Deux questions simples sont souvent posées par les directions générales à leurs Responsables Sécurité des Systèmes d’Information ou Chief Information Security Officer. Quel est le niveau des cyber risques auxquels nous sommes exposés ? Quel est le gain que nous pouvons espérer si nous dépensons les millions que vous me demandez ? Les réponses encore plus simples sont souvent élevé pour la première et peu pour la deuxième ! C’est ce constat qui a conduit deux américains à concevoir une méthode d’analyse des risques de cyber sécurité avec une approche exclusivement quantitative.

Les méthodes traditionnelles

Les principes d’analyse et de traitement des risques sont maintenant bien connus et maîtrisés par les professionnels de la sécurité. L’approche risque est la fondation des programmes de sécurité. Ces principes sont établis dans plusieurs référentiels et mis en œuvre dans de nombreuses méthodes et outils qui font partie du programme du premier domaine de la certification CISSP. La norme ISO 27 005 est un document majeur en particulier lors de la mise en place de systèmes de management de la sécurité d’information (SMSI) certifiés ISO 27 001. Le NIST américain produit plusieurs documents pour mettre en place un processus de gestion des risques et notamment le NIST 800-30. Chaque pays dispose de plusieurs méthodes qui mettent en pratique ces principes. Par exemple Octave (Operationally Critical Threat, Asset, and Vulnerability Evaluation) aux Etats-Unis, CRAAM (Central Computing and Telecommunications Agency Risk Analysis and Management Method) au Royaume Uni, ou encore AS/NZS 4360 en Australie et Nouvelle Zélande. En France, EBIOS, maintenue par l’ANSSI a été refondue pour rendre plus concret les scénarios de risques au travers d'EBIOS Risk Manager. Ces méthodes permettent de formaliser ses niveaux de risques (menaces, vulnérabilité, impacts, vraisemblance et risque résiduel après traitement) mais pas de quantifier financièrement un risque. Cette question est pourtant de plus en plus d’actualité avec le développement des polices d’assurances spécialisées sur la prise en compte des cyber risques.

La méthode FAIR

Cette méthode (Factor Analysis of Information Risk) suit une approche scientifique pour calculer les risques, définis comme la fréquence probable (prenant en compte la fréquence d’occurrence et la vulnérabilité) et l'ampleur probable des pertes. L’introduction de la notion de probabilité d’action mesure la motivation de l’attaquant, sa perception du niveau d’effort et de de sa propre prise de risque (notion importante pour les cas de fraudes internes, plus le fraudeur potentiel a la perception d’impunité, plus la probabilité qu’il passe à l’action augmente). La vulnérabilité est mesurée en pourcentage représentant le probabilité qu’une action entraine une perte. Par exemple, tel mot de passe est vulnérable à 1% à une attaque par force brute. Ce pourcentage peut être calculé directement ou dérivé de la capacité de l’attaquant (on est plus vulnérable à un attaquant disposant de moyens élevés) et de la difficulté d’exploitation (par exemple un système à jour en correctifs de sécurité est plus difficilement attaquable et par conséquent moins vulnérable). L’évaluation des impacts prend en compte les pertes directes (perte de revenus par exemple) et indirects (par exemple pénalités financières, baisse de la valorisation de l’entreprise sur les marchés ou dégradation de la réputation). Les modèles statistiques peuvent reposer sur la méthode de Monte-Carlo. FAIR est une méthode qui ne se contente pas de définir des termes et des concepts mais qui précise comment mener à bien chaque étape : comment mesurer les différents critères et à partir de quelles données, l’analyse des scénarios de risques cyber et l’interprétation des résultats. La méthode donne aussi des exemples basés sur des cas concret : élévation des privilèges, malveillance interne, piratage externe, DDoS (Distributed Denial of Service), attaque d’une application WEB, rebond par les systèmes d’information d’un sous-traitant.

Bien que difficile à mener, l’approche quantitative des risques cyber va être de plus en plus demandée par les directions générales qui cherchent à optimiser leurs coûts tout en maitrisant le risque cyber qui a fortement augmenté. Le fait que le marché de la cyber assurance est en forte évolution est aussi un levier important. La méthode FAIR a été adoptée par OpenGroup (qui maintient aussi le référentiel d’architecture d’entreprise TOGAF, équivalent de SABSA en sécurité) avec OpenFair. OpenGroup propose une certification professionnelle (Open FAIR™ Certification), les référentiels Risk Taxonomy (O-RT) et Risk Analysis (O-RA) ainsi qu’un outil pour faciliter la mise en œuvre de la méthode.

 

 Pour en savoir plus sur les 20 meilleures formations sur la sécurité des systèmes d’information, téléchargez gratuitement notre livre blanc ci-dessous :