Conception
Dès que l’on parle de sécurité, bon nombre de personnes pensent à des fonctionnalités telles que des Firewalls, des Anti-Virus, des Proxys. Même si celles-ci sont nécessaires pour ne pas dire incontournables aujourd’hui, il convient de raisonner dans son ensemble. La sécurité devient une préoccupation majeure qui trouve sa justification dans le fait que la majorité des informations sont numérisées et que le risque de perdre, altérer ou se faire voler ces données n’est plus une envisageable. Comme tout créneau porteur, les besoins en sécurité informatique donne naissance à des société spécialisée, mais dont le modèle est souvent basé sur le marketing de la terreur accompagné des produits techniques associés.
Lorsqu’on raisonne au niveau du Système d’Information, le risque est loin de se limiter à tous les risques liés à l’informatique et à son utilisation. Une Analyse de Risques SSI (Sécurité des Systèmes d’Information) permet de mettre en évidence de nombreuses vulnérabilités qui ne sont pas toujours en lien avec l’informatique. Les résultats de ces analyses démontrent que les risques sont souvent plus internes qu’externes et que leur résolution ne peut pas se résumer qu’à la mise en place de moyens techniques, mais que les modifications comportementales sont la clé de la réussite.
La norme ISO/IEC 27005:2011 contient des lignes directrices relatives à la gestion des risques en sécurité de l’information. Elle vient en appui des concepts généraux énoncés dans l’ISO/CEI 27001. Elle est conçue pour aider à la mise en place de la sécurité de l’information basée sur une approche de gestion des risques. Il est important de connaître les concepts, les modèles, les processus et les terminologies décrites dans l’ISO/CEI 27001 et l’ISO/CEI 27002 afin de bien comprendre l’ISO/CEI 27005:2011. L’ISO/CEI 27005:2011 est applicable à tous types d’organisations (par exemple les entreprises commerciales, les agences gouvernementales, les organisations à but non lucratif) qui ont l’intention de gérer des risques susceptibles de compromettre la sécurité des informations de l’organisation.
La norme ISO/IEC 27005:2011 définit une démarche, mais ne constitue pas une méthode, et n’en recommande aucune. Chaque activité de la démarche peut donc être menée selon une méthodologie choisie, mais là encore il est préférable de s’appuyer sur des méthodologies existantes plutôt que d’en inventer, sachant que nous allons évoquer deux méthodes qui ont fait leur place dans ce domaine..
La méthode MEHARI (Méthode harmonisée d’analyse des risques), portée par l’association loi 1901 CLUSIF (Club de la sécurité de l’information français), respecte les lignes directrices tracées par la norme ISO 27005:2009 et permet une intégration dans une démarche complète qui permet d’être utilisée aussi dans le cadre d’un Système de Management de la Sécurité de l’Information (ISO 27001:2005) grâce à sa capacité à impliquer et sensibiliser la Direction de l’entité comme les responsables opérationnels.
La méthode MEHARI peut être réalisée selon plusieurs démarches, basées sur le même modèle de risque, intégrant l’évaluation des enjeux business, des menaces et des vulnérabilités attachées aux actifs dans des situations de risque. Le niveau de gravité des scénarios de risque est déterminé à partir des niveaux de potentialité et d’impact, et la structure de la méthode permet de sélectionner les mesures de sécurité susceptibles de traiter (réduire son niveau) chaque risque au mieux des ressources de l’organisation.
La méthode EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité) est un outil complet de gestion des risques SSI conforme au RGS (Référentiel Général de Sécurité) et aux dernières normes ISO 27001, 27005 et 31000. Créée en 1995 par la DCSSI (Direction Centrale de la Sécurité des Systèmes d’Information), portée maintenant par l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) et régulièrement mise à jour, la méthode EBIOS bénéficie de ses 20 ans d’expérience dans le domaine de la gestion du risque. Elle permet d’apprécier et de traiter les risques relatifs à la sécurité des systèmes d’information (SSI). Elle permet aussi de communiquer à leur sujet au sein de l’organisme et vis-à-vis de ses partenaires, constituant ainsi un outil complet de gestion des risques SSI.
L’ANSSI et le Club EBIOS ont élaboré la version 2010 de la méthode EBIOS pour prendre en compte les retours d’expérience et les évolutions normatives et réglementaires. Cette approche plus simple, plus claire, contient des exemples et des conseils. Elle offre la possibilité d’élaborer et d’assurer le suivi d’un plan d’actions relevant de la sécurité des systèmes d’information. Elle est assortie d’une base de connaissances cohérente avec le référentiel général de sécurité, enrichie d’exemples concrets permettant d’élaborer des scénarios de risque pertinents pour l’organisme. Elle comprend enfin une étude de cas type, permettant d’appréhender la méthode. Modulaire et conforme aux normes internationales ISO/IEC 31000, ISO/IEC 27005, ISO/IEC 27001, la méthode EBIOS est la méthode que j’ai eu le plaisir de pratiquer le plus souvent.
Plus on maîtrise une méthode d’Analyse des Risques SSI et plus il est facile de prendre des raccourcis sans s’appesantir sur toutes les étapes de la démarche. Il est même préconisé de ne pas systématiquement dérouler tous les détails des étapes de ces méthodes. Ceci étant, l’ampleur du travail à réaliser reste tout de même assez importante et la réussite est conditionnée par l’implication de tous les acteurs et par leur faculté à s’insérer dans le raisonnement induit par la méthode.
Dans certains cas, il convient de ne pas commencer par entreprendre une démarche pouvant devenir lourde s’il y a un risque de ne pas atteindre l’objectif et de privilégier des méthodologies d’autodiagnostic sécurité et d’analyse de maturité du SSI plus rapides.