Les approches pour sécuriser un système se sont longtemps organisées en deux camps. Le premier camp privilégiait une étude de la conformité vis-à-vis de référentiels génériques. L’autre camp privilégiait l’étude exhaustive de scénarios de risque en tant qu’outil support à la prise de toute décision de sécurisation. Cependant, ces approches ont montré leurs limites. L’étude par conformité est simple, mais ne colle pas forcément aux besoins et enjeux. L’étude par scénarios est exhaustive et spécifique, mais laborieuse, pour au final proposer un bon nombre de mesures de sécurité classiques. Suite à ce constat, des approches hybrides sont apparues : d’abord une étape de sécurisation par conformité, plus ou moins ad-hoc, propice à une certaine automatisation, puis une étape d’analyse par scénarios, manuelle et à dire d’expert, pour compléter le socle de mesures, si nécessaire. Ces approches hybrides rebattent les cartes d’un point de vue sociétal et d’organisation du travail. Les ingénieurs et architectes généralistes prennent l’initiative sur certaines activités de cybersécurité, libérant de fait du temps pour les experts, qui peuvent se concentrer sur des activités à haute valeur ajoutée. Cependant, le premier niveau de sécurisation par conformité reste une opération globalement mal maîtrisée qu’une automatisation pourrait simplifier. Ce papier effectue une revue critique des normes et standards actuels qui proposent cette approche hybride. Il explique notamment les fondements et les automatismes à la base de la détermination d’un socle de sécurité pour sécuriser, par conformité, au juste besoin, et en fonction des enjeux.

For a long time, there have been two main approaches to securing a system or organisation. On the one hand, compliance with respect to generic security baselines, and on the other, exhaustive risk scenarios studies. However, these approaches have shown their limits, and thus, hybrid approaches have appeared. These hybrid approaches recommend first a step of securing by compliance, more or less ad hoc, conducive to a certain automation, then a step of scenario analysis, manual and based on expert judgement. These hybrid approaches reshuffle the cards from a societal and work organisation point of view, but the first step remains an operation that is still poorly controlled. This paper performs a critical review of the current norms and standards that propose this hybrid approach. It explains the fundamentals and the automatic mechanisms underlying the determination of a security baseline to secure, by compliance, in line with the needs and stakes.