Dans mon précédent article (L’architecture d’entreprise continue, un levier pour NIS2), j’expliquais comment une approche d’Architecture d’Entreprise Continue (AEC) permet de structurer la mise en conformité face à NIS2.
Mais comment traduire concrètement cette démarche dans un modèle d’architecture ? C’est là qu’intervient ArchiMate, le langage standard de modélisation de l’architecture d’entreprise.
Déclarer les failles de sécurité
ArchiMate permet de relier les différents niveaux d’architecture, du composant technique jusqu’au service métier, et de tracer les impacts d’un incident ou d’une vulnérabilité.
Prenons un exemple concret : Une vulnérabilité publiée (ex. CVE-2023-3899) concerne une des technologies (logiciels, librairies, frameworks, systèmes d’exploitation…) utilisée dans votre SI. En l'occurrence ici, cette faille impacte Red Hat Enterprise Linux 8.
Avec ArchiMate, il est possible de :
- déclarer cette CVE dans le référentiel d’architecture,
- associer les correctifs connus à cette CVE,
- relier cette CVE au composant technologique Red Hat Enterprise Linux 8.
Ce travail de recensement peut être effectué pour l’ensemble des technologies déclarées dans le référentiel ArchiMate.
Mesurer les impacts sur les autres technologies
Une fois cette étape réalisée, il est alors possible d’exploiter les autres informations disponibles dans le référentiel ArchiMate.
Grâce à la modélisation des machines (ou nœuds d’infrastructure) et des technologies qu’elles hébergent, en cas de faille sur une technologie, on peut en déduire toutes les machines et autres technologies co-hébergées qui seraient potentiellement impactées.
Depuis chaque technologie exposée, on peut directement remonter aux services technologiques concernés (email, virtualisation, sauvegarde, CRM, etc.), puisqu’ils sont eux-mêmes liés aux technologies qu’ils utilisent.
Dans le cas de la CVE-2023-3899, ArchiMate permet ainsi d’identifier automatiquement les impacts potentiels sur des services critiques tels que la messagerie, l'authentification ou les systèmes de sauvegarde.
Remonter aux services applicatifs et métiers
En cascade, on peut également remonter des services technologiques vers les services applicatifs. Par exemple, les applications de finance, de marketing ou de commerce. Et en continuant on peut atteindre jusqu’aux services métiers qui utilisent ces applications.
Cette traçabilité verticale est essentielle dans le cadre d’une analyse de cybersécurité, car elle permet de mesurer l’impact d’une vulnérabilité sur les capacités critiques de l’organisation.
Automatiser la collecte des données techniques
Bien sûr, personne n’a envie de saisir manuellement les CVE et les configurations système.
Heureusement, cette modélisation peut être automatisée grâce à des connecteurs :
- liste des CVE : téléchargeable au format JSON sur cve.org et transformable automatiquement en objets ArchiMate,
- liste des machines, technologies et configurations : importée depuis une CMDB ou un outil d’inventaire (par ex. Ansible, ServiceNow, GLPI…).
Ces sources alimentent automatiquement le modèle ArchiMate, qui devient une cartographie vivante du système d’information et de ses vulnérabilités.
On peut ainsi facilement suivre quelles technologies ou quels services sont concernés par une faille publiée, et déclencher les actions de remédiation appropriées.
Pourquoi c’est précieux pour NIS2
Cette approche de cartographie avec ArchiMate est cruciale dans un contexte de mise en conformité NIS2 car elle permet :
- d’identifier les chaînes d’impact entre une vulnérabilité technique et un service critique,
- de prioriser les correctifs en fonction des risques métier associés,
- d’obtenir la traçabilité et le reporting exigés par NIS2.
Et in fine, renforcer la cyber-résilience de l’organisation en s’appuyant sur un modèle d’architecture à jour et automatisé.
Bientôt un webinaire pour en savoir plus
Dans un prochain webinaire, nous montrerons concrètement comment modéliser ces dépendances dans ArchiMate, comment automatiser la collecte des CVE, et comment visualiser les impacts d’une faille sur les services critiques d’une entreprise.
En attendant, si vous avez déjà expérimenté ce type de modélisation ou si vous vous préparez à NIS2, je serais ravi d’échanger sur vos approches et retours d’expérience