Les risques de cybersécurité ne sont pas une longue liste de scénarios tragiques qui pourrait s’abattre sur votre organisation. Au contraire, il s’agit d’une saine pratique qui intègre l’incertitude dans la culture de l’entreprise. Gérer les risques c’est apprendre à saisir des opportunités qui n’existeraient pas dans un monde totalement sécuritaire et prédictible.
La sécurité de l’information doit être gérée comme un risque d’entreprise. Toutefois, est-ce que les risques de cyber sécurité sont une liste de scénarios catastrophes ?
Les menaces et vulnérabilités de sécurité sont changeantes. Les groupes cybercriminels s’adaptent rapidement : leurs modes opératoires, techniques et outils évoluent vite et prennent au dépourvu les entreprises.
Par exemple, en réponse aux mesures d’authentification forte, de nouvelles formes d’attaques d’ingénierie sociale sont apparues. En plus de gérer des vulnérabilités sophistiquées, les entreprises doivent maintenant prendre en compte les groupes cybercriminels tels que LAPSUS$. Leur mode opératoire est simplement basé sur le recrutement d’employé·e avec des accès privilégiés (support technique, développement, etc.).
La sécurité de l’information est un ensemble de scénarios difficiles à quantifier dont l’apparition est très incertaine. C’est pour cela qu’on les gère comme un risque.
Analyse systématique des risques
Les analyses de risques de sécurité systématiques sont ambitieuses. Il s’agit d’énumérer les scénarios de risques d’une organisation en partant d’une approche à haut niveau. Par exemple, avec les méthodes EBIOS, MEHARI ou OCTAVE on identifie plusieurs scénarios stratégiques, pour ensuite les décliner en nombreux scénarios opérationnels. En résumé, on réunit tout le monde (RSSI, DSI, Directions, Responsables de service) pendant de nombreuses heures. On se pose des questions de type : qui et quoi pourrait porter atteinte à la mission de l’entreprise, et pourquoi ?
J’ai animé de nombreux ateliers de risques. Ces approches pour énumérer, détailler, formaliser et obtenir une vision partagée du risque de sécurité deviennent des discussions sans fin. Savez-vous ce qu’il se passe pendant que vous réunissez toute la matière grise de votre entreprise pendant des jours ? Réponse : des groupes cybercriminels composés de jeunes adultes sont en train de progresser très rapidement. Ils utilisent des méthodes simples et agiles. Les groupes cybercriminels n’ont pas de temps à perdre. Ils raisonnent par petites itérations offensives et par objectifs précis. Et c’est peut-être vous la prochaine cible !
De mon expérience, les sessions d’analyse systématique des risques de cybersécurité sont une perte de temps précieux pour la majorité des organisations.
Gestion des risques centrée sur les objectifs
L’analyse de risques de cybersécurité doit être une pratique qui s’intègre très tôt à vos projets. Plutôt que de fonctionner en vase clos, elle doit faire partie de vos affaires : développement, nouvelle solution, changement d’infrastructure, acquisition, lancement de produits ou transformation numérique.
Comprendre le contexte de l’information
Pour énumérer les risques de cybersécurité d’une organisation, je recommande de commencer par bien comprendre les objectifs, plutôt que d’imaginer des scénarios basés sur les menaces. La première étape est d’identifier la chaine de valeur de l’entreprise (ou les objectifs d’un projet). Pour ce faire, organisez des ateliers de travail brefs et concis avec les principaux responsables des fonctions de l’entreprise (finance, ressources humaines, production, etc.). Lors de ces ateliers, écoutez les propriétaires des processus et données critiques de l’entreprise. Comment travaillent-elles ? Quelles données manipulent-elles et pourquoi ? Évitez toutefois de générer trop d’anxiété en imaginant des scénarios catastrophes improbables.
Une fois que vous aurez fait l’inventaire des données et des applications utilisées, comprenez leur importance stratégique. Posez les questions suivantes : Que faites-vous si vos données sont divulguées publiquement, rendues inaccessibles ou modifiées sans autorisation ? En écoutant les réponses, vous obtiendrez une idée de la classification de l’information.
Analyse ciblée des risques
La prochaine étape consiste à demander aux équipes informatiques où sont stockées et traitées ces données. Posez une question simple : quelles sont les mesures de sécurité en place pour les protéger ? Est-ce qu’il existe des contrôles (préventif, détectif, correctif) ou des mesures de protection (physique, humaine, organisationnelle et technologique) ?
D’un côté, vous comprenez les applications qui supportent les processus stratégiques ou manipulent des données critiques pour l’entreprise. De l’autre, vous connaissez leur niveau de protection actuel. Ainsi, vous pouvez facilement définir des scénarios de risque de sécurité. Comment ? C’est très simple : concentrez-vous sur les données ou applications qui semblent les moins protégées. Qu’est-ce qui pourrait réalistement leur arriver ?
Vous pouvez vous appuyez sur une cartographie des processus à haut. Pour chaque étape, vous identifiez les menaces humaines et technologiques plausibles.
En résumé, l’analyse de risques de sécurité centrée sur les objectifs découle du bon sens. Plutôt que d’imaginer le pire dans un univers de cyber risques et menaces fermé, intéressez-vous d’abord aux équipes qui sont responsables des fonctions critiques de votre organisation.
Réduire les risques doit d’abord être au service de la chaine de valeur et des objectifs de l’organisation. Multiplier les scénarios avec une infinité de combinaisons n’est pas utile dans ce contexte.
Le risque est-il quelque chose de négatif ?
Selon la norme ISO 31 000, le risque se définit comme « l’effet de l’incertitude sur les objectifs ». L’incertitude, générée par le doute et la complexité, est intrinsèque à la sécurité de l’information.
Alors, oui, il faut continuer à faire des analyses de risques de sécurité ! Mais en ne perdant jamais le point de vue les objectifs et ce que l’on souhaite vraiment protéger.
En écoutant et sensibilisant, vous allez naturellement comprendre l’appétit au risque des équipes, une autre composante essentielle de la gestion des risques. Car après tout, le risque n’est pas seulement quelque chose de mauvais à éviter à tout prix.