Méta-modèle des concepts et processus d’analyse des risques selon les normes de cybersécurité

Abstract - Today, corporate information systems and industrial control systems are highly exposed to cybersecurity threats. In many areas protective measures are actively deployed and supported by standards. A common foundation is to ensure that cybersecurity risks are properly identified and controlled based on a threat analysis and a risk assessment. This paper reviews and compares the different variants of standards in key domains (information systems, industrial systems, automotive and aeronautics) in order to derive a common meta-model capturing all the concepts required for a precise risk analysis as well as the process followed to perform it, possibly through iteration and refinement. We then illustrate and discuss how to deploy it for a model-driven risk analysis process.

Résumé - De nos jours, les systèmes d’information d’entreprise et de contrôle industriel sont fortement exposés aux menaces de cybersécurité. Dans de nombreux domaines, des mesures de protection sont activement déployées et encadrées par des normes ou standards. Il est fondamental de s’assurer que les risques de cybersécurité sont bien identifiés et contrôlés sur la base d’une analyse des menaces et d’une évaluation des risques. Cet article passe en revue les principales normes et permet de comparer des variantes dans différents domaines (systèmes d’information, systèmes industriels, automobile et aéronautique) afin de dégager un méta-modèle commun capturant tous les concepts manipulés durant une analyse des risques et le processus suivi pour la réalisation, éventuellement par itération et affinement. Enfin, nous illustrons et discutons son application sur un cas d’utilisation pour réaliser une analyse des risques dirigée par les modèles.

Site web