Évaluer les risques liés au cloud
Cet article explique comment évaluer les risques associés au cloud. Toute technologie présente des risques pour une organisation. Les risques sont des résultats indésirables qui pourraient affecter votre entreprise, tels que la non-conformité aux normes industrielles. Lors de l’adoption du cloud, vous devez identifier les risques que ce dernier pose à votre organisation. L’équipe de gouvernance cloud crée des stratégies de gouvernance cloud pour prévenir et atténuer ces risques. Pour évaluer les risques liés au cloud, effectuez les tâches suivantes.
Identifier les risques liés au cloud
Cataloguez une liste complète des risques liés au cloud. La connaissance des risques vous permet de créer des stratégies de gouvernance cloud susceptibles de prévenir et d’atténuer ces risques. Pour identifier les risques liés au cloud, suivez ces recommandations :
Répertorier toutes les ressources cloud. Répertoriez toutes vos ressources cloud afin de pouvoir identifier de manière complète les risques associés à ces ressources. Par exemple, vous pouvez utiliser le Portail Azure, Azure Resource Graph, PowerShell et Azure CLI pour afficher toutes les ressources d’un abonnement.
Découvrir les risques liés au cloud. Développez un catalogue de risques stable pour guider les stratégies de gouvernance cloud. Pour éviter les ajustements fréquents, concentrez-vous sur les risques généraux du cloud, et non sur les risques propres à une charge de travail spécifique. Commencez par des risques de haute priorité et développez une liste plus complète au fil du temps. Les catégories courantes de risques sont la conformité réglementaire, la sécurité, les opérations, le coût, les données, les ressources et l’IA. Incluez les risques propres à votre organisation, tels que les logiciels, les partenaires ou les fournisseurs non Microsoft, ainsi que les compétences internes du cloud.
Impliquer les parties prenantes principales. Rassemblez des commentaires provenant de divers rôles organisationnels (informatique, sécurité, juridique, finance et centres de profit) pour prendre en compte tous les risques potentiels. Cette approche collaborative permet d’avoir une vision globale des risques liés au cloud.
Vérifier les risques. Engagez des experts externes qui possèdent une compréhension approfondie de l’identification des risques liés au cloud pour passer en revue et valider votre liste de risques. Ces experts sont par exemple des équipes de comptes Microsoft ou des partenaires Microsoft spécialisés. Leur expertise permet de confirmer l’identification de tous les risques potentiels et d’améliorer la précision de votre évaluation des risques.
Facilitation Azure : identification des risques liés au cloud
Les conseils suivants ont pour but de vous aider à identifier les risques liés au cloud dans Azure. Ils fournissent un exemple de point de départ pour les principales catégories de gouvernance cloud. Azure peut aider à automatiser une partie du processus d’identification des risques. Utilisez des outils Azure tels qu’Azure Advisor, Microsoft Defender pour le cloud, Azure Policy, Azure Service Health et Microsoft Purview.
Identifier les risques de conformité réglementaire. Identifiez les risques de non-conformité avec les cadres juridiques et réglementaires affectant les données et les opérations cloud. Connaissez les exigences réglementaires de votre secteur d’activité. Utilisez la documentation sur la conformité Azure pour démarrer.
Identifier les risques de sécurité. Identifiez les menaces et les vulnérabilités qui compromettent la confidentialité, l’intégrité et la disponibilité de l’environnement cloud. Utilisez Azure pour évaluer votre état de la sécurité cloud et détecter les risques d’identité.
Identifier les risques liés aux coûts. Identifiez les risques liés aux coûts des ressources cloud. Les risques liés aux coûts incluent le surapprovisionnement, le sous-approvisionnement, la sous-utilisation et les coûts inattendus liés aux frais de transfert de données ou à la mise à l’échelle des services. Utilisez une évaluation des coûts pour identifier les risques liés aux coûts. Utilisez Azure pour estimer les coûts avec le calculateur de prix Azure. Analysez et prévoyez les coûts liés aux ressources actuelles. Identifiez les changements inattendus dans les coûts cloud.
Identifier les risques liés aux opérations. Identifiez les risques qui menacent la continuité des opérations cloud, tels que les temps d’arrêt et la perte de données. Utilisez les outils Azure pour identifier les risques en matière de fiabilité et de performance.
Identifiez les risques liés aux données. Identifiez les risques liés à la gestion des données dans le cloud. Pensez à une mauvaise gestion des données et à des failles dans la gestion du cycle de vie des données. Utilisez les outils Azure pour identifier les risques liés aux données et explorer les risques liés aux données sensibles.
Identifier les risques liés à la gestion des ressources. Identifiez les risques liés à l’approvisionnement, au déploiement, à la configuration et à la gestion des ressources cloud. Identifiez les risques liés à l’excellence opérationnelle.
Identifier les risques liés à l’IA. Modèles de langage d’équipe rouge réguliers. Tester manuellement les systèmes d’IA et compléter les tests manuels par des outils automatisés d’identification des risques pour l’IA. Recherchez les échecs d’interaction entre l’humain et l’IA courants. Tenez compte des risques associés à l’utilisation, à l’accès et à la production des systèmes IA. Passez en revue les principes de l’IA responsable et de son modèle de maturité.
Analyser les risques liés au cloud
Attribuez un rang qualitatif ou quantitatif à chaque risque afin de pouvoir les classer par ordre de gravité. La hiérarchisation des risques combine la probabilité et l’impact des risques. Préférez une analyse des risques quantitative plutôt que qualitative pour une classification plus précise, par ordre de priorité des risques. Pour analyser les risques liés au cloud, suivez ces stratégies :
Évaluer la probabilité du risque
Estimez la probabilité quantitative ou qualitative que chaque risque se produise par an. Utilisez une plage de pourcentages (0 à 100 %) pour représenter la probabilité annuelle et quantitative des risques. Les qualificatifs « faible », « moyen » et « élevé » sont couramment utilisés pour désigner la probabilité qualitative d’un risque. Pour évaluer la probabilité de risque, suivez ces recommandations :
Utiliser des points de référence publics. Utilisez des données provenant de rapports, d’études ou de contrats de niveau de service (contrats SLA) qui documentent les risques courants et leurs taux d’occurrence.
Analyser les données historiques. Examinez les rapports d’incident internes, les journaux d’audit et d’autres enregistrements pour identifier la fréquence à laquelle des risques similaires se sont produits par le passé.
Tester l’efficacité du contrôle. Pour réduire les risques, évaluez l’efficacité des contrôles actuels d’atténuation des risques. Pensez à examiner les résultats des tests de contrôle, les conclusions des audits et les indicateurs de performance.
Déterminer l’impact des risques
Estimez l’impact quantitatif ou qualitatif du risque sur l’organisation. Un montant en devises est un moyen courant de représenter l’impact quantitatif des risques. Les qualificatifs « faible », « moyen » et « élevé » sont couramment utilisés pour désigner l’impact qualitatif d’un risque. Pour déterminer l’impact d’un risque, suivez les recommandations suivantes :
Effectuer une analyse financière. Estimez la perte financière potentielle liée à un risque en examinant des facteurs tels que le coût des temps d’arrêt, les frais juridiques, les amendes et le coût des efforts de correction.
Effectuer une évaluation de l’impact sur la réputation. Utilisez des enquêtes, des études de marché ou des données historiques sur des incidents similaires pour estimer l’impact potentiel sur la réputation de l’organisation.
Effectuer une analyse des interruptions opérationnelles. Évaluez l’ampleur des perturbations opérationnelles en estimant les temps d’arrêt, la perte de productivité et le coût lié à la prise de dispositions alternatives.
Évaluer les implications juridiques. Estimez les coûts juridiques potentiels, les amendes et les pénalités associées à une non-conformité ou à des violations.
Calculer la priorité des risques
Attribuez une priorité à chaque risque. La priorité du risque est l’importance que vous accordez à un risque afin de savoir si celui-ci doit être traité avec un degré d’urgence élevé, moyen ou faible. L’impact du risque est plus important que sa probabilité, car un risque à fort impact peut avoir des conséquences durables. Pour hiérarchiser les risques, l’équipe de gouvernance doit utiliser une méthodologie cohérente dans l’ensemble de l’organisation. Pour calculer la priorité du risque, suivez ces recommandations :
Utilisez une matrice de risque pour les évaluations qualitatives. Créez une matrice pour attribuer une priorité qualitative à chaque risque. L’un des axes de la matrice représente la probabilité du risque (élevée, moyenne, faible) et l’autre représente l’impact du risque (élevé, moyen, faible). Le tableau suivant présente un exemple de matrice des risques :
Impact faible Impact moyen Fort impact Faible probabilité Très faible Modérément faible Modérément élevé Probabilité moyenne Faible Moyenne Élevé Probabilité élevée Moyenne Élevé Très élevée Utilisez des formules pour les évaluations quantitatives. Utilisez le calcul suivant comme base de référence : priorité du risque = probabilité du risque x impact du risque. Ajustez le poids des variables selon les besoins pour adapter les résultats de la priorité du risque. Par exemple, vous pouvez mettre davantage l’accent sur l’impact du risque avec cette formule : priorité du risque = probabilité du risque x (impact du risque x 1,5).
Attribuer un niveau de risque
Classez chaque risque dans l’un des trois niveaux suivants : risques majeurs (niveau 1), sous-risques (niveau 2) et facteurs de risque (niveau 3). Les niveaux de risque vous permettent de planifier une stratégie de gestion des risques appropriée et d’anticiper les défis futurs. Les risques de niveau 1 menacent l’organisation ou la technologie. Les risques de niveau 2 sont inférieurs au risque de niveau 1. Les risques de niveau 3 sont des tendances qui pourraient aboutir à un ou plusieurs risques de niveau 1 ou de niveau 2. Par exemple, considérez la non-conformité avec les lois de protection des données (niveau 1), les configurations de stockage cloud incorrectes (niveau 2) et la complexité croissante des exigences réglementaires (niveau 3).
Déterminer la stratégie de gestion des risques
Pour chaque risque, identifiez les options de traitement appropriées, telles que l’évitement, l’atténuation, le transfert ou l’acceptation du risque. Donner une explication à son choix. Par exemple, si vous décidez d’accepter un risque parce que le coût de son atténuation est trop élevé, vous devez documenter ce raisonnement pour pouvoir vous y référer ultérieurement.
Attribuer des propriétaires de risques
Désignez un propriétaire principal pour chaque risque. Le propriétaire du risque est responsable de la gestion de chaque risque. Cette personne coordonne la stratégie de gestion des risques au sein de toutes les équipes concernées et constitue le point de contact initial pour l’escalade des risques.
Documenter les risques liés au cloud
Documentez chaque risque et les détails de l’analyse des risques. Créez une liste de risques (registre des risques) contenant toutes les informations dont vous avez besoin pour identifier, classer, hiérarchiser et gérer les risques. Développez un langage standardisé pour la documentation sur les risques afin que tout le monde puisse facilement comprendre les risques liés au cloud. Envisagez d’inclure ces éléments :
- ID de risque : un identificateur unique pour chaque risque. Incrémentez l’identifiant séquentiellement au fur et à mesure que vous ajoutez de nouveaux risques. Si vous supprimez des risques, vous pouvez soit laisser des vides dans la séquence, soit combler les vides dans la séquence.
- État de la gestion des risques : l’état du risque (ouvert, fermé).
- Catégorie de risque : une étiquette telle que la conformité réglementaire, la sécurité, le coût, les opérations, l’IA ou la gestion des ressources.
- Description du risque : brève description du risque.
- Probabilité de risque : la probabilité que le risque se produise par an. Utilisez un pourcentage ou une étiquette qualitative.
- Impact sur les risques : l’impact sur l’organisation si le risque se produit. Utilisez un montant en devises ou une étiquette qualitative.
- Priorité des risques : la gravité du risque (probabilité x impact). Utilisez un montant en dollars ou une étiquette qualitative.
- Niveau de risque : le type de risque. Utilisez « menace majeure » (niveau 1), « sous-risque » (niveau 2) ou « facteur de risque » (niveau 3).
- Stratégie de gestion des risques : l’approche permettant de gérer le risque, comme « atténuer », « accepter » ou « éviter ».
- Application de la gestion des risques : les techniques permettant d’appliquer la stratégie de gestion des risques.
- Propriétaire du risque : la personne gérant le risque.
- Date de fermeture des risques : la date à laquelle la stratégie de gestion des risques doit être appliquée.
Pour plus d’informations, voir l’exemple de liste de risques.
Communiquer les risques liés au cloud
Transmettez clairement les risques liés au cloud identifiés au commanditaire exécutif et au management de niveau exécutif. L’objectif est de s’assurer que l’organisation hiérarchise les risques liés au cloud. Fournissez des mises à jour régulières sur la gestion des risques liés au cloud et communiquez lorsque vous avez besoin de ressources supplémentaires pour gérer les risques. Encouragez une culture dans laquelle la gestion des risques liés au cloud et la gouvernance cloud font partie des activités quotidiennes.
Passer en revue les risques liés au cloud
Vérifiez la validité et l’exactitude de la liste de risques liés au cloud. Les révisions doivent être régulières, mais également en réponse à des événements spécifiques. Maintenez, mettez à jour ou supprimez les risques le cas échéant. Pour passer en revue les risques liés au cloud, suivez ces recommandations :
Planifiez des évaluations régulières. Définissez une planification périodique pour passer en revue et évaluer les risques liés au cloud, par exemple tous les trimestres, tous les semestres ou tous les ans. Trouvez une fréquence de révision qui corresponde le mieux à la disponibilité du personnel, au rythme des changements de l’environnement cloud et à la tolérance au risque de l’organisation.
Effectuez des révisions basées sur des événements. Passez en revue les risques en réponse à des événements spécifiques, tels que l’échec de la prévention d’un risque. Pensez à revoir les risques lorsque vous adoptez de nouvelles technologies, modifiez les processus d’entreprise et découvrez de nouvelles menaces pour la sécurité. Pensez également à revoir les risques lorsque la technologie, la conformité réglementaire et la tolérance au risque de l’organisation changent.
Passer en revue des stratégies de gouvernance cloud. Conservez, mettez à jour ou supprimez des stratégies de gouvernance cloud pour faire face aux nouveaux risques, aux risques existants ou aux risques obsolètes. Passez en revue la déclaration de stratégie de gouvernance cloud et la stratégie d’application de la gouvernance cloud en fonction des besoins. Lorsque vous supprimez un risque, évaluez si les politiques de gouvernance du cloud qui y sont associées sont toujours pertinentes. Consultez les parties prenantes pour supprimer les stratégies de gouvernance cloud ou mettre à jour les stratégies pour les associer à un nouveau risque.
Exemple de liste de risques
Le tableau suivant est une liste d’exemples de risques, également appelée registre de risques. Adaptez l’exemple aux besoins spécifiques et au contexte de l’environnement cloud Azure de votre organisation.
| ID de risque | État de gestion des risques | Catégorie de risque | Description du risque | Probabilité du risque | Impact du risque | Priorité du risque | Niveau de risque | Stratégie de gestion des risques | Application de la gestion des risques | Propriétaire du risque | Date de fermeture du risque |
|---|---|---|---|---|---|---|---|---|---|---|---|
| R01 | En cours | Conformité aux normes | Non-conformité aux exigences en matière de données sensibles | 20 % OU Moyenne | 100 000 USD OU Élevé | 20 000 USD OU Élevée | Niveau 2 | Atténuer | Utilisez Microsoft Purview pour surveiller les données sensibles. Rapports de conformité dans Microsoft Purview. |
Responsable de la conformité | 01/04/2024 |
| R02 | En cours | Sécurité | Accès non autorisé aux services cloud | 30 % OU Élevée | 200 000 USD OU Élevé | 60 000 USD OU Très élevée | Niveau 1 | Atténuer | Authentification multifacteur (MFA) Microsoft Entra ID. Gouvernance des ID Microsoft Entra : révision mensuelle de l’accès. |
Responsable de la sécurité | 15/03/2024 |
| R03 | En cours | Sécurité | Gestion du code non sécurisée | 20 % OU Moyenne | 150 000 USD OU Élevé | 30 000 USD OU Élevée | Niveau 2 | Atténuer | Utilisez le référentiel de code défini. Utilisez le modèle de quarantaine pour les bibliothèques publiques. |
Responsable du développement | 30/03/2024 |
| R04 | En cours | Coûts | Dépassement des dépenses sur les services cloud en raison d’un surapprovisionnement et d’un manque de surveillance | 40 % OU Élevée | 50 000 USD OU Moyenne | 20 000 USD OU Élevée | Niveau 2 | Atténuer | Définissez des budgets et des alertes pour les charges de travail. Examinez et appliquez les recommandations du Advisor en matière de coûts. |
Responsable des coûts | 01/03/2024 |
| R05 | En cours | Opérations | Interruption de service due à une panne de la région Azure | 25 % OU Moyenne | 150 000 USD OU Élevé | 37 500 USD OU Élevée | Niveau 1 | Atténuer | Les charges de travail critiques ont une architecture active-active. Les autres charges de travail ont une architecture active-passive. |
Responsable des opérations | 20/03/2024 |
| R06 | En cours | Données | Perte de données sensibles en raison d’un chiffrement et d’une gestion du cycle de vie des données incorrecte | 35 % OU Élevée | 250 000 USD OU Élevée | 87 500 USD OU Très élevée | Niveau 1 | Atténuer | Appliquez le chiffrement en transit et au repos. Établissez des stratégies de cycle de vie des données en utilisant les outils Azure. |
Responsable des données | 10/04/2024 |
| R07 | En cours | Gestion des ressources | Configuration incorrecte des ressources cloud entraînant l’accès non autorisé et l’exposition des données | 30 % OU Élevée | 100 000 USD OU Élevé | 30 000 USD OU Très élevée | Niveau 2 | Atténuer | Utiliser l’Infrastructure en tant que code (IaC). Appliquez les exigences de catégorisation à l’aide d’Azure Policy. |
Responsable des ressources | 25/03/2024 |
| R08 | En cours | Intelligence artificielle | Modèle IA produisant des décisions biaisées en raison de données d’apprentissage non représentatives | 15 % OU Faible | 200 000 USD OU Élevé | 30 000 USD OU Modérément élevée | Niveau 3 | Atténuer | Utilisez les techniques d’atténuation du filtrage de contenu. Modèles IA de l’équipe rouge tous les mois. |
Responsable de l’IA | 01/05/2024 |
Étape suivante
Commentaires
Bientôt disponible : Tout au long de l’année 2024, nous abandonnerons progressivement le mécanisme de retour d’information GitHub Issues pour le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez : https://aka.ms/ContentUserFeedback.
Soumettre et afficher des commentaires pour