AA

Catégories

linux (3) ssh (2) hacking (2) cargo-cult-security (2) risk-assessment (1)

Évaluation de la gravités des Évènements Redoutés : Pourquoi les méthodes « traditionnelles » sont à côté de la plaque

Quelque soit la méthode suivie, vient l’étape où l’analyse doit évaluer la gravité des évènements redoutés.

C'est l'un des moments où tout se joue, et où bien souvent tout part en vrille.

Gravité d'un Évènement Redouté : Une notion floue

En théorie, c'est simple : Il s'agit d'estimer à quel point un ÉR peut faire mal. Cependant, en pratique, on navigue trop souvent en plein brouillard. Pourquoi ? Parce que cette évaluation ne peut pas faire l’objet d'une définition claire, puisqu’elle repose entièrement sur le contexte client.

Attention !

Cette difficulté de définition claire a pour conséquence une définition par des exemples, et là, nous allons avoir un soucis, puisque perdant leur adéquation au contexte, ces exemples deviennent trop décalés, de sorte qu’une analyse donnée reposant sur une définition décalée devient forcément bancale.

L'exemple EBIOS : Une grille mal calibrée

Puisqu’un schéma vaut mieux qu’un discours, reprenont l'exemple donné par la méthodologie EBIOS :

GRAVITEEBIOS

Cette définition pose plusieurs problèmes :

  • L’échelle semble ramenée à la structure dans son ensemble, alors qu'une analyse de risque doit porter sur un périmètre de sécurité donné. Donc si le périmètre est restreint, le risque sera systématiquement accepté. Puisque la société surmontera la situation en consommant ses marges, ce qui implique une déresponsabilisation des petits périmètres.

  • L'analyse mélange les performances de l’activité, la sécurité des biens, et la sécurité des personnes.

Attention :

La direction n'a pas à "accepter" des risques humains ou juridiques.

L'analyse ANSSI : l'exhaustivité qui tue l'efficacité

L'exemple suivant frappe encore plus, et vient d'une analyse de l'ANSSI

GRAVITEANSSI

Là, l’auteur a clairement visé l’exhaustivité ; mais les problèmes de cette approche sont encore plus visibles :

  • Critère Humain : À nouveau, la direction peut se trouver en situation d’accepter / refuser un risque dont la réalisation implique un dégât humain. Cyniquement, si elle se tourne vers son assurance, elle peut peser le pour et le contre et décider d’accepter le risque ;
  • Critère Financier : Le fait de positionner un critère fixe (l’auteur le laisse d’ailleur au choix de l’entité, pas fou ; ) implique qu’une petite structure pourra sans soucis accepter des risques forts à son échelle, mais dont l’impact financier au final reste inférieur à X ; Dit autrement, le responsable de cette petite structure dispose d’un argument fort pour dire qu’il s’en fout, ou alors, s'il souhaite avec sincérité faire le travail sérieusement, on trouvera un responsable pour lui dire que c'est pas la peine, on reste inférieur à X ;
  • Critère Juridique : On en arrive à faire entrer dans la balance des risques un délit pénaux. Non, la loi n'est pas un paramètre négociable. Vous seriez surpris de voir le nombre de sociétés qui provisionne des sommes pour régler les procès de cette façon, selon le principe “mieux vaut demander pardon que la permission”. Ce positionnement valide et encourage ce genre de pratiques éthiquement contestable ;
  • Critère lié à l'Image : Tout va bien pour une société d'impact régional maximum : l’impact Critique n’existe pas, grave peu vraisemblable ; Les autres impacts seront acceptés. Encore une fois, le référentiel, non adapté, ne permet pas de zoomer efficacement sur le périmètre de sécurité, objet de l'étude.

Cette méthode revient à dire :

Si tu peux provisionner (même le risque judiciaire, même le risque humain) puisqu'au final au niveau société ce n'est pas représentatif, alors tu peux négliger.

Évaluation de la gravité dans le domaine aéronautique

Dans le domaine aéronautique, les normes ED203A imposent de se baser sur la survivabilité de l’équipage et des passagers pour établir les impacts des différents évènements redoutés. C’est simple, et impossible de tricher : l’analyse sûreté donne les criticité des ÉR, et la norme impose des mesures de sécurité à mettre en vis-à-vis. Aucun risque n’est accepté par rapport à une vraisemblance trop souvent évaluée au doigt mouillée. Des mesures de sécurité doivent faire face à chaque ÉV pour garantir la sécurité face au risque Cyber.

Échelle de criticité dans l'aéronautique :

  • No safety effect : Aucun impact sûreté :
    • Aucune mesure à implémenter
  • Minor (MIN) : Inconfort passager :
    • Une mesure de sécurité à implémenter, sans formalisme lourd associé (SAL Security Assurance Level 1) ;
  • Major (MAJ) : Impact passager pouvant impliquer l'annulation de la mission : L'appareil doit se dérouter sur l'aéroport le plus proche :
    • Exigence d'au moins une mesure de sécurité avec démonstration de robustesse à produire (SAL 2) ;
  • Hazardous (HAZ) : Impact humain grave, mais pas parmis l'équipage :
    • Exigence d'au moins une mesure de sécurité avec démonstration de robustesse à produire, on s'approche d'un niveau EAL3 mais assez adapté, quand même pas une qualif standard ANSSI mais pas loin (SAL3 globalement équivalent à EAL3 vs EAL3+{AVA.VAN3, ALC.FLR3}).
  • Carastrophic (CAT) : Perte vrasemblable de l'appareil et de ses occupants :
    • Exigence d'au moins deux mesures de sécurité, l'une de niveau SAL3 et l'autre SAL2 ; Ces mesures doivent être isolées (la défaillance de l'une ne devant pas entrainer la défaillance de l'autre, sauf en mode fail-safe) indépendantes (i.e. reposant sur des principes différents), et non contournables.

Il n’y a pas dans cette méthodologie d’évaluation de la gravité des évènements redoutés. Cette évaluation a déjà été produire par l’analyse sûreté.

Également, on note l’absence de tout élément subjectif d’analyse : Évènement Redouté de criticité CAT, donc deux mesures indépendantes isolées et non contournables avec démonstration de robustesse. Il n’y a pas d’acceptation d’un risque.

En résumé :

Principe de la norme ED203A :

  • On part de l’analyse safety (impact sur la vie humaine),
  • Chaque événement redouté est classé de No Safety Effectà Catastrophic.
  • En face, on impose des mesures techniques : aucun “risque accepté”.

Cette méthode a aussi ses limites :

Elle ne traite que l’aspect humain. Pas d’évaluation d'impact sur le patrimoine informationnel ou les chaînes métier.

Vers une nouvelle échelle de gravité

Proposons une nouvelle méthodologie d’évaluation de la criticité d’un évènement redouté !

Cette méthodologie doit répondre aux spécifications suivantes :

  • Le périmètre de sécurité constitue le référentiel absolu. On ne relativise pas un impact parce que l'entreprise est grande. Si c'est grave à l'échelle du périmètre, alors c'est grave, point.
  • Elle doit resposer sur un critère fondamental, trop souvent ignoré dans les méthodes classiques : La capacité du responsable local, i.e. du périmètre de sécurité, à gérer l'impact sans faire appel à l'extérieur.

À noter :

On garde une échelle à nombre pair de critères : Intuitivement, l’esprit humain cherche à séparer entre “peu grave” ou “plus grave”. Une échelle impaire offrirait la possibilité de choisir par paresse intellectuelle le “moyen grave” du concensus mou lorsqu’on a du mal à se positionner.

Un nombre pair de critère force la prise de décision.

Le mieux consiste à retenir 4 critères, à nouveau parce que l’esprit humain aura du mal à pondérer 6 ou 8 critères.

On entre maintenant dans le vif du sujet : 4 valeurs ; On souligne la séparation intuitive entre “moins grave” et “plus grave” par un critère à établir. Cette séparation fait déjà apparaitre en filigrane un critère simple que l’on cherche à mettre en place : Dépassement ou non du périmètre de sécurité.

Le référentiel : Le périmètre de sécurité, et rien d'autre

On ne juge pas la gravité à l'échelle de la société entière, mais à celle du périmètre concerné.

Ce n'est pas parce qu'un SI est “petit“ qu'il doit être mal protégé. Et ce n'est pas parce qu'un impact est “absorbable globalement“ qu'il est acceptable localement.

Principe :

La gravité se mesure à la capacité à absorber l'incident sans escalade dépassant le périmètre de sécurité.

Ce qui peut être géré localement est “moins grave“, ce qui nécessite une escalade est “grave“ ou “critique“.

Ce modèle permet de responsabiliser chaque acteur du SI :

  • Si tu peux gérer seul, tu assumes :
    • Socle de sécurité (Atelier 1) de l'analyse EBIOS
    • Procédures internes, méthodes de détection existantes, mesures de sécurité génériques, etc. ;
  • Si tu ne peux pas, tu escalades :
    • L'organisation doit assumer le fait que la gravité impliquera une intervention au-delà du périmètre de sécurité.
    • Le périmètre de sécurité devra mettre en place des mesures spécifiquement documentées pour amoindrir le risque d'escalade (cf. méthodologie ED203A). Plus sur ce sujet dans un autre article : )

Le principe consiste à n'accepter que des risques n'impliquant pas d'escalade au-delà du périmètre de sécurité.

Pourquoi c'est mieux

Ce modèle, non biaisé par la taille de l’entreprise, force la prise de responsabilité : Il oblige en effet chaque responsable à prendre position sur ce qu’il peut ou non accepter. Il évite de classer ”grave mais tolérable” ou “critique mais acceptable” sous prétexte qu’on a de la trésorerie pour pâlier à un risque judiciaire.

Cette échelle permet de :

  • Définir clairement les seuils de réactions,
  • Structurer les processus d'escalade,
  • Donner du sens aux responsables locaux.