HAZOP

Peut-on appliquer la méthode HAZOP à la cybersécurité ?

La méthode HAZOP s’applique à l'analyse des risques cyber de l'entreprise industrielle. Avantages, inconvénients et démarche appliquée au SI : suivez le guide.

C-RiskC-Risk
Publié le 3 décembre 2021 (Mise à jour le 10 février 2022)

Les sociétés industrielles se confrontent constamment aux risques cyber qui planent sur leurs installations. Très concernées par les enjeux de cybersécurité des entreprises en 2021, elles s’exposent aux défaillances et erreurs humaines mais également aux cyberattaques d’employés mécontents, de concurrents, de pirates informatiques ou, dans le pire des cas, d’Etats terroristes. Cette menace croissante impose de se doter d’un processus performant d’analyse des cyber risques. Les méthodes en la matière sont nombreuses. Choisir la méthode HAZOP pour évaluer les risques informatiques permet-elle d’obtenir une analyse systémique et exhaustive, sans disperser les efforts ?

Qu’est-ce que la méthode HAZOP ?


La méthode HAZOP se destine prioritairement à l’analyse des risques industriels des entreprises. Conceptualisée par la société Imperial Chemical Industries, elle vise à assurer la sécurité des procédures.

Définition de la méthode HAZOP

“HAZOP” est l'acronyme de l’anglais “HAZard and Operability studies”. En français, cette méthode peut donc se traduire comme une “analyse des risques de fonctionnement”. Elle sert, en première intention, à analyser les risques potentiels liés aux activités de l’industrie.

En France, la méthode HAZOP se retrouve notamment dans la norme CEI 61882. On lui trouve également des similitudes avec la méthode AMDEC, Analyse des Modes de Défaillances de leur Effets et de leur Criticité. L’HAZOP s’applique à identifier des risques de tous ordres : matériels, procéduraux ou humains. L’AMDEC s’attache, quant à elle, à la mise en évidence des défaillances systémiques et à l’identification de combinaisons cause - défaillance - conséquence. Ces deux méthodes sont complémentaires dans la lutte contre le risque cyber.

À qui s’adresse la méthode HAZard and Operability studies ?

Traditionnellement, la méthode HAZOP se destine aux industries pétrolières, pharmaceutiques et chimiques dans le cadre de l'analyse des risques liés aux processus. L’analyse des risques cyber de ces structures est historiquement basé sur des méthodes comme la MEthode Harmonisée d'Analyse des RIsques (MEHARI), ou l’Expression des Besoins et Identification des Objectifs de Sécurité, EBIOS.

La méthode HAZOP peut en fait s’adapter efficacement au domaine de la sécurité informatique des industriels. Elle permet effectivement d’identifier des cyber risques potentiels insoupçonnés, et pourtant probables. C’est notamment HAZOP qui aide à déceler les risques de pertes commerciales liées à la cybersécurité de l'industrie, et notamment à une faille capable d’arrêter la production.

Un article intitulé Comment intégrer les cyberattaques dans l’évaluation globale des risques pour les installations classées rappelle les différents risques cyber qui pèsent sur le fonctionnement des industries. Dans certains scénarios de risques, les criminels peuvent agir pour des motifs financiers, comme c'est le cas de scénarios rançongiciels. D’autres scénarios peuvent illustrer une tentative de concurrence déloyale. Dans de rares cas, la cyberattaque est le fait d’une organisation étatique aux objectifs terroristes ou militaires.

Ce même papier énumère ainsi un nombre conséquent de cyberattaques sur des industriels, lesquelles comprennent :

  • La désactivation d’un système de détection de fuite dans des canaux pétroliers ;
  • Des coupures de distribution électriques ;
  • Le cryptage de données hospitalières ;
  • Des malwares qui prennent le contrôle des robots de sécurité ;
  • Certains dysfonctionnements au niveau des mesures automatiques effectuées dans les industries nucléaires et pétrolières.
HAZOP est une méthode d’analyse industrielle

À quoi sert cette méthode d’analyse du risque ?

Au départ, la méthode HAZOP sert à analyser des procédés chimiques, puis industriels. Elle évalue la sécurité des installations liées aux systèmes de température, de débit et de pression, entre autres. Les dangers éventuels apparaissent alors en croisant des “mots-clés” porteurs d’une situation inhabituelle - par exemple “plus de pression”, ou “moins de débit” - avec les paramètres de déroulement habituels des opérations.

Cette démarche identifie des causes de risques inconnues et inattendues. Elle évalue aussi l'efficacité des moyens de prévention du risque déjà en place.

Le grand avantage de la méthode HAZOP consiste par ailleurs en son exhaustivité. Dans le cadre d’une gestion des risques qui anticipe tous les risques de cybersécurité, c’est un bon support pour synthétiser et garder une trace structurée et détaillée des cyber risques à un moment T.

Comment fonctionne la méthode HAZOP en cybersécurité ?


Dans le cadre d'une analyse des risques cyber, la méthode HAZOP doit s’adapter. Comme rappelé lors du 21e Congrès de Maîtrise des Risques et Sûreté de Fonctionnement, HAZOP implique habituellement la rencontre de “groupes de travail” compétents dans le domaine des procédés physiques de l’entreprise.

Dans le cadre de la cybersécurité, il convient d’associer à ces professionnels des intervenants spécialisés dans la maîtrise de la cybersécurité :

1 / Préparation de l’analyse Hazop : HAZard and Operability

L’entreprise détermine quels systèmes doivent faire l’objet d’une évaluation des risques cyber. En langage HAZOP, on identifie ainsi des sous-systèmes, les “nœuds”, aussi appelés “lignes”, ou “mailles”.

Dans le cadre d’un système informatique (SI), un système se compose, toujours selon le 21e Congrès de Maîtrise des Risques :

  • de matériels tels que les serveurs, le réseau ou les postes de travail ;
  • d’informations, et notamment de données sensibles ;
  • d’acteurs concernés par le processus ;
  • de flux d'échanges de données.
HAZOP s’applique à chaque sous système informatique

2 / Génération des “dérives” potentielles

La méthode HAZOP a pour spécificité de confronter des “mots-clés” représentatifs de problèmes éventuels aux paramètres de fonctionnement habituels des systèmes. Dans l’industrie, ces mots-clés sont généralement relatifs à la pression, au temps ou au débit. Appliquée à la cyber sécurité, la méthode HAZOP va cependant s’intéresser à d'autres critères, comme la disponibilité des systèmes, la confidentialité des données et leur intégrité (D-I-C).

La confrontation de ces risques au fonctionnement normal du système d’information amène alors l’équipe de travail à identifier des “dérives” éventuelles. La spécificité de la méthode HAZOP appliquée à la cybersécurité se lit d’ailleurs dans le fait qu’elle prend en compte les défaillances dues à des actes malveillants, et pas seulement à des erreurs ou vulnérabilités humaines.

L’équipe fixe ensuite la liste des dérives possibles issues des combinaisons paramètres / mots-clés, pour déclencher l’analyse des causes et conséquences potentielles.

3 / Identifier les causes et les conséquences des dérives

Une fois la liste des risques potentiels dressée, reste à évaluer leur vraisemblance puis leur impact. Il s'agit notamment d’évaluer l'impact du risque sur un système, selon différents critères qui dépendent de l’entreprise. Il peut s’agir d’un dommage pour les usagers, d’une atteinte à la réputation de la société ou à ses résultats commerciaux ou financiers.

Les nombreuses méthodes sont assez peu prescriptives et laissent le plus souvent les praticiens élaborer leurs grilles de mesure sur la base d’échelles nominales de type faible, moyen, élevé, à la fois pour la vraisemblance ou l’occurrence et la gravité de l’impact ce qui peut mener à des limitations notamment comme c’est le cas ici en pondérant les facteurs de risque de manière équivalente : haute probabilité X impact faible étant équivalent à faible probabilité X impact important.

Ces limitations sont malheureusement propres à toutes les méthodes qui reposent sur des échelles nominales ou même ordinales tel que cela est documenté dans la section 8.3 et les annexes de la norme ISO27005.

La méthode HAZOP repose sur le principe d’exhaustivité. L’équipe d’évaluation des risques va donc devoir générer toutes les défaillances probables, pour chaque “nœud” de chaque système. Elle doit ainsi viser ledit “épuisement des risques”. Du fait de cette aspiration à l’exhaustivité, la méthode s’applique cependant assez mal aux grosses structures sauf a envisager des efforts de recensement considérables.

Les plus grandes entreprises, et singulièrement lorsqu’il s’agit d’évaluer les risques liés a des systèmes d’information extrêmement complexes, profitent davantage de méthodes focalisées sur le champs des probables plutôt que celui de tous les possibles. Ainsi, les modèles de types VaR, Value at Risk qui portent principalement sur les nœuds vitaux pour la structure et pour sa création de valeur et permettent l’usage de statistiques et d’échelles quantitatives, plus rigoureuses et permettant des comparaisons utiles.

4 / Organisation de la prévention et recommandations

Le groupe de travail a ensuite la charge de proposer de nouveaux outils de détection et de prévention des cyber risques. Il peut s'agir de mesures organisationnelles visant la formation du personnel, ou la mise en place d’un système de veille informatique.

Les processus de prévention les plus souvent adoptés relèvent souvent de la prévention technique : antivirus et pare-feux, logiciels métiers dédiés à la surveillance du SI et à la détection des failles de cybersécurité.

Appliqué à l’industrie, le processus voit également naître des mesures de prévention matérielles, comme des dispositifs de barrières physiques visant à réduire les conséquences techniques d'une cyberattaque. Il peut par exemple s’agir de cuvette ou de soupapes. Les industriels misent aussi sur des sondes de détection des cyberattaques pour repérer les dangers qui pèsent sur le système de contrôle commande.

HAZOP implique l’interaction de groupes de travail

Avantages et inconvénients de HAZOP pour analyser le risque ?


La méthode HAZOP réside dans ses capacités à mettre en lumière des défaillances auxquelles personne n’a pensé. Elle est utile quand aucun événement dangereux ne s’est produit antérieurement à l’analyse, mais réclame donc aussi un gros travail d’anticipation de tous les probables.

C’est aussi une méthode très rigoureuse, qui fait interagir des équipes multidisciplinaires. HAZOP, appliquée à la cybersécurité, permet en outre de centraliser l’analyse, plutôt que de diluer les efforts dans plusieurs méthodes différentes.

Les inconvénients de la méthode HAZOP résident davantage dans le croisement des résultats :

  • elle n’aide pas forcément à mesurer les conséquences de la combinaison des dérives ;
  • elle n’identifie qu’une cause à chaque dérive ;
  • elle n’échappe pas aux défauts résultant de l’usage d’échelles nominales et ordinales.
  • elle demande beaucoup de temps aux équipes impliquées.

En conclusion, cette approche « exhaustive » et lourde est applicable à des environnements industriels complexes mais finis, délimités. A l’inverse, elle semble peu adaptée a l’analyse de systèmes d’information dynamique, de plus en plus complexes et sans limite finie dans le cadre de l’entreprise étendue à son écosystème de parties tierces.

FAQ

HAZOP est l’acronyme de l’anglais HAZard and OPerability analysis, soit “analyse de risques et de sécurité de fonctionnement”.

La méthode HAZOP repose sur une succession d’étapes précises basées sur l’identification de systèmes et de sous-systèmes (les “nœuds”, “lignes” ou “mailles”). Elle consiste à faire varier certains mots clés liés au fonctionnement des systèmes pour observer leur impact sur les processus de fonctionnement réel. Ces variations de mots clés provoquent des “dérives” et donc des risques, dont il faut examiner la crédibilité.

L'HAZOP est une invention de l'Imperial Chemical Industries, un des plus grosses industries chimiques mondiales. Sa création remonte à 1965, année où la méthode est créée pour aider à optimiser la sécurité des installations de l’entreprise.