"Guide"

Pour tous ceux qui souhaitent utiliser EBIOS Risk Manager pour mener un PIA (Privacy Impact Assessment, communément, ou analyse d’impact relative à la protection des données – AIPD, dans le cadre spécifique de l’article 35 du RGPD), voici une infographie qui synthétise la démarche :

D’une manière générale, la sécurité de l’information / cybersécurité et la protection de la vie privée traitent toutes deux de protection des données.
L’objectif diffère : en sécurité de l’information, le but est de protéger l’organisme, alors qu’en protection de la vie privée, le but est de protéger les personnes.
Mais la manière de gérer les risques est parfaitement compatible !

Pour mener un PIA avec EBIOS Risk Manager, il suffit ainsi de :

1. prendre le traitement de données à caractère personnel considéré comme objet de l’étude EBIOS Risk Manager ;
2. évaluer le respect des principes fondamentaux (finalité déterminée, données minimisées, information des personnes, leur permettre l’exercice de leurs droits, etc.), et ceci peut se faire dans le cadre du socle de l’atelier 1 d’EBIOS Risk Manager ;
3. identifier les impacts potentiels sur les personnes concernées et estimer leur gravité, et ceci peut se faire dans le cadre des événements redoutés du même atelier 1 d’EBIOS Risk Manager.

Toutes les informations requises dans un PIA se retrouvent toutes dans l’étude :

1. la description du traitement est issue de l’atelier 1 ;
2. l’évaluation de la nécessité et de la proportionnalité concernant les principes et droits fondamentaux est issue également de l’atelier 1 ;
3. l’étude des risques sur la sécurité des données et leurs impacts potentiels sur la vie privée est issue des ateliers 1, 2, 3 et 4 ;
4. les mesures envisagées pour faire face aux risques sont issues de l’atelier 5.

On a tous entendus parler de la dernière méthode de l’ANSSI, mais on ne l’a pas forcément pratiquée, et on n’a pas forcément compris si elle révolutionne vraiment les choses !
– Pourquoi la notion de socle de sécurité va vous changer la vie ?
– Comment la méthode permet-elle de tenir compte de l’écosystème ?
– etc.

Matthieu GRALL vous en explique les grands principes sous la forme de mini-séquences, sur la chaîne YouTube du Club EBIOS :

1. Pourquoi ? – Cette mini-séquence explique pourquoi gérer les risques et pourquoi EBIOS Risk Manager.
2. Qu’est-ce que c’est ? – Cette mini-séquence explique ce qu’est EBIOS Risk Manager, ainsi que les produits et services atour de la méthode.
3. Le socle de sécurité – Cette mini-séquence explique la notion de socle de sécurité d’EBIOS Risk Manager.
4. Le principe de boîte à outils – Cette mini-séquence explique le principe de boîte à outils d’EBIOS Risk Manager.
5. Les concepts du risque – Cette mini-séquence présente les composants d’un risque de cybersécurité dans EBIOS Risk Manager.
6. Les parties prenantes de l’écosystème – Cette mini-séquence présente la notion d’écosystème dans EBIOS Risk Manager.
7. Le principe de raffinements successifs – Cette mini-séquence présente le principe de raffinements successifs d’EBIOS Risk Manager.
8. Le principe d’itérations successives – Cette mini-séquence présente le principe de démarche itérative d’EBIOS Risk Manager.
9. Des mesures issues de chaque atelier – Cette mini-séquence explique que chaque atelier d’EBIOS Risk Manager nourrit le plan d’action.
10. Conclusion – Cette mini-séquence conclut la série sur EBIOS Risk Manager.

C’est aussi l’occasion d’échanger sur le détail d’EBIOS Risk Manager, son usage, son positionnement, tout ce qui tourne autour de la méthode et toute question que vous pourriez vous poser.

L’objectif est de bien faire comprendre ce qu’est EBIOS et ses principes fondamentaux.
Ce n’est pas une formation à la méthode, mais une manière de mieux appréhender la méthode.

Voici un aide mémoire contenant les différentes étapes clés de la méthode EBIOS Risk Manager :

Ce mémento, ou aide mémoire, est destiné à aider les personnes en cours d’apprentissage de la méthode.
Il présente les principaux objets de modélisation des risques dans EBIOS Risk Manager, leurs liens, les ateliers dans lesquels ils sont utilisés et quelques définitions importantes.

Club EBIOS - EBIOS Risk Manager - Mémento - 2020-04-03
> Télécharger

Dans une étude de risques, on constate que les impacts analysés dépendent fortement du point de vue de chaque partie prenante. Partant de ce constat, ce document de réflexion incite à la prise en compte des préoccupations de chaque acteur, dans une logique “by design”, afin que le produit, système ou service soit accepté par tous.

ClubEBIOS-ImpactsDifferencies-2017-02-19-Approuve
> Télécharger

Ce mémento présente les concepts liés à la continuité des activités et leurs places dans la SSI. Les activités propres à la gestion de la continuité sont ensuite présentées selon 4 phases itératives. Le référentiel, l’organisation et les outils associés sont ensuite développés.

ClubEBIOS-Continuite-Memento-2008-11-18
> Télécharger

Ce document vous présente les secteurs où la gestion des risques joue un rôle majeur afin d’en éclairer les ressemblances et les dissemblances. La gestion des risques n’est pas réservée à l’informatique mais concerne un nombre croissant de secteurs qui réfléchissent à leurs stratégies de survie et d’expansion.

ClubEBIOS-PratiquesDeGestionDesRisques-2008-11-18
> Télécharger