Aucune entreprise ne fonctionne avec des moyens illimités et le management des risques est encore vu comme un processus qui consomme des ressources. La gestion des risques a certes un coût (ressources humaines, ressources techniques) mais l’absence de gestion des risques expose potentiellement l’entreprise à des coûts encore plus importants. Il est donc fondamental de tenir compte des paramètres du financement des risques dans la priorisation des risques et les décisions associées aux résultats de l’analyse des risques. Par ailleurs, il est profitable de s’appuyer sur la notion de financement lorsqu’on hiérarchise des menaces (associées à l’intentionnalité) en particulier en cybersécurité : le retour sur investissement (ROI) de l’attaquant est un levier sur lequel la défense peut agir en optimisant ses propres dépenses.
Sébastien Delmotte, consultant expert en gestion des risques, et Vincent Desroches, Chef de Division Management de la sécurité numérique à l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI), nous apportent leurs expertises pour mieux appréhender ces notions.
Les organisations sociotechniques sont exposées à une multitude de dangers et de menaces de natures très différentes, associés à un certain nombre de risques externes (politiques, économiques, environnementaux, sécuritaires, médiatiques, liés au client ….) et internes (liés à la gouvernance, stratégiques, programmatiques, humains, juridiques, financiers, éthiques, technologiques, opérationnels….). Gérer les risques d’une activité, c’est d’abord les identifier et les évaluer afin de prioriser les décisions de leur traitement.
Comment prioriser les risques et leur traitement ?
- En les identifiant au regard d’un périmètre d’activité et d’objectifs de performances et de sécurité parfaitement définis ;
- En les évaluant en termes de gravité et vraisemblance initiales et résiduelles ;
- En en déterminant l’acceptabilité au regard des exigences et de la stratégie de l’activité ;
- En évaluant l’efficience économique des actions pour maitriser ces risques.
Quels sont les paramètres du financement des risques ?
On distingue les risques positifs et les risques négatifs. Les risques positifs sont associés à la notion d’opportunité, d’attrait et de gain. A contrario, les risques négatifs sont associés à la notion de danger, de menace, et de perte.
- Lorsqu’on parle de risque positif, deux paramètres sont à prendre en compte:
- Le coût de la prise de risque pour obtenir un gain G, notée « Rp » ;
- La valeur du gain G, notée « Gp ».
Si le ratio Gp/Rp est supérieur à 1 alors la prise de risque est associée à un bénéfice. Sinon, le risque ne mérite pas d’être pris.
- Concernant le risque négatif, deux paramètres sont également à prendre en compte :
- Le coût brut de la perte subie, noté « Pn », correspondant au coût si on ne traite pas le risque ;
- Le coût de l’effort de traitement, noté « En », correspondant aux coûts de réduction du risque initial (actions de prévention et de protection) et de gestion du risque résiduel (contrôle et assurance).
Si le ratio En/Pn, appelé coût/risque, est inférieur à 1, alors la décision de traiter le risque doit être prise. Si le ratio est supérieur à 1, le risque ne mérite pas d’être traité du point de vue économique. La décision de le traiter sera alors dite « politique ».
D’autres sources de coûts sont associées à la maîtrise des risques :
- Les effets secondaires des actions de maîtrise des risques, qui doivent être identifiés, dont le coût doit être évalué et dont le traitement doit être financé ;
- Le coût même de la réalisation des analyses des risques, qui doit être mis en regard avec le coût brut des risques si on ne fait rien.
Faire une analyse de risque doit être considéré comme un risque associé à une perte (coût de l’analyse). La réalisation de l’analyse de risque doit être considérée comme une opportunité générant un bénéfice dont le montant ne sera pas à débourser (pertes évitées).
Comment s’appuyer sur l’approche financière en cybersécurité ?
Les attaques informatiques sont motivées (la plupart du temps) par la recherche d’un gain stratégique ou opérationnel au profit du commanditaire : gain financier, pré-positionnement dans un réseau ou système cible, déstabilisation d’une organisation, sabotage d’une infrastructure, etc.
L’organisation qui planifie et exécute une opération cyber répond à des invariants, notamment :
- La recherche de plusieurs points d’entrée et chemins d’exploitation, pour rentabiliser le coût de l’opération et assurer la résilience de ses actions ;
- Le principe de moindre action guidé par une logique d’analyse de risque.
L’attaquant a indéniablement certains avantages sur sa cible : déséquilibre des moyens requis entre attaque et défense, choix des « armes » et du timing pour mener une opération, difficulté de détection et d’attribution, surfaces d’attaque importantes de natures techniques, physiques et cognitives. Cependant, une fois entré dans le système d’information de sa victime, l’attaquant perd l’avantage du terrain ; le moindre faux pas peut lui être fatal et ruiner des mois de préparation ;
il peut commettre des erreurs par excès de confiance, imprudence ou précipitation.
Cela signifie que si aucune défense n’est 100% sûre… aucune attaque n’est 100% garantie pour l’attaquant. Dès lors, les organisations ont tout intérêt à bâtir leurs politiques de cybersécurité en considérant le retour sur investissement (ROI) présumé des attaquants : les stratégies et mesures de protection, défense et résilience cyber doivent permettre de saper le ROI des attaquants. A la notion de « cybersécurité par conception » se superpose donc celle de « cybersécurité guidée par le ROI de l’attaquant ».
Concrètement, dans l’analyse de risque cyber il convient d’évaluer pour chaque phase ou séquence d’attaque présumée, deux critères du point de vue de l’attaquant :
- la difficulté technique, qui reflète les ressources/capacités que l’attaquant devra mettre en œuvre pour réaliser la phase d’attaque considérée. Plus la cyber-protection de l’organisation ciblée est élevée (cloisonnement des réseaux, gestion des accès et des authentifications, chiffrement des données, correction rapide des vulnérabilités…), plus les ressources à engager par l’attaquant seront importantes ;
- La chance de succès, qui reflète la vraisemblance de réussite de la phase d’attaque compte-tenu des mesures de cyberdéfense et de résilience mises en place par l’organisation ciblée (supervision des réseaux, sondes de détection, réactivité en cas d’incident, capacité de gestion de crise, plan de continuité d’activité robuste, niveau d’éducation des utilisateurs…). Une cyberdéfense et une résilience importantes affecteront la motivation et détermination de l’attaquant qui devra persévérer pour réussir son attaque.
Le gestionnaire de risque en cybersécurité a alors tout intérêt de bâtir sa stratégie de traitement du risque en privilégiant des mesures de sécurité qui impactent le plus fortement possible le ROI de l’attaquant avec un ratio bénéfice/coût intéressant.
- Le bénéfice est estimé sur la base de la diminution du ROI de l’attaquant (impacts sur la difficulté technique et la chance de succès) ;
- Le coût correspond aux ressources à engager par le défenseur pour mettre en place les mesures (coût au sens large : financier, structurel et humain).
Cette approche d’évaluation et de traitement du risque centrée sur le ROI de l’attaquant est dans l’ADN de la méthode EBIOS Risk Manager promue par l’ANSSI.
Être accompagné(e) dans mon projet de formation :
+33 (0)1 75 31 75 00
info.exed@centralesupelec.fr
Former mes collaborateurs grâce à la cellule Intra-sur-mesure :
+33 (0)1 75 31 64 01 // +33 (0)1 75 31 66 14
intra.exed@centralesupelec.fr