Le Document Unique d'Evaluation des Risques Cyber  (DUERC)

 

Pour les TPEs, nous avons développé le Document Unique d'Évaluation des Risques Cyber (DUERC), (inspiré du document unique d'évaluation des risques professionnels) pour analyser les risques informatiques des petites organisations en donnant des solutions pour assurer une reprise d'activité rapide en cas de sinistre.

Nous consignons dans ce document le résultat de l'évaluation des risques pour le système informatique auxquels peuvent être exposés l’entreprise et les employés.

Cette évaluation respecte les principes généraux de bonnes pratiques et d’hygiène informatique à mettre en œuvre dans toutes organisations.

Principes généraux de prévention

Les 9 principes généraux qui régissent l'organisation de la prévention sont les suivants :

  • prevention Data Protect-ONÉviter les risques, c'est-à-dire limiter les vulnérabilités ou l'exposition aux menaces

  • Évaluer les risques, c'est-à-dire apprécier l'exposition aux menaces et l'importance du risque pour prioriser les actions de prévention à mener

  • Combattre les risques à la source, c'est-à-dire intégrer la prévention le plus en amont possible, notamment intégrant une bonne hygiène informatique dans tout le système (humain et équipement)

  • Adapter les outils à l'homme et au besoin, en tenant compte des différences individuelles, dans le but de réduire les vulnérabilités

  • Tenir compte de l'évolution de la technique, c'est-à-dire adapter la prévention aux évolutions techniques et organisationnelles

  • Remplacer un produit ou un procédé dangereux par ce qui l'est moins, lorsqu'un même résultat peut être obtenu avec une solution présentant des dangers moindres

  • Planifier la sécurité en intégrant technique, organisation, conditions et environnement de travail

  • Donner la priorité aux mesures de protection collective et utiliser les équipements de protection individuelle en complément des protections collectives si elles se révèlent insuffisantes

  • Donner les instructions appropriées aux salariés, c'est-à-dire les former et les informer pour qu'ils connaissent les risques et les mesures de sécurité informatique

Démarche d'évaluation des risques informatiquessecurity Alerte Data Protect-ON

La démarche d'évaluation est structurée et comprend les étapes suivantes :

  1. Audit du système informatique (équipement, logiciel, utilisateur, utilisation)

  2. Identification des risques

  3. Classement des risques

  4. Proposition des actions de remédiation aux risques constatés

L'évaluation des risques se définit comme le fait d'identifier les menaces et les vulnérabilités du système d'information.

Elle comporte un inventaire des menaces et une analyse des risques identifiés dans chaque unité de travail de l'entreprise ou de l'établissement afin d'en limiter au maximum les impacts.

 

Exemple : la perte d'accès à ses informations représentent un danger pour l'entreprise.

Les pertes de données et des accès aux informations à des personnes non autorisées sont des risques.

Un gestionnaire de mot de passe limitera les vulnérabilités d'accès (en mettant en oeuvre des mots de passe complexes), les sauvegardes limiteront les impacts d'une perte de donnée.logo cybersécurité DUERC Data Protect-ON

 

Le DUERC cartographie les systèmes informatiques de l'organisation (équipement, réseau, logiciel) et identifie les parties prenantes (fournisseurs, supports, utilisateurs).

Il permet de connaître la marche à suivre en cas d'incident informatique pour limiter les interruptions de service et continuer l'activité autant que possible