Publicité

Photo Les Assises de la Sécurité

Assises de la sécurité :
l’Anssi mise sur l’analyse de risque

En plein mois européen de la cybersécurité, Monaco a accueilli du 10 au 13 octobre 2018 la 18e édition des Assises de la sécurité et des systèmes d’information. L’occasion pour l’Anssi de sensibiliser à l’anticipation du risque numérique.
Nous y étions.

Le risque numérique doit être perçu comme un risque à part entière, qu’il faut intégrer à la gestion globale des risques de l’entreprise. C’est le message qu’a voulu faire passer Guillaume Poupard, directeur général de l’Agence nationale pour la sécurité des systèmes d’information (Anssi), lors de son discours d’ouverture des Assises de la sécurité et des systèmes d’information le 10 octobre 2018 à Monaco.

Guillaume Poupard. Photo Les Assises de la Sécurité

« Il est temps d’arrêter de considérer les risques numériques comme des risques à part. Ils doivent être gérés par tous les acteurs de l’organisation. La cybersécurité, c’est une histoire d’anticipation collective. »

Pour lui, la plupart des entreprises sont arrivées à un stade de maturité où les décideurs sont sensibilisés au risque numérique, notamment depuis Wannacry et NotPetya en 2017.

« L’époque où nous devions répéter « ça peut vous arriver » est révolue, beaucoup d’entreprises ont pris la foudre ou ont vu leurs voisins la prendre, confie-t-il. Désormais, la question n’est plus de savoir s’il y a une menace mais quelle est-elle et comment s’en protéger. »

Revenir aux fondamentaux de l’analyse de risque

Le directeur de l’Anssi a insisté sur l’importance de l’analyse de risque, pour faire sortir la sécurité numérique du seul domaine de la technique et impliquer les décideurs et les responsables métiers.

Pour accompagner les entreprises dans cette démarche, l’Anssi a lancé, lors des Assises, la méthode Ebios Risk Manager, une version « modernisée » et mise à jour de la méthode d’analyse de risque de référence initiée en 1995, adaptée aux enjeux actuels : la prolifération des menaces, l’émergence d’écosystèmes numériques complexes et l’impact du numérique dans tous les secteurs d’activité.

Une méthode articulée autour de cinq ateliers

Élaborée avec des partenaires comme le club Ebios et le Clusif, elle permet de déterminer les mesures de sécurité adaptées à la menace et de mettre en place le cadre de suivi et d’amélioration continue à l’issue d’une analyse de risque partagée au plus haut niveau.

La méthode vise à obtenir une synthèse entre conformité et scénarios. L’objectif est à la fois de bâtir un socle de sécurité solide en appliquant les référentiels de sécurité pertinents et d’apprécier les risques en se concentrant sur les menaces intentionnelles et ciblées les plus dangereuses.

Elle s’articule autour de cinq ateliers :

  • Cadrage et socle de sécurité
  • Sources de risques
  • Scénarios stratégiques
  • Scénarios opérationnels
  • Traitement du risque

« L’objectif est de sortir de la situation actuelle où le responsable de la sécurité des systèmes d’information (RSSI) n’est pas compris et de miser sur la collaboration avec les dirigeants et les acteurs opérationnels, affirme Guillaume Poupard. En fonction du contexte et des outils existants, les organisations peuvent s’approprier la méthode. Elle est plus accessible et plus agile que ce qui existait. Elle peut se décliner pour beaucoup d’acteurs. »

Un label de conformité attendu pour 2019

Afin d’outiller la méthode Ebios Risk Manager, l’Anssi va s’appuyer sur des partenaires externes, éditeurs de logiciels. L’Agence doit lancer en 2019 un label de conformité Ebios Risk Manger, accessible aux éditeurs souhaitant développer une solution logicielle conforme à la méthode.

Par ailleurs, il est prévu que le Centre de formation à la sécurité des systèmes d’information de l’Anssi dispense dans les prochains mois une formation pour les administrations sur cette méthode. Des kits de formation sont également en cours d’élaboration pour permettre l’adoption de la méthode par le plus grand nombre.

Cependant, la méthode risque de rester trop complexe pour les TPE/PME qui manquent de ressources et de compétences dans le domaine de la cybersécurité, reconnaît le directeur de l’Anssi. Pour ces acteurs, l’essentiel reste l’accès à des outils sécurisés et l’application de règles élémentaires. Pour cela, le site cybermalveillance.gouv.fr recense des prestataires de proximité compétents et propose un kit de sensibilisation (1er volet) sur les questions de l’hameçonnage, des mots de passe, des appareils mobiles et des usages pro-perso. Un deuxième volet est prévu avant l’été 2019.

Gaëlle Carcaly
Journaliste

ARTICLES SUR LE MÊME SUJET

Par |2019-07-10T15:59:52+00:0016/10/2018|Mots-clés : , , , |