Assises de la sécurité 2018 : l’analyse de risque comme pierre angulaire de l’anticipation

« L’analyse de risque est essentielle, parce que sans elle, on parle quand même un peu dans le vide ». Et surtout, cela recouvre un risque numérique qui « doit être perçu comme un risque à part entière ». C’est le principal message que Guillaume Poupard, directeur général de l’Agence nationale pour la sécurité des systèmes d’information (Anssi), a tenu à faire passer en ouverture des Assises de la sécurité, qui se déroulent cette semaine à Monaco.

La logique sous-jacente n’est pas surprenante en soi : elle est au cœur des exigences réglementaires qui s’appliquent aux opérateurs d’importance vitale (OIV) et, une fois que les premiers seront connus, aux opérateurs de services essentiels (OSE). La première liste d’entre eux devrait être dévoilée début novembre et comporter environ 160 noms.

Pour Guillaume Poupard, l’analyse de risque apparaît comme un levier pour faire sortir la sécurité du seul domaine de la technique et impliquer décideurs et métiers, afin de « la diffuser à de nombreux acteurs, sans chercher à en faire des experts ». Mais pour cela, encore faut-il des outils appropriés. Et c’est là qu’intervient Ebios Risk Manager, une version « modernisée » de la méthode d’analyse de risque de l’Anssi.

Elaborée en collaboration avec le Clusif et le club Ebios, notamment, la méthode se veut évolutive. Elle s’appuie sur une démarche itérative articulée autour de cinq ateliers recouvrant des cycles opérationnels et stratégiques. Ensemble, ces ateliers offrent une approche pragmatique et complète des risques, depuis leur identification jusqu’à la définition de leur traitement, en passant par l’examen de la gravité des impacts et de la vraisemblance des scénarios afférents. L’Anssi propose également une matrice de cas d’usage permettant d’identifier les ateliers à conduire en fonction des objectifs de l’étude.

Pour Guillaume Poupard, « Ebios Risk Manager s’inscrit dans une démarche plus globale d’anticipation collective » dont il se dit convaincu qu’elle « permettra d’élever le niveau de cybersécurité des organisations, en France et en Europe ». Pour cela, il y a bien sûr le volet réglementaire, entre LPM (loi de programmation militaire de 2013) et directive NIS (Network and Information System Security), mais également les approches volontaires. Le patron de l’Anssi invite donc ceux qui ne sont pas soumis à des exigences réglementaires à « aller voir les règles. Si vous n’en avez pas l’obligation, essayez de les adopter volontairement. […] Si vous êtes loin de ces règles, demandez-vous s’il n’y a pas un trou béant dans votre organisation ».

Mais la prévention ne fait pas tout. La détection compte également. Guillaume Poupard indique là que les premières qualifications PDIS – prestataire de services de détection d’intrusion – seront délivrées en début d’année prochaine. Et si cela prend du temps, c’est que le processus est « douloureux, parce que nos exigences sont très élevées ». L’offre technique devrait être prête à temps : deux sondes devraient être qualifiées d’ici la fin de l’année, l’une signée Thales, et l’autre Gatewatcher.

Cloisonnement, traçabilité individuelle des actions, etc. L'@ANSSI_FR prévoit d'imposer des "bonnes pratiques de base" la qualification PAMS, explique G. Poupard, tout en soulignant que tout le travail reste à faire pour définir ce référentiel #infogérance #AssisesSI

— Valery Marchive (@ValeryMarchive) October 10, 2018

Enfin, après les prestataires d’audit de sécurité et de détection d’incidents, l’Anssi prévoit de labelliser ceux d’administration et de maintenance sécurisées (infogérance, maintenance) – les PAMS. L’agence n’en est là qu’au tout début des travaux de définition du référentiel qui s’appliquera, à terme, à ces infogérants. Mais Guillaume Poupard évoque déjà des exigences de cloisonnement d’infrastructure ou encore de traçabilité individuelle des actions, ce qui risque de ne pas toujours passer sans grincement de dents.