"Club EBIOS"

23/10/2022

Catégories : Club EBIOSEBIOS Risk ManagerFAQ

La méthode EBIOS Risk Manager (EBIOS RM) a été mise à jour en 2018, et l’ISO 27005 en novembre 2022. Ces mises à jour sont majeures, et recentrent la gestion des risques autour des métiers, de la cybersécurité et de la protection de la vie privée. L’objectif de cet article est de préciser le lien et l’adéquation existant entre ces deux standards.

La norme ISO 27005 décrit les grandes lignes d’une gestion des risques dans un contexte cyber : définition du contexte d’analyse, identification et évaluation des risques encourus, possibilités de traitement ou d’acceptation de ces derniers. Elle introduit un processus d’appréciation des risques conforme à l’ISO 31000, sans pour autant proposer de méthode au sens strict.

Construite en cohérence forte avec le couple de normes ISO 27001/27002 et reprenant le vocabulaire principalement défini dans l’ISO 27000, la norme ISO 27005 utilise comme nombre de systèmes de management la logique d’itération et d’amélioration continue.

La méthode EBIOS est une méthode d’analyse et d’évaluation des risques qui a aujourd’hui plus de 25 ans. Elle a été définie par l’ANSSI, avec le soutien du Club EBIOS. Elle décrit dans le détail la procédure à suivre pour dérouler une analyse des risques (démarche et bonnes pratiques).

La dernière version de la méthode a permis de mettre l’accent sur l’agilité, et de substituer à la recherche d’exhaustivité une volonté de représentativité : l’idée n’est plus d’identifier tous les risques, mais uniquement les plus significatifs dans une approche permettant représenter aussi largement que possible l’espace des risques. Elle se veut aussi plus flexible en fonction de la maturité et de l’objectif fixé.

La question du lien entre l’ISO 27005 et EBIOS RM revient régulièrement, pour les deux raisons suivantes :

  • EBIOS RM est en France largement connue et son utilisation est très largement majoritaire comme méthode d’analyse de risques. C’est la méthode nationale, et elle est référencée par l’ENISA. Cependant, elle ne jouit pas de la même aura au-delà de nos frontières. EBIOS RM comme l’ISO 27005 présente une structuration de la notion de risque sécurité.
  • EBIOS RM n’est pas une norme, mais une méthode. Elle décrit des techniques pratiques pour permettre à ses utilisateurs d’appliquer le modèle décrit dans l’ISO 27005. Dans les faits, lors d’une démarche de mise en œuvre d’un SMSI implémentant la famille de normes ISO 2700x, se pose immédiatement l’obligation d’identifier si oui ou non la méthode d’analyse de risques sélectionnée est bien compatible avec le cadre normatif choisi. EBIOS RM apporte une solution.
Un framework repose sur un modèle.
C’est donc un squelette à partir duquel on peut réaliser une implémentation concrète. C’est une réification, fournissant une logique générale. Une méthode est l’implémentation de cette abstraction, c’est-à-dire un process réel, matérialisé, utilisable sur des projets concrets. Elle est par définition systématique, mais doit rester adaptée au besoin.

Liens EBIOS RM & ISO 27005
Quels sont les liens entre le processus EBIOS RM et le processus ISO 27005 ? Peut-on dire d’EBIOS RM qu’elle est compatible ISO 27005 ? Cet article, au fil des prochains paragraphes, détaille cette compatibilité et le lien entre chaque activité et atelier.

Le workflow général

EBIOS Risk Manager

EBIOS RM workflow
EBIOS RM propose une démarche construite autour de 5 ateliers (réflexions), dont l’importance va varier en fonction de l’objectif fixé pour l’analyse de risques et la maturité du périmètre concerné. Les ateliers proposés sont les suivants :

  • Le point de vue du défenseur : Qu’est ce qui doit être protégé, et pourquoi ?
    L’atelier 1 est un atelier centré sur le périmètre de l’analyse. L’analyste cherche à y définir précisément les frontières (où commence et où se termine l’analyse), ce que les métiers craignent, et l’état d’application du cadre légal, normatif ou réglementaire (le socle de sécurité) sur le périmètre à analyser.
  • Qui est l’agresseur et pourquoi passe-t-il à l’acte ?
    L’atelier 2 est un atelier centré sur l’attaquant, qu’on va chercher à évaluer en termes de ressource & de motivation.
  • Par où l’attaquant va-t-il agir ?
    L’atelier 3 s’intéresse à l’écosystème (tout ce qui interagit avec le périmètre sans en faire partie) et à l’usage possible de cet écosystème par un attaquant pour atteindre son objectif.
  • Comment l’attaquant va-t-il agir ?
    L’atelier 4 cherche à évaluer la vraisemblance des attaques, en creusant les modes opératoires mis en œuvre par un attaquant et en appréciant leur probabilité de réussite.
  • Quelle stratégie de sécurité au regard des risques identifiés ?
    L’atelier 5 est une activité classique de remédiation : maintenant que les risques sont identifiés, comment réussir à les réduire ? Doit-on les traiter, les transférer, peut-on les accepter ?

L’ISO 27005

La démarche proposée par l’ISO 27005 comprend, elle aussi, 5 étapes majeures :

  • L’établissement du contexte
  • L’identification des risques
  • L’analyse du risque
  • L’évaluation du risque
  • Le traitement du risque

L’ISO 27005 ajoute en parallèle deux autres activités : la communication et la surveillance & revue.
ISO 27005 workflow

Correspondance des activités ISO 27005 et des ateliers EBIOS RM

L’établissement du contexte

L’ISO 27005 appelle à identifier les exigences de base des parties intéressées, en intégrant à la fois des normes, de la réglementation, d’éventuels compléments provenant de la PSSI, etc. Cela correspond très directement à l’activité EBIOS RM d’établissement du socle de sécurité.

Non-conformité : Dans les deux cas, l’idée principale est que l’ensemble des non-conformités permettront d’avoir une vision claire de la maturité du périmètre, et alimenteront le cas échéant le travail réalisé aux étapes suivantes d’évaluation des risques. En effet, chaque non-conformité ou écart sera à prendre en compte pour évaluer la vraisemblance des risques auxquels est exposé le sujet de l’analyse réalisée.

Échelles : Se pose la question des critères de réalisation des appréciations du risque : dit simplement, il s’agit d’identifier les échelles & matrices à employer pour l’analyse, à la fois en termes de gravité des événements redoutés, de vraisemblance, et de politique d’acceptation des risques identifiés.

Conséquence : Pour l’évaluation de la gravité, un changement de vocabulaire important apparaît : l’ISO 27005 ne parle pas d’événements redoutés, mais utilise le terme de conséquence (précédemment, appelle impact). L’évaluation se fait à travers les critères de conséquences, et leurs criticités qui sont le niveau de magnitude, grâce à l’identification des préjudices et dommages : cela correspond tout simplement à la notion d’impacts présents en EBIOS RM.

Vraisemblance : Pour la vraisemblance, l’ISO 27005 appelle à utiliser des échelles reposant sur des probabilités ou des fréquences. EBIOS RM laisse libre l’utilisateur de définir sa méthode d’appréciation de la vraisemblance en l’axant sur la réalité de succès de l’attaquant. L’analyse de la vraisemblance issue d’une analyse de risques EBIOS RM (si l’on suit les fiches méthodes) nécessite une adaptation conformément aux recommandations de l’ISO.

EBIOS RM a en théorie une approche plus continue de la construction de ces éléments (ils sont définis au fil de l’analyse), mais dans les faits c’est souvent le sujet par lequel démarrer. On essaye alors d’aligner ce paramétrage avec celui déjà existant au sein de l’entreprise ou de l’organisme, pour faciliter le partage a posteriori des résultats obtenus.

Le dernier critère est celui de la politique d’acceptation des risques : en fonction des critères précédents (gravité et vraisemblance), quel est le comportement de l’organisme face aux risques identifiés ? Cette évaluation de l’appétence au risque est rarement spécifique à la sphère cyber. L’ISO 27005 et EBIOS RM sont complètement alignées.

L’appréciation du risque

L’appréciation du risque en ISO 27005 passe par son identification, son analyse, puis son évaluation.

L’identification des risques

L’identification des risques au sens ISO 27005 est le processus consistant à rechercher, reconnaître et décrire les risques. Elle implique de déterminer les sources et ce qui peut se produire. La cible est d’avoir à l’issue de cette activité une liste de risques pouvant mener à la concrétisation de conséquences menaçant l’atteinte des objectifs de sécurité identifiés.

En EBIOS RM, l’identification des risques n’est pas monolithique. Elle va se réaliser étape par étape, et chaque atelier va permettre de les construire puis de les préciser :

  • L’atelier 1 : EBIOS RM permet d’identifier les événements redoutés
  • L’atelier 2 : EBIOS RM filtre les couples sources de risques et objectifs visés pour ne retenir que les plus pertinents. Il est à noter une différence majeure de sémantique entre EBIOS RM et L’ISO 27005 : Le premier ne s’intéresse qu’aux sources intentionnelles (le socle de sécurité couvre le reste), le second intègre explicitement les sources non intentionnelles. Il y a de plus une distinction faite entre l’ISO 27005 entre l’objectif à court terme de l’attaquant et son objectif à long terme (état final recherché), alors qu’EBIOS RM ne dissocie pas les deux éléments. Ce sujet est décrit dans les annexes (informative) ;
  • L’atelier 3 : EBIOS RM crée le lien entre évènements redoutés, sources de risques et valeurs métiers : la combinaison de ces éléments permet de faire apparaître des scénarios de risque, et donc d’atteindre l’objectif fixé par l’ISO 27005.

L’ISO 27005 identifie deux approches possibles pour l’identification des risques basée sur :

  • Les événements et intégrant l’écosystème
  • Les biens supports

ISO 27005 liens

EBIOS RM & ISO 27005
Ce rapprochement est le pivot central de la compatibilité entre la méthode EBIOS RM et la norme ISO 27005.

Vulnérabilités : Il existe néanmoins une notion explicitée en ISO 27005 et non directement citée en EBIOS RM : la gestion des vulnérabilités. En conjonction à l’atelier 4 (ou à l’approche par les biens), l’intégration des vulnérabilités à la démarche d’analyse de risque permet à l’organisme de proposer un traitement spécifique du risque à un niveau détaillé. Cette proposition peut être vue comme une extension à la démarche EBIOS RM, mais n’est en rien contradictoire.

L’analyse et l’évaluation du risque

Cette étape est destinée à évaluer, à travers un ensemble de critères déterminés en amont, les risques identifiés. Ce travail permettra de projeter chaque risque en termes de gravité et de vraisemblance lors de l’évaluation. Il est (à nouveau) réalisé au fil des ateliers EBIOS RM :

  • La volonté de passage à l’acte dans l’atelier 2, connue sous le terme de “pertinence”
  • La gravité est évaluée pendant l’atelier 1, lors de l’identification des événements redoutés
  • La vraisemblance est évaluée de manière générale dans l’atelier 3, ou/et de manière détaillée dans l’atelier 4. Dans les deux cas, et que ce soit dans EBIOS RM ou en ISO 27005, la difficulté de l’exercice et sa nécessaire subjectivité sont soulignés. La norme utilise l’expression suivante : “variabilité d’heuristique mentale de prise de décision”.

Ces valeurs permettront ensuite de classifier le risque, en le confrontant aux critères d’acceptation du risque, définis par l’organisme : ce n’est ni plus ni moins que le placement de chaque risque sur une matrice d’acceptation du risque, où chaque cellule reflète ces critères.

Le traitement du risque

L’ISO 27005 propose un traitement général du risque décomposé en plusieurs étapes :

  • Choisir l’option de traitement, en partant du principe que la réduction est l’option prioritaire
  • La préparation d’une déclaration d’acceptabilité (DdA), en lien avec l’annexe A de l’ISO 27001
  • La formalisation d’un plan de traitement du risque
  • L’acceptation des risques résiduels

EBIOS RM simplifie le choix de l’option de traitement, en priorisant en fonction des niveaux de risque la réduction ou l’acceptation. La notion de DdA n’apparaît pas non plus, mais c’est une production documentaire qui peut être faite à partir des résultats obtenus dans chaque atelier. La formalisation du plan de traitement du risque et l’acceptation des risques résiduels sont très directement repris.

Les process transverses : communication et surveillance

L’ISO 27005 présente le processus de communication de la manière suivante : « les informations sur les risques, leurs causes, leurs conséquences, leurs vraisemblances et les moyens de maîtrise mis en œuvre pour les traiter sont communiqués […] aux parties intéressées ».

Cette communication est bien présente au sein d’EBIOS RM, mais n’est pas identifiée comme une activité spécifique. C’est plutôt un travail de fond, intégré à chaque atelier, avec l’idée que cela fait partie de l’esprit de la méthode : l’analyse de risques est par définition un outil de partage et de communication. Les nombreuses représentations graphiques (radar, scénarios stratégiques & opérationnels, etc.), mais aussi la volonté très marquée (en termes de vocabulaire et de mise en œuvre) de placer les métiers au centre en est la preuve concrète.

Scénarios de surveillance : Parmi les activités de communication et surveillance, la transposition des scénarios de risques en règles de surveillance, et règles de corrélation à intégrer dans les outils de détection d’une organisation permet d’assurer que les risques résiduels les plus critiques peuvent être détectés. Cette partie, qui fait le lien avec l’ISO 27035 (norme sur la gestion des incidents de sécurité) et les activités de SOC, n’est pas présentée dans le cadre de la méthode EBIOS RM, mais provient d’une contribution du Club EBIOS issue des retours d’expérience de ses praticiens.

Déclencheur : Pour le processus de revue et de surveillance, l’ISO 27005 fournit nombre de détails sur la mise en œuvre du suivi des risques identifiés. Les notions de cycle stratégique et opérationnel sont reprises stricto senso, mais l’ISO 27005 fait apparaître la notion de déclencheur, condition amenant effectivement à initier la mise à jour de l’une ou l’autre des activités.

Résumé des équivalences pour le vocabulaire

EBIOS RM ISO 27005
Partie prenante Partie intéressée
Cadrage et socle de sécurité Etablissement du contexte
Scénario stratégique Approche par évènements
Scénario opérationnel Approche par les biens support
Évènement redouté Conséquence
Évènement intermédiaire Conséquence intermédiaire
Valeur métier Bien primaire
Bien support Bien support
Source de risque Source de risque
Niveau de Menace Niveau de danger
PACS Plan de traitement du risque
Impact Critères de conséquences
Besoin de sécurité Objectif de sécurité
Gravité Gravité
N/A Déclencheur

Bilan

L’approche générale proposée par l’ISO 27005 permet à chacun d’identifier les étapes nécessaires à la réalisation d’une analyse de risques, sans imposer de processus spécifique pour les conduire. La nouveauté principale de l’ISO 27005 est l’approche duale par événements et/ou par biens supports, et cette approche duale fait partie du cœur de la méthode EBIOS. Les concepts utilisés de part et d’autre sont cohérents, même s’ils ne sont parfois explicités que d’un côté ou de l’autre.

Article connexe : différences entre l’ISO 27005:2018 et l’ISO 27005:2022

Mots-clés :

10/06/2022

Catégories : Club EBIOSEBIOS Risk ManagerMéthode

Ce document recense les propositions d’amélioration des guides de la méthode EBIOS Risk Manager et les retours d’expériences, produits par le Club EBIOS en vue d’alimenter les réflexions de l’ANSSI dans le cadre de l’amélioration continue de sa méthode.

En complément, une évaluation des « Principales forces, faiblesses, opportunités et menaces (SWOT) » et une « Évaluation des travaux et référentiels » sont proposées en annexe.

ClubEBIOS-EBIOSRiskManager-BilanEtPropositionsAmeliorations
Télécharger

06/11/2021

Ce document contient 10 messages clés liés à la méthode EBIOS RM. Elaborés par le cercle des formateurs, ils visent à clarifier l’esprit de la méthode et sa mise en œuvre.

Club%20EBIOS%20-%20Les%2010%20commandements
Télécharger le document au format PDF.

19/10/2021

Catégories : AnnoncesClub EBIOS

L’objectif

Le Club EBIOS se mobilise pour transmettre à l’ANSSI des propositions d’améliorations d’EBIOS Risk Manager.
L’objectif est d’apporter des clarifications, de rendre le guide et les fiches plus efficaces au regard des retours de ses praticiens mais n’est pas de « révolutionner » la méthode (pas en rupture avec le modèle ou les principes de la démarche).

La démarche

Pour ce faire, un formulaire de collecte de commentaires et de retours d’expériences a été produit afin que chacun puisse contribuer.
Des réunions d’édition seront ensuite organisées pour parvenir à consolider et à mettre en valeurs vos retours.
Les travaux seront présentés aux membres du Club et à l’ANSSI, puis une restitution sera organisé avec l’ANSSI.

Nous comptons sur tous ceux qui ont utilisé la méthode pour y contribuer !

Comment faire ?

Vous trouverez ci-dessous le formulaire, ainsi que le guide et les fiches pratiques avec des lignes numérotées, pour vous permettre de localiser précisément vos propositions.
Vous pouvez télécharger le formulaire et l’utiliser en y ajoutant vos retours d’expériences, éléments à considérer et propositions d’améliorations.

Les contributions peuvent être transmises jusqu’au 28 novembre 2021 à l’adresse methode@club-ebios.org.

Les ressources

Le formulaire d’appel à commentaires
Le guide de la méthode au format PDF, avec les lignes numérotés
Les fiches de la méthode au format PDF, avec les lignes numérotés

08/10/2021

La méthode EBIOS Risk Manager est pensée pour s’adapter à l’objectif de l’étude. C’est ce principe pragmatique qui est retenu pour proposer une approche dite « Flash » afin de réaliser une étude préliminaire des risques en quelques heures de travail et l’organisation d’un unique atelier.

Le principal bénéfice recherché de l’approche « Flash » est d’obtenir l’adhésion du métier à la démarche et l’appropriation de ses risques dans un temps limité, avec au final des résultats concrets.

Vous trouverez dans ces travaux une démarche déployée dans un grand Groupe français, et un modèle de livrable.

2021_COLLEGE_EBIOS_demarche_flash_guide_utilisation_v1
Télécharger le document au format PDF.
Télécharger le document au format Word.

10/09/2021

Le script THOR est une interface graphique permettant de transférer le contenu de fichiers Excel (.xls) et images dans un modèle de rapport d’analyse de risque au format WORD (.doc).
Le rapport utilisé pour exemple est celui qui a été produit dans le cadre du collège des praticiens et déjà validé. Ce rapport peut être trouvé ici : Modèle de rapport d’analyse

Présentation complète du projet
Exécutable & documentation

Catégories : Club EBIOSPrésentation

Le Conseil d’administration du Club EBIOS a créé un exemple d’étude des risques sur la base de celle du système d’information de l’association.
L’étude a été réalisée à l’aide de la méthode EBIOS Risk Manager et porte à la fois sur la cybersécurité et la protection de la vie privée.
L’exemple a pour objectif d’illustrer des techniques de réalisation des ateliers et des techniques de présentation réutilisables dans d’autres analyses.

ClubEBIOS-Exemple_etude_des_risques
Télécharger le document au format PDF.
Télécharger le document au format Word.

01/06/2021

Catégories : Club EBIOSPrésentation

12/03/2021

Catégories : ArticleClub EBIOSEBIOS Risk Manager

26/02/2021

Le présent document propose un modèle de rapport d’analyse de risques regroupant les différents livrables prévus par la méthode EBIOS Risk Manager.

Il est destiné à être intégré dans un outil automatique capable de remplir la matrice à partir d’un fichier au format CSV (outil à paraître par le collège des praticiens).

L’objectif de chaque chapitre est succinctement rappelé afin de faciliter la compréhension du rapport par les différents destinataires, quel que soit leur niveau de connaissance de la méthode. Fruit de nombreux échanges, ce modèle s’appuie sur les définitions et exemples du guide méthodologique ainsi que sur l’expérience des différents experts et praticiens ayant contribué à ce document.

24/01/2021

Catégories : ArticleClub EBIOSGestion des risques




> Voir la Vidéo de présentation du Club EBIOS

Le Club EBIOS fédère la communauté des personnes intéressées par la gestion des risques autour de la méthode EBIOS.

C’est une association indépendante à but non lucratif (Loi 1901), composée d’experts individuels et d’organismes.

Son positionnement par rapport à l’ANSSI : l’ANSSI publie la méthode EBIOS Risk Manager, labellise les logiciels qui facilitent sa mise en œuvre, et forme les administrations. Le Club EBIOS et l’ANSSI travaillent main dans la main sur ce sujet.

Le rôle du Club EBIOS est de fédérer une communauté de plus de 200 personnes : le Club regroupe des organismes et des experts individuels du secteur public et du secteur privé, français et étrangers.

Il supporte et enrichit le référentiel de gestion des risques français depuis 2003, en collaboration avec l’ANSSI.

Il promeut et développe EBIOS, tous ses usages et ses dérivés (cybersécurité, protection de la vie privée, sécurité des personnes, etc.)
Une logique à 360° (méthode, logiciels, formation, certification) et en amélioration continue.

Le Club EBIOS est un lieu d’échange d’expériences. Il se réunit tous les deux mois pour échanger des expériences, harmoniser les pratiques et favoriser la satisfaction des besoins des usagers.

Il crée et diffuse l’outillage (bases de connaissances, techniques, études de cas, etc.)
Des groupes de travail permettent de créer des outils : “Outils pratiques”, “EBIOS Risk Manager“, “Menaces”, “Plans d’action”

Il agrée les certificateurs pour la certification de compétences EBIOS et anime le Cercle des formateurs.

Il constitue un espace pour définir des positions et exercer un rôle d’influence dans les débats nationaux et internationaux. Il agit en normalisation internationale, notamment sur la révision des normes ISO/IEC 27005 sur la gestion des risques de sécurité de l’information.

Le but du Club EBIOS est de promouvoir la gestion des risques.

Retrouvez-nous sur :

25/10/2020

Pour tous ceux qui souhaitent utiliser EBIOS Risk Manager pour mener un PIA (Privacy Impact Assessment, communément, ou analyse d’impact relative à la protection des données – AIPD, dans le cadre spécifique de l’article 35 du RGPD), voici une infographie qui synthétise la démarche :

D’une manière générale, la sécurité de l’information / cybersécurité et la protection de la vie privée traitent toutes deux de protection des données.
L’objectif diffère : en sécurité de l’information, le but est de protéger l’organisme, alors qu’en protection de la vie privée, le but est de protéger les personnes.
Mais la manière de gérer les risques est parfaitement compatible !

Pour mener un PIA avec EBIOS Risk Manager, il suffit ainsi de :

  1. prendre le traitement de données à caractère personnel considéré comme objet de l’étude EBIOS Risk Manager ;
  2. évaluer le respect des principes fondamentaux (finalité déterminée, données minimisées, information des personnes, leur permettre l’exercice de leurs droits, etc.), et ceci peut se faire dans le cadre du socle de l’atelier 1 d’EBIOS Risk Manager ;
  3. identifier les impacts potentiels sur les personnes concernées et estimer leur gravité, et ceci peut se faire dans le cadre des événements redoutés du même atelier 1 d’EBIOS Risk Manager.

Toutes les informations requises dans un PIA se retrouvent toutes dans l’étude :

  1. la description du traitement est issue de l’atelier 1 ;
  2. l’évaluation de la nécessité et de la proportionnalité concernant les principes et droits fondamentaux est issue également de l’atelier 1 ;
  3. l’étude des risques sur la sécurité des données et leurs impacts potentiels sur la vie privée est issue des ateliers 1, 2, 3 et 4 ;
  4. les mesures envisagées pour faire face aux risques sont issues de l’atelier 5.

11/10/2020

Catégories : Club EBIOSEBIOS Risk ManagerGuide

On a tous entendus parler de la dernière méthode de l’ANSSI, mais on ne l’a pas forcément pratiquée, et on n’a pas forcément compris si elle révolutionne vraiment les choses !
– Pourquoi la notion de socle de sécurité va vous changer la vie ?
– Comment la méthode permet-elle de tenir compte de l’écosystème ?
etc.

Matthieu GRALL vous en explique les grands principes sous la forme de mini-séquences, sur la chaîne YouTube du Club EBIOS :

  1. Pourquoi ? – Cette mini-séquence explique pourquoi gérer les risques et pourquoi EBIOS Risk Manager.
  2. Qu’est-ce que c’est ? – Cette mini-séquence explique ce qu’est EBIOS Risk Manager, ainsi que les produits et services atour de la méthode.
  3. Le socle de sécurité – Cette mini-séquence explique la notion de socle de sécurité d’EBIOS Risk Manager.
  4. Le principe de boîte à outils – Cette mini-séquence explique le principe de boîte à outils d’EBIOS Risk Manager.
  5. Les concepts du risque – Cette mini-séquence présente les composants d’un risque de cybersécurité dans EBIOS Risk Manager.
  6. Les parties prenantes de l’écosystème – Cette mini-séquence présente la notion d’écosystème dans EBIOS Risk Manager.
  7. Le principe de raffinements successifs – Cette mini-séquence présente le principe de raffinements successifs d’EBIOS Risk Manager.
  8. Le principe d’itérations successives – Cette mini-séquence présente le principe de démarche itérative d’EBIOS Risk Manager.
  9. Des mesures issues de chaque atelier – Cette mini-séquence explique que chaque atelier d’EBIOS Risk Manager nourrit le plan d’action.
  10. Conclusion – Cette mini-séquence conclut la série sur EBIOS Risk Manager.

C’est aussi l’occasion d’échanger sur le détail d’EBIOS Risk Manager, son usage, son positionnement, tout ce qui tourne autour de la méthode et toute question que vous pourriez vous poser.

L’objectif est de bien faire comprendre ce qu’est EBIOS et ses principes fondamentaux.
Ce n’est pas une formation à la méthode, mais une manière de mieux appréhender la méthode.

07/09/2020

Catégories : Club EBIOSPrésentation

Catégories : Club EBIOSPrésentation

ClubEBIOS-2020-09-07-GRALL
> Télécharger

Vous souvenez-vous ? Avant, nos voitures n’étaient pas connectées, nous n’étions pas tracés sur Internet (pour notre bien), et les entreprises étaient encore victimes d’attaques informatiques.
C’était au siècle dernier me direz-vous ! À l’ère dernière, même !
De pauvres désignés-volontaires devaient improviser des FEROS*, les meilleurs recopiant habilement celle d’un collègue.
Puis vint la lumière… Elle apparut sous la forme d’un ange nommé EBIOS*, qui apporta d’abord un peu de logique au respectable Vauban du numérique, puis différentes versions qui se nourrissaient de l’expérience de ses pratiquants jusqu’à influencer le monde entier, sans qu’il le sache.
Et alors que le feu sacré n’était plus entretenu que par quelques apôtres esseulés, la SC/DC/AN-SSI revint en force vers ceux-ci pour faire naître un nouveau nephilim.
Naquit notre méthode actuelle, non comme la solution ultime, mais comme une arme à la portée de tous.
Nous devons toujours affronter les croyants du pousse-bouton, mais nous, utopiques défenseurs de l’après-épine dorsale, portons et défendons aujourd’hui, EBIOS !
Retour sur la genèse de notre dernière mouture…

* Toi qui ne connait pas l’acronyme, sors ! (ou renseigne-toi :p)

Mots-clés :

17/05/2020

Catégories : Club EBIOSEBIOS Risk ManagerGuide

Voici un aide mémoire contenant les différentes étapes clés de la méthode EBIOS Risk Manager :

03/04/2020

Catégories : Club EBIOSEBIOS Risk ManagerGuide

Ce mémento, ou aide mémoire, est destiné à aider les personnes en cours d’apprentissage de la méthode.
Il présente les principaux objets de modélisation des risques dans EBIOS Risk Manager, leurs liens, les ateliers dans lesquels ils sont utilisés et quelques définitions importantes.

Club EBIOS - EBIOS Risk Manager - Mémento - 2020-04-03
> Télécharger

Mots-clés :

01/04/2020

Il faut différencier la conformité aux obligations et les réponses apportées par l’organisme, de la démarche d’étude des risques décrites dans un PIA (Privacy Impact Assessment, ou analyse d’impact relative à la protection des données dans le RGPD).

L’analyse de la conformité aux obligations provenant de l’application de la législation (en particulier du RGPD et de la loi Informatique et libertés) peut ainsi être incluse dans l’atelier 1 d’EBIOS Risk Manager.
Pour ce faire, il ne faut pas mettre le RGPD dans son ensemble dans le socle de sécurité car il ne s’agit pas d’une liste d’exigences.
Par contre :
– les « normes simplifiées » de la CNIL, ou autres référentiels précis publiés par la CNIL ou l’EDPB (les CNILs européennes), peuvent utilement être ajoutées au socle (qui n’est plus que « de sécurité » dans ce cas), car il s’agit d’obligations ou de recommandations précises ;
– le « Socle pour la protection de la vie privée » du Club EBIOS peut être employé de la même manière.

L’étude des risques liés aux données à caractère personnel peut ensuite être menée par scénarios, en considérant les impacts sur les droits et libertés des personnes concernées, en plus ou à la place de la cybersécurité.
NB : EBIOS Risk Manager est une application d’EBIOS à la cybersécurité, dont l’objectif est de protéger les organismes contre les risques liés au numérique, alors que la protection de la vie privée a pour objectif de protéger les personnes concernées contre les mauvais usages et violations de leurs données, etc. Les deux approches sont complémentaires.

Catégories : Club EBIOSEBIOS Risk ManagerFAQ

Question initiale :
Imaginons que mes associés et moi choisissions la méthode EBIOS Risk Manager.
Quels sont les première étapes d’implémentation de la méthode ? Devons-nous contacter des membres de l’ANSSI ? Devons-nous demander de l’aide ? Les Risk Managers et RSSI doivent-ils obligatoirement passer une formation à EBIOS Risk Manager ?
Très distinctement, comment s’implémente EBIOS Risk Manager d’un point opérationnel et pratique, pour une grande entreprise (les étapes, ceux qu’il faut faire exactement, etc.) ?

Quelques éléments de réponses :

Pour les organisations voulant se lancer, quitte à se tromper, car c’est en pratiquant qu’on va soi-même se rendre compte des choses à améliorer :
1. lire les guides ;
2. faire une formation (cf. liste des formateurs ayant signé la Charte du formateur EBIOS Risk Manager) ;
3. faire une étude, répondant à un besoin réel (ce qui permettra d’impliquer plus facilement les participants), et si possible en mode très “agile” (ce qui permettra d’une part d’avoir rapidement des résultats, d’autre part d’éviter de se noyer, et enfin de rapidement s’approprier les concepts et rectifier plus facilement le tir quand on a pu se tromper) : 1 référence pour le socle, 1 valeur métier, 1 événement redouté, 1 source de risques, 1 scénario stratégique, 1 scénario opérationnel, etc. puis on refait.

Pour les organisations déjà matures en sécurité :
1. disposer d’une instruction rendant les études de risques obligatoires ;
2. établir une taxonomie des besoins en études de risques de cybersécurité, selon le type de projets, contraintes métiers et pays, etc. ;
3. élaborer des guides (ex : documents, wiki) documentant en pratique comment mener une étude EBIOS Risk Manager, avec l’outillage correspondant, que ce soit à base de posters, de feuilles Excel ou d’outils ad-hoc ;
4. organiser des « projets pilotes » sur des études emblématiques de cas réels ; évaluer les retours d’expérience ;
5. organiser des sensibilisations aux études de risques de cybersécurité pour les généralistes ;
6. organiser des formations de « facilitateurs » pour les experts cyber : cela comprend une formation à EBIOS Risk Manager, puis une formation à l’animation d’ateliers.

Pour une démarche plus globale, un excellent guide a été publié par l’ANSSI et l’AMRAE : “Maîtrise du risque numérique – L’atout confiance”.
Il décrit 15 étapes d’une démarche progressive pour construire, étape par étape, une politique de gestion du risque numérique au sein de leur organisation :
– prendre la mesure du risque numérique ; comprendre le risque numérique et s’organiser (étapes 1 à 6) ;
– bâtir son socle de sécurité (étapes 7 à 11) ;
– piloter son risque numérique et valoriser sa cybersécurité (étapes 12 à 15).

Catégories : Club EBIOSEBIOS Risk ManagerFAQ

Question initiale :
Comment devenir formateur EBIOS Risk Manager ? Quelles sont les étapes ?
Comment faire partie de ceux qui travaillent sur la méthode ?

Quelques éléments de réponses :
Les conditions pour être formateur EBIOS Risk Manager sont fixées dans la Charte des formateurs.
Sur l’ordre des choses, je dirais que c’est à vous de voir !
Et pour faire partie du Cercle des formateurs, il faut d’une part avoir signé cette Charte, mais aussi faire partie du Club EBIOS.

Mots-clés :

Catégories : Club EBIOSEBIOS Risk ManagerFAQ

Question initiale :
Lorsque j’évoque l’utilisation ou au moins qu’on s’intéresse à la méthode au sein de mon entreprise (grande collectivité territoriale), on me dit qu’EBIOS est (je cite) :” […] pas fan, rébarbatif, 70 pages que personne ne lit…”
De mon côté je soutiens que la méthode, certes un peu complexe à aborder au départ, mais que, moyennant peut-être un accompagnement initial, l’intérêt est de monter en compétence et en maturité au niveau de notre niveau d’analyse de risques. Cela ne pourra nous être que profitable pour la suite une analyse de risque plus ambitieuse.
Mais par quel bout entamer la démarche ? Est-il notamment pertinent de démarrer par un petit projet ?
D’où ma question: Quel est le degré de granularité minimale d’utilisation d’EBIOS Risk Manager dans un SI ? Ou, autrement dit, peut-on envisager d’utiliser EBIOS Risk Manager pour un projet d’envergure plus modeste (ex: simple applicatif web de service public) ?

Quelques éléments de réponse :
La dernière version de la méthode EBIOS Risk Manager a justement été créée pour être plus accessible à ceux qui imaginaient (à tort selon moi) que la méthode était compliquée (c’est juste qu’elle était davantage écrite à la française, alors que personne n’aime lire !).
L’approche par scénarios permet notamment de se focaliser sur les risques ciblés et représentatifs de l’univers des risques (recherche d’efficacité plutôt que d’exhaustivité), après avoir évalué les mesures qu’on s’est engagé à respecter (ex : PSSI) et qui traitent naturellement la majorité des risques standards si elles sont mises en œuvre (l’approche par conformité).
Quant à son champ d’application, tout est possible : depuis l’étude de l’ensemble de l’organisme jusqu’à celle d’un composant applicatif.
Tout dépend de la modélisation que vous effectuez de la cible de l’étude et l’objectif recherché. Plus le périmètre est important, plus le niveau de granularité de l’analyse par scénarios sera faible pour éviter de se noyer dans trop de scénarios à examiner. Cette modélisation pour rester pertinente demande une connaissance approfondie du périmètre et une expérience de l’application de la méthode pour comprendre les implications des choix de la modélisation”.
Il conviendrait sans doute de privilégier un sujet que vous maîtrisez bien (sur lequel vous aurez toutes les informations nécessaires et si possible vous pourrez impliquer le plus de personnes possible) et qui va intéresser les décideurs (ex : un nouveau service que tout le monde attend).
Quels que soit le sujet retenu, il faudra juste adapter le niveau de détail de chaque atelier à la taille du périmètre afin de garder l’étude digeste pour ceux qui y participeront ou la valideront.

Mots-clés :

17/02/2020

La présente étude de cas, fruit de plusieurs mois de travaux collaboratifs menés dans le cadre du GT55 “Outils & Pratiques” sous l’égide du Club EBIOS, vise à présenter tout l’intérêt de réaliser une analyse de risques raffinée et ciblée en s’appuyant sur la méthode EBIOS Risk Manager, en capitalisant (mais pas nécessairement) sur une analyse antérieurement basée sur EBIOS 2010*.

Bien qu’il s’agisse d’un cas purement fictif, l’étude en question tire parti de multiples retours d’expérience croisés issus de cas réels (médiatisés ou non) autour des enjeux et problématiques de cybersécurité et de protection des données personnelles liées aux plateformes digitales basées sur des technologies de data science en cloud. En l’occurrence, ladite plateforme se veut destinée ici à proposer par un offreur à ses clients, de digitaliser les process RH liés au management des talents et de la e-réputation, en s’adossant à une solution B-to-B en SaaS.

Si le parti pris a été d’aborder une analyse en post-incident dans une optique de recherche de cause racine (root cause analysis), une démarche par anticipation de certains scénarios de cyber-attaque sophistiqués (mais néanmoins plausibles), portant sur l’écosystème de parties prenantes, gagnera bien évidemment à être privilégiée, et ce, si possible dès la conception des systèmes, conformément au principe du “by design”.

Enfin, au-delà de la pertinence des scénarios et mesures retenus, l’étude de cas s’est avant tout focalisée sur l’implémentation pratique de la méthode EBIOS Risk Manager dans un souci essentiellement pédagogique et de partage auprès de la communauté élargie de praticiens du Risk Management.

* étude de cas par ailleurs disponible en accès membres sur le forum du Club EBIOS.

ClubEBIOS-EtudeDeCas-AnalyticsForTalentManagement-Synthese-2020-02-17
> Télécharger

ClubEBIOS-EtudeDeCas-AnalyticsForTalentManagement-2020-02-17
> Télécharger

13/01/2020

Le Lean management est à la mode, car il offre des avantages évidents en phase amont. Cela concerne également la gestion des risques, notamment en France, avec la publication de la méthode EBIOS Risk Manager par l’ANSSI fin 2018.

Cependant, si la nouvelle méthode favorise une approche agile de gestion des risques, elle ne fournit pas les outils pour soutenir les ateliers de remue-méninges obligatoires.

Ici, dans le cadre du Collège des praticiens du Club EBIOS, nous proposons un ensemble innovant de posters qui peuvent être utilisés :

  • soit imprimés, au format A0, pour soutenir la collecte d’informations sur la gestion des risques lors d’ateliers en présentiel ;
  • soit directement sous PowerPoint, lors d’ateliers organisés en distanciel (e.g. téléconférences en contexte CoViD).

Un guide complet accompagne les posters pour faciliter leur usage. Le guide fournit également de nombreuses astuces issues de retours d’expérience de Thales lors d’ateliers avec ces posters. De plus, un exemple d’évaluation de risque, dans le domaine naval, traité avec ces posters, illustre ce qu’il est possible d’obtenir comme rapport avec cette approche.

Ces posters sont issus d’une longue démarche de R&D axé sur l’humain. A partir de 2018, ils furent utilisés en présentiel, d’abord lors de formations en cybersécurité, puis sur des études de R&D internes, et enfin sur de véritables projets au sein du Groupe Thales. Depuis début 2020, ils ont également été utilisés sur trois études menées en distanciel, dont l’étude fournie en exemple.

Nous avons remarqué au cours de ces études de cas que cette technique rend la gestion des risques ludique. C’est un moyen de démystifier la gestion des risques, de la rendre plus facile à comprendre, tout en restant très efficace en temps.

Ce format est particulièrement approprié lors des activités de candidature ou de lancement de projet. Il favorise également un état d’esprit collaboratif, rappelant que la sécurisation de l’architecture système n’est pas la seule affaire des experts en cybersécurité, mais le résultat d’un travail collaboratif impliquant la direction, les experts du domaine, le RSSI, le DSI, le client et éventuellement les utilisateurs finaux.

Obérisk, un jeu de posters pour une approche de gestion des risques de type Obeya, par Stéphane Paul de Thales Research & Technology (laboratoire des systèmes embarqués critiques), sont disponibles sous forme de diapositives PowerPoint sous licence CC BY-NC-SA (i.e. Creative Commons Attribution + Non Commercial + Partager à l’identique), avec un guide d’utilisation et un exemple.

ClubEBIOS-Oberisk-Guide-2021-01-07
Télécharger le guide

Télécharger les posters (modèles)

ClubEBIOS-Oberisk-Exemple-2021-01-07
Télécharger l’exemple

Voir aussi l’article sur Springer
Voir aussi l’article publié avec l’Ecole Navale
Voir les posters sur ResearchGate

08/11/2019

Catégories : Atelier 1Club EBIOSFAQ

Question initiale :
Dans les documents détaillant la méthode, on qualifie les “biens essentiels” de “patrimoine informationnel”. En effet, dans l’étude de cas @rchimed, ne figurent dans le tableau des biens essentiels que des informations telles que le contenu d’un devis, d’une page web, d’un plan, etc.
Mes interrogations sont les suivantes:
Or, dans la nouvelle formation, nous avions qualifié de biens essentiels les activités essentielles, qu’elles reposent ou non sur une source d’information.
– Est-ce une erreur ?
– Quelle est la différence entre biens essentiels et activités essentiels ?
– Comment faire ressortir les biens essentiels d’une prestation effectuée par un administrateur Système, un commercial, etc. ne reposant pas sur une base d’information ?
– En outre, est-ce correct si dans mon tableau de biens essentiels ne figurent que des services et ou activités ?

Quelques éléments de réponse :
Dans EBIOS RM, le terme de biens essentiels a été remplacé par “valeurs métiers”, pour désigner le même concept : Valeur métier = “composante importante pour l’organisation dans l’accomplissement de sa mission. Cela peut être un service, une fonction support, une étape dans un projet et toute information ou savoir-faire associé”.
– Non, les biens essentiels ne sont pas limités au patrimoine informationnel. Il les faut voir comme quelque chose d’immatériel, qui a de la valeur pour le métier considéré – celui qui prend la responsabilité de sa protection.
– Selon la modélisation que l’on utilise, des activités sont en général liées à un ou plusieurs métiers et donc peuvent regrouper un ensemble de biens essentiels comme des processus, des services, des fonctions et/ou des informations. Le niveau d’abstraction (de modélisation) dépend de la finalité de l’étude et de la complexité du périmètre à étudier. Ce qui est important c’est qu’à partir d’un bien essentiel, le métier (la MOA) exprime un besoin de sécurité.
– Un bien essentiel peut être le service rendu dans le cadre d’une prestation : gérer des accès, patcher les systèmes, établir une proposition, gérer une base commerciale, etc. Attention néanmoins, le bien essentiel doit être une valeur métier pour la MOA de l’étude. Donc, gérer des accès est une valeur si la MOA est la DSI. Mais ce n’est pas une valeur métier pour une analyse conduite par la direction commerciale, par exemple.
– Oui on peut avoir uniquement des services ou activités. Mais attention d’être complet pour le périmètre considéré dans l’étude. Donc, il faut vérifier que les services et activités que vous avez choisis couvrent bien tout le cycle de vie – placé sous la responsabilité du métier – des informations essentielles.

11/08/2019

Catégories : Club EBIOSEBIOS Risk ManagerFAQ

Des mesures peuvent bien entendu avoir un effet sur la gravité des risques dès lors qu’elles réduisent le préjudice lié à l’atteinte de la valeur métier concernée. Par exemple, des mesures permettent la mise en place d’un fonctionnement dégradé.
Les mesures sont prises en compte et décidées à plusieurs étapes de méthode. Un événement redouté peut avoir une gravité réduite parce que des mesures existantes sont considérées dans le socle de sécurité. La réduction de la gravité d’un scénario stratégique (et par induction d’un scénario opérationnel) peut être évaluée lors de l’atelier 3 par l’application de mesures de sécurité sur l’écosystème – Cette réduction à une gravité résiduelle est mentionnée dans le guide EBIOS Risk Manager dans le tableau cité en exemple page 76.
Il est vrai que dans une stratégie se limitant à renforcer la sécurité en rendant la tâche plus difficile pour l’attaquant, elle n’aura pas d’impact sur la gravité des risques. Ce qui ne sera pas le cas si la stratégie conduit également à limiter les préjudices des risques ou à réduire le niveau de menace intrinsèque.

Mots-clés :

10/06/2019

Le document suivant peut être utilisé lors de la détermination du socle de l’atelier 1 d’EBIOS Risk Manager dans le cas où l’objet de l’étude est un traitement de données à caractère personnel :
> Télécharger

Il constitue une déclaration d’applicabilité relative aux principes fondamentaux liés à la protection de la vie privée.

La suite de l’étude permet de satisfaire les obligations du RGPD en matière de sécurité (cf. art. 32) si vous appréciez les impacts sur les personnes concernées en plus de ceux sur l’organisme.
Vous pouvez ainsi utiliser EBIOS Risk Manager pour mener un PIA (cf. art. 35).

17/04/2019

Catégories : Club EBIOSEBIOS Risk ManagerFAQ

Question initiale : “Le périmètre d’activité du Risk Manager est bien plus large que le périmètre des risques numériques, et d’autre part, le management des risques numériques est sous la responsabilité du RSSI, qui en fournit une vision au Risk Manager pour consolidation dans la cartographie des risques majeurs de l’organisation.
Au travers des FAQ publiées sur le site de l’ANSSI, il est indiqué que « Les publics intéressés par cette méthode sont les RSSI et les risk managers ». Concrètement qui déroule la méthode ?

Quelques éléments de réponse :
1. La méthode est bien une démarche de gestion des risques. L’objet de la méthode peut être d’ailleurs de “mettre en place ou renforcer un processus de management du risque numérique au sein d’une organisation”, ce qui est notamment illustré par les cycles opérationnels et stratégiques proposés dans la méthode.
2. Elle n’est pas déroulée par un acteur unique mais est conduite au travers d’ateliers réunissant les points de vue de plusieurs acteurs (Directions, métiers, RSSI, DSI, spécialiste en analyse de la menace numérique, Architectes fonctionnels, spécialiste en cybersécurité). Le Risk Manager peut être l’un des acteurs contribuant à la conduite de la démarche notamment en fournissant des éléments de décision de traitement des risques.
3. Quelque soit la méthode, l’un des points forts de cette nouvelle version est la simplification pour la rendre accessible à un plus grands nombre d’acteurs et notamment des non spécialistes de la SSI, dont des Risk Managers.
4. La méthode EBIOS Risk Manager est limitée aux risques numériques. EBIOS Générique (méthodologie du Club EBIOS) étend EBIOS RM pour se décliner dans tous les domaines en respect des exigences de la norme ISO 31000.

03/02/2019

Catégories : Club EBIOSEBIOS Risk ManagerFAQ

La traduction du guide d’EBIOS Risk Manager et de son supplément sortira fin septembre 2019.

La précédente version n’a jamais fait l’objet d’une traduction publiée.

Il existe aussi l’EBIOS générique, qui sert à créer des méthodes sectorielles, et qui est traduite.

Mots-clés :

09/01/2019

Catégories : Atelier 2Club EBIOSFAQ

Quelques éléments de réponses :

  • Un spécialiste en analyse de la menace numérique peut contribuer à l’étude pour aider à apprécier cette motivation. Il s’appuie sur l’expérience et la connaissance de la menace dans le secteur considéré.
  • Des bases de connaissance sont en cours de développement pour aider à l’appréciation des niveaux de motivation.
  • Les niveaux de pertinence des couples SR/OV, et les niveaux de motivation en particulier, doivent être évalués comme des valeurs relatives permettant de hiérarchiser les couples selon leur intérêt pour la suite de l’étude.

Catégories : Club EBIOSEBIOS Risk ManagerFAQ

EBIOS Risk Manager est une méthode de gestion des risques de cybersécurité, et non de gestion des risques juridiques, environnementaux ou autres.
En outre, l’approche par scénarios d’EBIOS Risk Manager est ciblée sur les menaces intentionnelles.
Toutefois, les risques accidentels et environnementaux sont traités a priori via une approche par conformité au sein du socle de sécurité.

A noter : l’approche générique d’EBIOS (https://club-ebios.org/site/ebios-lapproche-generique/) couvre tous les types de risques et permet de créer des méthodes sectorielles.

Mots-clés :

Catégories : Club EBIOSEBIOS Risk ManagerFAQ

L’objectif principal de la méthode EBIOS RM est de se concentrer sur l’analyse des risques ciblés. Considérant que les éléments faisant partie des référentiels de sécurité sont à appliquer (identifiés comme le socle de sécurité en atelier 1), la méthode EBIOS RM n’a pas pour objet de justifier ou d’argumenter le besoin ou les priorités de mettre en place ces mesures.
L’atelier 5, consacré au traitement des risques, sera l’occasion d’inscrire les mesures non mises à œuvre dans un plan d’amélioration continue.
A noter

  • que l’atelier 1 conduit à identifier des écarts qui pourront être réutilisés dans les activités 3 et 4 pour identifier des scénarios exploitants ces failles ;
  • seules sont représentées dans ce tableau les étapes essentielles pour répondre aux objectifs de l’étude.
Mots-clés :

17/12/2018

Catégories : Club EBIOSFAQGestion des risques

EBIOS – Expression des Besoins et Identification des Objectifs de Sécurité – est une méthodologie universelle de gestion des risques qui permet de créer des méthodes sectorielles, publiée par le Club EBIOS (voir la méthodologie).

EBIOS est une marque déposée du Secrétariat général de la défense et de la sécurité nationale (SGDSN).

EBIOS Risk Manager (ou EBIOS RM) est la méthode d’appréciation et de traitement des risques de cybersécurité publiée par l’Agence nationale de la sécurité des systèmes d’information (ANSSI).

Mots-clés :

02/12/2018

Catégories : Club EBIOSEBIOS Risk ManagerFAQ

Il s’agit de la base officielle de l’ANSSI. Le Club et l’ANSSI poursuivent les travaux dans le cadre des groupes de travail du Club EBIOS afin de fournir plus de contenus sur son portail (bases de connaissances, techniques spécifiques, études de cas, etc.).

Mots-clés :

17/11/2018

Catégories : Club EBIOSFAQGestion des risques

Réponse d’un membre du Club EBIOS : “on peut agir sur plusieurs éléments pour que le résultat corresponde aux attentes”

La réalisation d’une étude est parfois critiquée en raison de l’explosion combinatoire des éléments à étudier. C’est pourquoi il convient, avant ou au début de toute étude, de se demander ce qu’est capable d’accepter le commanditaire en termes de lisibilité.

Certains souhaitent avoir autant de détails que nécessaire pour traiter les risques (et/ou justifier les mesures) de manière fine.

Dans ce cas, il est possible de traiter toute la combinatoire d’événements et de scénarios de menaces.

Si tel n’est pas le cas, voici quelques astuces qui vous permettront de diminuer l’entropie de l’analyse :

  • agir sur la présentation : faire l’étude détaillée en tant que “document de travail” et regrouper les risques en familles dans un “document de synthèse” pour faciliter les prises de décision. Ce “document de synthèse” peut ne faire ressortir que les risques les plus importants (graves et/ou vraisemblables), ainsi que ceux qui intéressent spécifiquement le commanditaire ;
  • agir sur le nombre de biens : regrouper les biens essentiels et/ou les biens supports dans l’étude du contexte. Il est possible par exemple d’adapter le niveau de détail de la modélisation sans forcément chercher l’homogénéité dans le modèle. Par exemple, la description des biens supports pourra à la fois contenir des systèmes (pour des biens sur lesquels l’analyse des menaces n’a pas besoin d’être détaillée) et des éléments de type réseau, matériel et logiciel (pour des biens sur lesquels l’analyse des menaces doit être plus fine) ;
  • agir sur les hypothèses : limiter la complexité de l’étude en réduisant la combinatoire de l’analyse aux seules questions ou justifications que l’on souhaite exposer. Pour ce faire, il est possible de fixer des hypothèses dans le contexte de l’étude. Ainsi, on peut considérer comme postulat qu’un bien support (ou un bien essentiel) est protégé contre un type de menace (par exemple, “une homologation démontre que les serveurs et postes de travail sont suffisamment protégés de tous les scénarios malveillants issus d’attaques externes”). On peut aussi considérer qu’un risque est suffisamment couvert par une certification sans nécessiter une décomposition de ce dernier (par exemple, “la clé privée stockée dans les puces électroniques certifiées est suffisamment protégée contre toutes menaces conduisant à une divulgation”). Il est également possible d’émettre des hypothèses sur des risques résiduels pour lesquels il n’est pas attendu que l’étude apporte de justification ou que l’étude agisse sur le bien support afférent (par exemple, “le GPS est considéré comme non fiable. Il est susceptible fournir de mauvaises données de localisation”) ;
  • agir sur la décomposition en plusieurs études : une autre méthode peut consister à décomposer le système étudié pour transformer une analyse complexe en plusieurs études moins difficiles à réaliser. Dans ce cas, il faudra prêter une attention particulière aux interfaces entre ces sous-systèmes.
Mots-clés :

Catégories : Atelier 4Club EBIOSFAQ

Dans les graphes d’attaque présentés, la valeur en gras correspond à la probabilité ou difficulté technique de l’action élémentaire concernée du point de vue de l’attaquant. Par exemple dans le premier paragraphe « Pr 4 » pour l’action élémentaire « Intrusion via mail de hameçonnage sur service RH » signifie que l’on considère que cette action d’hameçonnage a une probabilité quasi-certaine de réussir pour l’attaquant compte-tenu par exemple du très faible niveau de sensibilisation des personnes visées. La valeur entre parenthèses et en italique correspond à l’indice cumulé de probabilité ou de difficulté technique de la phase concernée du mode opératoire. Elle est calculée en appliquant les algorithmes proposés. La probabilité cumulée intermédiaire à une phase donnée du mode opératoire correspond donc à la probabilité que l’attaquant ait réussi toutes les actions élémentaires en amont y compris l’action élémentaire concernée. Par exemple, « (3) » au niveau de l’action élémentaire « Exploitation maliciel de collecte et d’exfiltration » signifie que l’on estime que l’attaquant a de très fortes chances (probabilité très élevée) d’arriver à ce stade du mode opératoire concerné, compte-tenu des probabilités de succès des actions élémentaires précédentes et de celle concernée.

Catégories : Atelier 3Club EBIOSFAQ

La Fiche méthode n°5 décrit la méthode d’évaluation du niveau de menace d’une partie prenante et propose une métrique. Quatre critères d’évaluation sont pris en compte : deux qui reflètent le degré d’exposition de l’objet de l’étude vis-à-vis de la partie prenante (dépendance et pénétration) et deux qui concernent le niveau de fiabilité cyber de la partie prenante (maturité et confiance).
Dans la cartographie radar, vous pouvez simplement positionner chaque partie prenante selon son niveau de menace. Mais vous pouvez également affiner la représentation comme proposé dans la cartographie page 45 : la taille des ronds reflète le degré d’exposition relatif à la partie prenante (produit dépendance x pénétration) et la couleur des ronds traduit la fiabilité cyber (produit maturité x confiance).

Catégories : Atelier 2Club EBIOSFAQ

Dans l’exemple qui est donné, on a supposé que l’on dispose d’informations permettant d’évaluer la motivation, les ressources et l’activité de la source de risque. Une échelle de cotation à trois niveaux est utilisée, représentée par des « + ». La pertinence globale d’un couple SR/OV est estimée selon la métrique suivante : pertinence faible si la somme « motivation+ressources+activité » est égale à 3 ou 4 ; pertinence moyenne si la somme est égale à 5, 6 ou 7 ; pertinence élevée si le score est 8 ou 9.

Catégories : Club EBIOSEBIOS Risk ManagerFAQ

L’outil développé en open source par l’ANSSI pour la méthode EBIOS 2010 a été retiré du site internet de l’ANSSI car il était devenu obsolète. Il ne sera plus maintenu par l’ANSSI.

Mots-clés :

Catégories : Club EBIOSEBIOS Risk ManagerFAQ

Les analyses de risques réalisées avec la version précédente sont évidemment réutilisables dans la version actuelle. Grâce aux analyses de risques déjà réalisées, vous avez identifié et mis en place un certain nombre de mesures destinées à traiter les risques. Ces mesures pourront être directement intégrées au cours de l’atelier 1 de la méthode EBIOS Risk Manager, lors de la définition du socle de sécurité.
En effet, l’étape de définition du socle de sécurité permet d’identifier l’ensemble des bonnes pratiques, des mesures règlementaires et normatives qui s’appliquent à l’objet de l’étude, mais aussi les mesures spécifiques déjà en place sur votre périmètre.

Mots-clés :

Catégories : Club EBIOSEBIOS Risk ManagerFAQ

A minima, il est fortement conseillé d’impliquer dans les ateliers un représentant du métier ou de la direction et un responsable des systèmes d’information. Néanmoins, la cybersécurité étant un domaine particulièrement technique, nous conseillons aux PME de se faire accompagner par un prestataire maîtrisant les enjeux et la méthode. Pour cela le Club EBIOS peut aider à prendre en main la méthode et à identifier des prestataires.

Mots-clés :

Catégories : Club EBIOSEBIOS Risk ManagerFAQ

Réponse d’un membre du Club
La méthode EBIOS Risk Manager répond tout à fait à ce besoin. Le premier atelier permet de faire l’état des lieux de la conformité à une ou plusieurs règlementations en identifiant les éventuels écarts qui sont envisagés et les mesures qui sont prévues dans le socle de sécurité pour compenser ces écarts. Puis les phases d’appréciation et de traitement des risques (ateliers 2, 3, 4 et 5) permettent de consolider le socle de sécurité pour in fine attester de la conformité réglementaire, en précisant les écarts acceptés grâce à l’ensemble des mesures de sécurité qui permettent de diminuer suffisamment la criticité des risques.

Une réaction extérieure
J’essaye de comprendre de quelle manière EBIOS Risk Manager pourrait être utilisée afin d’évaluer notre conformité vis-à-vis de plusieurs référentiels ANSSI. Je rencontre toutefois un problème d’interprétation pour ce cas d’utilisation, intitulé “Être en conformité avec les référentiels de sécurité numérique”, page 14 du guide. Plus particulièrement dans le tableau de cette page où ce process ne fait intervenir que les ateliers 1 et 5. Cette ligne du tableau semble contredire la réponse ci-dessus. J’ai toutefois une remarque : en général les documents de conformité (hygiène, PSSIE, RGS) sont rédigés en dehors de tout contexte de menace /scénarios de risque précis. Du coup, quel que soit le cheminement au travers des ateliers, il semble difficile de réaliser les étapes de l’atelier 5 qui nécessitent de tels scénarios de risque.

Réponse d’un autre membre du Club
1. Le tableau page 14 du Guide est une aide à l’application de la méthode. Les ateliers identifiés doivent être considérés comme les principaux ateliers visant la finalité recherchée.
2. Il n’est pas nécessaire d’identifier des risques liés aux référentiels considérant que les exigences n’ont pas besoin d’être justifiées par des risques à couvrir. Elles sont des postulats considérés dans l’étude.
3. Les documents de conformité à prendre en compte dans l’atelier 1 doivent être une liste d’exigences applicables servant de référence à l’analyse de conformité. Le contexte peut être pris en compte dans le cadre du référentiel mais ne doit pas dépendre de risques non identifiés. L’atelier 5 peut servir à rédiger le PACS à partir des écarts identifiés en atelier 1, et à identifier les risques résiduels pour les exigences non satisfaites, sans pour autant réaliser une approche par scénario. L’approche par scénario peut compléter l’analyse.

Réponse d’un autre membre du Club
Il faut distinguer :
1. la pure gestion des risques de cybersécurité avec EBIOS Risk Manager, qui commence par évaluer l’application de ce qu’on s’est engagé à mettre en œuvre en matière de sécurité (ex : PSSI ou hygiène), et là, soit on s’arrête là tant que le socle n’est pas mis en œuvre, soit on note les écarts et cela alimente le plan d’action, pour ensuite mener le reste de l’étude comme si c’était mis en place afin de se concentrer sur ce qui dépasse du socle ;
2. la gestion des risques juridiques, qui va consister à protéger l’organisme des non-conformités avec la réglementation qu’on est censé appliquer, et là, il vaut mieux partir de l’EBIOS générique et l’utiliser en changeant les concepts et l’ordre des choses (ex : les impacts seront juridiques, financiers ou d’image et leur gravité dépendra des sanctions potentielles, et les scénarios de risques correspondront à tout ce qui rendrait possible les non-conformités) ;
3. la gestion des risques uniquement sur la vie privée, et là je conseillerais d’utiliser les guides et le logiciel libre PIA de la CNIL ;
4. la gestion des risques mixtes SSI + privacy, qui pourrait consister à utiliser EBIOS Risk Manager, en ajoutant deux choses : d’une part une déclaration d’applicabilité au regard des principes fondamentaux (finalité légitime et déterminée, minimisation des données collectées, exercice des droits des personnes, etc.), et d’autre part les impacts sur les droits et libertés des personnes concernées dans les événements redoutés.
Tout dépend de l’objectif visé, et il faut savoir jouer avec les outils, sachant que selon moi, il n’y a pas de meilleur outil qu’un outil qu’on maîtrise !

Mots-clés :

Catégories : Atelier 1Club EBIOSFAQ

Réponse d’un membre du Club EBIOS : “Attention aux échelles utilisant plusieurs types d’impacts”

Rappel du guide EBIOS : “Cette action [élaboration d’une échelle] consiste à créer une échelle décrivant tous les niveaux possibles des impacts. Tout comme les échelles de besoins, une échelle de niveaux d’impacts est généralement ordinale (les objets sont classés par ordre de grandeur, les nombres indiquent des rangs et non des quantités) et composée de plusieurs niveaux permettant de classer l’ensemble des risques“.Ainsi, il est habituel de voir des utilisateurs de la méthode construire plusieurs échelles ordinales selon la nature de l’impact (financier, juridique, sur les opérations, sur la vie privée…) pour estimer la gravité des évènements redoutés. La construction est alors faite en graduant individuellement chaque type d’impact, sans se préoccuper de la cohérence entre les niveaux.Or, seul un résultat global est utilisé dans les cartographies de risques pour évaluer la gravité des uns par rapport aux autres. L’information sur la nature des impacts est perdue.

Pour éviter de fausses conclusions sur l’importance des risques, il faut donc veiller à vérifier la cohérence transverse de la gradation des impacts dans les échelles. Par exemple, vérifier que l’estimation d’un impact de niveau 3 sur les opérations sera de la même valeur pour l’organisme que les impacts financier et juridique de même niveau.
Lorsque c’est possible, le critère pivot (servant à la cohérence) peut être l’échelle financière. Dans le cas contraire (souvent le cas), il convient de présenter les impacts côte à côte et d’estimer leur importance auprès des responsables en recherchant un consensus. Dans ce cas là, les échelles peuvent avoir des cases vides (niveau n’ayant pas d’équivalence pour toutes les natures d’impacts considérées). Ça peut être le cas lorsque l’on estime par exemple la perte de vies humaines.Il est parfois difficile à des responsables d’établir ces échelles de manière générique. Une bonne solution consiste alors à demander aux parties prenantes de hiérarchiser les événements redoutés après avoir identifié les impacts, et de construire les échelles sur la base de cette estimation.

Réponse d’un membre du Club EBIOS : “il est utile de disposer d’échelles d’impacts hétérogènes, c’est un moyen important de communication avec les métiers”

En complément, l’idéal est selon moi de :

  • disposer d’une échelle pour chaque type d’impacts (financiers, sur l’image, juridiques, sur le fonctionnement, sur la vie privée…) en couvrant tout le spectre des possibles (du pire au mieux) ;
  • présenter les impacts côte à côte quand on analyse les événements redoutés et estime leur gravité ;
  • rappeler les différents impacts et leur estimation quand on présente la cartographie (qui ne garde au final que la valeur la plus importante).

On peut ainsi facilement réaliser une étude à la fois SSI et protection de la vie privée en présentant côte à côte les impacts pour l’organisme et les impacts pour les personnes concernées.

Mots-clés :

Catégories : Atelier 1Club EBIOSFAQ

Réponse d’un membre du Club EBIOS : “deux solutions”

Plusieurs propositions sont possibles pour démontrer que les problématiques associées à la traçabilité sont traitées dans une étude EBIOS sans pour autant considérer la traçabilité comme un critère :

  • une solution élégante mais un peu théorique : on considère l’information “traces” (ou “preuve”, ou “log”) comme un bien essentiel, et la traçabilité devient l’intégrité et la disponibilité de ce bien essentiel. Cela revient à limiter l’étude aux traces qui induisent un événement redouté et à mettre hors périmètre des biens essentiels les autres, pour éviter les colonnes remplies de “0” ;
  • une solution appliquée : la traçabilité n’est pas un critère, mais une mesure de sécurité. Pouvoir tracer une action relève d’une mesure à la fois de dissuasion mais aussi de récupération, et considérer la traçabilité comme tel permet de se limiter à l’étude des événements (vraiment) redoutés : on admet que ne pas pouvoir tracer n’est pas réellement l’événement redouté, mais permet de réduire le risque associé.

Réponse d’un autre membre : “la traçabilité n’est pas un critère de sécurité”

Les critères de sécurité servent à apprécier les impacts en cas d’atteinte de chacun d’eux, et en particulier à étudier les besoins de sécurité. En sécurité de l’information, seules la disponibilité, l’intégrité et la confidentialité sont considérées comme des critères de sécurité (voir notamment les normes ISO/IEC 2700x). Il ne faut pas les confondre ni avec les thèmes de mesures de sécurité, ni avec les références réglementaires. En effet, le (faux) besoin de traçabilité vient du fait qu’on souhaite savoir ce qui s’est passé après un incident (mesure de détection) et/ou d’obligations diverses (légales, réglementaires, sectorielles ou liées à la politique SSI). Il est donc inutile, et même contre-productif d’étudier le besoin de traçabilité.

En outre, il conviendrait de disposer d’une échelle de besoins et d’une échelle d’impacts liées à la traçabilité. C’est souvent en essayant de les construire qu’on se rend compte qu’il s’agit d’une “envie de quelqu’un” qui relève de la mesure de sécurité ou de la couverture d’un “risque” juridique.

Enfin, ceci impliquerait d’étudier toutes les menaces qui mènent à une perte de traçabilité ! Or, ceci relève de la bonne mise en œuvre d’une mesure de sécurité, qu’il n’est pas nécessaire de traiter comme un risque (ou sinon il faudrait le faire pour le chiffrement, le contrôle d’accès, etc.). Toutefois, l’étude des besoins étant un instrument de communication avec les métiers, il est possible d’intégrer la traçabilité dans les critères de sécurité pour que les métiers adhèrent davantage à la démarche en voyant leur point de vue pris en compte…

05/09/2018

Catégories : Club EBIOSGestion des risquesMéthode

Ce guide constitue l’approche générique d’EBIOS*. Il fournit une base commune à toute déclinaison sectorielle. Conçue initialement pour la sécurité de l’information, EBIOS peut en effet se décliner dans tous les domaines au moyen de techniques et de bases de connaissances adaptées.

EBIOS permet d’apprécier et de traiter les risques. Elle fournit également tous les éléments nécessaires à la communication au sein de l’organisme et vis-à-vis de ses partenaires, ainsi qu’à la validation du traitement des risques. Elle constitue ainsi un outil complet de gestion des risques.

Il s’agit d’une véritable boîte à outils, dont on choisit les actions à mettre en œuvre et la manière de les utiliser selon l’objectif de l’étude. Elle permet d’apprécier les risques au travers de scénarios et d’en déduire une politique cohérente, appuyée sur des mesures concrètes et évaluables.

EBIOS-ApprocheGenerique-2018-09-05-Approuve
> Télécharger

*EBIOS – Expression des besoins et identification des objectifs de sécurité.

23/06/2017

Catégories : ArticleAtelier 1Club EBIOS

17/03/2017

Cette étude de cas est destinée à montrer comment utiliser la boîte à outils de la méthode EBIOS dans le contexte spécifique de la protection de la vie privée :

ClubEBIOS-EtudeDeCas-Geolocalisation-2017-03-17-Approuve
> Télécharger

Mots-clés :

12/02/2017

Catégories : Atelier 1Club EBIOSGuide

Dans une étude de risques, on constate que les impacts analysés dépendent fortement du point de vue de chaque partie prenante. Partant de ce constat, ce document de réflexion incite à la prise en compte des préoccupations de chaque acteur, dans une logique “by design”, afin que le produit, système ou service soit accepté par tous.

ClubEBIOS-ImpactsDifferencies-2017-02-19-Approuve
> Télécharger

11/02/2014

Ce document a pour objectif de fournir des éléments utiles pour gérer les risques liés à l’utilisation du BYOD (Bring Your Own Device).

ClubEBIOS-BYOD-ReflexionSurLesRisques-2014-02-11-Approuve
> Télécharger

29/11/2011

Cette étude de cas est destinée à montrer comment utiliser la boîte à outils de la méthode EBIOS dans le contexte spécifique de la protection de la vie privée :

ClubEBIOS-EtudeDeCas-MedecineTravail-2011-11-29
> Télécharger

La plaquette suivante synthétise les points essentiels de l’étude de cas :

ClubEBIOS-EtudeDeCas-MedecineTravail-Plaquette-2011-09-27
> Télécharger

Mots-clés :

27/10/2010

20 questions / Durée du test : 5 à 7 mn.

18/11/2008

Catégories : Club EBIOSEBIOS Risk ManagerGuide

Ce mémento présente les concepts liés à la continuité des activités et leurs places dans la SSI. Les activités propres à la gestion de la continuité sont ensuite présentées selon 4 phases itératives. Le référentiel, l’organisation et les outils associés sont ensuite développés.

ClubEBIOS-Continuite-Memento-2008-11-18
> Télécharger

Mots-clés :

Catégories : Club EBIOSGestion des risquesGuide

Ce document vous présente les secteurs où la gestion des risques joue un rôle majeur afin d’en éclairer les ressemblances et les dissemblances. La gestion des risques n’est pas réservée à l’informatique mais concerne un nombre croissant de secteurs qui réfléchissent à leurs stratégies de survie et d’expansion.

ClubEBIOS-PratiquesDeGestionDesRisques-2008-11-18
> Télécharger