La nature mondiale, interconnectée, ouverte et dynamique de l’environnement numérique ouvre la voie à des possibilités économiques et commerciales considérables – d’autant plus prometteuses à l’ère de l’Internet des objets et du Big Data. Parallèlement, les pays et les entreprises sont de plus en plus exposés à des menaces de sécurité dont le nombre et la sophistication vont croissant.
Le risque de sécurité numérique devrait donc « s’inscrire dans le processus global de gestion du risque et de prise de décision d’une organisation », souligne l’OCDE qui exhorte depuis 2002, les dirigeants et décideurs des secteurs public et privé à se saisir de la question et à l’intégrer à leur planification globale, plutôt que de l’aborder sous l’angle purement technologique.
« Le risque de sécurité numérique ne peut être éliminé, et une sécurisation absolue ne permettrait pas de libérer tout le potentiel économique de l’environnement numérique », soulignait Andrew Wyckoff, Directeur de la Direction
de la science, de la technologie et de l’innovation de l’OCDE. « En revanche, il est possible de le gérer efficacement. Les dirigeants des organisations sont les mieux placés pour impulser les changements culturels et organisationnels nécessaires pour réduire ce risque à un niveau acceptable. »
Gartner fait lui aussi figurer parmi les 10 tendances 2018, la gestion du risque en continu et dynamique. « L’entreprise numérique crée un environnement de sécurité complexe et évolutif. L’utilisation d’outils de plus en plus sophistiqués augmente le potentiel de menace. L’évaluation continue du risque adaptatif et de la confiance (CARTA) permet une prise de décision en temps réel, basée sur le risque et la confiance, avec des réponses adaptatives aux activités numériques sécurisées. Les techniques traditionnelles de sécurité utilisant la propriété et le contrôle plutôt que la confiance ne fonctionneront pas dans le monde numérique. (…) Cela nécessite d’adopter une sécurité centrée sur les personnes et d’habiliter les développeurs à assumer la responsabilité des mesures de sécurité. Intégrer la sécurité dans les efforts DevOps pour fournir un processus continu de «DevSecOps» et explorer les technologies de déception pour attraper les attaquants qui ont pénétré votre réseau sont deux des nouvelles techniques qui devraient être explorées pour faire de CARTA, une réalité. »
De nombreuses campagnes d’attaques d’ampleur mondiale (conficker, wannacry, etc.) ont ainsi profité du manque de réactivité des victimes pour déployer les correctifs de sécurité et adapter leur stratégie de sécurité. « Ceci met en évidence la nécessité d’assurer une réactivité très importante dans le domaine du « maintien en condition de sécurité » (MCS), activité consistant à assurer l’entretien du niveau de cybersécurité des systèmes. » explique Jean Larroumets, PDG d’EGERIE.
Cette réactivité est rendue complexe, en particulier sur les systèmes critiques où l’application des correctifs doit être évaluée au regard des risques de régression, de défaillance ou d’exploitation. Tout l’enjeu est donc de définir les priorités en évaluant au mieux le risque de présence des vulnérabilités dans les systèmes.
La cyberprotection par le dynamique
Tout converge donc vers l’importance d’intégrer l’appréciation du risque dans la stratégie et la gouvernance de l’entreprise, de l’organisation ou de l’institution, y compris celle du risque cyber. Une approche qui reste malgré tout immature. « Les entreprises et les administrations ont commencé à poser les fondations et les premières pierres du processus de gestion des risques cyber en conformité avec les standards et règlementations, mais elles peinent encore à le généraliser » explique Jean Larroumets.
« Pour passer le cap, il faut industrialiser les solutions d’analyse de cyber-risques. Cela devrait permettre à terme de faire passer l’organisme d’un mode artisanal à base de tableurs Excel dont la complexité ne permet souvent pas le suivi dans la durée, à un mode managé et outillé dans lequel la méthode et le cadre d’appréciation est pris en compte de façon transparente par un système expert ou logiciel. » Face à l’évolution rapide des cyber menaces de plus en plus robotisées, une approche MCS dynamique en continu semble inéluctable.
Les utilisateurs appellent par ailleurs à plus de simplicité, de fluidité et d’agilité dans l’usage. « Pour être efficace en temps réel, l’automatisation est indispensable. Pour répondre à ces besoins, EGERIE développe des logiciels spécialisés dans le pilotage intégré des cyber risques et protection des données personnelles afin de simplifier et industrialiser les démarches et processus avec des outils automatisés, centralisés et collaboratifs. »
Risk Manager 2.4 est une solution collaborative et automatisée de pilotage intégré de la cybersécurité : elle permet de construire de façon dynamique les analyses de risques cyber grâce à son moteur d’analyse et ses bibliothèques, de prédire et de calculer les risques réels, d’auto-diagnostiquer et de suivre les mesures de sécurité incombant à tous les acteurs, d’assurer la conformité aux normes et réglementations, de construire des plans d’actions ou encore de produire automatiquement des rapports, registres et indicateurs. « L’organisation, la collectivité ou l’entreprise dispose ainsi d’un panorama complet et actualisé de son niveau de cybersécurité sur l’ensemble de sa structure via une cartographie personnalisée de sa situation à risque, mise à jour automatiquement » explique Jean Larroumets, et de poursuivre « EGERIE RiskManager propose un moteur d’analyse et un moteur de simulation qui élabore, lui, les plans de traitements pour réduire, partager, maintenir, et éviter les risques identifiés. » Elle fait ainsi la démonstration d’un processus « cyberdynamique » par la gestion et la réévaluation dynamique et automatique des risques.
Aide à la décision et gouvernance
Véritable outil d’aide à la décision, l’analyse de risques permet de disposer des indicateurs d’aide à la gouvernance, et de suivi sur l’ensemble du système essentiel aux dirigeants. « Grâce à ces indicateurs, les experts peuvent se concentrer sur la corrélation et l’agrégation des données intégrées par les collaborateurs impliqués et responsabilisés, en mode distribué. Ils sont ainsi plus pertinents et efficaces dans leurs rapports d’analyses. Un outil qui permet de capitaliser l’existant sur les analyses de risques futures. »
Les compétences humaines sont donc valorisées mais aussi recentrées sur leur valeur ajoutée en complémentarité avec l’outil technologique développé pour adresser un marché qui se chiffre à plusieurs centaines de millions d’euros en France.
2018 sera l’année des règlementations clés en matière de sécurité numérique qui vont incontestablement pousser ce marché « L’analyse de risques sera également un atout dans l’assurabilité du risque avec le développement de la cyber-assurance. » précise Jean Larroumets et de poursuivre « nous préparons également des investissements dans l’intelligence artificielle pour que le système et nos clients tirent profit de ces avantages technologiques. »
Enfin, faisant écho aux propos de Guillaume Poupard, Directeur général de l’ANSSI qui tient à « encourager l’échange d’information aussi bien avec le privé qu’avec le public, au niveau national mais aussi européen où nous avons de gros progrès à réaliser en la matière », EGERIE propose à ces clients, au coeur d’un club utilisateurs, « un partage d’information qui profitera à tous ! ».