Un rappel d'abord : je suis un farouche pourfendeur de l'approche qui consiste à réfléchir "solutions" sans jamais se poser les bonnes questions. En gros, j'ai un vrai problème avec la promesse qui consiste à dire "on va installer une ou des solutions de protection et tout ira bien".

Parce que c'est apporter une réponse sans savoir si c'est la bonne (trop souvent pas, si j'en crois mes constatations sur le terrain).

Et parce que j'aime les images simples : est-ce que vous mettez un casque de chantier pour tailler des rosiers ou bien est-ce que vous réfléchissez au risque avant de décider que, finalement, des gants seront plus efficaces ?

En choisissant les gants, vous venez de découvrir les premiers bénéfices d'une analyse de risque correctement menée : vous faites des choix éclairés en vous basant sur les notions de menaces (les aiguillons des rosiers), de risque (la griffure), de vraisemblance (vu l'état du massif, je ne vais pas y échapper), de vulnérabilité (ma peau est fragile) et de gravité (mon dernier rappel de vaccin contre le tétanos date d'il y a 30 ans). Sans parler de la très haute valeur que vous accordez à votre personne.

Donc si un fournisseur de casque (ou de SCM : Solution de Cybersécurité Magique) pousse sa solution sans s'intéresser pleinement au contexte qui vous rend unique, vous avez le droit de douter de l'approche.

La base est d'abord de savoir quoi protéger et de quoi se protéger.

Ces considérations jardinières mises de coté, revenons au bénéfice de l'analyse de risque dans le domaine qui nous intéresse : la cybersécurité !

Le vrai article commence ici ;)

Pour une efficacité maximale, tout doit commencer par un analyse de risque. Je ne vais pas faire un cours magistral de plus sur la méthode EBIOS RM de l'ANSSI, mais je vais essayer de montrer pourquoi cette approche est très pertinente.

Un peu de vocabulaire d'abord :

Un risque c'est la possibilité qu'un événement redouté survienne, et que ses effets perturbent votre mission. La gravité, c'est l'estimation de l'intensité des effets du risque. La vraisemblance, c'est la probabilité que le risque se réalise. La menace (au sens de la méthode EBIOS RM), c'est une intention de nuire.

Avec ces définitions clés, vous obtenez déjà une information essentielle : le niveau de risque, qui combine la gravité et la vraisemblance.

Ceux qui suivent noteront que l'analogie avec le jardinage atteint ses limites : le rosier n'a pas d'intention de nuire (a priori) et encore moins de motivation particulière pour vous attaquer.

D'autres oui.

Évidemment on ne va pas considérer chaque risque de la même façon : on va pondérer ce risque en fonction de la valeur du bien que vous souhaitez protéger : votre base client et votre outil de gestion de production n'ont pas la même importance que ce site qui ne sert que de vitrine et peut se permettre quelques heures d'interruption de service.

Et on ne peut pas non plus penser risque sans penser vulnérabilité, c'est à dire une faiblesse qui pourra être exploitée par la menace (pas de sauvegarde, pas de protection physique, pas de mise à jour des logiciels, un réseau sans aucune segmentation, des employés mécontents, ...).

Les étapes d'une analyse de risque

Le périmètre

A cette étape, on va se concentrer sur le périmètre de l'étude. On va déterminer ce que sont nos missions, les valeurs métier, ce qui les supporte, les éléments redoutés et leur niveau de gravité en fonction de leur impact. On pensera aux scénarios de haut niveau qui peuvent survenir (et prenant aussi en compte l'écosystème des partenaires). Pour parler EBIOS RM, on cherchera les Événements Redoutés.

On n'oubliera pas non plus de réfléchir au cadre réglementaire qui s'applique à nous. Cela apporte des exigences supplémentaires et l'ensemble vient nourrir le Socle de Sécurité.

Les sources de risque et les objectifs visés

Ici on va se concentrer sur les sources de risque qui sont susceptibles de porter atteinte aux missions et aux intérêts de l'organisation. Sachant que pour chaque source de risque, on va aussi déterminer les Objectifs Visés.

Les Sources de Risque sont connues et classifiées : crime organisé, concurrent, activiste, vengeur, terroriste, étatique, amateur.

Les Objectifs Visés sont connus aussi : espionnage, déstabilisation, entrave au fonctionnement, lucratif, amusement, pré-positionnement.

L'enjeu ici est d'établir des couples entre SR et OV, en tenant compte de la motivation et des ressources pour déterminer le niveau de pertinence de chacun. Un amateur n'a pas de ressources illimitées. Un état oui. Un vengeur peut être très motivé, un activiste peut-être moins. Même si cela dépend éminemment de votre contexte !

En confrontant les Événements Redoutés aux couples SR/OV les plus pertinents, on va commencer à avoir une très bonne idée de ce qu'on doit protéger en priorité, et de quoi.  C'est un bon début.

La cartographie des menaces

On va s'attacher ici à effectuer une cartographie qui, pour chaque partie prenante, va permettre de noter les notions de dépendance (cette partie prenante est-elle vitale pour mon activité ?) et de pénétration (dans quelle mesure accède-t-elle à mes ressources ?).

On obtiendra alors l'exposition de la partie prenante

On étudiera aussi les notions de maturité cyber (quelles sont les capacités en matière de cybersécurité?) et de confiance (est-ce que les intentions de la partie prenante peuvent être contraire aux miennes ?).

On obtient alors la fiabilité cyber de la partie prenante.

En utilisant un mécanisme de score et de savantes opérations mathématiques (Dépendance x Pénétration / Maturité x Confiance) on obtient alors le niveau de menace.

En le comparant avec des seuils, on pourra alors savoir sur quoi focaliser son attention pour obtenir un bon équilibre dans l'acceptation du risque et définir les mesures de sécurité les plus pertinentes.

L'enjeu ici n'est pas seulement le travail d'inventaire, c'est aussi la capacité à déterminer des échelles de notation qui permettent une représentation sans ambiguïté, explicite et comprise par tous.

Les graphes d'attaque

L'objectif ici est de construire des représentations graphiques des modes opératoires d'un attaquant qui souhaite atteindre son objectif. Ce sont des scénarios opérationnels qui sont représentés séquentiellement en fonction de la "kill chain" suivante : "Connaître", "Rentrer", "Trouver", Exploiter".

Je ne vais pas entrer dans ce niveau de détail aujourd'hui. Le sujet est passionnant, mais un peu long ...

Évaluation de la vraisemblance des scénarios

Qui dit prévoir le pire, et étudier les moyens de mise en œuvre par un attaquant, implique aussi de déterminer le niveau de vraisemblance. Parce que l'ensemble des scénario n'a pas le même niveau.

Certains scénarios vont être invraisemblables, d'autres très vraisemblables, d'autres encore quasi-certains.

Déterminer la vraisemblance, c'est déduire la meilleure stratégie de traitement du risque. Attention tout de même, invraisemblable ne veut pas dire impossible (puisque c'est un scénario qu'on a identifié).

Définition du Plan de Traitement du Risque

Avec l'ensemble des éléments récoltés, on arrive enfin à la finalité d'une analyse de risque : la mise en place d'un plan de traitement. En gros, la définition de la stratégie et des actions qui font venir compliquer fortement la vie des attaquants.

En appliquant ce plan et les mesures de sécurité associées, on va venir essentiellement impacter la vraisemblance d'un scénario. Donc renforcer sérieusement son niveau de défense ! Avec les bons outils et les bonnes approches.

Il ne faudra juste pas oublier de refaire une analyse APRÈS la mise en place du PTR, ceci afin de déterminer ce qu'on appelle les risques résiduels. On décidera alors de les accepter, ou de les traiter si nécessaire.

En conclusion

Vous l'aurez compris, on ne peut pas sérieusement envisager de renforcer sa posture de sécurité sans une analyse de risque sérieuse. C'est une étape absolument clé pour obtenir une efficacité maximale, avec à des choix éclairés.

Le but de la méthode EBIOS RM n'est pas l'exhaustivité, c'est l'efficacité, en mettant l'accent sur les parties prenantes les plus menaçantes et les modes opératoires les plus vraisemblables.

La beauté de cette approche, c'est aussi que chaque étape apporte des éléments exploitables. Inutile d'attendre la fin de la démarche pour commencer à en tirer les premiers enseignements.

Enfin, l'approche très pragmatique de EBIOS RM permet de donner aux décideurs une bonne visibilité des risques, tout en donnant les éléments permettant une prise de décision argumentée.

Donc choisir les gants plutôt que le casque, si vous suivez.

Une analyse de risque ne vous protège pas directement des risques. Mais en y passant le temps nécessaire, vous allez gagner en sérénité et faire les meilleurs choix. Pas avec une Solution de Cybersécurité Magique, mais avec les mesures qui correspondent le mieux à vos enjeux, pour protéger ce qui compte le plus pour vous.

N'oubliez juste pas de revoir cette analyse pour la mettre à jour régulièrement. Votre organisation évolue, les risques aussi ... Une analyse de risque, c'est un projet vivant qu'il faut nourrir sur la durée.

Information bonus : dans son guide sur l'homologation de sécurité des systèmes d'information, l'ANSSI insiste beaucoup sur EBIOS RM. Si vous avez identifié le besoin de travailler sur le sujet NIS2, alors cette méthode risque d'être un passage obligé. Maintenant vous savez !

La lecture obligatoire : la méthode EBIOS RM sur le site de l'ANSSI

N'hésitez pas à me contacter pour échanger sur le sujet ! C'est sans risque*

* les blagues discutables garantissent un contenu 100% rédigé main.