01/04/2024
07/09/2023
ClubEBIOS-2023-09-07-ELALAOUI
Télécharger
Rappels des liens proposés dans la présentation :
29/05/2023
18/02/2022
11/02/2022
10/09/2021
ClubEBIOS-2021-09-03-AMNBRAINS
Télécharger
Rappel des liens proposés dans la présentation :
01/06/2021
07/04/2021
07/09/2020
ClubEBIOS-2020-09-07-GRALL
> Télécharger
Vous souvenez-vous ? Avant, nos voitures n’étaient pas connectées, nous n’étions pas tracés sur Internet (pour notre bien), et les entreprises étaient encore victimes d’attaques informatiques.
C’était au siècle dernier me direz-vous ! À l’ère dernière, même !
De pauvres désignés-volontaires devaient improviser des FEROS*, les meilleurs recopiant habilement celle d’un collègue.
Puis vint la lumière… Elle apparut sous la forme d’un ange nommé EBIOS*, qui apporta d’abord un peu de logique au respectable Vauban du numérique, puis différentes versions qui se nourrissaient de l’expérience de ses pratiquants jusqu’à influencer le monde entier, sans qu’il le sache.
Et alors que le feu sacré n’était plus entretenu que par quelques apôtres esseulés, la SC/DC/AN-SSI revint en force vers ceux-ci pour faire naître un nouveau nephilim.
Naquit notre méthode actuelle, non comme la solution ultime, mais comme une arme à la portée de tous.
Nous devons toujours affronter les croyants du pousse-bouton, mais nous, utopiques défenseurs de l’après-épine dorsale, portons et défendons aujourd’hui, EBIOS !
Retour sur la genèse de notre dernière mouture…
* Toi qui ne connait pas l’acronyme, sors ! (ou renseigne-toi :p)
13/05/2020
ClubEBIOS-2020-05-13-VANCAUTER
> Télécharger
THALES utilise largement EBIOS RM depuis maintenant plus d’un an pour réaliser ses homologations. Cette présentation fait un focus sur plusieurs points de la méthode que nous avons eu le besoin d’augmenter/compléter/approfondir à l’occasion de l’industrialisation de notre pratique. Ceci est l’occasion d’ouvrir sur la perspective d’une première révision intermédiaire d’EBIOS RM ?!
04/03/2020
ClubEBIOS-2020-03-04-GRISPAN-AUVRAY
> Télécharger
Le déroulé de la méthode EBIOS Risk Manager peut être différent en fonction du périmètre de l’analyse.
L’apport d’expertise particulière au niveau de l’évaluation de la menace et des scénarios techniques est un facteur clé du succès.
Nous présenterons notre retour d’expérience dans l’application de la méthode sur un grand système et l’apport des expertises externes.
La méthode EBIOS Risk Manager confirme un changement de paradigme concernant l’étude de la résilience de la mission de l’armée de l’air face à la surface d’attaque grandissante que constitue le cyber espace.
Ce changement implique une évolution de la gouvernance cyber qui doit s’adapter et disposer de moyens pertinents pour exposer le risque cyber aux autorités militaires.
Le coordinateur cybersécurité de l’armée de l’air (équivalent CISO) présente des éléments de réflexions sur les travaux de cartographie du risque cyber s’appuyant sur la méthode EBIOS Risk Manager.
13/11/2019
ClubEBIOS-2019-11-13-COSQUER-ZAMORA
> Télécharger
Nokia et Orange portent un regard, à l’aide du prisme EBIOS Risk Manager, sur l’appréciation des risques pour la cybersécurité des réseaux 5G coordonnée au sein du groupe européen NIS.
05/09/2019
ClubEBIOS-2019-09-05-PAUL
> Télécharger
Thales retravaille en profondeur le kit formation à EBIOS – Risk Manager de l’ANSSI pour des besoins de formation interne. Le résultat sera mis à disposition du Club dans les semaines à venir.
ClubEBIOS-2019-09-05-CONCHON
> Télécharger
Quelques thématiques sont survolées, dans le but de créer des vocations pour participer au contenu du Club EBIOS : quels apports d’EBIOS Risk Manager pour ces thématiques ?
ClubEBIOS-2019-09-05-CAIRE
> Télécharger
GT 58 : cahier des charges pour les bases de connaissance
ClubEBIOS-2019-09-05-MA
> Télécharger
Présentation de CYPH-R, un outil d’analyse de risques cybersécurité interne EDF dédié aux besoins industriels. La version 1 est opérationnelle depuis 2018 et conforme avec EBIOS 2010, son évolution vers la conformité avec EBIOS RM est en cours.
14/05/2019
ClubEBIOS-2019-05-14-CONCHON-CAIRE
> Télécharger
Les kill chains (atelier 4 d’EBIOS RM : scénarios opérationnels), tout le monde en parle mais personne n’en fait : une proposition pour utiliser les bases de connaissance existantes, notamment CAPEC, pour automatiser la réalisation des kill chains.
ClubEBIOS-2019-05-14-OLIVE
> Télécharger
Présentation d’une méthode permettant d’élaborer des scénarios de surveillance destinés à un SIEM pour intégrer un projet à fort enjeux de sécurité au SOC. Elle s’appuie sur 3 approches complémentaires : l’utilisation d’un référentiel générique de scénarios habituellement rencontrés, l’application de la démarche EBIOS RM pour découvrir les indicateurs de compromission et les comportements anormaux, l’utilisation d’un framework spécifique, construit à partir des travaux de l’ETSI, pour compléter les scénarios et vérifier leur exhaustivité.
ClubEBIOS-2019-05-14-COTELLE-ALLAIRE
> Télécharger
Le chief security officer d’Airbus et l’ANSSI financent depuis 2015 un programme de recherche à l’IRT-SystemX sur la quantification du risque cyber et son transfert vers l’assurance. Le risque cyber est désormais un risque d’entreprise qui doit être apprécié financièrement et le transfert vers l’assurance est une des options à la disposition des organisation pour financer ce risque. L’enjeu de l’appréciation financière des biens intangibles et de la valorisation du patrimoine informationnel est un challenge auquel l’année 3 de la recherche au sein de l’IRT-SystemX apporte des réponses.
14/03/2019
ClubEBIOS-2019-03-14-VIE
> Télécharger
Suite à l’appel à manifestation d’intérêt en août 2018 et la présentation de la méthode EBIOS Risk Manager, l’ANSSI a présenté son processus de labellisation permettant de proposer à termes des outils avec le label “EBIOS Risk Manager” conforme à la méthode. ALL4TEC est en cours de labellisation pour son outil Agile Risk Manager qui permet de mettre en pratique la méthode de l’ANSSI.
ClubEBIOS-2019-03-14-FORET-ROYER
> Télécharger
Le modèle FAIR permet de quantifier les risques en termes financiers. FAIR définit les composantes du risque et quantifie les variables correspondantes en utilisant les statistiques et probabilités pour gérer l’incertitude des données. FAIR est utilisé par 30% des entreprises du « Fortune 1000 » (source www.FairInstitute.org).
ClubEBIOS-2019-03-14-CONCHON-CAIRE
> Télécharger
Les kill chains (atelier 4 d’EBIOS RM : scénarios opérationnels), tout le monde en parle mais personne n’en fait : une réflexion subversive sur les méthodes et les moyens pour élaborer des kill chains.
10/01/2019
ClubEBIOS-2018-01-10-KOUBY-OLIVE
> Télécharger
Smart Risks est un outil d’aide à la réalisation d’analyses de risques EBIOS et à la capitalisation des résultats. Au lieu de partir d’une base de connaissance, Smart Risks construit automatiquement un référentiel composé de la compilation de l’ensemble des résultats et offre une interface de recherche puissante et intuitive pour réutiliser ce dont on a besoin.
ClubEBIOS-2018-01-10-PAUL
> Télécharger
Avec EBIOS – Risk Manager, l’ANSSI a proposé une approche agile à l’évaluation de risques de cybersécurité, soutenu par une organisation en ateliers (séances de remue-méninges). Pour structurer ces ateliers, nous avons créé une série de posters en taille A0 pour capturer en séance les informations avec des post-its (approche de type Obeya). Ces posters ont été affinés à travers 3 études de cas: In-Flight Entertainment (IFE), drones autonomes et dernièrement, l’introduction de l’IOT dans un SCADA ferroviaire.
ClubEBIOS-2018-01-10-COHEN-HADRIA
> Télécharger
Le RGPD prévoit une obligation de sécurité en son article 32. Cette obligation pose clairement une obligations de mesure du risque au regard des connaissances à date de la mise en place des mesures. Toutefois les décisions de la Cnil semblent omettre ce point et sanctionner le défaut de sécurité au sens d’une obligation de résultat. Dès lors peut se poser la question des conséquences de ces décisions sur la méthode EBIOS d’évaluation des risques et de l’accentuation de la vraisemblance de certains risques lorsqu’une société est dans le viseur de la CNIL.
13/11/2018
ClubEBIOS-2018-11-13-CONCHON
> Télécharger
Proposition d’un ensemble de concepts permettant de modéliser et d’analyser les stratégies d’influence (une taxonomie des principes d’influence, une cartographie cognitive des audiences-cibles et un ensemble de modes d’action pour développer des scénarios selon un effet final recherché) et de prouver qu’elles restent applicables dans l’environnement hyperconnecté qui se développe aujourd’hui.
06/09/2018
02/07/2018
ClubEBIOS-2018-07-02-ALLARD
> Télécharger
En termes de sécurité informatique et de cybersécurité, comme de sécurité de l’information suite à l’informatisation explosive on a trop souvent tendance à jeter le bébé avec l’eau du bain. “C’est un nouveau monde, il faut de nouvelles règles !”. Je ne suis pas de cet avis. Les principes de défense vieux comme le monde (comme ceux exprimés par Sun Tzu dans son “Art de la guerre”) sont toujours d’application. Il suffit de les adapter au contexte. Un concept est universel et dépasse le temps et les modes. Jean-Luc Allard est expert en sécurité de l’information depuis plus de vingt ans et met un point d’honneur à revenir au plus vite aux fondamentaux et aux concepts avant de s’intéresser aux détails.
03/05/2018
ClubEBIOS-2018-05-03-VANCAUTER
> Télécharger
La nouvelle EBIOS amène un nouveau contexte d’emploi orientant sur des études de scénarios d’attaque “de bout en bout” dont l’approche type “Cyber Kill Chain” peut être un moyen de les structurer. Cependant ce n’est pas la seule approche et elle a aussi ses limites. Après une introduction de la notion de “Cyber Kill Chain” et la présentation de travaux actuels aux US pour approfondir le concept, celle-ci est confrontée à une autre approche possible : celle des arbres d’attaque, puis enfin sont proposés les contextes d’emploi qui sembleraient les plus appropriés au sein de la nouvelle EBIOS pour l’approche “Cyber Kill Chain” d’une part, pour l’approche “arbre d’attaque” d’autre part.
22/03/2018
ClubEBIOS-2018-03-22-CONCHON-HABACHE
> Télécharger
Démonstration d’une démarche de sensibilisation innovante sur la sécurité des SI industriels, à partir de scénarios de risques mis en scène sur des automates au service d’un procédé industriel simulé à partir d’une maquette en brique Lego.
ClubEBIOS-2018-03-22-ALLEMAND
> Télécharger
Étude sur l’utilisation de la méthode EBIOS dans le contexte industriel. Analyse de risques portant sur les systèmes de fabrication additifs (impression 3D).
10/01/2018
ClubEBIOS-2018-01-10-MARICHEZ
> Télécharger
Les cas d’usage du “big data”, fortement liés à la “data science” et à la création de valeur par l’innovation, suggèrent que les modèles traditionnels d’analyse du risque sur la sécurité de l’information lors de tels traitements doivent évoluer pour intégrer des notions d’aléa et d’incertitude, autant du fait de l’indéterminisme des événements redoutés que du manque de maîtrise des SI sous-jacents aux scénarios de menace. Des parallèles aux “traitements big data” peuvent être raisonnablement menés avec la recherche-développement sur les armes ou la virologie, appelant une réponse coordonnée face à des “méta-risques” à l’échelle de la société, impliquant les pouvoirs publics.
ClubEBIOS-2018-01-10-VIE-PAUL
> Télécharger
Présentation de la coopération entre Thales et l’éditeur ALL4TEC sur une évaluation de risques de sécurité EBIOS réalisée grâce à l’outil Cyber Architect.
ClubEBIOS-2018-01-10-RICHY-ZAMORA
> Télécharger
Les principales normes de la série ISO/IEC 27000 (27001, 27002 et 27005) ont montré une tendance au statu quo ou au moins à une évolution lente, des réflexions sont entamées sur la cybersécurité. Au WG 2 (mécanismes de sécurité, cryptographie), des évolutions importantes sont en cours concernant divers types d’algorithmes de chiffrement (quantique, post quantique et homomorphe) tandis que des tensions sont apparues pour la prise en compte d’algorithmes proposés par les USA (Simon et Speck). Enfin, il faut mentionner une importante évolution en cours de la norme ISO/IEC 15408 (Certification, Critères Communs) dont le contenu va passer de trois à cinq chapitres.
09/11/2017
ClubEBIOS-2017-11-09-CAIRE-CONCHON
> Télécharger
Proposition d’une démarche systémique pour définir et mettre en œuvre une stratégie globale de défense, pilotée par l’analyse de risque, visant la résilience des infrastructures critiques dans un contexte marqué par les actes de malveillance d’intensité variable.
13/09/2017
ClubEBIOS-2017-09-13-PERTUS
> Télécharger
Dans le cadre du GT “Outils pratiques”, le présent support vise à établir un point de situation quant aux travaux réalisés à ce stade sur une étude de cas représentative retenue collégialement, et ce, vue de proposer différents d’outillages adaptés (Excel, EGERIE RM…) et mis en pratique destinés aux praticiens EBIOS, qu’ils soient novices ou expérimentés.
03/07/2017
11/05/2017
14/03/2017
10/01/2017
ClubEBIOS-2017-01-10-AKLI-CONCHON
> Télécharger
Approche du domaine des risques psycho-sociaux et application de la méthode EBIOS dans le cadre de l’analyse des risques psycho-sociaux (concepts-clefs, bases de connaissance et étude de cas).
ClubEBIOS-2017-01-10-SMAHA
> Télécharger
Retour sur 6 ans de réflexions autour des besoins de sécurité : leur relation avec les conséquences métiers, leur utilisation dans les appréciations des risques, les tentatives de simplification, leur signification.
09/11/2016
ClubEBIOS-2016-11-09-GRALL
> Télécharger
Des auteurs ont imaginé ce que le futur nous réservait dans de nombreuses fictions (romans, films, séries, bandes dessinées, etc.). Les nouveaux services et technologies permettent aujourd’hui de leur donner réalité.
08/09/2016
04/07/2016
03/05/2016
08/03/2016
03/11/2015
ClubEBIOS-2015-11-03-GAUTRENEAU
> Télécharger
Retour sur les enjeux et la réglementation dans le domaine des systèmes d’information d’importance vitale (SIIV) : éléments de contexte, bonnes pratiques et enjeux méthodologiques dans la prise en compte des risques sur le domaine, risques d’applicabilité et impact de la LPM.
08/09/2015
ClubEBIOS-2015-09-08-PERTUS
> Télécharger
Exposé des perspectives de risque cyber et identification des challenges de la cybersécurité dans le cadre du concept de “Smart City”.
ClubEBIOS-2015-09-08-DELMOTTE
> Télécharger
Présentation de la méthodologie AGR (Analyse Globale des Risques) et de l’outil STATCART AGR dans le cadre d’un cas d’usage.
06/07/2015
ClubEBIOS-2015-07-06-RICHY
> Télécharger
Panorama de l’évolution des thématiques traitées par la famille de normes ISO 27000.
ClubEBIOS-2015-07-06-GAUTRENEAU
> Télécharger
Réflexion sur le sens et l’intérêt de l’assurance dans la maîtrise des risques, et sur les garanties apportées dans les cas de cyber-risque.
ClubEBIOS-2015-07-06-GRALL
> Télécharger
Réflexion sur les enjeux actuels et les évolutions à venir, pour orienter de futures réflexions ou pistes d’étude au sein du Club EBIOS.
ClubEBIOS-2015-07-06-DESROCHES
> Télécharger
Réflexion méthodologique visant à orienter la méthode d’analyse de risque vers la construction de scénarios élaborés et permettre de définir une stratégie de défense en profondeur.
ClubEBIOS-2015-07-06-ALLARD
> Télécharger
Réflexion sur les facteurs de complexité à tous les stades d’une analyse de risque et sur les moyens de les maîtriser.
10/03/2015
ClubEBIOS-2015-03-10-TOUBIANA
> Télécharger
Présentation d’une étude PIA (Privacy Impact Assessment) dans le cadre d’un périmètre composés d’objets connectés.
ClubEBIOS-2015-03-10-MATHIAS
> Télécharger
Exposé des risques des objets connectés dans un contexte d’entreprise et des sujets connexes : responsabilités des différents acteurs, droits des utilisateurs, cadre règlementaire.
ClubEBIOS-2015-03-10-GUILLOU
> Télécharger
Approche du domaine de l’Internet des Objets : spécificités du domaine, tendances du marché, problématiques posées et axes de recherche et de réflexion pour maîtriser les risques.
13/11/2014
10/09/2014
07/07/2014
14/05/2014
13/03/2014
12/12/2013
08/10/2013
11/06/2013
11/04/2013
12/02/2013
11/12/2012
10/04/2012
05/07/2011
ClubEBIOS-2011-07-05-CONCHON
> Télécharger
Approche du domaine de la responsabilité sociétale et application de la méthode EBIOS dans le cadre de l’analyse des risque de responsabilité sociétale d’entreprise (concepts-clefs, bases de connaissance et étude de cas.
21/09/2010
18/05/2010
ClubEBIOS-2010-05-18-CONCHON
> Télécharger
Rapport d’étape du groupe de travail sur l’application d’EBIOS à la sécurité physique (étude de cas).
23/03/2010
19/01/2010
15/09/2009
12/05/2009
11/03/2009
17/09/2008
13/03/2008
17/01/2008
18/09/2007
10/07/2007
15/05/2007
15/03/2007
ClubEBIOS-2007-03-15-MOURLON
> Télécharger
Cyril MOURLON a réalisé un retour d’expérience sur l’utilisation de la méthode EBIOS dans un contexte d’analyse de risques globale. Après avoir rappelé les contraintes des prestataires (objectifs, délais…) et les grandes étapes de la méthode, il a souligné tout d’abord l’évidente applicabilité d’EBIOS aux problématiques très étendues (dépassant la SSI). Une première difficulté réside pourtant dans la présentation de la grande quantité d’informations produites lors des études. En effet, les bénéficiaires de prestations de conseil veulent savoir ce à quoi cela va servir, ce que cela va leur coûter et leur apporter.
16/01/2007
23/11/2006
14/09/2006
06/07/2006
11/05/2006
14/03/2006
19/01/2006
17/11/2005
15/09/2005
19/05/2005
17/03/2005
13/01/2005
11/05/2004
16/03/2004
11/09/2003
03/07/2003
15/05/2003
06/03/2003