Établir des évaluations de risques et des méthodes d’atténuation

Effectué

De nombreuses organisations s’assurent que leur cybersécurité est de premier ordre à l’aide d’évaluations des risques. Si votre organisation en possède déjà une, il est judicieux d’y jeter un œil avant de créer quoi que ce soit pour Microsoft Power Platform.

Vous souhaitez avant tout éviter de créer un élément pour Power Platform qui ne correspond pas à votre plan global de cybersécurité. Vérifiez donc ce dont vous disposez et assurez-vous que tout est en phase.

Sinon, les sections suivantes mettent en évidence certaines considérations vous permettant d’établir un processus simple d’évaluation des risques qui vous aide à suivre, mesurer et contrôler les risques au sein de votre organisation.

Établir une base de référence à l’aide de normes

Dans les organisations, il est important d’établir des règles et directives claires. Si vous souhaitez que les créateurs suivent ce que l’organisation attend, vous devez préciser ce qui est acceptable et ce qui ne l’est pas.

Mais voici le problème : s’ils ne connaissent pas ces règles, ils ne peuvent pas les suivre. Il est donc judicieux de rendre ces règles visibles. Vous pouvez les mettre sur un site Intranet ou un wiki. Vous pouvez même en informer automatiquement les utilisateurs lorsqu’ils créent leur premier flux ou leur première application. Nous en parlerons davantage dans une autre partie de ce module.

Mettre en place des contrôles de gouvernance pour prévenir les actions indésirables

La gouvernance est utile seulement si elle est appliquée. Une organisation doit établir des règles et contraintes de base pour éviter que des données finissent entre de mauvaises mains.

Établir un processus d’exception

Dans certaines situations, il peut exister un besoin métier légitime d’autoriser une action ou activité spécifique. Cependant, il est important qu’une telle décision soit documentée avec le bon niveau de visibilité par les personnes habilitées.

Suivre les exceptions

Accumuler les risques sans pouvoir mesurer l’exposition globale d’une organisation s’apparente à un exercice vraiment futile. Pour gérer efficacement les risques et viser une amélioration continue, les organisations doivent suivre les exceptions, évaluer leur impact, attribuer la responsabilité de gérer les risques et les examiner régulièrement.

Certaines organisations exploitent Microsoft Power Platform pour faciliter ce processus. Comme indiqué dans la présentation du module sur la sécurité et la gouvernance de Microsoft Power Platform, le starter kit Center of Excellence comprend le Developer Compliance Center. Cet outil aide les organisations à contrôler le déploiement de nouvelles applications et encourage les créateurs d’applications à justifier la nécessité de leurs applications. Il s’agit d’une approche systématique visant à maintenir le contrôle et garantir l’existence utile de chaque application.

Examiner et signaler régulièrement les exceptions

Pour encourager les bonnes actions, il est essentiel de rendre les risques clairs et compréhensibles. Si les utilisateurs ne voient pas comment les risques pourraient réellement avoir un impact ou des conséquences, ils ne verront peut-être pas de raison de changer ce qu’ils font.

Lorsque vous avez une vision claire des risques dans votre organisation, les responsables peuvent évaluer si l’ampleur des risques leur convient ou s’ils doivent apporter des changements. C’est comme avoir une bonne vue à travers le pare-brise pour conduire en toute sécurité.