Secu

SPECIAL FIC : 6 actions pour résister aux cybermenaces de 2030

Par La rédaction, publié le 28 mars 2023

Prendre en compte le risque de sécurité IT avec méthode

Identifier les risques de sécurité, leur probabilité de réalisation et leur impact financier potentiel est essentiel afin de définir une feuille de route dédiée à la cybersécurité, en y affectant les ressources nécessaires. Plusieurs méthodes, dont une française, sont largement utilisées.

Nous l’avons vu, la cybersécurité est une réponse aux risques numériques. C’est donc au plus haut que les décisions doivent être prises, avec l’appui du RSSI, voire de la direction des risques. Pour traiter les risques de sécurité numérique avec efficacité, il faut pouvoir les identifier, les qualifier, en déterminer la probabilité de survenue, puis en quantifier les effets. Afin de réaliser ces travaux, l’entreprise pourra s’appuyer sur plusieurs référentiels éprouvés et guides techniques relatifs à la sécurité de l’information et des systèmes d’information.

ISO, NIST ou EBIOS ?

Une première solution est d’adopter l’écosystème de normes ISO/CEI 27000. « Cette série de normes est particulièrement riche, explique Étienne de Séréville, officier central de sécurité chez IBM. Si la norme ISO/CEI 27005 traite de l’analyse des risques, cette suite couvre tous les aspects de la sécurité informatique, y compris le volet cybersécurité, abordé plus spécifiquement dans l’ISO/CEI 27032. Cette série est incontournable, car elle est le fruit d’un travail collaboratif mené à l’échelle internationale, ce qui en fait une référence en matière de bonnes pratiques. Elle est également simple à comprendre et propose des catalogues de menaces et de vulnérabilités. »

Le référentiel NIST SP 800 30 est aussi largement utilisé. « Plus ancien et plus technique, il nécessite souvent un outillage spécifique pour être pleinement exploité. Ce référentiel très détaillé reste particulièrement populaire dans la sphère anglo-saxonne. Les grands éditeurs américains architecturent leurs solutions autour de ce référentiel. »

En France, les entreprises peuvent profiter des travaux réalisés par l’Anssi, l’Agence nationale de la sécurité des systèmes d’information. En l’occurrence la méthode d’analyse des risques EBIOS Risk Manager, aujourd’hui gérée par le Club EBIOS. Une méthode qui prend pleinement en compte le risque cyber.

« La dernière mise à jour de l’EBIOS Risk Manager se concentre sur les menaces d’aujourd’hui, décrites dans le top 15 du Threat Landscape Report 2020 de l’Enisa : malwares, attaques web, phishing, dénis de services, vols d’identités, fuites de données, botnets, rançongiciels, etc. Elle est donc à la pointe de l’actualité, même si elle ne s’intéresse toujours pas à la problématique de la sécurité physique des infrastructures… bien traitée par ailleurs dans l’écosystème ISO. »

Quantifier le risque pour agir de façon optimale

Si elles permettent de qualifier le risque, ces méthodes ont comme limite commune de ne pas le quantifier. « C’est pour répondre à cette problématique que le standard FAIR (Factor Analysis of Information Risk) a été mis au point. Il permet de mesurer le coût d’un risque cyber, chose essentielle pour déterminer son poids financier potentiel pour l’organisation. L’élément intéressant est que cette méthode de quantification des risques complète les méthodes de qualification des risques. Il est ainsi possible de coupler l’EBIOS RM à FAIR. »

L’Europe est particulièrement active dans le secteur de la cyberdéfense, en grande partie sous l’impulsion de l’Enisa (l’agence européenne pour la cybersécurité), qui n’hésite pas à s’inspirer des travaux d’organismes comme le BSI allemand et l’Anssi française. La directive NIS2 promet d’être une étape supplémentaire en matière de cybersécurité. Elle étendra en effet la nécessité de gérer les risques cyber, jusqu’alors limitée aux opérateurs de services essentiels, à de nouveaux secteurs et s’appliquera ainsi pour la première fois aux fournisseurs de services numériques. DAVID FEUGEY