Évaluation de la gravités des Évènements Redoutés
Ou pourquoi les analyses de risques ne permettent pas de prendre les décisions au bon niveau stratégique
Après avoir vu / commenté / produit des dizaines d'analyses de risques, un constat revient : Les organisations produisent beaucoup d'évaluations mais en tirent rarement crédit pour prendre les décisions au meilleur niveau.
Quelque soit la méthode suivie, vient l’étape où l’analyse doit évaluer la gravité des Évènements Redoutés. En théorie, c'est simple : Il s'agit d'estimer à quel point un ÉR peut faire mal. EBIOS propose ainsi de placer en entrée ses quatre critères : Critique, Grave, Significative et Mineure. Mais comment remplit-on maintenant ces quatre critères ?
Dans cet article, j'explique pourquoi cette étape cruciale de l'analyse de risque manque trop souvent son but d'influer les décisions stratégiques et ce qu'elle révèle de la maturité cyber d'une organisation. Article garanti 100% sans IA !
Attention !
N'avez-vous pas remarqué qu'il n'y a pas de définition claire de ces quatre critères, mais uniquement des exemples ? C'est symptomatique du problème ! Il est demandé aux RSSI de s'adapter au contexte métier, ce qui entre en contradiction apparente avec la définition d'une échelle qui justement doit permettre d'être adapté à tous les périmètres de la société ! Les RSSI procèdent donc par une liste d'exemples.
La plupart des analyses de risques sérieuses manquent leur but non pas parce qu'elles sont techniquement fausses, mais parce qu'elle empêche la prise de décision au bon niveau.
Les grilles servent alors d'alibi et la responsabilité disparait ; La prise de décision devient moins évidente.
La plupart des méthodes, dont EBIOS, reposent sur une hypothèse simple : plus on est exhaustif sur les critères, plus on produit de l'information, meilleure sera la décision. L'expérience montre souvent l'inverse.
Puisqu’un schéma vaut mieux qu’un discours, reprenont l'exemple donné par la méthodologie EBIOS :
Cette définition pose plusieurs problèmes :
-
L’échelle semble ramenée à la structure dans son ensemble, alors qu'une analyse de risque doit porter sur un périmètre de sécurité donné. On sent bien que si le périmètre est suffisamment restreint, le risque sera systématiquement accepté ; L'organisation surmontera la situation en consommant ses marges. Ceci présente deux défauts :
- Déresponsabilisation des petits périmètres ;
- Choix plus complexe pour le décideur.
-
D'autre part, l'analyse mélange les performances de l’activité, la sécurité des biens, et la sécurité des personnes.
Attention :
Il n'est pas entendable de présenter à la direction une situation où elle aurait à "accepter" ou non des risques humains ou juridiques.L'analyse ANSSI : l'exhaustivité qui tue l'efficacité
L'exemple suivant frappe encore plus, et vient d'une analyse de l'ANSSI
Là, l’auteur a clairement visé l’exhaustivité ; mais les problèmes de cette approche sont encore plus visibles :
- Critère Humain : À nouveau, la direction peut se trouver en situation d’accepter / refuser un risque dont la réalisation implique un dégât humain. Cyniquement, si elle se tourne vers son assurance, elle peut peser le pour et le contre et décider d’accepter le risque ;
- Critère Financier : Le fait de positionner un critère fixe (l’auteur le laisse d’ailleur au choix de l’entité, pas fou ; ) implique qu’une petite structure de la société pourra accepter des risques forts à son échelle, mais dont l’impact financier au final reste inférieur à X ; Dit autrement, le responsable de cette petite structure dispose d’un argument fort pour dire qu’il s’en fout, ou alors, s'il souhaite avec sincérité faire le travail sérieusement, on trouvera un responsable pour lui dire que c'est pas la peine, on reste inférieur à X ;
- Critère Juridique : On en arrive à faire entrer dans la balance des risques un délit pénal. Non, la loi n'est pas un paramètre négociable. Vous seriez surpris de voir le nombre de sociétés qui provisionne des sommes pour régler les procès de cette façon, selon le principe “mieux vaut demander pardon que la permission”. Ce positionnement valide et encourage ce genre de pratiques éthiquement contestable ;
- Critère lié à l'Image : Tout va bien pour une société d'impact régional maximum : l’impact Critique n’existe pas, grave peu vraisemblable ; Les autres impacts seront acceptés. Encore une fois, le référentiel, non adapté, ne permet pas de zoomer efficacement sur le périmètre de sécurité, objet de l'étude.
Ma vision : La gravité doit définir qui décide
Une bonne analyse de risques ne classe pas les risques. Elle organise la responsabilité.
- Le périmètre de sécurité constitue le référentiel absolu. On ne relativise pas un impact parce que l'entreprise est grande. Si c'est grave à l'échelle du périmètre, alors un responsable doit faire face.
- Elle doit resposer sur un critère fondamental, trop souvent ignoré dans les méthodes classiques : La capacité du responsable local, i.e. du périmètre de sécurité, à gérer l'impact sans faire appel à l'extérieur.
- Le décideur ne doit s'impliquer finalement que si la gravité déborde de ce qu'un responsable local est capable d'assumer.
À noter :
On garde une échelle à nombre pair de critères : Intuitivement, l’esprit humain cherche à séparer entre “peu grave” ou “plus grave”. Une échelle impaire offrirait la possibilité de choisir par paresse intellectuelle le “moyen grave” du concensus mou lorsqu’on a du mal à se positionner.
Un nombre pair de critère force la prise de décision.
Le mieux consiste à retenir 4 critères, à nouveau parce que l’esprit humain aura du mal à pondérer 6 ou 8 critères.
On entre maintenant dans le vif du sujet : 4 valeurs ; On souligne la séparation intuitive entre “moins grave” et “plus grave” par un critère à établir. Cette séparation fait déjà apparaitre en filigrane un critère simple que l’on cherche à mettre en place : Dépassement ou non du périmètre de sécurité.
Le référentiel : Le périmètre de sécurité, et rien d'autre
On ne juge pas la gravité à l'échelle de la société entière, mais à celle du périmètre concerné.
Ce n'est pas parce qu'un SI est “petit“ qu'il doit être mal protégé. Ce n'est pas parce qu'un impact est “absorbable globalement“ qu'il est acceptable localement. D'autre part, si le risque est maîtrisé localement, ce n'est pas la peine de le remonter aux décideurs à l'échelle de la société.Principe :
La gravité se mesure à la capacité à absorber l'incident sans nécessiter d'escalade au-delà du périmètre de sécurité.
Ce qui peut être géré localement est “moins grave“, ce qui nécessite une escalade est “grave“ ou “critique“.
Ce modèle permet de responsabiliser chaque acteur du SI et évite de tout faire reponser sur les épaules du décideur à l'échelle société :
- Si tu peux gérer seul, tu assumes :
- Socle de sécurité (Atelier 1) de l'analyse EBIOS
- Procédures internes, méthodes de détection existantes, mesures de sécurité génériques, etc. ;
- Ajout de techniques locales faisant sens dans le contexte particulier du périmètre de sécurité ;
- Si tu ne peux pas, tu escalades :
- L'organisation doit assumer le fait que la gravité impliquera une intervention au-delà du périmètre de sécurité ;
- Le périmètre de sécurité devra mettre en place des mesures spécifiquement documentées pour amoindrir le risque d'escalade.
Le principe consiste à n'accepter que des risques n'impliquant pas d'escalade au-delà du périmètre de sécurité et de ne se focaliser qu'au-delà.
Pourquoi c'est mieux
Ce modèle, non biaisé par la taille de l’entreprise, force la prise de responsabilité des acteurs locaux : Il oblige en effet chaque responsable à prendre position sur ce qu’il peut ou non accepter. Il évite de classer ”grave mais tolérable” ou “critique mais acceptable” sous prétexte qu’on a de la trésorerie pour palier à un risque judiciaire.
Cette échelle permet de :
- Définir clairement les seuils de réactions,
- Structurer les processus d'escalade,
- Donner du sens aux responsables locaux.