Comment réaliser une analyse des risques avec MAGERIT dans une PME ? MAGERIT est la méthodologie officielle d'analyse et de gestion des risques de l'administration publique espagnole, publiée par le Conseil Supérieur de l'Administration Électronique et maintenue dans son outil PILAR par le Centre Cryptologique National (CCN). La méthode se résume en quatre étapes : (1) identifier les actifs et leur valeur, (2) les menaces qui peuvent les affecter, (3) les mesures de protection déjà implantées et (4) calculer le risque résiduel qui subsiste après ces mesures pour décider si vous l'acceptez. Dans cet article, je vous l'explique appliqué à une PME réelle, avec un exemple concret, sans jargon inutile.
Qu'est-ce que MAGERIT ?
MAGERIT est l'acronyme de Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información (Méthodologie d'Analyse et de Gestion des Risques des Systèmes d'Information). C'est la méthodologie que les administrations publiques espagnoles utilisent pour analyser leurs risques de sécurité, et la référence naturelle lorsqu'une organisation implante le Schéma National de Sécurité espagnol (ENS), qui exige de gérer la sécurité en fonction du risque.
La version en vigueur est MAGERIT v3, d'octobre 2012, structurée en trois livres : la méthode, le catalogue des éléments et le guide des techniques. L'outil qui la met en œuvre s'appelle PILAR et est maintenu par le CCN. L'utilisation de MAGERIT n'est pas strictement obligatoire — l'ENS accepte toute méthodologie reconnue d'analyse des risques — mais c'est la plus répandue dans le domaine public espagnol et celle qui s'intègre le mieux avec l'ENS.
MAGERIT est-il obligatoire dans l'ENS ?
Pas exactement. L'ENS oblige à réaliser une analyse des risques, mais n'impose pas de méthodologie précise : vous pouvez utiliser MAGERIT, ISO 31000, ISO 27005 ou une autre méthodologie reconnue. Cela dit, MAGERIT est la méthodologie développée par l'administration espagnole elle-même et parfaitement alignée avec l'ENS, ce qui en fait dans la pratique l'option la plus courante lorsqu'on travaille avec le secteur public.
Les 4 étapes de MAGERIT
Étape 1 : identifier et valoriser vos actifs
Un actif est tout élément ayant de la valeur pour l'organisation et qu'il convient de protéger : serveurs, applications, bases de données, l'information elle-même, les communications, et même les personnes et les services. La première étape de MAGERIT consiste à inventorier les actifs pertinents, comprendre leurs interdépendances et évaluer le préjudice que causerait leur dégradation.
La valorisation ne se fait pas directement en euros, mais selon les dimensions de sécurité : confidentialité, intégrité, traçabilité, authenticité et disponibilité. Pour chaque actif, vous vous demandez : que se passerait-il si cette information était divulguée (confidentialité) ? Si elle était modifiée sans autorisation (intégrité) ? Si elle était indisponible pendant une journée entière (disponibilité) ? Ces dimensions sont les mêmes que celles utilisées par l'ENS pour catégoriser les systèmes, ce qui facilite l'intégration directe de l'analyse MAGERIT dans la catégorisation de l'ENS.
Exemple de PME : un cabinet de conseil fiscal de quinze employés identifie comme actifs critiques son application de gestion clients, la base de données avec les données fiscales, le serveur qui l'héberge et la messagerie d'entreprise. La base de données fiscales obtient un score élevé en confidentialité et intégrité ; la messagerie, un score élevé en disponibilité.
Étape 2 : identifier les menaces
Une menace est tout événement pouvant compromettre un actif. MAGERIT les classe en grands groupes : catastrophes naturelles (inondation, incendie), d'origine industrielle (panne électrique, défaillance), erreurs et défaillances non intentionnelles (un employé qui efface un fichier par erreur) et attaques intentionnelles (ransomware, vol de credentials, usurpation d'identité).
Pour chaque actif, vous identifiez les menaces qui le concernent, avec quelle fréquence elles pourraient se matérialiser et quelle dégradation elles causeraient sur chaque dimension de sécurité. Toutes les menaces n'affectent pas tous les actifs de la même façon : une coupure électrique touche la disponibilité du serveur, mais pas la confidentialité d'un document chiffré.
Exemple : pour la base de données fiscales du cabinet, les menaces les plus pertinentes sont le ransomware (forte dégradation de la disponibilité et de l'intégrité), l'accès non autorisé (confidentialité) et l'erreur humaine dans la manipulation des enregistrements (intégrité).
Étape 3 : évaluer vos mesures de protection
Les mesures de protection sont les dispositifs déjà implantés pour réduire le risque : sauvegardes, contrôle d'accès, chiffrement, antivirus, formation du personnel, pare-feu, etc. À cette étape, vous évaluez quelles mesures vous avez et leur efficacité face à chaque menace.
Ici, MAGERIT distingue entre le risque potentiel (celui qui existerait sans aucune mesure de protection) et l'effet réducteur des mesures implantées. Une mesure de protection peut agir en réduisant la probabilité que la menace se produise (préventive) ou en limitant les dommages lorsqu'elle se produit (corrective). Les sauvegardes, par exemple, n'empêchent pas un ransomware, mais réduisent drastiquement son impact.
Exemple : le cabinet dispose de sauvegardes quotidiennes (réduit l'impact du ransomware), d'un contrôle d'accès avec mots de passe (réduit l'accès non autorisé), mais n'a pas de chiffrement de la base de données ni d'authentification à double facteur : ce sont des mesures manquantes.
Étape 4 : calculer le risque résiduel
Le risque résiduel est le niveau de risque que supporte encore le système une fois les mesures de protection appliquées. C'est la donnée la plus importante de toute l'analyse, car c'est elle qui vous dit vraiment combien de risque vous assumez. Il est calculé en combinant l'impact et la probabilité de chaque menace après déduction de l'effet des mesures de protection.
Une fois que vous avez le risque résiduel de chaque actif et menace, vous le comparez au niveau de risque acceptable défini par la direction. Si le risque résiduel est inférieur au seuil acceptable, vous l'acceptez et le documentez. S'il le dépasse, vous devez itérer : ajouter ou renforcer des mesures jusqu'à ce que le risque descende à un niveau assumable. Cette itération est le cœur de la gestion des risques : il ne s'agit pas d'éliminer tout le risque (impossible), mais de le réduire à un niveau que l'organisation peut assumer consciemment.
Exemple : après évaluation des mesures de protection, le cabinet constate que le risque résiduel du ransomware sur la base de données reste élevé car, bien que des sauvegardes existent, elles ne sont pas isolées du réseau et pourraient également être chiffrées. La décision : implanter des sauvegardes immuables et l'authentification à double facteur. Après cette amélioration, le risque résiduel descend au niveau acceptable et est formellement accepté.
Tableau : matrice de risques de la PME de l'exemple
Cette matrice, élaborée à titre illustratif, montre l'analyse des actifs critiques du cabinet de l'exemple, avant et après les mesures de protection :
| Actif | Menace principale | Risque potentiel | Mesures de protection | Risque résiduel | Décision |
|---|---|---|---|---|---|
| Base de données fiscales | Ransomware | Élevé | Sauvegardes quotidiennes (à améliorer) | Élevé → Moyen après sauvegardes immuables | Renforcer et accepter |
| Base de données fiscales | Accès non autorisé | Élevé | Contrôle d'accès + 2FA | Faible | Accepter |
| Application de gestion | Erreur humaine | Moyen | Permissions par rôle + journalisation | Faible | Accepter |
| Messagerie d'entreprise | Indisponibilité | Moyen | Service cloud avec SLA | Faible | Accepter |
| Serveur | Coupure électrique | Moyen | Onduleur + service géré | Faible | Accepter |
Comment évaluer l'impact et la probabilité ?
Pour que l'analyse soit cohérente, MAGERIT travaille avec des échelles. Nul besoin d'inventer un système complexe ; dans une PME, des échelles qualitatives à quelques niveaux suffisent généralement, à condition de les appliquer de façon cohérente :
- Impact : mesure la gravité du dommage si la menace se matérialise sur la dimension affectée. Une échelle courante est faible, moyen, élevé et très élevé, associant chaque niveau à des conséquences concrètes (par exemple, « élevé » = arrêt du service pendant plus d'un jour ou perte de données fiscales).
- Probabilité ou fréquence : à quelle fréquence la menace pourrait-elle se produire. Elle est également graduée en niveaux (rare, possible, fréquente, très fréquente).
Le risque résulte de la combinaison des deux : une menace d'impact très élevé mais de probabilité minimale peut donner un risque acceptable, tandis qu'une menace d'impact moyen et de probabilité élevée peut être prioritaire. L'important est d'appliquer la même échelle à tous les actifs pour pouvoir comparer et prioriser avec méthode. Documenter l'échelle utilisée fait partie de l'analyse : un auditeur voudra comprendre comment vous êtes parvenu à chaque évaluation.
À quelle fréquence faut-il réviser l'analyse des risques ?
L'analyse des risques n'est pas un document à usage unique. Dans le cadre de l'ENS, elle est liée au cycle de révision et d'audit — qui est bisannuel — mais il convient de la réviser chaque fois que quelque chose de pertinent change : nouveaux systèmes ou services, modifications dans le traitement de l'information, nouvelles menaces significatives (une campagne de ransomware dans votre secteur, par exemple) ou après un incident. Une analyse figée pendant des années ne reflète plus la réalité et perd toute sa valeur. La gestion des risques est, par définition, un processus continu, pas une photo instantanée.
Conseils pour appliquer MAGERIT dans une PME sans s'y perdre
- N'inventoriez pas l'univers entier. Concentrez-vous sur les actifs vraiment critiques. Un inventaire interminable épuise le projet avant même de commencer.
- Soyez réaliste sur les mesures de protection. Notez ce que vous avez vraiment en fonctionnement, pas ce que vous pensez devoir avoir. Une analyse optimiste est une analyse inutile.
- Documentez les décisions d'acceptation. Accepter un risque est légitime, mais cela doit être une décision consciente de la direction, consignée par écrit.
- Révisez-la périodiquement. L'analyse des risques n'est pas un document unique : les actifs, les menaces et les mesures évoluent. Dans l'ENS, elle est en outre liée au cycle d'audit.
- Appuyez-vous sur l'outil PILAR si votre système est complexe. Pour une micro-entreprise, une feuille de calcul bien conçue peut suffire ; pour des systèmes plus importants, PILAR structure la méthode.
L'analyse des risques est la base sur laquelle repose l'ensemble de l'ENS. Si vous souhaitez voir comment elle se connecte au reste du cadre, je la développe dans mon guide sur l'analyse des risques avec MAGERIT dans l'ENS.
Feuille de calcul ou outil PILAR ?
Une question fréquente des PME est de savoir si elles ont besoin de l'outil officiel PILAR ou si elles peuvent se débrouiller avec une feuille de calcul. La réponse dépend de la taille et de la complexité du système :
- Feuille de calcul : pour une micro-entreprise ou un système simple, avec peu d'actifs et de menaces, une feuille bien structurée — avec des colonnes pour l'actif, la dimension, la menace, l'impact, la probabilité, les mesures de protection et le risque résiduel — peut être parfaitement suffisante et beaucoup plus maniable.
- PILAR : lorsque le système grossit, avec de nombreux actifs interdépendants et des dépendances complexes, l'outil maintenu par le CCN pour instrumenter MAGERIT apporte structure, catalogues prédéfinis de menaces et de mesures, et calcul automatique du risque. Il réduit les erreurs et facilite le maintien de l'analyse dans la durée.
Ma recommandation pour une PME qui commence est de ne pas s'obséder sur l'outil : ce qui compte, c'est de bien comprendre la méthode et de l'appliquer honnêtement. L'outil facilite le travail, mais ne remplace pas le jugement. Une analyse simple sur feuille de calcul, bien réalisée, vaut mieux qu'un PILAR mal alimenté avec des données optimistes.
Conclusion
MAGERIT n'est pas un monstre réservé aux grandes administrations : appliquée avec méthode, une PME peut analyser ses risques en quatre étapes — actifs, menaces, mesures de protection et risque résiduel — et prendre des décisions éclairées sur ce qu'il convient de protéger et jusqu'où. La clé est de se concentrer sur ce qui est critique, d'être honnête sur les mesures réellement en place et de documenter les décisions d'acceptation. Réalisée ainsi, l'analyse des risques cesse d'être une formalité de l'ENS et devient un véritable outil pour éviter les mauvaises surprises.
Questions fréquentes
Qu'est-ce que MAGERIT ?
C'est la Méthodologie d'Analyse et de Gestion des Risques des Systèmes d'Information, la méthodologie officielle de l'administration publique espagnole. Sa version en vigueur est MAGERIT v3 (2012) et elle est mise en œuvre avec l'outil PILAR, maintenu par le Centre Cryptologique National (CCN).
Comment réalise-t-on une analyse des risques avec MAGERIT ?
En quatre étapes : identifier et valoriser les actifs, identifier les menaces qui les affectent, évaluer les mesures de protection déjà implantées et calculer le risque résiduel qui subsiste. Si le risque résiduel dépasse le niveau acceptable, on renforce les mesures et on itère jusqu'à atteindre un niveau assumable.
Qu'est-ce que le risque résiduel ?
C'est le niveau de risque que supporte encore le système après application des mesures de protection. Il est comparé au risque acceptable défini par la direction : s'il est inférieur, on l'accepte et le documente ; s'il le dépasse, il faut ajouter ou renforcer des mesures.
MAGERIT est-il obligatoire dans l'ENS espagnol ?
Non. L'ENS oblige à réaliser une analyse des risques, mais n'impose pas de méthodologie précise : MAGERIT, ISO 31000, ISO 27005 ou une autre méthodologie reconnue conviennent. MAGERIT est la plus utilisée dans le domaine public espagnol car elle est développée par l'administration elle-même et alignée avec l'ENS.
Sources
- CCN — MAGERIT version 3.0, Livre I : Méthode.
- Décret Royal 311/2022, du 3 mai, réglementant le Schéma National de Sécurité espagnol (BOE-A-2022-7191) — exigence de gestion de la sécurité basée sur le risque.
- Centre Cryptologique National — Schéma National de Sécurité espagnol (ens.ccn.cni.es).
Contenu élaboré par Ángel Ortega Castro. Informations indicatives à la date de rédaction ; l'état du programme peut évoluer. Consultez toujours le BOE et Red.es pour connaître les délais en vigueur.