Assurance / BTP / BUP / Cybersécurité / ERP/IGH / Industrie/ICPE / Sûreté
Cybersécurité et analyse des risques, les réponses de Pierre Oger
Objets du dossier du n° 564 de Face au Risque, les systèmes de sécurité physique, vidéoprotection ou contrôle d’accès, font massivement appel à des technologies numériques. Comment considérer l’analyse des risques liée à leur utilisation ? Pierre Oger, co-fondateur d’Egerie, a accepté de répondre à nos questions.
Face au Risque. Quelles liaisons entretiennent la sûreté physique et la sécurité numérique ?
Pierre Oger. Les systèmes d’information (SI) sont portés par des infrastructures techniques. Ces infrastructures sont accessibles à un environnement humain, et donc accessibles physiquement. Je vais prendre un exemple très connu, celui du cloisonnement physique, qui a été pendant très longtemps utilisé dans le monde de la défense. Si on est en présence d’un SI qui est à la fois interconnecté et accessible physiquement, forcément la surface d’attaque est très importante. A présent, si l’on considère ce SI au sein d’un bunker, inaccessible physiquement et disposant en sus d’un cloisonnement extrêmement fort, alors les possibilités de scénarios d’attaque sont évidemment réduites. La sécurité physique, c’est un moyen assez simple et radical de s’assurer un niveau de sécurité forte.
La difficulté, c’est que le monde actuel est porté par le numérique : plus on l’utilise, plus on veut qu’il soit efficace, et plus il faut qu’il soit ouvert. Dans un environnement commercial, le modèle de fonctionnement du bunker ne peut pas être utilisé car il y a des échanges permanents d’information entre différentes entités. De plus, aujourd’hui les éléments de sûreté physique sont presque toujours accolés à une technologie IP : ils deviennent des composant actifs du SI. Il faut donc trouver un modèle intermédiaire, qui intègre la sécurité intelligente.
Dans ce contexte, comment appréhender l’analyse des risques ?
P. O. Il faut absolument gérer la cybersécurité par la maîtrise des risques. Et avec le risque il y a toujours trois temps : En premier lieu, il faut connaître les risques auxquels on est confrontés : c’est la phase d’identification. Ensuite, il faut avoir une connaissance approfondie de ces risques et disposer de métriques précises. C’est ce que l’on appelle la quantification. A partir de là, il faut mettre en place une méthode normalisée et structurée de traitement des risques identifiés, mais aussi une démarche permettant de rendre cette analyse dynamique en réévaluant les risques en permanence. Ces étapes primordiales constituent le processus de gestion des risques car en concaténant toute l’information, on devient plus agile et donc plus performant.
« Il faut absolument gérer la cybersécurité par la maîtrise des risques. »
Comment concilier les objectifs de la sûreté physique et de la sécurité logique ?
P. O. Avant il y avait le monde de l’informatique d’un côté, et de l’autre le monde de la sûreté. Il n’y avait pas vraiment de connexion entre les ingénieurs de sécurité informatique et ceux de la sûreté. Aujourd’hui, ces deux thématiques sont interdépendantes et les personnes en charge de la gestion du risque dans l’entreprise se doivent d’avoir une vision globale de la situation.
Dans l’analyse de risque, on somme des actions qui permettront d’identifier le plus grand nombre de scénarios de risque. Et c’est cette vision globale qui permet d’empêcher le déroulement de scénarios d’attaque. Et c’est d’autant plus stratégique que le système est vivant et l’attaquant aussi. En d’autres termes, plus l’on perdra de temps à mettre en œuvre cette stratégie cyber par le risque, plus l’on perdra de temps à maitriser la situation et donc à la corriger.
En savoir plus
Egerie est l’éditeur leader de la gestion des risques cyber en Europe.
Egerie propose une plateforme collaborative permettant une approche globale, agile et structurée pour la gouvernance, le pilotage et la conformité des risques cybersécurité et de la protection des données à caractère personnel.
Reconnue par les plus hautes autorités gouvernementales et réglementaires (premier label EBIOS Risk Manager de l’ANSSI attribué en 2019), la technologie d’Egerie permet aux entreprises et organisations gouvernementales de comprendre comment elles sont exposées aux risques et de les accompagner dans l’aide à la décision et la détermination des mesures de sécurité à mettre en œuvre.
Source : Egerie
Bernard Jaguenaud – Rédacteur en chef
Les plus lus…
La 130e édition du Congrès national des Sapeurs-pompiers de France a été l’occasion de présenter quelques nouveautés technologiques. Siemens…
Après avoir passé un mois à l'ancre au large des côtes anglaises en raison d’avaries, le navire vraquier Ruby…
Quelle est la procédure réglementaire en cas de feu naissant sur un lieu de travail ? Tous les salariés sont-ils…
À pression auxiliaire, à CO2 ou à pression permanente, de quoi sont composés les extincteurs et comment les utiliser ?…
L'arrêté du 23 octobre 2024 «relatif aux conditions matérielles et pédagogiques de la formation aux activités privées de sécurité…
Dans le cadre de la loi « Industrie verte », la réforme de l’autorisation environnementale oblige à une nouvelle procédure…