Ou comment choisir ce qui doit être protégé…


Il est très difficile, voire hautement improbable, d’atteindre un bon niveau de sécurité en considérant que tout doit être protégé au plus haut niveau tout le temps. C’est d’autant plus irréaliste quand on connaît un tant soit peu le niveau moyen de maturité des entreprises sur ce sujet. Il faut donc choisir ses batailles afin de parvenir à un résultat probant et miser sur le moyen/long terme pour couvrir progressivement tout le périmètre de son Système d’Information.


Pour définir comment et de quoi protéger le périmètre choisi, il peut s’avérer utile de s’appuyer sur une méthode et des outils comme Mehari ou EBIOS. Elles permettent de manière rigoureuse d’intégrer le contexte légal et les enjeux business dans lesquels évoluent les applications ou les infrastructures que l’on a intégré dans le périmètre à protéger.


Regardons EBIOS de plus près (source wikipédia):


“La méthode EBIOS est une méthode d’évaluation des risques en informatique, développée par l’Agence nationale de la sécurité des systèmes d’information (ANSSI).

Elle permet d’apprécier les risques Sécurité des systèmes d’information (entités et vulnérabilités, méthodes d’attaques et éléments menaçants, éléments essentiels et besoins de sécurité…), de contribuer à leur traitement en spécifiant les exigences de sécurité à mettre en place, de préparer l’ensemble du dossier de sécurité nécessaire à l’acceptation des risques et de fournir les éléments utiles à la communication relative aux risques.”




Cette étude se déroule en 5 étapes.


  1. Etude du contexte: pour sécuriser efficacement une application par exemple, il est préférable de comprendre le service qu’elle rend, à qui et par quel moyen technique. Il ne faut pas oublier non plus le cadre légal dans lequel elle évolue.
  2. Etude des événements redoutés: ce travail implique complètement les utilisateurs du système. Il n’y a qu’eux qui peuvent fixer objectivement leurs besoins en matière de sécurité pour l’application considérée. Ils le font au travers de critères de sécurité tels que la disponibilité, l’intégrité ou la confidentialité par exemple.
  3. Etude des scénarios de menaces: il va s’agir de dresser l’inventaire le plus exhaustif possible de ce qui peut menacer l’application et ses causes. Ces menaces peuvent être de tout ordre comme naturel (incendie, inondation,…) ou humain bien sûr…
  4. Etude des risques: c’est l’étape la plus difficile à maîtriser tant elle fait appel à la sensibilité des acteurs. Il va falloir trier, hiérarchiser les risques puis se fixer des objectifs de sécurité qui permettront de couvrir ces risques. Pour terminer, on choisit à quel niveau on veut être protégé et du même coup accepter ou assurer le risque résiduel.
  5. Etude des mesures de sécurité: lorsque toutes les étapes précédentes ont été réalisées et que les moyens techniques et organisationnels ont été mis en place, il appartient à la maîtrise d’oeuvre de prouver à chaque instant que toutes les mesures de sécurité sont parfaitement fonctionnelles.


Cette démarche à plusieurs vertus:


  1. Les parties prenantes doivent s’accorder sur les risques et leur potentialité.
  2. On sait ce qu’on a à défendre et à quel niveau, il est donc plus facile de faire des choix techniques et de justifier un investissement.
  3. On connait le risque résiduel: c’est à dire qu’en cas de problème de sécurité, tout le monde partage préalablement le constat que tout a été mis raisonnablement en oeuvre pour que ça n’arrive pas. Les conséquences d’un incident sont donc à partager au sein de l’entreprise et ne reposent pas seulement sur l’équipe IT.


Sa mise en oeuvre a cependant un coût et requiert presque systématiquement l’intervention de professionnels de la méthode pour s’assurer que la démarche aboutisse. Ceci dit c'est aussi l'opportunité de répondre aux obligations de la RGPD. J'ai trouvé ceci sur Internet et que je trouve particulièrement pertinent. En choisissant d'inclure dans l'étude de contexte  et des risques les impacts sur le vie privée, on peut faire d'une pierre 2 coups !