien (cartographie, classification, criticité). |
Défaillances (disques, serveurs)
Catastrophes naturelles (incendie, inondation)
Vols et pertes (PC portables, smartphones)
Logiciels obsolètes ou vulnérables
Bugs et erreurs de configuration
Logiciels non autorisés (shadow IT)
Perte de données (effacement, corruption)
Fuite de données sensibles
Intrusions via configurations faibles
Erreurs (manipulation, configuration)
Ingénierie sociale (phishing)
Mauvaises pratiques (mots de passe, MFA)
Badges, caméras, serrures électroniques
Restriction salles serveurs
RAID pour les disques
Serveurs de secours
Détection / suppression incendie
Climatisation, hygrométrie
Plan de continuité d’activité (PCA)
Couverture pertes matérielles
OS, applications, firmware à jour
Correctifs de sécurité immédiats
Antivirus + EDR
Règle 3-2-1
Tester la restauration
Sécuriser les appareils personnels avec MDM
Restreindre l’accès aux données sensibles
Conteneurisation pro / perso
Le BYOD bien encadré combine flexibilité utilisateur et sécurité entreprise. |
Identifier les données sensibles
Niveaux de protection adaptés
DLP contre les fuites
DBAN pour les disques
Déchiquetage des documents
Règles d’utilisation (AUP)
Risques des téléchargements non approuvés
Campagnes de phishing simulées
Exercices de réponse aux incidents
Plan — analyse des risques, priorisation
Do — déploiement
Check — audit, pen-test
Act — amélioration continue
La gestion des risques est un processus continu : nouveaux usages, nouvelles menaces, nouvelles techniques apparaissent en permanence. |
Identifier les risques permet de prioriser les ressources de protection.
Une approche risk-based est la seule économiquement viable : protéger plus ce qui vaut plus.
Voir aussi : Hardening · Gestion d’incidents · Politique de sécurité · ISO 27001 |