Partager

Une pratique assez courante consiste à baser la décision d’acceptation de risques simplement sur une cotation abstraite des niveaux de gravité et de vraisemblance.

Si le risque est dans la zone verte de la matrice des risques il est accepté, s’il est en zone rouge il faudra le réduire.

Et même la réduction du risque est parfois calculée au travers d’une formule mathématique sur la base de « quote part » attribuée à des mesures de sécurité. Si la mesure X est appliqué le risque est réduit de 30%, si la mesure Y est appliqué, le risque est baissé de 50%.

Et ces poids et quote part sont généralement définis par défaut de manière générique, sans contextualisation pour le système en question.

Cette approche présente deux problèmes majeurs :

Premièrement les risques,leur traitement et les risques résiduels ne sont pas réellement compris par les décideurs et les acteurs clés. Par ce que Ces risques sont manipulés sur la base d’indicateurs abstrait et non sur la base d’éléments factuels

Deuxièmement, cela encourage la réduction artificielle des risques en adaptant les critères et les calculs mathématiques

Et tout cela peut mener à une fausse assurance, loin de la réalité du terrain.

Je ne suis pas contre l’utilisation d’échelle de classification ou de règle de calcul, mais cela doit servir uniquement à donner un premier aperçu de l’état des risques, et non à prendre une décision de traitement ou d’acceptation.

Cette décision doit être basée sur une vraie compréhension des scénarios de risques, une vraie compréhension de ce qui peut se passer, du comment il peut se passer et des dégâts potentiels.

Maintenant, comment assurer cette bonne compréhension du risque par les acteurs clés ?

Cela passe d’abord par l’élaboration de scénario de risque qui sont parlant… et surtout pas décrit par un texte générique pioché dans une base de connaissance

Chaque scénario doit être décrit… de bout en bout… en précisant le séquencement des évènement et des actions … depuis le point de départ de l’attaquant (si risque de malveillance) vers la cible d’attaque, … et en expliquant dans un langage métier les impacts que cela peut avoir pour l’organisation.

Il faut aussi un enchaînement logique dans le séquencement des événements et des actions…Chaque action doit remplir les conditions de réalisation de l’action suivante.

Par exemple, si dans un scénario, on a une action d’exploitation à distance d’une vulnérabilité, cette action doit être précédée par une étape qui donne un accès réseau à la machine en question.

Ensuite, quand on présente une mesure de réduction du risque, il faut décrire de manière factuelle comment cette mesure permet de réduire le risque, et indiquer particulièrement sur quelle étape du scénario elle va agir.

Par contre je tiens à préciser que quand je dis séquencement d’action, je ne veux pas dire forcément des techniques d’attaque décrites avec tous les détails opérationnels. Il faut plutôt mettre le juste nécessaire pour comprendre le risque et émettre une décision en toute connaissance de cause. Ce niveau de détails nécessaire fera l’objet d’une autre pensée cyber.

Continuer la lecture de la série

Avez-vous trouvé cet article utile?