La méthode AMDEC est une approche qualitative. Elle permet de dresser une cartographie des cyberrisques selon des échelles ordinales et nominales subjectives.
L’analyse AMDEC consiste en un travail de groupe, motivé par l’identification des risques de l’entreprise, et la recherche de moyens de prévention et de correction. Cette méthode d’évaluation des défaillances née dans le secteur industriel s’applique parfois aux systèmes d’information. Elle permet effectivement de classer les risques cyber du négligeable à l’inacceptable, et d’envisager ainsi les mesures de prévention nécessaires. Mais cette méthode collaborative d’évaluation du risque suffit-elle à construire une stratégie de sécurité informatique ?
L’AMDEC tire son origine de l'anglais FMECA, pour Failure Modes, Effects and Criticality Analysis. C’est l’armée américaine qui conçoit cette méthode d’“analyse des modes, des effets et de la criticité des défaillances”, dans les années 1940. L’AMDEC est ensuite théorisée par la société américaine McDonnell Douglas, dans les années 1960. Elle consiste alors à se baser sur la liste des composants d’un item pour récolter des données sur ses défaillances, leurs fréquences et leurs conséquences. Elle a été utilisée par la NASA, l’industrie de l’armement américaine et les constructeurs automobiles tels que Toyota, Ford, Nissan, Peugeot et BMW.
AMDEC est l'acronyme d’Analyse des Modes de Défaillance, de leurs Effets et de leur Criticité. L’AMDEC correspond à la méthode américaine FMEA, Failure Mode and Effect Analysis (parfois déclinée en Failure mode effects and criticality analysis). Cette méthode sert à obtenir une analyse prévisionnelle de la fiabilité d’un système. Elle repose sur :
Comme la méthode HAZOP, l’AMDEC a pour spécificité de permettre une analyse fonctionnelle exhaustive qui s’inscrit dans une démarche qualité globale visant à une sûreté de fonctionnement maximale. Elle est aussi menée par des groupes de travail rassemblant différentes compétences.
L’AMDEC s’applique volontiers aux systèmes informatiques dans le cadre de la gestion des risques liés aux failles de cybersécurité. Son principal objectif relève effectivement de la détection des manquements en termes de sécurité ou de fiabilité d’un système.
La théorie différencie généralement trois types d’AMDEC :
De façon plus globale, l’AMDEC s’applique aux systèmes, et parfois aux systèmes d’information (SI).
De façon générale, l’AMDEC répond aux objectifs des entreprises qui veulent s’assurer de la fiabilité, de la maintenabilité et de la sécurité d’un système ou d’un produit. C’est aussi une méthode qui permet d’obtenir des certifications, ou de s’assurer de la conformité à certains documents, comme le rappelle l’Info-Industrielle sur les applications de l’AMDEC :
L'AMDEC a pour principal objectif de concevoir des actions préventives ou correctives. Il s’agit d'une démarche basée sur la déduction. Elle systématise des “modes” de défaillances d’un système, en analysant les causes et effets de ces défaillances. Elle sert donc à réduire les risques potentiels liés à un système, ici par exemple les cyber risques liés au SI.
Les entreprises qui se servent de l’AMDEC pour assurer leur sécurité informatique visent l’amélioration permanente de leur système d’information afin d’en limiter les défaillances. Elles examinent les conséquences des défaillances cyber sécuritaires en effectuant des tests. Elles classent ensuite les risques cyber identifiés selon leur fréquence, leur gravité et la possibilité de les détecter. En cela, elle s’associe bien aux méthodes de cartographie des risques cyber.
La méthode AMDEC appliquée à la cybersécurité se décompose en différentes étapes : des étapes de préparation, d’analyse et de suivi. Cette démarche non-prescriptive laisse une certaine marge d’action au groupe de travail. Elle implique donc aussi des résultats somme toute assez subjectifs, qui servent davantage à orienter le travail de lutte contre les cyberrisques qu’à prédire leur survenue. En effet, en pratique elle consiste en une appréciation qualitative « à dire d’experts ». Elle se base sur des échelles à la fois ordinales et nominales pour évaluer la fréquence et la gravité des défaillances. C’est ce qui fait que dans de nombreux cas, il est difficile de reproduire l’analyse et obtenir les mêmes résultats.
Les premières étapes de la méthode AMDEC consiste à préparer le terrain de l’analyse :
1 / Constitution du groupe de travail autour de 5 à 10 profils experts pluridisciplinaires
Ce groupe doit notamment se composer d’un responsable, par exemple le Directeur des Systèmes d'Information, capable de prendre des décisions et d’engager les actions proposées. Il comprend notamment des développeurs, mais aussi des participants d’autres départements susceptibles d’être affectés par les failles de cybersécurité : communication, qualité, maintenance, fournisseur, clients etc.
2 / Lancement de l’AMDEC
Le groupe de travail se rassemble pour définir la problématique cyber-sécuritaire liée au déploiement de l’AMDEC. Il précise les objectifs de la méthode, les ressources documentaires à disposition et les acteurs concernés par l'analyse. Cette étape permet également de définir la méthode de notation des indices de criticité des risques détaillés ci-après, ainsi que le seuil de criticité jugé intolérable pour le groupe de travail. Comme dans les autres méthodes qualitatives, c’est l’établissement de ces échelles qui peut s’avérer la plus ardue et difficilement reproductible d’une analyse à l’autre.
Après le paramétrage de l’action du groupe de travail, vient le temps de l’analyse des risques :
3 / Analyse des modes de défaillances et de leurs effets
Le groupe de travail relève les failles de cybersécurité passées ou potentielles, en schématisant le système informatique. Ce schéma peut prendre la forme d'une arborescence. Il sert à détailler les risques, selon le degré de précision choisi par l’entreprise. La logique d’analyse consiste à identifier des “modes de défaillances” en relation avec le fonctionnement qu’on attend du système d’information :
4 / Évaluation des risques des défaillances identifiées.
On se sert d’indices de gravité, de fréquence et de non-détection pour déterminer la criticité des risques :
Criticité (C) = Occurence (O) × Sévérité (S) × Détection (D).
Chaque entreprise choisit sa grille de notation. Une méthode simple consiste à attribuer un indice de 1 à 4 à chaque critère :
Quand le seuil de criticité des cyberrisques est atteint, le groupe de travail détermine des actions correctives.
Cette grille de notation relève cependant de la subjectivité du groupe de travail. Elle s’exporterait donc difficilement dans une autre entreprise. L’approche AMDEC ne relève effectivement pas d’une approche quantitative du cyber-risque, mais plus d’une démarche qualitative. Ses estimations, parce que basées sur des échelles nominales ou ordinales ne sont pas systématiquement vérifiables, et ne dépendent pas d’une probabilité mathématique.
Pour une approche quantitative et prévisionniste du risque cyber, la méthode VaR, Value at Risk, est plus indiquée. Elle consiste à évaluer de façon chiffrée les montants des pertes financières potentielles qui pourraient résulter d’un incident cyber et d’y associer des probabilités d’occurrence que représente le cyber risque, selon une probabilité et un délai donné.
Les actions correctives vont de pair avec un suivi régulier de l’évolution de la criticité des risques cyber :
5 / Les actions correctives imaginées doivent diminuer la criticité des défaillances. Dans le cadre d’une analyse stratégique des risques cyber, il peut s'agir d’une formation des collaborateurs, du recours à un fournisseur de pare-feu ou d’antivirus, ou de changements dans le règlement interne concernant la cybersécurité.
6 / Le groupe de travail liste les risques critiques à suivre et à tester régulièrement. Chaque mesure corrective a par ailleurs un responsable. Celui-ci se charge de mettre en place le plan d’action et d’évaluer régulièrement la combinaison modes de défaillances - causes - effets - criticité des risques.
Les actions correctives doivent en outre s’appliquer jusqu’à ce que tous les indices de criticité soient inférieurs aux seuils établis. Il faut donc recalculer C régulièrement, avec les nouvelles valeurs de O, S et D. Idéalement, il faut aussi que tous les indices de gravité élevés se combinent à des indices de fréquence et de détection faibles.
L’AMDEC s’utilise en amont du lancement d’un système pour éviter les défaillances, ou après l’identification de défaillances réelles pour envisager des mesures correctives.
L’AMDEC permet d’identifier les risques de défaillances, et par extension, d’identifier et évaluer de manière qualitative certaines menaces malicieuses. Elle peut alors servir à formuler un premier plan d’actions de remédiation. La justification et la priorisation des investissements requièrent par contre une approche quantitative.
La méthode AMDEC est à l’origine une méthode de support à une démarche qualité dans l’industrie. Elle s'articule autour de la détection de “modes de défaillances”, lesquels correspondent à un niveau de “criticité” calculé selon l'occurrence, les possibilités de détection et la sévérité du risque. À l’inverse, elle ne permet pas de quantifier financièrement les risques cyber.
en lien avec la quantification des cyber risques