Le présent guide méthodologique s’adresse à l’ensemble des acteurs ayant déjà appliqué la méthode Ebios Risk Manager dans tous types de contextes. Il vise à fournir une aide pour la réalisation d’analyse de risque plus approfondie et adaptée aux problématiques complexes des systèmes d’information, via la construction de scénarios opérationnels.

Ce guide méthodologique enrichit l’atelier 4 (scénarios opérationnels) de la méthode EBIOS RM en proposant des méthodes précises, détaillées étape par étape et conçues pour s’adapter aux environnements (taille, complexité des systèmes, etc.) et aux niveaux d’expertise. Chaque méthode est illustrée par des schémas et / ou diagrammes établis sur des modèles d’architecture reconnus, adaptables et représentatifs d’une organisation de systèmes d’information interconnectés. Elle est identifiée par un niveau de complexité de mise en œuvre.

Le guide est accompagné d’un arbre d’aide au choix des méthodes, d’exemples concrets, d’astuces et de recommandations pour la conception des scénarios opérationnels et l’identification des mesures de sécurité applicables aux actions élémentaires. Il présente un inventaire détaillé des éléments requis à la réalisation de l’atelier 4, incluant la liste des métiers impliqués dans l’élaboration des scénarios opérationnels, les prérequis, et les ressources utiles.

En parallèle, le guide intègre l’étude des cyber kill chain et établit les liens entre les référentiels MITRE ATT&CK, CAPEC ou le framework NSA/CSS Technical Cyber Threat avec les scénarios opérationnels. Il illustre la manière dont ces référentiels contribuent à la création des scénarios opérationnels et à l’identification de mesures de sécurité applicables.

L’évaluation ou les méthodes de calcul de la vraisemblance ne sont pas prises en compte dans cette étude. Elle fait l’objet d’un autre guide disponible sur le site du Club EBIOS.

ClubEBIOS-GuideMethodologique-Atelier4-V1.1
Télécharger