Réponse d’un membre du Club EBIOS : “on peut agir sur plusieurs éléments pour que le résultat corresponde aux attentes”
La réalisation d’une étude est parfois critiquée en raison de l’explosion combinatoire des éléments à étudier. C’est pourquoi il convient, avant ou au début de toute étude, de se demander ce qu’est capable d’accepter le commanditaire en termes de lisibilité.
Certains souhaitent avoir autant de détails que nécessaire pour traiter les risques (et/ou justifier les mesures) de manière fine.
Dans ce cas, il est possible de traiter toute la combinatoire d’événements et de scénarios de menaces.
Si tel n’est pas le cas, voici quelques astuces qui vous permettront de diminuer l’entropie de l’analyse :
- agir sur la présentation : faire l’étude détaillée en tant que “document de travail” et regrouper les risques en familles dans un “document de synthèse” pour faciliter les prises de décision. Ce “document de synthèse” peut ne faire ressortir que les risques les plus importants (graves et/ou vraisemblables), ainsi que ceux qui intéressent spécifiquement le commanditaire ;
- agir sur le nombre de biens : regrouper les biens essentiels et/ou les biens supports dans l’étude du contexte. Il est possible par exemple d’adapter le niveau de détail de la modélisation sans forcément chercher l’homogénéité dans le modèle. Par exemple, la description des biens supports pourra à la fois contenir des systèmes (pour des biens sur lesquels l’analyse des menaces n’a pas besoin d’être détaillée) et des éléments de type réseau, matériel et logiciel (pour des biens sur lesquels l’analyse des menaces doit être plus fine) ;
- agir sur les hypothèses : limiter la complexité de l’étude en réduisant la combinatoire de l’analyse aux seules questions ou justifications que l’on souhaite exposer. Pour ce faire, il est possible de fixer des hypothèses dans le contexte de l’étude. Ainsi, on peut considérer comme postulat qu’un bien support (ou un bien essentiel) est protégé contre un type de menace (par exemple, “une homologation démontre que les serveurs et postes de travail sont suffisamment protégés de tous les scénarios malveillants issus d’attaques externes”). On peut aussi considérer qu’un risque est suffisamment couvert par une certification sans nécessiter une décomposition de ce dernier (par exemple, “la clé privée stockée dans les puces électroniques certifiées est suffisamment protégée contre toutes menaces conduisant à une divulgation”). Il est également possible d’émettre des hypothèses sur des risques résiduels pour lesquels il n’est pas attendu que l’étude apporte de justification ou que l’étude agisse sur le bien support afférent (par exemple, “le GPS est considéré comme non fiable. Il est susceptible fournir de mauvaises données de localisation”) ;
- agir sur la décomposition en plusieurs études : une autre méthode peut consister à décomposer le système étudié pour transformer une analyse complexe en plusieurs études moins difficiles à réaliser. Dans ce cas, il faudra prêter une attention particulière aux interfaces entre ces sous-systèmes.