FLASH INFORMATIQUE FI



Pourquoi faut-il modéliser le risque informatique ?




Patrick AMON


C’est un lieu commun que d’affirmer que notre monde est de plus en plus interconnecté. Et cette interconnexion ne date pas d’hier. À l’époque coloniale, déjà, les colonies et la Métropole étaient étroitement liées économiquement, et ce, sur des échelles considérables - on disait au début du XXe siècle que le soleil ne se couchait jamais sur l’empire britannique. Mais le développement des moyens de communication modernes a considérablement intensifié cette tendance, en particulier par la diminution des délais de transmission de l’information. La production Just-in-time a globalisé la chaîne de production, avec les conséquences logiques qu’un ralentissement d’un seul maillon de la chaîne peut entraîner des dérangements, voire un arrêt de l’ensemble de celle-ci L’intégration des moyens de production a donc pour effet d’affaiblir la redondance qui aurait pu exister dans un système dans lequel les moyens de production étaient plus distants.
Il est inutile d’extrapoler et d’affirmer que le processus de production intégré est une nouveauté, des systèmes comparables existent depuis la plus haute Antiquité, en passant par les débuts de l’ère industrielle sur le continent américain. A titre d’exemple pendant la grande dépresssion une chaîne de production globale avait été créée entre Pittsburgh en Pennsylvanie et New York de façon à ce que l’acier nécessité pour la construction de l’Empire State Building ne doive jamais être entreprosé et arrive encore relativement chaud à New York après avoir transité par l’Hudson et avoir été produit à Pittsburgh.
Cependant, l’ampleur de ce processus tel qu’il existe aujourd’hui est relativement nouvelle et a été rendue possible par l’émergence de technologies nouvelles, dont l’Internet.
Cette interconnexion nous rappelle avec insistance qu’il est impératif de comprendre le risque qui en dérive, puisqu’un dérangement même localisé peut avoir des conséquences globales.
Ce type d’analyse du risque s’appelle en jargon financier le risque opérationnel, c’est-à-dire qu’il sort du cadre peut-être mieux défini et compris du risque lié aux risques de crédit, de marché et éventuellement de liquidité. Le risque de crédit est concerné par la capacité financière des contreparties à honorer un engagement (= le risque de défaut) ; le risque de liquidité adresse l’échec d’une transaction par manque de contrepartie (et non pas l’incapacité de la contrepartie à honorer son engagement) et le risque de marché prend en considération les changements d’évaluation, ou de valorisation, des marchés.
Telle qu’elle a été mise sur pied, la technologie Internet est conçue pour offrir des redondances. Chaque point d’un réseau est généralement accessible via plus d’une route, du moins jusqu’à un certain niveau. Une redondance peut s’établir au simple niveau de la machine, si par exemple un certain fichier sur une certaine machine devient inaccessible en cas de panne de celle-ci. En revanche, les voies conduisant à cette machine passeront généralement par un fournisseur de services qui sera relié à d’autres segments de l’Internet à travers un enchevêtrement de réseaux, accessibles à plusieurs niveaux. Il est toutefois intéressant de noter que la machine individuelle est généralement connectée à un seul câble Ethernet, ce qui rend le niveau de redondance inconstant le long du réseau reliant une machine à une autre. Si on tire un trait entre deux machines, les points les plus proches du milieu du trait ont toutes les chances d’avoir une connectivité et une redondance différentes de ceux proches de la fin de la ligne. Le degré exact d’interdépendance entre cette redondance et son emplacement le long du réseau n’est pas clair du tout et c’est un des problèmes fondamentaux qu’ISIS (Centre interdisciplinaire de sécurité d’information et des systèmes) s’efforce d’éclaircir (lire article du Professeur Lenstra dans ce numéro).
Cette redondance relative de l’infrastructure informatique est toutefois limitée par la prédominance d’un petit nombre de vendeurs et de technologies (monoculture), ce qui facilite la propagation à l’ensemble du réseau d’un seul défaut ou type de défaut. La nature de ce type de risque est assez différente de celle qui affecterait un autre réseau à large portée, tel le réseau électrique, où les coûts tant financiers qu’environnementaux empêchent la construction de structures redondantes, provoquant immédiatement un effet de dominos en cas de problème (ex. une panne électrique dans l’État de l’Ohio l’année passée s’est étendue à toute la côte Est des États-Unis). Le problème ici est l’homogénéité des infrastructures existantes, et pas le manque de redondance. Sur l’Internet, tandis qu’un nombre limité de systèmes (ex. les serveurs DNS) est au centre d’un système global, il existe un nombre significatif de redondances (un nombre limité, et pas aussi grand que l’on serait porté à le croire) construites dans la structure même du système. Cependant, cette redondance tombe si un certain nombre de causes deviennent capables de déranger rapidement un grand nombre d’agents également vulnérables ou dépourvus de protection contre ces causes. En d’autres termes, une fois que quelqu’un a découvert comment interrompre une seule machine, il devient un jeu d’enfant d’étendre ce procédé à toutes les machines du même genre, ce qui peut finir par représenter un pourcentage significatif de la technologie requise pour aller d’un point à l’autre. C’est comme lorsque dans le cas d’une pandémie, un seul virus se propage à tous les hôtes également vulnérables à ce type d’infection. Une population plus diversifiée augmente la possibilité que certains segments de celle-ci aient déjà été confrontés à ce germe et développé les anticorps nécessaires.
Donc, la redondance ne suffit pas. La diversité est également essentielle. Mais tant la redondance que la diversité vont directement à l’encontre des économies d’échelles, qui ont tendance à consolider et à pousser les infrastructures en direction de la plus grande uniformité possible, au moins aussi longtemps que le coût de mitigation du risque informatique n’est pas pris en considération dans l’équation.
Un autre obstacle à la redondance est le souci de confidentialité et de traçabilité des données. Il est évident que plus il existe de copies d’une pièce d’information donnée, plus il devient difficile de sécuriser correctement cette information. Finalement, les données les plus sûres sont celles qui sont verrouillées dans un endroit secret et inaccessible. Cette approche, en revanche, interfère avec la facilité d’utilisation de l’information : elle est là, mais personne ne peut y accéder. Une meilleure facilité d’utilisation de l’information augmente son accessibilité donc sa visibilité. La seule solution possible à ce conundrum est la cryptographie, qui restreint l’accès à l’intelligibilité des données sans enfreindre l’accès aux données elles-mêmes.

En résumé, donc, la sécurité et l’accessibilité de l’information doivent être mesurées en considérant quatre mesures :

  1. la confidentialité : il est nécessaire que l’information ne soit accessible qu’aux personnes autorisées ;
  2. l’accessibilité : la capacité d’accéder à l’information ;
  3. la traçabilité : la capacité de savoir qui a eu accès à l’information ;
  4. l’intégrité : la capacité d’avoir la certitude que l’information n’a pas été altérée.

Bien entendu, comme nous l’avons mentionné plus haut, ces mesures ne sont pas forcément indépendantes et des concessions sont en pratique nécessaires. Ainsi l’accessibilité de l’information peut être difficile à concilier avec la confidentialité de celle-ci. L’art du contrôle du risque informatique consiste largement à obtenir un conjonction optimale de ces quatre dimensions dans un but donné. La multiplicité de ces dimensions d’évaluation rend la gestion du risque informatique particulièrement ardue tant d’un point de vue technique qu’organisationnel.

Pourquoi le risque informatique est-il différent ?


Le contrôle du risque est devenu un instrument standardisé en gestion d’entreprise, enseigné à tous les analystes quantitatifs et aujourd’hui largement formaté en un ensemble d’outils standards et acceptés.
Ce qui a rendu possible cet état de fait a été l’émergence d’une méthodologie proposée, RiskMetrics, au milieu des années 1990, inspirée, mais pas copiée, par ce qu’utilisait la banque J.P Morgan. RiskMetrics était basé sur des données facilement accessibles, les prix et la corrélation existant entre les variations de ces prix. En outre, la méthodologie est librement publiée, tout comme les ensembles de données de base qui permettaient d’effectuer de nombreux calculs de risque d’une manière simple et peu onéreuse. Ce fut une révolution. Soudain, la notion de risque était définie, et on proposait un moyen systématique, formel et réaliste de l’évaluer. La méthodologie, ou plutôt la famille de méthodologies, proposée fut si largement adoptée qu’elle fut plus tard formalisée sous forme de loi à travers le mécanisme du Comité de Bâle pour les Transactions Internationales, qui règlemente l’activité bancaire dans les pays membres (dont font partie la plupart des grandes puissances). À partir de là, il devint obligatoire pour les banques de calculer et d’établir leurs rapports de risques sur la base du framework accepté, tout comme d’établir leurs standards de solvabilité sur la base de ces risques calculés.
On aurait pu s’attendre à un phénomène comparable dans le cadre du risque informatique, mais cela n’a pas encore été le cas, et ce pour plusieurs raisons :
La première, qui est peut-être aussi la plus compliquée, est que les données relatives à l’opération du réseau ont été, par le passé, généralement très difficiles à obtenir. Vu qu’il n’existe pas de modèle accepté relatif à l’évaluation du risque informatique, personne ne sait précisément quelles sortes de données il s’agit de collecter, et quand bien même des données seraient collectées, cela est effectué d’une manière propriétaire, fermée, parfois grossière, qui rend l’interprétation de celles-ci difficile. Et lorsque l’information n’est pas standardisée, il devient très difficile de la partager et de l’analyser de manière efficace. L’accessibilité et la facilité d’utilisation limitées des données pénalisent également leur analyse, empêchant l’émergence de modèles acceptables qui permettraient de savoir ce qu’il faut rechercher dans les données collectées, et par conséquent l’acquisition de données utiles supplémentaires.
Outre les barrières techniques, le manque de cadre réglementaire permettant de faire respecter l’existence du risque informatique a freiné la dissémination de données ponctuelles (rapports d’intrusions ou autres anomalies informatiques) liées à ce dernier, avec pour conséquence une sous-estimation de l’ampleur de ce risque. Peu d’évènements témoignant de la fragilité de l’informatique sont rendus publics, et les cas lors desquels de l’information a purement et simplement été perdue ne le sont généralement pas.
Un autre obstacle au contrôle du risque informatique est la difficulté d’évaluation du bien dont la perte est mesurée : l’information. Tandis que les marchés financiers n’ont aucun problème à évaluer les actifs et les passifs, la nature pluridimensionnelle de l’information la rend justement difficile à apprécier. La valeur d’une information peut découler de sa confidentialité (l’accès à un compte bancaire permettant un libre accès à celui-ci), ou au contraire de sa publicité (un numéro de téléphone). Il en résulte ainsi qu’il est plus difficile de valoriser une information qu’un actif traité sur un marché ouvert et dont le prix est facilement observable. Peut-être donc le moyen le plus facile d’évaluer une information serait-il de mesurer les pertes découlant de la compromission de celle-ci. Le problème reste toutefois le manque de publicité donné aux pertes informatiques, ce qui rend difficile d’inclure la composante de cette perte dont la valeur de sa composition. En d’autres termes, l’évaluation de l’informatique, et par extension de toute l’infrastructure qui la soutient, est un phénomène complexe dont la poursuite requiert le développement de nouveaux paradigmes nécessitant de comprendre les processus d’utilisation des données et non seulement les données elles-mêmes.

Où allons-nous ?


Nous avons donc établi que le risque informatique est élevé. Ce que nous ignorons encore, c’est si nous pouvons y faire quelque chose. La réponse est oui ! Il y a des choses que nous pouvons et devons faire. La première est de proposer un modèle réaliste décrivant l’émergence du risque et sa propagation. Ce modèle doit résulter de l’effort commun de plusieurs intervenants :

  • les juristes et preneurs de décisions doivent trouver les motivations adéquates pour s’assurer de la collaboration des principaux acteurs et déterminer les mesures légales appropriées ;
  • les experts techniques doivent comprendre l’infrastructure et ses connexions, et générer les données nécessaires à ces mesures d’évaluation ;
  • les économistes, économètres et ingénieurs financiers doivent construire le cadre d’évaluation de cette information ;
  • les organisations publiques doivent soutenir et promouvoir cette méthodologie.

Nous devons ensuite proposer, en accord avec les différents intervenants concernés, un cadre de modélisation de ce risque, et avec l’appui des experts techniques, obtenir le flux de données et l’information économique en découlant. Nous devons ensuite faire jouer le modèle avec les données jusqu’à ce que les deux s’accordent. Puis nous devons créer les motivations permettant d’étendre ce contrôle du risque à l’ensemble de la société. C’est à cette mission que s’emploie ISIS. Il s’agit d’un forum réunissant les experts rattachés à toutes les divisions du processus afin de comprendre les questions critiques affectant le risque informatique et comment le gérer. Notre objectif est d’encourager les discussions interdisciplinaires afin d’établir un cadre de travail commun, le mettre sur pied et le tester en regard de données expérimentales réelles, dans un esprit de science et d’ingénierie. Nous avons la chance à l’EPFL de disposer d’experts dans nombre de matières nécessaires à l’accomplissement de cette ambitieuse mission, et la capacité de nous appuyer sur des ressources considérables, relevant tant du public que du privé, pour aller de l’avant. Nous sommes impatients de nous attaquer à la montagne de travail nécessaire à la résolution des problèmes énoncés ci-dessus.



Cherchez ...

- dans tous les Flash informatique
(entre 1986 et 2001: seulement sur les titres et auteurs)
- par mot-clé

Avertissement

Cette page est un article d'une publication de l'EPFL.
Le contenu et certains liens ne sont peut-être plus d'actualité.

Responsabilité

Les articles n'engagent que leurs auteurs, sauf ceux qui concernent de façon évidente des prestations officielles (sous la responsabilité du DIT ou d'autres entités). Toute reproduction, même partielle, n'est autorisée qu'avec l'accord de la rédaction et des auteurs.


Archives sur clé USB

Le Flash informatique ne paraîtra plus. Le dernier numéro est daté de décembre 2013.

Taguage des articles

Depuis 2010, pour aider le lecteur, les articles sont taggués:
  •   tout public
    que vous soyiez utilisateur occasionnel du PC familial, ou bien simplement propriétaire d'un iPhone, lisez l'article marqué tout public, vous y apprendrez plein de choses qui vous permettront de mieux appréhender ces technologies qui envahissent votre quotidien
  •   public averti
    l'article parle de concepts techniques, mais à la portée de toute personne intéressée par les dessous des nouvelles technologies
  •   expert
    le sujet abordé n'intéresse que peu de lecteurs, mais ceux-là seront ravis d'approfondir un thème, d'en savoir plus sur un nouveau langage.