L’Agence nationale de la sécurité des systèmes d’information Luxembourg (ANSSI.lu), créée en 2015, compte parmi ses missions la définition de la politique générale de sécurité de l’information de l’État luxembourgeois ainsi que l’accompagnement d’entités étatiques dans leur approche risque.
Pour quelles raisons l’ANSSI a-t-elle décidé d’utiliser MONARC ?
Tout d’abord, l’ANSSI a été sensible au fait que la méthode et l’outil MONARC ont été développés sur initiative et sous la responsabilité du Ministère de l’Économie. Ceux-ci ont fait preuve depuis plusieurs années de leur utilité pour la réalisation d’analyses de risques en matière de sécurité de l’information tant dans le secteur privé que public. L’ANSSI étant en charge d’accompagner une multitude d’entités de l’État, il fallait choisir un outil facilement adaptable au contexte spécifique de l’État en tenant compte des spécificités et de la grande diversité de ces entités, en terme de ressources humaines, de taille et de criticité des informations gérées. De plus, la flexibilité de déploiement et la facilité d’accès à l’outil ont finalement guidé l’ANSSI dans son choix.
Afin de simplifier l’adoption de l’outil MONARC, il a été nécessaire de mettre rapidement un espace de travail à disposition des entités de l’État qui souhaitent effectuer une analyse de risque. Cet espace de travail a été rendu possible par la création d’un cloud gouvernemental par le Centre des technologies de l’information de l’État (CTIE). En cas d’exigences particulières en matière de sécurité, une entité peut également déployer et utiliser l’outil dans un environnement de travail local.
Quelle est l’approche de l’ANSSI pour l’accompagnement des entités dans leur analyse de risques ?
Dans la réalisation d’une analyse de risques, l’établissement du modèle peut constituer une étape qui peut être fastidieuse, voire démotivante pour les participants. Pour remédier à cette expérience, un modèle de risques prédéfini a été développé avec l’assistance d’une société de consultance externe.
Ce modèle de risques est basé sur une « vue information » des données traitées et stockées, ainsi que les informations en transition vers l’entité ou émises par celle-ci. Il propose un ensemble initial de risques à analyser, indépendamment de la taille de l’entité, permettant un meilleur accompagnement dans cette phase préliminaire parfois difficile. Les 76 risques du modèle prédéfini sont les mêmes que les risques fondamentaux listés au sein de la bibliothèque créée par CASES.
Une fois le contexte établi, cette approche permet de procéder de façon intuitive et pragmatique à l’analyse de chacun des risques selon l’état de l’information à considérer dans le contexte des processus métier. Les échelles d’évaluation des impacts, vraisemblances et qualification, et les seuils d’acceptation des risques proposés par défaut ont été repris sans adaptation. Il est important de souligner que l’ensemble des étapes de l’analyse de risques, de l’intégration de l’outil à la présentation du rapport final, ne dure en moyenne que 5 à 6 séances d’une demi-journée.
L’ANSSI a pour mission de permettre à l’agent en charge de la sécurité de l’information d’acquérir les connaissances nécessaires. Ainsi, une fois le travail d’introduction et d’accompagnement effectué, l’agent peut agir en toute autonomie. Cette démarche permet de mobiliser des ressources limitées et de ne pas parasiter les projets métier de l’entité.
Quels sont les avantages de travailler avec CASES ?
La coopération avec l’équipe de développement de l’outil a été très fructueuse pour le projet de l’ANSSI. L’implémentation de la fonctionnalité d’exportation des analyses de risques sans textes explicatifs, notamment les mesures en place et les recommandations, permet à l’ANSSI de produire des résultats anonymisés, sans informations sensibles, et de poursuivre l’objectif de gouvernance de la sécurité de l’information. L’implémentation et la gestion de modèles de livrables personnalisés, la présentation du tableau de bord et l’exportation des valeurs brutes et des graphiques dans un fichier de traitement par un outil bureautique ont apporté une simplification considérable à la création des rapports individuels et de synthèse.
Conscient que l’analyse de risques a pour objectif de constituer une aide pour l’entité afin de s’améliorer, et non pas une corvée ou un frein, l’ANSSI félicite CASES de l’implémentation de nouvelles fonctionnalités comprenant de multiples référentiels. Ces travaux ont été demandés en vue d’une simplification pour les entités confrontées à l’adoption d’une approche risque en matière de sécurité de l’information selon les exigences de plusieurs référentiels, notamment la politique générale de sécurité de l’information de l’État luxembourgeois ou les normes internationales pour l’accréditation des laboratoires d’étalonnages et d’essais, et de biologie médicale.
Finalement, la création de la plateforme MOSP d’échange d’objets MONARC permet à l’avenir de mettre à disposition des ensembles harmonisés de risques spécifiques à un secteur d’activité ou un domaine. De tels modèles sont développés dans le cadre de la Stratégie nationale de cybersécurité III définie par le gouvernement en 2018 afin d’accompagner l’initiative Digital Lëtzebuerg.
Toutes ces extensions et améliorations permettent à l’ANSSI de remplir sa mission d’accompagnement des entités et d’obtenir une vue globale de leur maturité en matière de sécurité de l’information.