Qu’est-ce que la méthode HAZOP ?
La méthode HAZOP se destine prioritairement à l’analyse des risques industriels des entreprises. Conceptualisée par la société Imperial Chemical Industries, elle vise à assurer la sécurité des procédures.
Définition de la méthode HAZOP
“HAZOP” est l'acronyme de l’anglais “HAZard and Operability studies”. En français, cette méthode peut donc se traduire comme une “analyse des risques de fonctionnement”. Elle sert, en première intention, à analyser les risques potentiels liés aux activités de l’industrie.
En France, la méthode HAZOP se retrouve notamment dans la norme CEI 61882. On lui trouve également des similitudes avec la méthode AMDEC, Analyse des Modes de Défaillances de leur Effets et de leur Criticité. L’HAZOP s’applique à identifier des risques de tous ordres : matériels, procéduraux ou humains. L’AMDEC s’attache, quant à elle, à la mise en évidence des défaillances systémiques et à l’identification de combinaisons cause - défaillance - conséquence. Ces deux méthodes sont complémentaires dans la lutte contre le risque cyber.
À qui s’adresse la méthode HAZard and Operability studies ?
Traditionnellement, la méthode HAZOP se destine aux industries pétrolières, pharmaceutiques et chimiques dans le cadre de l'analyse des risques liés aux processus. L’analyse des risques cyber de ces structures est historiquement basée sur des méthodes comme la MEthode Harmonisée d'Analyse des RIsques (MEHARI), ou l’Expression des Besoins et Identification des Objectifs de Sécurité, EBIOS.
La méthode HAZOP peut en fait s’adapter efficacement au domaine de la sécurité informatique des industriels. Elle permet effectivement d’identifier des cyber risques potentiels insoupçonnés, et pourtant probables. C’est notamment HAZOP qui aide à déceler les risques de pertes commerciales liées à la cybersécurité de l'industrie, et notamment à une faille capable d’arrêter la production.
Un article intitulé Comment intégrer les cyberattaques dans l’évaluation globale des risques pour les installations classées rappelle les différents risques cyber qui pèsent sur le fonctionnement des industries. Dans certains scénarios de risques, les criminels peuvent agir pour des motifs financiers, comme c'est le cas de scénarios rançongiciels. D’autres scénarios peuvent illustrer une tentative de concurrence déloyale. Dans de rares cas, la cyberattaque est le fait d’une organisation étatique aux objectifs terroristes ou militaires.
Ce même papier énumère ainsi un nombre conséquent de cyberattaques sur des industriels, lesquelles comprennent :
- La désactivation d’un système de détection de fuite dans des canaux pétroliers ;
- Des coupures de distribution électriques ;
- Le cryptage de données hospitalières ;
- Des malwares qui prennent le contrôle des robots de sécurité ;
- Certains dysfonctionnements au niveau des mesures automatiques effectuées dans les industries nucléaires et pétrolières.
À quoi sert cette méthode d’analyse du risque ?
Au départ, la méthode HAZOP sert à analyser des procédés chimiques, puis industriels. Elle évalue la sécurité des installations liées aux systèmes de température, de débit et de pression, entre autres. Les dangers éventuels apparaissent alors en croisant des “mots-clés” porteurs d’une situation inhabituelle - par exemple “plus de pression”, ou “moins de débit” - avec les paramètres de déroulement habituels des opérations.
Cette démarche identifie des causes de risques inconnues et inattendues. Elle évalue aussi l'efficacité des moyens de prévention du risque déjà en place.
Le grand avantage de la méthode HAZOP consiste par ailleurs en son exhaustivité. Dans le cadre d’une gestion des risques qui anticipe tous les risques de cybersécurité, c’est un bon support pour synthétiser et garder une trace structurée et détaillée des cyber risques à un moment T.
Transformez la façon dont vous modélisez, mesurez et gérez les risques cyber
N'attendez pas l'inévitable cyberincident. Élaborez un programme de cybersécurité résilient et basé sur les risques grâce à la quantification des risques cyber.
Comment fonctionne la méthode HAZOP en cybersécurité ?
Dans le cadre d'une analyse des risques cyber, la méthode HAZOP doit s’adapter. Comme rappelé lors du 21e Congrès de Maîtrise des Risques et Sûreté de Fonctionnement, HAZOP implique habituellement la rencontre de “groupes de travail” compétents dans le domaine des procédés physiques de l’entreprise.
Dans le cadre de la cybersécurité, il convient d’associer à ces professionnels des intervenants spécialisés dans la maîtrise de la cybersécurité :
1 / Préparation de l’analyse Hazop : HAZard and Operability
L’entreprise détermine quels systèmes doivent faire l’objet d’une évaluation des risques cyber. En langage HAZOP, on identifie ainsi des sous-systèmes, les “nœuds”, aussi appelés “lignes”, ou “mailles”.
Dans le cadre d’un système informatique (SI), un système se compose, toujours selon le 21e Congrès de Maîtrise des Risques :
- de matériels tels que les serveurs, le réseau ou les postes de travail ;
- d’informations, et notamment de données sensibles ;
- d’acteurs concernés par le processus ;
- de flux d'échanges de données.
2 / Génération des “dérives” potentielles
La méthode HAZOP a pour spécificité de confronter des “mots-clés” représentatifs de problèmes éventuels aux paramètres de fonctionnement habituels des systèmes. Dans l’industrie, ces mots-clés sont généralement relatifs à la pression, au temps ou au débit. Appliquée à la cyber sécurité, la méthode HAZOP va cependant s’intéresser à d'autres critères, comme la disponibilité des systèmes, la confidentialité des données et leur intégrité (D-I-C).
La confrontation de ces risques au fonctionnement normal du système d’information amène alors l’équipe de travail à identifier des “dérives” éventuelles. La spécificité de la méthode HAZOP appliquée à la cybersécurité se lit d’ailleurs dans le fait qu’elle prend en compte les défaillances dues à des actes malveillants, et pas seulement à des erreurs ou vulnérabilités humaines.
L’équipe fixe ensuite la liste des dérives possibles issues des combinaisons paramètres / mots-clés, pour déclencher l’analyse des causes et conséquences potentielles.
3 / Identifier les causes et les conséquences des dérives
Une fois la liste des risques potentiels dressée, reste à évaluer leur vraisemblance puis leur impact. Il s'agit notamment d’évaluer l'impact du risque sur un système, selon différents critères qui dépendent de l’entreprise. Il peut s’agir d’un dommage pour les usagers, d’une atteinte à la réputation de la société ou à ses résultats commerciaux ou financiers.
Les nombreuses méthodes sont assez peu prescriptives et laissent le plus souvent les praticiens élaborer leurs grilles de mesure sur la base d’échelles nominales de type faible, moyen, élevé, à la fois pour la vraisemblance ou l’occurrence et la gravité de l’impact ce qui peut mener à des limitations notamment comme c’est le cas ici en pondérant les facteurs de risque de manière équivalente : haute probabilité X impact faible étant équivalente à faible probabilité X impact important.
Ces limitations sont malheureusement propres à toutes les méthodes qui reposent sur des échelles nominales ou même ordinales tel que cela est documenté dans la section 8.3 et les annexes de la norme ISO27005.
La méthode HAZOP repose sur le principe d’exhaustivité. L’équipe d’évaluation des risques va donc devoir générer toutes les défaillances probables, pour chaque “nœud” de chaque système. Elle doit ainsi viser ledit “épuisement des risques”. Du fait de cette aspiration à l’exhaustivité, la méthode s’applique cependant assez mal aux grosses structures sauf a envisager des efforts de recensement considérables.
Les plus grandes entreprises, et singulièrement lorsqu’il s’agit d’évaluer les risques liés a des systèmes d’information extrêmement complexes, profitent davantage de méthodes focalisées sur le champs des probables plutôt que celui de tous les possibles. Ainsi, les modèles de types VaR, Value at Risk qui portent principalement sur les nœuds vitaux pour la structure et pour sa création de valeur et permettent l’usage de statistiques et d’échelles quantitatives, plus rigoureuses et permettant des comparaisons utiles.
4 / Organisation de la prévention et recommandations
Le groupe de travail a ensuite la charge de proposer de nouveaux outils de détection et de prévention des cyber risques. Il peut s'agir de mesures organisationnelles visant la formation du personnel, ou la mise en place d’un système de veille informatique.
Les processus de prévention les plus souvent adoptés relèvent souvent de la prévention technique : antivirus et pare-feux, logiciels métiers dédiés à la surveillance du SI et à la détection des failles de cybersécurité.
Appliqué à l’industrie, le processus voit également naître des mesures de prévention matérielles, comme des dispositifs de barrières physiques visant à réduire les conséquences techniques d'une cyberattaque. Il peut par exemple s’agir de cuvette ou de soupapes. Les industriels misent aussi sur des sondes de détection des cyberattaques pour repérer les dangers qui pèsent sur le système de contrôle commande.
Avantages et inconvénients de HAZOP pour analyser le risque ?
La méthode HAZOP réside dans ses capacités à mettre en lumière des défaillances auxquelles personne n’a pensé. Elle est utile quand aucun événement dangereux ne s’est produit antérieurement à l’analyse, mais réclame donc aussi un gros travail d’anticipation de tous les probables.
C’est aussi une méthode très rigoureuse, qui fait interagir des équipes multidisciplinaires. HAZOP, appliquée à la cybersécurité, permet en outre de centraliser l’analyse, plutôt que de diluer les efforts dans plusieurs méthodes différentes.
Les inconvénients de la méthode HAZOP résident davantage dans le croisement des résultats :
- elle n’aide pas forcément à mesurer les conséquences de la combinaison des dérives ;
- elle n’identifie qu’une cause à chaque dérive ;
- elle n’échappe pas aux défauts résultant de l’usage d’échelles nominales et ordinales.
- elle demande beaucoup de temps aux équipes impliquées.
La gestion des risques cyber à l'aide de FAIR™
Bien que HAZOP comprenne des méthodes d'identification de certains risques de cybersécurité, il a été développé spécifiquement pour les processus industriels. Le FAIR™ Body of Knowledge est le seul modèle quantitatif standard international pour la sécurité de l'information et le risque opérationnel. Il complète les cadres de cybersécurité tels que le NIST CSF ou l'EBIOS en éclairant les évaluations quantitatives des risques à l'aide de la méthodologie et de la taxonomie FAIR™.
Le démarrage d'une approche quantitative des risques pour la gestion des risques cyber peut être simplifié avec le soutien des experts de CRQ pour délimiter vos scénarios de risque, identifier vos actifs critiques et effectuer vos premières évaluations quantifiées des risques. C-Risk travaille avec des RSSI de tous les secteurs d'activité pour rendre opérationnelles leurs évaluations CRQ dans le but d'améliorer l'allocation des ressources, de communiquer avec la direction générale et d'atténuer les cyber-risques dans l'ensemble de l'organisation. Pour en savoir plus sur le CRQ et sur les avantages qu'il pourrait apporter à votre organisation, contactez-nous pour une consultation gratuite de 30 minutes sur le CRQ.
FAQ : HAZOP
Que veut dire HAZOP ?
HAZOP est l’acronyme de l’anglais HAZard and OPerability analysis, soit “analyse de risques et de sécurité de fonctionnement”.
Comment faire une analyse HAZOP ?
La méthode HAZOP repose sur une succession d’étapes précises basées sur l’identification de systèmes et de sous-systèmes (les “nœuds”, “lignes” ou “mailles”). Elle consiste à faire varier certains mots clés liés au fonctionnement des systèmes pour observer leur impact sur les processus de fonctionnement réel. Ces variations de mots clés provoquent des “dérives” et donc des risques, dont il faut examiner la crédibilité.
D'où vient la méthode HAZOP ?
L'HAZOP est une invention de l'Imperial Chemical Industries, un des plus grosses industries chimiques mondiales. Sa création remonte à 1965, année où la méthode est créée pour aider à optimiser la sécurité des installations de l’entreprise.
Nous avons conçu des solutions évolutives pour quantifier les risques cyber en termes financiers afin que les organisations améliorent leur gouvernance et leur résilience grâce à des décisions éclairées.