Systématisation d’une Démarche de Sécurisation par Conformité Ajustée aux Besoins et Enjeux de Sécurité – une Revue Critique Stéphane Paula, Nicolas Van Cauterb, Paul Varelab, Simon Leboeufc et Michael Catrouxc a Thales Research & Technology, 1 avenue Augustin Fresnel, 91767 Palaiseau cedex, France b Thales SIX GTS France, 4 avenue des Louvresses 92230 Gennevilliers cedex, France c Thales Services Numériques, Mérignac 33700, France Résumé Les approches pour sécuriser un système se sont longtemps organisées en deux camps. Le premier camp privilégiait une étude de la conformité vis-à-vis de référentiels génériques. L’autre camp privilégiait l’étude exhaustive de scénarios de risque en tant qu’outil support à la prise de toute décision de sécurisation. Cependant, ces approches ont montré leurs limites. L’étude par conformité est simple, mais ne colle pas forcément aux besoins et enjeux. L’étude par scénarios est exhaustive et spécifique, mais laborieuse, pour au final proposer un bon nombre de mesures de sécurité classiques. Suite à ce constat, des approches hybrides sont apparues : d’abord une étape de sécurisation par conformité, plus ou moins ad-hoc, propice à une certaine automatisation, puis une étape d’analyse par scénarios, manuelle et à dire d’expert, pour compléter le socle de mesures, si nécessaire. Ces approches hybrides rebattent les cartes d’un point de vue sociétal et d’organisation du travail. Les ingénieurs et architectes généralistes prennent l’initiative sur certaines activités de cybersécurité, libérant de fait du temps pour les experts, qui peuvent se concentrer sur des activités à haute valeur ajoutée. Cependant, le premier niveau de sécurisation par conformité reste une opération globalement mal maîtrisée qu’une automatisation pourrait simplifier. Ce papier effectue une revue critique des normes et standards actuels qui proposent cette approche hybride. Il explique notamment les fondements et les automatismes à la base de la détermination d’un socle de sécurité pour sécuriser, par conformité, au juste besoin, et en fonction des enjeux. Mots clefs1 Sécurité des systèmes d’information, management des risques, besoins et enjeux de sécurité, démarche systématique, automatisation, socle de sécurité, référentiels de mesures, conformité A critical review of approaches to securing proportionally to the needs and stakes – with automation considerations For a long time, there have been two main approaches to securing a system or organisation. On the one hand, compliance with respect to generic security baselines, and on the other, risk scenarios studies. However, these approaches have shown their limits: compliance is simple but rarely relates to the needs and stakes, whilst the risk scenario approach is exhaustive and specialised, but work intensive to propose many basic security controls. Thus, hybrid approaches have appeared. These hybrid approaches recommend first a step of securing by compliance, more or less ad hoc, conducive to a certain automation, then a step of scenario analysis, manual and based on expert judgement. These hybrid approaches reshuffle the cards from a societal and work organisation point of view, involving more the system engineers and architects, and free time for the cybersecurity experts, who can concentrate on difficult issues. However, the first step remains an operation that is still poorly controlled. This paper performs a critical review of the current norms and standards that propose this hybrid approach. It C&ESAR’21: Computer Electronics Security Application Rendezvous, November 16-17, 2021, Rennes, France EMAIL: stephane.paul@thalesgroup.com (A.1); nicolas.vancauter@thalesgroup.com (A.2); paul.varela@thalesgroup.com (A.3); simon- mickael.leboeuf@thalesgroup.com (A.4); michael.catroux@thalesgroup.com (A.5) ORCID: 0000-0003-2123-5370 (A.1), 0000-0001-9953-5360 (A.3) ©️ 2021 Copyright for this paper by its authors. Use permitted under Creative Commons License Attribution 4.0 International (CC BY 4.0). CEUR Workshop Proceedings (CEUR-WS.org) Proceedings of the 28th C&ESAR (2021) 213 Systématisation d’une Démarche de Sécurisation par Conformité Ajustée aux... explains the fundamentals and the mechanisms underlying the determination of a security baseline to secure, by compliance, in line with the needs and stakes, which can be automated. 1. Introduction scénarios de risque pour compléter ce socle, si et seulement si cela s’avère nécessaire. Ces nouvelles démarches hybrides rebattent On a pu autrefois considérer la sécurisation les cartes d’un point de vue sociétal et des systèmes comme une combinaison coûts / d’organisation du travail. En effet l’approche délais qui pénalise la mise sur le marché ou la par scénarios a historiquement cantonné la mise en service opérationnel. Un discours plus sécurisation des systèmes aux mains des seuls moderne intègre la sécurisation des systèmes spécialistes en sécurité de l'information, dans une démarche qualité. On parle alors de entrainant de fait une faible implication des système de management et d’amélioration métiers. A l’opposé, l’approche par conformité continue de la sécurité, en posant en filigrane la permettait sans doute trop facilement aux question du coût de l’insécurité. métiers de ne pas faire appel à ces mêmes Les approches pour sécuriser un système (ou spécialistes. Les démarches hybrides ouvrent la une organisation) se sont longtemps organisées voie à un réel rééquilibrage : les ingénieurs et en deux camps. Le premier camp privilégiait architectes généralistes prennent l’initiative sur une approche par conformité vis-à-vis de certaines activités d’ingénierie de la cyber- référentiels de mesures de sécurité. Le sécurité. Ils libèrent ainsi du temps pour les représentant le plus emblématique de ces experts, qui peuvent se concentrer sur des référentiels est le recueil de bonnes pratiques activités à haute valeur ajoutée. pour le management de la sécurité de Cependant, pour les ingénieurs et architectes l’information [1] du département du commerce généralistes qui font leurs premiers pas en et de l’industrie du gouvernement anglais de cybersécurité, mais aussi pour les spécialistes 1992, devenu successivement le BS 7799 en habitués à procéder uniquement par scénarios 1995, puis l’ISO/CEI 17799 en 2000, et enfin de risque, ce premier niveau de sécurisation l’ISO/CEI 27002 [2] en 2007. A l’opposé, le avec un socle de sécurité reste une opération second camp privilégiait une étude exhaustive globalement mal maîtrisée qu’une automati- de scénarios de risque, potentiels ou avérés, en sation pourrait simplifier. tant qu’outil support à la prise de toute décision Nous avons introduit la notion de socle de de sécurisation. Les représentants de cette sécurité. Il s’agit d’un ensemble d’exigences de approche incluent l’ISO/CEI 27005 [3], le NIST sécurité, issues de textes réglementaires, de SP 800-30 [4], MEHARI [5], MAGERIT [6] ou normes et standards (notamment les guides les évolutions de la méthode EBIOS [7] jusqu’à d’hygiène), d’obligations contractuelles, et/ou la version EBIOS-2010 incluse. de la politique de sécurité des systèmes Ces deux approches ont montré leurs limites. d’information interne à l’organisation. La Selon une estimation du BSI [8], l’étude par définition de ces socles de sécurité peut être conformité traite efficacement au mieux 80% systématisée, voire automatisée. Pour un des menaces, notamment celles qui sont de système, une ligne de produits ou une niveau faible à moyen. De plus, les mesures organisation, la définition d’un socle de sécurité issues de cette approche ne sont pas toujours permet d’imposer un ensemble de mesures de finement adaptées au besoin : elles peuvent être sécurité sans qu’il ne soit nécessaire de justifier insuffisantes ou excessives. A contrario, l’étude chaque mesure par l’identification des risques. exhaustive par scénarios de risques permet une La justification est apportée indépendamment couverture au plus juste, avec des mesures de de l’étude par l’historique des atteintes passées sécurité ad hoc, mais elle est très couteuse. et/ou par le niveau de maturité que l’organisa- Suite à ce constat, ces deux approches ont tion cherche à atteindre et/ou par un lien préala- actuellement tendance à fusionner pour donner blement établi entre ces mesures de sécurité et des démarches hybrides, avec la promesse du les menaces qui pèsent sur le sujet de l’étude. meilleur des deux mondes : d’abord une Devant la montagne de référentiels de sécurisation par conformité vis-à-vis d’un socle processus, de patrons d’architecture et/ou de de mesures de sécurité relativement ajusté aux mesures de sécurité disponibles, il n’est pas besoins et enjeux de sécurité, puis une étape par toujours facile de faire un choix éclairé, de distinguer le nécessaire du superflu. Juste pour 214 Proceedings of the 28th C&ESAR (2021) S. Paul, N. Van Cauter, P. Varela et al citer quelques exemples, il existe des standards 2. Besoins et enjeux de sécurité de cybersécurité :  Génériques, e.g., les familles ISO/CEI 27k Lorsqu’on réalise une étude de sûreté de [9], NIST SP 800 [10], les mesures fonctionnement dans le monde de l’avionique, minimum de sécurité de l’ENISA [11] issues une donnée d’entrée importante est le niveau des travaux de la directive européenne cible de sûreté de fonctionnement à tenir, 2016/1148 [12] (usuellement désignée sous généralement exprimé en nombre d’accidents les noms de Directive SRI) ou encore, l’IT- par heure de vol, typiquement 10-7. L’étude Grundschutz Kompendium [13], consistera alors à s’assurer que cette cible est  Par profil technique, e.g., ISA/CEI 62443 atteinte, éventuellement avec une petite marge. [14] pour les systèmes de contrôle Lorsque l’on réalise une étude de cyber- industriels, ou SecNumCloud [15] pour sécurité, il n’y a personne pour nous fixer une l’informatique en nuage, telle cible. Viser trop bas expose l’organisation  Par domaine d’activité, e.g., l’ISO/CEI à des conséquences qu’elle ne pourra peut-être 80001 [16] pour les équipements médicaux, pas assumer. Viser trop haut engendre des coûts l’ISO/SAE DIS 21434 [17] pour l’informa- injustifiables. Alors, comment déterminer le tion automobile, ou PCI [18] pour la juste besoin2 de sécurité ? et comment s’assurer protection des données de comptes. d’une sécurisation proportionnée aux enjeux ? Par ailleurs, les démarches hybrides les plus matures ne font pas que juxtaposer une approche par conformité et une approche par 2.1. Identifier les besoins scénario. La détermination du socle de sécurité devient une activité d’ingénierie à part entière, Le besoin de sécurité est intrinsèquement lié afin que ce dernier soit le plus adapté possible au domaine d’activité. On sent confusément que aux besoins et enjeux de sécurité du contexte la détermination du besoin n’est pas du ressort étudié. Un socle bien ajusté réduit l’étude par du seul spécialiste en cybersécurité. Ce dernier scénario de risque au minimum. Typiquement, doit solliciter le support de la direction pour il n’est plus question d’appliquer toutes les comprendre la politique / stratégie de l’organi- mesures d’un référentiel (e.g., l’ISO/CEI 27002 sation et des experts métier pour comprendre les [2]) sans réfléchir au préalable à l’adéquation raisons qui sous-tendent les besoins exprimés. entre ces mesures et les besoins et enjeux. L’objectif est de déterminer avec eux le seuil de Cette publication analyse comment les perturbations à partir duquel le système n’est nouvelles démarches hybrides aident à sécuriser plus considéré en fonctionnement nominal. un système par conformité au juste besoin et/ou De façon générale, les besoins de sécurité de façon proportionnée aux enjeux. Elle s’expriment en termes de critères de commence par définir ce qu’est le juste besoin disponibilité, d’intégrité et de confidentialité et la notion d’enjeu (cf. chapitre 2). La maîtrise (D-I-C) vis-à-vis de leurs valeurs métier. préalable de ces notions est un prérequis à Certaines communautés peuvent y rajouter l’automatisation de l’identification du socle de d’autres critères, comme par exemple sécurité. Elle dresse ensuite un panorama de l’authenticité dans la directive SRI [12]. plusieurs démarches hybrides, en détaillant La première étape pour l’identification du comment chacune propose de déterminer le besoin consiste à sélectionner, avec les experts socle de sécurité (chapitre 3) ; l’automatisation métier, les critères de sécurité pertinents. de cette détermination est discutée. Enfin, une Chacun de ces critères s’exprime avec une synthèse met en avant les forces et faiblesses échelle. La définition de l’échelle dépend du des différentes méthodes (cf. chapitre 4). Ce domaine, voire de l’organisation, ou du système papier n’aborde pas le volet de sécurisation par étudié dans son contexte d’emploi. Pour une scénario des différentes méthodes car, étant activité de contrôle aérien, l’échelle pour le actuellement avant tout à dire d’experts, il ne se critère de disponibilité s’exprimera vraisembla- prête pas trivialement à une automatisation. blement en millisecondes d’indisponibilité. Par contraste, pour un travail administratif / 2 Dans ce contexte, deux notions sont couramment utilisées, sécurité. Nous utiliserons ici les définitions de l’ISO/CEI 27003 parfois à tort : celle de besoin de sécurité et celle d’objectif de [17]. Proceedings of the 28th C&ESAR (2021) 215 Systématisation d’une Démarche de Sécurisation par Conformité Ajustée aux... bureautique, l’échelle s’exprimera probable- associé une gravité. La gravité est une mesure ment en nombre d’heures d’indisponibilité. des enjeux liés à la non-tenue du besoin. Toujours avec les experts métier, la seconde Comme les besoins de sécurité, la gravité étape pour l’identification du besoin consiste à s’exprime au moyen d’une échelle. Voici fixer, pour chaque critère de sécurité, les quelques exemples : différents niveaux au sein de cette échelle. Il  Le guide de la méthode EBIOS - Risk faut ici se poser la question du sens de chaque Manager [19] définit une échelle de 4 échelon. Par exemple, y-a-t-il une vraie niveaux : G1 – mineure, G2 – significative, différence opérationnelle entre un temps de G3 – grave, et G4 – critique ; réponse du système de 50 ms et un temps de  Le NIST FIPS 199 [20] définit une échelle à réponse de 200 ms ? Si oui, alors un palier peut 3 niveaux de gravité : Low (faible), effectivement être défini. Moderate (modérée) et High (élevée) ;  La société Thales définit, dans les guides de Événement Redouté : cybersécurité [21] [22] pour ses propres indisponibilité > 6h architectes système, une échelle à 5 niveaux, Sujet de l’étude en mode Sujet de l’étude en numérotée de 1 à 5. dégradé ou gestion de crise fonctionnement nominal Dans la mesure où un événement redouté Faible Standard Elevée Forte traduit une sortie du mode nominal, il est (<24h) (<12h) (<6h) (<1h) possible de lister les conséquences négatives de la survenue de cet événement, et d’accoler à Besoin de sécurité non satisfait Besoin de chaque conséquence un niveau d’impact. => le niveau d’impact définit la sévérité de l’ER sécurité Le niveau d’impact s’exprime lui aussi au exprimé moyen d’une échelle. Là encore, la liste des Figure 1 : Définition du besoin en disponibilité conséquences, avec leurs types et leurs niveaux d’impact, peut être définie spécifiquement pour Supposons par exemple une échelle pour le l’étude, reprise d’un guide méthodologique, critère de disponibilité (cf. Figure 1), avec d’une norme ou d’un standard ou mieux encore, quatre niveaux (Faible, Standard, Elevée, Forte) du référentiel de l’organisation. Typiquement, définissant la durée d'indisponibilité maximale le standard anglais HMG Information autorisée pour une valeur métier (respective- Assurance Standard No.1 [23] définit plusieurs ment 24h, 12h, 6h et 1h). échelles de niveaux d’impact pour différents La troisième et dernière étape pour secteurs d’activité, dont la défense, les relations l’identification du besoin consiste à déterminer internationales, le commerce, les infrastructures le seuil à partir duquel le sujet de l’étude quitte critiques, ou encore la vie et la santé des son fonctionnement nominal, et rentre en personnes (cf. Table 1). gestion de crise. Ce seuil est une ligne rouge que La définition des échelles de gravité et de la valeur métier ne doit pas franchir (cf. Figure niveaux d’impact doit s’accompagner d’une 1). Sur l’échelle du critère de sécurité, le dernier mise en relation entre les niveaux d’impacts et niveau acceptable avant le franchissement de ce les niveaux de gravité. Par exemple, si l’on seuil est défini comme étant le besoin de retient l’échelle de gravité du guide de la sécurité pour ce critère. Le franchissement de méthode EBIOS - Risk Manager [19] et ce seuil s’appelle un événement redouté. Dans l’échelle d’impacts du standard anglais HMG l’exemple de la Figure 1, le besoin est exprimé Information Assurance Standard No.1 [23], on pour une disponibilité Elevée, et l’événement pourrait choisir de dire que : redouté correspond à une indisponibilité de la  Les niveaux d’impact 0 à 2 correspondent à valeur métier allant au-delà des six heures. une gravité G1 – mineure ; Le besoin de sécurité étant maintenant  Le niveau d’impact 3 correspondent à une identifié, il convient de déterminer la gravité du gravité G2 – significative ; franchissement de la ligne rouge.  Le niveau d’impact 4 correspondent à une gravité G3 – grave ; 2.2. Identifier les enjeux  Les niveaux d’impact 5 à 6 correspondent à une gravité G4 – critique. En correspondance du besoin de sécurité, et de l’évènement redouté qui en découle, est 216 Proceedings of the 28th C&ESAR (2021) S. Paul, N. Van Cauter, P. Varela et al Table 1 Extrait et traduction du standard anglais HMG Information Assurance Standard No.1 Catégorie Niv. 0 Niv. 1 Niv. 2 Niv. 3 Niv. 4 Niv. 5 Niv. 6 Vie et santé Inconfort Atteinte à la Atteinte à la Atteinte à la Perte massive des gens d’un sécurité ou la sécurité ou la vie d’un de vies individu liberté d’un liberté d’un groupe groupe de humaines individu de personnes personnes Une fois établi la corrélation entre niveaux le non-respect de ce besoin (c'est à dire une in- d’impacts et niveaux de gravité, il suffit de lister disponibilité totale nécessitant une intervention les conséquences d’un événement redouté pour manuelle de réparation) serait catastrophique, en déduire la gravité. De plus, cette corrélation car synonyme de la perte définitive de la sonde. peut être réutilisée à travers plusieurs études. Intégrité. L’illustration avec le critère Elle assure une automatisation3 de l’identifica- d’intégrité est un peu plus délicate car les tion de la gravité, ainsi qu’une cohérence des échelles d’intégrité sont moins intuitives. appréciations à travers les différents interve- Définissons l’échelle suivante pour l’intégrité nants sur une étude. En effet, le travail sur les d’une information : seules conséquences est souvent plus objectif  I1 : la donnée peut être corrompue ; que le choix d’un niveau de gravité ex nihilo.  I2 : la donnée peut être corrompue, mais cet état de corruption est alors connu ; 2.3. Besoins versus enjeux  I3 : comme I2, mais un moyen est offert pour solliciter à nouveau la donnée jusqu’à ce Dans notre démarche jusqu’ici, nous avons qu’elle soit intègre ; montré comment identifier un besoin de  I4 : la donnée est toujours intègre. sécurité, puis comment estimer l’enjeu du non- En s’appuyant sur cette échelle d’intégrité, il respect de ce besoin au moyen de la gravité de va être illustré que les conséquences du non- l’événement redouté associé. A ce stade, il est respect de l’intégrité d’une donnée classée I2 fréquent de faire un amalgame entre niveau du peuvent être plus graves que le non-respect de besoin de sécurité et gravité du non-respect de l’intégrité d’une donnée classée I4. Ainsi les ce besoin. Il est en effet assez intuitif de penser informations de positions et de vitesses des que plus le besoin serait fort, et plus la gravité avions données par un radar primaire à un de sa violation serait forte. Ceci n’est pourtant contrôleur aérien sont classées I2. Une position pas toujours vrai. Pour les trois critères (i.e. corrompue mais signalée comme intègre par le disponibilité, intégrité et confidentialité), nous système, et donc interprétée comme intègre par allons présentement montrer qu’il est possible le contrôleur aérien, peut mener à un accident qu’un besoin soit exprimé en bas de l’échelle entre deux avions. Du point de vue d’un des besoins, mais que son non-respect soit criti- passager, cela peut signifier sa mort. A que, ou qu’inversement, un besoin soit exprimé l’inverse, il est crédible d’imaginer que la en haut de l’échelle, mais que les conséquences consommation électrique d’un ménage français, de son non-respect soient mineures. calculé par le compteur Linky, est classée I4. Disponibilité. Soit un système de communi- Du point de vue d’un consommateur lambda, cation radio de haute disponibilité pour une une erreur d’intégrité sur son compteur équipe d’intervention au sol. En cas de perte de entrainera au plus une sur- ou une sous- la communication, la gravité ne serait que facturation de quelques centaines d’euros. modérée, car une procédure consistant à Confidentialité. Soit une information envoyer une équipe de récupération sur la classifiée au niveau Confidentiel – Union dernière position connue est une solution Européenne (C-UE) et une autre information envisageable techniquement à un coût tolérable. classifiée au niveau Secret – Union Européenne A l’inverse, le niveau de disponibilité exprimé (S-UE). Ces deux classifications relèvent du pour un système de contrôle d’une sonde pénal, cependant le code pénal français (art. spatiale peut être assez faible, alors même que 411-7 et 413-10) retient comme critère discriminant, non pas le niveau de sensibilité de 3 Si la méthode est outillée, il est souhaitable que la gravité une valeur proche (plus forte ou plus faible), dans la mesure où calculée puisse éventuellement être remplacée manuellement par cette modification est explicitement justifiée. Proceedings of the 28th C&ESAR (2021) 217 Systématisation d’une Démarche de Sécurisation par Conformité Ajustée aux... l’information compromise (i.e. son besoin de moins résistants aux attaques, sans compter la sécurité), mais le niveau d’intentionnalité de la qualité de l’implémentation de ces algorithmes. compromission. Ainsi la peine encourue pour Dans le cas du système d’enchères, le niveau une compromission intentionnelle d’une d’impact d’une altération de la trace serait information p. ex. C-UE est plus lourde (10 ans vraisemblablement modéré : impact financier, d’emprisonnement et 150 000€ d’amende) que impact d’image. Dans le cas du système de tir, pour la compromission par négligence d’une le niveau d’impact d’une altération des information p. ex. S-UE (3 ans d’emprison- coordonnées serait vraisemblablement critique : nement et 45 000€ d’amende). impact sur la vie humaine, impact juridique, Nous venons de montrer que les niveaux du impact géopolitique. De ces différentes besoin de sécurité et de gravité de l’évènement gravités, on peut justifier les deux décisions redouté associé (c'est à dire l’enjeu) ne suivantes. Pour le site d’enchères, une fonction représentent pas la même chose. Ce sont deux de hachage de type MD5 issue d’une dimensions complémentaires utiles pour la bibliothèque standard en source ouverte. Pour le détermination des mesures de sécurité. Le système de missiles, une fonction de hachage de niveau des besoins de sécurité détermine le type SHA-2 issue d’une bibliothèque de « niveau de force » à mettre dans les mesures de fonctions cryptographiques ayant fait l’objet sécurité, tandis que les enjeux déterminent le d’une preuve formelle de niveau EAL7. Ces « niveau de garantie » sur l’efficience de ces deux décisions, qu’on pourrait qualifier ici de mesures. raisonnables, résultent en fait de l’aversion au Ces deux leviers fonctionnent selon des risque du décisionnaire. Elles sont automati- logiques différentes. Le besoin de sécurité sables sous condition d’une très bonne maîtrise exprime le coût à faire de la sécurité. Plus le des notions de besoin et d’enjeu de sécurité. niveau du besoin de sécurité est élevé, plus les mesures de sécurité devront être fortes, et donc 2.4. Conclusion partielle généralement coûteuses. Par contraste, la gravité de l’évènement redouté exprime le coût Nous avons rappelé (cf. chapitre 1) que les à ne pas faire suffisamment de sécurité pour empêcher l’événement redouté de survenir. Il ne nouvelles démarches de sécurisation hybrides s’agit pas là de mettre en place des fonctions de procèdent en deux étapes : d’abord une sécurité plus fortes, mais de s’assurer de la sécurisation par conformité vis-à-vis d’un socle bonne mise en œuvre, de la résistance et/ou de de mesures de sécurité plus ou moins ad-hoc, la résilience des mesures précitées. Cela se puis une étape par scénarios de risque pour traduit généralement par des mesures de compléter ce socle, si nécessaire. Nous avons ensuite montré (cf. chapitre 2) vérification et validation. Une bonne maîtrise de la distinction entre ces deux notions est primor- comment le besoin de sécurité et la gravité du diale pour l’automatisation du choix du socle de non-respect de ce besoin sont deux notions sécurité. Le niveau du besoin de sécurité complémentaires qui doivent être utilisées de guidera la sélection des mesures de sécurité concert pour déterminer les mesures de sécurité fonctionnelles et non-fonctionnelles les mieux fonctionnelles, et le niveau des enjeux guidera le choix des mesures de sécurité non- ajustées aux besoins et aux enjeux de sécurité. fonctionnelles complémentaires pour obtenir le Nous allons maintenant voir (cf. chapitre 3) niveau de garantie requis sur l’efficience des que ce type de raisonnement sur les besoins et mesures de sécurité fonctionnelles. les enjeux, auquel il faut ajouter la prise en Exemple. Soient deux informations que l’on compte du niveau des cyberattaques, est à la veut intègres durant tout leur cycle de vie (i.e. base de la détermination des socles de sécurité niveau I4 dans l’échelle donnée ci-dessus). de la plupart des nouvelles démarches hybrides. D’un côté la trace d’un système d’enchères en En effet, alors que les approches par conformité ont tendance à appliquer sans état d’âme un ligne entre particuliers ; la trace doit servir de preuve en cas de contestation. De l’autre côté, catalogue entier de mesures de sécurité (e.g. les coordonnées d’une cible affectée à un l’ISO 27001 et son catalogue ISO 27002), les missile. Dans les deux cas, le besoin d’intégrité démarches hybrides tendent à sélectionner, plus ou moins finement, les mesures à insérer dans implique l’usage d’une fonction de hachage cryptographique. Cependant, il existe un grand le socle. Cette sélection fine se fait sans réaliser nombre d’algorithmes de hachage, plus ou 218 Proceedings of the 28th C&ESAR (2021) S. Paul, N. Van Cauter, P. Varela et al d’analyse de risque à proprement parler, systèmes ou organisations faisant face aux notamment sans analyse de vulnérabilités. attaques les plus avancées et dont le socle de Ce qui est particulièrement intéressant, c’est sécurité aura été préalablement implémenté. Il que la démarche de détermination du socle peut est à noter que la méthode fait l’hypothèse que être systématisée, et mise à la portée de tous, y les risques accidentels et environnementaux compris des non-spécialistes en cybersécurité. sont entièrement traités par le socle de sécurité. Nous allons maintenant effectuer un état de De ce fait, l’appréciation des risques par l’art des principales démarches hybrides qui scénarios ne s’intéresse qu’aux seuls risques instancient toutes plus ou moins ce numériques intentionnels. cheminement. Nous discuterons ensuite de l’automatisation possible de ces démarches. 3. Les grandes démarches hybrides Toutes les démarches de management des risques présentées ci-dessous préconisent une sélection d’un socle de sécurité en préalable à une évaluation des risques de sécurité à base de scénarios. Leur choix a été motivé par le fait qu’il existe d’importantes disparités entre elles sur la façon de déterminer ce socle, avec des compromis sur la simplicité de la démarche, et la généricité du résultat, notamment sur le niveau d’ajustement du socle aux besoins et aux Figure 2 : Pyramide du management du risque enjeux. Cet état de l’art ne s’intéresse qu’à la partie Concernant les règles d’hygiène, l’ANSSI méthodologique concernant la sélection d’un propose un catalogue de 42 mesures [24]. Ce socle de sécurité et sa potentielle automati- catalogue est structuré en règles de niveau sation. Elle ne présente pas la démarche globale standard ou de niveau avancé. de management des risques. En complément, pour aussi couvrir les attaques élaborées, l’ANSSI a publié ces dernières années un certain nombre de guides de 3.1. EBIOS - Risk Manager bonnes pratiques sur des thématiques précises, avec en fil rouge une approche par niveaux de La sécurisation par conformité est une des mise en œuvre, dite MIRE (pour Minimal, nouveautés de la méthode EBIOS - Risk Intermédiaire, Renforcé, Elevé), qui facilite Manager [19] par rapport à l’ancienne version l’extraction automatique des règles. Pour le de la méthode, dite EBIOS-2010. Avec EBIOS cadre réglementaire, la méthode renvoie vers - Risk Manager, le socle est déterminé selon la une page web [25]. Cependant les textes qui s’y pyramide du management du risque numérique trouvent n’ont pas été rédigés en ayant à l’esprit (cf. Figure 2). Par postulat, une bonne hygiène leur utilisation pour construire un socle de informatique générique [24] permet de lutter sécurité. En attendant leur mise à jour, leur efficacement contre les attaques simples. Pour traitement automatisé n’est pas aisé. des cyberattaques de niveau élaboré, le socle Pour finir, il est à regretter que la méthode doit s’enrichir des normes et textes règlemen- n’explique ni comment doit se faire la sélection taires applicables. Selon l’Agence Nationale de des référentiels, ni le niveau de granularité ou la Sécurité des Systèmes d'Information de profondeur attendu. Les règles des guides de (ANSSI), le socle de sécurité est donc donné bonnes pratiques, avec leur niveau MIRE pour un niveau donné de cyber-attaques, en associé, peuvent cependant être un bon point de l’occurrence de simple à élaboré. On retrouve départ. L’utilisation de ces niveaux permet ici en filigrane le résultat de l’étude du BSI [8] l’établissement de groupes de mesures de indiquant que le socle de sécurité permettrait de sécurité à appliquer de manière automatique traiter 80% des attaques. dans des exigences projets en fonction du Selon la méthode, l’appréciation des risques besoin de sécurité exprimé. par scénarios n’est réalisée que pour les Proceedings of the 28th C&ESAR (2021) 219 Systématisation d’une Démarche de Sécurisation par Conformité Ajustée aux... 3.2. NIST gravité des enjeux. L’échelle de gravité à utiliser est définie par le NIST FIPS-199 [20]. Ce standard définit, pour chacun des trois Le cadre de management du risque du NIST critères D-I-C, trois niveaux possibles de SP 800-37 [26] définit deux approches pour gravité : Low (faible), Mod (modéré) et High sélectionner un socle de sécurité : soit par la (élevé). sélection d’un profil générique, soit par la Un préalable à l’utilisation du NIST SP 800- sélection d’un profil ad-hoc. 53B est la catégorisation du système. Cette Le NIST SP 800-53B [27] est un bon catégorisation consiste à définir un niveau exemple de profil relativement générique. Ce d’enjeu unique pour tout le système. standard s’applique à toutes les informations et Selon le NIST FIPS 200 [32], ce niveau tous les systèmes du gouvernement fédéral d’enjeu unique, transverse aux différents américain (cf. Figure 3). Les standards NIST critères de sécurité, est défini comme étant égal SP800-171 [28] et NIST SP800-172 [29] sont à la plus forte des gravités de tous les de bons exemples de profils ad-hoc. Ces événements redoutés. derniers s’appliquent uniquement à la confiden- La Figure 3 illustre un extrait du NIST SP tialité des informations contrôlées non classi- 800-53B focalisé sur la famille des mesures de fiées du gouvernement fédéral lorsqu’elles sont contrôle d’accès. Elle montre notamment que, manipulées par un système non fédéral. quels que soient les enjeux, la définition de la Les mesures incluses dans les profils du politique et des procédures de contrôle d’accès NIST SP 800-53B sont celles des catalogues (AC-1), ainsi qu’une gestion des comptes (AC- NIST SP 800-53 [30] et NIST SP 800-53A [31]. 2) sont nécessaires. En revanche, l’automati- Ces catalogues listent un ensemble de près d’un sation de cette gestion des comptes (AC-2(1)) millier de mesures de sécurité, respectivement n’est requise que lorsque la gravité des enjeux fonctionnelles et non-fonctionnelles, réparties est Mod (modéré) ou High (élevé). en vingt familles. Pour les informations et Les standards NIST SP 800-171 et NIST SP systèmes du gouvernement fédéral américain, 800-172 s’appuient eux aussi sur les catalogues les profils du NIST SP 800-53B sont NIST SP 800-53 et NIST SP 800-53A, mais la sélectionnés exclusivement en fonction de la sélection des socles n’est plus basée exclusi- vement sur la gravité des enjeux. Figure 3 : Famille de mesures de contrôle d’accès du NIST SP 800-53B Figure 4 : Famille de mesures de contrôle d’accès du CNSS 1253 220 Proceedings of the 28th C&ESAR (2021) S. Paul, N. Van Cauter, P. Varela et al La sélection s’appuie aussi sur le besoin de disponibilité ou d’intégrité peut conduire à un sécurité (en l’occurrence ici, la confidentialité accident d’avion, et la perte de centaines de vies des informations contrôlées non classifiées), et humaines. Selon le NIST, le système serait donc le niveau des cyberattaques. Notamment, le catégorisé selon le profil de gravité High NIST SP 800-171 définit un profil (élevée), ce qui impliquerait un niveau élevé correspondant à un sous-ensemble du profil aussi pour les exigences en confidentialité, et Mod (modéré) du NIST SP 800-53B, en ne donc le chiffrement de toutes les communi- retenant que les exigences pertinentes vis-à-vis cations sol-bord. Ceci ne serait pas une solution de la confidentialité. Les exigences du NIST SP commercialement acceptable. La démarche de 800-172 complètent celles du NIST SP 800-171 la NSA est donc extrêmement efficace dans la pour lutter plus efficacement contre des recherche d’une sécurisation qui soit à la fois au menaces persistantes avancées (APT). De fait, juste besoin et en adéquation aux enjeux. les standards NIST SP 800-171 et NIST SP800- 172 peuvent aussi être vus comme les réponses 3.4. BSI IT-Grundschutz à un même niveau de besoin de sécurité face à deux niveaux différents de cyberattaque. Les standards proposés par le NIST sont les L’approche du BSI pour la détermination du plus avancés en matière d’automatisation. Leur socle de sécurité s’appuie sur deux documents : utilisation importante, notamment sur le marché le BSI-Standard 200-2 [34], qui définit la américain, permet à la communauté scientifique méthode, et le référentiel IT-Grundschutz- Kompendium [13]. de bénéficier de ces bases sous différents formats (Excel, OSCAL, etc.) permettant de les La méthode introduit trois profils de intégrer facilement dans des outils de gestion protection nommés Basic (de base), Core d’exigences et de conformité, ou bien dans des (fondamental) et Standard. Une des originalités de l’approche du BSI est que ces profils outils de déploiement automatique de mesures comprennent à la fois un processus de de sécurité, comme cela sera expliqué par la sécurisation et un socle de mesures de sécurité suite dans cette publication. adaptés à la problématique. Le profil de protection Basic offre un processus de 3.3. NSA sécurisation simple et une hygiène de base pour les petites entreprises ou celles à faible maturité La démarche de la NSA est une amélioration en cybersécurité. Le profil de protection Core de la méthode du NIST. Elle est basée sur le vise uniquement le sous-ensemble fondamental même jeu de documents, sauf que le NIST SP des processus et des ressources d'une organisa- 800-53B [27] est remplacé par le CNSS 1253 tion, les fameux joyaux de la couronne. Le [33]. Le CNSS 1253 propose lui aussi un profil de protection Standard offre un niveau de découpage des mesures du NIST SP 800-53 en sécurité uniformément haut. Il représente trois profils correspondant à la gravité des l’approche classique de l’IT-Grundschutz, et est enjeux de sécurité, cependant il le fait cette fois celui qui développe le plus loin l’utilisation du pour chacun des trois critères de sécurité socle de mesures de sécurité. Notamment, il (disponibilité, intégrité et confidentialité) permet d’affiner le choix des exigences en indépendamment. fonction des enjeux (c'est à dire la gravité des La Figure 4 illustre un extrait du CNSS 1253 conséquences du non-respect des besoins de focalisé sur les mesures de contrôle d’accès. sécurité). Le BSI-Standard 200-2 [34] définit Elle montre que, quels que soient les enjeux, la trois niveaux d’enjeux : Normal, Haut, et Très définition de la politique et des procédures de Haut. Ces niveaux n’influencent cependant qu’à contrôle d’accès est toujours nécessaire. En la marge le choix des exigences. revanche, une gestion des comptes n’est Une particularité du catalogue de l’IT- nécessaire que pour assurer la confidentialité et Grundschutz est de mettre en relation des l’intégrité du système. menaces élémentaires et les exigences qui L’approche de la NSA comble ainsi le défaut contribuent à leur couverture. Cette matrice (cf. majeur de l’approche du NIST, notamment pour Figure 5) peut être vue comme le lien entre le les systèmes civils et commerciaux. Par référentiel de sécurité et le résultat d’une exemple, sur un système de contrôle de trafic analyse de risque exhaustive par scénario basée aérien, une violation des besoins de sur l’étude des menaces élémentaires. Elle Proceedings of the 28th C&ESAR (2021) 221 Systématisation d’une Démarche de Sécurisation par Conformité Ajustée aux... permet notamment de faire le lien entre une 3.5. ISA/CEI 62443 non-conformité par rapport au socle de sécurité et les analyses par scenarios : une non- L’ISA/CEI 62443 [14] définit cinq niveaux conformité sur une mesure de sécurité permet de sécurité qui traduisent la résistance d’un de manière automatique d’identifier la ou les système de contrôle industriel à différentes menaces élémentaires à intégrer dans les classes d'attaquants : scenarios de risque. La réciproque est égale-  SL 0: aucune exigence ou protection parti- ment vraie : l’utilisation de cette matrice permet culière n'est requise. de venir enrichir le socle de sécurité de manière automatique suite à l’identification de menaces  SL 1: protection contre les abus involon- élémentaires utilisées pour la définition de taires ou accidentels. scenarios de risques critiques pour l’organisat-  SL 2: protection contre les abus intention- ion. Cette approche structurée et systématique nels par des moyens simples avec peu de participe à donner des capacités d’automati- ressources, des compétences générales et sation du socle de sécurité. Le BSI se sert de une faible motivation. cette approche pour justifier de l’inutilité d’une  SL 3: protection contre une utilisation analyse de risque par scénarios à part entière abusive intentionnelle, par des moyens pour les systèmes d’information (SI) courants, sophistiqués, avec des ressources modérées, et cela sans remettre en cause la qualification à des connaissances spécifiques, et une une certification ISO/CEI 27001 [35]. En motivation modérée. revanche, pour les SI le nécessitant, le BSI pro-  SL 4: protection contre les utilisations pose bien une méthode d’analyse par scénario abusives intentionnelles, à l'aide de moyens (cf. BSI-Standard 200-3 [36]) pour compléter le sophistiqués, dotés de ressources étendues, socle de sécurité de manière ad hoc. de connaissances spécifiques et d'une forte motivation. Une fois le niveau de protection choisi, il suffit de sélectionner les mesures correspon- dantes au sein du catalogue. Cette sélection peut donc être réalisée de manière automatique. La Figure 6 illustre un extrait de l’ISA/CEI 62443-3-3 [37] concernant la famille des mesures d’identification et d’authentification. On peut y voir qu’un système d’identification et Figure 5 : Exemple de mise en relation de d’authentification est requis quel que soit le menaces et d’exigences de sécurité (BSI) niveau de sécurité, mais qu’une authentification unique n’est requise qu’à partir du niveau SL 2, Une autre particularité du catalogue de l’IT- et qu’une authentification multi-facteurs n’est Grundschutz est son niveau de détail. La plupart requise qu’à partir des niveaux SL 3 ou SL 4, des catalogues standardisés sont neutres au selon que le réseau soit ou non de confiance. niveau politique, et neutres au niveau technolo- L’ISA/CEI 62443 organise ses mesures de gique. Ce n’est pas le cas du catalogue de l’IT- sécurité en sept familles. Une des particularités Grundschutz, qui aborde par exemple les de l’approche est que le niveau de sécurité peut différentes versions du système d’exploitation être variable d’une famille à l’autre. On parle Windows, et bien d’autres technologies, e.g. alors de vecteur de niveaux de sécurité. Par l’internet des objets, l’informatique dans les contre, au sein d’une famille donnée, toutes les nuages, la 5G, etc. mesures d’un niveau doivent être sélectionnées Pour éviter l’obsolescence de son catalogue, pour valider le niveau. le BSI le met à jour annuellement, du moins Par ailleurs, pour éviter d’imposer un même dans sa version officielle, qui est en allemand. jeu de mesures, éventuellement très contrai- Une traduction en anglais en est assez souvent gnant, à tout le système, l’ISA/CEI 62443 proposée, sur la base du final draft de la version prévoit un découpage du système en zones et allemande, donc sans support officiel par le conduits. La détermination du socle se fait alors BSI. par zone, en fonction du niveau de sécurité requis pour chaque zone. 222 Proceedings of the 28th C&ESAR (2021) S. Paul, N. Van Cauter, P. Varela et al Figure 6 : Extrait de l’ISA/CEI 62443-3-3 La combinaison des vecteurs de niveaux et multi-facteur est nécessaire uniquement pour du découpage en zones et conduits permet un les SI manipulant des valeurs métiers dont le ajustement très fin du socle de sécurité aux besoin en intégrité et en confidentialité est besoins de sécurité. Notons pour finir que ce maximal, i.e. I4 et C4. Sur la ligne au-dessous, standard ne rend obligatoire l’analyse de risque on peut constater par contre que la protection après la détermination du socle que s’il y a des des informations d’authentification est systéma- écarts dans l’application du socle. tiquement obligatoire, puisque nécessaire à partir d’un besoin d’intégrité minimal, i.e. I1. 3.6. Thales La détermination et le traitement des socles de sécurité appellent de l’outillage et de l’automatisation. La SSI Thales s’appuie sur un Historiquement, Thales a défini des métho- outil de gestion des exigences qui est utilisé des et référentiels de sécurité différents pour pour gérer la base de référence des exigences répondre à ses besoins internes et aux besoins (i.e. le socle de sécurité). Cet outil permet de ses clients. Nous présentons brièvement ici notamment de générer à la demande des deux de ces approches : tableaux ou des documents structurés pré-  l’approche de la direction de la sécurité des remplis avec les éléments sélectionnés du socle, systèmes d’information (SSI) pour les via des requêtes contenant les besoins D-I-C du besoins propres aux SI internes de Thales, et système à sécuriser. qui s’appuie sur une base EBIOS; Pour les ingénieurs et architectes qui  l’approche du référentiel d’ingénierie du développent les systèmes que Thales vend à ses Groupe Thales à l’usage des ingénieurs et clients, Thales a défini d’autres référentiels de architectes qui développent les systèmes que mesures de sécurité, ainsi qu’un processus de Thales vend à ses clients, et qui s’appuie sur sélection de mesures proche de celui de la NSA une base NIST. (voir section 3.3). Une des grandes forces de Pour la sécurisation de ses SI internes, cette approche est que les référentiels sont Thales a défini son propre référentiel, qui adaptés au domaine d’application. Typique- comprend un peu plus de 350 exigences de ment, Thales a défini un guide dédié à la sécurité. La sélection d’un socle de sécurité sécurisation des grands systèmes de missions dans ce référentiel pour un SI donné s’effectue [21] et un autre guide dédié à la sécurisation des en fonction des besoins de sécurité exprimé systèmes embarqués critiques [22]. Les deux pour ce SI selon les critères D-I-C. guides ont en commun une échelle à cinq Chaque critère de sécurité est défini par une niveaux, où : échelle croissante à quatre niveaux, à savoir  le niveau le plus bas correspond au jeu de D1..D4, I1..I4, et C1..C4. Pour chaque exigence mesures obligatoires, même si l’appel de sécurité du référentiel, un tableau indique les d’offre ne contient aucune exigence en niveaux de besoin pour lesquels cette exigence matière de cybersécurité ; les mesures doit être retenue. protègent contre des violations de sécurité Par exemple, sur l’extrait du référentiel de la occasionnelles ou fortuites ; Figure 7, on peut voir que l’authentification Proceedings of the 28th C&ESAR (2021) 223 Systématisation d’une Démarche de Sécurisation par Conformité Ajustée aux... Axe Thématique IE PUID Libellé D1 D2 D3 D4 I1 I2 I3 I4 C1 C2 C3 C4 Identification et PROT- Authentification Protection O O authentification IDAUTH-6 multifacteur Protection des Identification et PROT- Protection informations O O O O O O O authentification IDAUTH-8 d'authentification Figure 7 : Extrait du référentiel de sécurité de la SSI Thales  le niveau 2 correspond aux mesures à mettre court ou moyen termes, lorsqu’elles seront en place si la perte de confidentialité, disponibles. d'intégrité ou de disponibilité est susceptible Cette approche a été encore raffinée au sein d'avoir un effet négatif limité sur les de certains secteurs d’activités du Groupe opérations de l'organisation, les actifs ou les Thales, par exemple pour certaines lignes de individus ; les mesures protègent contre une produits de Thales Land and Air Systems [38]. violation intentionnelle de la sécurité en Une bonne adéquation du référentiel au utilisant des moyens simples avec de faibles domaine d’application permet de réduire ressources, des compétences génériques et significativement le nombre de risques qui une faible motivation ; par conséquent, les seront éventuellement identifiés lors de mesures concernent des solutions bon l’analyse de risque par scénario. marché, en termes de coûts récurrents, non récurrents, de développement, d'installation 3.7. ISO/CEI 27k et/ou de maintenance ;  le niveau 3 correspond aux mesures à mettre L’ISO/CEI dispose d’un référentiel de en place si la perte de confidentialité, mesures de sécurité avec ISO/CEI 27002 [2] et d'intégrité ou de disponibilité est susceptible d’un processus de gestion des risques avec d'avoir un effet défavorable sérieux ; les l’ISO/CEI 27005 [3]. Même si le §8.1 de la mesures protègent contre une violation norme ISO/CEI 27005 indique qu'il faut intentionnelle de la sécurité en utilisant des identifier les mesures de sécurité existantes et moyens sophistiqués avec des ressources leurs effets sur le risque identifié, il ne s’agit pas modérées, des compétences spécifiques et à proprement parlé d’une démarche de une motivation modérée ; par conséquent, détermination d’un socle de sécurité préalable à les mesures soutiennent une certaine forme l’évaluation des risques de sécurité. de défense en profondeur (deux niveaux) ; Le principe de détermination préalable d’un  le niveau 4 correspond aux mesures à mettre socle de sécurité a été discuté pour la prochaine en place si la perte de confidentialité, édition de l’ISO/CEI 27005, attendue pour la fin d'intégrité ou de disponibilité est susceptible 2022, mais la norme ne proposera pas une d'avoir un effet négatif grave ou catastro- manière précise pour constituer ce socle. phique ; les mesures protègent contre une Néanmoins, l’ISO/CEI 27005 étant une norme violation intentionnelle de la sécurité en de la famille 27xxx, elle bénéficie du soutien en utilisant des moyens sophistiqués, avec des la matière de l’ISO/CEI 27002. ressources étendues, des compétences L’ISO/CEI 27002 est également en cours de spécifiques et une forte motivation ; les révision, prévue pour 2022. Elle devrait mesures comprennent des solutions proposer des mesures de sécurité additionnelles potentiellement coûteuses, typiquement des tout en proposant, par mesure de sécurité, des produits certifiés ; ces mesures implémen- paramètres pour faire le lien vers d’autres tent de la défense en profondeur (jusqu'à standards. Ces paramètres sont, de manière non trois niveaux). exhaustive, le lien avec les critères de sécurité  le niveau 5 correspond à ce qui se fait de (D-I-C), les types de contrôles (préventif, mieux en matière de cybersécurité, y correctif, etc.), les différentes catégories du compris parfois des prototypes de labora- NIST (Identifier, Protéger, Détecter, etc.), ou toire ; le fait de lister ces mesures, même si les domaines de sécurité de l’ENISA [11]. Cette elles ne sont pas encore matures, permet aux matrice de traçabilité est primordiale pour concepteurs de concevoir leurs systèmes à automatiser un suivi de conformité d’un socle longue durée de vie afin que ces techniques de sécurité multi-référentiels. Une fois dispo- innovantes soient facilement intégrables à nible, cette norme devrait fournir une pierre angulaire pour l’établissement d’équivalences 224 Proceedings of the 28th C&ESAR (2021) S. Paul, N. Van Cauter, P. Varela et al entre les référentiels. Un socle pourrait ainsi  une démarche pour déterminer le niveau de être automatiquement adapté en fonction du maturité SSI cible d’une organisation, pour référentiel applicable par contrat, sans pour que ce niveau soit en adéquation avec les autant changer les mesures de sécurité du socle. véritables enjeux SSI de l’organisation ;  une démarche pour déterminer le niveau réel 4. Discussion de maturité SSI de l’organisation ;  une démarche pour permettre à l’organisa- Dans les méthodes hybrides, l’étape de tion d’atteindre le niveau adéquat. détermination du socle de sécurité se doit d’être Pour déterminer le niveau adéquat de simple et accessible à tous les ingénieurs et maturité SSI d’une organisation en fonction de architectes système, y compris ceux qui ne sont ses enjeux SSI, l'approche, qui s’inspire de pas spécialisés en cybersécurité. Ce travail doit l'ISO/CEI 21827 [40], propose de répondre à pouvoir être réalisé en quelques heures, sans douze questions (cf. Figure 8) concernant : connaissance particulière en cybersécurité, et  les besoins de sécurité, selon les trois critères très tôt dans le cycle de vie du système4. Il ne de D-I-C, dont nous avons vu qu’ils doit nécessiter aucune connaissance particulière déterminaient l’essentiel des mesures de sur l’architecture du système. Au contraire, il sécurité fonctionnelles du socle de sécurité doit permettre de poser un premier cadre de (cf. §2.1 et §2.3) ; nous avons en particulier prise en compte de la sécurité dès les phases vu que ces besoins étaient finement gérés initiales du développement système. Cette étape dans les approches de la NSA (cf. §3.3), de est aussi, par essence, la plus propice à une l’ISA/CEI 62443 (cf. §3.5), avec son vecteur automatisation. Elle se doit d’être suivie par une de niveaux de sécurité, ainsi que dans étude d’analyse de la conformité du SI au socle, celle de la SSI Thales (cf. §3.6) ; et d’une étape de sécurisation par scénarios,  les conséquences du non-respect des besoins notamment s’il y a des non-conformités. (cf. §2.2 et §2.3), sachant que nous avons vu que la gravité de ces conséquences sont à la base de la détermination du socle de sécurité 4.1. De la détermination du socle selon les approches du NIST (cf. §3.2), de la à l’étude de conformité NSA (cf. §3.3), et dans une moindre mesure de l’IT-Grundschutz (cf. §3.4) ; Pour déterminer un socle de sécurité au juste  le degré d’exposition aux menaces, sachant besoin et proportionné aux enjeux, la clé de que nous avons vu que le niveau de cyber- voûte est l’étape préliminaire de catégorisation attaques est à la base de la détermination du du système à sécuriser. Nous avons montré que socle de sécurité selon les approches les différentes approches internationales (cf. d’EBIOS - Risk Manager (cf. §3.1), de chapitre 3) offrent une grande diversité pour l’ISA/CEI 62443 (cf. §3.5), et, dans une cette étape. Elle peut être basée : moindre mesure, de l’IT-Grundschutz (cf.  sur les besoins, §3.4) et du NIST SP800-172 (cf. §3.2).  sur les enjeux,  l’importance des vulnérabilités, notamment  sur le niveau attendu des cyberattaques, pour les systèmes dont l’organisation  ou encore sur une combinaison de deux ou souhaite assurer le maintien en condition de trois de ces dimensions. sécurité. Le rapport sur la maturité en matière de Il est intéressant (et logique) de voir que l’on sécurité des systèmes d’information [39] de retrouve ici toutes les dimensions discutées l’ex-Direction Centrale de la Sécurité des dans ce papier, et utilisées dans les différentes Systèmes d’Information (maintenant ANSSI) normes et différents standards pour définir un poursuit un objectif autre que la définition d’un socle de sécurité. A ces dimensions, s’ajoute socle de sécurité pour sécuriser un système par l’importance des vulnérabilités. conformité. Cependant, il se rapproche de ce sujet en ce qu’il décrit brièvement : 4 Y compris en phase de réponse à appel d’offre, alors que remplir la réponse à l’appel d’offre à peu de frais, et d’établir une l’architecture n’est pas encore définie. Cette approche permet de première cotation du coût de la sécurisation du système. Proceedings of the 28th C&ESAR (2021) 225 Systématisation d’une Démarche de Sécurisation par Conformité Ajustée aux... Figure 8 : Douze questions pour estimer le niveau adéquat de maturité SSI Dans les démarches hybrides que nous avons d’affiner le choix des mesures. Ce travail sera étudiées, l’hétérogénéité, l’ouverture et la d’autant plus facile à réaliser que la présélection variabilité du SI (c'est à dire l’importance des du socle de mesures de sécurité aura été vulnérabilités, au sens de l’ANSSI), ne sont pas finement effectuée. des dimensions servant directement à la sélection d’un socle de sécurité. Cependant, 4.2. Standards et outils support à chaque mesure d’un socle de sécurité est de fait établie pour couvrir une ou plusieurs une automatisation vulnérabilités potentielles. Il est implicite que la sécurisation par conformité comporte deux La systématisation, voire l’automatisation, grandes activités : de la détermination d’un socle de sécurité, ainsi  la détermination du socle de sécurité (objet que l’analyse de conformité du SI au socle, sont de cette publication), puis des enjeux permettant à une organisation de  l’étude de la conformité (du système réel) à gagner en efficacité. Nous avons pu voir au ce socle de sécurité. cours de cette publication qu’un ensemble Cette dernière activité est indispensable. Il d’étapes peuvent être automatisées par des est en effet très rare, voire hypothétique, qu’un opérations de filtrage et de manipulation de socle de sécurité puisse être parfaitement tableaux recensant un ensemble de mesures de implémenté, qu’il opère exactement comme sécurité et de menaces élémentaires associées. prévu et qu’il produise tous les effets désirés. D’autres standards outillés viennent De fait chaque écart constaté peut (et même compléter cette approche afin de passer d’une devrait) être exprimé sous forme d’une ou approche basée sur une description des mesures plusieurs vulnérabilités concrètes et de sécurité de manière textuelle, propriétaire et exploitables. manuelle à une approche standardisée, Ce sont autant de vulnérabilités qui seront automatisable par l’utilisation d’un langage amenées à alimenter les scénarios d’attaque de machine et d’un format adapté. la phase d’analyse des risques par scénarios. OSCAL – the Open Security Controls L’analyse par scénario permet de statuer sur Assessment Language [43], est un standard du l’acceptation des vulnérabilités, ou sur leur NIST permettant d’uniformiser le format couverture, par une mise en conformité directe, d’échange de données (XML, JSON, YAML) ou par des mesures de sécurité complémentaires pour la description et l’implémentation de et compensatoires. Par contraste avec la tâche mesures de sécurité. Son utilisation est de sécurisation par conformité, cette tâche de actuellement déployée pour de nombreux consolidation ou d’enrichissement du socle de standards comme le NIST SP800-53, sécurité est réalisée par un spécialiste en FedRAMP, FISMA, HIPPA, PCI DSS. cybersécurité. Elle nécessite en effet une bonne L’ISO/CEI 27002 est en cours d’adaptation. connaissance des vulnérabilités, e.g. [41], et des OSCAL permet, par l’utilisation de différentes techniques d’attaque, e.g. [42]. Elle permet couches d’abstraction, d’assurer la sélection, 226 Proceedings of the 28th C&ESAR (2021) S. Paul, N. Van Cauter, P. Varela et al l’affectation, le suivi de l’implémentation et la voir réclamer une conformité à d’autres conformité des mesures de sécurité au sein d’un standards s’il est vendu en Amérique, ou en système ou d’une organisation. Les mesures de Asie-Océanie. sécurité sont répertoriées en catalogues. Une première approche pourrait être de L’applicabilité pour un système donné est déterminer un par un les socles de sécurité exprimée sous la forme de profil ou socle de adaptés à chaque combinaison de standards. sécurité. L’implémentation et l’évaluation sont Cette approche pouvait peut-être s’entendre il y assurées par des couches dédiées. On peut a quelques années en arrière lorsque le nombre aisément s’interroger sur l’intégration de ce de standards applicables aux systèmes type de format avec des outils utilisés pour d’information était encore faible. Désormais il l’ingénierie système, comme DOORS [44]. est illusoire de pouvoir mener à bien une telle OSCAL vient soutenir d’autres initiatives de approche, de par le nombre de standards standardisation de format comme SCAP – actuellement applicables et l’arrivée continue Security Content Automation Protocol [45], de nouveaux standards, au fur et à mesure de la pour la gestion des vulnérabilités et le suivi des montée en dépendance de nouveaux secteurs correctifs de sécurité, ou encore OCIL – Open d’activités vis-à-vis des systèmes d’information Checklist Interactive Language [46] pour les (p.ex. le secteur automobile aujourd’hui avec la listes de vérification de durcissement des voiture connectée et demain avec la voiture systèmes. autonome, le secteur aéronautique et spatial La limitation de ces approches dans une avec des vols sans pilotes, etc.) et l’explosion démarche de détermination d’un socle de combinatoire qui en résulte en termes de socles sécurité tient dans le fait que ces formats de sécurité multistandards ! standardisés ne sont pas encore vraiment Une autre option est d’envisager le mappage utilisés dans les outils de gestion de risques. entre standards. En effet, il existe de nombreu- Néanmoins, ceux qui intègrent la notion de ses redondance entre tous les standards. Etre socle de sécurité proposent en général des conforme à un standard implique souvent une fonctions d’import assez flexibles, ce qui peut conformité partielle vis-à-vis d’un ou plusieurs permettre leur intégration, après adaptation, au autres standards. Le mappage entre standards format de leurs bases de connaissances. permet de déduire automatiquement cette conformité induite, ne laissant qu’une faible 4.3. Le mappage de standards : part à l’analyse manuelle. Certains éditeurs de standards fournissent ce un besoin catalyseur d’une mappage d’eux-mêmes, pour quelques stan- automatisation du socle de dards de référence. Par exemple, le NIST sécurité ? fournit le mappage entre le NIST SP 800-53 et l’ISO/IEC 27001 [47]. De même, la matrice de traçabilité proposée dans la prochaine révision Sélectionner un socle de sécurité de manière de l’ISO/CEI 27002, comme expliqué au § , automatique, et le compléter à la marge manuel- devrait apporter un élément structurant pour la lement est un premier pas. Malheureusement, traçabilité multi-référentiels. c’est rarement suffisant. Avec la multiplication Les feuilles Excel sont très utilisées dans la des standards, la tendance actuelle amène à ce communauté pour mapper les standards entre que la plupart des systèmes réclament une eux. Cependant, les feuilles Excel atteignent conformité à plusieurs standards. Typiquement, vite leurs limites quand le mappage doit être si vous développez une application de réalisé entre plus de deux standards. Certains divertissement, les standards de développement outils de management des risques (e.g., ARM vidéo s’appliqueront. Votre application est [48]) reprennent à leur compte les principes de payante, les standards de gestion de comptes et mappage sur Excel, en autorisant le mappage de systèmes de paiement s’appliqueront. Votre des standards deux à deux. Cela permet d’aller application est hébergée dans les nuages, et un un peu plus loin qu’avec Excel, mais comme la autre lot de standards s’appliquera. Par ailleurs, transitivité entre standards n’est pas vraiment les standards applicables peuvent également assurée, chaque ajout de nouveau standard varier en fonction de l’acheteur, ou tout du implique un nombre croissant de mappages moins de son pays d’origine. Ainsi, un système avec les standards en base. développé pour le marché européen pourra se Proceedings of the 28th C&ESAR (2021) 227 Systématisation d’une Démarche de Sécurisation par Conformité Ajustée aux... Pour contourner ce problème, une autre montré que le niveau d’impact des consé- approche consiste à s’appuyer sur un référentiel quences de ce franchissement de ligne rouge pivot de mesures de sécurité. Ainsi, chaque permettait de définir la gravité de l’événement nouveau standard est mappé avec le pivot, qui redouté de façon objective. Nous avons insisté assure ensuite son mappage avec tous les autres sur le fait qu’il ne fallait pas confondre le niveau standards saisis. C’est le cas du produit CDCAT du besoin de sécurité, et la gravité de l’événe- [49]. La SSI de Thales a également eu cette ment redouté associé, car la distinction entre ces approche vis-à-vis des réglementations notions est essentielle à l’automatisation de la applicables aux SI internes de Thales et s’est détermination d’un socle de sécurité ajusté. Le pour cela appuyée sur la solution DOORS [44] niveau du besoin de sécurité guide la sélection d’IBM, un outil de gestion d’exigences. Par des mesures de sécurité fonctionnelles ; le définition, le référentiel pivot se doit d’être le niveau des enjeux guide le choix des mesures de plus exhaustif possible. Sa constitution initiale sécurité non-fonctionnelles. demande un réel investissement - de l’ordre Dans un second temps, nous avons montré d’un semestre a été nécessaire à la SSI de Thales que les normes et standards de cybersécurité pour l’établir. Ensuite le mappage avec un récents préconisent des démarches hybrides. nouveau référentiel dans l’outil de gestion Tout d’abord une approche de la sécurisation d’exigences demande de quelques jours à par conformité, au juste besoin et proportionnée quelques semaines de charge effective. Ce aux enjeux et/ou aux menaces, qui repose sur la temps de mappage d’un nouveau standard est détermination d’un socle de sécurité. Puis une directement lié à la taille du pivot. APMG approche itérative consistant à enrichir si besoin International annonce ainsi des temps de l’ordre ce socle par l’analyse détaillée de scénarios de trois à six semaines pour son outil CDCAT. d’attaque, notamment concernant les menaces Ensuite, la génération d’un socle de sécurité persistantes avancées (APT). multistandards se limite à une simple requête Nous avons montré que la sécurisation par dans l’outil. Dans ce contexte, le maintien de conformité au juste besoin traite l’essentiel du manière centralisée du référentiel pivot sera un problème de la sécurisation, et qu’elle peut gage de sa pérennité dans le temps. souvent être menée en autonomie par des Un point très structurant dans cette approche experts métiers, c'est à dire sans le support d’un est le choix du niveau de granularité du spécialiste en cybersécurité. En effet, une fois le référentiel pivot. En effet tous les standards référentiel choisi (e.g. BSI Standard 200-2 [34], actuellement en circulation n’ont pas un niveau NIST SP 800-53B [27], ISA/CEI 62443 [14] ou de granularité homogène, entre ceux d’assez profils ad-hoc tels que les profils de Thales [21] haut niveau comme les ISO-27001 & 27002 et [22]), le processus est simple, uniquement basé ceux très précis comme l’IT Grundschutz sur une analyse du besoin et un bonne connais- Kompendium [13] du BSI ou encore les sance du métier. Ce dernier point comprend la standards du MITRE [42] et du NIST [10], etc. compréhension des enjeux et/ou le niveau Le niveau de granularité à adopter pour le attendu de cyberattaques. Ces étapes sont référentiel pivot est le facteur prépondérant sur encore relativement manuelles, y compris dans l’effort à fournir pour le travail préparatoire de les grands groupes comme Thales, mais détermination du référentiel pivot. l’analyse faite dans ce papier montre que le potentiel pour une automatisation est réel lors- 5. Conclusion que les notions en jeu sont bien comprises. Au-delà de la détermination du socle, nous avons aussi évoqué l’importance de l’étude de Nous avons défini le besoin de sécurité la conformité du système au socle. Chaque écart comme la tolérance maximale qu’une organi- constaté est assimilable à une vulnérabilité qui sation peut s’autoriser sur les différents critères doit être traitée lors de l’étude complémentaire de sécurité (i.e. disponibilité, intégrité et d’analyse de risque par scénarios. Cette dernière confidentialité) vis-à-vis de ses valeurs métier activité, complémentaire à l’activité de sécuri- avant de sortir d’un fonctionnement nominal, sation par conformité, est quant à elle menée par voire de rentrer en gestion de crise. Nous avons des spécialistes en cybersécurité. De ce fait, la défini le franchissement de cette ligne rouge sécurisation selon les approches hybrides comme un événement redouté. Nous avons devient l’affaire de tous, et pas seulement des spécialistes en cybersécurité. 228 Proceedings of the 28th C&ESAR (2021) S. Paul, N. Van Cauter, P. Varela et al Enfin, nous avons évoqué quelques outils Institute of Standards and Technology, qui peuvent venir en soutient à cette Gaithersburg, USA, 09/2012. automatisation de la détermination de socles de [5] CLUSIF, «Les fondamentaux de sécurité. Malgré l’émergence de ces standards MÉHARI,» Club de la Sécurité de l'Information outillés, le chemin vers une automatisation Français, [En ligne]. Available: avancée (i.e., autre que l’automatisation d’un https://clusif.fr/services/management-des- simple regroupement d’exigences) s’annonce risques/les-fondamentaux-de-mehari/. [Accès long et complexe. Un sondage récent au sein de le 03 02 2021]. Thales a permis d’identifier 105 standards clefs [6] M. A. Amutio, J. Candau and José pour les métiers du Groupe, et cette liste est Antonio Mañas, MAGERIT – Methodology for probablement encore incomplète. Le potentiel Information Systems Risk Analysis and d’automatisation et de mappage entre standards Management, Madrid, Spain: Ministry of devra être étudié avant d’investir sur une Finance and Public Administration, July, 2014. automatisation concernant certains de ces [7] ANSSI, «La méthode EBIOS Risk standards. Le point clé pour permettre une Manager - Historique & héritage d'EBIOS avancée conséquente dans ce domaine est le RM,» Agence Nationale de la Sécurité des partage des bases de connaissances et matrices Systèmes d'Information, 2021. [En ligne]. de traçabilité au sein de la communauté Available: scientifique. Ce facteur est le plus limitant car, https://www.ssi.gouv.fr/administration/manage à l’heure actuelle, les initiatives de constitution ment-du-risque/la-methode-ebios-risk- de socles de sécurité sont souvent faites de manager/#. [Accès le 22 01 2021]. manière individuelle et isolée, où chacun [8] BSI Standard 100-2, IT-Grundschutz réinvente la roue. Il nous faut maintenant Methodology, 2.0 ed., Bonn: Bundesamt für capitaliser sur des travaux précédents, focaliser Sicherheit in der Informationstechnik (BSI), les efforts sur l’avancée des techniques 2008, p. 93. d’automatisation, ainsi que sur leur outillage. [9] ISO/CEI 27k, «Technologies de l'information - Techniques de sécurité - 6. Remerciements Systèmes de management de la sécurité de l'information,» Organisation internationale de normalisation / Commission Electrotechnique Ce papier a été partiellement financé par les Internationale. projets Européens FORESIGHT (réf. 833673) [10] NIST SP 800 series, «NIST Special et PRAETORIAN (réf. 101021274). Publication 800-series,» National Institute of Standards and Technology, [En ligne]. 7. Références Available: https://www.nist.gov/itl/publications-0/nist- [1] Department of Trade and Industry special-publication-800-series-general- (DTI), Code of Practice for Information information. [Accès le 15 01 2021]. Security Management', London: British [11] ENISA, “Minimum Security Measures Standards Institute (BSI), 1992. for Operators of Essentials Services,” European [2] ISO/CEI 27002, Technologies de Union Agency for Cybersecurity, [Online]. l'information — Techniques de sécurité — Available: Code de bonne pratique pour le management de https://www.enisa.europa.eu/topics/nis- la sécurité de l'information, Edition 2 éd., directive/minimum-security-measures-for- Organisation Internationale de Normalisation / operators-of-essentials-services. [Accessed 27 Commission Electrotechnique Internationale, 09 2021]. 2013, p. 88. [12] Journal officiel de l'Union européenne, [3] ISO/CEI 27005, Technologies de «Directive (UE) 2016/1148 du Parlement l'information — Techniques de sécurité — Européen et du conseil du 6 juillet 2016 Gestion des risques liés à la sécurité de concernant des mesures destinées à assurer un l'information, Organisation Internationale de niveau élevé commun de sécurité des réseaux et Normalisation / Commission Electrotechnique des systèmes d'information dans l'Union,» 19 Internationale, Juin 2011, p. 77. 07 2016. [En ligne]. Available: https://eur- [4] NIST SP800-30 rev. 1, «Guide for lex.europa.eu/legal- Conducting Risk Assessments,» National Proceedings of the 28th C&ESAR (2021) 229 Systématisation d’une Démarche de Sécurisation par Conformité Ajustée aux... content/FR/TXT/PDF/?uri=CELEX:32016L11 Systèmes d’Information (ANSSI), Janvier 48&from=FR. [Accès le 08 04 2021]. 2017, p. 72. [13] BSI, IT-Grundschutz-Kompendium, [25] ANSSI, « Réglementation », Agence Bonn, Germany: Federal Office for Information Nationale de la Sécurité des Systèmes Security (BSI), Feb. 2021. d'Information (ANSSI), [En ligne]. Available: [14] ISA/CEI 62443, « Réseaux industriels https://www.ssi.gouv.fr/administration/regleme de communication - Sécurité dans les réseaux et ntation/. [Accès le 20 01 2021]. les systèmes », International Society of [26] NIST SP 800-37r2, Risk Management Automation / Commission Electrotechnique Framework for Information Systems and Internationale. Organizations - A System Life Cycle Approach [15] ANSSI SecNumCloud, « Prestataires for Security and Privacy, Revision 2 ed., de services d’informatique en nuage Gaithersburg: National Institute of Standards (SecNumCloud) - référentiel d’exigences », and Technology, 2018, p. 183. Agence nationale de la sécurité des systèmes [27] NIST SP800-53B draft, “Control d’information (SGDSN/ANSSI), Paris, 11 juin Baselines for Information Systems and 2018. Organizations,” National Institute of Standards [16] ISO/CEI 80001, « Application du and Technology, Gaithersburg, USA, 07/2020. management du risque aux réseaux des [28] NIST SP800-171r2, Protecting technologies de l'information contenant les Controlled Unclassified Information in dispositifs médicaux », Organisation interna- Nonfederal Systems, Gaithersburg: National tionale de normalisation / Commission Institute of Standards and Technology, Feb. Electrotechnique Internationale, 2010. 2020. [17] ISO/SAE DIS 21434, Véhicules [29] NIST SP800-172, Enhanced Security routiers — Ingénierie de la cybersécurité, Requirements for Protecting Controlled Organisation internationale de normalisation / Unclassified Information - A Supplement to SAE International, 2020. NIST Special Publication 800-171, [18] PCI, «Les standards de sécurité PCI,» Gaithersburg: National Institute of Standards PCI Security Standards Council, 15 01 2021. and Technology, Feb. 2021. [En ligne]. Available: [30] NIST SP800-53 rev. 5, “Security and https://fr.pcisecuritystandards.org/minisite/env Privacy Controls for Information Systems and 2/. Organizations,” National Institute of Standards [19] ANSSI, EBIOS Risk Manager, version and Technology, Gaithersburg, USA, 09/2020. 1.1 éd., Paris: Agence Nationale de la Sécurité [31] NIST SP800-53A rev. 4, “Assessing des Systèmes d'Information, Dec. 2018, p. 49. Security and Privacy Controls in Federal [20] NIST FIPS 199, Standards for Security Information Systems and Organizations, Categorization of Federal Information and Building Effective Assessment Plans,” National Information Systems, Gaithersburg: National Institute of Standards and Technology, Institute of Standards and Technology, 2004. Gaithersburg, USA, 12/2014. [21] 87210649-DDQ-GRP-EN, [32] NIST FIPS PUB 200, Minimum Cybersecurity Guide for Solution Architects, Security Requirements for Federal Information vol. Rev. 2, Thales Chorus 2.0, Thales Group and Information Systems, Gaithersburg: Limited Distribution, Nov. 2020, p. 62. National Institute of Standards and Technology, [22] 87214870-DDQ-GRP-EN, 2006. “Cybersecurity Guide for Equipment [33] CNSS 1253, Security Categorization Architects,” Thales Chorus 2.0, Thales Group and Control Selection for National Security Limited Distribution, Jan. 2020. Systems, Ft Meade: Committee on National [23] CESG IA BIL, “Extract from HMG IA Security Systems (CNSS), National Security Standard No.1 - Business Impact Level Tables,” Agency (NSA), 2014. 10 2009. [Online]. Available: [34] BSI-Standard 200-2, «IT-Grundschutz https://www.shreddingmachines.co.uk/busines Methodology,» Federal Office for Information s-impact-tables.pdf. [Accessed 01 2021]. Security (BSI), Bonn, Germany, oct. 2017. [24] ANSSI, Guide d’hygiène informatique [35] ISO/IEC 27001, Technologies de : renforcer la sécurité de son système l'information — Techniques de sécurité — d’information en 42 mesures, vol. version 2.0, Systèmes de management de la sécurité de Paris: Agence Nationale de la Sécurité des l'information — Exigences, Organisation 230 Proceedings of the 28th C&ESAR (2021) S. Paul, N. Van Cauter, P. Varela et al internationale de normalisation (ISO) et c=engineering-requirements-management- Commission Electrotechnique Internationale doors-overview. [Accessed 09 04 2021]. (CEI), 2013. [45] National Institute of Standards and [36] BSI-Standard 200-3, «Risk Analysis Technology (NIST), “SCAP - Security Content based on IT-Grundschutz, version 1.0,» Federal Automation Protocol,” U.S. Department of Office for Information Security (BSI), Bonn, Commerce, 07 08 2020. [Online]. Available: Germany, Oct. 2017. https://csrc.nist.gov/projects/security-content- [37] IEC 62443-3-3, “Industrial automation-protocol/. [Accessed 09 04 2021]. communication networks - Network and system [46] M. Casipe and C. Schmidt, “The Open security - Part 3-3: System security Checklist Interactive Language (OCIL) - requirements and security levels,” International Version 1.0,” MITRE, 11 2008. [Online]. Electrotechnical Commission, 2013. Available: [38] Wikipedia, « Thales Land and Air https://csrc.nist.gov/CSRC/media/Projects/Sec Systems », Wikimedia Foundation, 20 08 2020. urity-Content-Automation- [En ligne]. Available: Protocol/specifications/ocil/1.0/OCIL_languag https://fr.wikipedia.org/wiki/Thales_Land_and e.pdf. [Accessed 09 04 2021]. _Air_Systems. [Accès le 12 01 2021]. [47] NIST Computer Security Division, [39] DCSSI, Maturité SSI : approche “NIST SP 800-53, Revision 5 Control méthodologique, Paris: Direction Centrale de la Mappings to ISO/IEC 27001,” 22 01 2021. Sécurité des Systèmes d’Information (SGDN / [Online]. Available: DCSSI / SDO / BCS), Novembre 2007, p. 24. https://csrc.nist.gov/CSRC/media/Publications/ [40] ISO/CEI 21827, Technologies de sp/800-53/rev-5/final/documents/sp800-53r5- l'information — Techniques de sécurité — to-iso-27001-mapping.docx. [Accessed 07 09 Ingénierie de sécurité système — Modèle de 2021]. maturité de capacité (SSE-CMM®), [48] ALL4TEC Safe & Secure, « Logiciel Organisation Internationale de Normalisation / EBIOS Risk Manager - Agile Risk Manager - Commission Electrotechnique Internationale, Analyses de risques cyber », [En ligne]. 2008. Available: https://www.all4tec.com/logiciel- [41] NIST NVD, “National Vulnerability ebios-risk-manager-labellise-agile-risk- Database,” National Institute of Standards and manager/. [Accès le 07 09 2021]. Technology (NIST), [Online]. Available: [49] APMG International, “CDCAT® - https://nvd.nist.gov/general. [Accessed 03 02 Cyber Defence Capability Assessment Tool,” 2021]. 2020. [Online]. Available: https://apmg- [42] MITRE, “MITRE ATT&CK,” The international.com/product/cdcat. [Accessed 07 MITRE Corporation, 2021. [Online]. 09 2021]. Available: https://attack.mitre.org/. [Accessed [50] ISO/CEI 2003, Technologies de 03 02 2021]. l'information — Techniques de sécurité — [43] National Institute of Standards and Systèmes de management de la sécurité de Technology (NIST), “OSCAL - l'information — Lignes directrices, Implementation Layer,” U.S. Department of Organisation internationale de normalisation / Commerce, 08 04 2021. [Online]. Available: Commission Electrotechnique Internationale, https://pages.nist.gov/OSCAL/documentation/s 03/2017. chema/. [Accessed 09 04 2021]. [51] Parlement Européen, «Directive (UE) [44] IBM, “Overview of DOORS,” IBM, 2016/1148 du Parlement Européen et du 2021. [Online]. Available: Conseil,» Journal officiel de l'Union https://www.ibm.com/docs/en/ermd/9.7.2?topi Européenne, Bruxelles, 2016. Proceedings of the 28th C&ESAR (2021) 231