Points clés
- Prioriser la sécurité des systèmes essentiels suppose une méthode rigoureuse fondée sur l'analyse de risque et non sur l'intuition.
- La méthode doit partir de l'impact métier pour remonter vers les composants techniques, et non l'inverse.
- TIBER-EU fournit un cadre de test de la résilience des systèmes critiques financiers basé sur des scénarios de menace réels.
- SWIFT CSP distingue les contrôles obligatoires des contrôles recommandés selon la criticité des composants dans la chaîne de paiement.
- MAS TRM impose de définir des objectifs de temps de récupération (RTO) et de point de récupération (RPO) spécifiques pour chaque système critique.
Face à des ressources limitées et une surface d'attaque qui s'étend, la tentation de tout protéger également est contre-productive. La prioritisation n'est pas un aveu de faiblesse — c'est la condition d'une allocation efficace. Les organisations qui protègent tout au même niveau finissent par ne protéger rien suffisamment.
La méthode de prioritisation des systèmes critiques repose sur deux axes : l'impact de l'indisponibilité sur les fonctions métiers essentielles, et la probabilité d'une compromission compte tenu du niveau d'exposition et de la menace. Ces deux axes, combinés, produisent une matrice de risque qui guide l'allocation des investissements de sécurité.
La Business Impact Analysis comme point de départ
La Business Impact Analysis (BIA) est le socle de toute stratégie de protection des systèmes critiques. Elle part des processus métiers essentiels — ceux dont l'interruption entraîne des conséquences inacceptables — pour identifier les systèmes qui les supportent. ISO 22301 formalise cette démarche et définit les notions de RTO (Recovery Time Objective) et RPO (Recovery Point Objective) qui constituent les exigences de continuité pour chaque système critique.
MAS Technology Risk Management guidelines imposent aux institutions financières de réaliser une BIA annuelle et de documenter les RTO/RPO de chaque système ICT critique. Ces objectifs doivent être validés par la direction, testés au moins annuellement et mis à jour lors de chaque changement significatif d'architecture.
TIBER-EU : tester la résilience des systèmes critiques
TIBER-EU (Threat Intelligence-Based Ethical Red Teaming) est le cadre européen de test de résilience des institutions financières. Il repose sur des scénarios de menace construits à partir de renseignements sur les cybermenaces réelles ciblant le secteur. Ces scénarios sont exécutés par des équipes de red team agréées, contre les systèmes critiques des institutions participantes.
Le cadre TIBER-EU impose de tester en priorité les systèmes qui supportent des fonctions critiques définies par les autorités nationales compétentes. Ce principe de prioritisation par la criticité fonctionnelle, et non par la valeur technique des actifs, est l'approche recommandée pour les exercices de sécurité offensive.
Arbitrages de direction sur les investissements de protection
Les arbitrages d'investissement en sécurité des systèmes critiques doivent être conduits par la direction avec une information précise sur le risque résiduel. Le CISO ou le RSSI doit présenter des options chiffrées : coût de la mesure de protection, réduction du risque attendue, coût estimé de l'incident évité. Cette présentation permet une décision documentée, non un vague consensus sur les priorités.
Les régulateurs — BCE, FCA, MAS — examinent cette documentation lors des inspections. Une organisation incapable de produire les arbitrages d'investissement de sécurité liés à ses systèmes critiques s'expose à des observations formelles sur la qualité de sa gouvernance des risques.
Face à l'escalade des tensions autour de l'Ukraine, la CISA a lancé le programme Shields Up en février 2022, fournissant aux opérateurs d'infrastructures critiques américains une liste de priorités de sécurité à mettre en œuvre immédiatement. Cette liste — authentification multifacteur, correctifs urgents, sauvegarde hors ligne — constitue la prioritisation minimale recommandée pour les systèmes critiques. Plus de 150 000 organisations américaines l'ont utilisée comme guide d'arbitrage.
Depuis 2018, la Banque Centrale Européenne a coordonné des exercices TIBER-EU dans 13 pays européens. Ces exercices ont permis d'identifier, dans les institutions financières participantes, des vulnérabilités dans des systèmes classifiés critiques qui n'avaient pas été détectées par les audits conventionnels. Les résultats, confidentiels, ont conduit à des plans de remédiation prioritaires sur les systèmes de règlement, de tenue de comptes et de gestion des garanties.
Les Technology Risk Management guidelines de la MAS imposent aux institutions financières de Singapour de définir et documenter leurs systèmes critiques, de fixer des RTO inférieurs à quatre heures pour les systèmes de catégorie la plus élevée, et de tester ces objectifs annuellement. La MAS effectue des inspections sur site pour vérifier la cohérence entre les RTO documentés et les capacités réelles de récupération testées. Les institutions ne respectant pas ces exigences font l'objet d'actions de supervision formelles.