Vous avez bien perçu l’articulation entre l’atelier 1 et les ateliers 2-3-4 d’appréciation des risques.

Un des objectifs de l’atelier 1 est d’identifier ou de bâtir un socle de sécurité à la fois basé sur l’état de l’art, les bonnes pratiques (dont la PSSI existante), et la réglementation. Les ateliers d’appréciation des risques vont ensuite « malmener » ce socle au travers de scénarios d’attaques représentatifs de la menace à laquelle vous êtes réellement exposé. L’appréciation des risques peut aboutir à la nécessité de durcir le socle grâce à des mesures complémentaires ad hoc. Elle peut également permettre de justifier des écarts de conformité ou des vulnérabilités. L’ISO 27001 constitue un cadre intéressant pour bâtir un socle de sécurité cohérent. Par ailleurs, la prise de risque peut dans certains cas être simplement acceptée en l’état ou refusée le temps de revenir à une situation plus saine, voire transférée vers une assurance ou un tiers.
L’appréciation des risques dans EBIOS RM est par essence intentionnelle. Nous considérons que les risques accidentels et environnementaux sont traités a priori dans l’atelier 1 dans le cadre du socle de sécurité.

Dès lors, deux réponses sont possibles.

La première consiste à distinguer les sujets. L’évaluation de la conformité aux bonnes pratiques de l’annexe de l’ISO 27001 vous permet de mettre les écarts en évidence et de déterminer les actions à entreprendre pour vous en rapprocher. Vous choisirez ensuite si votre étude des risques doit être basée sur l’état actuel de conformité aux bonnes pratiques ou sur l’état visé. À l’issue, vous aurez non seulement un plan d’action pour améliorer votre conformité et votre plan d’action pour traiter les risques appréciés avec la méthode.
Pour rappel, ces bonnes pratiques ne constituent pas le cœur d’ISO 27001, mais permettent juste de comparer les mesures choisies dans votre environnement à des bonnes pratiques.

La deuxième est applicable si vous souhaiteriez contextualiser ces risques afin de mettre en lumière de quelle façon les écarts concernés à l’ISO sont préjudiciables et justifier ainsi auprès de votre direction la nécessité d’y remédier.
Si vous souhaitez réaliser une appréciation des risques non intentionnels dans le cadre d’une EBIOS RM, vous pouvez procéder comme suit, mais dans tous les cas la phase d’appréciation des risques devra se concentrer sur les risques les plus extrêmes. Sans quoi, l’analyse serait trop lourde et inexploitable pour un décideur. Celui-ci doit pouvoir poser une décision sur un jeu de scénarios concret et limité, représentatif des risques les plus critiques.

  • Atelier 1 : identifiez les thématiques non intentionnelles relatives aux écarts de conformité dont vous souhaitez apprécier le risque (par exemple : la sécurité incendie, l’alimentation en énergie des locaux techniques, les intempéries et phénomènes climatiques, la protection contre les inondations).
  • Atelier 2 : documentez les sources de risque non intentionnelles en précisant le cas échéant les valeurs métier ou biens supports plus particulièrement concernés. (nota : documenter des objectifs visés n’aura ici pas de sens).
  • Atelier 3 : identifiez les parties prenantes associées aux sources de risque non intentionnelles ci-dessus (par exemple tel fournisseur qui assure la maintenance de vos biens supports si la source de risque est « erreur de maintenance ») ; vous pouvez aller au-delà en construisant une cartographie de menace de cet « écosystème non-intentionnel » sur la base de critères à adapter par rapport à ceux proposés pour l’intentionnel dans la fiche méthode n°5. Construisez ensuite pour chaque source de risque un scénario stratégique. Ce scénario illustre la manière selon laquelle la source de risque non intentionnelle peut conduire à des événements redoutés (de l’atelier 1) au travers d’un enchaînement d’événements non intentionnels ou de facteurs aggravants qui peuvent être relatifs aux écarts de conformité et/ou à une faible maîtrise de l’écosystème impliqué.
  • Atelier 4 : si besoin, affinez certains scénarios stratégiques au travers de scénarios opérationnels dont la vocation sera simplement de préciser les modes de défaillance et d’erreur qui pourront également être liés à des écarts (ex : une absence de procédure). Évaluez la vraisemblance des scénarios de risque selon la métrique proposée dans la fiche méthode n°8.
  • Atelier 5 : incorporez vos risques non intentionnels dans le traitement du risque au même titre que les risques intentionnels.

Une façon alternative (mais non exclusive de celle présentée ci-dessus) de « valoriser » les problèmes de nature non intentionnelle est de voir de quelle façon ils peuvent bénéficier aux attaquants dans vos scénarios de risque intentionnels. Par exemple, un attaquant peut arriver à atteindre son objectif visé en raison d’un écart de sécurité environnementale qu’il exploitera volontairement ou opportunément. La vraisemblance d’une attaque peut être accrue à cause d’un manquement à une règle ISO 27001. Dans cette approche, vos écarts non intentionnels sont intégrés dans des scénarios de risques intentionnels en tant que facteurs aggravants qui faciliteront l’attaque. Cette approche peut se révéler très percutante car elle montre de quelle façon les faiblesses environnementales du socle de sécurité peuvent rendre une attaque intentionnelle bien plus vraisemblable ou aggraver fortement les conséquences.