CERT Resiliency Engineering Framework un meta-modèle pour la gestion des risques et leurs conséquences

Par Xavier Poli, secuobs.com
Le 13/11/2008

---

Résumé : Le CERT CC publie un document permettant de comprendre les concepts liés à son modèle d’évaluation de la gestion des risques au sein des organismes et notamment leur faculté à répondre aux situations de crise. - Lire l'article



Sur son site web ( lien ), le CERT CC (Computer Emergency Response Team Coordination Center ) met à disposition un document, au format pdf, intitulé « CERT® Resiliency Engineering Framework (REF) Outline » ( lien ) visant à offrir un aperçu de son « Resiliency Engineering Framework » ( REF - lien ) ; REF consiste en un cadre modulaire de gestion des organismes via un ensemble d'outils et de méthodes conventionnelles en vue de faciliter leurs réponses à des situations de crise où la sécurité intrinsèque des infrastructures et des entités est mise en jeu.

Le programme CERT CC fait partie du Software Engineering Institute ( SEI - lien ), c’est un centre de recherche et de développement qui est financé par le gouvernement fédéral et qui se trouve à l'Université Carnegie Mellon ( lien ) de Pittsburgh, en Pennsylvanie. Le CERT CC a été créé en décembre 1988 suite au fameux ver Morris ( lien ) à la demande du DARPA ( Defense Advanced Research Projects Agency - lien ) ; le SEI est alors chargé de fonder un pôle de coordination entre les experts du domaine de la sécurité afin de faire face à des situations d'urgence, ce sera en l’occurrence le CERT CC.

Néanmoins, les responsabilités incombant à ce centre de coordination ont depuis été substantiellement élargies de par la rapide croissance d’Internet et les changements progressifs dans les risques inhérents au paysage numérique international avec notamment une recrudescence des vecteurs d’attaques couplée à une complexité grandissante de celles-ci qui ne facilitent pas dans leur ensemble l’identification des risques et la mise en place de réponses efficaces.

Le CERT CC travaille depuis plusieurs années maintenant à l'amélioration des processus opérationnels de gestion de la résilience ( lien ) relative à ces situations d’urgence au sein des organismes ; il intervient également en tant que conseil dans la gestion quotidienne de l'ingénierie. Ce travail se concrétise notamment par la mise à disposition de la méthode OCTAVE ( Operationally Critical Threat, Asset, and Vulnerability EvaluationSM - lien ) ainsi que par le développement de différents outils et supports permettant d’aider les organismes à mieux gérer les facteurs de risques.

Le REF se présente comme un modèle visant deux objectifs principaux : le premier consiste en la convergence, vers un modèle unique, de la gestion du risque opérationnel avec celle de la résilience des activités de gestion alors que le second vise l’amélioration des processus de gestion opérationnelle. Parmi les spécificités de ce modèle, on notera une liste de 24 zones distinctes réparties à travers les quatre catégories majeures que sont la gestion de l'entreprise, celle de l'ingénierie ainsi que celles concernant les opérations et les processus.

La concentration devant s’opérer sur les quatre actifs essentiels suivant : les personnes, les informations, la technologie et enfin les infrastructures. Ces différentes zones peuvent se voir affecter un statut spécifique via une échelle à cinq niveaux (incomplet, exécution, gestion, mise en œuvre, amélioration) qui fait partie intégrante de ce modèle de maturité ( CCMI - lien ).

Le REF peut également être perçu comme un meta-modèle des cadres de bonne conduite ; il permet en effet d’intégrer des références à des standards existants tels que la série ISO27000 ( lien ) l’ITIL ( Information Technology Infrastructure Library ( lien ) et le CobiT ( Control Objectives for Business and Related Techonology - lien ) ainsi que le BS25999 (lien ) et l’ISO24762 (lien ).

Par ailleurs, le référentiel proposé par le CERT CC comprend aussi des mesures spécifiquement mises en œuvre afin de fournir des capacités d’auto-évaluation ( REF Capability Appraisals - lien ) des performances vis-à-vis des objectifs fixés tout en facilitant de façon objective l’analyse des données qui en sont extraites ; ces outils de mesure pouvant en outre être utilisés pour évaluer les capacités de gestion d’un tiers vis-à-vis des différents facteurs de risques évoqués précédemment.