23 nov., 2021

L’évaluation des risques des SACI, un incontournable!

  • Article
  • cybersecurité
  • SACI
  • risques SACI

Cet article porte sur l’évaluation des risques, qui est l’un des éléments les plus importants de tout programme de gestion des cyberrisques. L’évaluation des risques associés aux systèmes de contrôle industriels (SCI) et les systèmes d’automatisation et de contrôle industriels (SACI) est utilisée pour analyser les effets négatifs potentiels – sur les activités, les actifs ou les membres de l’organisation, d’autres organisations ou de la collectivité – qui pourraient résulter de l’utilisation des systèmes, outils et processus d’exploitation et d’information. Ce processus identifie et analyse les cyberrisques pour l’environnement opérationnel de l’organisation sur différents plans : sécurité, fiabilité, disponibilité, confidentialité, intégrité.

  1. La méthodologie d’évaluation du cyberrisque dans l’environnement des SACI propose aux organisations un processus détaillé pour les aider à préparer une évaluation des risques, à les réaliser et à les calculer. Les résultats des évaluations de risques doivent être présentés de manière à permettre aux décideurs de prendre des décisions rapides et adaptées concernant les cyberrisques.

    Une évaluation des risques comprend généralement les étapes suivantes.

    • Préparation de l’évaluation : Déterminer l’objectif, le périmètre, les hypothèses, les sources d’information, le modèle de risque et l’approche d’analyse de l’évaluation des risques.
    • Profilage des actifs : Recenser les actifs de l’organisation liés à l’environnement opérationnel, les évaluer et mesurer leurs dépendances.
    • Identification des menaces : Établir et analyser les sources et les événements de menace.
    • Recensement des mesures existantes : Recenser les mesures de sécurité existantes et l’étendue de leur protection, et analyser leur efficacité.
    • Identification des failles : À partir de diverses sources ou d’essais, identifier les failles qui représentent un risque pour les actifs opérationnels/organisationnels.
    • Analyse d’impact : Déterminer les conséquences possibles de l’exploitation des failles identifiées, estimer l’étendue des dommages en fonction des dépendances des actifs et analyser l’impact du scénario le plus défavorable.
    • Détermination de la vraisemblance : Estimer la probabilité que les failles soient exploitées par une source de menace, malgré les mesures de cybersécurité en place.
    • Détermination des risques : Déterminer les cyberrisques comme combinaison de la probabilité de l’exploitation des failles et de ses conséquences pour l’organisation.

    Ces étapes sont habituellement exécutées de façon séquentielle, étant donné que leur exécution dépend généralement des résultats des étapes précédentes. La figure 2 illustre le déroulement typique d’une évaluation des risques et des activités de réaction immédiate aux risques (côté droit de la figure).


  2. Recenser les actifs compris dans le périmètre établi, les évaluer et déterminer leurs dépendances.


    La dépendance entre deux actifs peut différer selon le critère de cybersécurité. La dépendance des actifs est l’un des paramètres du calcul de la valeur de l’actif. En additionnant la valeur des actifs tout en tenant compte de leurs dépendances, on peut calculer la valeur des actifs électroniques. En règle générale, les actifs électroniques qui entretiennent une plus grande dépendance ont une valeur plus élevée.


    Identifier les événements de menace potentiels et les acteurs qui pourraient déclencher ces événements.


    Les auteurs de menace peuvent avoir différents niveaux de capacités, ce qui influe sur leurs chances de succès en cas de cyberattaque. On peut les classer de manière qualitative ou semi-qualitative.

    Les événements de menace peuvent être classés selon de nombreux facteurs : technique d’attaque, type de faille, effet sur les actifs électroniques, etc.


    Recenser les mesures de sécurité existantes et prévues et en déterminent quels actifs elles protègent.


    Les mesures de sécurité existantes doivent être recensées pour déterminer le type de protection actuel des actifs électroniques et son étendue, et ainsi éviter des travaux et des coûts inutiles. Il faut aussi mesurer l’efficacité de ces mesures de sécurité.


    Identifier les failles pouvant être exploitées par des sources de menaces et les conditions qui influencent la probabilité des événements de menace qui pourraient nuire aux actifs malgré les mesures de sécurité en place.


    Les failles peuvent être liées aux propriétés des actifs ou à leur mauvaise utilisation.

    Les failles se trouvent généralement dans les éléments suivants :

    • Systèmes d’information organisationnels et de contrôle
    • Processus et procédures
    • Acitivités de gestion routinières
    • Personnel
    • Environnement physique
    • Environnement réseau
    • Configuration des systèmes
    • Équipements de communication, informatique et logiciels
    • Systèmes de cybersécurité
    • Dépendances à l’égard de tiers

    Analyser les scénarios potentiels d’événements de menace et leurs conséquences.


    Les répercussions d’un événement de menace peuvent être permanentes ou temporaires. Elles peuvent aussi évoluer au fil du temps. Elles peuvent être de différentes natures et toucher, par exemple, les actifs financiers, la sécurité, l’environnement, la réputation, etc.

    Les répercussions des scénarios d’incident sur l’exploitation peuvent toucher l’un ou l’autre des aspects suivants, entre autres :

    • Environnement
    • Santé et sécurité
    • Coût financier
    • Exécution de la réglementation
    • Temps perdu
    • Occasions manquées
    • Compétences perdues ou devant être récupérées
    • Réputation entachée

    Calculer la probabilité des scénarios d’incident en fonction des critères d’incidence.


    On suit un processus en trois étapes pour déterminer la probabilité des scénarios d’incident :

    1. Évaluer la probabilité qu’un événement de menace soit initié par la source de menace – qui peut être un phénomène naturel, une cyberattaque, etc. Cette étape comprend une analyse coûts-bénéfices pour chaque source de menace.
    2. Évaluer la probabilité que l’événement de menace se produise et provoque différents scénarios d’incident malgré l’existence de mesures de cybersécurité.
    3. Évaluer la probabilité que les scénarios d’incident provoquent les répercussions déterminées par les critères d’impact.

    Déterminer les cyberrisques des événements de menace à partir des répercussions et de la probabilité de ces événements.


    À partir des valeurs attribuées à la probabilité et aux répercussions des scénarios d’incident, on attribue une valeur au risque identifié, qui se place dans la matrice des risques. Chaque risque évalué correspond à un ou plusieurs scénarios d’incident, à leur probabilité et à leurs répercussions. Des risques mineurs peuvent être regroupés pour former un plus petit nombre de risques majeurs.

    Pour conclure

    Une évaluation des cyberrisques des SACI indique l’état des risques pour l’environnement opérationnel au moment de l’évaluation. Pour être à jour sur la position de risque de l’environnement opérationnel, l’organisation doit réévaluer les risques sur une base régulière, ainsi qu’à chaque changement majeur, tout au long du cycle de vie de la gestion des risques et à tous les niveaux de l’organisation.

Ce contenu est fourni uniquement à des fins d’information générale. Tous droits réservés ©BBA

Poussons
la réflexion
ensemble
Contactez-nous