Cybersécurité et analyse des risques, les réponses de Pierre Oger

Objets du dossier du n° 564 de Face au Risque, les systèmes de sécurité physique, vidéoprotection ou contrôle d’accès, font massivement appel à des technologies numériques. Comment considérer l’analyse des risques liée à leur utilisation ? Pierre Oger, co-fondateur d’Egerie, a accepté de répondre à nos questions.

Face au Risque. Quelles liaisons entretiennent la sûreté physique et la sécurité numérique ?

Pierre Oger. Les systèmes d’information (SI) sont portés par des infrastructures techniques. Ces infrastructures sont accessibles à un environnement humain, et donc accessibles physiquement. Je vais prendre un exemple très connu, celui du cloisonnement physique, qui a été pendant très longtemps utilisé dans le monde de la défense. Si on est en présence d’un SI qui est à la fois interconnecté et accessible physiquement, forcément la surface d’attaque est très importante. A présent, si l’on considère ce SI au sein d’un bunker, inaccessible physiquement et disposant en sus d’un cloisonnement extrêmement fort, alors les possibilités de scénarios d’attaque sont évidemment réduites. La sécurité physique, c’est un moyen assez simple et radical de s’assurer un niveau de sécurité forte.

La difficulté, c’est que le monde actuel est porté par le numérique : plus on l’utilise, plus on veut qu’il soit efficace, et plus il faut qu’il soit ouvert. Dans un environnement commercial, le modèle de fonctionnement du bunker ne peut pas être utilisé car il y a des échanges permanents d’information entre différentes entités. De plus, aujourd’hui les éléments de sûreté physique sont presque toujours accolés à une technologie IP : ils deviennent des composant actifs du SI. Il faut donc trouver un modèle intermédiaire, qui intègre la sécurité intelligente.

Dans ce contexte, comment appréhender l’analyse des risques ?

P. O. Il faut absolument gérer la cybersécurité par la maîtrise des risques. Et avec le risque il y a toujours trois temps : En premier lieu, il faut connaître les risques auxquels on est confrontés : c’est la phase d’identification. Ensuite, il faut avoir une connaissance approfondie de ces risques et disposer de métriques précises. C’est ce que l’on appelle la quantification. A partir de là, il faut mettre en place une méthode normalisée et structurée de traitement des risques identifiés, mais aussi une démarche permettant de rendre cette analyse dynamique en réévaluant les risques en permanence. Ces étapes primordiales constituent le processus de gestion des risques car en concaténant toute l’information, on devient plus agile et donc plus performant.

---

Il faut absolument gérer la cybersécurité par la maîtrise des risques

---

Comment concilier les objectifs de la sûreté physique et de la sécurité logique ?

P. O. Avant il y avait le monde de l’informatique d’un côté, et de l’autre le monde de la sûreté. Il n’y avait pas vraiment de connexion entre les ingénieurs de sécurité informatique et ceux de la sûreté. Aujourd’hui, ces deux thématiques sont interdépendantes et les personnes en charge de la gestion du risque dans l’entreprise se doivent d’avoir une vision globale de la situation.

Dans l’analyse de risque, on somme des actions qui permettront d’identifier le plus grand nombre de scénarios de risque. Et c’est cette vision globale qui permet d’empêcher le déroulement de scénarios d’attaque. Et c’est d’autant plus stratégique que le système est vivant et l’attaquant aussi. En d’autres termes, plus l’on perdra de temps à mettre en oeuvre cette stratégie cyber par le risque, plus l’on perdra de temps à maitriser la situation et donc à la corriger.