Cybersécurité et analyse des risques, les réponses de Pierre Oger

10 juillet 20204 min

Objets du dossier du n° 564 de Face au Risque, les systèmes de sécurité physique, vidéoprotection ou contrôle d’accès, font massivement appel à des technologies numériques. Comment considérer l’analyse des risques liée à leur utilisation ? Pierre Oger, co-fondateur d’Egerie, a accepté de répondre à nos questions.

Ceci est une légende Alt

Face au Risque. Quelles liaisons entretiennent la sûreté physique et la sécurité numérique ?

Pierre Oger. Les systèmes d’information (SI) sont portés par des infrastructures techniques. Ces infrastructures sont accessibles à un environnement humain, et donc accessibles physiquement. Je vais prendre un exemple très connu, celui du cloisonnement physique, qui a été pendant très longtemps utilisé dans le monde de la défense. Si on est en présence d’un SI qui est à la fois interconnecté et accessible physiquement, forcément la surface d’attaque est très importante. A présent, si l’on considère ce SI au sein d’un bunker, inaccessible physiquement et disposant en sus d’un cloisonnement extrêmement fort, alors les possibilités de scénarios d’attaque sont évidemment réduites. La sécurité physique, c’est un moyen assez simple et radical de s’assurer un niveau de sécurité forte.

La difficulté, c’est que le monde actuel est porté par le numérique : plus on l’utilise, plus on veut qu’il soit efficace, et plus il faut qu’il soit ouvert. Dans un environnement commercial, le modèle de fonctionnement du bunker ne peut pas être utilisé car il y a des échanges permanents d’information entre différentes entités. De plus, aujourd’hui les éléments de sûreté physique sont presque toujours accolés à une technologie IP : ils deviennent des composant actifs du SI. Il faut donc trouver un modèle intermédiaire, qui intègre la sécurité intelligente.

Dans ce contexte, comment appréhender l’analyse des risques ?

P. O. Il faut absolument gérer la cybersécurité par la maîtrise des risques. Et avec le risque il y a toujours trois temps : En premier lieu, il faut connaître les risques auxquels on est confrontés : c’est la phase d’identification. Ensuite, il faut avoir une connaissance approfondie de ces risques et disposer de métriques précises. C’est ce que l’on appelle la quantification. A partir de là, il faut mettre en place une méthode normalisée et structurée de traitement des risques identifiés, mais aussi une démarche permettant de rendre cette analyse dynamique en réévaluant les risques en permanence. Ces étapes primordiales constituent le processus de gestion des risques car en concaténant toute l’information, on devient plus agile et donc plus performant.

« Il faut absolument gérer la cybersécurité par la maîtrise des risques. »

Comment concilier les objectifs de la sûreté physique et de la sécurité logique ?

P. O. Avant il y avait le monde de l’informatique d’un côté, et de l’autre le monde de la sûreté. Il n’y avait pas vraiment de connexion entre les ingénieurs de sécurité informatique et ceux de la sûreté. Aujourd’hui, ces deux thématiques sont interdépendantes et les personnes en charge de la gestion du risque dans l’entreprise se doivent d’avoir une vision globale de la situation.

Dans l’analyse de risque, on somme des actions qui permettront d’identifier le plus grand nombre de scénarios de risque. Et c’est cette vision globale qui permet d’empêcher le déroulement de scénarios d’attaque. Et c’est d’autant plus stratégique que le système est vivant et l’attaquant aussi. En d’autres termes, plus l’on perdra de temps à mettre en œuvre cette stratégie cyber par le risque, plus l’on perdra de temps à maitriser la situation et donc à la corriger.

En savoir plus

Egerie est l’éditeur leader de la gestion des risques cyber en Europe.

Egerie propose une plateforme collaborative permettant une approche globale, agile et structurée pour la gouvernance, le pilotage et la conformité des risques cybersécurité et de la protection des données à caractère personnel.

Reconnue par les plus hautes autorités gouvernementales et réglementaires (premier label EBIOS Risk Manager de l’ANSSI attribué en 2019), la technologie d’Egerie permet aux entreprises et organisations gouvernementales de comprendre comment elles sont exposées aux risques et de les accompagner dans l’aide à la décision et la détermination des mesures de sécurité à mettre en œuvre.

Source : Egerie

Bernard Jaguenaud, rédacteur en chef

Bernard Jaguenaud – Rédacteur en chef

Les plus lus…

Inscrivez-vous
à notre
newsletter

Recevez toutes les actualités et informations sûreté, incendie et sécurité toutes les semaines.