Sécurité versus continuité de la sécurité

Mais la sécurité du SI n’est pas une fin en soi. Si on sécurise le SI, ce n’est pas pour le SI à proprement parler, mais pour les activités métiers qui sont supportées par le SI. Ce n’est d’ailleurs pas pour rien que les méthodes d’appréciation des risques parlent de biens supports et de biens métiers (avec différentes variantes selon les méthodes et les versions) : les seconds désignent le processus métier, alors que les premiers s’appliquent bien à la tuyauterie informatique (qui va du câble aux progiciels métiers en passant par les couches stockage, virtualisation, etc.). Toujours dans la théorie, on est supposé affecter des besoins en DIC aux processus métiers et les « matcher » avec les possibilités DIC des actifs supports pour repérer les trous dans la raquette, le tout au moyen de tableaux croisés dans tous les sens totalement non maintenables (merci Ebios) ou avec des méthodes d’inférence plus simples (merci Ebios RM). Au final, il s’agit de produire des matrices de risques, des tableaux de mesure, des couvertures fonctionnelles, etc.

Il y a en revanche un sujet moins clair dans l’esprit de certains : celui de la continuité de la sécurité, parce qu’il est confondu avec la continuité de l’exploitation informatique. L’annexe A.17.1 de l’ISO 27001 stipule en effet que « la continuité de la sécurité de l’information doit faire partie intégrante de la gestion de la continuité de l’activité » : ce sont bien deux sujets distincts.

Il existe plusieurs façons de présenter ce point. En voici une : dans un contexte « normal » de production – à savoir les processus métiers fonctionnant en mode nominal, tout comme le SI qui les sous-tend –, l’organisation a posé des besoins en termes de DIC, besoins qui sont supposés être déclinés dans tous les éléments de la chaîne d’analyse et dans tous les éléments de l’infrastructure. Ainsi, l’organisation décrit le besoin en disponibilité, en intégrité et en confidentialité des données patients, des données RH, etc. Bon, dans les faits, il est très difficile de garantir l’intégrité des données, la confidentialité se résume quant à elle à des matrices d’habilitation, à des processus d’attribution et de révocation ainsi qu’à des contrôles sur échantillon et, pour la disponibilité, c’est encore plus simple : il suffit de tout doubler, des câbles aux serveurs jusqu’aux locaux techniques et aux répartiteurs d’étage.

La continuité d’activité revient donc à garantir DIC, dans une certaine limite et avec certaines variations dans les bornes de valeurs, tout en imposant des conditions aux MOA : procédures dégradées, tests, cellule de crise, etc. La continuité de la sécurité peut alors s’envisager de la sorte :

• en cas de sinistre « normal », quelles sont les variations acceptables des valeurs DIC initialement retenues ?
• en cas de gros sinistre, si l’organisation ne peut pas maintenir les valeurs DIC dans les bornes retenues, quels choix devront être faits ? Autrement dit : « Quel bras va-t-on accepter de se couper ? »

La réponse à la première question est relativement simple à obtenir dans la mesure où elle renvoie à l’expérience métier ou à des typologies connues de sinistres pour lesquelles, en général, en quelques questions et allers-retours, il est possible de disposer d’une bonne cartographie.

La réponse à la seconde question est plus délicate car elle fait intervenir des scénarios catastrophes peu courants, ou sur lesquels on a peu d’éléments pour la prise de décision. Dans le numéro du Courrier international de cette semaine, un dossier s’interroge sur la question de savoir si pour le Covid il n’aurait pas fallu se contenter de protéger les personnes à risques (en gros, les plus de 65 ans) sans arrêter toute l’économie : la problématique est exactement la même, et il est aussi difficile de se prononcer (je rappelle qu’au début de l’épidémie nous ne disposions pas de statistiques suffisantes sur les facteurs de risques, notamment liés à l’âge).

La ressemblance avec une forme de négociation est d’ailleurs frappante : chère MOA, si l’on était en situation de crise +++, jusqu’à combien accepteriez-vous de dégrader le D, et à partir de quel niveau faudrait-il dégrader le C pour que le D ne descende pas davantage ? Bon, évidemment, il ne faut pas poser la question en ces termes, mais vous voyez l’idée. D’ailleurs, la réponse à la question doit en plus être contextualisée : en fonction des ressources disponibles, de la période du mois ou de l’année, d’éventuels autres incidents, les valeurs peuvent varier à l’extrême.

D’une part je trouve cette problématique très structurante, d’autre part il faut bien garder en tête que le piège le plus courant consiste à faire l’amalgame entre la continuité de la sécurité et le niveau minimal de confidentialité requis en cas de gros incident. En cas de sinistre, l’arbitrage sera très différent selon les métiers : pour certains, il faudra préserver à tout prix la confidentialité, alors que pour d’autres, c’est l’intégrité qui sera au sommet de la pile des préoccupations.