Blog Startup & Dev

Gestion des risques TI

Gestion des risques TI : Obsolescence des méthodes actuelles

L’augmentation de la connectivité et des volumes de données échangées rend les technologies de l’information incontournables dans le monde actuel. En effet, notre société dépend de plus en plus de ces technologies et des pans entiers de l’industrie ont complètement transformé leurs coeurs de métier. Par ailleurs, de nouveaux secteurs sont apparus comme l’e-commerce qui, en dématérialisant les circuits traditionnels de vente, a créé de nouvelles façons de consommer.

Toutefois, cette croissance exponentielle n’est pas sans poser quelques problèmes structurels de gestion aux entreprises. Ces dernières, boulimiques d’informations, ont dû s’adapter en quelques années seulement à cette révolution numérique, semblable à la révolution industrielle au XIXe siècle, par les transformations intrinsèques nécessaires à leurs survies. L’information, dans une quantité astronomique, s’impose et toutes les problématiques liées à sa gestion sont encore au stade embryonnaire incluant la sécurité.

En effet, la gestion de la sécurité de l’information est un domaine encore peu maîtrisé et peu considéré par les directions à cause de modèles analytiques obsolètes et inefficaces par rapport aux besoins des organisations. Ces modèles ne font que considérer les investissements en sécurité de l’information comme une charge pour l’entreprise sans être capable d’en mesurer le gain. Les organisations réservent donc leur gouvernance de la sécurité de l’information aux seuls experts en excluant les directions et en condamnant donc toute tentative d’essaimage, de ce nouveau type de gouvernance, à l’avortement.

La quantification d’actifs informationnels est un problème presque insoluble

La sécurité est perçue comme un nouveau centre des coûts par les directions puisqu’il est compliqué de quantifier la valeur ajoutée d’un investissement en sécurité. Augmenter le niveau de sécurité d’un actif informationnel va permettre de réduire la probabilité d’occurrence d’incidents. Cette difficulté tient du fait qu’il est extrêmement compliqué de chiffrer, avec précision, le montant d’un incident sur un actif informationnel donné, car un incident est par définition contextuel. Il faut comprendre que le coût total d’un incident varie dans le temps et doit tenir compte des coûts associés :

  • Perte de revenus,
  • Coût de remise en condition opérationnelle,
  • Coût d’assurance,
  • Perte de réputation,
  • Poursuite juridique,
  • Etc…

Pour illustrer mes propos, nous pouvons prendre l’exemple d’Amazon, pour qui l’impact financier variera du fait de la saisonnalité de son activité. Si son site internet ne répond plus à Noël, le préjudice financier sera très différent comparativement à un problème au mois d’août. Dans ce cas précis, nous proposons une série d’offres permettant de protéger au mieux un e-commerce des risques inhérents au domaine.

La gestion des risques de sécurité de l’information est loin d’être arrivée à maturité

Les méthodes de classification des risques comme MEHARI, OCTAVE ou ISO27005 proposent une discrimination en fonction de la criticité sans engager aucune notion financière dans la priorisation de traitement de ces mêmes risques (ndlr: ISO27005 n’est pas une méthode d’analyse des risques, mais plus une méta-méthode d’analyse des risques : je me permets de faire l’amalgame pour faciliter la compréhension). L’ISO27005 botte d’ailleurs en touche, en faisant un aveu de faiblesse sur le sujet, en donnant le pouvoir décisionnel à l’expert en sécurité plutôt qu’au dirigeant d’entreprise (ISO27005, 9.1) :

Lorsqu’il est possible d’obtenir d’importantes réductions en réalisant relativement peu de dépenses, il convient de mettre en oeuvre ces options […] Les priorités peuvent être établies à l’aide de diverses techniques, notamment le classement des risques et l’analyse du rapport coûts/bénéfices.

Investir dans des mesures de sécurité en prenant uniquement en compte leurs criticités n’est pas optimum dans la mesure où le nombre de risques et le budget associé sont finis et limités. Ainsi, il est très improbable que le budget alloué à la sécurité couvre parfaitement les risques ayant été évalués.

Prenons un exemple simple et posons la situation suivante :

  • Un risque R1: criticité estimée à 6/10, et coût du traitement associé à 100,
  • Un risque R2: criticité estimée à 5/10, et coût du traitement associé à 50,
  • Un risque R3: criticité estimée à 5/10, et coût du traitement associé à 30,
  • Un risque R4: criticité estimée à 5/10, et coût du traitement associé à 20,
  • Le budget alloué à la sécurité de l’information est de 100 et la direction ne souhaite pas dépasser le budget.

En prenant une méthode traditionnelle de gestion des risques en sécurité de l’information classifiant selon la criticité, alors seul le R1 sera traité alors qu’il aurait été surement plus optimum d’utiliser le budget pour traiter un plus grand nombre de risques (R2, R3 et R4) et ainsi augmenter le niveau général de sécurité de l’organisation.

La polarisation intrinsèque d’une gestion des risques classique en sécurité est inadaptée au domaine

L’approche classique, focalisée sur la criticité des risques, vise à établir un seuil d’acceptation du risque pour ainsi diviser les risques en deux catégories : ceux qui doivent être traités et ceux qui n’ont pas besoin de l’être. Les personnes qui ont déjà fait des analyses de risques savent à quel point cette limite, établie plus ou moins de manière arbitraire, est fortement discriminante. La gestion des risques traditionnelle en sécurité de l’information est donc totalement polarisée alors que l’évaluation de ces mêmes risques est approximative et soumise à des critères arbitraires.
Les méthodes classiques comme MEHARI, OCTAVE ou EBIOS permettent d’atteindre une certaine efficacité, mais le manque de maturité du domaine ne permet pas encore d’être efficient; c’est-à-dire d’être capable de prioriser en fonction de la création de valeur imputée à un investissement en sécurité.

Une bonne gestion de la sécurité de l’information passe par une gouvernance intégrée

La popularité grimpante de l’ISO27001, établissant un standard en gestion de la sécurité de l’information, a tendance à placer la gouvernance de la sécurité au plus haut niveau dans l’entreprise. Conserver les investissements en sécurité comme centre de coûts, dont la valeur ajoutée est intangible, pose problème dans l’acceptation de ce nouveau processus de gouvernance parmi les autres processus de gouvernance d’une organisation.
En conséquence, il est indispensable de transformer toutes les questions techniques relatives aux investissements en sécurité par des questions financières afin d’impliquer le directoire d’une organisation. Dans ce but, il est primordial d’intégrer des notions de quantifications financières dans le processus de gestion des risques de l’information. Dans de futurs billets, nous tenterons d’établir des solutions pour arriver à un processus de gestion de la sécurité qui est efficient en plus d’être efficace.

Tags : , , , , ,

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Vous pouvez utiliser ces balises et attributs HTML : <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>