D’un point de vue Marketing, il est difficile de valoriser un certificat sécuritaire, car il est perçu comme une dépense sans retour sur investissement.
D’un point de vue Certification Sécuritaire, il existe deux grandes catégories de technologies de l’information : (i) la sécurité embarquées dans les produit manufacturés, et (ii) la sécurité des systèmes interconnectés et des organisations. Ce livre blanc s’intéresse à la première catégorie.
Sur la base de ce constat, quel est le juste prix d’une certification sécuritaire ?
D’un point de vue rhétorique, la réponse est identique quelque soit la dépense : le coût doit être inférieur au bénéfice qu’il permet de réaliser. La difficulté devient évidente puisque, d’un point de vue marketing, les certifications sécuritaires sont sources de pertes financières. Toutefois, ce ressenti empreint de partialité est fondé sur une vision partielle de la situation.
D’un point de vue pratique, les failles de sécurité sont une réalité. Chaque faille avérée peut provoquer de grosses pertes, mais il est extrêmement difficile de les quantifier, car les organisations qui subissent ces attaques n’en parlent pas, pour d’évidentes raisons. Tous les arguments, qu’ils soient en faveur ou à l’encontre des certifications sécuritaires, s’articulent tous autour de cet extrait de la phrase précédente : « Chaque faille avérée peut provoquer de grosses pertes (…) ». Mais sans métrique pour qualifier et quantifier le potentiel (le « peut ») et les pertes engendrées (les « grosses pertes »), tout débat est improductif.

Définition du “Potentiel” et des “Pertes engendrées”

Littéralement, le “potentiel” indique la vraisemblance qu’une faille de sécurité survienne, et les “pertes engendrées” indiquent l’impact de la faille de sécurité sur les organisations qui la subissent (qu’il s’agisse du fabricant ou de l’utilisateur du produit attaqué). Cela correspond à la définition habituelle, et standardisée, de l’évaluation d’un risque.

Le « Potentiel » :
Définir la vraisemblance qu’une faille de sécurité survienne est une question d’expertise technique. Les groupes d’experts sur les attaques applicables aux dispositifs , ont une connaissance approfondie des faiblesses et des menaces qui les visent. Cette connaissance est indispensable pour identifier et qualifier les risques auxquels les dispositifs doivent faire face. Ce sont ces groupes d’experts qui spécifient les méthodes pour qualifier et mesurer le « potentiel » selon plusieurs critères.

Ce tableau est extrait d’un document publié par un de ces groupes. Il est reconnu par l’organisation internationale des Critères Communs :

La colonne Valeurs contient les expressions numériques de « potentiel », et la seconde colonne qualifie verbalement le potentiel d’attaque correspondant.
Lorsqu’un produit est conçu pour résister à des potentiels d’attaques supérieurs à ceux de ses attaquants, le risque résiduel est suffisamment faible pour considérer que les menaces sont correctement gérées.
Les fourchettes de valeurs sont calculées selon des éléments techniques qui sont revus périodiquement, ce qui permet de prendre en considération les avancées technologiques qui bénéficient aussi aux attaquants. Par conséquent, une menace qui requerrait un potentiel d’attaque « Modéré » aujourd’hui, pourra être déqualifiée « Potentiel de base amélioré » ultérieurement. Pour conserver sa certification, les fonctions de sécurité du produit devront être améliorées dans la version suivante. Cette amélioration est innévitable, car le produit doit faire face à une nouvelle attaque potentielle suite à la déqualification.
Pour prendre en compte ces évolutions perpétuelles, les certificats de sécurité ont une période de validité ; par bonheur, l’état de l’art apporte des technologies suffisamment résistantes pour contrer les attaques connues lorsque que l’évaluation sécuritaire est réalisée.
La qualification des “potentiels” d’attaques doit être réalisée par les groupes d’experts sur les attaques applicables aux dispositifs1.

Les « Pertes engendrées » :
D’un point de vue managérial, les « pertes engendrées » sont des pertes financières, qu’il faut éviter pour assurer le maintient de la marge opérationnelle. Il existe d’autres définitions de « pertes engendrées », telles que l’atteinte à la vie privée ou l’usage interdit d’informations protégées. Dans ce livre blanc, les pertes engendrées sont des pertes financières.
Considérant que les pertes engendrées font suite à une attaque sur un produit, elles apparaîtront au plus tôt 18 à 24 mois après la réunion de lancement qui déclenche le développement dudit produit.

Pour mieux comprendre ce qui va suivre, faisons un aparté :
Planification du management d’entreprise :
Au début d’une période de temps donnée, habituellement une année, chaque centre de profit détermine les bénéfices et les perspectives (P&L) pour les mois à venir. À l’issue de la période, le compte de résultats est comparé aux prévisions de début de période.
Le plan à long terme (LRP) s’applique à une période bien plus longue, en général 3 à 5 ans. Ce plan affirme les missions et la vision du management, ainsi que les objectifs d’affaires et la stratégie mise en œuvre pour que la vision et les missions de la direction progressent. Le LRP est révisé à la même fréquence que le P&L; il comprend des informations utiles à la rédaction du prochain P&L.

Planification du management d’entreprise :
P&L ? 1 année
LRP ? 3 à 5 ans (le LRP est révisé chaque année).

Planification du développement d’un produit sécurisé :
Avant de pouvoir vendre un produit, il faut le définir, le concevoir, le développer, et le fabriquer. Dans le cas d’un produit sécurisé (i.e. accompagné d’un certificat de sécurité), le schéma de certification affecte toutes les étapes du projet, et allonge de 6 à 18+ mois le temps de mise sur le marché, et ce en supposant que tout se déroule selon les plans. Toutefois, tous les concurrents étant également concernés, l’impact reste limité.

Lorsque la définition du produit évolue tardivement, le temps de mise sur le marché est significativement allongé. Ainsi, des modifications qui entraînent l’élévation du niveau d’attaques auxquelles le produit doit résister, entraînent conjointement l’accroissement des valeurs de « Potentiel » d’attaque. Ces ajustements tardifs ont des conséquences significatives sur le coût et la planification des projets. Les mêmes conséquences apparaissent si les caractéristiques des menaces changent (par exemple en cas de modification du processus de fabrication nécessitant la réalisation d’une opération critique dans un environnement moins bien protégé qu’auparavant, ce qui ajoute de menaces à prendre en compte).

Planification du développement d’un produit sécurisé :
Meilleurs scénario ? 1,5 à 2 ans.
Si modification dans la définition du produit ? 2 à 3 ans.

Pour gérer correctement les risques pour l’entreprise, il est utile de traiter la question des « pertes engendrées » à long terme (i.e. pour les futurs produits), donc quand le LRP est créé et mise à jour. Plus une gamme de produit manipule des biens de valeurs, par exemple un crédit bancaire, plus les pertes engendrées seront importantes en cas de failles de sécurité (imaginez les conséquences dévastatrices pour une entreprise dont un produit permettrait de débloquer des lignes de crédit à l’insu de son utilisateur légitime).
Il s’agit d’une question à traiter au niveau stratégique. Selon la vision de l’entreprise, les produits sécurisés manipuleront des biens de plus ou moins grandes valeurs, ce qui impacte directement les développements et les certifications. Plus la valeur des biens est importante, plus les menaces le sont aussi, et le produit doit être conçu pour résister aux attaques correspondantes.
C’est lorsque l’entreprise définie sa Vision Stratégique qu’il faut considérer quelles pertes seraient engendrées pour l’entreprise, en cas d’attaque réussie sur un de ses produits.

Quel est le lien entre ce qui précède et la conception d’un schéma d’évaluation sécuritaires ?

Gérer une entreprise, ce n’est pas développer un produit, ni faire de l’expertise sécuritaire ou connaitre les schémas de certification ; c’est de la gestion d’entreprise.

Pour concevoir un schéma de certification apportant un meilleur ratio coût/efficacité, ainsi que pour optimiser le coût total d’un produit de sécurité, les décideurs ont besoin d’un moyen simple et efficace, qui leur permet de prendre en compte la question des « pertes engendrées » dans leur vision stratégique.
Une meilleure appréhension des technologies sécuritaires et des certifications par les dirigeants, aura un effet positif sur l’expansion du marché car cela améliorera leur perception de la sécurité dans les produits, et cela permettra de concevoir des schémas de certification proposant un meilleur ratio coût/efficacité.

Conclusion

Établir des canaux de communication entre la gestion d’entreprise et les technologies sécuritaires est un facteur clé de succès pour concevoir un schéma de certification doté d’un très bon rapport coût/efficacité ; en outre les dirigeants verront améliorée leur vision stratégique des marchés des technologies sécuritaires.

La solution qui nous apparait la plus appropriée comprend une méthodologie et un vocabulaire dédié à la description des vulnérabilités, des attaques, de la valeur des biens, etc. sans qu’aucune connaissance technique ne soit nécessaire à priori. Cela permettra aux dirigeants définir les besoins sécuritaires, qui seront traduits en spécifications techniques par la R&D. Les responsables techniques utiliseront la même méthode pour communiquer dans l’autre sens.
Cette solution de communication facilitera les échanges dans le sens top-down et dans le sens bottom-up, afin de lier la stratégie et la technologie via une vision partagée.

AiBiZU DSX a déjà étudié ce sujet, et nous estimons que cela peut devenir une réalité dans un futur très proche.