Il n’a échappé à personne que le risque cyber devenait une priorité. On ne compte plus les rapports et sondages qui le placent en numéro 1 ou 2 des classements des risques à travers le monde. Alors quand l’ISO se penche sur la mise à jour de sa norme ISO 27005 sur la gestion des risques SI, il est intéressant d’en étudier les évolutions. L’idée n’est pas de faire un parallèle avec la version 2018. D’autres l’ont déjà réalisé, mais d’identifier les points qui nous ont marqué.
De prime abord, il ne semble pas y avoir de changements importants. On commence avec le logigramme connu de tous (a minima de ceux qui font du risque) qui n’a guère évolué. On s’attend donc à une évolution mineure… d’autant plus que les changements annoncés dans l’avant-propos (et lus rapidement…) ne laissent pas envisager ce qui suit.
Influence de l’ANSSI ?
L’ANSSI s’en est félicitée. Mais a-t-elle influencée tant que ça la nouvelle 27005 ? Suite à la lecture des six longs chapitres (avec quelques redondances et lourdeurs qui pourront effrayer les moins passionnés par le risque Cyber…), il ne semble pas si évident de déceler une quelconque influence.
Certes, on note de nouveaux termes empruntés de la méthode EBIOS RM (liste non exhaustive) :
- Les biens essentiels sont associés aux valeurs métiers;
- On découvre des cycles, mais l’approche par les événements et par les biens présentés ne laissent pas tout de suite penser aux scénarios stratégiques et opérationnels;
- Les sources de risques ont maintenant des objectifs visés (et même des états finaux recherchés…);
- Des parties intéressées qui sont nos parties prenantes critiques (et pas nécessairement celles que l’on a dans la 27001, attention à ne pas se mélanger);
- Et sûrement d’autres ajouts subtils…
Puis arrive L’ANNEXE (il n’y en a plus qu’une).
Et là, difficile de ne pas voir l’ANSSI, tant l’annexe semble être un copier / coller de l’EBIOS RM. On retrouve exactement les mêmes schémas et les mêmes bases de connaissance (source de risque, objectif visé). Tout est identique… jusqu’au flou entourant la différence entre scénario stratégique et opérationnel (pardon, approche basée sur les événements et approche basée sur les biens).
Seul le socle de sécurité semble ne pas avoir été repris et les chemins d’attaque sont légèrement suggérés mais bien moins prononcés que dans la RM. Magnanime, l’ISO laisse sa base de menaces et vulnérabilités, qui pour le coup semble compliquée à rattacher à la nouvelle approche (car plus orientée socle qu’action élémentaire).
La réponse est donc claire, oui, l’ANSSI a réussi à imposer sa vision à l’ISO. SI vous hésitiez encore à partir sur la RM, et que vous vous retranchiez derrière une approche 27005, le choix vient de s’imposer à vous.
Méthode ou pas méthode ?
La question est souvent posée. On ne compte plus le nombre de fois où il nous est dit par un client qu’il utilise la 27005 comme méthode. Et ce n’est pas cette nouvelle version qui va aider… Autant la 2018 était très claire et ne laissait aucune place au doute en annonçant dès l’introduction que cette norme n’était pas une méthode mais donnait des lignes directrices, autant cette version n’a pas repris tels quels ces mots. Elle parle cependant de recommandations avec un article « Choix d’une méthode appropriée », qui ne se cite pas.
La question est donc tranchée : les normes ISO ne sont pas des méthodes. Il faut donc arrêter d’employer cette terminologie. Le fait d’avoir l’EBIOS RM en annexe sur la déclinaison ne va malheureusement pas aider à éviter cette confusion…
La méthode EBIOS était déjà depuis longtemps compatible avec les exigences de la 27005. Elle l’est d’autant plus dans cette nouvelle version.
Et sinon des changements marquants ?
Pour répondre à notre introduction, et outre l’arrivée d’un copier/coller de l’EBIOS RM (dont je laisserai à chacun le choix de juger sur ses bienfaits ou non), il y a en plus des éléments et ajouts intéressants.
Commençons par la nouvelle notion de goût du risque !
Ce terme est très intéressant et replace bien la gestion du risque au regard des enjeux d’une entreprise. Tous n’ont en effet pas la même appétence, et la norme le dit très bien, ce goût peut (et doit) évoluer avec les objectifs. Sa déclinaison opérationnelle n’est malheureusement pas reprise par la suite, difficile à ce stade de savoir comment le matérialiser dans une analyse, mais on attend donc le premier audité qui ira défendre à un auditeur 27001 qu’il a un fort goût au risque et décide donc de prendre aucune mesure dans son plan de traitement !
Une prise de position forte sur la réduction de la conséquence (impact) d’un risque
Enfin ! On ne compte plus le nombre de débats « d’experts » annonçant qu’il est impossible de réduire l’impact d’un risque et pourtant… L’ISO a tranché, là où personne ne s’était aventuré, OUI, il est possible de réduire l’impact au travers de mesures correctives, vues comme mesures préventives. Nous ne pouvons qu’être que d’accord avec cette vision, étant donné que c’était celle avancée dans nos « diners du mercredi » : s’il est possible de prévenir l’événement (redouté) sans que sa conséquence (impact) soit totale, alors la gravité ne peut être complète et par conséquent réduite. Cela ne concerne que quelques mesures, mais il est donc bien possible de réduire l’axe gravité de nos risques. Prochain débat : un risque peut-il disparaitre de la cartographie des risques résiduels sans le transférer ?
Une légère modification de la terminologie sur le choix du traitement du risque
Le refus et le partage sont toujours présents, mais :
- le maintien devient la prise de risque, qui se doit au travers d’un choix éclairé (attention à la pertinence des descriptions de vos risques) et on le suppose au regard du goût du risque;
- et la réduction devient la modification, qui était très axé risque résiduel en 2018 et qui s’axe plus sur une logique Métier en annonçant que l’on va diminuer la vraisemblance et/ou gravité du risque, c’est peut-être plus compréhensible pour les propriétaires.
Dans tous les cas, deux changements mineurs mais qui traduisent bien la nouvelle orientation de la norme et sa cible.
- Les noms DES propriétaires du risque : Là encore, que de débat avec les auditeurs qui pour certains demandent à ce qu’il n’y ait qu’un seul propriétaire par risque. Merci à la norme d’aller dans notre sens, car OUI (encore), un risque peut être porté par plusieurs personnes, un risque a le droit d’être transverse, fin du débat. Et pour continuer sur les échanges sans fin, où on pouvait se voir refuser le fait que les risques soient portés par la direction, le chapitre leadership met en avant que la gestion des risques est de leur responsabilité, donc le fait qu’ils en soient propriétaire avec des contributeurs peut tout à fait s’entendre également. Il va falloir que l’on trouve de nouveaux débats et désaccords pour pimenter un peu nos prochains audits.
- Plus d’importance accordée aux parties intéressées : La 27005 suit l’évolution de sa grande sœur avec une place de choix donnée aux parties intéressées, souvent délaissées des SMSI. Non seulement il va falloir les intégrer, mais surtout récupérer leurs enjeux avant de réaliser l’analyse et de partager avec eux les résultats. Cela change un peu la donne et le moment où on les intégrait (ou pas) dans le SMSI, il va falloir s’adapter et revoir l’approche. Mais avoir leur avis et vision ne pourra que renforcer la pertinence de l’analyse et affiner le goût du risque associé.
- Focus dépendance des biens : Là aussi, proche de sa sœur avec la notion d’interface et dépendance au niveau des processus, c’est très bien de mettre en avant ce point au niveau des analyses de risque, et plus qu’important pour étudier toute la chaine d’attaque, mais pour ceux qui se seront essayés à l’exercice, c’est très loin d’être simple et surtout difficilement matérialisable. Et étrangement, l’ISO ne donne pas de conseil sur cette partie… A l’échelle d’une analyse applicative, on peut encore s’en sortir, en revanche quand on passe sur un SMSI ou une organisation complète, c’est tout de suite ingérable. A réfléchir sur comment améliorer nos approches et méthodes.
- SR/OV c’était trop simple, bienvenue à l’EFR… : Héritage de l’EBIOS RM, nous retrouvons nos couples sources de risques / objectifs visés (avec en proposition les mêmes que ceux fournis par l’ANSSI, c’est dommage une autre proposition aurait été la bienvenue pour comparer). On ne reviendra pas sur cet aspect, qui quand on l’utilise correctement a son efficacité et est pertinent, mais repose sur une veille de la menace loin d’être complète et maitrisée par les organisations (mais merci la nouvelle 27002 de la demander en nouvelle exigence). Cependant, comme l’exercice était un peu trop simple, ils ont introduit l’EFR, pour Etat Final Recherché, ce qui donne SR > OV > EFR (sans oublier les PPC au milieu quelque part…). Pourquoi pas, à tester l’intérêt de cette catégorie supplémentaire, la tendance (et logique) était à concaténer par objectif, faudra voir si l’approche est similaire par EFR, on pourrait avoir des surprises.
Vous l’aurez compris, si vous êtes déjà un fervent utilisateur de l’EBIOS RM, l’évolution sera relativement simple, et d’ailleurs à voir si les nouveaux concepts peuvent être intégrés (surtout dans les outils). Pour les autres, ce sera un peu plus compliqué, surtout la partie double approche (il aura fallu du temps pour (tenter de) maitriser les scénarios stratégiques et opérationnels de la RM), mais heureusement les concepts de fond de gestion du risque auront peu changé, et cela parait logique, un risque reste (et restera) toujours exprimé par sa gravité et vraisemblance. Dans tous les cas, nous nous ferons un plaisir d’échanger sur votre prochaine approche combinée EBIOS RM / 27005 pour tous vos sujets et périmètres normatifs, réglementaires et d’amélioration.