La gestion du risque est-elle vraiment une science exacte ? C’est la question posée à l’occasion de notre dernier petit-déjeuner SecurityVibes en date. Selon Gilles Afchain, responsable de la sécurité de l’information chez Areva, gérer le risque c’est surtout connaître les limites de l’exercice. Selon lui, chaque variable de la formule de calcul du risque (probabilité et gravité) se base sur des valeurs souvent avancées arbitrairement. « L’occurrence et l’impact sont estimées à dire d’experts« , précise Gilles Afchain. Et pour ce faire les experts se fient généralement à des incidents qui se sont produits chez d’autres entreprises du même secteur ou dans la même industrie.

Or, ce qui est présenté comme une statistique n’a en réalité rien de fiable : « cette pseudo-approche statistique n’a aucune valeur car on ne peut rien conclure sur une seule occurrence ou sur une période de temps courte« , poursuit Gilles Afchain. Et ce n’est pas tout : la troisième variable (l’efficacité de la mesure de réduction du risque) est elle aussi estimée à dire d’expert. Bref, aucune des valeurs sur lesquelles repose l’analyse n’est franchement indiscutable.

La méthode AMDEC (Analyse des modes de défaillance, de leurs effets et de leur criticité), très utilisée en informatique industrielle et en sûreté, illustre bien la question. « Cette approche nécessite une base de connaissance significative comme référence. Mais comment prendre en compte les nouvelles menaces ou les nouvelles technologies dans une base de référence ? On ne le peut pas s’il n’y a pas eu un précédent. Et encore, on se basera alors su un seul cas. On se retrouve donc à devoir baser des calculs de risque et des décisions sur des chiffres à l’origine floue (tirés par exemple de cabinets d’analyses qui ne justifient pas leur méthode) et des probabilités tout aussi légères parce que inductives (basées sur une occurrence trop faible)« , regrette Gilles Afchain.

Et ce n’est pas tout : l’autre cheval de bataille de Gilles Afchain, c’est la détection du risque. « En informatique industrielle, si une mesure est critique, on se base sur au moins deux capteurs différents. Tandis que dans l’informatique de gestion on se contente trop souvent de capteurs uniques et mono-technologie« .

Pourquoi est-ce si important ? Parce que cela introduit deux nouvelles variables dans l’équation du risque : la détectabilité (« est-on en mesure de détecter la survenance du risque ?« ) et la controlabilité (« le risque est certes peu important mais peut-il diverger sans que l’on s’en aperçoive vers un risque à l’impact plus important ?« ). Dans les deux cas il est nécessaire de savoir détecter l’occurrence du risque avant qu’il ne diverge. Ce qui n’est pas toujours le cas : « La plupart du temps l’impact est évident. Mais par exemple sur des risques de corruption des données, tels des arrondis ou un stockage en base de données avec le mauvais type, c’est plus pernicieux« , explique Gilles Afchain.

Et il conseille donc de se poser la question, pour chaque risque recensé, si l’entreprise est « capable de le détecter avec des capteurs redondants indépendant de la source du risque ou des systèmes concernés« . L’exercice pourrait révéler des surprises…

Dans la salle, les membres de SecurityVibes font remarquer que, finalement, la gestion du risque exigera toujours une bonne dose d’Art, plutôt que de science, et que cela a toujours plutôt bien fonctionné jusqu’à présent. Et Gilles Afchain approuve parfaitement, indiquant que l’objectif n’est pas de renier les méthodes, nécessaires pour que tout le monde parle le même langage. « Mais il n’est pas conseillé de se fier uniquement à la méthode. Si votre flair et la méthode sont alignés, tant mieux ! Si ce n’est pas le cas, alors utilisez votre flair pour compenser les chiffres de la méthode« , précise-t-il.

Et c’est ce que semble déjà faire quelques membres de SecurityVibes : « l’occurrence est généralement la variable d’ajustement. On l’adapte pour positionner l’évènement où on veut« , reconnaît un RSSI. Et bien entendu une autre variable d’ajustement est le delta entre la méthode brute, qui propose du générique, et le contexte spécifique de l’entreprise. La méthode est en effet rarement utilisée sans un tel ajustement, et ici le RSSI ou l’auditeur fait ce qu’il lui plaît !

Concernant les pratiques de gestion du risque de nos membres, le débat n’a en définitive guère tourné autour des méthodes elles-mêmes : une majorité de méthodes internes sont utilisées, avec tout de même un peu d’ISO 27005 et d’EBIOS.

Plus préoccupant que la méthode aux yeux de nos RSSI sont les contraintes de temps et les délais impartis au projet. Ce qui a d’ailleurs donné lieu à un échange très intéressant quant à la meilleure méthode pour lancer un projet d’analyse de risque. « La méthode AMDEC semble un très bon complément à ISO 27005 qui ne propose pas de modélisation spécifique » observe un membre. Ce qui fait réagir les adeptes de cette dernière, pour qui les scénarios de risque de l’ISO 27005 permettent de démarrer très rapidement. « Chez moi l’analyse de risque est trop récente et on me demande d’être opérationnel très rapidement. Si je prends le temps de modéliser tous mes processus métiers – et il y en a beaucoup – je ne livre rien avant deux ans ! Tandis que ISO 27005 me permet de livrer quelque chose rapidement« , explique un RSSI.

Ce qui n’a bien entendu pas contribué à trancher la question de la modélisation des processus métiers avant de lancer le projet de gestion du risque. Tout juste a-t-on conclu que face à cette contrainte, tous les RSSI ne sont pas égaux : « dans certains domaines, tels la banque et l’assurance, c’est simple car les processus sont déjà très formalisés à cause des réglementations. Mais dans d’autres, notamment pour les entreprises qui n’ont pas de cellule d’audit et de contrôle, c’est beaucoup plus compliqué« , reconnaît un autre membre.

Et vous, avez-vous modélisé vos processus métiers avant de gérer le risque ? Ou faites-vous confiance aux scénarios génériques d’une méthode ? A votre flair ?  Poursuivons le débat dans les commentaires ci-dessous !