Évolution des méthodes de gestion des risques informatiques

Les années 1980 -1990

Les méthodes de sécurité des années 80-90 (Marion, Melisa) consistaient généralement à détecter des vulnérabilités génériques (souvent à partir de grilles d’analyse) à partir de questionnaires préétablis, d’en estimer les coûts en résultant, pour en décider des mesures les plus appropriées.

Cela correspondait à une époque où la sécurité des systèmes d’information se limitait aux centraux (ou mainframes), leur environnement (locaux, climatisation, accès physiques, …) et enfin le développement et l’exploitation d’applications "fait maison".

A contrario à cette époque, les réseaux étaient basés sur des protocoles propriétaires sécurisés et réservés à quelques initiés (SNA, DSA, Decnet, …). La sécurité n’était alors qu'une préoccupation pour certaines très grandes entreprises et administrations.

Marion, La méthode la plus connue de cette époque (issue du Clusif) reste encore souvent dans l’entreprise un moyen d’estimer, au travers d’enquêtes, les progrès de la mise en œuvre de la sécurité et les faiblesses.

Mais cette méthode ne traite pas les menaces, vulnérabilités et risques liés à la complexité des réseaux étendus, des applications distribuées, des extranets collaboratifs … et elle n'est plus maintenue depuis plus de 2 ans.

Les années 2000

L'ouverture aux réseaux publics, la notion d’entreprise étendue intégrant clients, fournisseurs, partenaires, l’utilisation d’OS venant soit du monde universitaire, soit de la micro-informatique ont complètement transformé le risque initial et a contribué à développer des méthodes de gestion des risques partant des processus métiers et non plus d’une base de vulnérabilités « standard ».

Si l’avènement des normes de sécurité (comme ISO 17799) est devenu incontournable comme élément de confiance, elle ne propose (ni n’impose) aucune méthode concrète pour identifier, gérer et réduire les risques.

Les années 2000 - suite

Les méthodes actuelles (comme Mehari, Octave, Cramm) séparent bien la notion d’actifs informationnels de l’entreprise des vulnérabilités techniques, des menaces, pour en déduire des risques afin de bâtir un plan de mesures de sécurité.

En revanche, la plupart (dont Ebios ou Cramm) restent orientées grandes entreprises, nécessite pour être utilisée la présence d’un RSSI dans l’entreprise et l’intervention de consultants sécurité externes sachant conduire ces évaluations de risques.

Il est quand même à noter l’émergence d’une méthode, Octave, qui a comme fondement la réalisation d’une démarche de gestion des risques de l’intérieur de l’entreprise avec des ressources essentiellement internes. Cette méthode existe même dans une déclinaison pour petite entreprise (inférieure à 100 personnes).

Egalement il est possible d'utiliser Mehari pour des entreprises de taille moyenne en s'appuyant sur le logiciel Risicare.

Les évolutions des méthodes de gestion des risques

Il a de fortes chances que l'on voit apparaître à terme des méthodes (ou plutôt des déclinaisons de méthodes) spécialisées par métier (santé, industrie, assurance, télécom, ..) et non plus par technologie.

Ces méthodes impliqueront beaucoup plus les utilisateurs finaux (qui en fait sont les vrais propriétaires des actifs informationnels) et seront d'avantage menées par des acteurs internes que des consultants externes qui n'ont pas forcément la connaissance des processus métiers.l

Elles seront taillées pour être utilisées dans des entreprises du mid-market et permettront d'aborder la gestion des risques en étapes en terme de couverture fonctionnelle / couverture géographique.

Quant aux méthodes miracles, se réclamant pouvant vous rendre compatible ISO 17799 en quelques jours (cela veut dire quoi être compatible avec une norme ?), elles feront toujours réver les gens qui pensent trouver des solutions miracles aux problèmes de sécurité.