La FAQ sur EBIOS

Vouée à être enrichie de manière régulière, cette foire aux questions (FAQ) traite de questions relatives à la mise en œuvre d’EBIOS.

Questions générales sur EBIOS

TitreContenu
Existe-t-il une traduction d’EBIOS Risk Manager en anglais ?La traduction du guide d’EBIOS Risk Manager et de son supplément sortira fin septembre 2019. La précédente version n’a jamais fait l’objet d’une traduction publiée. Il existe aussi l’EBIOS générique, qui sert à créer des méthodes sectorielles, et qui est traduite.FAQ
EBIOS, c’est quoi ?EBIOS – Expression des Besoins et Identification des Objectifs de Sécurité – est une méthodologie universelle de gestion des risques qui permet de créer des méthodes sectorielles, publiée par le Club EBIOS (voir la méthodologie). EBIOS est une marque déposée du Secrétariat général de la défense et de la sécurité nationale (SGDSN). EBIOS Risk Manager (ou EBIOS RM) est la méthode d’appréciation et de traitement des risques de cybersécurité publiée par l’Agence nationale de la sécurité des systèmes d’information (ANSSI).FAQ
Comment éviter l’explosion combinatoire d’une étude ?Réponse d’un membre du Club EBIOS : « on peut agir sur plusieurs éléments pour que le résultat corresponde aux attentes » La réalisation d’une étude est parfois critiquée en raison de l’explosion combinatoire des éléments à étudier. C’est pourquoi il convient, avant ou au début de toute étude, de se demander ce qu’est capable d’accepter le commanditaire en termes de lisibilité. Certains souhaitent avoir autant de détails que nécessaire pour traiter les risques (et/ou justifier les mesures) de manière fine. Dans ce cas, il est possible de traiter toute la combinatoire d’événements et de scénarios de menaces. Si tel n’est pas le cas, voici quelques astuces qui vous permettront de diminuer l’entropie de l’analyse : agir sur la présentation : faire l’étude détaillée en tant que « document de travail » et regrouper les risques en familles dans un « document de synthèse » pour faciliter les prises de décision. Ce « document de synthèse » peut ne faire ressortir que les risques les plus importants (graves et/ou vraisemblables), ainsi que ceux qui intéressent spécifiquement le commanditaire ; agir sur le nombre de biens : regrouper les biens essentiels et/ou les biens supports dans l’étude du contexte. Il est possible par exemple d’adapter le niveau de détail …FAQ
L’outil développé en open source par l’ANSSI pour la version EBIOS 2010 est-il définitivement inaccessible ?L’outil développé en open source par l’ANSSI pour la méthode EBIOS 2010 a été retiré du site internet de l’ANSSI car il était devenu obsolète. Il ne sera plus maintenu par l’ANSSI.FAQ

Questions sur EBIOS Risk Manager (EBIOS RM) en général

TitreContenu
EBIOS est il conforme à l’ISO 27005 ?La norme ISO/IEC 27005 décrit les principes de la gestion des risques dans le cadre de la mise en place d’un système de management de la sécurité de l’information en définissant notamment un processus de gestion des risques dans une logique d’amélioration continue. La méthode EBIOS Risk Manager répond à l’ensemble de ces principes en proposant une méthode. Cette méthode présente 2 approches d’identification des risques : par conformité (pour les risques non délibérés) et par scénarios (pour les risques délibérés). Ainsi, la détermination du plan de traitement des risques et son suivi (PACS) sont obtenus en respect de la norme.FAQ
Les mesures peuvent-elles modifier la gravité ?Des mesures peuvent bien entendu avoir un effet sur la gravité des risques dès lors qu’elles réduisent le préjudice lié à l’atteinte de la valeur métier concernée. Par exemple, des mesures permettent la mise en place d’un fonctionnement dégradé. Les mesures sont prises en compte et décidées à plusieurs étapes de méthode. Un événement redouté peut avoir une gravité réduite parce que des mesures existantes sont considérées dans le socle de sécurité. La réduction de la gravité d’un scénario stratégique (et par induction d’un scénario opérationnel) peut être évaluée lors de l’atelier 3 par l’application de mesures de sécurité sur l’écosystème – Cette réduction à une gravité résiduelle est mentionnée dans le guide EBIOS Risk Manager dans le tableau cité en exemple page 76. Il est vrai que dans une stratégie se limitant à renforcer la sécurité en rendant la tâche plus difficile pour l’attaquant, elle n’aura pas d’impact sur la gravité des risques. Ce qui ne sera pas le cas si la stratégie conduit également à limiter les préjudices des risques ou à réduire le niveau de menace intrinsèque.FAQ
Concrètement, qui déroule la méthode ? RSSI ou Risk manager ?Question initiale : « Le périmètre d’activité du Risk Manager est bien plus large que le périmètre des risques numériques, et d’autre part, le management des risques numériques est sous la responsabilité du RSSI, qui en fournit une vision au Risk Manager pour consolidation dans la cartographie des risques majeurs de l’organisation. Au travers des FAQ publiées sur le site de l’ANSSI, il est indiqué que « Les publics intéressés par cette méthode sont les RSSI et les risk managers ». Concrètement qui déroule la méthode ? » Quelques éléments de réponse : 1/ La méthode est bien une démarche de gestion des risques. L’objet de la méthode peut être d’ailleurs de « mettre en place ou renforcer un processus de management du risque numérique au sein d’une organisation », ce qui est notamment illustré par les cycles opérationnels et stratégiques proposés dans la méthode. 2/ Elle n’est pas déroulée par un acteur unique mais est conduite au travers d’ateliers réunissant les points de vue de plusieurs acteurs (Directions, métiers, RSSI, DSI, spécialiste en analyse de la menace numérique, Architectes fonctionnels, spécialiste en cybersécurité). Le Risk Manager peut être l’un des acteurs contribuant à la conduite de la démarche notamment en fournissant des éléments …FAQ
Les menaces accidentelles, environnementales et les risques liés à une non-conformité d’un référentiel règlementaire (ex : II901) ne peuvent-ils pas être traités par la méthode EBIOS RM ?EBIOS RM est une méthode de gestion des risques de cybersécurité, et non de gestion des risques juridiques, environnementaux ou autres. En outre, l’approche par scénarios d’EBIOS RM est ciblée sur les menaces intentionnelles. Toutefois, les risques accidentels et environnementaux sont traités a priori via une approche par conformité au sein du socle de sécurité. A noter : l’approche générique d’EBIOS (https://club-ebios.org/site/ebios-lapproche-generique/) couvre tous les types de risques et permet de créer des méthodes sectorielles.FAQ
Comment traiter les risques (Atelier 5) liés à une non-conformité règlementaire sans passer par les ateliers 2, 3 et 4 qui permettent justement d’identifier et d’apprécier les dits risques ?L’objectif principal de la méthode EBIOS RM est de se concentrer sur l’analyse des risques ciblés. Considérant que les éléments faisant partie des référentiels de sécurité sont à appliquer (identifiés comme le socle de sécurité en atelier 1), la méthode EBIOS RM n’a pas pour objet de justifier ou d’argumenter le besoin ou les priorités de mettre en place ces mesures. L’atelier 5, consacré au traitement des risques, sera l’occasion d’inscrire les mesures non mises à œuvre dans un plan d’amélioration continue. A noter que l’atelier 1 conduit à identifier des écarts qui pourront être réutilisés dans les activités 3 et 4 pour identifier des scénarios exploitants ces failles ; seules sont représentées dans ce tableau les étapes essentielles pour répondre aux objectifs de l’étude.FAQ
Comment faire une FEROS avec EBIOS Risk Manager ?La fiche d’expression rationnelle des objectifs de sécurité (FEROS) est un document largement utilisé dans les programmes et projets d’armement comme point de départ d’une démarche d’homologation ou de certification par exemple. Les sommaires types proposés sur le site institutionnel de l’ANSSI, dont celui de la FEROS (https://www.ssi.gouv.fr/uploads/2014/06/Lhomologation-en-neuf-etapes-simples-Document-types.pdf), feront l’objet d’une mise à jour avant l’été 2019 afin de répercuter les évolutions de la méthode EBIOS. La FEROS est principalement le reflet des résultats de l’analyse de risque, elle est donc structurée comme telle. Par conséquent, vous pouvez adapter votre template en reprenant les grandes séquences d’EBIOS Risk Manager. Par exemple, si l’on considère le template proposé par l’ANSSI (cf. lien ci-dessus) : §4 Besoins de sécurité —–> Socle de sécurité et événements redoutés (atelier 1) §5 Etude des menaces —–> Sources de risque (atelier 2) §6 Evénements redoutés —–> Menace liée à l’écosystème (atelier 3) §7 Risques —–> Scénarios de risque (ateliers 3 et 4) §8 Objectifs de sécurité —–> Stratégie de traitement du risque et mesures de sécurité (atelier 5) §9 Risques résiduels —–> Risques résiduels (atelier 5) §10 Compléments —–> Cadre de suivi des risques (atelier 5) Pour le §8, nous vous recommandons fortement de structurer votre …FAQ
Comment prendre en compte le non intentionnel quand on est loin d’avoir adopté les bonnes pratiques d’ISO 27001 ?Vous avez bien perçu l’articulation entre l’atelier 1 et les ateliers 2-3-4 d’appréciation des risques. Un des objectifs de l’atelier 1 est d’identifier ou de bâtir un socle de sécurité à la fois basé sur l’état de l’art, les bonnes pratiques (dont la PSSI existante), et la réglementation. Les ateliers d’appréciation des risques vont ensuite « malmener » ce socle au travers de scénarios d’attaques représentatifs de la menace à laquelle vous êtes réellement exposé. L’appréciation des risques peut aboutir à la nécessité de durcir le socle grâce à des mesures complémentaires ad hoc. Elle peut également permettre de justifier des écarts de conformité ou des vulnérabilités. L’ISO 27001 constitue un cadre intéressant pour bâtir un socle de sécurité cohérent. Par ailleurs, la prise de risque peut dans certains cas être simplement acceptée en l’état ou refusée le temps de revenir à une situation plus saine, voire transférée vers une assurance ou un tiers. L’appréciation des risques dans EBIOS RM est par essence intentionnelle. Nous considérons que les risques accidentels et environnementaux sont traités a priori dans l’atelier 1 dans le cadre du socle de sécurité. Dès lors, deux réponses sont possibles. La première consiste à distinguer les sujets. L’évaluation …FAQ
Quelles sont les nouveautés apportées par EBIOS Risk Manager par rapport à la version 2010 ?En matière de gestion des risques ou de cybersécurité, la méthode EBIOS Risk Manager est une méthode de référence développée par l’ANSSI et soutenue par le Club EBIOS. Elle permet d’apprécier et de traiter les risques numériques, conformément à la norme ISO/IEC 27005, dont les valeurs reposent sur les aspects concret, efficient, convaincant et collaboratif. Face au bouleversement numérique, la méthode EBIOS nécessitait d’évoluer pour prendre en compte l’environnement numérique actuel (systèmes interconnectés, prolifération des menaces, état de l’art et règlementation plus mature, connaissance de la menace). La version de 2010 était très pertinente dans son contexte mais proposait une analyse séquencée, système par système. Il fallait attendre la fin de l’analyse complète pour pouvoir obtenir des résultats. La nouvelle version EBIOS Risk Manager propose une méthode d’analyse plus agile de l’ensemble des systèmes, dans leur environnement global, avec des résultats visibles étape par étape. Ce procédé d’analyse offre un aperçu plus réaliste et qualitatif. On estime qu’après appropriation, la mise en œuvre de cette démarche permet de gagner 30% de temps en comparaison avec la version de 2010. Les analyses réalisées avec cette dernière peuvent être intégrées au sein de cette nouvelle version puisque certaines mesures de traitement ont …FAQ
Ce qui se trouve sur le site de l’ANSSI constitue-t-il une version complète de la nouvelle méthode ?Il s’agit de la base officielle de l’ANSSI. Le Club et l’ANSSI poursuivent les travaux dans le cadre des groupes de travail du Club EBIOS afin de fournir plus de contenus sur son portail (bases de connaissances, techniques spécifiques, études de cas, etc.).FAQ
À quoi la « pyramide » du management du risque sert-elle ?La pyramide, qui place la réglementation et les mesures de base sous la gestion des risques, a pour but d’expliquer qu’EBIOS Risk Manager vise l’efficacité plutôt que l’exhaustivité : la méthode gère les risques qui peuvent encore survenir après application de la réglementation et des pratiques de base. Le reste de la méthode se concentre donc uniquement sur cette partie.FAQ
À quoi servent les fiches méthodes qui accompagnent le guide EBIOS RM ?En complément du guide EBIOS Risk Manager, des « fiches méthodes » ont été créées pour vous aider à réaliser chaque atelier décrit dans le guide. Elles contiennent notamment des bases de connaissances qui ont vocation à faciliter l’animation des ateliers d’appréciation des risques et l’identification des scénarios. Conçues comme des outils d’accompagnement à vocation pédagogique, ces fiches méthodes seront régulièrement enrichies et mises à jour.FAQ
Quelle date pour la disponibilité d’un outil compatible avec la nouvelle version d’EBIOS RM ?Suite à l’appel à manifestation d’intérêt lancé l’été 2018 par l’ANSSI, plusieurs éditeurs ont répondu favorablement et travaillent activement au développement de solutions logicielles pour outiller la méthode EBIOS RM. Le lancement d’un label qui atteste de la conformité des solutions logicielles aux principes et aux concepts de la méthode a eu lieu début 2019. La liste des solutions labellisées est disponible sur le site de l’ANSSI.FAQ
Qu’est-ce que le Label EBIOS Risk Manager ?Afin d’outiller cette nouvelle méthode, l’ANSSI souhaite s’appuyer sur des partenaires externes, éditeurs de logiciel. La mise à disposition d’une ou plusieurs solutions logicielles conformes à l’esprit de la méthode apparaît comme un complément attendu qui facilitera son adoption par le plus grand nombre. Dans cette logique, l’ANSSI travaille à la création et à l’attribution d’un label de conformité EBIOS RM, accessible à tout éditeur souhaitant développer une solution logicielle conforme aux principes et aux concepts de la méthode EBIOS « Risk Manager ». Les éditeurs sont dès à présent invités à se rapprocher de l’ANSSI (contact : ebios[at]ssi.gouv.fr) pour participer à l’expérimentation de la labellisation avant son lancement et disposer du cahier des charges dans le cadre d’un accord de confidentialité. Voir la page du label sur le site de l’ANSSI.FAQ
J’ai déjà réalisé des analyses de risques avec EBIOS dans sa version précédente (2010). Comment réintégrer le travail déjà effectué ?Les analyses de risques réalisées avec la version précédente sont évidemment réutilisables dans la version actuelle. Grâce aux analyses de risques déjà réalisées, vous avez identifié et mis en place un certain nombre de mesures destinées à traiter les risques. Ces mesures pourront être directement intégrées au cours de l’atelier 1 de la méthode EBIOS Risk Manager, lors de la définition du socle de sécurité. En effet, l’étape de définition du socle de sécurité permet d’identifier l’ensemble des bonnes pratiques, des mesures règlementaires et normatives qui s’appliquent à l’objet de l’étude, mais aussi les mesures spécifiques déjà en place sur votre périmètre.FAQ
Pour une TPE-PME, qui n’a pas de personne dédiée au management des risques, quelles sont les personnes qui doivent être autour de la table dans les ateliers ?A minima, il est fortement conseillé d’impliquer dans les ateliers un représentant du métier ou de la direction et un responsable des systèmes d’information. Néanmoins, la cybersécurité étant un domaine particulièrement technique, nous conseillons aux PME de se faire accompagner par un prestataire maîtrisant les enjeux et la méthode. Pour cela le Club EBIOS peut aider à prendre en main la méthode et à identifier des prestataires.FAQ
EBIOS RM est-elle adaptée pour démontrer une conformité réglementaire ?Réponse d’un membre du Club La méthode EBIOS Risk Manager répond tout à fait à ce besoin. Le premier atelier permet de faire l’état des lieux de la conformité à une ou plusieurs règlementations en identifiant les éventuels écarts qui sont envisagés et les mesures qui sont prévues dans le socle de sécurité pour compenser ces écarts. Puis les phases d’appréciation et de traitement des risques (ateliers 2, 3, 4 et 5) permettent de consolider le socle de sécurité pour in fine attester de la conformité réglementaire, en précisant les écarts acceptés grâce à l’ensemble des mesures de sécurité qui permettent de diminuer suffisamment la criticité des risques. Une réaction extérieure J’essaye de comprendre de quelle manière EBIOS Risk Manager pourrait être utilisée afin d’évaluer notre conformité vis-à-vis de plusieurs référentiels ANSSI. Je rencontre toutefois un problème d’interprétation pour ce cas d’utilisation, intitulé « Être en conformité avec les référentiels de sécurité numérique », page 14 du guide. Plus particulièrement dans le tableau de cette page où ce process ne fait intervenir que les ateliers 1 et 5. Cette ligne du tableau semble contredire la réponse ci-dessus. J’ai toutefois une remarque : en général les documents de conformité (hygiène, PSSIE, RGS) sont …FAQ
EBIOS RM : comment ça marche ?En se constituant autour de 5 ateliers complémentaires, la méthode EBIOS RM offre : – Une synthèse entre conformité et scénarios : la méthode s’appuie sur un socle de sécurité solide, construit grâce à une approche par conformité. L’approche par scénarios vient solliciter ce socle face à des scénarios de risque plus particulièrement ciblés ou sophistiqués ; – Une valorisation de la connaissance cyber : pour construire des scénarios de risques du point de vue de l’attaquant, il est indispensable d’avoir une bonne connaissance de ceux-ci. L’ANSSI propose donc avec la méthode EBIOS une structure permettant d’évaluer les différents profils d’attaquants et leurs objectifs ainsi que des bases de connaissances ; – Une prise en compte de l’écosystème : les attaquants ne cherchent plus forcément à atteindre de manière frontale les organismes mais à passer par des parties prenantes de leur écosystème, qui peuvent être plus vulnérables, pour parvenir à leurs fins. La prise en compte de l’écosystème dans l’étude des risques est donc à présent indispensable.FAQ
Quelles sont les valeurs de la méthode EBIOS Risk Manager ?La méthode EBIOS Risk Manager a été conçue en s’appuyant sur les valeurs suivantes : – une méthode concrète axée sur la réalité de l’état de la menace ; – une méthode efficiente, simple et suffisamment souple pour être complétée et adaptée rapidement ; – une méthode convaincante auprès des dirigeants, où le risque cyber doit être expliqué avec pédagogie ; – une méthode collaborative car les différents ateliers regroupent la direction, les métiers et les équipes SSI.FAQ
À qui s’adresse cette nouvelle méthode EBIOS Risk Manager ?La méthode EBIOS Risk Manager doit offrir une compréhension partagée des risques cyber entre les décideurs et les opérationnels. L’objectif est que le risque cyber soit considéré au même niveau que les autres risques stratégiques (risque financier, juridique, d’image, etc.) par les dirigeants. Les publics intéressés par cette méthode sont les RSSI et les risk managers.FAQ
Pourquoi une nouvelle méthode EBIOS ?La méthode EBIOS (dont la dernière version datait de 2010) était très pertinente dans son contexte. Face aux évolutions du numérique de ces dernières années, elle s’est modernisée pour prendre en compte l’environnement actuel (systèmes interconnectés, prolifération des menaces, état de l’art et règlementation plus mature, connaissance de la menace), et permettre aux dirigeants d’appréhender correctement les enjeux majeurs de la sécurité du numérique (de nature stratégique, financière, juridique, d’image, de ressources humaines).FAQ

Questions sur les ateliers d’EBIOS RM

TitreTagsContenu
Avez-vous des exemples de niveaux de « motivation », pour décrire les sources de risque à l’atelier 2 ?, Quelques éléments de réponses : Un spécialiste en analyse de la menace numérique peut contribuer à l’étude pour aider à apprécier cette motivation. Il s’appuie sur l’expérience et la connaissance de la menace dans le secteur considéré. Des bases de connaissance sont en cours de développement pour aider à l’appréciation des niveaux de motivation. Les niveaux de pertinence des couples SR/OV, et les niveaux de motivation en particulier, doivent être évalués comme des valeurs relatives permettant de hiérarchiser les couples selon leur intérêt pour la suite de l’étude.
Dans la fiche méthode n° 8 relative à l’évaluation de la vraisemblance des scénarios opérationnels dans l’atelier 4, que signifient les chiffres en italique et entre parenthèses dans les graphes d’attaque ?, Dans les graphes d’attaque présentés, la valeur en gras correspond à la probabilité ou difficulté technique de l’action élémentaire concernée du point de vue de l’attaquant. Par exemple dans le premier paragraphe « Pr 4 » pour l’action élémentaire « Intrusion via mail de hameçonnage sur service RH » signifie que l’on considère que cette action d’hameçonnage a une probabilité quasi-certaine de réussir pour l’attaquant compte-tenu par exemple du très faible niveau de sensibilisation des personnes visées. La valeur entre parenthèses et en italique correspond à l’indice cumulé de probabilité ou de difficulté technique de la phase concernée du mode opératoire. Elle est calculée en appliquant les algorithmes proposés. La probabilité cumulée intermédiaire à une phase donnée du mode opératoire correspond donc à la probabilité que l’attaquant ait réussi toutes les actions élémentaires en amont y compris l’action élémentaire concernée. Par exemple, « (3) » au niveau de l’action élémentaire « Exploitation maliciel de collecte et d’exfiltration » signifie que l’on estime que l’attaquant a de très fortes chances (probabilité très élevée) d’arriver à ce stade du mode opératoire concerné, compte-tenu des probabilités de succès des actions élémentaires précédentes et de celle concernée.
Dans l’atelier 3 du guide, on évalue le niveau de menace de chaque partie prenante de l’écosystème. Dans la représentation radar qui est proposée, que représentent la taille et la couleur des ronds et comment sont-elles obtenues ?, La Fiche méthode n°5 décrit la méthode d’évaluation du niveau de menace d’une partie prenante et propose une métrique. Quatre critères d’évaluation sont pris en compte : deux qui reflètent le degré d’exposition de l’objet de l’étude vis-à-vis de la partie prenante (dépendance et pénétration) et deux qui concernent le niveau de fiabilité cyber de la partie prenante (maturité et confiance). Dans la cartographie radar, vous pouvez simplement positionner chaque partie prenante selon son niveau de menace. Mais vous pouvez également affiner la représentation comme proposé dans la cartographie page 45 : la taille des ronds reflète le degré d’exposition relatif à la partie prenante (produit dépendance x pénétration) et la couleur des ronds traduit la fiabilité cyber (produit maturité x confiance).
Dans l’atelier 2 du guide, comment est évaluée la pertinence des couples « source de risque (SR) / objectif visé (OV) » dans le tableau page 37 ?, Dans l’exemple qui est donné, on a supposé que l’on dispose d’informations permettant d’évaluer la motivation, les ressources et l’activité de la source de risque. Une échelle de cotation à trois niveaux est utilisée, représentée par des « + ». La pertinence globale d’un couple SR/OV est estimée selon la métrique suivante : pertinence faible si la somme « motivation+ressources+activité » est égale à 3 ou 4 ; pertinence moyenne si la somme est égale à 5, 6 ou 7 ; pertinence élevée si le score est 8 ou 9.
Comment utiliser des échelles d’impacts hétérogènes ?, Réponse d’un membre du Club EBIOS : « Attention aux échelles utilisant plusieurs types d’impacts » Rappel du guide EBIOS : « Cette action [élaboration d’une échelle] consiste à créer une échelle décrivant tous les niveaux possibles des impacts. Tout comme les échelles de besoins, une échelle de niveaux d’impacts est généralement ordinale (les objets sont classés par ordre de grandeur, les nombres indiquent des rangs et non des quantités) et composée de plusieurs niveaux permettant de classer l’ensemble des risques« .Ainsi, il est habituel de voir des utilisateurs de la méthode construire plusieurs échelles ordinales selon la nature de l’impact (financier, juridique, sur les opérations, sur la vie privée…) pour estimer la gravité des évènements redoutés. La construction est alors faite en graduant individuellement chaque type d’impact, sans se préoccuper de la cohérence entre les niveaux.Or, seul un résultat global est utilisé dans les cartographies de risques pour évaluer la gravité des uns par rapport aux autres. L’information sur la nature des impacts est perdue. Pour éviter de fausses conclusions sur l’importance des risques, il faut donc veiller à vérifier la cohérence transverse de la gradation des impacts dans les échelles. Par exemple, vérifier que l’estimation d’un impact de niveau 3 sur les …
Le critère de traçabilité est-il utile ?, Réponse d’un membre du Club EBIOS : « deux solutions » Plusieurs propositions sont possibles pour démontrer que les problématiques associées à la traçabilité sont traitées dans une étude EBIOS sans pour autant considérer la traçabilité comme un critère : une solution élégante mais un peu théorique : on considère l’information « traces » (ou « preuve », ou « log ») comme un bien essentiel, et la traçabilité devient l’intégrité et la disponibilité de ce bien essentiel. Cela revient à limiter l’étude aux traces qui induisent un événement redouté et à mettre hors périmètre des biens essentiels les autres, pour éviter les colonnes remplies de « 0 » ; une solution appliquée : la traçabilité n’est pas un critère, mais une mesure de sécurité. Pouvoir tracer une action relève d’une mesure à la fois de dissuasion mais aussi de récupération, et considérer la traçabilité comme tel permet de se limiter à l’étude des événements (vraiment) redoutés : on admet que ne pas pouvoir tracer n’est pas réellement l’événement redouté, mais permet de réduire le risque associé. Réponse d’un autre membre : « la traçabilité n’est pas un critère de sécurité » Les critères de sécurité servent à apprécier les impacts en cas d’atteinte de chacun d’eux, et en particulier à étudier …