Anticiper et prévoir le risque cyber, c’est déjà agir !

« Prévoir, cest à la fois supputer lavenir et le préparer ; prévoir, cest déjà agir. » disait Henri Fayol.

Des mots qui raisonnent plus que jamais d’actualité dans ce monde cyber où les menaces en constante évolution, protéiformes et toujours plus agressives, appellent à anticiper, préparer et agir.

Mais face à des cyberattaquants aux motivations multiples, cette approche semble parfois difficile ; et avoir un temps d’avance, utopique…

C’est donc un challenge de taille qui nous fait face, mais l’ANSSI et les acteurs français semblent déjà se saisir activement du sujet.

Positionner la sécurité numérique au niveau des enjeux stratégiques

L’ANSSI investit, en effet, depuis quelques mois sur le management du risque cyber au travers de la méthode d’analyse de risque EBIOS Risk manager « une solution innovante, collaborative et pratique, adaptée aux nouveaux enjeux de sécurité numérique. » souligne Vincent Desroches, chef adjoint de la division « Méthodes de Management de la Sécurité Numérique » de l’ANSSI.

Le but est de positionner la sécurité numérique au niveau des enjeux stratégiques et opérationnels de toutes les organisations, au même titre que le risque financier ou juridique dans un contexte où les derniers chiffres démontrent que le risque cyber est encore trop sous-estimé par les acteurs économiques nationaux. La dernière étude présentée par Wavestone précise en effet que 25% des groupes du CAC 40 adressent la problématique de la cybersécurité au niveau du comité exécutif. Une avancée certes, mais il est encore les 3/4 des plus grandes entreprises à convaincre de l’intérêt d’intégrer une démarche proactive en matière de cybersécurité et donc de gestion et d’analyse des risques.

Plus éloquent encore : sur 46% des entreprises du CAC40 qui mentionnent lancer des projets dans le domaine de l’intelligence artificielle, 0 font le lien avec la cybersécurité ! Même constat pour la Blockchain et l’IoT : sur 28% qui mentionnent lancer des projets liés à la Blockchain, aucune entreprise ne fait le lien avec la cyber quand pour l’IoT, 5 seulement font le lien avec la cyber pour 28% des entreprises lancées sur ces projets.

La nouvelle méthode EBIOS voulue par l’ANSSI se veut donc « design thinking » dans le but d’impliquer plus largement ces décideurs et donc les COMEX au travers d’un outil plus illustratif afin de toucher « l’ensemble du management des organisations » ajoute Vincent Desroches.

Des rapports très (trop) techniques aujourd’hui, et peu parlant pour les membres des COMEX, la nouvelle méthode s’appuie en effet sur des formes de cibles et des graphes d’attaques « qui permettent ainsi de « conscientiser » ces décideurs à la réalité de leur situation à risque. Les éléments présentés deviennent dès lors plus concrets, facilitant ainsi la prise de décisions au plus haut niveau de la structure » ajoute Jean Larroumets, PDG d’EGERIE Software.

Une synthèse entre conformité et scénarios

Initiée en 1995, EBIOS est donc une méthode d’analyse de risque française de référence qui permet aux organisations d’apprécier et de traiter les risques. Avec l’évolution de l’environnement digital et des menaces afférentes, il était devenu nécessaire de faire évoluer cette méthode pour « adopter une approche de management du risque qui part du plus haut niveau pour s’intéresser progressivement aux éléments métiers et techniques, en étudiant les chemins dattaque possibles. » souligne Vincent Desroches.

La première étape consiste à bâtir un socle de sécurité solide en appliquant les référentiels de sécurité pertinents vis-à-vis de l’état de l’art et de la réglementation. La deuxième étape consiste à apprécier les risques en se concentrant sur les menaces intentionnelles et ciblées les plus dangereuses, à même de mettre à mal ce socle de sécurité. C’est donc une approche différentiée proposée selon que l’on souhaite traiter les risques relatifs aux « attaques opportunistes » et/ou aux « attaques ciblées » (scénarios stratégiques et opérationnels).

Pour rendre possible cette approche, la méthode EBIOS Risk Manager se décline en trois temps et cinq ateliers : le premier temps consiste en le cadrage et la définition du socle de sécurité (atelier 1). « Le second temps consiste à malmener ce socle de sécurité défini grâce à trois ateliers : Sources de risques, Scénarios stratégiques et Scénarios opérationnels » détaille Vincent Desroches. Le denier temps revient donc au prologue : le traitement du risque. « L’objectif est ainsi de structurer des mesures en termes de protection, de défense, de résilience et de gouvernance. Nous parlons ainsi de capacités de sécurité en profondeur. » ajoute l’expert de l’ANSSI.

Cette nouvelle méthode permettra également une meilleure prise en compte de la situation à risque des sous-traitants souvent présentées comme l’un des maillons faibles.

Un outillage innovant & éprouvé

Pour tenir toutes ses promesses, la nouvelle méthode EBIOS devra être outillée par des solutions logicielles à la hauteur « innovantes mais éprouvées, intuitives, simples d’utilisation, agiles ou encore collaboratives » détaille un RSSI.

« Nous avons développé un moteur d’analyse automatisé, et un moteur de simulation qui élabore, lui, les plans de traitements pour réduire, partager, maintenir et éviter les risques identifiés. Notre outil joue un rôle daccompagnateur virtuel pour guider lentreprise dans la construction de ses analyses conformément à la démarche ISO27005 et aux méthodes nationales telles qu’EBIOS. » explique Jean Larroumets, PDG d’EGERIE Software.

L’innovation passe donc incontestablement par une approche dynamique et une industrialisation des solutions associant simplicité, fluidité et agilité dans les usages plébiscitées par les utilisateurs finaux. « Il faut en effet industrialiser les solutions danalyse de cyber-risques pour permettre à l’organisme de passer d’un mode artisanal à base de tableurs Excel -dont la complexité ne permet souvent pas le suivi dans la durée, à un mode managé et outillé dans lequel la méthode et le cadre dappréciation est pris en compte de façon transparente par un système expert ou logiciel. » explique Jean Larroumets. Fort de ce constat, la PME française a développé depuis maintenant près d’une dizaine d’année, une solution innovante qui « fait la démonstration dun processus « cyberdynamique » par la gestion et la réévaluation dynamique et automatique des risques. L’organisation, la collectivité ou lentreprise dispose avec Risk Manager 2.6 d’un panorama complet et actualisé de son niveau de cybersécurité sur lensemble de sa structure via une cartographie personnalisée de sa situation à risque, mise à jour automatiquement. C’est aussi une solution éprouvée, puisqu’elle est actuellement déployée au sein du ministère des Armées et auprès de nombreux industriels de la défense et plus dune centaine de grands comptes. » précise le PDG de la PME française.

L’une des solutions les plus avancées pour obtenir le label de l’ANSSI. Les premiers jalons sur l’atelier 4 notamment (scénarios opérationnels) sont déjà posés.

Dynamique, évolutive et collaborative

L’évolution continue du risque adaptatif permet une prise de décision en temps réel devenue vitale. Face à l’évolution rapide des cybermenaces de plus en plus robotisées, « cette approche du maintien en condition de sécurité dynamique en continu est donc inéluctable » soutient Jean Larroumets. Plusieurs acteurs l’ont bien compris et en font désormais, une priorité. La démarche initiée par l’ANSSI devrait par ailleurs conduire à une multiplication, voire à une généralisation de l’approche.

Les DSI et les RSSI garants de cette démarche de protection ont plus que jamais l’obligation de démontrer à leur direction que l’ensemble des risques a été analysé et que la situation est continuellement contrôlée. « Pour cela, il est essentiel d’avoir un outil qui s’appuie sur une démarche dynamique, et une technologie évolutive, modulable, et enrichie de retours d’expériences d’autres clients ou des données renseignées par d’autres collaborateurs associés et responsabilisés » explique Pierre Oger, Vice-Président EGERIE Software.

Des évolutions enrichies grâce au Club Utilisateurs initié par la PME qui permet « à l’ensemble de nos clients un partage dinformations très concrets grâce à la mise en place des bibliothèques de modélisations d’analyse de risques et de référentiels de conformité. Les RSSI, DPO et CIL disposent dès lors de toutes les informations nécessaires pour une conformité réglementaire et une gouvernance optimale. »

RGPD compliant

L’obligation de maîtrise de la cybersécurité se trouve renforcée par les règlementations, nombreuses, du domaine (RGPD, II901, RGS, IGI1300, PCI DSS, etc). « Assurer la conformité juridique et technique et démontrer le respect des règles relatives à la protection des données est désormais obligatoire. C’est donc l’un des pans que nous avons développé dans Privacy Manager, associé à la production de la documentation réglementaire pour la CNIL basée sur l’édition automatisée et personnalisée des rapports réglementaires. Enfin, notre pré-qualification des risques permet rapidement de classer ces derniers et didentifier ceux nécessitant un étude dimpact des données personnelles (DPIA). » ajoute Pierre Oger. « Privacy Manager peut être intégré seul à l’existant du client ou associé à Risk Manager, la solution globale de gestion des risques cyber d’EGERIE. » Enfin, le RGPD contient l’obligation de prendre en compte la protection des données dès la conception de systèmes ou solutions traitant des données personnelles ou permettant d’en traiter. « Notre approche collaborative permet une pré-qualification du risque au niveau des équipes projet by design. »

Une reconnaissance attendue

Le label qu’entend délivrer l’ANSSI dans les premiers mois de 2019 aux éditeurs de solutions conformes devrait permettre une meilleure lecture pour les utilisateurs finaux des solutions du domaine dites « de confiance » mais aussi d’assainir le marché. A ce stade, près d’une quinzaine d’entreprises semblent très avancées pour obtenir le label. « Ce dernier est très important car nous souhaitons que la méthode EBIOS Risk Manager devienne d’ici 1 à 3 ans, l’une des trois méthodes de référence en Europe. » ajoute Vincent Desroches. De bonnes nouvelles donc pour l’écosystème français qui vise évidemment un développement sur le marché européen « Pour nous, acteur de l’écosystème cyber français, impliqué sur ces sujets depuis de nombreuses années, et dans lesquels nous avons investis lourdement, ce soutien de l’autorité nationale est essentiel. Cette labellisation nous a souvent été demandée par les utilisateurs finaux. Nous attendons beaucoup de cette reconnaissance qui valorisera tous les efforts que nous avons consentis. Cette impulsion permettra de renforcer lappropriation de la méthode tout comme la démarche de pilotage dynamique par les risques par les utilisateurs finaux en France et en Europe, ouvrant pour nous le champ des possibles et le passage à l’échelle vital à la santé économique de nos entreprises. » conclut Jean Larroumets.