Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Une fois l’équipe de gouvernance en place, l’étape suivante consiste à identifier et à évaluer tous les risques importants associés à l’utilisation du cloud par votre organisation. Un « risque » dans ce contexte est tout résultat indésirable potentiel, tel qu’une violation de sécurité, une violation de conformité, une panne de service ou un dépassement de coût, qui peut résulter de l’utilisation du cloud. En évaluant les risques, l’équipe de gouvernance obtient les informations nécessaires pour élaborer des stratégies pertinentes à l’étape suivante. Cette évaluation des risques doit être effectuée initialement au cours de la configuration de la gouvernance, puis revisitée régulièrement et chaque fois que des changements majeurs se produisent, tels que de nouveaux projets, de nouvelles menaces, des audits et des incidents.
1. Identifier les risques cloud
Commencez par compiler une liste complète des risques auxquels l’organisation fait face dans le cloud. Concentrez-vous sur les risques d’applicabilité générale plutôt que sur des scénarios extrêmement niches. Vous pouvez commencer par des risques évidents à priorité élevée et développer la liste au fil du temps.
Répertorier toutes les ressources cloud. Répertoriez toutes vos ressources cloud afin de pouvoir identifier de manière complète les risques associés à ces ressources. Par exemple, vous pouvez utiliser le portail Azure, Azure Resource Graph, PowerShell et Azure CLI pour afficher toutes les ressources d’un abonnement.
Découvrez les risques liés au cloud. Développez un catalogue de risques stable pour guider les stratégies de gouvernance cloud. Pour éviter les ajustements fréquents, concentrez-vous sur les risques généraux du cloud, et non sur les risques propres à une charge de travail spécifique. Commencez par des risques à priorité élevée et développez une liste plus complète au fil du temps. Les catégories courantes de risques sont la conformité réglementaire, la sécurité, les opérations, le coût, les données, les ressources et l’IA. Incluez les risques propres à votre organisation, tels que les logiciels, les partenaires ou les fournisseurs non-Microsoft, ainsi que les compétences internes du cloud.
Impliquer des parties prenantes clés. Rassemblez des commentaires provenant de divers rôles organisationnels (informatique, sécurité, juridique, finance et unités commerciales) pour prendre en compte tous les risques potentiels. Cette approche collaborative garantit une vue holistique des risques liés au cloud.
Vérifiez les risques. Engagez des experts externes qui possèdent une compréhension approfondie de l’identification des risques cloud pour passer en revue et valider votre liste de risques. Ces experts peuvent être des équipes de comptes Microsoft ou des partenaires Microsoft spécialisés. Leur expertise permet de confirmer l’identification de tous les risques potentiels et d’améliorer la précision de votre évaluation des risques.
Facilitation Azure : Identification des risques cloud
Les conseils suivants sont destinés à vous aider à identifier les risques cloud dans Azure. Il fournit un exemple de point de départ pour les principales catégories de gouvernance cloud. Azure peut aider à automatiser une partie du processus de recherche de risques. Utilisez des outils Azure tels qu’Azure Advisor, Microsoft Defender pour cloud, Azure Policy, Azure Service Health et Microsoft Purview.
Identifiez les risques de conformité réglementaire. Identifiez les risques de non-conformité avec les frameworks juridiques et réglementaires affectant les données et les opérations cloud. Connaissez les exigences réglementaires de votre secteur. Utilisez la documentation de conformité Azure pour démarrer.
Identifiez les risques de sécurité. Identifiez les menaces et les vulnérabilités qui mettent en péril la confidentialité, l’intégrité et la disponibilité de l’environnement cloud. Utilisez Azure pour évaluer votre posture de sécurité cloud et détecter les risques d’identité.
Identifier les risques liés aux coûts. Identifiez les risques liés aux coûts des ressources cloud. Les risques liés aux coûts incluent le surprovisionnement, le sous-approvisionnement, la sous-utilisation et les coûts inattendus des frais de transfert de données ou de la mise à l’échelle du service. Utilisez une évaluation des coûts pour identifier les risques liés aux coûts. Utilisez Azure pour estimer les coûts avec la calculatrice de prix Azure. Analysez et prévoyez les coûts sur les ressources actuelles. Identifiez les changements inattendus dans les coûts cloud.
Identifier les risques liés aux opérations. Identifiez les risques qui menacent la continuité des opérations cloud, telles que les temps d’arrêt et la perte de données. Utilisez les outils Azure pour identifier les risques liés à la fiabilité et aux performances.
Identifiez les risques de données. Identifiez les risques liés à la gestion des données dans le cloud. Envisagez une gestion incorrecte des données et des défauts dans la gestion du cycle de vie des données. Utilisez les outils Azure pour identifier les risques liés aux données et explorer les risques liés aux données sensibles.
Identifiez les risques de gestion des ressources. Identifiez les risques liés à l’approvisionnement, au déploiement, à la configuration et à la gestion des ressources cloud. Identifiez les risques pouvant affecter l’excellence opérationnelle.
Identifiez les risques liés à l’IA. Modèles de langage d’équipe rouge régulièrement. Testez manuellement les systèmes IA et ajoutez des tests manuels avec des outils d’identification des risques automatisés pour l’IA. Recherchez les échecs courants d’interaction humaine-IA. Tenez compte des risques associés à l’utilisation, à l’accès et à la sortie des systèmes IA. Passez en revue les principes de l’IA responsable et du modèle de maturité de l’IA responsable.
2. Analyser les risques cloud
Attribuez un classement qualitatif ou quantitatif à chaque risque afin de pouvoir les hiérarchiser par gravité. La hiérarchisation des risques combine la probabilité de risque et l’impact sur les risques. Préférez l’analyse quantitative des risques par rapport à la hiérarchisation des risques plus précise. Pour analyser les risques cloud, suivez ces stratégies :
Évaluer la probabilité de risque
Estimer la probabilité quantitative ou qualitative de chaque risque se produisant par an. Utilisez une plage de pourcentages (0%-100%) pour représenter la probabilité annuelle et quantitative des risques. Les étiquettes faibles, moyennes et élevées sont des étiquettes courantes pour la probabilité de risque qualitative. Pour évaluer la probabilité de risque, suivez ces recommandations :
Utilisez des benchmarks publics. Utilisez des données provenant de rapports, d’études ou de contrats de niveau de service (SLA) qui documentent les risques courants et leurs taux d’occurrence.
Analyser les données historiques. Examinez les rapports d’incident internes, les journaux d’audit et d’autres enregistrements pour identifier la fréquence à laquelle des risques similaires se sont produits dans le passé.
Testez l’efficacité du contrôle. Pour réduire les risques, évaluez l’efficacité des contrôles actuels d’atténuation des risques. Envisagez d’examiner les résultats des tests de contrôle, les résultats d’audit et les métriques de performances.
Déterminer l’impact sur les risques
Estimer l’impact quantitatif ou qualitatif du risque sur l’organisation. Un montant monétaire est un moyen courant de représenter l’impact quantitatif sur les risques. Les étiquettes faibles, moyennes et élevées sont des étiquettes courantes pour l’impact sur les risques qualitatifs. Pour déterminer l’impact sur les risques, suivez ces recommandations :
Effectuer une analyse financière. Estimez la perte financière potentielle d’un risque en examinant des facteurs tels que le coût du temps d’arrêt, les frais juridiques, les amendes et le coût des efforts de correction.
Effectuer une évaluation de l’impact sur la réputation. Utilisez des enquêtes, des recherches sur le marché ou des données historiques sur des incidents similaires pour estimer l’impact potentiel sur la réputation de l’organisation.
Effectuer une analyse des interruptions opérationnelles. Évaluez l’étendue de l’interruption opérationnelle en évaluant les temps d’arrêt, la perte de productivité et le coût d’autres arrangements.
Évaluer les implications juridiques. Estimer les coûts juridiques potentiels, les amendes et les pénalités associées à une non-conformité ou à des violations.
Calculer la priorité des risques
Attribuez une priorité de risque à chaque risque. La priorité des risques est l’importance que vous attribuez à un risque afin de savoir s’il faut traiter le risque avec une urgence élevée, moyenne ou faible. L’impact sur le risque est plus important que la probabilité de risque, car un risque à fort impact peut avoir des conséquences durables. L’équipe de gouvernance doit utiliser une méthodologie cohérente au sein de l’organisation pour hiérarchiser les risques. Pour calculer la priorité des risques, suivez ces recommandations :
Utilisez une matrice de risque pour les évaluations qualitatives. Créez une matrice pour affecter une priorité de risque qualitative à chaque risque. L’un des axes de la matrice représente la probabilité de risque (élevée, moyenne, faible) et l’autre représente l’impact sur le risque (élevé, moyen, faible). Le tableau suivant fournit un exemple de matrice de risque :
Faible impact Impact moyen Impact élevé Faible probabilité Très faible Modérément faible Modérément élevé Probabilité moyenne Low Moyen High Probabilité élevée Moyen High Très élevé Utilisez des formules pour les évaluations quantitatives. Utilisez le calcul suivant comme base de référence : priorité de risque = probabilité de risque x impact sur les risques. Ajustez le poids des variables selon les besoins pour adapter les résultats de la priorité des risques. Par exemple, vous pouvez mettre davantage l’accent sur l’impact sur le risque avec cette formule : priorité de risque = probabilité de risque x (impact sur le risque x 1,5).
Affecter un niveau de risque
Classez chaque risque dans l’un des trois niveaux suivants : risques majeurs (niveau 1), sous-risques (niveau 2) et facteurs de risque (niveau 3). Les niveaux de risque vous permettent de planifier une stratégie de gestion des risques appropriée et d’anticiper les défis futurs. Les risques de niveau 1 menacent l’organisation ou la technologie. Les risques de niveau 2 sont inférieurs au risque de niveau 1. Les risques de niveau 3 sont des tendances qui pourraient aboutir à un ou plusieurs risques de niveau 1 ou de niveau 2. Par exemple, considérez la non-conformité avec les lois de protection des données (niveau 1), les configurations de stockage cloud incorrectes (niveau 2) et la complexité croissante des exigences réglementaires (niveau 3).
Déterminer la stratégie de gestion des risques
Pour chaque risque, identifiez les options appropriées de traitement des risques, telles que l’évitement, l’atténuation, le transfert ou l’acceptation du risque. Fournissez une explication du choix. Par exemple, si vous décidez d’accepter un risque parce que le coût d’atténuation est trop coûteux, vous devez documenter ce raisonnement pour une référence ultérieure.
Attribuer des gestionnaires de risques
Désignez un propriétaire de risque principal pour chaque risque. Le propriétaire du risque a la responsabilité de gérer chaque risque. Cette personne coordonne la stratégie de gestion des risques au sein de chaque équipe impliquée et est le point de contact initial pour l’escalade des risques.
3. Documenter les risques cloud
Documentez chaque risque et les détails de l’analyse des risques. Créez une liste de risques (registre des risques) qui contient toutes les informations dont vous avez besoin pour identifier, classer, hiérarchiser et gérer les risques. Développez un langage standardisé pour la documentation sur les risques afin que tout le monde puisse facilement comprendre les risques cloud. Envisagez d’inclure ces éléments :
| Terrain | Descriptif |
|---|---|
| ID | Identificateur unique pour chaque risque. Il garantit la traçabilité et la référence simple. Utilisez une étiquette séquentielle (par exemple, R01, R02) ; incrémentez la séquence lorsque vous ajoutez un risque et laissez des lacunes lorsque vous supprimez des risques ou renumérotez uniquement si nécessaire. |
| État de gestion | État actuel du risque. Il précise si le risque nécessite une action. Utilisez « Ouvrir » ou « Fermé » et mettez à jour l’état immédiatement lorsqu’il change. |
| Catégorie | Étiquette qui classifie le risque. Il regroupe les risques liés à la gouvernance et aux rapports ciblés. Utilisez des catégories telles que la conformité réglementaire, la sécurité, le coût, les opérations, l’IA ou la gestion des ressources. |
| Descriptif | Brève description spécifique du risque. Il explique la menace, les ressources affectées et l’étendue. Indiquez le risque dans une phrase et incluez la cause ou le point d’entrée. |
| Probabilité | Probabilité annuelle que le risque se produit. Il prend en charge la hiérarchisation et la comparaison quantitatives. Utilisez un pourcentage (0%–100%) ou une étiquette qualitative (faible, moyen, élevé). |
| Impact | Conséquence de l’organisation si le risque se produit. Il informe les efforts de correction et l’estimation des coûts. Utilisez une estimation monétaire ou une étiquette qualitative (Faible, Moyen, Élevé) et documentez la base de l’estimation. |
| Priority | La gravité calculée résultant de la combinaison de la probabilité et de l’impact. Il dirige l’ordre de traitement et d’allocation des ressources. Utilisez une valeur de dollar ou une étiquette qualitative et enregistrez la méthode de calcul (par exemple, probabilité × impact). |
| Level | Niveau de risque dans la hiérarchie des risques. Il définit les chemins d’escalade et l’étendue de gouvernance. Utilisez une menace majeure (niveau 1), un sous-risque (niveau 2) ou un pilote de risque (niveau 3). |
| Stratégie de gestion | Approche choisie pour gérer le risque. Il définit l’action principale et le résultat attendu. Utilisez des actions telles que Atténuer, Accepter, Éviter ou Transférer et expliquer la justification du choix. |
| Mise en œuvre de la gestion | Contrôles et processus qui implémentent la stratégie. Elle garantit que la stratégie s’exécute et reste efficace. Répertorier des contrôles techniques, des stratégies, une surveillance et une cadence de révision spécifiques. |
| Propriétaire | L’individu ou le rôle responsable de la gestion du risque. Il affecte la responsabilité et un point de contact unique. Enregistrez le rôle ou le nom du propriétaire, les coordonnées et les instructions d’escalade. |
| Date de fermeture | Date cible pour appliquer la stratégie de gestion ou fermer le risque. Il crée une échéance pour la responsabilité et le suivi. Définissez une date et mettez-la à jour lorsque le risque se ferme ou que le plan change. |
Pour plus d’informations, consultez l’exemple de liste des risques.
4. Communiquer les risques liés au cloud
Transmettez clairement les risques cloud identifiés au sponsor exécutif et à la gestion au niveau exécutif. L’objectif est de s’assurer que l’organisation hiérarchise les risques cloud. Fournissez des mises à jour régulières sur la gestion des risques cloud et communiquez lorsque vous avez besoin de ressources supplémentaires pour gérer les risques. Promouvoir une culture où la gestion des risques cloud et la gouvernance font partie des opérations quotidiennes.
5. Examiner les risques liés au cloud
Passez en revue la liste actuelle des risques cloud pour vous assurer qu’elle est valide et précise. Les révisions doivent être régulières et également en réponse à des événements spécifiques. Conservez, mettez à jour ou supprimez les risques en fonction des besoins. Pour passer en revue les risques cloud, suivez ces recommandations :
Planifiez des évaluations régulières. Définissez une planification périodique pour passer en revue et évaluer les risques cloud, par exemple trimestriellement, semestriellement, ou annuellement. Recherchez une fréquence de révision qui convient le mieux à la disponibilité du personnel, au taux de changements d’environnement cloud et à la tolérance aux risques de l’organisation.
Effectuez des révisions basées sur des événements. Passez en revue les risques en réponse à des événements spécifiques, tels que la prévention des échecs d’un risque. Envisagez d’examiner les risques lorsque vous adoptez de nouvelles technologies, modifiez les processus métier et découvrez de nouveaux événements de menaces de sécurité. Envisagez également d’examiner les changements de technologie, de conformité réglementaire et de tolérance aux risques organisationnels.
Passez en revue les stratégies de gouvernance cloud. Conservez, mettez à jour ou supprimez des stratégies de gouvernance cloud pour résoudre les nouveaux risques, les risques existants ou les risques obsolètes. Passez en revue l’instruction de stratégie de gouvernance cloud et la stratégie d’application de la gouvernance cloud en fonction des besoins. Lorsque vous supprimez un risque, évaluez si les stratégies de gouvernance cloud associées sont toujours pertinentes. Consultez les parties prenantes pour supprimer les stratégies de gouvernance cloud ou mettre à jour les stratégies pour les associer à un nouveau risque.
Exemple de liste de risques
Le tableau suivant est un exemple de liste de risques, également appelée registre de risques. Personnalisez l’exemple pour répondre aux besoins et au contexte spécifiques de l’environnement cloud Azure de votre organisation.
| ID de risque | État de la gestion des risques | Catégorie de risque | Description des risques | Probabilité de risque | Impact sur les risques | Priorité des risques | Niveau de risque | Stratégie de gestion des risques | Application de la gestion des risques | Propriétaire du risque | Date de clôture des risques |
|---|---|---|---|---|---|---|---|---|---|---|---|
| R01 | Open | Conformité réglementaire | Non conforme aux exigences en matière de données sensibles | 20% OU moyen | 100 000 $ OU High | 20 000 € OU Élevé | Niveau 2 | Mitigate | Utilisez Microsoft Purview pour la surveillance des données sensibles. Rapports de conformité dans Microsoft Purview. |
Responsable de la conformité | 2024-04-01 |
| R02 | Open | Security | Accès non autorisé aux services cloud | 30% OU Élevé | $200 000 OU Élevé | 60 000 $ OU très élevé | Niveau 1 | Mitigate | Authentification multifacteur Microsoft Entra ID (MFA). Révisions mensuelles des accès pour Microsoft Entra ID Governance. |
Responsable de la sécurité | 2024-03-15 |
| R03 | Open | Security | Gestion du code non sécurisée | 20% OU moyen | $150 000 OU Élevé | 30 000 $ OU Élevé | Niveau 2 | Mitigate | Utilisez le référentiel de code défini. Utilisez le modèle de quarantaine pour les bibliothèques publiques. |
Responsable du développeur | 2024-03-30 |
| R04 | Open | Coûts | Dépassement des dépenses sur les services cloud en raison d’un surprovisionnement et d’un manque de surveillance | 40% OU Élevé | 50 000 $ OU Moyen | 20 000 € OU Élevé | Niveau 2 | Mitigate | Définissez des budgets et des alertes pour les charges de travail. Passez en revue et appliquez les recommandations relatives aux coûts d’Advisor. |
Responsable des coûts | 2024-03-01 |
| R05 | Open | Operations | Interruption du service en raison d’une panne de région Azure | 25% OU moyen | $150 000 OU Élevé | 37 500 $ OU Élevé | Niveau 1 | Mitigate | Les charges de travail critiques ont une architecture active-active. D’autres charges de travail ont une architecture active-passive. |
Responsable des opérations | 2024-03-20 |
| R06 | Open | Data | Perte de données sensibles en raison d’un chiffrement et d’une gestion incorrecte du cycle de vie des données | 35% OU Élevé | 250 000 $ OU Élevé | 87 500 $ OU très élevé | Niveau 1 | Mitigate | Appliquez le chiffrement en transit et au repos. Établissez des stratégies de cycle de vie des données à l’aide d’outils Azure. |
Responsable des données | 2024-04-10 |
| R07 | Open | Gestion des ressources | Configuration incorrecte des ressources cloud entraînant l’accès non autorisé et l’exposition des données | 30% OU Élevé | 100 000 $ OU High | 30 000 $ OU très élevé | Niveau 2 | Mitigate | Utilisez l’infrastructure en tant que code (IaC). Appliquez les exigences de balisage à l’aide d’Azure Policy. |
Responsable des ressources | 2024-03-25 |
| R08 | Open | AI | Modèle IA produisant des décisions biaisées en raison de données d’apprentissage non réprésentatives | 15 % OU Bas | $200 000 OU Élevé | 30 000 $ OU modérément élevé | Niveau 3 | Mitigate | Utilisez les techniques d’atténuation du filtrage de contenu. Modèles IA d’équipe rouge tous les mois. |
Responsable IA | 2024-05-01 |