"ANSSI"

https://www.ssi.gouv.fr

17/11/2019

Catégories : ANSSIArticleEBIOS Risk Manager
Mots-clés :

06/02/2019

Catégories : ANSSIArticleEBIOS Risk Manager

15/12/2018

Catégories : ANSSIEBIOS Risk ManagerFAQ

La fiche d’expression rationnelle des objectifs de sécurité (FEROS) est un document largement utilisé dans les programmes et projets d’armement comme point de départ d’une démarche d’homologation ou de certification par exemple. Les sommaires types proposés sur le site institutionnel de l’ANSSI, dont celui de la FEROS (https://www.ssi.gouv.fr/uploads/2014/06/Lhomologation-en-neuf-etapes-simples-Document-types.pdf), feront l’objet d’une mise à jour avant l’été 2019 afin de répercuter les évolutions de la méthode EBIOS.

La FEROS est principalement le reflet des résultats de l’analyse de risque, elle est donc structurée comme telle. Par conséquent, vous pouvez adapter votre template en reprenant les grandes séquences d’EBIOS Risk Manager. Par exemple, si l’on considère le template proposé par l’ANSSI (cf. lien ci-dessus) :

  • §4 Besoins de sécurité —–> Socle de sécurité et événements redoutés (atelier 1)
  • §5 Etude des menaces —–> Sources de risque (atelier 2)
  • §6 Evénements redoutés —–> Menace liée à l’écosystème (atelier 3)
  • §7 Risques —–> Scénarios de risque (ateliers 3 et 4)
  • §8 Objectifs de sécurité —–> Stratégie de traitement du risque et mesures de sécurité (atelier 5)
  • §9 Risques résiduels —–> Risques résiduels (atelier 5)
  • §10 Compléments —–> Cadre de suivi des risques (atelier 5)

Pour le §8, nous vous recommandons fortement de structurer votre stratégie et vos mesures selon le cadre de référence suivant : protection, défense, résilience, gouvernance (voir fiche méthode n°9).

Ci-après les ressources utiles :

  • https://www.ssi.gouv.fr/entreprise/management-du-risque/la-methode-ebios-risk-manager/ ;
  • https://www.ssi.gouv.fr/guide/la-methode-ebios-risk-manager-le-guide/ ;
  • https://www.ssi.gouv.fr/entreprise/management-du-risque/la-methode-ebios-risk-manager/faq-methode-ebios-rm/.
Mots-clés :

09/12/2018

Catégories : ANSSIEBIOS Risk ManagerFAQ

Vous avez bien perçu l’articulation entre l’atelier 1 et les ateliers 2-3-4 d’appréciation des risques.

Un des objectifs de l’atelier 1 est d’identifier ou de bâtir un socle de sécurité à la fois basé sur l’état de l’art, les bonnes pratiques (dont la PSSI existante), et la réglementation. Les ateliers d’appréciation des risques vont ensuite « malmener » ce socle au travers de scénarios d’attaques représentatifs de la menace à laquelle vous êtes réellement exposé. L’appréciation des risques peut aboutir à la nécessité de durcir le socle grâce à des mesures complémentaires ad hoc. Elle peut également permettre de justifier des écarts de conformité ou des vulnérabilités. L’ISO 27001 constitue un cadre intéressant pour bâtir un socle de sécurité cohérent. Par ailleurs, la prise de risque peut dans certains cas être simplement acceptée en l’état ou refusée le temps de revenir à une situation plus saine, voire transférée vers une assurance ou un tiers.
L’appréciation des risques dans EBIOS RM est par essence intentionnelle. Nous considérons que les risques accidentels et environnementaux sont traités a priori dans l’atelier 1 dans le cadre du socle de sécurité.

Dès lors, deux réponses sont possibles.

La première consiste à distinguer les sujets. L’évaluation de la conformité aux bonnes pratiques de l’annexe de l’ISO 27001 vous permet de mettre les écarts en évidence et de déterminer les actions à entreprendre pour vous en rapprocher. Vous choisirez ensuite si votre étude des risques doit être basée sur l’état actuel de conformité aux bonnes pratiques ou sur l’état visé. À l’issue, vous aurez non seulement un plan d’action pour améliorer votre conformité et votre plan d’action pour traiter les risques appréciés avec la méthode.
Pour rappel, ces bonnes pratiques ne constituent pas le cœur d’ISO 27001, mais permettent juste de comparer les mesures choisies dans votre environnement à des bonnes pratiques.

La deuxième est applicable si vous souhaiteriez contextualiser ces risques afin de mettre en lumière de quelle façon les écarts concernés à l’ISO sont préjudiciables et justifier ainsi auprès de votre direction la nécessité d’y remédier.
Si vous souhaitez réaliser une appréciation des risques non intentionnels dans le cadre d’une EBIOS RM, vous pouvez procéder comme suit, mais dans tous les cas la phase d’appréciation des risques devra se concentrer sur les risques les plus extrêmes. Sans quoi, l’analyse serait trop lourde et inexploitable pour un décideur. Celui-ci doit pouvoir poser une décision sur un jeu de scénarios concret et limité, représentatif des risques les plus critiques.

  • Atelier 1 : identifiez les thématiques non intentionnelles relatives aux écarts de conformité dont vous souhaitez apprécier le risque (par exemple : la sécurité incendie, l’alimentation en énergie des locaux techniques, les intempéries et phénomènes climatiques, la protection contre les inondations).
  • Atelier 2 : documentez les sources de risque non intentionnelles en précisant le cas échéant les valeurs métier ou biens supports plus particulièrement concernés. (nota : documenter des objectifs visés n’aura ici pas de sens).
  • Atelier 3 : identifiez les parties prenantes associées aux sources de risque non intentionnelles ci-dessus (par exemple tel fournisseur qui assure la maintenance de vos biens supports si la source de risque est « erreur de maintenance ») ; vous pouvez aller au-delà en construisant une cartographie de menace de cet « écosystème non-intentionnel » sur la base de critères à adapter par rapport à ceux proposés pour l’intentionnel dans la fiche méthode n°5. Construisez ensuite pour chaque source de risque un scénario stratégique. Ce scénario illustre la manière selon laquelle la source de risque non intentionnelle peut conduire à des événements redoutés (de l’atelier 1) au travers d’un enchaînement d’événements non intentionnels ou de facteurs aggravants qui peuvent être relatifs aux écarts de conformité et/ou à une faible maîtrise de l’écosystème impliqué.
  • Atelier 4 : si besoin, affinez certains scénarios stratégiques au travers de scénarios opérationnels dont la vocation sera simplement de préciser les modes de défaillance et d’erreur qui pourront également être liés à des écarts (ex : une absence de procédure). Évaluez la vraisemblance des scénarios de risque selon la métrique proposée dans la fiche méthode n°8.
  • Atelier 5 : incorporez vos risques non intentionnels dans le traitement du risque au même titre que les risques intentionnels.

Une façon alternative (mais non exclusive de celle présentée ci-dessus) de « valoriser » les problèmes de nature non intentionnelle est de voir de quelle façon ils peuvent bénéficier aux attaquants dans vos scénarios de risque intentionnels. Par exemple, un attaquant peut arriver à atteindre son objectif visé en raison d’un écart de sécurité environnementale qu’il exploitera volontairement ou opportunément. La vraisemblance d’une attaque peut être accrue à cause d’un manquement à une règle ISO 27001. Dans cette approche, vos écarts non intentionnels sont intégrés dans des scénarios de risques intentionnels en tant que facteurs aggravants qui faciliteront l’attaque. Cette approche peut se révéler très percutante car elle montre de quelle façon les faiblesses environnementales du socle de sécurité peuvent rendre une attaque intentionnelle bien plus vraisemblable ou aggraver fortement les conséquences.

02/12/2018

Catégories : ANSSIEBIOS Risk ManagerFAQ

En matière de gestion des risques ou de cybersécurité, la méthode EBIOS Risk Manager est une méthode de référence développée par l’ANSSI et soutenue par le Club EBIOS. Elle permet d’apprécier et de traiter les risques numériques, conformément à la norme ISO/IEC 27005, dont les valeurs reposent sur les aspects concret, efficient, convaincant et collaboratif.

Face au bouleversement numérique, la méthode EBIOS nécessitait d’évoluer pour prendre en compte l’environnement numérique actuel (systèmes interconnectés, prolifération des menaces, état de l’art et règlementation plus mature, connaissance de la menace). La version de 2010 était très pertinente dans son contexte mais proposait une analyse séquencée, système par système. Il fallait attendre la fin de l’analyse complète pour pouvoir obtenir des résultats. La nouvelle version EBIOS Risk Manager propose une méthode d’analyse plus agile de l’ensemble des systèmes, dans leur environnement global, avec des résultats visibles étape par étape. Ce procédé d’analyse offre un aperçu plus réaliste et qualitatif. On estime qu’après appropriation, la mise en œuvre de cette démarche permet de gagner 30% de temps en comparaison avec la version de 2010. Les analyses réalisées avec cette dernière peuvent être intégrées au sein de cette nouvelle version puisque certaines mesures de traitement ont déjà été opérées. Ces mesures peuvent facilement contribuer à l’atelier 1 de la méthode EBIOS Risk Manager, lors de la définition du socle de sécurité.

EBIOS Risk Manager propose une analyse plus agile et ciblée. Elle est ancrée dans la réalité de la menace cyber et de l’environnement des systèmes concernés, et permet d’obtenir des résultats au fil de l’analyse, par ateliers exécutés. Elle prend en compte l’ensemble de l’écosystème de l’objet de l’étude.
Les analyses de risques réalisées avec la version précédente sont évidemment réutilisables dans la version actuelle. Grâce aux analyses de risques déjà réalisées, les mesures destinées à traiter les risques ont été identifiées et mises en place. Ces mesures pourront être directement intégrées au cours de l’atelier 1 de la méthode EBIOS, lors de la définition du socle de sécurité.
En effet, l’étape de définition du socle de sécurité permet d’identifier l’ensemble des bonnes pratiques, des mesures règlementaires et normatives qui s’appliquent à l’objet de l’étude, mais aussi des mesures spécifiques déjà mises en place sur le périmètre concerné.

La version 2010 n’est plus maintenue à partir de la sortie de la nouvelle version 2018.

Mots-clés :

Catégories : ANSSIEBIOS Risk ManagerFAQ

La pyramide, qui place la réglementation et les mesures de base sous la gestion des risques, a pour but d’expliquer qu’EBIOS Risk Manager vise l’efficacité plutôt que l’exhaustivité : la méthode gère les risques qui peuvent encore survenir après application de la réglementation et des pratiques de base. Le reste de la méthode se concentre donc uniquement sur cette partie.

Mots-clés :

17/11/2018

Catégories : ANSSIEBIOS Risk ManagerFAQ

En complément du guide EBIOS Risk Manager, des « fiches méthodes » ont été créées pour vous aider à réaliser chaque atelier décrit dans le guide. Elles contiennent notamment des bases de connaissances qui ont vocation à faciliter l’animation des ateliers d’appréciation des risques et l’identification des scénarios. Conçues comme des outils d’accompagnement à vocation pédagogique, ces fiches méthodes seront régulièrement enrichies et mises à jour.

Catégories : ANSSIEBIOS Risk ManagerFAQ

Suite à l’appel à manifestation d’intérêt lancé l’été 2018 par l’ANSSI, plusieurs éditeurs ont répondu favorablement et travaillent activement au développement de solutions logicielles pour outiller la méthode EBIOS RM.
Le lancement d’un label qui atteste de la conformité des solutions logicielles aux principes et aux concepts de la méthode a eu lieu début 2019.
La liste des solutions labellisées est disponible sur le site de l’ANSSI.

Mots-clés :

Catégories : ANSSIEBIOS Risk ManagerFAQ

Afin d’outiller cette nouvelle méthode, l’ANSSI souhaite s’appuyer sur des partenaires externes, éditeurs de logiciel. La mise à disposition d’une ou plusieurs solutions logicielles conformes à l’esprit de la méthode apparaît comme un complément attendu qui facilitera son adoption par le plus grand nombre.
Dans cette logique, l’ANSSI travaille à la création et à l’attribution d’un label de conformité EBIOS RM, accessible à tout éditeur souhaitant développer une solution logicielle conforme aux principes et aux concepts de la méthode EBIOS « Risk Manager ».
Les éditeurs sont dès à présent invités à se rapprocher de l’ANSSI (contact : ebios[at]ssi.gouv.fr) pour participer à l’expérimentation de la labellisation avant son lancement et disposer du cahier des charges dans le cadre d’un accord de confidentialité.

Voir la page du label sur le site de l’ANSSI.

Mots-clés :

Catégories : ANSSIEBIOS Risk ManagerFAQ

En se constituant autour de 5 ateliers complémentaires, la méthode EBIOS RM offre :
– Une synthèse entre conformité et scénarios : la méthode s’appuie sur un socle de sécurité solide, construit grâce à une approche par conformité. L’approche par scénarios vient solliciter ce socle face à des scénarios de risque plus particulièrement ciblés ou sophistiqués ;
– Une valorisation de la connaissance cyber : pour construire des scénarios de risques du point de vue de l’attaquant, il est indispensable d’avoir une bonne connaissance de ceux-ci. L’ANSSI propose donc avec la méthode EBIOS une structure permettant d’évaluer les différents profils d’attaquants et leurs objectifs ainsi que des bases de connaissances ;
– Une prise en compte de l’écosystème : les attaquants ne cherchent plus forcément à atteindre de manière frontale les organismes mais à passer par des parties prenantes de leur écosystème, qui peuvent être plus vulnérables, pour parvenir à leurs fins. La prise en compte de l’écosystème dans l’étude des risques est donc à présent indispensable.

Mots-clés :

Catégories : ANSSIEBIOS Risk ManagerFAQ

La méthode EBIOS Risk Manager a été conçue en s’appuyant sur les valeurs suivantes :
– une méthode concrète axée sur la réalité de l’état de la menace ;
– une méthode efficiente, simple et suffisamment souple pour être complétée et adaptée rapidement ;
– une méthode convaincante auprès des dirigeants, où le risque cyber doit être expliqué avec pédagogie ;
– une méthode collaborative car les différents ateliers regroupent la direction, les métiers et les équipes SSI.

Mots-clés :

Catégories : ANSSIEBIOS Risk ManagerFAQ

La méthode EBIOS Risk Manager doit offrir une compréhension partagée des risques cyber entre les décideurs et les opérationnels. L’objectif est que le risque cyber soit considéré au même niveau que les autres risques stratégiques (risque financier, juridique, d’image, etc.) par les dirigeants.
Les publics intéressés par cette méthode sont les RSSI et les risk managers.

Mots-clés :

Catégories : ANSSIEBIOS Risk ManagerFAQ

La méthode EBIOS (dont la dernière version datait de 2010) était très pertinente dans son contexte. Face aux évolutions du numérique de ces dernières années, elle s’est modernisée pour prendre en compte l’environnement actuel (systèmes interconnectés, prolifération des menaces, état de l’art et règlementation plus mature, connaissance de la menace), et permettre aux dirigeants d’appréhender correctement les enjeux majeurs de la sécurité du numérique (de nature stratégique, financière, juridique, d’image, de ressources humaines).

Mots-clés :

17/10/2018

Catégories : ANSSIEBIOS Risk ManagerMéthode

La méthode de référence française EBIOS accompagne les organisations pour identifier et comprendre les risques numériques qui leurs sont propres. Elle permet de déterminer les mesures de sécurité adaptées à la menace et de mettre en place le cadre de suivi et d’amélioration continue à l’issue d’une analyse de risque partagée au plus haut niveau.

Sur le site de l’ANSSI : La méthode EBIOS Risk Manager
EBIOS Risk Manager

Écouter aussi le podcast du 17/11/2019 de Fabien CAPARROS (ANSSI) sur NoLimitSecu.

04/12/2003

Catégories : ANSSIArticleEBIOS Risk Manager

[article non disponible en ligne]