Accueil | AID | Actualités | CACyRA : Un logiciel pour l’automatisation des analyses de risques cyber AID ... Actualités | CACyRA : Un logiciel pour l’automatisation des analyses de risques cyber

CACyRA : Un logiciel pour l’automatisation des analyses de risques cyber

Mise à jour  : 25/03/2021 - Direction : AID

La Cybersécurité est devenue un enjeu majeur stratégique des secteurs publics et privés, civils et militaires. Par la multiplication des échanges, des interconnexions et des projets collaboratifs, les systèmes d’information (SI) sont en perpétuelle évolution et de plus en plus exposés à des vulnérabilités de toute nature. Dans ce contexte, l’objectif du projet CACyRA « Continuous Adaptive Cyber Risk Assessment » est de construire une cartographie des cyber-risques, de façon automatique et en mode agile, de tout type de système d’information. Accompagné par l’Agence de l’innovation de défense, le projet est porté par EGERIE, société française spécialisée dans la gestion des risques cyber, et par le centre d’expertise et d’essais DGA Maîtrise de l’information.

 

Des solutions de gestion des risques existent aujourd’hui au niveau mondial. Celles-ci, même si elles ne sont pas spécifiques au monde cyber, adressent une vision globale des risques. Ces solutions généralistes et très structurantes ne permettent pas correctement de faire face à la problématique de l’évolution dynamique des cyber risques ni un suivi fin de leur traitement. Les acteurs industriels et institutionnels recherchent de plus en plus à se doter de solutions professionnelles qui leur permettraient de gagner en efficacité sur ce domaine.

L'objectif du projet CACyRA est d'automatiser la production d'analyses de risques cyber. Le projet s’articule autour du logiciel d'analyse de cyber-risques EGERIE RiskManager, développé par EGERIE, qui cartographie les cyber-risques et recommande des actions1. Grâce à cette plateforme, les experts peuvent se concentrer sur les points sensibles des analyses de risques (comme la définition des biens essentiels, le choix des mesures de sécurité ou la validation des risques identifiés). La cartographie des risques est plus complète, de meilleure qualité et tenue à jour car le système permet d'être plus exhaustif, notamment lors de la phase de collecte des informations.

CACyRA a permis d’améliorer le logiciel EGERIE RiskManager en créant un système agile de réalisation des analyses de risques s’intégrant aux outils d’ingénierie système.

Le système d’analyse de risques cyber automatique se décline en 5 phases :

  • La phase dite de contexte : L’utilisateur décrit les systèmes cibles et précise les éléments de métrique ;
  • La phase dite de collecte durant laquelle le logiciel va collecter, de façon automatique, les différentes informations provenant du SI à analyser ;
  • La phase de précision, durant laquelle l’utilisateur peut ajouter ou réorganiser, via une interface, les données essentielles ;
  • La phase de calculs : le logiciel va définir le niveau de risque brut, net et résiduel des informations collectées. L’utilisateur peut ensuite choisir les mesures de sécurité les plus appropriées qu’il souhaite voir appliquées.
  • Les résultats : EGERIE RiskManager produit finalement une cartographie des risques. Si l’utilisateur la juge satisfaisante, il la valide. Le système génère un rapport de l’analyse de risques cyber.

Par l’automatisation de l’ensemble des taches, CACyRA permet de réduire les coûts de réalisation de l’analyse de risques cyber et d’arriver plus rapidement à un niveau de maturité plus élevé en Cybersécurité.

  

1* Dans le cadre de l'homologation des SI et du respect des normes ISO 2700x et EBIOS


Droits : AID