- Pensée Cyber 01 – Quand le chiffrement devient une source de vulnérabilités
- Pensée Cyber 02 – Pourquoi s’auditer par rapport à un référentiel externe si on a une PSSI
- Pensée Cyber 03 – Évitez les exigences génériques dans les cahiers des charges cybersécurité
- Pensée Cyber 04 – Quand la certification ISO27001 devient un piège
- Pensée Cyber 05 – Attention au traitement mathématique des risques"Possibilité qu’un événement redouté survienne et que ses effets impactent les missions de l’objet de l’étude." - Guide officiel de la méthode EBIOS Risk Manager - cyber
Une pratique assez courante consiste à baser la décision d’acceptation de risques"Possibilité qu’un événement redouté survienne et que ses effets impactent les missions de l’objet de l’étude." - Guide officiel de la méthode EBIOS Risk Manager - simplement sur une cotation abstraite des niveaux de gravité et de vraisemblance.
Si le risque"Possibilité qu’un événement redouté survienne et que ses effets impactent les missions de l’objet de l’étude." - Guide officiel de la méthode EBIOS Risk Manager - est dans la zone verte de la matrice des risques"Possibilité qu’un événement redouté survienne et que ses effets impactent les missions de l’objet de l’étude." - Guide officiel de la méthode EBIOS Risk Manager - il est accepté, s’il est en zone rouge il faudra le réduire.
Et même la réduction du risque"Possibilité qu’un événement redouté survienne et que ses effets impactent les missions de l’objet de l’étude." - Guide officiel de la méthode EBIOS Risk Manager - est parfois calculée au travers d’une formule mathématique sur la base de « quote part » attribuée à des mesures de sécurité. Si la mesure X est appliqué le risque"Possibilité qu’un événement redouté survienne et que ses effets impactent les missions de l’objet de l’étude." - Guide officiel de la méthode EBIOS Risk Manager - est réduit de 30%, si la mesure Y est appliqué, le risque"Possibilité qu’un événement redouté survienne et que ses effets impactent les missions de l’objet de l’étude." - Guide officiel de la méthode EBIOS Risk Manager - est baissé de 50%.
Et ces poids et quote part sont généralement définis par défaut de manière générique, sans contextualisation pour le système en question.
Cette approche présente deux problèmes majeurs :
Premièrement les risques"Possibilité qu’un événement redouté survienne et que ses effets impactent les missions de l’objet de l’étude." - Guide officiel de la méthode EBIOS Risk Manager -,leur traitement et les risques"Possibilité qu’un événement redouté survienne et que ses effets impactent les missions de l’objet de l’étude." - Guide officiel de la méthode EBIOS Risk Manager - résiduels ne sont pas réellement compris par les décideurs et les acteurs clés. Par ce que Ces risques"Possibilité qu’un événement redouté survienne et que ses effets impactent les missions de l’objet de l’étude." - Guide officiel de la méthode EBIOS Risk Manager - sont manipulés sur la base d’indicateurs abstrait et non sur la base d’éléments factuels
Deuxièmement, cela encourage la réduction artificielle des risques"Possibilité qu’un événement redouté survienne et que ses effets impactent les missions de l’objet de l’étude." - Guide officiel de la méthode EBIOS Risk Manager - en adaptant les critères et les calculs mathématiques
Et tout cela peut mener à une fausse assurance, loin de la réalité du terrain.
Je ne suis pas contre l’utilisation d’échelle de classification ou de règle de calcul, mais cela doit servir uniquement à donner un premier aperçu de l’état des risques"Possibilité qu’un événement redouté survienne et que ses effets impactent les missions de l’objet de l’étude." - Guide officiel de la méthode EBIOS Risk Manager -, et non à prendre une décision de traitement ou d’acceptation.
Cette décision doit être basée sur une vraie compréhension des scénarios de risques"Possibilité qu’un événement redouté survienne et que ses effets impactent les missions de l’objet de l’étude." - Guide officiel de la méthode EBIOS Risk Manager -, une vraie compréhension de ce qui peut se passer, du comment il peut se passer et des dégâts potentiels.
Maintenant, comment assurer cette bonne compréhension du risque"Possibilité qu’un événement redouté survienne et que ses effets impactent les missions de l’objet de l’étude." - Guide officiel de la méthode EBIOS Risk Manager - par les acteurs clés ?
Cela passe d’abord par l’élaboration de scénario de risque"Possibilité qu’un événement redouté survienne et que ses effets impactent les missions de l’objet de l’étude." - Guide officiel de la méthode EBIOS Risk Manager - qui sont parlant… et surtout pas décrit par un texte générique pioché dans une base de connaissance
Chaque scénario doit être décrit… de bout en bout… en précisant le séquencement des évènement et des actions … depuis le point de départ de l’attaquant (si risque"Possibilité qu’un événement redouté survienne et que ses effets impactent les missions de l’objet de l’étude." - Guide officiel de la méthode EBIOS Risk Manager - de malveillance) vers la cible d’attaque, … et en expliquant dans un langage métier les impacts que cela peut avoir pour l’organisation.
Il faut aussi un enchaînement logique dans le séquencement des événements et des actions…Chaque action doit remplir les conditions de réalisation de l’action suivante.
Par exemple, si dans un scénario, on a une action d’exploitation à distance d’une vulnérabilité, cette action doit être précédée par une étape qui donne un accès réseau à la machine en question.
Ensuite, quand on présente une mesure de réduction du risque"Possibilité qu’un événement redouté survienne et que ses effets impactent les missions de l’objet de l’étude." - Guide officiel de la méthode EBIOS Risk Manager -, il faut décrire de manière factuelle comment cette mesure permet de réduire le risque"Possibilité qu’un événement redouté survienne et que ses effets impactent les missions de l’objet de l’étude." - Guide officiel de la méthode EBIOS Risk Manager -, et indiquer particulièrement sur quelle étape du scénario elle va agir.
Par contre je tiens à préciser que quand je dis séquencement d’action, je ne veux pas dire forcément des techniques d’attaque décrites avec tous les détails opérationnels. Il faut plutôt mettre le juste nécessaire pour comprendre le risque"Possibilité qu’un événement redouté survienne et que ses effets impactent les missions de l’objet de l’étude." - Guide officiel de la méthode EBIOS Risk Manager - et émettre une décision en toute connaissance de cause. Ce niveau de détails nécessaire fera l’objet d’une autre pensée cyber.