En cyber comme dans d’autres domaines, afin de pouvoir cartographier les menaces et déterminer les mesures efficaces de sécurité à mettre en œuvre, il est nécessaire de mener au préalable une évaluation rigoureuse des risques. Face aux cybermenaces qui sont à la fois de plus en plus présentes et de plus en plus sophistiquées, face à la multitude d’acteurs de plus en plus performante et qui souhaitent acquérir ou conserver des intérêts sur le continent africain par tous les moyens y compris des moyens cybers, l’analyse des risques est une étape cruciale pour les états africains dans la démarche de protection de leur cyberespace. Toutes les grandes puissances l’ont compris et le pratiquent avec rigueur. Ces extraits du prologue de la stratégie nationale des Etats-Unis pour les opérations du cyberespace, rendu publique par le ministère de la Défense (U.S Department of Defense), l’illustrent très justement :

“… Through the process of risk management, leaders must consider risk to U.S. interests from adversaries using cyberspace to their advantage and from our own efforts to employ the global nature of cyberspace to achieve objectives in military, intelligence, and business operations…”

“… For operational plans development, the combination of threats, vulnerabilities, and impacts must be evaluated in order to identify important trends and decide where effort should be applied to eliminate or reduce threat capabilities; eliminate or reduce vulnerabilities; and assess, coordinate, and de conflict all cyberspace operations…”

“… Leaders at all levels are accountable for ensuring readiness and security to the same degree as in any other domain…”

Ces courts extraits nous révèlent que dans leur stratégie de sécurité nationale, les États-Unis considèrent la gestion des cyber-risques comme étant le processus par lequel les dirigeants identifient les acteurs hostiles et évaluent les menaces que ces derniers font peser sur leurs intérêts dans le cyberespace, mais aussi comme un moyen d’évaluer leurs propres capacités à exploiter la nature même du cyberespace pour réaliser des objectifs stratégiques.

Ainsi, comme le recommande le guide pratique de la cybersécurité et de la cyberdéfense publié par l’OIF en 2016 (Organisation Internationale de la Francophonie), tous les dirigeants africains devraient (au moins pour ces mêmes raisons) avoir une bonne maîtrise de leur écosystème numérique, de son évolution planifiée, et donc des risques y afférent.

Comprendre le risque cyber

Un risque numérique est la possibilité qu’une menace donnée exploite les vulnérabilités d’un actif ou d’un groupe d’actifs et nuise donc à une organisation ou à un pays. Le risque est mesuré en termes de combinaison entre la vraisemblance d’un événement (probabilité qu’il se réalise) et ses conséquences (son impact concret s’il se réalisait).

La menace est la source de risque associée à sa méthode d’attaque, tandis que la vulnérabilité représente la faille existante dans le système et identifiable par la source de risque. L’exploitation de cette faille revient donc à compromettre le système.

Trouvez ci-dessous quelques formules simplifiant la compréhension du lien existant entre ces différents concepts, qui sont déterminants pour bien appréhender la notion de cyber-risque :

R = M x V  (Risque = Menace x Vulnérabilité)

M = S x A  (Menace = Source/Origine x Méthode attaque)

nR = R x P x I  (Niveau de risque = Risque x Probabilité x Impact)

Maintenant que nous avons posés ces fondamentaux, je vous invite à démarrer l’analyse proprement dite. Pour y parvenir, il existe plusieurs normes qui détaillent les raisons pour lesquelles une analyse de risque est importante et les éléments clés qu’il faut prendre en compte. La plus connue, largement utilisée par les spécialistes du monde entier, c’est la norme ISO 27005. Cependant, si cette norme vous indique bien « pourquoi » il vous faut mener une analyse de risque, elle ne vous dit pas « comment » le faire. Une méthode est donc ici nécessaire pour implémenter la norme. Là encore, il en existe plusieurs dont les plus utilisées sont OCTAVE aux Etats-Unis, puis MEHARI et EBIOS en Europe.

Dans cet article, nous utiliserons la méthode EBIOS pour proposer un schéma d’analyse de risque à l’échelle d’un pays africain (ou une organisation d’importance vitale dans ces pays), afin que ceux qui le souhaitent puissent s’en inspirer pour développer efficacement leur propre stratégie de cyberdéfense.

Développée par l’ANSSI (Agence Nationale de Sécurité des Systèmes d’Information en France), la méthode EBIOS que nous mobilisons ici s’appuie sur une démarche comprenant les cinq étapes suivantes :

– L’étude du contexte et du socle existant

– L’identification des sources de risque

– L’identification des événements redoutés et des objectifs visés

– L’étude des scénarios de menaces (stratégiques et opérationnels)

– Le traitement des risques (réduire, accepter, éviter, etc.).

Dans un premier temps, commençons par définir le périmètre de l’analyse.