AMDEC

Peut-on utiliser AMDEC pour l'analyse des risques cyber ?

La méthode AMDEC est une approche qualitative. Elle permet de dresser une cartographie des cyberrisques selon des échelles ordinales et nominales subjectives.

C-RiskC-Risk
Publié(e) le 26 novembre 2021 (Mis à jour le 17 juin 2022)

L’analyse AMDEC consiste en un travail de groupe, motivé par l’identification des risques de l’entreprise, et la recherche de moyens de prévention et de correction. Cette méthode d’évaluation des défaillances née dans le secteur industriel s’applique parfois aux systèmes d’information. Elle permet effectivement de classer les risques cyber du négligeable à l’inacceptable, et d’envisager ainsi les mesures de prévention nécessaires. Mais cette méthode collaborative d’évaluation du risque suffit-elle à construire une stratégie de sécurité informatique ?

Définition de la méthode AMDEC ?


L’AMDEC tire son origine de l'anglais FMECA, pour Failure Modes, Effects and Criticality Analysis. C’est l’armée américaine qui conçoit cette méthode d’“analyse des modes, des effets et de la criticité des défaillances”, dans les années 1940. L’AMDEC est ensuite théorisée par la société américaine McDonnell Douglas, dans les années 1960. Elle consiste alors à se baser sur la liste des composants d’un item pour récolter des données sur ses défaillances, leurs fréquences et leurs conséquences. Elle a été utilisée par la NASA, l’industrie de l’armement américaine et les constructeurs automobiles tels que Toyota, Ford, Nissan, Peugeot et BMW.

Qu’est-ce que l’AMDEC ?

AMDEC est l'acronyme d’Analyse des Modes de Défaillance, de leurs Effets et de leur Criticité. L’AMDEC correspond à la méthode américaine FMEA, Failure Mode and Effect Analysis (parfois déclinée en Failure mode effects and criticality analysis). Cette méthode sert à obtenir une analyse prévisionnelle de la fiabilité d’un système. Elle repose sur :

  • Le recensement des “modes de défaillances” potentielles d’un produit / système / processus, dont les conséquences sont susceptibles d’affecter son bon fonctionnement ;
  • L’estimation des risques liés à l’apparition des défaillances selon un indice de criticité ;
  • La conceptualisation de mesures préventives et d’actions correctives à réaliser soit au moment de la conception du système, soit lors de son exploitation.

Comme la méthode HAZOP, l’AMDEC a pour spécificité de permettre une analyse fonctionnelle exhaustive qui s’inscrit dans une démarche qualité globale visant à une sûreté de fonctionnement maximale. Elle est aussi menée par des groupes de travail rassemblant différentes compétences.

L’AMDEC s’applique volontiers aux systèmes informatiques dans le cadre de la gestion des risques liés aux failles de cybersécurité. Son principal objectif relève effectivement de la détection des manquements en termes de sécurité ou de fiabilité d’un système.

Différents types d’Analyse des Modes de Défaillance, de leurs Effets et de leur Criticité

La théorie différencie généralement trois types d’AMDEC :

  • L’AMDEC “Produit” s’attache à mesurer la fiabilité et la sécurité d’un produit en amont de sa conception ;
  • Cette même analyse appliquée aux processus s’appelle l’AMDEC Processus. Elle doit assurer la qualité du produit pendant sa production.
  • L’AMDEC Moyen de production consiste quant à elle à s’assurer de la disponibilité et de la sécurité de la chaîne de production.
  • Certains analystes ajoutent à ces trois types d’AMDEC traditionnels une AMDEC Flux, dédiée à l’analyse des risques liés à l'approvisionnement.

De façon plus globale, l’AMDEC s’applique aux systèmes, et parfois aux systèmes d’information (SI).

À qui s’adresse la méthode AMDEC ?

De façon générale, l’AMDEC répond aux objectifs des entreprises qui veulent s’assurer de la fiabilité, de la maintenabilité et de la sécurité d’un système ou d’un produit. C’est aussi une méthode qui permet d’obtenir des certifications, ou de s’assurer de la conformité à certains documents, comme le rappelle l’Info-Industrielle sur les applications de l’AMDEC :

  • L’AMDEC Produit sert à créer des plans de constructions en vue d’obtenir des brevets ;
  • La méthode AMDEC Process aide à calibrer le contrôle qualité ;
  • L’AMDEC Moyen aide à produire les guides de maintenance de la chaîne de production ;
  • L’analyse des risques liés aux flux aide à concevoir les plans de gestion de stocks.

À quoi sert une analyse des modes de défaillances et de la criticité ?

L'AMDEC a pour principal objectif de concevoir des actions préventives ou correctives. Il s’agit d'une démarche basée sur la déduction. Elle systématise des “modes” de défaillances d’un système, en analysant les causes et effets de ces défaillances. Elle sert donc à réduire les risques potentiels liés à un système, ici par exemple les cyber risques liés au SI.

Les entreprises qui se servent de l’AMDEC pour assurer leur sécurité informatique visent l’amélioration permanente de leur système d’information afin d’en limiter les défaillances. Elles examinent les conséquences des défaillances cyber sécuritaires en effectuant des tests. Elles classent ensuite les risques cyber identifiés selon leur fréquence, leur gravité et la possibilité de les détecter. En cela, elle s’associe bien aux méthodes de cartographie des risques cyber.

L’AMDEC, une analyse collaborative

Comment fonctionne la méthode AMDEC en cybersécurité ?


La méthode AMDEC appliquée à la cybersécurité se décompose en différentes étapes : des étapes de préparation, d’analyse et de suivi. Cette démarche non-prescriptive laisse une certaine marge d’action au groupe de travail. Elle implique donc aussi des résultats somme toute assez subjectifs, qui servent davantage à orienter le travail de lutte contre les cyberrisques qu’à prédire leur survenue. En effet, en pratique elle consiste en une appréciation qualitative « à dire d’experts ». Elle se base sur des échelles à la fois ordinales et nominales pour évaluer la fréquence et la gravité des défaillances. C’est ce qui fait que dans de nombreux cas, il est difficile de reproduire l’analyse et obtenir les mêmes résultats.

Préparer le périmètre d’analyse des défaillances

Les premières étapes de la méthode AMDEC consiste à préparer le terrain de l’analyse :

1 / Constitution du groupe de travail autour de 5 à 10 profils experts pluridisciplinaires

Ce groupe doit notamment se composer d’un responsable, par exemple le Directeur des Systèmes d'Information, capable de prendre des décisions et d’engager les actions proposées. Il comprend notamment des développeurs, mais aussi des participants d’autres départements susceptibles d’être affectés par les failles de cybersécurité : communication, qualité, maintenance, fournisseur, clients etc.

2 / Lancement de l’AMDEC

Le groupe de travail se rassemble pour définir la problématique cyber-sécuritaire liée au déploiement de l’AMDEC. Il précise les objectifs de la méthode, les ressources documentaires à disposition et les acteurs concernés par l'analyse. Cette étape permet également de définir la méthode de notation des indices de criticité des risques détaillés ci-après, ainsi que le seuil de criticité jugé intolérable pour le groupe de travail. Comme dans les autres méthodes qualitatives, c’est l’établissement de ces échelles qui peut s’avérer la plus ardue et difficilement reproductible d’une analyse à l’autre.

Analyser les risques cyber et leur criticité

Après le paramétrage de l’action du groupe de travail, vient le temps de l’analyse des risques :

3 / Analyse des modes de défaillances et de leurs effets

Le groupe de travail relève les failles de cybersécurité passées ou potentielles, en schématisant le système informatique. Ce schéma peut prendre la forme d'une arborescence. Il sert à détailler les risques, selon le degré de précision choisi par l’entreprise. La logique d’analyse consiste à identifier des “modes de défaillances” en relation avec le fonctionnement qu’on attend du système d’information :

  • Pour chaque “mode de défaillance” identifié, on recherche les causes possibles ;
  • On recherche également les effets majeurs des défaillances sur les utilisateurs du SI, et ce pour chaque couple cause / défaillance.
  • Le groupe de travail identifie finalement les facteurs de détection les plus probables pour chaque combinaison cause / défaillance.

4 / Évaluation des risques des défaillances identifiées.

On se sert d’indices de gravité, de fréquence et de non-détection pour déterminer la criticité des risques :

Criticité (C) = Occurence (O) × Sévérité (S) × Détection (D).

Chaque entreprise choisit sa grille de notation. Une méthode simple consiste à attribuer un indice de 1 à 4 à chaque critère :

  • Le critère D mesure l’aptitude d’une défaillance à être repérée : 1 pour élémentaire, 2 pour aisée, 3 pour moyenne et 4 pour délicate ;
  • Le O indique la probabilité d'apparition de la défaillance, de faible à forte.
  • Le critère S relève la gravité de la défaillance pour le SI, de mineure à grave.
  • Plus la criticité C est élevée, plus le mode de défaillance représente un risque grave. Dans le cas d’une notation des indices de 1 à 4, C représente un risque grave dès l'indice 25.

Quand le seuil de criticité des cyberrisques est atteint, le groupe de travail détermine des actions correctives.

Cette grille de notation relève cependant de la subjectivité du groupe de travail. Elle s’exporterait donc difficilement dans une autre entreprise. L’approche AMDEC ne relève effectivement pas d’une approche quantitative du cyber-risque, mais plus d’une démarche qualitative. Ses estimations, parce que basées sur des échelles nominales ou ordinales ne sont pas systématiquement vérifiables, et ne dépendent pas d’une probabilité mathématique.

Pour une approche quantitative et prévisionniste du risque cyber, la méthode VaR, Value at Risk, est plus indiquée. Elle consiste à évaluer de façon chiffrée les montants des pertes financières potentielles qui pourraient résulter d’un incident cyber et d’y associer des probabilités d’occurrence que représente le cyber risque, selon une probabilité et un délai donné.

Identification des modes de défaillances

Prévoir les actions correctives et assurer leur suivi

Les actions correctives vont de pair avec un suivi régulier de l’évolution de la criticité des risques cyber :

5 / Les actions correctives imaginées doivent diminuer la criticité des défaillances. Dans le cadre d’une analyse stratégique des risques cyber, il peut s'agir d’une formation des collaborateurs, du recours à un fournisseur de pare-feu ou d’antivirus, ou de changements dans le règlement interne concernant la cybersécurité.

6 / Le groupe de travail liste les risques critiques à suivre et à tester régulièrement. Chaque mesure corrective a par ailleurs un responsable. Celui-ci se charge de mettre en place le plan d’action et d’évaluer régulièrement la combinaison modes de défaillances - causes - effets - criticité des risques.

Les actions correctives doivent en outre s’appliquer jusqu’à ce que tous les indices de criticité soient inférieurs aux seuils établis. Il faut donc recalculer C régulièrement, avec les nouvelles valeurs de O, S et D. Idéalement, il faut aussi que tous les indices de gravité élevés se combinent à des indices de fréquence et de détection faibles.

Analyse de risques selon la méthode AMDEC

FAQ

L’AMDEC s’utilise en amont du lancement d’un système pour éviter les défaillances, ou après l’identification de défaillances réelles pour envisager des mesures correctives.

L’AMDEC permet d’identifier les risques de défaillances, et par extension, d’identifier et évaluer de manière qualitative certaines menaces malicieuses. Elle peut alors servir à formuler un premier plan d’actions de remédiation. La justification et la priorisation des investissements requièrent par contre une approche quantitative.

La méthode AMDEC est à l’origine une méthode de support à une démarche qualité dans l’industrie. Elle s'articule autour de la détection de “modes de défaillances”, lesquels correspondent à un niveau de “criticité” calculé selon l'occurrence, les possibilités de détection et la sévérité du risque. À l’inverse, elle ne permet pas de quantifier financièrement les risques cyber.