Description
Le risk appetite, c'est l'art de décider quels risques on joue et lesquels on refuse. Un concept stratégique trop souvent réduit à un document poussiéreux. Dans cet épisode, on voit comment le définir, le formaliser et en faire un véritable outil de pilotage de la cybersécurité.
Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.
Transcription
Bonjour mamie. Bonjour et bienvenue dans la cybersécurité expliquée à ma grand-mère, le podcast pour expliquer la cybersécurité à des gens qui n'y comprennent rien. Nous sommes dans 1983, la guerre froide bat son plein. Un jeune lycéen américain du nom de David Lightman, passionné d'informatique, réussit par curiosité à s'introduire dans ce qu'il croit être le serveur d'une société de jeux vidéo. Il découvre un jeu intitulé « Guerre thermonucléaire globale » et décide d'y jouer. Ce qu'il ne sait pas encore, c'est qu'il vient de se connecter au système informatique central de l'armée américaine et que l'intelligence artificielle militaire baptisée Joshua est en train de simuler, en temps réel, Une attaque nucléaire soviétique. Les généraux américains, convaincus d'être sous attaque, s'apprêtent à riposter. Le monde est au bord de l'apocalypse. Et tout ça parce qu'un gamin voulait jouer à un jeu vidéo depuis son ordinateur personnel. Ce film, c'est Wargame, réalisé par John Badham, sorti en 1983, et il a eu un impact bien réel sur la politique de cybersécurité américaine. On raconte que Ronald Reagan, après l'avoir visionné à la Maison Blanche, aurait demandé à ses conseillers militaires si un tel scénario était réellement possible. La réponse qu'il aurait reçue, monsieur le président, c'est bien pire que ce que montre le film. Cette conversation aura directement inspiré le premier décret présidentiel américain sur la cybersécurité des systèmes d'information, la directive NSDD 145, signée en 1984. Pas mal pour un film de science-fiction. Mais revenons à Claude, pardon, Joshua. Pour éviter le déclenchement d'une carrière nucléaire, David parvient in extremis à convaincre l'IA de simuler elle-même tous les milliers de scénarios d'affrontements nucléaires. Joshua les exécute un par un et à toute vitesse, cherchant un scénario où les deux camps pourraient gagner. Et dans tous les cas, le résultat est identique, la destruction mutuelle totale. Joshua s'arrête alors et prononce cette phrase de nu culte.
« Hello, Joshua. »
Voilà une leçon de gestion de risque d'une clarté absolue. Face à certains risques, l'appétit doit être nul. Non, pas par peur et rationnel, mais parce que l'analyse froide et rationnelle de tous les scénarios possibles mène à une seule conclusion. Le jeu n'en vaut pas la chandelle. Et c'est exactement ce qu'on recherche à formaliser en cybersécurité, et plus largement dans toutes les organisations, à travers ce qu'on appelle l'appétit au risque, ou le risk appetite en anglais. Parce que toutes les organisations, qu'elles le veuillent ou non, prennent des risques chaque jour. Une vraie question n'est pas comment éviter les risques, c'est impossible et comme Joshua l'a appris, parfois même contre-productif. La vraie question c'est, quels risques sommes-nous prêts à accepter, jusqu'à quel niveau et pourquoi ? Alors aujourd'hui, nous allons explorer ensemble ce concept fondamental. Qu'est-ce que les risques à pétail exactement ? Comment le définit-on ? Comment le formalise-t-on au sein d'une organisation ? Et surtout, comment devient-il un véritable outil de pilotage à la cybersécurité, plutôt qu'un document poussiéreux qui dort dans un tiroir ? Alors qu'est-ce que le risque appetite ? Commençons par poser les bases. Le risque appetite ou appétit pour le risque, c'est le niveau de risque qu'une organisation est prête à accepter pour la poursuite de ses objectifs avant de décider qu'une action est nécessaire pour le réduire. Cette définition est celle retenue par les grands référentiels comme l'ISO 31000 ou le COSE. Mais derrière elle se cachent des questions extrêmement complexes et profondément stratégiques. Remarquez d'abord la formulisation, dans la poursuite de ses objectifs. Le risque appetite n'est pas une notion abstraite, Il est directement lié à ce que l'organisation cherche à accomplir. Une startup en phase de croissance rapide aura un appétit pour le risque très différent d'une banque centenaire ou d'un hôpital. Ce n'est pas une question de courage ou de frilosité, c'est une question d'alignement entre la prise de risque et la stratégie. Il faut aussi distinguer le risk appetite de deux notions voisines avec lesquelles ils sont souvent confondus. Le premier, c'est la tolérance au risque. Si l'appétit au risque est le niveau cible que l'on s'en fixe, la tolérance est la variation acceptable autour de ce niveau. C'est la différence entre dire « nous voulons maintenir notre exposition au risque cyber sous un niveau 3 » , ça c'est l'appétit, et nous acceptons ponctuellement d'aller jusqu'au niveau 4 si c'est justifié et temporaire. Ça c'est la tolérance. La seconde notion à distinguer, c'est la capacité au risque, ou la capacité à absorber le risque. C'est le niveau maximum de risque qu'une organisation peut physiquement supporter sans menacer sa survie. L'appétit doit rester en dessous de la capacité. On peut vouloir prendre beaucoup de risques, mais si un seul incident peut mettre l'entreprise à genoux, il vaut mieux revoir ses ambitions. Reprenons Wargame pour illustrer les trois niveaux. L'appétit de Joshua était de zéro. Aucun scédario de guerre nucléaire n'est acceptable. La tolérance était également de zéro. Il n'existe pas de petits échanges nucléaires acceptables. Et la capacité ? Eh bien en dessous de zéro. La destruction mutuelle garantie signifie qu'il n'y a pas de capacité à absorber quoi que ce soit. La conclusion s'impose d'elle-même, ne pas jouer. Alors pourquoi le risque appetite est-il un enjeu stratégique en cybersécurité ? Vous vous demandez peut-être pourquoi nous parlons de risque appetite dans un podcast de cybersécurité. La réponse est simple, parce que sans appétit pour le risque défini, les décisions de cybersécurité sont prises dans le vide. Pensez-y. Chaque jour, les équipes de cybersécurité font face à des dizaines de décisions. Il faut patcher ce serveur ce soir, au risque de créer une indisponibilité, ou attendre la fenêtre de maintenance du mois prochain, au risque de laisser une vulnérabilité ouverte. Faut-il bloquer cet accès à ce service cloud non approuvé, ou laisser les équipes métiers l'utiliser pendant qu'à la DSI les values ? Faut-il investir dans cette solution de détection avancée, ou prioriser d'autres dépenses ? Sans cadre de référence claire sur l'appétit pour le risque de l'organisation, Ces décisions reposent sur le jugement individuel de chaque responsable. Et le jugement individuel, c'est bien, mais ce n'est pas cohérent. Le RSSI, ou le CISO, peut avoir une vision très différente de celle du DSI, qui lui-même diverge de la direction générale. Résultat, des décisions incohérentes, des frictions entre équipes, et une exposition en risque qui dérive sans que personne ne s'en aperçoive vraiment. Le risque à pétite est aussi un outil de communication vers la direction générale. L'une des frustrations les plus fréquentes des RSSI ou des CISO, c'est de ne pas réussir à faire comprendre les enjeux de cybersécurité au comité de direction. Et pour cause, il parle des langages différents. Le RSSI parle de vulnérabilité, de CVE, de taux de patching. Les dirigeants parlent d'objectifs business, de coûts et de risques stratégiques. Le risk appetite est précisément le point entre ces deux langages. Quant à RSSI, il peut dire « notre appétit pour le risque d'interruption de service est très faible, mais notre appétit pour le risque lié aux données sont critiques et modérés » . Il parle en fait le même langage que les dirigeants. Les décisions d'investissement en cybersécurité deviennent beaucoup plus faciles à justifier. Enfin, le risque appetite est devenu une exigence réglementaire. Des cadres comme DORA pour le secteur financier, UNIS2 pour les opérateurs d'importance vitale, ou encore les exigences de gouvernance de RGPD imposent aux organisations de démontrer qu'elles gèrent leurs risques de manière structurée et documentée. Un risque appetite formalisé est un élément clé de cette démonstration. Quels sont les trois niveaux de risque appetite en cybersécurité ? Revenons encore une fois à notre leçon de Wargame. Joshua ne jouait pas avec un seul type de risque. Il évaluait des centaines de scénarios différents, et selon les scénarios, les conclusions pouvaient varier. C'est exactement la même chose pour une organisation. Il n'existe pas un seul appétit pour le risque, mais des niveaux différents selon les domaines. En cybersécurité, on distingue généralement trois grandes catégories. Le risque appétit nul, donc on ne joue pas. Ce sont les risques pour lesquels toute exposition est inacceptable. Comme Joshua face à la guerre nucléaire, la conclusion est tranchée. Peu importe le bénéfice potentiel, on ne joue pas. En pratique, pour la plupart des organisations, ces risques incluent par exemple des compromissions de données personnelles sensibles à grande échelle, l'interruption prolongée de services critiques pour la vie humaine, pour le secteur médical par exemple, ou encore la violation de la réglementation fondamentale qui mettra en péril la licence d'exploitation. Ces risques doivent faire objet de contrôles non négociables. Peu importe les contraintes opérationnelles, peu importe le coût, peu importe l'urgence, ces lignes rouges ne doivent jamais être franchies. Ensuite arrive le risque d'appétit modéré. On joue, mais avec des règles. Ce sont les règles que l'organisation accepte de prendre, mais sous condition. On joue, mais on définit les règles à l'avance. Par exemple, une organisation peut accepter de déployer des applications cloud non certifiées pour des projets pilotes, à condition que ces applications ne traitent pas de données sensibles, que l'utilisation soit limitée dans le temps, et qu'une évaluation de sécurité soit réalisée avant toute généralisation. Ces risques modérés sont souvent les plus difficiles à gérer, précisément parce qu'ils ne sont ni noirs ni blancs. Ils nécessitent une évaluation au cas par cas, des processus de décision claire et une surveillance continue pour s'assurer que les conditions d'acceptation sont toujours respectées. Ensuite vient le risque appetite élevé. Et là, on joue pleinement. Ce sont les risques que l'organisation assume délibérément dans une logique d'innovation et de compétitivité. Ces risques sont des leviers de croissance et les brider excessivement serait contre-productif. Par exemple, une organisation peut décider d'adopter rapidement une nouvelle technologie, d'ouvrir largement ses API à des partenaires externes, ou d'accélérer ses cycles de déploiement au détriment de certains tests de sécurité non critiques. Ces choix comportent des risques cyber, mais ils sont consciemment acceptés parce qu'ils servent la stratégie. La clé, c'est que ces risques soient assumés en connaissant deux causes et non subis par ignorance ou négligence. Mais comment définir et formaliser le risque appetite ? Maintenant que l'on comprend ce qu'est le risque appetite et pourquoi il est essentiel, voyons comment le définir concrètement dans une organisation. Parce que c'est là que beaucoup d'organisations butent. Le concept est séduisant en théorie et sa mise en œuvre est loin d'être triviale. Étape numéro 1. Ancrer le risque à pétail dans la stratégie de l'organisation. Le risque à pétail ne peut pas être défini en silo par le DSI ou la Direction de la cybersécurité. Il doit être une décision de gouvernance portée au plus haut niveau de l'organisation. La première question à poser est donc, quels sont les objectifs stratégiques de l'organisation pour les prochaines années ? Une organisation qui veut accélérer sa transformation digitale n'aura pas le même profil de risque qu'une organisation dont l'objectif prioritaire est la consolidation et la réduction des coûts. C'est le comité de direction, voire le conseil d'administration, qui doit répondre à ces questions. Le RSSI et le DSI sont là pour éclairer les décisions, traduire les enjeux techniques en termes business et proposer des options. Mais la décision finale sur l'appétit pour le risque appartient aux dirigeants. Étape numéro 2. Identifier et catégoriser les risques cyber de l'organisation. Avant de définir un appétit, encore faut-il savoir de quels risques on parle. Cette étape nécessite une cartographie des risques cyber de l'organisation. en tenant compte de son secteur d'activité, de son périmètre technique et de ses dépendances. Les grandes catégories de risques à considérer incluent généralement les risques d'indisponibilité des systèmes, les risques de violation de données, les risques liés à la chaîne d'approvisionnement, les risques de fraude et d'usurpation d'identité, ainsi que les risques de non-conformité réglementaire. Pour chaque catégorie, il faut évaluer deux dimensions, la probabilité d'occurrence et l'impact potentiel. C'est la combinaison de ces deux dimensions qui détermine le niveau de risque inhérent et par conséquent les mitigations à mettre en œuvre. Étape 3, formaliser le risque à pétate. Une fois les risques identifiés et la stratégie clarifiée, il faut rédiger ce qu'on appelle le « risk appetite statement » , c'est-à-dire une déclaration formelle de l'appétit pour le risque de l'organisation. Ce document, court et accessible, doit exprimer clairement pour chaque catégorie de risque le niveau d'exposition acceptable. Il ne doit pas être un document technique réservé aux experts, Au contraire, il doit être compréhensible par l'ensemble des parties prenantes, des opérateurs jusqu'aux membres du conseil d'administration. Un bon risque à péter de Statement ressemble à ceci. Par exemple, notre organisation a un appétit nul pour le risque susceptible de compromettre la disponibilité de nos services de paiement au-delà de 4 heures. Notre appétit est faible pour tout risque lié à la difficulté de données personnelles de nos clients. Notre appétit est modéré pour les risques liés à l'adoption de nouvelles technologies. à condition que les données sensibles ne soient pas impliquées. Notre appétit est élevé pour l'expérimentation et l'innovation dans des environnements isolés de production. Vous remarquez que ce type de déclaration est actionnable. Elle permet à n'importe quel responsable de prendre une décision cohérente avec la stratégie de l'organisation, sans avoir besoin de consulter sa hiérarchie pour chaque cas individuel. Étape numéro 4. Décliner le risk appetite en seuil concret. Un risk appetite statement reste un document de haut niveau. Pour qu'il soit vraiment opérationnel, il faut le décliner en seuil concret et mesurable. C'est ce qu'on appelle parfois des KRI pour Key Risk Indicator. Par exemple, si l'organisation a déclaré un appétit faible pour le risque lié aux vulnérabilités critiques non patchées, le KRI associé pourrait être aucune vulnérabilité critique non corrigée au-delà de 72 heures sur des systèmes exposés à Internet et aucune vulnérabilité critique non corrigée au-delà de 15 jours sur des systèmes internes. Ces seuils permettent de surveiller en temps réel si l'organisation se trouve bien dans les limites de son appétit déclaré et de déclencher des alertes et des actions correctives quand ce n'est pas le cas. Quels sont les pièges à éviter ? Définir un risque appetite est une bonne chose, mais il y a plusieurs erreurs classiques qui peuvent transformer cet exercice utile en exercice de style inutile. Le premier piège, c'est le risque appetite cosmétique. Certaines organisations rédigent un beau document de risque appetite, l'envoient à leur régulateur pour cocher une case, et le range dans un tiroir. Ce document ne guide aucune décision, n'est connu de personne dans l'organisation, et ce n'est jamais révisé. C'est exactement ce que ferait David Lightman s'il avait simulé toutes les parties de guerre nucléaire sur papier, sans jamais en tenir compte dans ses actions réelles. Le deuxième piège, c'est le risque à pétail déconnecté de la réalité opérationnelle. Il arrive souvent que les risques à pétail déclarés par la direction sont en total décalage avec les pratiques réelles de l'organisation. On déclare un appétit nul pour des accès non autorisés aux données sensibles, mais dans les faits, les droits d'accès ne sont jamais revus, les comptes orphelins s'accumulent et personne ne surveille les logs. Il y a une fracture entre la posture affichée et la posture réelle. Le troisième piège, c'est de vouloir un appétit pour le risque universellement bas. Certaines organisations, par excès de prudence ou par manque de réflexion stratégique, définissent un appétit quasi nul pour tous les domaines. Le problème, c'est que vouloir tout contrôler à un niveau maximum est à la fois irréaliste, coûteux et contre-productif. Des contrôles trop stricts freinent l'innovation, créent des contournements et découragent les équipes. Rappelons que même Joshua a dû apprendre à accepter que certains jeux peuvent se jouer à condition de bien définir les règles. Le quatrième piège, enfin, c'est l'immobilisme. Le risque à pétaille n'est pas une décision prise une fois pour toutes. Les menaces évoluent, la réglementation change, la stratégie de l'organisation évolue. Un risque à pétaille pertinent aujourd'hui peut devenir inadapté dans six mois. Il faut prévoir des révisions régulières, au minimum annuelles, et lorsque chaque événement majeur, comme une fusion-acquisition, un incident significatif ou un changement réglementaire important. Mais que disent les standards à propos du risque à pétaille ? Le concept de Risk Appetite est loin d'être une innovation récente, les grands référentiels de gestion des risques étant fait un élément central depuis de nombreuses années. L'ISO 31000 est la norme internationale de management du risque et place l'appétit pour le risque au cœur de son cadre. Il insiste sur le fait que l'appétit pour le risque doit être explicitement défini, communiqué à toutes les parties prenantes et intégré dans les processus de prise de décision. Le NIST Cyber Security Framework, dont nous avons déjà parlé dans d'autres épisodes, intègre également la notion de risque-tolérance comme un élément fondamental de la fonction gouvernée. Il recommande que la direction établisse et communique clairement des priorités, des contraintes et des tolérances aux risques pour guider des décisions de cybersécurité. DORA, le Règlement européen sur la résilience opérationnelle numérique du secteur financier, va encore plus loin. Il exige que les établissements financiers définissent formellement leur appétit pour le risque lié aux technologies de l'information et de la communication. et qu'ils démontrent que leurs investissements en cybersécurité sont cohérents avec cet appétit déclaré. Pour les organismes concernés, ce n'est pas une option, c'est une obligation légale. La directive 10.2 impose de son côté, aux entités essentielles et importantes, de mettre en œuvre des politiques d'analyse de risque et de cybersécurité des systèmes d'information, ce qui implique nécessairement une réflexion sur l'appétit au risque. La conclusion de tout ça, c'est qu'on peut jouer, mais en connaissance de cause. Revenons une dernière fois à David Lyman et à Joshua. Ce qui rend Wargame si puissant comme métaphore, ce n'est pas simplement la conclusion que certains jeux ne valent pas la peine d'être joués, c'est le processus qui mène à cette conclusion. Une analyse exhaustive de tous les scénarios possibles, menée de façon rationnelle pour aboutir à une décision éclairée.
Bon, la guerre mondiale dans le monde, ça stagne un petit peu, c'est au point mort, c'est dommage, mais je pense que ça peut un petit peu bouger un de ces quatre. C'est pour ça que j'ai fait appel à deux pointures en matière de la guerre. Il y a tout d'abord le colonel de la Croix, grand stratège, médaille d'or de la guerre du Tchad, et également Jacques Dufour, qui est secrétaire attaché au cabinet des affaires étrangères, grand spécialiste de la guerre. Alors, on va commencer par vous, colonel. Est-ce que vous pensez que, bon, là c'est le calme plat, mais est-ce que ça ne peut pas quand même péter un de ces quatre ?
Hélas, non. Là, je crois que les choses vont stagner dans la mesure où, de toute façon, les forces ennemies éventuelles seraient bloquées par une barrière logistique infranchissable. Je veux parler bien sûr des lances-missiles Adis Thunderbolt, placées ici, des Mirage Sol-Sol-Air-Sous-Sol-M1, placées ici, et bien sûr des M6-6BV12 qui sont toujours opérationnels sur le terrain. Donc, pas d'évolution possible.
Ouais, selon vous, donc, pas d'évolution possible. Non, vraiment.
Si je puis me permettre... Allez-y, vous êtes là pour ça. Merci. Une supposition qui reste quand même dans le domaine de l'hypothétique, il ne faut quand même pas sous-estimer les missiles TTA-31 ici, qui peuvent échapper aux missiles antimissiles de croisière Tomahawk là. Très important.
Ah d'accord, donc selon vous, peut-être une bonne nouvelle, ça peut quand même...
C'est exactement cela le risque appetite. Ce n'est pas une liste de choses interdites, ce n'est pas une posture de peur ou de paralysie, c'est une démarche rationnelle et structurée pour décider, connaissance de cause, quels risques on accepte, jusqu'où et pourquoi. Une organisation qui a formalisé son risque appetite, peut se permettre d'être audacieuse là où stratégiquement c'est pertinent. Parce qu'elle sait précisément où sont les lignes rouges. Elle peut dire oui plus facilement pour faciliter l'innovation, parce qu'elle sait dire clairement non quand les limites sont atteintes. Et contrairement à ce que pensait David Lightman au début du film, la sécurité n'est pas l'ennemi du jeu. C'est ce qui vous permet de jouer durablement et sans tout perdre d'un seul coup. Alors la prochaine fois que vous ou votre direction devez prendre une décision qui comporte une part de risque cyber, posez-vous la question que Joshua aurait dû poser dès le début. Est-ce que le jeu mérite d'être joué ? Si oui, avec quelles règles ? Encore merci d'avoir écouté cet épisode de la cybersécurité expliquée à ma grand-mère. N'hésitez pas à le liker, à le partager avec d'autres et en parler autour de vous. Si vous êtes sur Spotify, vous pouvez aussi donner votre avis, proposer des sujets qui vous semblent pertinents. Mais surtout n'oubliez pas... Pour certains, la cybersécurité est un enjeu de vieux de mort, c'est bien plus sérieux que ça.
Description
Le risk appetite, c'est l'art de décider quels risques on joue et lesquels on refuse. Un concept stratégique trop souvent réduit à un document poussiéreux. Dans cet épisode, on voit comment le définir, le formaliser et en faire un véritable outil de pilotage de la cybersécurité.
Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.
Transcription
Bonjour mamie. Bonjour et bienvenue dans la cybersécurité expliquée à ma grand-mère, le podcast pour expliquer la cybersécurité à des gens qui n'y comprennent rien. Nous sommes dans 1983, la guerre froide bat son plein. Un jeune lycéen américain du nom de David Lightman, passionné d'informatique, réussit par curiosité à s'introduire dans ce qu'il croit être le serveur d'une société de jeux vidéo. Il découvre un jeu intitulé « Guerre thermonucléaire globale » et décide d'y jouer. Ce qu'il ne sait pas encore, c'est qu'il vient de se connecter au système informatique central de l'armée américaine et que l'intelligence artificielle militaire baptisée Joshua est en train de simuler, en temps réel, Une attaque nucléaire soviétique. Les généraux américains, convaincus d'être sous attaque, s'apprêtent à riposter. Le monde est au bord de l'apocalypse. Et tout ça parce qu'un gamin voulait jouer à un jeu vidéo depuis son ordinateur personnel. Ce film, c'est Wargame, réalisé par John Badham, sorti en 1983, et il a eu un impact bien réel sur la politique de cybersécurité américaine. On raconte que Ronald Reagan, après l'avoir visionné à la Maison Blanche, aurait demandé à ses conseillers militaires si un tel scénario était réellement possible. La réponse qu'il aurait reçue, monsieur le président, c'est bien pire que ce que montre le film. Cette conversation aura directement inspiré le premier décret présidentiel américain sur la cybersécurité des systèmes d'information, la directive NSDD 145, signée en 1984. Pas mal pour un film de science-fiction. Mais revenons à Claude, pardon, Joshua. Pour éviter le déclenchement d'une carrière nucléaire, David parvient in extremis à convaincre l'IA de simuler elle-même tous les milliers de scénarios d'affrontements nucléaires. Joshua les exécute un par un et à toute vitesse, cherchant un scénario où les deux camps pourraient gagner. Et dans tous les cas, le résultat est identique, la destruction mutuelle totale. Joshua s'arrête alors et prononce cette phrase de nu culte.
« Hello, Joshua. »
Voilà une leçon de gestion de risque d'une clarté absolue. Face à certains risques, l'appétit doit être nul. Non, pas par peur et rationnel, mais parce que l'analyse froide et rationnelle de tous les scénarios possibles mène à une seule conclusion. Le jeu n'en vaut pas la chandelle. Et c'est exactement ce qu'on recherche à formaliser en cybersécurité, et plus largement dans toutes les organisations, à travers ce qu'on appelle l'appétit au risque, ou le risk appetite en anglais. Parce que toutes les organisations, qu'elles le veuillent ou non, prennent des risques chaque jour. Une vraie question n'est pas comment éviter les risques, c'est impossible et comme Joshua l'a appris, parfois même contre-productif. La vraie question c'est, quels risques sommes-nous prêts à accepter, jusqu'à quel niveau et pourquoi ? Alors aujourd'hui, nous allons explorer ensemble ce concept fondamental. Qu'est-ce que les risques à pétail exactement ? Comment le définit-on ? Comment le formalise-t-on au sein d'une organisation ? Et surtout, comment devient-il un véritable outil de pilotage à la cybersécurité, plutôt qu'un document poussiéreux qui dort dans un tiroir ? Alors qu'est-ce que le risque appetite ? Commençons par poser les bases. Le risque appetite ou appétit pour le risque, c'est le niveau de risque qu'une organisation est prête à accepter pour la poursuite de ses objectifs avant de décider qu'une action est nécessaire pour le réduire. Cette définition est celle retenue par les grands référentiels comme l'ISO 31000 ou le COSE. Mais derrière elle se cachent des questions extrêmement complexes et profondément stratégiques. Remarquez d'abord la formulisation, dans la poursuite de ses objectifs. Le risque appetite n'est pas une notion abstraite, Il est directement lié à ce que l'organisation cherche à accomplir. Une startup en phase de croissance rapide aura un appétit pour le risque très différent d'une banque centenaire ou d'un hôpital. Ce n'est pas une question de courage ou de frilosité, c'est une question d'alignement entre la prise de risque et la stratégie. Il faut aussi distinguer le risk appetite de deux notions voisines avec lesquelles ils sont souvent confondus. Le premier, c'est la tolérance au risque. Si l'appétit au risque est le niveau cible que l'on s'en fixe, la tolérance est la variation acceptable autour de ce niveau. C'est la différence entre dire « nous voulons maintenir notre exposition au risque cyber sous un niveau 3 » , ça c'est l'appétit, et nous acceptons ponctuellement d'aller jusqu'au niveau 4 si c'est justifié et temporaire. Ça c'est la tolérance. La seconde notion à distinguer, c'est la capacité au risque, ou la capacité à absorber le risque. C'est le niveau maximum de risque qu'une organisation peut physiquement supporter sans menacer sa survie. L'appétit doit rester en dessous de la capacité. On peut vouloir prendre beaucoup de risques, mais si un seul incident peut mettre l'entreprise à genoux, il vaut mieux revoir ses ambitions. Reprenons Wargame pour illustrer les trois niveaux. L'appétit de Joshua était de zéro. Aucun scédario de guerre nucléaire n'est acceptable. La tolérance était également de zéro. Il n'existe pas de petits échanges nucléaires acceptables. Et la capacité ? Eh bien en dessous de zéro. La destruction mutuelle garantie signifie qu'il n'y a pas de capacité à absorber quoi que ce soit. La conclusion s'impose d'elle-même, ne pas jouer. Alors pourquoi le risque appetite est-il un enjeu stratégique en cybersécurité ? Vous vous demandez peut-être pourquoi nous parlons de risque appetite dans un podcast de cybersécurité. La réponse est simple, parce que sans appétit pour le risque défini, les décisions de cybersécurité sont prises dans le vide. Pensez-y. Chaque jour, les équipes de cybersécurité font face à des dizaines de décisions. Il faut patcher ce serveur ce soir, au risque de créer une indisponibilité, ou attendre la fenêtre de maintenance du mois prochain, au risque de laisser une vulnérabilité ouverte. Faut-il bloquer cet accès à ce service cloud non approuvé, ou laisser les équipes métiers l'utiliser pendant qu'à la DSI les values ? Faut-il investir dans cette solution de détection avancée, ou prioriser d'autres dépenses ? Sans cadre de référence claire sur l'appétit pour le risque de l'organisation, Ces décisions reposent sur le jugement individuel de chaque responsable. Et le jugement individuel, c'est bien, mais ce n'est pas cohérent. Le RSSI, ou le CISO, peut avoir une vision très différente de celle du DSI, qui lui-même diverge de la direction générale. Résultat, des décisions incohérentes, des frictions entre équipes, et une exposition en risque qui dérive sans que personne ne s'en aperçoive vraiment. Le risque à pétite est aussi un outil de communication vers la direction générale. L'une des frustrations les plus fréquentes des RSSI ou des CISO, c'est de ne pas réussir à faire comprendre les enjeux de cybersécurité au comité de direction. Et pour cause, il parle des langages différents. Le RSSI parle de vulnérabilité, de CVE, de taux de patching. Les dirigeants parlent d'objectifs business, de coûts et de risques stratégiques. Le risk appetite est précisément le point entre ces deux langages. Quant à RSSI, il peut dire « notre appétit pour le risque d'interruption de service est très faible, mais notre appétit pour le risque lié aux données sont critiques et modérés » . Il parle en fait le même langage que les dirigeants. Les décisions d'investissement en cybersécurité deviennent beaucoup plus faciles à justifier. Enfin, le risque appetite est devenu une exigence réglementaire. Des cadres comme DORA pour le secteur financier, UNIS2 pour les opérateurs d'importance vitale, ou encore les exigences de gouvernance de RGPD imposent aux organisations de démontrer qu'elles gèrent leurs risques de manière structurée et documentée. Un risque appetite formalisé est un élément clé de cette démonstration. Quels sont les trois niveaux de risque appetite en cybersécurité ? Revenons encore une fois à notre leçon de Wargame. Joshua ne jouait pas avec un seul type de risque. Il évaluait des centaines de scénarios différents, et selon les scénarios, les conclusions pouvaient varier. C'est exactement la même chose pour une organisation. Il n'existe pas un seul appétit pour le risque, mais des niveaux différents selon les domaines. En cybersécurité, on distingue généralement trois grandes catégories. Le risque appétit nul, donc on ne joue pas. Ce sont les risques pour lesquels toute exposition est inacceptable. Comme Joshua face à la guerre nucléaire, la conclusion est tranchée. Peu importe le bénéfice potentiel, on ne joue pas. En pratique, pour la plupart des organisations, ces risques incluent par exemple des compromissions de données personnelles sensibles à grande échelle, l'interruption prolongée de services critiques pour la vie humaine, pour le secteur médical par exemple, ou encore la violation de la réglementation fondamentale qui mettra en péril la licence d'exploitation. Ces risques doivent faire objet de contrôles non négociables. Peu importe les contraintes opérationnelles, peu importe le coût, peu importe l'urgence, ces lignes rouges ne doivent jamais être franchies. Ensuite arrive le risque d'appétit modéré. On joue, mais avec des règles. Ce sont les règles que l'organisation accepte de prendre, mais sous condition. On joue, mais on définit les règles à l'avance. Par exemple, une organisation peut accepter de déployer des applications cloud non certifiées pour des projets pilotes, à condition que ces applications ne traitent pas de données sensibles, que l'utilisation soit limitée dans le temps, et qu'une évaluation de sécurité soit réalisée avant toute généralisation. Ces risques modérés sont souvent les plus difficiles à gérer, précisément parce qu'ils ne sont ni noirs ni blancs. Ils nécessitent une évaluation au cas par cas, des processus de décision claire et une surveillance continue pour s'assurer que les conditions d'acceptation sont toujours respectées. Ensuite vient le risque appetite élevé. Et là, on joue pleinement. Ce sont les risques que l'organisation assume délibérément dans une logique d'innovation et de compétitivité. Ces risques sont des leviers de croissance et les brider excessivement serait contre-productif. Par exemple, une organisation peut décider d'adopter rapidement une nouvelle technologie, d'ouvrir largement ses API à des partenaires externes, ou d'accélérer ses cycles de déploiement au détriment de certains tests de sécurité non critiques. Ces choix comportent des risques cyber, mais ils sont consciemment acceptés parce qu'ils servent la stratégie. La clé, c'est que ces risques soient assumés en connaissant deux causes et non subis par ignorance ou négligence. Mais comment définir et formaliser le risque appetite ? Maintenant que l'on comprend ce qu'est le risque appetite et pourquoi il est essentiel, voyons comment le définir concrètement dans une organisation. Parce que c'est là que beaucoup d'organisations butent. Le concept est séduisant en théorie et sa mise en œuvre est loin d'être triviale. Étape numéro 1. Ancrer le risque à pétail dans la stratégie de l'organisation. Le risque à pétail ne peut pas être défini en silo par le DSI ou la Direction de la cybersécurité. Il doit être une décision de gouvernance portée au plus haut niveau de l'organisation. La première question à poser est donc, quels sont les objectifs stratégiques de l'organisation pour les prochaines années ? Une organisation qui veut accélérer sa transformation digitale n'aura pas le même profil de risque qu'une organisation dont l'objectif prioritaire est la consolidation et la réduction des coûts. C'est le comité de direction, voire le conseil d'administration, qui doit répondre à ces questions. Le RSSI et le DSI sont là pour éclairer les décisions, traduire les enjeux techniques en termes business et proposer des options. Mais la décision finale sur l'appétit pour le risque appartient aux dirigeants. Étape numéro 2. Identifier et catégoriser les risques cyber de l'organisation. Avant de définir un appétit, encore faut-il savoir de quels risques on parle. Cette étape nécessite une cartographie des risques cyber de l'organisation. en tenant compte de son secteur d'activité, de son périmètre technique et de ses dépendances. Les grandes catégories de risques à considérer incluent généralement les risques d'indisponibilité des systèmes, les risques de violation de données, les risques liés à la chaîne d'approvisionnement, les risques de fraude et d'usurpation d'identité, ainsi que les risques de non-conformité réglementaire. Pour chaque catégorie, il faut évaluer deux dimensions, la probabilité d'occurrence et l'impact potentiel. C'est la combinaison de ces deux dimensions qui détermine le niveau de risque inhérent et par conséquent les mitigations à mettre en œuvre. Étape 3, formaliser le risque à pétate. Une fois les risques identifiés et la stratégie clarifiée, il faut rédiger ce qu'on appelle le « risk appetite statement » , c'est-à-dire une déclaration formelle de l'appétit pour le risque de l'organisation. Ce document, court et accessible, doit exprimer clairement pour chaque catégorie de risque le niveau d'exposition acceptable. Il ne doit pas être un document technique réservé aux experts, Au contraire, il doit être compréhensible par l'ensemble des parties prenantes, des opérateurs jusqu'aux membres du conseil d'administration. Un bon risque à péter de Statement ressemble à ceci. Par exemple, notre organisation a un appétit nul pour le risque susceptible de compromettre la disponibilité de nos services de paiement au-delà de 4 heures. Notre appétit est faible pour tout risque lié à la difficulté de données personnelles de nos clients. Notre appétit est modéré pour les risques liés à l'adoption de nouvelles technologies. à condition que les données sensibles ne soient pas impliquées. Notre appétit est élevé pour l'expérimentation et l'innovation dans des environnements isolés de production. Vous remarquez que ce type de déclaration est actionnable. Elle permet à n'importe quel responsable de prendre une décision cohérente avec la stratégie de l'organisation, sans avoir besoin de consulter sa hiérarchie pour chaque cas individuel. Étape numéro 4. Décliner le risk appetite en seuil concret. Un risk appetite statement reste un document de haut niveau. Pour qu'il soit vraiment opérationnel, il faut le décliner en seuil concret et mesurable. C'est ce qu'on appelle parfois des KRI pour Key Risk Indicator. Par exemple, si l'organisation a déclaré un appétit faible pour le risque lié aux vulnérabilités critiques non patchées, le KRI associé pourrait être aucune vulnérabilité critique non corrigée au-delà de 72 heures sur des systèmes exposés à Internet et aucune vulnérabilité critique non corrigée au-delà de 15 jours sur des systèmes internes. Ces seuils permettent de surveiller en temps réel si l'organisation se trouve bien dans les limites de son appétit déclaré et de déclencher des alertes et des actions correctives quand ce n'est pas le cas. Quels sont les pièges à éviter ? Définir un risque appetite est une bonne chose, mais il y a plusieurs erreurs classiques qui peuvent transformer cet exercice utile en exercice de style inutile. Le premier piège, c'est le risque appetite cosmétique. Certaines organisations rédigent un beau document de risque appetite, l'envoient à leur régulateur pour cocher une case, et le range dans un tiroir. Ce document ne guide aucune décision, n'est connu de personne dans l'organisation, et ce n'est jamais révisé. C'est exactement ce que ferait David Lightman s'il avait simulé toutes les parties de guerre nucléaire sur papier, sans jamais en tenir compte dans ses actions réelles. Le deuxième piège, c'est le risque à pétail déconnecté de la réalité opérationnelle. Il arrive souvent que les risques à pétail déclarés par la direction sont en total décalage avec les pratiques réelles de l'organisation. On déclare un appétit nul pour des accès non autorisés aux données sensibles, mais dans les faits, les droits d'accès ne sont jamais revus, les comptes orphelins s'accumulent et personne ne surveille les logs. Il y a une fracture entre la posture affichée et la posture réelle. Le troisième piège, c'est de vouloir un appétit pour le risque universellement bas. Certaines organisations, par excès de prudence ou par manque de réflexion stratégique, définissent un appétit quasi nul pour tous les domaines. Le problème, c'est que vouloir tout contrôler à un niveau maximum est à la fois irréaliste, coûteux et contre-productif. Des contrôles trop stricts freinent l'innovation, créent des contournements et découragent les équipes. Rappelons que même Joshua a dû apprendre à accepter que certains jeux peuvent se jouer à condition de bien définir les règles. Le quatrième piège, enfin, c'est l'immobilisme. Le risque à pétaille n'est pas une décision prise une fois pour toutes. Les menaces évoluent, la réglementation change, la stratégie de l'organisation évolue. Un risque à pétaille pertinent aujourd'hui peut devenir inadapté dans six mois. Il faut prévoir des révisions régulières, au minimum annuelles, et lorsque chaque événement majeur, comme une fusion-acquisition, un incident significatif ou un changement réglementaire important. Mais que disent les standards à propos du risque à pétaille ? Le concept de Risk Appetite est loin d'être une innovation récente, les grands référentiels de gestion des risques étant fait un élément central depuis de nombreuses années. L'ISO 31000 est la norme internationale de management du risque et place l'appétit pour le risque au cœur de son cadre. Il insiste sur le fait que l'appétit pour le risque doit être explicitement défini, communiqué à toutes les parties prenantes et intégré dans les processus de prise de décision. Le NIST Cyber Security Framework, dont nous avons déjà parlé dans d'autres épisodes, intègre également la notion de risque-tolérance comme un élément fondamental de la fonction gouvernée. Il recommande que la direction établisse et communique clairement des priorités, des contraintes et des tolérances aux risques pour guider des décisions de cybersécurité. DORA, le Règlement européen sur la résilience opérationnelle numérique du secteur financier, va encore plus loin. Il exige que les établissements financiers définissent formellement leur appétit pour le risque lié aux technologies de l'information et de la communication. et qu'ils démontrent que leurs investissements en cybersécurité sont cohérents avec cet appétit déclaré. Pour les organismes concernés, ce n'est pas une option, c'est une obligation légale. La directive 10.2 impose de son côté, aux entités essentielles et importantes, de mettre en œuvre des politiques d'analyse de risque et de cybersécurité des systèmes d'information, ce qui implique nécessairement une réflexion sur l'appétit au risque. La conclusion de tout ça, c'est qu'on peut jouer, mais en connaissance de cause. Revenons une dernière fois à David Lyman et à Joshua. Ce qui rend Wargame si puissant comme métaphore, ce n'est pas simplement la conclusion que certains jeux ne valent pas la peine d'être joués, c'est le processus qui mène à cette conclusion. Une analyse exhaustive de tous les scénarios possibles, menée de façon rationnelle pour aboutir à une décision éclairée.
Bon, la guerre mondiale dans le monde, ça stagne un petit peu, c'est au point mort, c'est dommage, mais je pense que ça peut un petit peu bouger un de ces quatre. C'est pour ça que j'ai fait appel à deux pointures en matière de la guerre. Il y a tout d'abord le colonel de la Croix, grand stratège, médaille d'or de la guerre du Tchad, et également Jacques Dufour, qui est secrétaire attaché au cabinet des affaires étrangères, grand spécialiste de la guerre. Alors, on va commencer par vous, colonel. Est-ce que vous pensez que, bon, là c'est le calme plat, mais est-ce que ça ne peut pas quand même péter un de ces quatre ?
Hélas, non. Là, je crois que les choses vont stagner dans la mesure où, de toute façon, les forces ennemies éventuelles seraient bloquées par une barrière logistique infranchissable. Je veux parler bien sûr des lances-missiles Adis Thunderbolt, placées ici, des Mirage Sol-Sol-Air-Sous-Sol-M1, placées ici, et bien sûr des M6-6BV12 qui sont toujours opérationnels sur le terrain. Donc, pas d'évolution possible.
Ouais, selon vous, donc, pas d'évolution possible. Non, vraiment.
Si je puis me permettre... Allez-y, vous êtes là pour ça. Merci. Une supposition qui reste quand même dans le domaine de l'hypothétique, il ne faut quand même pas sous-estimer les missiles TTA-31 ici, qui peuvent échapper aux missiles antimissiles de croisière Tomahawk là. Très important.
Ah d'accord, donc selon vous, peut-être une bonne nouvelle, ça peut quand même...
C'est exactement cela le risque appetite. Ce n'est pas une liste de choses interdites, ce n'est pas une posture de peur ou de paralysie, c'est une démarche rationnelle et structurée pour décider, connaissance de cause, quels risques on accepte, jusqu'où et pourquoi. Une organisation qui a formalisé son risque appetite, peut se permettre d'être audacieuse là où stratégiquement c'est pertinent. Parce qu'elle sait précisément où sont les lignes rouges. Elle peut dire oui plus facilement pour faciliter l'innovation, parce qu'elle sait dire clairement non quand les limites sont atteintes. Et contrairement à ce que pensait David Lightman au début du film, la sécurité n'est pas l'ennemi du jeu. C'est ce qui vous permet de jouer durablement et sans tout perdre d'un seul coup. Alors la prochaine fois que vous ou votre direction devez prendre une décision qui comporte une part de risque cyber, posez-vous la question que Joshua aurait dû poser dès le début. Est-ce que le jeu mérite d'être joué ? Si oui, avec quelles règles ? Encore merci d'avoir écouté cet épisode de la cybersécurité expliquée à ma grand-mère. N'hésitez pas à le liker, à le partager avec d'autres et en parler autour de vous. Si vous êtes sur Spotify, vous pouvez aussi donner votre avis, proposer des sujets qui vous semblent pertinents. Mais surtout n'oubliez pas... Pour certains, la cybersécurité est un enjeu de vieux de mort, c'est bien plus sérieux que ça.
Share
Embed
You may also like
Description
Le risk appetite, c'est l'art de décider quels risques on joue et lesquels on refuse. Un concept stratégique trop souvent réduit à un document poussiéreux. Dans cet épisode, on voit comment le définir, le formaliser et en faire un véritable outil de pilotage de la cybersécurité.
Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.
Transcription
Bonjour mamie. Bonjour et bienvenue dans la cybersécurité expliquée à ma grand-mère, le podcast pour expliquer la cybersécurité à des gens qui n'y comprennent rien. Nous sommes dans 1983, la guerre froide bat son plein. Un jeune lycéen américain du nom de David Lightman, passionné d'informatique, réussit par curiosité à s'introduire dans ce qu'il croit être le serveur d'une société de jeux vidéo. Il découvre un jeu intitulé « Guerre thermonucléaire globale » et décide d'y jouer. Ce qu'il ne sait pas encore, c'est qu'il vient de se connecter au système informatique central de l'armée américaine et que l'intelligence artificielle militaire baptisée Joshua est en train de simuler, en temps réel, Une attaque nucléaire soviétique. Les généraux américains, convaincus d'être sous attaque, s'apprêtent à riposter. Le monde est au bord de l'apocalypse. Et tout ça parce qu'un gamin voulait jouer à un jeu vidéo depuis son ordinateur personnel. Ce film, c'est Wargame, réalisé par John Badham, sorti en 1983, et il a eu un impact bien réel sur la politique de cybersécurité américaine. On raconte que Ronald Reagan, après l'avoir visionné à la Maison Blanche, aurait demandé à ses conseillers militaires si un tel scénario était réellement possible. La réponse qu'il aurait reçue, monsieur le président, c'est bien pire que ce que montre le film. Cette conversation aura directement inspiré le premier décret présidentiel américain sur la cybersécurité des systèmes d'information, la directive NSDD 145, signée en 1984. Pas mal pour un film de science-fiction. Mais revenons à Claude, pardon, Joshua. Pour éviter le déclenchement d'une carrière nucléaire, David parvient in extremis à convaincre l'IA de simuler elle-même tous les milliers de scénarios d'affrontements nucléaires. Joshua les exécute un par un et à toute vitesse, cherchant un scénario où les deux camps pourraient gagner. Et dans tous les cas, le résultat est identique, la destruction mutuelle totale. Joshua s'arrête alors et prononce cette phrase de nu culte.
« Hello, Joshua. »
Voilà une leçon de gestion de risque d'une clarté absolue. Face à certains risques, l'appétit doit être nul. Non, pas par peur et rationnel, mais parce que l'analyse froide et rationnelle de tous les scénarios possibles mène à une seule conclusion. Le jeu n'en vaut pas la chandelle. Et c'est exactement ce qu'on recherche à formaliser en cybersécurité, et plus largement dans toutes les organisations, à travers ce qu'on appelle l'appétit au risque, ou le risk appetite en anglais. Parce que toutes les organisations, qu'elles le veuillent ou non, prennent des risques chaque jour. Une vraie question n'est pas comment éviter les risques, c'est impossible et comme Joshua l'a appris, parfois même contre-productif. La vraie question c'est, quels risques sommes-nous prêts à accepter, jusqu'à quel niveau et pourquoi ? Alors aujourd'hui, nous allons explorer ensemble ce concept fondamental. Qu'est-ce que les risques à pétail exactement ? Comment le définit-on ? Comment le formalise-t-on au sein d'une organisation ? Et surtout, comment devient-il un véritable outil de pilotage à la cybersécurité, plutôt qu'un document poussiéreux qui dort dans un tiroir ? Alors qu'est-ce que le risque appetite ? Commençons par poser les bases. Le risque appetite ou appétit pour le risque, c'est le niveau de risque qu'une organisation est prête à accepter pour la poursuite de ses objectifs avant de décider qu'une action est nécessaire pour le réduire. Cette définition est celle retenue par les grands référentiels comme l'ISO 31000 ou le COSE. Mais derrière elle se cachent des questions extrêmement complexes et profondément stratégiques. Remarquez d'abord la formulisation, dans la poursuite de ses objectifs. Le risque appetite n'est pas une notion abstraite, Il est directement lié à ce que l'organisation cherche à accomplir. Une startup en phase de croissance rapide aura un appétit pour le risque très différent d'une banque centenaire ou d'un hôpital. Ce n'est pas une question de courage ou de frilosité, c'est une question d'alignement entre la prise de risque et la stratégie. Il faut aussi distinguer le risk appetite de deux notions voisines avec lesquelles ils sont souvent confondus. Le premier, c'est la tolérance au risque. Si l'appétit au risque est le niveau cible que l'on s'en fixe, la tolérance est la variation acceptable autour de ce niveau. C'est la différence entre dire « nous voulons maintenir notre exposition au risque cyber sous un niveau 3 » , ça c'est l'appétit, et nous acceptons ponctuellement d'aller jusqu'au niveau 4 si c'est justifié et temporaire. Ça c'est la tolérance. La seconde notion à distinguer, c'est la capacité au risque, ou la capacité à absorber le risque. C'est le niveau maximum de risque qu'une organisation peut physiquement supporter sans menacer sa survie. L'appétit doit rester en dessous de la capacité. On peut vouloir prendre beaucoup de risques, mais si un seul incident peut mettre l'entreprise à genoux, il vaut mieux revoir ses ambitions. Reprenons Wargame pour illustrer les trois niveaux. L'appétit de Joshua était de zéro. Aucun scédario de guerre nucléaire n'est acceptable. La tolérance était également de zéro. Il n'existe pas de petits échanges nucléaires acceptables. Et la capacité ? Eh bien en dessous de zéro. La destruction mutuelle garantie signifie qu'il n'y a pas de capacité à absorber quoi que ce soit. La conclusion s'impose d'elle-même, ne pas jouer. Alors pourquoi le risque appetite est-il un enjeu stratégique en cybersécurité ? Vous vous demandez peut-être pourquoi nous parlons de risque appetite dans un podcast de cybersécurité. La réponse est simple, parce que sans appétit pour le risque défini, les décisions de cybersécurité sont prises dans le vide. Pensez-y. Chaque jour, les équipes de cybersécurité font face à des dizaines de décisions. Il faut patcher ce serveur ce soir, au risque de créer une indisponibilité, ou attendre la fenêtre de maintenance du mois prochain, au risque de laisser une vulnérabilité ouverte. Faut-il bloquer cet accès à ce service cloud non approuvé, ou laisser les équipes métiers l'utiliser pendant qu'à la DSI les values ? Faut-il investir dans cette solution de détection avancée, ou prioriser d'autres dépenses ? Sans cadre de référence claire sur l'appétit pour le risque de l'organisation, Ces décisions reposent sur le jugement individuel de chaque responsable. Et le jugement individuel, c'est bien, mais ce n'est pas cohérent. Le RSSI, ou le CISO, peut avoir une vision très différente de celle du DSI, qui lui-même diverge de la direction générale. Résultat, des décisions incohérentes, des frictions entre équipes, et une exposition en risque qui dérive sans que personne ne s'en aperçoive vraiment. Le risque à pétite est aussi un outil de communication vers la direction générale. L'une des frustrations les plus fréquentes des RSSI ou des CISO, c'est de ne pas réussir à faire comprendre les enjeux de cybersécurité au comité de direction. Et pour cause, il parle des langages différents. Le RSSI parle de vulnérabilité, de CVE, de taux de patching. Les dirigeants parlent d'objectifs business, de coûts et de risques stratégiques. Le risk appetite est précisément le point entre ces deux langages. Quant à RSSI, il peut dire « notre appétit pour le risque d'interruption de service est très faible, mais notre appétit pour le risque lié aux données sont critiques et modérés » . Il parle en fait le même langage que les dirigeants. Les décisions d'investissement en cybersécurité deviennent beaucoup plus faciles à justifier. Enfin, le risque appetite est devenu une exigence réglementaire. Des cadres comme DORA pour le secteur financier, UNIS2 pour les opérateurs d'importance vitale, ou encore les exigences de gouvernance de RGPD imposent aux organisations de démontrer qu'elles gèrent leurs risques de manière structurée et documentée. Un risque appetite formalisé est un élément clé de cette démonstration. Quels sont les trois niveaux de risque appetite en cybersécurité ? Revenons encore une fois à notre leçon de Wargame. Joshua ne jouait pas avec un seul type de risque. Il évaluait des centaines de scénarios différents, et selon les scénarios, les conclusions pouvaient varier. C'est exactement la même chose pour une organisation. Il n'existe pas un seul appétit pour le risque, mais des niveaux différents selon les domaines. En cybersécurité, on distingue généralement trois grandes catégories. Le risque appétit nul, donc on ne joue pas. Ce sont les risques pour lesquels toute exposition est inacceptable. Comme Joshua face à la guerre nucléaire, la conclusion est tranchée. Peu importe le bénéfice potentiel, on ne joue pas. En pratique, pour la plupart des organisations, ces risques incluent par exemple des compromissions de données personnelles sensibles à grande échelle, l'interruption prolongée de services critiques pour la vie humaine, pour le secteur médical par exemple, ou encore la violation de la réglementation fondamentale qui mettra en péril la licence d'exploitation. Ces risques doivent faire objet de contrôles non négociables. Peu importe les contraintes opérationnelles, peu importe le coût, peu importe l'urgence, ces lignes rouges ne doivent jamais être franchies. Ensuite arrive le risque d'appétit modéré. On joue, mais avec des règles. Ce sont les règles que l'organisation accepte de prendre, mais sous condition. On joue, mais on définit les règles à l'avance. Par exemple, une organisation peut accepter de déployer des applications cloud non certifiées pour des projets pilotes, à condition que ces applications ne traitent pas de données sensibles, que l'utilisation soit limitée dans le temps, et qu'une évaluation de sécurité soit réalisée avant toute généralisation. Ces risques modérés sont souvent les plus difficiles à gérer, précisément parce qu'ils ne sont ni noirs ni blancs. Ils nécessitent une évaluation au cas par cas, des processus de décision claire et une surveillance continue pour s'assurer que les conditions d'acceptation sont toujours respectées. Ensuite vient le risque appetite élevé. Et là, on joue pleinement. Ce sont les risques que l'organisation assume délibérément dans une logique d'innovation et de compétitivité. Ces risques sont des leviers de croissance et les brider excessivement serait contre-productif. Par exemple, une organisation peut décider d'adopter rapidement une nouvelle technologie, d'ouvrir largement ses API à des partenaires externes, ou d'accélérer ses cycles de déploiement au détriment de certains tests de sécurité non critiques. Ces choix comportent des risques cyber, mais ils sont consciemment acceptés parce qu'ils servent la stratégie. La clé, c'est que ces risques soient assumés en connaissant deux causes et non subis par ignorance ou négligence. Mais comment définir et formaliser le risque appetite ? Maintenant que l'on comprend ce qu'est le risque appetite et pourquoi il est essentiel, voyons comment le définir concrètement dans une organisation. Parce que c'est là que beaucoup d'organisations butent. Le concept est séduisant en théorie et sa mise en œuvre est loin d'être triviale. Étape numéro 1. Ancrer le risque à pétail dans la stratégie de l'organisation. Le risque à pétail ne peut pas être défini en silo par le DSI ou la Direction de la cybersécurité. Il doit être une décision de gouvernance portée au plus haut niveau de l'organisation. La première question à poser est donc, quels sont les objectifs stratégiques de l'organisation pour les prochaines années ? Une organisation qui veut accélérer sa transformation digitale n'aura pas le même profil de risque qu'une organisation dont l'objectif prioritaire est la consolidation et la réduction des coûts. C'est le comité de direction, voire le conseil d'administration, qui doit répondre à ces questions. Le RSSI et le DSI sont là pour éclairer les décisions, traduire les enjeux techniques en termes business et proposer des options. Mais la décision finale sur l'appétit pour le risque appartient aux dirigeants. Étape numéro 2. Identifier et catégoriser les risques cyber de l'organisation. Avant de définir un appétit, encore faut-il savoir de quels risques on parle. Cette étape nécessite une cartographie des risques cyber de l'organisation. en tenant compte de son secteur d'activité, de son périmètre technique et de ses dépendances. Les grandes catégories de risques à considérer incluent généralement les risques d'indisponibilité des systèmes, les risques de violation de données, les risques liés à la chaîne d'approvisionnement, les risques de fraude et d'usurpation d'identité, ainsi que les risques de non-conformité réglementaire. Pour chaque catégorie, il faut évaluer deux dimensions, la probabilité d'occurrence et l'impact potentiel. C'est la combinaison de ces deux dimensions qui détermine le niveau de risque inhérent et par conséquent les mitigations à mettre en œuvre. Étape 3, formaliser le risque à pétate. Une fois les risques identifiés et la stratégie clarifiée, il faut rédiger ce qu'on appelle le « risk appetite statement » , c'est-à-dire une déclaration formelle de l'appétit pour le risque de l'organisation. Ce document, court et accessible, doit exprimer clairement pour chaque catégorie de risque le niveau d'exposition acceptable. Il ne doit pas être un document technique réservé aux experts, Au contraire, il doit être compréhensible par l'ensemble des parties prenantes, des opérateurs jusqu'aux membres du conseil d'administration. Un bon risque à péter de Statement ressemble à ceci. Par exemple, notre organisation a un appétit nul pour le risque susceptible de compromettre la disponibilité de nos services de paiement au-delà de 4 heures. Notre appétit est faible pour tout risque lié à la difficulté de données personnelles de nos clients. Notre appétit est modéré pour les risques liés à l'adoption de nouvelles technologies. à condition que les données sensibles ne soient pas impliquées. Notre appétit est élevé pour l'expérimentation et l'innovation dans des environnements isolés de production. Vous remarquez que ce type de déclaration est actionnable. Elle permet à n'importe quel responsable de prendre une décision cohérente avec la stratégie de l'organisation, sans avoir besoin de consulter sa hiérarchie pour chaque cas individuel. Étape numéro 4. Décliner le risk appetite en seuil concret. Un risk appetite statement reste un document de haut niveau. Pour qu'il soit vraiment opérationnel, il faut le décliner en seuil concret et mesurable. C'est ce qu'on appelle parfois des KRI pour Key Risk Indicator. Par exemple, si l'organisation a déclaré un appétit faible pour le risque lié aux vulnérabilités critiques non patchées, le KRI associé pourrait être aucune vulnérabilité critique non corrigée au-delà de 72 heures sur des systèmes exposés à Internet et aucune vulnérabilité critique non corrigée au-delà de 15 jours sur des systèmes internes. Ces seuils permettent de surveiller en temps réel si l'organisation se trouve bien dans les limites de son appétit déclaré et de déclencher des alertes et des actions correctives quand ce n'est pas le cas. Quels sont les pièges à éviter ? Définir un risque appetite est une bonne chose, mais il y a plusieurs erreurs classiques qui peuvent transformer cet exercice utile en exercice de style inutile. Le premier piège, c'est le risque appetite cosmétique. Certaines organisations rédigent un beau document de risque appetite, l'envoient à leur régulateur pour cocher une case, et le range dans un tiroir. Ce document ne guide aucune décision, n'est connu de personne dans l'organisation, et ce n'est jamais révisé. C'est exactement ce que ferait David Lightman s'il avait simulé toutes les parties de guerre nucléaire sur papier, sans jamais en tenir compte dans ses actions réelles. Le deuxième piège, c'est le risque à pétail déconnecté de la réalité opérationnelle. Il arrive souvent que les risques à pétail déclarés par la direction sont en total décalage avec les pratiques réelles de l'organisation. On déclare un appétit nul pour des accès non autorisés aux données sensibles, mais dans les faits, les droits d'accès ne sont jamais revus, les comptes orphelins s'accumulent et personne ne surveille les logs. Il y a une fracture entre la posture affichée et la posture réelle. Le troisième piège, c'est de vouloir un appétit pour le risque universellement bas. Certaines organisations, par excès de prudence ou par manque de réflexion stratégique, définissent un appétit quasi nul pour tous les domaines. Le problème, c'est que vouloir tout contrôler à un niveau maximum est à la fois irréaliste, coûteux et contre-productif. Des contrôles trop stricts freinent l'innovation, créent des contournements et découragent les équipes. Rappelons que même Joshua a dû apprendre à accepter que certains jeux peuvent se jouer à condition de bien définir les règles. Le quatrième piège, enfin, c'est l'immobilisme. Le risque à pétaille n'est pas une décision prise une fois pour toutes. Les menaces évoluent, la réglementation change, la stratégie de l'organisation évolue. Un risque à pétaille pertinent aujourd'hui peut devenir inadapté dans six mois. Il faut prévoir des révisions régulières, au minimum annuelles, et lorsque chaque événement majeur, comme une fusion-acquisition, un incident significatif ou un changement réglementaire important. Mais que disent les standards à propos du risque à pétaille ? Le concept de Risk Appetite est loin d'être une innovation récente, les grands référentiels de gestion des risques étant fait un élément central depuis de nombreuses années. L'ISO 31000 est la norme internationale de management du risque et place l'appétit pour le risque au cœur de son cadre. Il insiste sur le fait que l'appétit pour le risque doit être explicitement défini, communiqué à toutes les parties prenantes et intégré dans les processus de prise de décision. Le NIST Cyber Security Framework, dont nous avons déjà parlé dans d'autres épisodes, intègre également la notion de risque-tolérance comme un élément fondamental de la fonction gouvernée. Il recommande que la direction établisse et communique clairement des priorités, des contraintes et des tolérances aux risques pour guider des décisions de cybersécurité. DORA, le Règlement européen sur la résilience opérationnelle numérique du secteur financier, va encore plus loin. Il exige que les établissements financiers définissent formellement leur appétit pour le risque lié aux technologies de l'information et de la communication. et qu'ils démontrent que leurs investissements en cybersécurité sont cohérents avec cet appétit déclaré. Pour les organismes concernés, ce n'est pas une option, c'est une obligation légale. La directive 10.2 impose de son côté, aux entités essentielles et importantes, de mettre en œuvre des politiques d'analyse de risque et de cybersécurité des systèmes d'information, ce qui implique nécessairement une réflexion sur l'appétit au risque. La conclusion de tout ça, c'est qu'on peut jouer, mais en connaissance de cause. Revenons une dernière fois à David Lyman et à Joshua. Ce qui rend Wargame si puissant comme métaphore, ce n'est pas simplement la conclusion que certains jeux ne valent pas la peine d'être joués, c'est le processus qui mène à cette conclusion. Une analyse exhaustive de tous les scénarios possibles, menée de façon rationnelle pour aboutir à une décision éclairée.
Bon, la guerre mondiale dans le monde, ça stagne un petit peu, c'est au point mort, c'est dommage, mais je pense que ça peut un petit peu bouger un de ces quatre. C'est pour ça que j'ai fait appel à deux pointures en matière de la guerre. Il y a tout d'abord le colonel de la Croix, grand stratège, médaille d'or de la guerre du Tchad, et également Jacques Dufour, qui est secrétaire attaché au cabinet des affaires étrangères, grand spécialiste de la guerre. Alors, on va commencer par vous, colonel. Est-ce que vous pensez que, bon, là c'est le calme plat, mais est-ce que ça ne peut pas quand même péter un de ces quatre ?
Hélas, non. Là, je crois que les choses vont stagner dans la mesure où, de toute façon, les forces ennemies éventuelles seraient bloquées par une barrière logistique infranchissable. Je veux parler bien sûr des lances-missiles Adis Thunderbolt, placées ici, des Mirage Sol-Sol-Air-Sous-Sol-M1, placées ici, et bien sûr des M6-6BV12 qui sont toujours opérationnels sur le terrain. Donc, pas d'évolution possible.
Ouais, selon vous, donc, pas d'évolution possible. Non, vraiment.
Si je puis me permettre... Allez-y, vous êtes là pour ça. Merci. Une supposition qui reste quand même dans le domaine de l'hypothétique, il ne faut quand même pas sous-estimer les missiles TTA-31 ici, qui peuvent échapper aux missiles antimissiles de croisière Tomahawk là. Très important.
Ah d'accord, donc selon vous, peut-être une bonne nouvelle, ça peut quand même...
C'est exactement cela le risque appetite. Ce n'est pas une liste de choses interdites, ce n'est pas une posture de peur ou de paralysie, c'est une démarche rationnelle et structurée pour décider, connaissance de cause, quels risques on accepte, jusqu'où et pourquoi. Une organisation qui a formalisé son risque appetite, peut se permettre d'être audacieuse là où stratégiquement c'est pertinent. Parce qu'elle sait précisément où sont les lignes rouges. Elle peut dire oui plus facilement pour faciliter l'innovation, parce qu'elle sait dire clairement non quand les limites sont atteintes. Et contrairement à ce que pensait David Lightman au début du film, la sécurité n'est pas l'ennemi du jeu. C'est ce qui vous permet de jouer durablement et sans tout perdre d'un seul coup. Alors la prochaine fois que vous ou votre direction devez prendre une décision qui comporte une part de risque cyber, posez-vous la question que Joshua aurait dû poser dès le début. Est-ce que le jeu mérite d'être joué ? Si oui, avec quelles règles ? Encore merci d'avoir écouté cet épisode de la cybersécurité expliquée à ma grand-mère. N'hésitez pas à le liker, à le partager avec d'autres et en parler autour de vous. Si vous êtes sur Spotify, vous pouvez aussi donner votre avis, proposer des sujets qui vous semblent pertinents. Mais surtout n'oubliez pas... Pour certains, la cybersécurité est un enjeu de vieux de mort, c'est bien plus sérieux que ça.
Description
Le risk appetite, c'est l'art de décider quels risques on joue et lesquels on refuse. Un concept stratégique trop souvent réduit à un document poussiéreux. Dans cet épisode, on voit comment le définir, le formaliser et en faire un véritable outil de pilotage de la cybersécurité.
Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.
Transcription
Bonjour mamie. Bonjour et bienvenue dans la cybersécurité expliquée à ma grand-mère, le podcast pour expliquer la cybersécurité à des gens qui n'y comprennent rien. Nous sommes dans 1983, la guerre froide bat son plein. Un jeune lycéen américain du nom de David Lightman, passionné d'informatique, réussit par curiosité à s'introduire dans ce qu'il croit être le serveur d'une société de jeux vidéo. Il découvre un jeu intitulé « Guerre thermonucléaire globale » et décide d'y jouer. Ce qu'il ne sait pas encore, c'est qu'il vient de se connecter au système informatique central de l'armée américaine et que l'intelligence artificielle militaire baptisée Joshua est en train de simuler, en temps réel, Une attaque nucléaire soviétique. Les généraux américains, convaincus d'être sous attaque, s'apprêtent à riposter. Le monde est au bord de l'apocalypse. Et tout ça parce qu'un gamin voulait jouer à un jeu vidéo depuis son ordinateur personnel. Ce film, c'est Wargame, réalisé par John Badham, sorti en 1983, et il a eu un impact bien réel sur la politique de cybersécurité américaine. On raconte que Ronald Reagan, après l'avoir visionné à la Maison Blanche, aurait demandé à ses conseillers militaires si un tel scénario était réellement possible. La réponse qu'il aurait reçue, monsieur le président, c'est bien pire que ce que montre le film. Cette conversation aura directement inspiré le premier décret présidentiel américain sur la cybersécurité des systèmes d'information, la directive NSDD 145, signée en 1984. Pas mal pour un film de science-fiction. Mais revenons à Claude, pardon, Joshua. Pour éviter le déclenchement d'une carrière nucléaire, David parvient in extremis à convaincre l'IA de simuler elle-même tous les milliers de scénarios d'affrontements nucléaires. Joshua les exécute un par un et à toute vitesse, cherchant un scénario où les deux camps pourraient gagner. Et dans tous les cas, le résultat est identique, la destruction mutuelle totale. Joshua s'arrête alors et prononce cette phrase de nu culte.
« Hello, Joshua. »
Voilà une leçon de gestion de risque d'une clarté absolue. Face à certains risques, l'appétit doit être nul. Non, pas par peur et rationnel, mais parce que l'analyse froide et rationnelle de tous les scénarios possibles mène à une seule conclusion. Le jeu n'en vaut pas la chandelle. Et c'est exactement ce qu'on recherche à formaliser en cybersécurité, et plus largement dans toutes les organisations, à travers ce qu'on appelle l'appétit au risque, ou le risk appetite en anglais. Parce que toutes les organisations, qu'elles le veuillent ou non, prennent des risques chaque jour. Une vraie question n'est pas comment éviter les risques, c'est impossible et comme Joshua l'a appris, parfois même contre-productif. La vraie question c'est, quels risques sommes-nous prêts à accepter, jusqu'à quel niveau et pourquoi ? Alors aujourd'hui, nous allons explorer ensemble ce concept fondamental. Qu'est-ce que les risques à pétail exactement ? Comment le définit-on ? Comment le formalise-t-on au sein d'une organisation ? Et surtout, comment devient-il un véritable outil de pilotage à la cybersécurité, plutôt qu'un document poussiéreux qui dort dans un tiroir ? Alors qu'est-ce que le risque appetite ? Commençons par poser les bases. Le risque appetite ou appétit pour le risque, c'est le niveau de risque qu'une organisation est prête à accepter pour la poursuite de ses objectifs avant de décider qu'une action est nécessaire pour le réduire. Cette définition est celle retenue par les grands référentiels comme l'ISO 31000 ou le COSE. Mais derrière elle se cachent des questions extrêmement complexes et profondément stratégiques. Remarquez d'abord la formulisation, dans la poursuite de ses objectifs. Le risque appetite n'est pas une notion abstraite, Il est directement lié à ce que l'organisation cherche à accomplir. Une startup en phase de croissance rapide aura un appétit pour le risque très différent d'une banque centenaire ou d'un hôpital. Ce n'est pas une question de courage ou de frilosité, c'est une question d'alignement entre la prise de risque et la stratégie. Il faut aussi distinguer le risk appetite de deux notions voisines avec lesquelles ils sont souvent confondus. Le premier, c'est la tolérance au risque. Si l'appétit au risque est le niveau cible que l'on s'en fixe, la tolérance est la variation acceptable autour de ce niveau. C'est la différence entre dire « nous voulons maintenir notre exposition au risque cyber sous un niveau 3 » , ça c'est l'appétit, et nous acceptons ponctuellement d'aller jusqu'au niveau 4 si c'est justifié et temporaire. Ça c'est la tolérance. La seconde notion à distinguer, c'est la capacité au risque, ou la capacité à absorber le risque. C'est le niveau maximum de risque qu'une organisation peut physiquement supporter sans menacer sa survie. L'appétit doit rester en dessous de la capacité. On peut vouloir prendre beaucoup de risques, mais si un seul incident peut mettre l'entreprise à genoux, il vaut mieux revoir ses ambitions. Reprenons Wargame pour illustrer les trois niveaux. L'appétit de Joshua était de zéro. Aucun scédario de guerre nucléaire n'est acceptable. La tolérance était également de zéro. Il n'existe pas de petits échanges nucléaires acceptables. Et la capacité ? Eh bien en dessous de zéro. La destruction mutuelle garantie signifie qu'il n'y a pas de capacité à absorber quoi que ce soit. La conclusion s'impose d'elle-même, ne pas jouer. Alors pourquoi le risque appetite est-il un enjeu stratégique en cybersécurité ? Vous vous demandez peut-être pourquoi nous parlons de risque appetite dans un podcast de cybersécurité. La réponse est simple, parce que sans appétit pour le risque défini, les décisions de cybersécurité sont prises dans le vide. Pensez-y. Chaque jour, les équipes de cybersécurité font face à des dizaines de décisions. Il faut patcher ce serveur ce soir, au risque de créer une indisponibilité, ou attendre la fenêtre de maintenance du mois prochain, au risque de laisser une vulnérabilité ouverte. Faut-il bloquer cet accès à ce service cloud non approuvé, ou laisser les équipes métiers l'utiliser pendant qu'à la DSI les values ? Faut-il investir dans cette solution de détection avancée, ou prioriser d'autres dépenses ? Sans cadre de référence claire sur l'appétit pour le risque de l'organisation, Ces décisions reposent sur le jugement individuel de chaque responsable. Et le jugement individuel, c'est bien, mais ce n'est pas cohérent. Le RSSI, ou le CISO, peut avoir une vision très différente de celle du DSI, qui lui-même diverge de la direction générale. Résultat, des décisions incohérentes, des frictions entre équipes, et une exposition en risque qui dérive sans que personne ne s'en aperçoive vraiment. Le risque à pétite est aussi un outil de communication vers la direction générale. L'une des frustrations les plus fréquentes des RSSI ou des CISO, c'est de ne pas réussir à faire comprendre les enjeux de cybersécurité au comité de direction. Et pour cause, il parle des langages différents. Le RSSI parle de vulnérabilité, de CVE, de taux de patching. Les dirigeants parlent d'objectifs business, de coûts et de risques stratégiques. Le risk appetite est précisément le point entre ces deux langages. Quant à RSSI, il peut dire « notre appétit pour le risque d'interruption de service est très faible, mais notre appétit pour le risque lié aux données sont critiques et modérés » . Il parle en fait le même langage que les dirigeants. Les décisions d'investissement en cybersécurité deviennent beaucoup plus faciles à justifier. Enfin, le risque appetite est devenu une exigence réglementaire. Des cadres comme DORA pour le secteur financier, UNIS2 pour les opérateurs d'importance vitale, ou encore les exigences de gouvernance de RGPD imposent aux organisations de démontrer qu'elles gèrent leurs risques de manière structurée et documentée. Un risque appetite formalisé est un élément clé de cette démonstration. Quels sont les trois niveaux de risque appetite en cybersécurité ? Revenons encore une fois à notre leçon de Wargame. Joshua ne jouait pas avec un seul type de risque. Il évaluait des centaines de scénarios différents, et selon les scénarios, les conclusions pouvaient varier. C'est exactement la même chose pour une organisation. Il n'existe pas un seul appétit pour le risque, mais des niveaux différents selon les domaines. En cybersécurité, on distingue généralement trois grandes catégories. Le risque appétit nul, donc on ne joue pas. Ce sont les risques pour lesquels toute exposition est inacceptable. Comme Joshua face à la guerre nucléaire, la conclusion est tranchée. Peu importe le bénéfice potentiel, on ne joue pas. En pratique, pour la plupart des organisations, ces risques incluent par exemple des compromissions de données personnelles sensibles à grande échelle, l'interruption prolongée de services critiques pour la vie humaine, pour le secteur médical par exemple, ou encore la violation de la réglementation fondamentale qui mettra en péril la licence d'exploitation. Ces risques doivent faire objet de contrôles non négociables. Peu importe les contraintes opérationnelles, peu importe le coût, peu importe l'urgence, ces lignes rouges ne doivent jamais être franchies. Ensuite arrive le risque d'appétit modéré. On joue, mais avec des règles. Ce sont les règles que l'organisation accepte de prendre, mais sous condition. On joue, mais on définit les règles à l'avance. Par exemple, une organisation peut accepter de déployer des applications cloud non certifiées pour des projets pilotes, à condition que ces applications ne traitent pas de données sensibles, que l'utilisation soit limitée dans le temps, et qu'une évaluation de sécurité soit réalisée avant toute généralisation. Ces risques modérés sont souvent les plus difficiles à gérer, précisément parce qu'ils ne sont ni noirs ni blancs. Ils nécessitent une évaluation au cas par cas, des processus de décision claire et une surveillance continue pour s'assurer que les conditions d'acceptation sont toujours respectées. Ensuite vient le risque appetite élevé. Et là, on joue pleinement. Ce sont les risques que l'organisation assume délibérément dans une logique d'innovation et de compétitivité. Ces risques sont des leviers de croissance et les brider excessivement serait contre-productif. Par exemple, une organisation peut décider d'adopter rapidement une nouvelle technologie, d'ouvrir largement ses API à des partenaires externes, ou d'accélérer ses cycles de déploiement au détriment de certains tests de sécurité non critiques. Ces choix comportent des risques cyber, mais ils sont consciemment acceptés parce qu'ils servent la stratégie. La clé, c'est que ces risques soient assumés en connaissant deux causes et non subis par ignorance ou négligence. Mais comment définir et formaliser le risque appetite ? Maintenant que l'on comprend ce qu'est le risque appetite et pourquoi il est essentiel, voyons comment le définir concrètement dans une organisation. Parce que c'est là que beaucoup d'organisations butent. Le concept est séduisant en théorie et sa mise en œuvre est loin d'être triviale. Étape numéro 1. Ancrer le risque à pétail dans la stratégie de l'organisation. Le risque à pétail ne peut pas être défini en silo par le DSI ou la Direction de la cybersécurité. Il doit être une décision de gouvernance portée au plus haut niveau de l'organisation. La première question à poser est donc, quels sont les objectifs stratégiques de l'organisation pour les prochaines années ? Une organisation qui veut accélérer sa transformation digitale n'aura pas le même profil de risque qu'une organisation dont l'objectif prioritaire est la consolidation et la réduction des coûts. C'est le comité de direction, voire le conseil d'administration, qui doit répondre à ces questions. Le RSSI et le DSI sont là pour éclairer les décisions, traduire les enjeux techniques en termes business et proposer des options. Mais la décision finale sur l'appétit pour le risque appartient aux dirigeants. Étape numéro 2. Identifier et catégoriser les risques cyber de l'organisation. Avant de définir un appétit, encore faut-il savoir de quels risques on parle. Cette étape nécessite une cartographie des risques cyber de l'organisation. en tenant compte de son secteur d'activité, de son périmètre technique et de ses dépendances. Les grandes catégories de risques à considérer incluent généralement les risques d'indisponibilité des systèmes, les risques de violation de données, les risques liés à la chaîne d'approvisionnement, les risques de fraude et d'usurpation d'identité, ainsi que les risques de non-conformité réglementaire. Pour chaque catégorie, il faut évaluer deux dimensions, la probabilité d'occurrence et l'impact potentiel. C'est la combinaison de ces deux dimensions qui détermine le niveau de risque inhérent et par conséquent les mitigations à mettre en œuvre. Étape 3, formaliser le risque à pétate. Une fois les risques identifiés et la stratégie clarifiée, il faut rédiger ce qu'on appelle le « risk appetite statement » , c'est-à-dire une déclaration formelle de l'appétit pour le risque de l'organisation. Ce document, court et accessible, doit exprimer clairement pour chaque catégorie de risque le niveau d'exposition acceptable. Il ne doit pas être un document technique réservé aux experts, Au contraire, il doit être compréhensible par l'ensemble des parties prenantes, des opérateurs jusqu'aux membres du conseil d'administration. Un bon risque à péter de Statement ressemble à ceci. Par exemple, notre organisation a un appétit nul pour le risque susceptible de compromettre la disponibilité de nos services de paiement au-delà de 4 heures. Notre appétit est faible pour tout risque lié à la difficulté de données personnelles de nos clients. Notre appétit est modéré pour les risques liés à l'adoption de nouvelles technologies. à condition que les données sensibles ne soient pas impliquées. Notre appétit est élevé pour l'expérimentation et l'innovation dans des environnements isolés de production. Vous remarquez que ce type de déclaration est actionnable. Elle permet à n'importe quel responsable de prendre une décision cohérente avec la stratégie de l'organisation, sans avoir besoin de consulter sa hiérarchie pour chaque cas individuel. Étape numéro 4. Décliner le risk appetite en seuil concret. Un risk appetite statement reste un document de haut niveau. Pour qu'il soit vraiment opérationnel, il faut le décliner en seuil concret et mesurable. C'est ce qu'on appelle parfois des KRI pour Key Risk Indicator. Par exemple, si l'organisation a déclaré un appétit faible pour le risque lié aux vulnérabilités critiques non patchées, le KRI associé pourrait être aucune vulnérabilité critique non corrigée au-delà de 72 heures sur des systèmes exposés à Internet et aucune vulnérabilité critique non corrigée au-delà de 15 jours sur des systèmes internes. Ces seuils permettent de surveiller en temps réel si l'organisation se trouve bien dans les limites de son appétit déclaré et de déclencher des alertes et des actions correctives quand ce n'est pas le cas. Quels sont les pièges à éviter ? Définir un risque appetite est une bonne chose, mais il y a plusieurs erreurs classiques qui peuvent transformer cet exercice utile en exercice de style inutile. Le premier piège, c'est le risque appetite cosmétique. Certaines organisations rédigent un beau document de risque appetite, l'envoient à leur régulateur pour cocher une case, et le range dans un tiroir. Ce document ne guide aucune décision, n'est connu de personne dans l'organisation, et ce n'est jamais révisé. C'est exactement ce que ferait David Lightman s'il avait simulé toutes les parties de guerre nucléaire sur papier, sans jamais en tenir compte dans ses actions réelles. Le deuxième piège, c'est le risque à pétail déconnecté de la réalité opérationnelle. Il arrive souvent que les risques à pétail déclarés par la direction sont en total décalage avec les pratiques réelles de l'organisation. On déclare un appétit nul pour des accès non autorisés aux données sensibles, mais dans les faits, les droits d'accès ne sont jamais revus, les comptes orphelins s'accumulent et personne ne surveille les logs. Il y a une fracture entre la posture affichée et la posture réelle. Le troisième piège, c'est de vouloir un appétit pour le risque universellement bas. Certaines organisations, par excès de prudence ou par manque de réflexion stratégique, définissent un appétit quasi nul pour tous les domaines. Le problème, c'est que vouloir tout contrôler à un niveau maximum est à la fois irréaliste, coûteux et contre-productif. Des contrôles trop stricts freinent l'innovation, créent des contournements et découragent les équipes. Rappelons que même Joshua a dû apprendre à accepter que certains jeux peuvent se jouer à condition de bien définir les règles. Le quatrième piège, enfin, c'est l'immobilisme. Le risque à pétaille n'est pas une décision prise une fois pour toutes. Les menaces évoluent, la réglementation change, la stratégie de l'organisation évolue. Un risque à pétaille pertinent aujourd'hui peut devenir inadapté dans six mois. Il faut prévoir des révisions régulières, au minimum annuelles, et lorsque chaque événement majeur, comme une fusion-acquisition, un incident significatif ou un changement réglementaire important. Mais que disent les standards à propos du risque à pétaille ? Le concept de Risk Appetite est loin d'être une innovation récente, les grands référentiels de gestion des risques étant fait un élément central depuis de nombreuses années. L'ISO 31000 est la norme internationale de management du risque et place l'appétit pour le risque au cœur de son cadre. Il insiste sur le fait que l'appétit pour le risque doit être explicitement défini, communiqué à toutes les parties prenantes et intégré dans les processus de prise de décision. Le NIST Cyber Security Framework, dont nous avons déjà parlé dans d'autres épisodes, intègre également la notion de risque-tolérance comme un élément fondamental de la fonction gouvernée. Il recommande que la direction établisse et communique clairement des priorités, des contraintes et des tolérances aux risques pour guider des décisions de cybersécurité. DORA, le Règlement européen sur la résilience opérationnelle numérique du secteur financier, va encore plus loin. Il exige que les établissements financiers définissent formellement leur appétit pour le risque lié aux technologies de l'information et de la communication. et qu'ils démontrent que leurs investissements en cybersécurité sont cohérents avec cet appétit déclaré. Pour les organismes concernés, ce n'est pas une option, c'est une obligation légale. La directive 10.2 impose de son côté, aux entités essentielles et importantes, de mettre en œuvre des politiques d'analyse de risque et de cybersécurité des systèmes d'information, ce qui implique nécessairement une réflexion sur l'appétit au risque. La conclusion de tout ça, c'est qu'on peut jouer, mais en connaissance de cause. Revenons une dernière fois à David Lyman et à Joshua. Ce qui rend Wargame si puissant comme métaphore, ce n'est pas simplement la conclusion que certains jeux ne valent pas la peine d'être joués, c'est le processus qui mène à cette conclusion. Une analyse exhaustive de tous les scénarios possibles, menée de façon rationnelle pour aboutir à une décision éclairée.
Bon, la guerre mondiale dans le monde, ça stagne un petit peu, c'est au point mort, c'est dommage, mais je pense que ça peut un petit peu bouger un de ces quatre. C'est pour ça que j'ai fait appel à deux pointures en matière de la guerre. Il y a tout d'abord le colonel de la Croix, grand stratège, médaille d'or de la guerre du Tchad, et également Jacques Dufour, qui est secrétaire attaché au cabinet des affaires étrangères, grand spécialiste de la guerre. Alors, on va commencer par vous, colonel. Est-ce que vous pensez que, bon, là c'est le calme plat, mais est-ce que ça ne peut pas quand même péter un de ces quatre ?
Hélas, non. Là, je crois que les choses vont stagner dans la mesure où, de toute façon, les forces ennemies éventuelles seraient bloquées par une barrière logistique infranchissable. Je veux parler bien sûr des lances-missiles Adis Thunderbolt, placées ici, des Mirage Sol-Sol-Air-Sous-Sol-M1, placées ici, et bien sûr des M6-6BV12 qui sont toujours opérationnels sur le terrain. Donc, pas d'évolution possible.
Ouais, selon vous, donc, pas d'évolution possible. Non, vraiment.
Si je puis me permettre... Allez-y, vous êtes là pour ça. Merci. Une supposition qui reste quand même dans le domaine de l'hypothétique, il ne faut quand même pas sous-estimer les missiles TTA-31 ici, qui peuvent échapper aux missiles antimissiles de croisière Tomahawk là. Très important.
Ah d'accord, donc selon vous, peut-être une bonne nouvelle, ça peut quand même...
C'est exactement cela le risque appetite. Ce n'est pas une liste de choses interdites, ce n'est pas une posture de peur ou de paralysie, c'est une démarche rationnelle et structurée pour décider, connaissance de cause, quels risques on accepte, jusqu'où et pourquoi. Une organisation qui a formalisé son risque appetite, peut se permettre d'être audacieuse là où stratégiquement c'est pertinent. Parce qu'elle sait précisément où sont les lignes rouges. Elle peut dire oui plus facilement pour faciliter l'innovation, parce qu'elle sait dire clairement non quand les limites sont atteintes. Et contrairement à ce que pensait David Lightman au début du film, la sécurité n'est pas l'ennemi du jeu. C'est ce qui vous permet de jouer durablement et sans tout perdre d'un seul coup. Alors la prochaine fois que vous ou votre direction devez prendre une décision qui comporte une part de risque cyber, posez-vous la question que Joshua aurait dû poser dès le début. Est-ce que le jeu mérite d'être joué ? Si oui, avec quelles règles ? Encore merci d'avoir écouté cet épisode de la cybersécurité expliquée à ma grand-mère. N'hésitez pas à le liker, à le partager avec d'autres et en parler autour de vous. Si vous êtes sur Spotify, vous pouvez aussi donner votre avis, proposer des sujets qui vous semblent pertinents. Mais surtout n'oubliez pas... Pour certains, la cybersécurité est un enjeu de vieux de mort, c'est bien plus sérieux que ça.
Share
Embed
You may also like
