Risque positif dans le cadre de la cybersécurité

Greg Bell, Amazon Web Services (AWS)

Mai 2022 (historique du document)

Généralement, le risque est perçu de manière négative, comme l'exposition à une perte ou la gestion d'un événement défavorable. Cependant, l'Organisation internationale de normalisation (ISO) définit le risque comme « l'effet de l'incertitude sur les objectifs ». Dans ce cas, l'effet peut être positif ou négatif.

Les risques réels peuvent varier d'un secteur à l'autre, mais cette définition standard s'applique à tous, et chaque secteur d'activité présente à la fois des risques négatifs et positifs. Dans le secteur de la cybersécurité, le risque négatif fait référence à une perte potentielle, tandis que le risque positif fait référence au gain potentiel d'actifs, de connaissances, d'améliorations ou de données.

Les domaines de la gestion de projet et de l'informatique ont adopté la stratégie qui consiste à évaluer les risques positifs dans les rapports métier et les décisions métier. Cependant, le secteur de la cybersécurité ne l'a pas encore adoptée comme pratique courante, et de nombreuses méthodologies de gestion des risques continuent de se concentrer sur les risques négatifs. Si elles parlent d'un risque positif, ce n'est que brièvement.

Traditionnellement, la cybersécurité considère le risque uniquement sous un angle négatif. Voici les deux types courants de risque négatif dans le domaine de la cybersécurité :

Risque à la baisse : exposition à des pertes dues à des facteurs externes, tels qu'une menace. Par exemple, les cybercriminels peuvent introduire un incident de sécurité ou en augmenter la probabilité.
Risque à la hausse : exposition à une perte dans le but de réaliser un gain, comme une vulnérabilité résultant du changement. Par exemple, lors de l'implémentation d'une stratégie informatique, vous risquez d'augmenter par inadvertance le risque d'incident de sécurité. Le risque à la hausse n'est pas la même chose qu'un risque positif. Même s'il survient dans le but de réaliser un gain, le risque à la hausse se concentre sur le potentiel de perte.

Jusqu'à récemment, la cybersécurité ne prenait en compte que le risque négatif, tandis que la définition du risque était axée sur un résultat négatif potentiel. Les risques positifs mettent l'accent sur le résultat positif potentiel dès le début de l'identification des risques. L'exclusion des risques positifs empêche de reconnaître les résultats positifs en matière de cybersécurité. En raison de l'importance accordée aux risques négatifs, les dirigeants considèrent généralement la cybersécurité comme réactive plutôt que proactive et sous-estiment sa contribution aux résultats métier positifs.

Ce document définit les risques positifs pour le secteur de la cybersécurité et décrit les avantages et l'importance d'inclure les risques positifs dans votre stratégie de cybersécurité.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Avantages des risques positifs