Points clés
- La priorisation de la protection des systèmes critiques commence par une définition claire de ce qui est "critique" — exercice de gouvernance, pas uniquement technique
- Le Crown Jewels Analysis (CJA) est la méthodologie documentée pour identifier les actifs les plus précieux et les mieux protéger
- CISA identifie 16 secteurs d'infrastructures critiques aux États-Unis ; les organisations définissent leurs propres actifs critiques selon ce cadre
- Les ressources de sécurité étant limitées, leur allocation selon la criticité est une décision stratégique à portée financière directe
Toutes les ressources de sécurité — budgets, équipes, outils — sont limitées. Elles ne peuvent pas être déployées de manière uniforme sur l'ensemble du patrimoine informatique d'une organisation. La priorisation est donc inévitable : certains systèmes seront mieux protégés que d'autres. La question n'est pas de savoir si on priorise, mais de savoir si on le fait de manière explicite et fondée, ou de manière implicite et aléatoire.
La priorisation explicite commence par l'identification des systèmes critiques — ceux dont la compromission ou l'indisponibilité aurait les conséquences les plus significatives pour l'organisation : perte de revenus, exposition de données sensibles, violation des obligations réglementaires, ou risque pour la sécurité des personnes. Cette identification est un exercice de gouvernance qui implique les directions métiers autant que les équipes techniques.
Les critères de criticité
La criticité d'un système s'évalue selon plusieurs dimensions : son impact sur la continuité d'activité (que se passe-t-il si ce système est indisponible 1 heure, 1 jour, 1 semaine ?), la sensibilité des données qu'il traite (données personnelles, données financières, propriété intellectuelle, données réglementées), son exposition réglementaire (système soumis à des exigences de conformité spécifiques), et ses interdépendances (un système "non critique" qui en alimente un critique devient critique par transitivité).
La méthode Crown Jewels Analysis (CJA), développée par le Carnegie Mellon Software Engineering Institute, propose une approche structurée pour identifier les actifs les plus précieux d'une organisation et définir les niveaux de protection appropriés. Elle est utilisée notamment par les organisations de défense et de sécurité nationale, mais ses principes sont applicables à tout type d'organisation.
L'allocation des ressources de protection
Une fois les systèmes critiques identifiés, l'allocation des ressources de protection peut être rationalisée : investissements prioritaires en défense en profondeur pour les systèmes critiques, tests d'intrusion ciblés sur les actifs les plus précieux, équipes de surveillance dédiées aux systèmes à forte criticité, et plans de continuité d'activité avec RTO/RPO renforcés pour les systèmes dont l'indisponibilité aurait les impacts les plus significatifs.
Cette allocation doit être documentée et révisée régulièrement. L'évolution des systèmes, des processus métiers et du paysage des menaces peut modifier la criticité relative des actifs. Un système qui était secondaire peut devenir critique suite à une transformation métier ; un actif critique peut être remplacé par un système mieux conçu.
La communication de la criticité aux instances de gouvernance
La cartographie des systèmes critiques et l'allocation des ressources de protection doivent être communiquées aux instances de gouvernance — conseil d'administration, comité de direction — sous une forme qui permet une prise de décision éclairée. Cette communication inclut : l'identification des actifs les plus critiques, leur niveau de protection actuel, les risques résiduels et les investissements nécessaires pour les réduire.
Le Forum Économique Mondial recommande que les conseils d'administration des grandes organisations reçoivent au minimum annuellement un rapport sur la protection de leurs actifs critiques, avec une évaluation indépendante de l'adéquation des mesures en place par rapport aux menaces actuelles.
La Réserve Fédérale américaine a développé un cadre de classification des actifs critiques qui distingue les "mission-critical systems" (systèmes dont la défaillance affecterait directement la stabilité du système financier) des systèmes importants et des systèmes standards. Chaque catégorie dispose d'exigences de protection, de continuité et de test différenciées. Ce cadre, non entièrement public pour des raisons de sécurité, est devenu un modèle de référence pour les régulateurs bancaires mondiaux qui développent leurs propres frameworks de criticité des systèmes.
Suite à la compromission de 2020, l'EMA a développé une classification formelle de ses actifs numériques selon leur criticité pour la mission de l'agence. Les systèmes contenant des données d'essais cliniques non publiées et les systèmes d'évaluation des médicaments ont été classés comme actifs critiques de niveau 1, bénéficiant de mesures de protection renforcées incluant des réseaux isolés, des accès strictement limités et des tests de sécurité trimestriels. Cette classification a été présentée au Parlement européen comme démonstration de la gestion des risques post-incident.
La MAS a publié des guidelines imposant aux institutions financières singapouriennes de définir formellement leurs "Critical Systems" selon des critères précis : systèmes dont l'indisponibilité prolongée affecterait la fourniture de services financiers essentiels. Pour chaque système critique, des exigences de RTO (Recovery Time Objective) et de RPO (Recovery Point Objective) sont imposées, avec des obligations de test annuel. Les résultats des tests doivent être communiqués à la MAS, qui peut exiger des investissements de remédiation si les résultats sont insuffisants.