Comprendre l’identification et l’évaluation des risques

Effectué

Identification des risques

La gestion des risques de Microsoft 365 commence par l’identification des risques. L’identification des risques met l’accent sur les activités de découverte afin d’identifier les sources des risques connus pour toutes les zones de contrôle clés, les menaces internes et externes, ainsi que les vulnérabilités de l’environnement Microsoft 365. L’équipe de confiance Microsoft 365 organise des entretiens avec les équipes de service Microsoft 365 afin d’identifier les nouveaux risques liés aux services et dépendances de Microsoft 365. Les experts techniques de l’équipe de service fournissent des informations sur les risques pouvant être introduits de façon incrémentielle à mesure que les services s’étendent, ajoutent de nouvelles fonctionnalités ou tirent parti de nouvelles dépendances.

En plus des entretiens avec les experts techniques, le processus d’identification des risques inclut les données de la surveillance continue, notamment l’analyse des vulnérabilités, la simulation d’attaques par équipe de couleur rouge/bleue, les conclusions d’audits indépendants et les activités de gestion des incidents. Par exemple, si les simulations d’attaques de l’équipe rouge ont indiqué une vulnérabilité avec une implémentation de contrôle existante, celles-ci sont incluses dans le processus d’identification des risques. Examen des conclusions des audits de l’année précédente et des tendances des constatations qui font état de lacunes dans les contrôles sont d’autres exemples de sources incluses dans l’identification des risques. Le processus d’identification inclut également un examen des journaux des décisions, des exceptions de sécurité et de conformité actives, du travail d’atténuation et des risques identifiés au cours des évaluations des risques précédents.

L’équipe de confiance Microsoft 365 utilise des entretiens avec des experts techniques et des données de surveillance continue pour identifier les risques liés à l’environnement Microsoft 365. Tout au long de ce processus, l’équipe de confiance Microsoft 365 collabore avec les équipes de service et les responsables des risques afin de valider l’exactitude et l’exhaustivité des risques identifiés. Une fois tous les risques pertinents identifiés, l’équipe de confiance Microsoft 365 se charge de l’évaluation des risques.

Évaluation des risques

L’équipe de confiance Microsoft 365 évalue chaque risque identifié à l’aide de la méthode d’évaluation des risques d’ERM incluant l’impact, la probabilité et les défaillances de contrôle. L’impact décrit les ramifications négatives d’un risque, telles que la perte de confidentialité des données, la confiance des clients ou les certifications de conformité. La probabilité identifie la probabilité qu’un risque potentiel soit réalisé. La probabilité est calculée en examinant la fréquence des occurrences passées, ainsi que la probabilité des occurrences futures. Enfin, le manque de contrôle est calculé en analysant l’efficacité des contrôles de sécurité implémentés pour atténuer le risque identifié. Ces mesures servent à calculer une note de risque résiduel qui représente la gravité de chaque risque après la prise en compte des contrôles d’atténuation.

Une fois que les scores de risque ont été calculés, l’équipe de confiance Microsoft 365 classe les risques par gravité. Ces catégories s’alignent sur la méthodologie d’évaluation des risques d’ERM et fournissent une vue agrégée des risques de haut niveau auxquels Microsoft 365 doit faire face. Les risques peuvent être compris dans une de nos catégories de sévérité :

  • Sérieux : zones d’exposition à risque très élevé ne disposant pas de contrôles adéquats , ayant des contrôles qui ne fonctionnent pas normalement, et qui nécessitent une correction pour atténuer le risque existant.
  • Élevé : zones d’exposition à risque très élevé ne disposant pas de contrôles adéquats , ayant des contrôles qui ne fonctionnent pas normalement, et qui nécessitent une correction pour atténuer le risque existant.
  • Moyenne : zones d’exposition à risque moyen, où il existe des problèmes de contrôle modérés, des contrôles inadéquats, ou des contrôles qui ne fonctionnent pas normalement.
  • Faible : zones d’exposition à faible risque où^il y a des défaillances mineures dans les contrôles ou stratégies mis en œuvre.

Une fois que l’équipe Microsoft 365 Trust a évalué et catégorisé tous les risques identifiés, elle rencontre les parties prenantes de chaque équipe de service pour s’assurer que leur évaluation représente avec précision la posture de risque de Microsoft 365. Les résultats de l’évaluation sont examinés par les équipes de gestion de Microsoft 365.