• Cybersécurité et analyse des risques, les réponses de Pierre Oger
  • Objet du dossier du n°564 de Face au Risque, les systèmes de sécurité physique, vidéoprotection ou contrôle d’accès, font massivement appel à des technologies numériques. Comment maitriser les risques cyber liés à leur utilisation ? Pierre Oger, co-fondateur d’Egerie, a accepté de répondre à nos questions.

  • Quelles liaisons entretiennent la sûreté physique et la sécurité numérique ?

    Les systèmes d’information (SI) sont portés par des infrastructures techniques. Ces infrastructures sont accessibles à un environnement humain, et donc accessibles physiquement. Je vais prendre un exemple très connu, celui du cloisonnement physique, qui a été pendant très longtemps utilisé dans le monde de la défense. Si on est en présence d’un SI qui est à la fois interconnecté et accessible physiquement, forcément la surface d’attaque est très importante. À présent, si l’on considère ce SI au sein d’un bunker, inaccessible physiquement et disposant en sus d’un cloisonnement extrêmement fort, alors les possibilités de scénarios d’attaque sont évidemment réduites. La sécurité physique, c’est un moyen assez simple et radical de s’assurer un niveau de sécurité forte. La difficulté, c’est que le monde actuel est porté par le numérique : plus on l’utilise, plus on veut qu’il soit efficace, et plus il faut qu’il soit ouvert. Dans un environnement commercial, le modèle de fonctionnement du bunker ne peut pas être utilisé car il y a des échanges permanents d’information entre différentes entités. De plus, aujourd’hui les éléments de sûreté physique sont presque toujours accolés à une technologie IP : ils deviennent des composant actifs du SI. Il faut donc trouver un modèle intermédiaire, qui intègre la sécurité intelligente.

  • Dans ce contexte, comment appréhender l’analyse des risques ?

    Il faut absolument gérer la cybersécurité par la maitrise des risques. Et avec le risque il y a toujours trois temps : En premier lieu, il faut connaitre les risques auxquels on est confrontés : c’est la phase d’identification. Ensuite, il faut avoir une connaissance approfondie de ces risques et disposer de métriques précises. C’est ce que l’on appelle la quantification. À partir de là, il faut mettre en place une méthode normalisée et structurée de traitement des risques identifiés, mais aussi une démarche permettant de rendre cette analyse dynamique en réévaluant les risques en permanence. Ces étapes primordiales constituent le processus de gestion des risques car en concaténant toute l’information, on devient plus agile et donc plus performant.

  • Comment concilier les objectifs de la sûreté physique et ceux de la sécurité logique ?

    Avant il y avait le monde de l’informatique d’un côté, et de l’autre le monde de la sûreté. Il n’y avait pas vraiment de connexion entre les ingénieurs de sécurité informatique et ceux de la sûreté. Aujourd’hui ces deux thématiques sont interdépendantes et les personnes en charge de la gestion du risque dans l’entreprise se doivent d’avoir une vision globale de la situation. Dans l’analyse de risque, on somme des actions qui permettront d’identifier le plus grand nombre de scénarios de risque. Et c’est cette vision globale qui permet d’empêcher le déroulement de scénario d’attaque. Et c’est d’autant plus stratégique que le système est vivant et l’attaquant aussi. En d’autres termes, plus l’on perdra de temps à mettre en œuvre cette stratégie cyber par le risque, plus l’on perdra de temps à maitriser la situation et donc à la corriger.

    Pour en savoir plus sur Face au Risque cliquez ici