L’analyse de risques préliminaire et les responsabilités : impacts différenciés
L'analyse de risque ne peut être efficace que si elle passe par une "sécurité by design" et prend en compte les besoins de tous les acteurs du concepteur à l'utilisateur.
De plus en plus les normes (comme la série 27 000) et règlements (comme le Référentiel général de sécurité, RGS) ou le règlement européen sur l'identification pour les transactions électroniques (eIDAS - EU regulation on electronic identification and trust services) imposent une analyse de risques préliminaire à la mise en œuvre, voire l’intégration de la sécurité dans les projets (ISP).
Parallèlement, ces même normes et règlements, comme le Règlement Général sur la Protection des Données (RGPD) (en anglais : General Data Protection Regulation, GDPR) ,définissent des responsables et attribuent des responsabilités aux différents acteurs des systèmes d’information.
Dans ce contexte et lors de la conception, il est de plus en plus ardu pour le fabricant d’un produit, objet connecté ou système électronique de déterminer à quelle échelle et quel endroit sa responsabilité pourrait être engagée. Et par conséquent de définir ses besoins de sécurité.
Le Club EBIOS, porteur de la méthode d’analyse de risques éponyme (EBIOS : Expression des Besoins et Identification des Objectifs de Sécurité), s’est penché sur ce problème lors d’une étude sur les « impacts différenciés » (disponible en : https://www.club-ebios.org/site/documents/ClubEBIOS-ImpactsDifferencies-2017-02-19-Approuve.pdf). Au cours de cette étude, la première constatation a été que, dans une étude de risques, les impacts analysés dépendent fortement du point de vue de chaque partie prenante.
En effet, le même événement pourra être perçu comme catastrophique pour l’un, neutre pour certains et bénéfique pour un autre ...
Dans ces conditions, il devient presque impossible lors de la conception de déterminer les responsabilités en jeu ni même de prédire quels seront les acteurs et leurs besoins.
Partant de ce constat, ce document de réflexion incite à la prise en compte des préoccupations de chaque acteur, dans une logique « by design », afin que le produit, système ou service soit accepté par tous.De surcroît, l’aspect coût est grandement modulé par le fait qu’au final, le coût global est généralement moins élevé si les risques ont bien été traités. Et tous les acteurs y gagnent !
In fine, il semble donc primordial qu’il y ait un régulateur pour représenter la voix des personnes non impliquées dans les premières phases (tel l’utilisateur final) et pour imposer aux autres acteurs la prise en compte des risques dès la conception.
Plus avant il semble que la seule voie de sortie soit en plus d’une logique « by design » :
- une prise en compte des « besoins » de tous,- un renforcement de la notion de responsabilité dans les contrats.
De manière plus abrupte cela signifie l’adoption d’une déontologie de la démarche et une vision plus large que le profit immédiat dans les analyses de risques.