Risques
02/11/23 09:38
La notion de risque est probablement une des notions les plus importantes en matière de sécurité en générale et de cybersécurité en particulier. Peut-être aurait-il fallu aborder cette notion en premier lieu avant de vulgariser les concepts de cybersécurité et cyberdéfense ? Quoi qu’il en soit, il n’est jamais trop tard. Le risque est effectivement central puisque la sécurité d'une entité s'envisage individuellement ou collectivement comme l'état d'une situation présentant le minimum de risque. Nous voyons que premièrement la sécurité est un état et que cet état est indissociable de la notion de risque. Gérer la sécurité c’est donc gérer des risques. Et quand il s’agit de cybersécurité, il s’agira donc de gérer des cyber-risques. La gestion des risques est la discipline qui identifie, évalue et hiérarchise les risques puis les traite méthodiquement, de manière coordonnée et économique, afin de réduire et contrôler la probabilité des événements redoutés, et leur conséquence éventuelle. Il y a donc bien un double aspect, sous la forme de la dualité des concepts de robustesse et de résilience, concepts que j’ai déjà abordés précédemment. D’un côté réduire et contrôler la probabilité des événements, il s’agit ici en matière de cyber de sensibilisation, protection, détection et réponse. Et d’un autre côté, de gérer les conséquences de ces événements lorsqu’ils surviennent, ici nous sommes dans la résilience, la capacité à subir l’attaque avec le minimum de conséquence sur l’activité. En matière de risques, la gestion s’exerce toujours de la même manière quel que soit l’origine du risque, il n’y a que quatre possibilités :
· Prévention : l’objectif est d’empêcher que l'événement redouté ne se produise, cela montre tout l’intérêt notamment de la sensibilisation ou de l’acculturation au cyber des collaborateurs d’une organisation, ce n’est pas le seul volet de la prévention mais c’est probablement le plus difficile à réaliser. Il y a aussi en matière de prévention, toutes les approche de protection dont l’objet est de bloquer la menace avant qu’elle n’atteigne le système d’information. C’est ici que nous retrouvions toute une panoplie de solutions portant dans différents domaines technologiques et dont le but est d’empêcher qu’un événements non désiré mais prévisible ne survienne. Nous trouverons ici les technologies de filtrage (pare-feux, pare-feux de nouvelle génération, pare-feux applicatifs Web, protection du poste de travail…etc) mais aussi les procédures et postures de protection (procédures d’accès, sensibilisation des collaborateurs…etc)
· Réduction, : ici l’objectif est de diminuer les conséquences de l'événement redouté. Nous trouverons ici toutes les approches de détection et de réponse aux menaces qui vont permettre, grâce à une détection précoce, de minimiser les conséquences de l’activité des acteurs de la menace par exemple en empêchant la latéralisation ou en réagissant très vite après la primo-infection. Nous trouverons également les mécanismes de résilience active comme les systèmes de sauvegarde et restauration sous leurs différentes formes, les procédures de reprise et continuité d’activité, les cellules de gestion de crise cyber…etc
· Transfert : l’objectif du transfert du risque est de transformer l'aléatoire en surcoût déterminé généralement pris e charge par un spécialiste du domaine. C’est le principe de le cyber-assurance. Du coup, le responsable du risque est une autre entité qui l’assumera donc en totalité, généralement financièrement, mais pas toujours exclusivement sous cette forme. Aujourd’hui, de nombreux assureurs ne se contentent pas de prendre en charge les frais associés à un sinistre cyber (pertes d’exploitation, cout des arrêts de travail, frais de remise en service…etc) mais interviennent directement, via des experts, des outillages, des procédures et de l’assistance pour la résolution de la crise.
· Acceptation : il s’agit ici d’assumer le risque, c’est le cas notamment lorsqu’il est trop faible pour justifier le coût d'une réduction ou d’un transfert. Cela induit la notion de mesure du risque, et même s’il existe plusieurs modèles, il y a quand même des constantes et le risque se quantifie à travers deux caractéristiques principales : la probabilité qu’il survienne (également fréquence ou occurrence) et les conséquences induites (également impact ou sévérité). Ainsi un risque élevé sera un risque très probable avec des conséquences importantes et inversement un risque faible aura peu de probabilité de se produire et des conséquences bégnines. Toutes les combinaisons sont bien entendu possibles.
Nous pouvons constater ici, qu’il ne s’agit pas uniquement de prévenir tous les risques, mais bien d’avoir une gestion cohérente en fonctions des différents facteurs de probabilité d’occurrence, de conséquences directes et indirectes et de coût de prévention. D’ailleurs nous l’entendons souvent, y compris dans le langage courant : le risque zéro n’existe pas. Il serait utopique de vouloir supprimer tous les risques et le coût d’une telle approche serait très certainement rapidement rédhibitoire. L’objectif est donc bien de travailler sur toutes les possibilités : prévenir les risques les plus importants et probables, réduire les conséquences de ceux échappant à la prévention, transférer ceux pouvant l’être et pour lesquels le coût de transfert est acceptable et accepter les risques résiduels. Dans l’esprit du commun des mortels, ce n’est pas une approche complétement naturelle, en effet le risque est souvent associé au danger et la tentation première est de se soustraite à tous risques. Et ce d’autant plus que nous vivons aujourd’hui dans une société qui a développé une aversion aux risques, quels qu’ils soient. En fait, risques et dangers ne sont pas équivalents, le danger est la capacité intrinsèque de causer un dommage alors que le risque est le résultat de l'exposition à un danger.
Pour revenir plus directement sur notre sujet, toute bonne politique de sécurité (et donc de cybersécurité) devrait s’appuyer sur une analyse de risques préalable. En général, même si nous parlons du système d’information comme d’un ensemble cohérent, il est en réalité multiple et les risques ne seront pas traités de la même manière selon la partie du système d’information concerné. En effet, le rôle premier de celui-ci est de permettre à l’organisation en question d’exercer son activité, et les risques visant indirectement l’outil de production ne seront pas gérés de la même manière que ceux visant les activités annexes ou les fonctions de confort. A titre d’exemple, les risques portant sur un site marchand pour un détaillant vendant sur Internet ne seront pas traités de la même manière qu’un site institutionnel d’une société de conseil. Cela nécessite donc de définir une cartographie du système d’information et de définir les ressources critiques, importantes et mineures de celui-ci.
Finalement, le résultat sera une sorte de matrice définissant pour chaque risque et pour chaque catégorie de ressources du système d’information, la manière dont il sera géré.
Pour aller un peu plus loin sur cette notion de risque, nous pouvons considérer que la cybersécurité et son bras armé, la cyberdéfense, peuvent être vues comme un combat contre les acteurs de la menace quelle que soit leur origine. Certains parlent même d’une guerre opposant les défenseurs à une armée d’attaquant malintentionnés. Cela revient à considérer la menace non pas comme quelque chose d’indéterminée et d’impersonnelle mais bien comme un adversaire disposant d’intentions, de volonté et d’une psychologie. Cette notion a des conséquences directes sur la manière d’analyser les risques et de prendre les décisions afférentes. En cela, il devient possible de mettre en œuvre quelques grands principes liés à la prise de décisions et de risques du domaine militaire. Le premier point à considérer est que l’adversaire n´est jamais un autre nous même, il a ses propres motivations, sa propre volonté et sa propre façon d’agir, et considérer son action à travers le prisme de nos manières de décider est une erreur. Le second point est que le doute est salvateur, et tenir des éléments pour acquis dans un contexte de conflit est aussi une erreur. Le troisième point, et peut-être un des plus important est de se connaitre, ses forces, ses faiblesses mais aussi ses biais potentiels en matière de perception du risque. Enfin, et même s’il est toujours utile d’échanger et de partager, au moment de la décision, il est nécessaire de s’affranchir des cercles autour de soi. Mais les similitudes avec le domaine militaire s’arrêtent ici, la particularité de la cybersécurité est d’être totalement asymétrique et limitée à la seule défense.
La notion de risque est ainsi fondamentale à la cybersécurité, et il est compliqué voire impossible de définit une politique de sécurité sans avoir au préalable effectué une analyse de risque sur le périmètre complet du système d’information. Ce n’est qu’à cette condition qu’il sera possible de décider de la gestion de chacun des risques.
· Prévention : l’objectif est d’empêcher que l'événement redouté ne se produise, cela montre tout l’intérêt notamment de la sensibilisation ou de l’acculturation au cyber des collaborateurs d’une organisation, ce n’est pas le seul volet de la prévention mais c’est probablement le plus difficile à réaliser. Il y a aussi en matière de prévention, toutes les approche de protection dont l’objet est de bloquer la menace avant qu’elle n’atteigne le système d’information. C’est ici que nous retrouvions toute une panoplie de solutions portant dans différents domaines technologiques et dont le but est d’empêcher qu’un événements non désiré mais prévisible ne survienne. Nous trouverons ici les technologies de filtrage (pare-feux, pare-feux de nouvelle génération, pare-feux applicatifs Web, protection du poste de travail…etc) mais aussi les procédures et postures de protection (procédures d’accès, sensibilisation des collaborateurs…etc)
· Réduction, : ici l’objectif est de diminuer les conséquences de l'événement redouté. Nous trouverons ici toutes les approches de détection et de réponse aux menaces qui vont permettre, grâce à une détection précoce, de minimiser les conséquences de l’activité des acteurs de la menace par exemple en empêchant la latéralisation ou en réagissant très vite après la primo-infection. Nous trouverons également les mécanismes de résilience active comme les systèmes de sauvegarde et restauration sous leurs différentes formes, les procédures de reprise et continuité d’activité, les cellules de gestion de crise cyber…etc
· Transfert : l’objectif du transfert du risque est de transformer l'aléatoire en surcoût déterminé généralement pris e charge par un spécialiste du domaine. C’est le principe de le cyber-assurance. Du coup, le responsable du risque est une autre entité qui l’assumera donc en totalité, généralement financièrement, mais pas toujours exclusivement sous cette forme. Aujourd’hui, de nombreux assureurs ne se contentent pas de prendre en charge les frais associés à un sinistre cyber (pertes d’exploitation, cout des arrêts de travail, frais de remise en service…etc) mais interviennent directement, via des experts, des outillages, des procédures et de l’assistance pour la résolution de la crise.
· Acceptation : il s’agit ici d’assumer le risque, c’est le cas notamment lorsqu’il est trop faible pour justifier le coût d'une réduction ou d’un transfert. Cela induit la notion de mesure du risque, et même s’il existe plusieurs modèles, il y a quand même des constantes et le risque se quantifie à travers deux caractéristiques principales : la probabilité qu’il survienne (également fréquence ou occurrence) et les conséquences induites (également impact ou sévérité). Ainsi un risque élevé sera un risque très probable avec des conséquences importantes et inversement un risque faible aura peu de probabilité de se produire et des conséquences bégnines. Toutes les combinaisons sont bien entendu possibles.
Nous pouvons constater ici, qu’il ne s’agit pas uniquement de prévenir tous les risques, mais bien d’avoir une gestion cohérente en fonctions des différents facteurs de probabilité d’occurrence, de conséquences directes et indirectes et de coût de prévention. D’ailleurs nous l’entendons souvent, y compris dans le langage courant : le risque zéro n’existe pas. Il serait utopique de vouloir supprimer tous les risques et le coût d’une telle approche serait très certainement rapidement rédhibitoire. L’objectif est donc bien de travailler sur toutes les possibilités : prévenir les risques les plus importants et probables, réduire les conséquences de ceux échappant à la prévention, transférer ceux pouvant l’être et pour lesquels le coût de transfert est acceptable et accepter les risques résiduels. Dans l’esprit du commun des mortels, ce n’est pas une approche complétement naturelle, en effet le risque est souvent associé au danger et la tentation première est de se soustraite à tous risques. Et ce d’autant plus que nous vivons aujourd’hui dans une société qui a développé une aversion aux risques, quels qu’ils soient. En fait, risques et dangers ne sont pas équivalents, le danger est la capacité intrinsèque de causer un dommage alors que le risque est le résultat de l'exposition à un danger.
Pour revenir plus directement sur notre sujet, toute bonne politique de sécurité (et donc de cybersécurité) devrait s’appuyer sur une analyse de risques préalable. En général, même si nous parlons du système d’information comme d’un ensemble cohérent, il est en réalité multiple et les risques ne seront pas traités de la même manière selon la partie du système d’information concerné. En effet, le rôle premier de celui-ci est de permettre à l’organisation en question d’exercer son activité, et les risques visant indirectement l’outil de production ne seront pas gérés de la même manière que ceux visant les activités annexes ou les fonctions de confort. A titre d’exemple, les risques portant sur un site marchand pour un détaillant vendant sur Internet ne seront pas traités de la même manière qu’un site institutionnel d’une société de conseil. Cela nécessite donc de définir une cartographie du système d’information et de définir les ressources critiques, importantes et mineures de celui-ci.
Finalement, le résultat sera une sorte de matrice définissant pour chaque risque et pour chaque catégorie de ressources du système d’information, la manière dont il sera géré.
Pour aller un peu plus loin sur cette notion de risque, nous pouvons considérer que la cybersécurité et son bras armé, la cyberdéfense, peuvent être vues comme un combat contre les acteurs de la menace quelle que soit leur origine. Certains parlent même d’une guerre opposant les défenseurs à une armée d’attaquant malintentionnés. Cela revient à considérer la menace non pas comme quelque chose d’indéterminée et d’impersonnelle mais bien comme un adversaire disposant d’intentions, de volonté et d’une psychologie. Cette notion a des conséquences directes sur la manière d’analyser les risques et de prendre les décisions afférentes. En cela, il devient possible de mettre en œuvre quelques grands principes liés à la prise de décisions et de risques du domaine militaire. Le premier point à considérer est que l’adversaire n´est jamais un autre nous même, il a ses propres motivations, sa propre volonté et sa propre façon d’agir, et considérer son action à travers le prisme de nos manières de décider est une erreur. Le second point est que le doute est salvateur, et tenir des éléments pour acquis dans un contexte de conflit est aussi une erreur. Le troisième point, et peut-être un des plus important est de se connaitre, ses forces, ses faiblesses mais aussi ses biais potentiels en matière de perception du risque. Enfin, et même s’il est toujours utile d’échanger et de partager, au moment de la décision, il est nécessaire de s’affranchir des cercles autour de soi. Mais les similitudes avec le domaine militaire s’arrêtent ici, la particularité de la cybersécurité est d’être totalement asymétrique et limitée à la seule défense.
La notion de risque est ainsi fondamentale à la cybersécurité, et il est compliqué voire impossible de définit une politique de sécurité sans avoir au préalable effectué une analyse de risque sur le périmètre complet du système d’information. Ce n’est qu’à cette condition qu’il sera possible de décider de la gestion de chacun des risques.