Cybersécurité : analyse des risques et évolutions méthodologiques

La méthode harmonisée d’analyse des risques Méhari, développée par le Clusif a connu un certain nombre d’aménagements en 2007. Méhari fournit un cadre, des méthodes et des bases de connaissances pour pouvoir répondre aux quatre questions suivantes : Quels sont les enjeux majeurs ? Quelles sont les vulnérabilités ? Quels sont les risques et quel est leur niveau de gravité ? Quel pilotage de la sécurité faut-il mettre en œuvre ?

Méhari propose donc un ensemble de modules indépendants pouvant être utilisés de diverses manières et avec des objectifs variés : l’analyse des enjeux et leur classification, l’audit des services de sécurité, la détection des risques critiques et l’analyse des situations de risques conduisent à quatre types d’actions : les plans d’action basés sur l’analyse des enjeux, la gestion des risques des projets, les plans d’action basés sur l’analyse des risques et les plans d’action basés sur l’audit des vulnérabilités.

Dans la méthodologie Méhari, l’analyse des enjeux de la sécurité recouvre la définition suivante : d’une part, l’identification des dysfonctionnements potentiels pouvant être causés ou favorisés par un défaut de sécurité et, d’autre part, l’évaluation de la gravité de ces dysfonctionnements. Cette analyse se traduit à la fois par une échelle de valeurs de dysfonctionnements, document de référence centré sur les impacts « business », ainsi que par une classification formelle des informations et des ressources du système d’information.

Optimiser les investissements en fonction de la criticité des risques

En réalité, cette analyse des enjeux est utile et, le plus souvent, nécessaire : il s’agit, en effet, d’être sélectif dans les moyens à mettre en œuvre et ne pas engager de dépenses là où les enjeux sont faibles. Il importe également d’éviter au maximum des contraintes inutiles aux utilisateurs. De même, il faut répondre à l’inévitable question des dirigeants d’entreprises, face à un budget sécurité : « est-ce bien nécessaire d’investir autant ? ». Cette analyse des enjeux est enfin nécessaire parce qu’aucune démarche d’analyse de risque n’est possible sans cette étape préalable.

Dans sa version actuelle, la méthodologie Méhari propose un guide séparé développant et détaillant les étapes du processus d’analyse et de classification, de même qu’un livrable type pour l’échelle de valeur des dysfonctionnements et un exemple concret de livrable. Outre des tableaux types support de cette classification des ressources du système d’information, on trouve dans Méhari des mécanismes permettant de passer de la classification formelle des ressources aux conséquences des scénarios de risques de la base de connaissances Méhari.

L’analyse des vulnérabilités comprend l’identification des faiblesses et des défauts des mesures de sécurité, ainsi que l’évaluation quantitative de la qualité des mesures de sécurité. Dans Méhari, cette analyse couvre trois éléments : d’abord, l’efficacité des services de sécurité : certaines serrures sont plus faciles à violer que d’autres ou couvrent un nombre de cas plus important que d’autres. ensuite, leur robustesse : comment sont traitées les défaillances du service lui-même, les erreurs du personnel qui le met en œuvre et les possibilités de contournement ? Enfin, leur mise sous contrôle : comment est garantie la pérennité des dispositions pratiques mises en place ?

Là encore, cette analyse des vulnérabilités est utile est nécessaire, à la fois pour vérifier l’absence de points faibles inacceptables (elle peut alors donner lieu à des plans d’actions immédiats), pour évaluer l’efficacité des mesures mises en pace et garantir leur efficience (il est alors nécessaire de disposer d’une base de connaissance « experte ») et, enfin, pour se comparer à l’état de l’art ou aux normes en usage : l’aspect normatif est alors plus important que l’expertise de la base de connaissance support. La nouvelle mouture de Méhari apporte une couverture complète du contexte de travail de l’entreprise (tout type d’information et de support, ensemble de l’environnement de travail), un guide de mise en œuvre et des bases de connaissances (questionnaires-types) et des liens directs vers l’analyse des risques induits par les faiblesses mises en évidence. En outre, des tables de correspondance permettent de fournir des résultats de points de contrôle sous forme d’indicateurs alignés sur le standard ISO 17799 (2005).

Ramener  les risques à des niveaux acceptables

L’analyse des risques, dans la méthodologie Méhari, correspond à l’identification des situations susceptibles de remettre en cause des résultats attendus de l’entreprise, ainsi que l’évaluation de la probabilité de telles situations, de leurs conséquences possibles et de leur caractère acceptable ou non. De même, on met en évidence des mesures susceptibles de ramener chaque risque à un niveau acceptable. Dans ce contexte, l’analyse des risques est indispensable pour définir les mesures les mieux adaptées aux enjeux. Il peut s’agir d’une démarche de management traditionnel par « politique de sécurité » orientée et alimentée par une analyse de risques.

Il s’agit également de mettre en place un management des risques et de garantir que toutes les situations de risques critiques ont été identifiées et prises en compte : il s’agit alors d’un politique de management de la sécurité par le management des risques. Enfin, cette analyse des risques est indispensable pour gérer les risques d’un nouveau projet (informatique, business, implantation…).

Sur ce plan, Méhari apporte un modèle de risque et des métriques associées : évaluation de la potentialité intrinsèque de situations de risques, des conséquences possibles de la situation de risque, des facteurs de réduction de risque, et des automatismes de calcul du niveau de gravité des risques. La consolidation des analyses de risques s’effectue sous forme de plan d’action, avec un module de consolidation des besoins et l’optimisation des mesures à mettre en œuvre.

L’ensemble exige un pilotage, autrement dit un cadre structurant pour définir les objectifs annuels ou les étapes de plans d’action, des indicateurs permettant de comparer les résultats obtenus aux objectifs (en termes qualitatifs et quantitatifs, et de délais). Il demande également des références externes facilitant un « benchmarking ».

Exemple d’échelle partielle de valeurs de dysfonctionnements

Dysfonctionnement

Niveau 1

Non significatif

Niveau 2

Important

Niveau 3

Très grave

Niveau 4

Vital

Falsification des données de paie conduisant à une fraude Perte < 0,1 ME Perte comprise entre 0,1 ME et 1 ME Perte comprise entre 1 et 10 ME Perte > 10 ME
Divulgation d’informations sur des données personnelles Divulgation du salaire d’un employé Divulgation des salaires (ensemble du personnel) Divulgation répétée des salaires du personnel
Retard dans le paiement des salaires Retard < 2 jours Retard compris entre 2 et 15 jours Retard > 15 jours
Destruction des données de base concernant le règlement de la paie (calcul et paramétrage) Effacement des données récentes (moins d’un mois) Effacement des données de l’année Destruction des données et de tout l’historique

Source : Clusif

Cet article a été rédigé par Pascal Lointier, Président du Clusif.