La prise en compte incrémentale du risque

Dans une démarche EBIOS classique, l'équipe définit les besoins de sécurité de l'application et les façons d'y répondre dès la phase de conception du projet. Certains risques sécuritaires impacteront l'expérience utilisateur avant même que le service ait un premier utilisateur. Dans une démarche Agile, l’équipe cherche à livrer très tôt de la valeur à un public et espère « gagner des parts de marché » en suscitant de l'adhésion.

Voici, illustrées graphiquement, ces deux conceptions opposées de ce que devrait être la “courbe de diffusion” d’un outil informatique. (Nous avons détaillé cette comparaison dans un article du blog de l'Incubateur de Services Numériques auquel nous renvoyons le lecteur pour approfondissement.)Pour une équipe dont l'objectif est de livrer rapidement de la valeur à ses utilisateurs, une évaluation pertinente du risque est donc obtenue en multipliant le nombre d’usagers par le risque encouru par chaque usager, pour déterminer une exposition totale réelle au risque d’attaques numériques.

Ainsi la prise en compte des enjeux de sécurité par une équipe agile est continue — tout au long de la construction et de l'amélioration du service — et « pragmatique » — elle priorise les efforts en fonction du risque réel et assume l’existence de risques résiduels. Ce principe de management de la sécurité numérique par les risques est celui qui guide la démarche proposée.

La façon de traiter la question de la sécurité numérique est donc très différente. La figure ci-dessous superpose à la courbe de diffusion une courbe hypothétique représentant le risque résiduel auquel un seul usager serait exposé. Initialement, le risque est substantiel mais avec une poignée d'utilisateurs il reste globalement acceptable; par contre, lorsque le produit devient un succès, l'équipe devra traiter plus agressivement les risques résiduels.L’important est donc de s’assurer qu’on arrive au point d’inflexion en ayant couvert les risques numériques les plus importants et non pas de traiter “tous les risques” en amont. Consentir un travail conséquent en sécurité numérique en amont de ce point est doublement improductif. On aura dépensé des ressources qui auraient pu être investies dans une meilleure compréhension du besoin, alors que le gain réel en termes de sécurité sera resté très marginal.