Close
  • Français
  • English

23/12/2013L’industrialisation des cyber-risques [Par Jean Larroumets, FIDENS)

Alors que l’ensemble du monde de la cybersécurité s’entend sur la nécessité d’apprécier les risques et les cyber-risques avant d’engager toute démarche de sécurisation des systèmes d’information force est de constater que des progrès restent à réaliser. Peu d’organismes, grands groupes et grandes administrations compris, parviennent aujourd’hui à mettre en place et maintenir un processus d’appréciation et de gestion des cyber-risques complètement managé qui réponde efficacement aux objectifs opérationnels de ces structures, voire même à leur réglementation.

Ces 20 dernières années, le système d’information a pris une place prépondérante dans la vie économique et sociale des pays industrialisés et en voie de développement. Il est devenu une ressource essentielle à l’activité ; il concentre l’ensemble des éléments et moyens indispensables à toute structure pour remplir ses missions opérationnelles, réglementaires et stratégiques auprès de ses clients ou usagers.

Le système d’information et ses usages associés constituent ainsi une source de risques supplémentaires à intégrer dans le management des risques opérationnels globaux déjà existant dans les grandes structures. Le niveau d’exposition aux risques et cyber-risques est depuis quelques années en perpétuelle augmentation pour atteindre un niveau actuel estimé à très élevé. Que ce soit au niveau d’un état comme d’une grande entreprise, d’une collectivité ou d’une PME innovante, différents facteurs concourent à cette situation préoccupante : augmentation des sources de menaces, ouverture du système d’information, modification de certains usages, accroissement des probabilités d’occurrence des sinistres, intégration et dématérialisation d’informations à caractère nominatif, stratégique, social ou médical rendues alors accessibles à différentes entités, monétisation des cyber-attaques et mondialisation des échanges…  Pour ne prendre qu’un seul exemple, l’affaire Snowden démontre à quel point le niveau de risque a évolué. Un sous-traitant de l’agence de sécurité américaine, considérée comme l’entité la mieux protégée du monde, a eu accès à des millions d’informations nominatives d’internautes et des informations hautement stratégiques de renseignement. Cette seule personne a pu en dévoiler le contenu aux média malgré les mesures de sécurité extrêmes et les obligations juridiques qui pesaient sur sa personne et faire potentiellement vaciller les nations les plus puissantes de la planète.

Le système d’information est par nature en constante mutation, en perpétuelle évolution et modernisation : nouvelles technologies, dématérialisation de procédures, nouveaux usages, …  Dans un souci de pilotage, les directions exigent que ces évolutions soient réalisées en conformité avec la stratégie d’entreprise et qu’elles soient pilotées et suivies afin d’en garantir l’aboutissement dans le respect des coûts et délais. Au même rythme que les systèmes évoluent, leurs vulnérabilités et leurs menaces évoluent. Le cyber-risque et son appréciation doivent donc s’inscrire dans cette perspective de pilotage et de management.

Le cadre règlementaire a, depuis quelques années, bien intégré cette nécessité. Le gouvernement français a ainsi estimé nécessaire de renforcer, par voie d’ordonnance, la sécurité des échanges électroniques. Ainsi, la loi n° 2004-1343 du 9 décembre 2004 a autorisé le gouvernement à prendre par ordonnance les mesures nécessaires pour assurer la sécurité des informations échangées par voie électronique entre les usagers et les autorités administratives ainsi qu’entre les autorités administratives. En application de cette loi, l’ordonnance n° 2005-1516 ratifiée par le parlement le 22 février 2006 prévoit l’établissement d’un Référentiel Général de Sécurité (RGS), dans le but de fixer, selon le niveau de sécurité requis, les règles que doivent respecter certaines fonctions contribuant à la sécurité des informations. Le niveau de sécurité requis est établi sur la base d’analyses de risques, les risques résiduels étant acceptés par le biais d’un processus d’homologation. Les autorités administratives doivent mettre leurs systèmes d’information en conformité avec le RGS depuis le 17 mai 2013.

De même, le secteur banque/assurance renforce la réglementation associée à la gestion des risques et cyber-risques à la suite des conséquences de la crise financière qui frappe le monde depuis 2007. Les réformes règlementaires Solvability II et Bâle III imposent une gestion accrue du risque opérationnel et notamment du risque lié au système d’information. Les compagnies du secteur peinent, d’ailleurs à ce jour, à intégrer le calcul du cyber-risque dans leurs systèmes d’appréciation existants.

Les données à caractère personnel largement exposées dans les systèmes actuels et les futurs big data, ou datamasse, voient aussi leur réglementation en cours de renforcement. Le cadre défini par la loi relative à l’informatique, aux fichiers et aux libertés du 6 janvier 1978, réformée par la loi du 6 août 2004, qui transposait, de façon libre, la directive européenne du 24 octobre 1995 sur la protection des données à caractère personnel (dir. 95/46/CE) devrait évoluer. En effet, la Commission européenne a adopté un projet de règlement européen et de directive réformant le cadre de la protection des données qui devrait entrer en vigueur dans chaque pays membre de l’Union en 2016, soit deux ans après sa publication et adoption par le Conseil et le Parlement européens. Cette directive rendrait obligatoire une démarche d’analyse et de gestion des risques par l’entreprise (tailles et secteurs encore à définir) pour mieux appréhender la protection des données à caractère personnel.

Côté Défense, la France dispose depuis de nombreuses années d’une règlementation visant à protéger le secret de la Défense nationale. L’IGI 1300 relative à la protection du secret de la Défense nationale impose depuis 2003 (en remplacement de l’instruction du même nom publiée en 1982) de mettre en œuvre une gestion globale des risques de sécurité pour l’ensemble du système d’information tout au long de son cycle de vie. Cette approche, dite « démarche d’homologation de sécurité » vise à permettre d’identifier, d’atteindre puis de maintenir un niveau de risques de sécurité acceptable pour le système d’information considéré, compte tenu du niveau de protection requis. Tout système d’information traitant des informations ou supports protégés doit faire l’objet d’une homologation.

L’ensemble du cadre règlementaire converge donc vers une meilleur appréciation et gestion du cyber-risque. Le secteur Santé (hébergeur de données de santé), le secteur du Jeu (WLA et Arjel en France), Sarbanes-Oxley, la loi de Sécurité Financière, la loi sur les nouvelles régulations Economiques (Directive européenne audit légal 2006/43/CE dite 8ème directive) imposent également directement ou indirectement que soit défini un processus d’appréciation et de gestion des risques inscrit dans une démarche d’amélioration continue. Les organismes sont ainsi contraints d’engager une démarche d’industrialisation de la gestion du risque.

Cette démarche globale et managée demande aux organismes de passer d’une démarche individuelle d’appréciation (expert sécurité et son fichier excel) à une démarche systématique, managée, outillée et partagée. L’industrialisation est un processus qui renverse les techniques de production : le système artisanal, manuel, de production, dans des lieux dispersés, est remplacé par une production recourant de plus en plus à une énergie provenant de systèmes automatisés, productions en grandes séries, centralisé, utilisant des normes ou standards afin d’obtenir des produits (ici la cartographie des cyber-risques) d’une qualité homogène (comparable et reproductible). Le passage d’un travail domestique à un travail de plus en plus spécialisé change radicalement les usages.

La gestion industrialisée des risques doit être adaptée à l’environnement de l’organisme, et alignée sur la démarche générale de gestion globale des risques. Elle doit faire partie intégrante de l’ensemble des activités de management de la sécurité de l’information que ce soit au niveau de la sécurité opérationnelle comme dans la prise en compte de la sécurité dans les nouveaux projets.

En premier lieu, le succès de l’industrialisation de la gestion du risque va dépendre de l’efficacité du cadre organisationnel de management qui fournit les bases et les dispositions permettant son intégration à tous les niveaux de l’organisme. Le processus de gestion doit être adapté et déployé aux différents niveaux de l’organisation et permettre la collaboration entre ces niveaux. Chaque strate de l’organigramme a un rôle à jouer. Le top management doit définir la stratégie de gestion, fournir les ressources nécessaires et participer activement à l’arbitrage des risques globaux. Chaque direction métier doit participer à l’appréciation des conséquences de la réalisation d’un risque. La DSI doit participer à l’identification des risques et des mesures de sécurité existantes. Les cellules d’expertise sécurité doivent définir et mettre en pratique la méthode et l’appréciation des menaces et des mesures. L’ensemble de ces actions et efforts consentis doit permettre d’adresser les cyber-risques de manière efficace, opportune, pérenne en s’inscrivant dans un processus continu d’améliorations.

Le processus de gestion doit aussi être intégré aux processus existants : la gestion des incidents (un incident n’est-il pas un risque avéré ?), la gestion de crise, la gestion de projet pour la prise en compte des cyber-risques et des mesures y afférant lors des phases de conception ; la gestion de la continuité d’activité au travers des études de type « Business Impact Analysis » visant à prioriser la remise en fonction ou la continuité des activités essentielles de l’organisme , les référentiels d’audits, …

La réussite de l’industrialisation de la gestion des risques dépend ainsi en partie de la faculté de l’organisme à intégrer l’ensemble de ces processus au sein des processus de management existants tout en donnant du sens à l’approche sécuritaire. Cette démarche ne peut être engagée qu’avec un engagement fort de la direction.

L’industrialisation du processus de gestion de risques repose aussi sur la définition et le maintien d’un socle d’appréciation solide. Le socle d’appréciation est en effet l’ensemble des méthodes et référentiels qui permettent l’identification et l’appréciation systématique des risques. Cette appréciation passe par le choix ou la définition d’une méthode d’appréciation. Sur le territoire français, les méthodes les plus couramment utilisées sont EBIOS (ANSSI) et MEHARI (CLUSIF). Cependant, certains organismes ont développé leur propre méthodologie souvent dérivée, en France, de l’une de ces deux méthodes.

C’est l’utilisation systématique de la même méthode d’appréciation à tous les niveaux : processus d’audit, analyse de risques, sécurité dans les projets, gestion d’incident, PCA/PRA qui permettra à l’organisme de développer sa propre culture du risque et de consolider au fil des améliorations (de son SI) une cartographie détaillée des risques.

Cependant à elle seule la méthode ne suffit pas. Elle définit l’algorithme de calcul du niveau de risque et permet d’en structurer le scénario. Elle doit cependant s’appuyer sur des bases de connaissances qui, une fois passées au crible de la méthode, permettront d’aboutir à une cartographie des risques (liste de scénarios de risques hiérarchisés la plupart du temps). L’ISO/IEC 27005, par exemple, caractérise un scénario de risque par l’association d’actifs primordiaux, de actifs en support, de vulnérabilités, de menaces et de conséquences. Le socle d’appréciation des risques doit alors intégrer et maintenir des bases de connaissances d’actifs, de vulnérabilités et de scénarios de menaces. La constitution, le maintien, l’amélioration et le partage de ces bases de connaissances sont à l’heure actuelle l’un des principaux écueils auquel se heurtent les organismes qui s’essaient à l’industrialisation de la gestion des risques à grande échelle. Or, l’utilisation systématique de la même méthode associée à des bases de données communes et partagées est un gage fondateur que les résultats produits sont reproductibles et homogènes sur l’ensemble du périmètre.

Le cadre d’appréciation du risque est une brique essentielle à la démarche d’industrialisation. Il doit être outillé en priorité. La méthode et les référentiels peuvent ainsi être embarqués au sein d’un logiciel d’appréciation et de gestion des cyber-risques qui garantit alors que le cadre est systématiquement respecté pour l’ensemble des acteurs participant au processus (les acteurs ne pouvant réaliser d’analyses de risques qu’au travers de ce système expert). Le logiciel doit aussi permettre la mise à disposition et l’amélioration continue des référentiels d’appréciation.

L’appréciation systématique des risques permet la consolidation continue de la cartographie des risques. La cartographie peut ainsi être globale et présenter l’ensemble des risques qui pèsent sur l’organisme, ou partielle, c’est-à-dire, limitée à un périmètre défini par exemple une filiale ou un système particulier. Chaque risque doit pouvoir remonter au niveau de responsabilité auquel il est rattaché. La cartographie doit permettre cette présentation hiérarchique pour faciliter les arbitrages.

Sur la base de cette cartographie actualisée, les risques font, selon leur gravité et la stratégie de gestion, l’objet d’un traitement. Les plans de traitement du risque sont destinés à documenter la manière dont les options de traitement choisies vont être mises en œuvre et aboutir à la définition d’un plan d’action visant à réduire les risques à un niveau acceptable. Les traitements doivent être arbitrés en tenant compte à la fois des niveaux de risque et conséquences associées mais aussi des actions à mettre en œuvre pour les réduire (coûts, complexité, durée, ressources, …). L’ISO/IEC 27001:2005 [4.2.1] recommande que le plan de traitement des risques et l’appréciation des risques résiduels soient soumis à décision d’acceptation par les dirigeants de l’organisation ou les responsables des risques (nouvelle version de l’ISO 27001:2013  – 6.1.3 f). Cette décision doit être enregistrée formellement dans le cadre d’une démarche ISO27001. Les plans de traitements doivent eux aussi faire l’objet d’un suivi et être intégrés aux moyens de pilotage de l’organisme. Les systèmes de management de la sécurité permettent notamment ce suivi.

Les entreprises, grandes administrations et collectivités ont commencé à poser les fondations et les premières pierres du processus de gestion des risques en conformité avec les standards et règlementations, mais elles peinent encore à le généraliser.

Un virage doit être ; mais la maturité du secteur, la crise économique n’ont pas, ces dernière années, facilité la véritable industrialisation du processus de gestion des cyber-risques et ce malgré la pression règlementaire croissante.

L’industrialisation est inéluctable. Elle devrait permettre à terme de faire passer l’organisme d’un mode artisanal à base de tableurs Excel dont la complexité ne permet souvent pas le suivi dans la durée,  à un mode managé et outillé dans lequel la méthode et le cadre d’appréciation est pris en compte de façon transparente par un système expert ou logiciel.

Cet article a été écrit par Jean Larroumets dans le cadre du Forum International de Cybersécurité 2014.

Toulon – Le 25 novembre 2013

FIDENS est candidat au Prix de la PME Innovante du FIC 214.