Une approche pragmatique de l’analyse de risques

Gestion des risques

La cybersécurité est (ou devrait être) maintenant un sujet majeur pour toutes les entreprises. Les enjeux financiers, juridiques, réputationnels et opérationnels sont trop importants pour être ignorés.

Faut-il passer ?

Pour construire cette cybersécurité, il y a une infinité de démarches possibles, mais elles se rangent en deux grandes catégories.

  • La gestion par les règles

    Elle consiste à appliquer un référentiel d’exigences ou de bonnes pratiques. Les référentiels peuvent par exemple être l’ISO 27002, le guide d’hygiène de l’ANSSI, ou des guides techniques.

    Cette méthodologie est tout à fait intéressante : cela ne sert à rien de réinventer ce que les meilleurs experts ont déjà établi. On peut aussi y souscrire parce qu’on y est contraint : ISO 27001, RGPD, NIS, NIS2, HDS, SecNumCloud, etc. On parle alors plutôt de conformité que de sécurité.
  • La gestion par les risques

    S’il n’y a pas de besoin de conformité, si on veut savoir comment prioriser les chantiers cyber, ou quand il faut faire des choix pour lesquels il n’y a pas de règle, l’étude des risques est nécessaire. (Elle est aussi bien-sûr recommandée pour tout changement significatif sur un SI.)

    Le principe est alors d’établir et de valoriser les risques auxquels on est exposé, et d’y répondre par des mesures adaptées si nécessaire (corrections, protections supplémentaires, assurance, ou évitement).

Bien-sûr les deux démarches ne sont pas étrangères l’une à l’autre. Elles doivent au contraire s’articuler entre elles. Certains référentiels exigent une mesure des risques, et l’évaluation des risques s’appuient fréquemment sur un cadre de référence.

Par exemple, la mesure 5.8 de l’ISO/IEC 27002:2022 requiert l’évaluation des risques dans la gestion de projet. Ou l’exigence 5.3.a du référentiel SecNumCloud v3.2 : « Le prestataire doit documenter une appréciation des risques couvrant l’ensemble du périmètre du service ». Et à l’inverse, l’atelier 1 d’EBIOS RM comporte la détermination du socle de sécurité, c’est-à-dire l’ensemble des référentiels de sécurité applicables.

Des risques ?

Petit rappel : un risque est l’effet de l’incertitude sur un résultat escompté. C’est la définition de l’ISO. De manière plus simple, c’est la conjonction de la probabilité d’occurrence d’un évènement non souhaité et de ses impacts. On parle aussi de vraisemblance et de gravité.

Quand on interroge les gens sur la définition du risque, la notion de vraisemblance vient souvent, mais celle de la gravité est tout autant oubliée. Vous préférez la corruption d’un site web temporaire d’un évènement promotionnel passé ou celle de votre ERP ?

Exemple de matrice de risques

Le risque est une notion très générale. Il peut porter sur la sécurité routière, sur le succès d’un projet, sur la sécurité d’une entreprise, etc. Le sujet ici est le risque de cybersécurité.

  • La vraisemblance est elle-même liée aux notions de :
    • Vulnérabilité : failles techniques et défauts organisationnels ;
    • Menace : environnement (incendie, inondation, etc.), erreurs ou malveillance (des script-kiddies aux agences gouvernementales hostiles) ;
  • La gravité est mesurée selon les grandeurs habituelles de confidentialité, intégrité et disponibilité, et/ou en fonction des impacts financiers, juridiques, réputationnels et opérationnels.

À noter que le contexte actuel (et bon nombre de méthodes) poussent à concentrer l’analyse des menaces sur la malveillance.

Méthodologies d’analyse de risque

Pour évaluer les risques, on va dérouler une analyse de risques.

Différentes méthodes existent pour produire des analyses de risques. Elles peuvent se ranger dans trois grands types :

  • Les méthodes « documentées », reconnues, basées sur des guides validés par des acteurs de référence. Par exemple OCTAVE (développée par Carnegie Mellon University, peu rencontrée en France), ISO 27005 (peu opérationnelle), EBIOS (aujourd’hui dépréciée), MEHARI (peu utilisée) et surtout EBIOS RM.

    Ces méthodes sont en général assez lourdes, nécessitant parfois plusieurs dizaines de jours. Elles conviennent aux enjeux structurants sur des périmètres sensibles. Ce type de méthodologie peut être imposé par des régulateurs. (Pour un audit de qualification ANSSI, il est probablement préférable de présenter une méthode issue de l’ANSSI. Pour un audit 27001, il vaut mieux avoir une méthode compatible 27000.)
Scénario opérationnel en EBIOS RM (extrait du guide de l’ANSSI)
  • Les méthodes ad-hoc, réalisées par des experts (notamment des cabinets de conseil), plus ou moins formalisées. Une démarche est définie, mais elle laisse beaucoup de souplesse.

    Elles permettent d’obtenir des résultats rapidement (éventuellement en quelques heures), et sont adaptables selon les enjeux et les périmètres : entreprise, projet, choix technique…
  • Les méthodes d’entreprise, qui sont définies pour les besoins internes d’une entreprise. Elles sont souvent adaptées (allégées) d’une méthode documentée.

Mais, quelle que soit la démarche, les principes restent les mêmes :

  • Identifier les actifs primordiaux ou les valeurs métiers, autrement dit les données ou les processus vitaux pour l’entreprise ;
  • Identifier les menaces ou les sources de risque ;
  • Identifier les évènements redoutés et ses conséquences (gravité) ;
  • Identifier les vulnérabilités organisationnelles et techniques, et les chemins d’attaques possibles ;
  • Construire une matrice des risques et décider de leur gestion (refus, traitement, transfert, acceptation).

Outillage

Pour des analyses de risques ad-hoc, le plus simple est d’utiliser des outils bureautiques (texte ou présentation, avec un tableur pour la matrice).

Mais quand on aborde EBIOS RM, l’utilisation de ces outils rencontre des limites. L’utilisation de solutions spécialisées (commerciales) est vraiment une grande aide. Il faudra quand même suivre le logiciel libre CISO Assistant, qui commence à proposer une fonction « EBIOS RM » prometteuse (avec pour l’instant un retard sur la visualisation).

Les limites des méthodes « documentées »

Même si la méthode de référence en France reste EBIOS RM, chez enioka Conseil, nous pensons que mettre en place EBIOS RM n’est pas toujours la méthode la plus adaptée aux besoins pragmatiques des entreprises.

  • Le formalisme EBIOS RM exige un apprentissage ;
  • Dérouler les ateliers pour chaque périmètre nécessite un investissement financier et opérationnel non négligeable ;
  • La mise en forme des livrables sans outillage spécifique peut être laborieuse.

Si la méthode proposée par l’ANSSI est rassurante, ses principes restent de toute façon les mêmes (ceux listés précédemment), et la valeur des résultats tient pour beaucoup à la matière grise autour de la table.

Aussi, quand le périmètre est simple et connu, quand on n’a pas beaucoup de temps, et surtout quand aucun cadre n’a pas déjà été mis en place, une méthode ad-hoc est intéressante.

La situation typique est le projet que l’on n’avait pas vu venir, pour lequel il faut se prononcer rapidement :

  • 1 heure d’atelier avec le métier et le chef de projet technique pour comprendre le besoin, les actifs en jeu, en creusant les événements redoutés. Le plus souvent, l’équipe projet connaît déjà les risques, même s’ils ne savent pas les formaliser ;
  • Rédaction par l’expert des 5 à 10 risques intrinsèques principaux (si on doit en gérer plus, il faut probablement changer de méthode), en vraisemblance et en gravité, présenté sur une matrice ;
  • 1 heure d’atelier pour présenter la matrice et valider l’ordonnancement relatif des vraisemblances et des gravités des risques, puis pour comprendre la solution retenue et les mesures prévues ;
  • Création par l’expert de la matrice des risques résiduels, et proposition de mesures complémentaires ;
  • 1 heure d’atelier de validation ;
  • Finalisation du livrable par l’expert ;
  • 1 heure de restitution.

Cette démarche peut être déroulée en quelques jours, avec un coût limité. On passe peut-être à côté d’éléments mineurs, mais le projet n’est pas bloqué et on garde les risques sous contrôle. Il est préférable d’avoir des analyses de risques systématiques, même si elles ne sont pas complètes, que pas d’analyse de risque du tout (cas fréquent) ou engluées dans un formalisme parfois lourd qui est vécue comme une corvée, traitée avec peu de sérieux et sans conséquence toujours concrète sur le niveau de sécurité.

Attention : il n’est pas dit ici que les méthodes documentées ne sont jamais pertinentes. Certains enjeux nécessitent une démarche systémique, des études approfondies et du temps d’analyse. Il faut prendre le temps de réfléchir à la méthode. Chez enioka Conseil, nous proposons et réalisons des analyses de risques EBIOS RM ou ad-hoc, selon le contexte et l’intérêt de chaque entreprise.

Mesurez vos risques

Fediverse Reactions

Publié

dans

par

benoit.friry@enioka.com

Étiquettes :

,

En savoir plus sur enioka

Abonnez-vous pour poursuivre la lecture et avoir accès à l’ensemble des archives.

Poursuivre la lecture