Que peut-on considérer comme valeurs métiers (ex-biens essentiels) ?

Question initiale :
Dans les documents détaillant la méthode, on qualifie les « biens essentiels » de « patrimoine informationnel ». En effet, dans l’étude de cas @rchimed, ne figurent dans le tableau des biens essentiels que des informations telles que le contenu d’un devis, d’une page web, d’un plan, etc.
Mes interrogations sont les suivantes:
Or, dans la nouvelle formation, nous avions qualifié de biens essentiels les activités essentielles, qu’elles reposent ou non sur une source d’information.
– Est-ce une erreur ?
– Quelle est la différence entre biens essentiels et activités essentiels ?
– Comment faire ressortir les biens essentiels d’une prestation effectuée par un administrateur Système, un commercial, etc. ne reposant pas sur une base d’information ?
– En outre, est-ce correct si dans mon tableau de biens essentiels ne figurent que des services et ou activités ?

Quelques éléments de réponse :
Dans EBIOS RM, le terme de biens essentiels a été remplacé par « valeurs métiers », pour désigner le même concept : Valeur métier = « composante importante pour l’organisation dans l’accomplissement de sa mission. Cela peut être un service, une fonction support, une étape dans un projet et toute information ou savoir-faire associé ».
– Non, les biens essentiels ne sont pas limités au patrimoine informationnel. Il les faut voir comme quelque chose d’immatériel, qui a de la valeur pour le métier considéré – celui qui prend la responsabilité de sa protection.
– Selon la modélisation que l’on utilise, des activités sont en général liées à un ou plusieurs métiers et donc peuvent regrouper un ensemble de biens essentiels comme des processus, des services, des fonctions et/ou des informations. Le niveau d’abstraction (de modélisation) dépend de la finalité de l’étude et de la complexité du périmètre à étudier. Ce qui est important c’est qu’à partir d’un bien essentiel, le métier (la MOA) exprime un besoin de sécurité.
– Un bien essentiel peut être le service rendu dans le cadre d’une prestation : gérer des accès, patcher les systèmes, établir une proposition, gérer une base commerciale, etc. Attention néanmoins, le bien essentiel doit être une valeur métier pour la MOA de l’étude. Donc, gérer des accès est une valeur si la MOA est la DSI. Mais ce n’est pas une valeur métier pour une analyse conduite par la direction commerciale, par exemple.
– Oui on peut avoir uniquement des services ou activités. Mais attention d’être complet pour le périmètre considéré dans l’étude. Donc, il faut vérifier que les services et activités que vous avez choisis couvrent bien tout le cycle de vie – placé sous la responsabilité du métier – des informations essentielles.

Stéphane PAUL (THALES), Adaptation de la formation à EBIOS RM

Voir la publication

Thales retravaille en profondeur le kit formation à EBIOS – Risk Manager de l’ANSSI pour des besoins de formation interne. Le résultat sera mis à disposition du Club dans les semaines à venir.

Sylvain CONCHON (CONIX), Toi aussi, participe au contenu !

Voir la publication

Quelques thématiques sont survolées, dans le but de créer des vocations pour participer au contenu du Club EBIOS : quels apports d’EBIOS Risk Manager pour ces thématiques ?

Jean CAIRE (RATP), La menace : Une et Trine

Voir la publication

GT 58 : cahier des charges pour les bases de connaissance

Jingxuan MA (EDF R&D), REX d’un outil interne EBIOS 2010 dédié aux domaines industriels et vision sur son évolution vers EBIOS RM

Voir la publication

Présentation de CYPH-R, un outil d’analyse de risques cybersécurité interne EDF dédié aux besoins industriels. La version 1 est opérationnelle depuis 2018 et conforme avec EBIOS 2010, son évolution vers la conformité avec EBIOS RM est en cours.

EBIOS est il conforme à l’ISO 27005 ?

La norme ISO/IEC 27005 décrit les principes de la gestion des risques dans le cadre de la mise en place d’un système de management de la sécurité de l’information en définissant notamment un processus de gestion des risques dans une logique d’amélioration continue.
La méthode EBIOS Risk Manager répond à l’ensemble de ces principes en proposant une méthode. Cette méthode présente 2 approches d’identification des risques : par conformité (pour les risques non délibérés) et par scénarios (pour les risques délibérés).
Ainsi, la détermination du plan de traitement des risques et son suivi (PACS) sont obtenus en respect de la norme.

Les mesures peuvent-elles modifier la gravité ?

Des mesures peuvent bien entendu avoir un effet sur la gravité des risques dès lors qu’elles réduisent le préjudice lié à l’atteinte de la valeur métier concernée. Par exemple, des mesures permettent la mise en place d’un fonctionnement dégradé.
Les mesures sont prises en compte et décidées à plusieurs étapes de méthode. Un événement redouté peut avoir une gravité réduite parce que des mesures existantes sont considérées dans le socle de sécurité. La réduction de la gravité d’un scénario stratégique (et par induction d’un scénario opérationnel) peut être évaluée lors de l’atelier 3 par l’application de mesures de sécurité sur l’écosystème – Cette réduction à une gravité résiduelle est mentionnée dans le guide EBIOS Risk Manager dans le tableau cité en exemple page 76.
Il est vrai que dans une stratégie se limitant à renforcer la sécurité en rendant la tâche plus difficile pour l’attaquant, elle n’aura pas d’impact sur la gravité des risques. Ce qui ne sera pas le cas si la stratégie conduit également à limiter les préjudices des risques ou à réduire le niveau de menace intrinsèque.

Un socle pour la protection de la vie privée

Le document suivant peut être utilisé lors de la détermination du socle de l’atelier 1 d’EBIOS Risk Manager dans le cas où l’objet de l’étude est un traitement de données à caractère personnel :


Il constitue une déclaration d’applicabilité relative aux principes fondamentaux liés à la protection de la vie privée.

La suite de l’étude permet de satisfaire les obligations du RGPD en matière de sécurité (cf. art. 32) si vous appréciez les impacts sur les personnes concernées en plus de ceux sur l’organisme.
Vous pouvez ainsi utiliser EBIOS Risk Manager pour mener un PIA (cf. art. 35).

Sylvain CONCHON (CONIX) et Jean CAIRE (RATP), Maîtriser la complexité des kill chains : modèles appliqués

Voir la publication

Les kill chains (atelier 4 d’EBIOS RM : scénarios opérationnels), tout le monde en parle mais personne n’en fait : une proposition pour utiliser les bases de connaissance existantes, notamment CAPEC, pour automatiser la réalisation des kill chains.

Jean OLIVE (CGI), Application d’une méthode d’intégration des projets au SOC

Voir la présentation

Présentation d’une méthode permettant d’élaborer des scénarios de surveillance destinés à un SIEM pour intégrer un projet à fort enjeux de sécurité au SOC. Elle s’appuie sur 3 approches complémentaires : l’utilisation d’un référentiel générique de scénarios habituellement rencontrés, l’application de la démarche EBIOS RM pour découvrir les indicateurs de compromission et les comportements anormaux, l’utilisation d’un framework spécifique, construit à partir des travaux de l’ETSI, pour compléter les scénarios et vérifier leur exhaustivité.

Philippe COTELLE (AIRBUS) et Olivier ALLAIRE (LINEON), The new strategic value creation – Intangible Assets

Voir la publication

Le chief security officer d’Airbus et l’ANSSI financent depuis 2015 un programme de recherche à l’IRT-SystemX sur la quantification du risque cyber et son transfert vers l’assurance. Le risque cyber est désormais un risque d’entreprise qui doit être apprécié financièrement et le transfert vers l’assurance est une des options à la disposition des organisation pour financer ce risque. L’enjeu de l’appréciation financière des biens intangibles et de la valorisation du patrimoine informationnel est un challenge auquel l’année 3 de la recherche au sein de l’IRT-SystemX  apporte des réponses.

Concrètement, qui déroule la méthode ? RSSI ou Risk manager ?

Question initiale : « Le périmètre d’activité du Risk Manager est bien plus large que le périmètre des risques numériques, et d’autre part, le management des risques numériques est sous la responsabilité du RSSI, qui en fournit une vision au Risk Manager pour consolidation dans la cartographie des risques majeurs de l’organisation.
Au travers des FAQ publiées sur le site de l’ANSSI, il est indiqué que « Les publics intéressés par cette méthode sont les RSSI et les risk managers ». Concrètement qui déroule la méthode ?
 »

Quelques éléments de réponse :
1. La méthode est bien une démarche de gestion des risques. L’objet de la méthode peut être d’ailleurs de « mettre en place ou renforcer un processus de management du risque numérique au sein d’une organisation », ce qui est notamment illustré par les cycles opérationnels et stratégiques proposés dans la méthode.
2. Elle n’est pas déroulée par un acteur unique mais est conduite au travers d’ateliers réunissant les points de vue de plusieurs acteurs (Directions, métiers, RSSI, DSI, spécialiste en analyse de la menace numérique, Architectes fonctionnels, spécialiste en cybersécurité). Le Risk Manager peut être l’un des acteurs contribuant à la conduite de la démarche notamment en fournissant des éléments de décision de traitement des risques.
3. Quelque soit la méthode, l’un des points forts de cette nouvelle version est la simplification pour la rendre accessible à un plus grands nombre d’acteurs et notamment des non spécialistes de la SSI, dont des Risk Managers.
4. La méthode EBIOS Risk Manager est limitée aux risques numériques. EBIOS Générique (méthodologie du Club EBIOS) étend EBIOS RM pour se décliner dans tous les domaines en respect des exigences de la norme ISO 31000.

Anne-Catherine VIE (ALL4Tec), EBIOS Risk Manager, de la méthode à la pratique

Voir la présentation

Suite à l’appel à manifestation d’intérêt en août 2018 et la présentation de la méthode EBIOS Risk Manager, l’ANSSI a présenté son processus de labellisation permettant de proposer à termes des outils avec le label « EBIOS Risk Manager » conforme à la méthode. ALL4TEC est en cours de labellisation pour son outil Agile Risk Manager qui permet de mettre en pratique la méthode de l’ANSSI.

Christophe FORET et Denis ROYER (C-RISK), Présentation du standard FAIR

Voir la présentation

Le modèle FAIR permet de quantifier les risques en termes financiers. FAIR définit les composantes du risque et quantifie les variables correspondantes en utilisant les statistiques et probabilités pour gérer l’incertitude des données. FAIR est utilisé par 30% des entreprises du « Fortune 1000 » (source www.FairInstitute.org).

Sylvain CONCHON (CONIX) et Jean CAIRE (RATP), Préalables à la constitution de KDB pour élaborer les kill chains

Voir la présentation

Les kill chains (atelier 4 d’EBIOS RM : scénarios opérationnels), tout le monde en parle mais personne n’en fait : une réflexion subversive sur les méthodes et les moyens pour élaborer des kill chains.

Existe-t-il une traduction d’EBIOS Risk Manager en anglais ?

La traduction du guide d’EBIOS Risk Manager et de son supplément sortira fin septembre 2019.

La précédente version n’a jamais fait l’objet d’une traduction publiée.

Il existe aussi l’EBIOS générique, qui sert à créer des méthodes sectorielles, et qui est traduite.

Rémi KOUBY et Jean OLIVE (CGI), Présentation Smart Risks

Voir la présentation

Smart Risks est un outil d’aide à la réalisation d’analyses de risques EBIOS et à la capitalisation des résultats. Au lieu de partir d’une base de connaissance, Smart Risks construit automatiquement un référentiel composé de la compilation de l’ensemble des résultats et offre une interface de recherche puissante et intuitive pour réutiliser ce dont on a besoin.

Stéphane PAUL (THALES), RETEX EBIOS – Risk Manager sur un cas IoT

Voir la présentation

Avec EBIOS – Risk Manager, l’ANSSI a proposé une approche agile à l’évaluation de risques de cybersécurité, soutenu par une organisation en ateliers (séances de remue-méninges). Pour structurer ces ateliers, nous avons créé une série de posters en taille A0 pour capturer en séance les informations avec des post-its (approche de type Obeya). Ces posters ont été affinés à travers 3 études de cas: In-Flight Entertainment (IFE), drones autonomes et dernièrement, l’introduction de l’IOT dans un SCADA ferroviaire.

Yaël COHEN HADRIA (MARVELL AVOCATS PARIS), Point juridique sur le RGPD – Risque Sécurité

Voir la présentation

Le RGPD prévoit une obligation de sécurité en son article 32. Cette obligation pose clairement une obligations de mesure du risque au regard des connaissances à date de la mise en place des mesures. Toutefois les décisions de la Cnil semblent omettre ce point et sanctionner le défaut de sécurité au sens d’une obligation de résultat. Dès lors peut se poser la question des conséquences de ces décisions sur la méthode EBIOS d’évaluation des risques et de l’accentuation de la vraisemblance de certains risques lorsqu’une société est dans le viseur de la CNIL.

Avez-vous des exemples de niveaux de « motivation », pour décrire les sources de risque à l’atelier 2 ?

Quelques éléments de réponses :

Les menaces accidentelles, environnementales et les risques liés à une non-conformité d’un référentiel règlementaire (ex : II901) ne peuvent-ils pas être traités par la méthode EBIOS RM ?

EBIOS RM est une méthode de gestion des risques de cybersécurité, et non de gestion des risques juridiques, environnementaux ou autres.
En outre, l’approche par scénarios d’EBIOS RM est ciblée sur les menaces intentionnelles.
Toutefois, les risques accidentels et environnementaux sont traités a priori via une approche par conformité au sein du socle de sécurité.

A noter : l’approche générique d’EBIOS (https://club-ebios.org/site/ebios-lapproche-generique/) couvre tous les types de risques et permet de créer des méthodes sectorielles.

Comment traiter les risques (Atelier 5) liés à une non-conformité règlementaire sans passer par les ateliers 2, 3 et 4 qui permettent justement d’identifier et d’apprécier les dits risques ?

L’objectif principal de la méthode EBIOS RM est de se concentrer sur l’analyse des risques ciblés. Considérant que les éléments faisant partie des référentiels de sécurité sont à appliquer (identifiés comme le socle de sécurité en atelier 1), la méthode EBIOS RM n’a pas pour objet de justifier ou d’argumenter le besoin ou les priorités de mettre en place ces mesures.
L’atelier 5, consacré au traitement des risques, sera l’occasion d’inscrire les mesures non mises à œuvre dans un plan d’amélioration continue.
A noter

EBIOS, c’est quoi ?

EBIOS – Expression des Besoins et Identification des Objectifs de Sécurité – est une méthodologie universelle de gestion des risques qui permet de créer des méthodes sectorielles, publiée par le Club EBIOS (voir la méthodologie).

EBIOS est une marque déposée du Secrétariat général de la défense et de la sécurité nationale (SGDSN).

EBIOS Risk Manager (ou EBIOS RM) est la méthode d’appréciation et de traitement des risques de cybersécurité publiée par l’Agence nationale de la sécurité des systèmes d’information (ANSSI).

Comment faire une FEROS avec EBIOS Risk Manager ?

La fiche d’expression rationnelle des objectifs de sécurité (FEROS) est un document largement utilisé dans les programmes et projets d’armement comme point de départ d’une démarche d’homologation ou de certification par exemple. Les sommaires types proposés sur le site institutionnel de l’ANSSI, dont celui de la FEROS (https://www.ssi.gouv.fr/uploads/2014/06/Lhomologation-en-neuf-etapes-simples-Document-types.pdf), feront l’objet d’une mise à jour avant l’été 2019 afin de répercuter les évolutions de la méthode EBIOS.

La FEROS est principalement le reflet des résultats de l’analyse de risque, elle est donc structurée comme telle. Par conséquent, vous pouvez adapter votre template en reprenant les grandes séquences d’EBIOS Risk Manager. Par exemple, si l’on considère le template proposé par l’ANSSI (cf. lien ci-dessus) :

Pour le §8, nous vous recommandons fortement de structurer votre stratégie et vos mesures selon le cadre de référence suivant : protection, défense, résilience, gouvernance (voir fiche méthode n°9).

Ci-après les ressources utiles :

Comment prendre en compte le non intentionnel quand on est loin d’avoir adopté les bonnes pratiques d’ISO 27001 ?

Vous avez bien perçu l’articulation entre l’atelier 1 et les ateliers 2-3-4 d’appréciation des risques.

Un des objectifs de l’atelier 1 est d’identifier ou de bâtir un socle de sécurité à la fois basé sur l’état de l’art, les bonnes pratiques (dont la PSSI existante), et la réglementation. Les ateliers d’appréciation des risques vont ensuite « malmener » ce socle au travers de scénarios d’attaques représentatifs de la menace à laquelle vous êtes réellement exposé. L’appréciation des risques peut aboutir à la nécessité de durcir le socle grâce à des mesures complémentaires ad hoc. Elle peut également permettre de justifier des écarts de conformité ou des vulnérabilités. L’ISO 27001 constitue un cadre intéressant pour bâtir un socle de sécurité cohérent. Par ailleurs, la prise de risque peut dans certains cas être simplement acceptée en l’état ou refusée le temps de revenir à une situation plus saine, voire transférée vers une assurance ou un tiers.
L’appréciation des risques dans EBIOS RM est par essence intentionnelle. Nous considérons que les risques accidentels et environnementaux sont traités a priori dans l’atelier 1 dans le cadre du socle de sécurité.

Dès lors, deux réponses sont possibles.

La première consiste à distinguer les sujets. L’évaluation de la conformité aux bonnes pratiques de l’annexe de l’ISO 27001 vous permet de mettre les écarts en évidence et de déterminer les actions à entreprendre pour vous en rapprocher. Vous choisirez ensuite si votre étude des risques doit être basée sur l’état actuel de conformité aux bonnes pratiques ou sur l’état visé. À l’issue, vous aurez non seulement un plan d’action pour améliorer votre conformité et votre plan d’action pour traiter les risques appréciés avec la méthode.
Pour rappel, ces bonnes pratiques ne constituent pas le cœur d’ISO 27001, mais permettent juste de comparer les mesures choisies dans votre environnement à des bonnes pratiques.

La deuxième est applicable si vous souhaiteriez contextualiser ces risques afin de mettre en lumière de quelle façon les écarts concernés à l’ISO sont préjudiciables et justifier ainsi auprès de votre direction la nécessité d’y remédier.
Si vous souhaitez réaliser une appréciation des risques non intentionnels dans le cadre d’une EBIOS RM, vous pouvez procéder comme suit, mais dans tous les cas la phase d’appréciation des risques devra se concentrer sur les risques les plus extrêmes. Sans quoi, l’analyse serait trop lourde et inexploitable pour un décideur. Celui-ci doit pouvoir poser une décision sur un jeu de scénarios concret et limité, représentatif des risques les plus critiques.

Une façon alternative (mais non exclusive de celle présentée ci-dessus) de « valoriser » les problèmes de nature non intentionnelle est de voir de quelle façon ils peuvent bénéficier aux attaquants dans vos scénarios de risque intentionnels. Par exemple, un attaquant peut arriver à atteindre son objectif visé en raison d’un écart de sécurité environnementale qu’il exploitera volontairement ou opportunément. La vraisemblance d’une attaque peut être accrue à cause d’un manquement à une règle ISO 27001. Dans cette approche, vos écarts non intentionnels sont intégrés dans des scénarios de risques intentionnels en tant que facteurs aggravants qui faciliteront l’attaque. Cette approche peut se révéler très percutante car elle montre de quelle façon les faiblesses environnementales du socle de sécurité peuvent rendre une attaque intentionnelle bien plus vraisemblable ou aggraver fortement les conséquences.

Quelles sont les nouveautés apportées par EBIOS Risk Manager par rapport à la version 2010 ?

En matière de gestion des risques ou de cybersécurité, la méthode EBIOS Risk Manager est une méthode de référence développée par l’ANSSI et soutenue par le Club EBIOS. Elle permet d’apprécier et de traiter les risques numériques, conformément à la norme ISO/IEC 27005, dont les valeurs reposent sur les aspects concret, efficient, convaincant et collaboratif.

Face au bouleversement numérique, la méthode EBIOS nécessitait d’évoluer pour prendre en compte l’environnement numérique actuel (systèmes interconnectés, prolifération des menaces, état de l’art et règlementation plus mature, connaissance de la menace). La version de 2010 était très pertinente dans son contexte mais proposait une analyse séquencée, système par système. Il fallait attendre la fin de l’analyse complète pour pouvoir obtenir des résultats. La nouvelle version EBIOS Risk Manager propose une méthode d’analyse plus agile de l’ensemble des systèmes, dans leur environnement global, avec des résultats visibles étape par étape. Ce procédé d’analyse offre un aperçu plus réaliste et qualitatif. On estime qu’après appropriation, la mise en œuvre de cette démarche permet de gagner 30% de temps en comparaison avec la version de 2010. Les analyses réalisées avec cette dernière peuvent être intégrées au sein de cette nouvelle version puisque certaines mesures de traitement ont déjà été opérées. Ces mesures peuvent facilement contribuer à l’atelier 1 de la méthode EBIOS Risk Manager, lors de la définition du socle de sécurité.

EBIOS Risk Manager propose une analyse plus agile et ciblée. Elle est ancrée dans la réalité de la menace cyber et de l’environnement des systèmes concernés, et permet d’obtenir des résultats au fil de l’analyse, par ateliers exécutés. Elle prend en compte l’ensemble de l’écosystème de l’objet de l’étude.
Les analyses de risques réalisées avec la version précédente sont évidemment réutilisables dans la version actuelle. Grâce aux analyses de risques déjà réalisées, les mesures destinées à traiter les risques ont été identifiées et mises en place. Ces mesures pourront être directement intégrées au cours de l’atelier 1 de la méthode EBIOS, lors de la définition du socle de sécurité.
En effet, l’étape de définition du socle de sécurité permet d’identifier l’ensemble des bonnes pratiques, des mesures règlementaires et normatives qui s’appliquent à l’objet de l’étude, mais aussi des mesures spécifiques déjà mises en place sur le périmètre concerné.

La version 2010 n’est plus maintenue à partir de la sortie de la nouvelle version 2018.

Ce qui se trouve sur le site de l’ANSSI constitue-t-il une version complète de la nouvelle méthode ?

Il s’agit de la base officielle de l’ANSSI. Le Club et l’ANSSI poursuivent les travaux dans le cadre des groupes de travail du Club EBIOS afin de fournir plus de contenus sur son portail (bases de connaissances, techniques spécifiques, études de cas, etc.).

À quoi la « pyramide » du management du risque sert-elle ?

La pyramide, qui place la réglementation et les mesures de base sous la gestion des risques, a pour but d’expliquer qu’EBIOS Risk Manager vise l’efficacité plutôt que l’exhaustivité : la méthode gère les risques qui peuvent encore survenir après application de la réglementation et des pratiques de base. Le reste de la méthode se concentre donc uniquement sur cette partie.

Comment éviter l’explosion combinatoire d’une étude ?

Réponse d’un membre du Club EBIOS : « on peut agir sur plusieurs éléments pour que le résultat corresponde aux attentes »

La réalisation d’une étude est parfois critiquée en raison de l’explosion combinatoire des éléments à étudier. C’est pourquoi il convient, avant ou au début de toute étude, de se demander ce qu’est capable d’accepter le commanditaire en termes de lisibilité.

Certains souhaitent avoir autant de détails que nécessaire pour traiter les risques (et/ou justifier les mesures) de manière fine.

Dans ce cas, il est possible de traiter toute la combinatoire d’événements et de scénarios de menaces.

Si tel n’est pas le cas, voici quelques astuces qui vous permettront de diminuer l’entropie de l’analyse :

Dans la fiche méthode n° 8 relative à l’évaluation de la vraisemblance des scénarios opérationnels dans l’atelier 4, que signifient les chiffres en italique et entre parenthèses dans les graphes d’attaque ?

Dans les graphes d’attaque présentés, la valeur en gras correspond à la probabilité ou difficulté technique de l’action élémentaire concernée du point de vue de l’attaquant. Par exemple dans le premier paragraphe « Pr 4 » pour l’action élémentaire « Intrusion via mail de hameçonnage sur service RH » signifie que l’on considère que cette action d’hameçonnage a une probabilité quasi-certaine de réussir pour l’attaquant compte-tenu par exemple du très faible niveau de sensibilisation des personnes visées. La valeur entre parenthèses et en italique correspond à l’indice cumulé de probabilité ou de difficulté technique de la phase concernée du mode opératoire. Elle est calculée en appliquant les algorithmes proposés. La probabilité cumulée intermédiaire à une phase donnée du mode opératoire correspond donc à la probabilité que l’attaquant ait réussi toutes les actions élémentaires en amont y compris l’action élémentaire concernée. Par exemple, « (3) » au niveau de l’action élémentaire « Exploitation maliciel de collecte et d’exfiltration » signifie que l’on estime que l’attaquant a de très fortes chances (probabilité très élevée) d’arriver à ce stade du mode opératoire concerné, compte-tenu des probabilités de succès des actions élémentaires précédentes et de celle concernée.

À quoi servent les fiches méthodes qui accompagnent le guide EBIOS RM ?

En complément du guide EBIOS Risk Manager, des « fiches méthodes » ont été créées pour vous aider à réaliser chaque atelier décrit dans le guide. Elles contiennent notamment des bases de connaissances qui ont vocation à faciliter l’animation des ateliers d’appréciation des risques et l’identification des scénarios. Conçues comme des outils d’accompagnement à vocation pédagogique, ces fiches méthodes seront régulièrement enrichies et mises à jour.

Dans l’atelier 3 du guide, on évalue le niveau de menace de chaque partie prenante de l’écosystème. Dans la représentation radar qui est proposée, que représentent la taille et la couleur des ronds et comment sont-elles obtenues ?

La Fiche méthode n°5 décrit la méthode d’évaluation du niveau de menace d’une partie prenante et propose une métrique. Quatre critères d’évaluation sont pris en compte : deux qui reflètent le degré d’exposition de l’objet de l’étude vis-à-vis de la partie prenante (dépendance et pénétration) et deux qui concernent le niveau de fiabilité cyber de la partie prenante (maturité et confiance).
Dans la cartographie radar, vous pouvez simplement positionner chaque partie prenante selon son niveau de menace. Mais vous pouvez également affiner la représentation comme proposé dans la cartographie page 45 : la taille des ronds reflète le degré d’exposition relatif à la partie prenante (produit dépendance x pénétration) et la couleur des ronds traduit la fiabilité cyber (produit maturité x confiance).

Dans l’atelier 2 du guide, comment est évaluée la pertinence des couples « source de risque (SR) / objectif visé (OV) » dans le tableau page 37 ?

Dans l’exemple qui est donné, on a supposé que l’on dispose d’informations permettant d’évaluer la motivation, les ressources et l’activité de la source de risque. Une échelle de cotation à trois niveaux est utilisée, représentée par des « + ». La pertinence globale d’un couple SR/OV est estimée selon la métrique suivante : pertinence faible si la somme « motivation+ressources+activité » est égale à 3 ou 4 ; pertinence moyenne si la somme est égale à 5, 6 ou 7 ; pertinence élevée si le score est 8 ou 9.

Quelle date pour la disponibilité d’un outil compatible avec la nouvelle version d’EBIOS RM ?

Suite à l’appel à manifestation d’intérêt lancé l’été 2018 par l’ANSSI, plusieurs éditeurs ont répondu favorablement et travaillent activement au développement de solutions logicielles pour outiller la méthode EBIOS RM.
Le lancement d’un label qui atteste de la conformité des solutions logicielles aux principes et aux concepts de la méthode a eu lieu début 2019.
La liste des solutions labellisées est disponible sur le site de l’ANSSI.

Qu’est-ce que le Label EBIOS Risk Manager ?

Afin d’outiller cette nouvelle méthode, l’ANSSI souhaite s’appuyer sur des partenaires externes, éditeurs de logiciel. La mise à disposition d’une ou plusieurs solutions logicielles conformes à l’esprit de la méthode apparaît comme un complément attendu qui facilitera son adoption par le plus grand nombre.
Dans cette logique, l’ANSSI travaille à la création et à l’attribution d’un label de conformité EBIOS RM, accessible à tout éditeur souhaitant développer une solution logicielle conforme aux principes et aux concepts de la méthode EBIOS « Risk Manager ».
Les éditeurs sont dès à présent invités à se rapprocher de l’ANSSI (contact : ebios[at]ssi.gouv.fr) pour participer à l’expérimentation de la labellisation avant son lancement et disposer du cahier des charges dans le cadre d’un accord de confidentialité.

Voir la page du label sur le site de l’ANSSI.

L’outil développé en open source par l’ANSSI pour la version EBIOS 2010 est-il définitivement inaccessible ?

L’outil développé en open source par l’ANSSI pour la méthode EBIOS 2010 a été retiré du site internet de l’ANSSI car il était devenu obsolète. Il ne sera plus maintenu par l’ANSSI.

J’ai déjà réalisé des analyses de risques avec EBIOS dans sa version précédente (2010). Comment réintégrer le travail déjà effectué ?

Les analyses de risques réalisées avec la version précédente sont évidemment réutilisables dans la version actuelle. Grâce aux analyses de risques déjà réalisées, vous avez identifié et mis en place un certain nombre de mesures destinées à traiter les risques. Ces mesures pourront être directement intégrées au cours de l’atelier 1 de la méthode EBIOS Risk Manager, lors de la définition du socle de sécurité.
En effet, l’étape de définition du socle de sécurité permet d’identifier l’ensemble des bonnes pratiques, des mesures règlementaires et normatives qui s’appliquent à l’objet de l’étude, mais aussi les mesures spécifiques déjà en place sur votre périmètre.

Pour une TPE-PME, qui n’a pas de personne dédiée au management des risques, quelles sont les personnes qui doivent être autour de la table dans les ateliers ?

A minima, il est fortement conseillé d’impliquer dans les ateliers un représentant du métier ou de la direction et un responsable des systèmes d’information. Néanmoins, la cybersécurité étant un domaine particulièrement technique, nous conseillons aux PME de se faire accompagner par un prestataire maîtrisant les enjeux et la méthode. Pour cela le Club EBIOS peut aider à prendre en main la méthode et à identifier des prestataires.

EBIOS RM est-elle adaptée pour démontrer une conformité réglementaire ?

Réponse d’un membre du Club
La méthode EBIOS Risk Manager répond tout à fait à ce besoin. Le premier atelier permet de faire l’état des lieux de la conformité à une ou plusieurs règlementations en identifiant les éventuels écarts qui sont envisagés et les mesures qui sont prévues dans le socle de sécurité pour compenser ces écarts. Puis les phases d’appréciation et de traitement des risques (ateliers 2, 3, 4 et 5) permettent de consolider le socle de sécurité pour in fine attester de la conformité réglementaire, en précisant les écarts acceptés grâce à l’ensemble des mesures de sécurité qui permettent de diminuer suffisamment la criticité des risques.

Une réaction extérieure
J’essaye de comprendre de quelle manière EBIOS Risk Manager pourrait être utilisée afin d’évaluer notre conformité vis-à-vis de plusieurs référentiels ANSSI. Je rencontre toutefois un problème d’interprétation pour ce cas d’utilisation, intitulé « Être en conformité avec les référentiels de sécurité numérique », page 14 du guide. Plus particulièrement dans le tableau de cette page où ce process ne fait intervenir que les ateliers 1 et 5. Cette ligne du tableau semble contredire la réponse ci-dessus. J’ai toutefois une remarque : en général les documents de conformité (hygiène, PSSIE, RGS) sont rédigés en dehors de tout contexte de menace /scénarios de risque précis. Du coup, quel que soit le cheminement au travers des ateliers, il semble difficile de réaliser les étapes de l’atelier 5 qui nécessitent de tels scénarios de risque.

Réponse d’un autre membre du Club
1. Le tableau page 14 du Guide est une aide à l’application de la méthode. Les ateliers identifiés doivent être considérés comme les principaux ateliers visant la finalité recherchée.
2. Il n’est pas nécessaire d’identifier des risques liés aux référentiels considérant que les exigences n’ont pas besoin d’être justifiées par des risques à couvrir. Elles sont des postulats considérés dans l’étude.
3. Les documents de conformité à prendre en compte dans l’atelier 1 doivent être une liste d’exigences applicables servant de référence à l’analyse de conformité. Le contexte peut être pris en compte dans le cadre du référentiel mais ne doit pas dépendre de risques non identifiés. L’atelier 5 peut servir à rédiger le PACS à partir des écarts identifiés en atelier 1, et à identifier les risques résiduels pour les exigences non satisfaites, sans pour autant réaliser une approche par scénario. L’approche par scénario peut compléter l’analyse.

Réponse d’un autre membre du Club
Il faut distinguer :
1. la pure gestion des risques de cybersécurité avec EBIOS Risk Manager, qui commence par évaluer l’application de ce qu’on s’est engagé à mettre en œuvre en matière de sécurité (ex : PSSI ou hygiène), et là, soit on s’arrête là tant que le socle n’est pas mis en œuvre, soit on note les écarts et cela alimente le plan d’action, pour ensuite mener le reste de l’étude comme si c’était mis en place afin de se concentrer sur ce qui dépasse du socle ;
2. la gestion des risques juridiques, qui va consister à protéger l’organisme des non-conformités avec la réglementation qu’on est censé appliquer, et là, il vaut mieux partir de l’EBIOS générique et l’utiliser en changeant les concepts et l’ordre des choses (ex : les impacts seront juridiques, financiers ou d’image et leur gravité dépendra des sanctions potentielles, et les scénarios de risques correspondront à tout ce qui rendrait possible les non-conformités) ;
3. la gestion des risques uniquement sur la vie privée, et là je conseillerais d’utiliser les guides et le logiciel libre PIA de la CNIL ;
4. la gestion des risques mixtes SSI + privacy, qui pourrait consister à utiliser EBIOS Risk Manager, en ajoutant deux choses : d’une part une déclaration d’applicabilité au regard des principes fondamentaux (finalité légitime et déterminée, minimisation des données collectées, exercice des droits des personnes, etc.), et d’autre part les impacts sur les droits et libertés des personnes concernées dans les événements redoutés.
Tout dépend de l’objectif visé, et il faut savoir jouer avec les outils, sachant que selon moi, il n’y a pas de meilleur outil qu’un outil qu’on maîtrise !

EBIOS RM : comment ça marche ?

En se constituant autour de 5 ateliers complémentaires, la méthode EBIOS RM offre :
– Une synthèse entre conformité et scénarios : la méthode s’appuie sur un socle de sécurité solide, construit grâce à une approche par conformité. L’approche par scénarios vient solliciter ce socle face à des scénarios de risque plus particulièrement ciblés ou sophistiqués ;
– Une valorisation de la connaissance cyber : pour construire des scénarios de risques du point de vue de l’attaquant, il est indispensable d’avoir une bonne connaissance de ceux-ci. L’ANSSI propose donc avec la méthode EBIOS une structure permettant d’évaluer les différents profils d’attaquants et leurs objectifs ainsi que des bases de connaissances ;
– Une prise en compte de l’écosystème : les attaquants ne cherchent plus forcément à atteindre de manière frontale les organismes mais à passer par des parties prenantes de leur écosystème, qui peuvent être plus vulnérables, pour parvenir à leurs fins. La prise en compte de l’écosystème dans l’étude des risques est donc à présent indispensable.

Quelles sont les valeurs de la méthode EBIOS Risk Manager ?

La méthode EBIOS Risk Manager a été conçue en s’appuyant sur les valeurs suivantes :
– une méthode concrète axée sur la réalité de l’état de la menace ;
– une méthode efficiente, simple et suffisamment souple pour être complétée et adaptée rapidement ;
– une méthode convaincante auprès des dirigeants, où le risque cyber doit être expliqué avec pédagogie ;
– une méthode collaborative car les différents ateliers regroupent la direction, les métiers et les équipes SSI.

À qui s’adresse cette nouvelle méthode EBIOS Risk Manager ?

La méthode EBIOS Risk Manager doit offrir une compréhension partagée des risques cyber entre les décideurs et les opérationnels. L’objectif est que le risque cyber soit considéré au même niveau que les autres risques stratégiques (risque financier, juridique, d’image, etc.) par les dirigeants.
Les publics intéressés par cette méthode sont les RSSI et les risk managers.

Pourquoi une nouvelle méthode EBIOS ?

La méthode EBIOS (dont la dernière version datait de 2010) était très pertinente dans son contexte. Face aux évolutions du numérique de ces dernières années, elle s’est modernisée pour prendre en compte l’environnement actuel (systèmes interconnectés, prolifération des menaces, état de l’art et règlementation plus mature, connaissance de la menace), et permettre aux dirigeants d’appréhender correctement les enjeux majeurs de la sécurité du numérique (de nature stratégique, financière, juridique, d’image, de ressources humaines).

Comment utiliser des échelles d’impacts hétérogènes ?

Réponse d’un membre du Club EBIOS : « Attention aux échelles utilisant plusieurs types d’impacts »

Rappel du guide EBIOS : « Cette action [élaboration d’une échelle] consiste à créer une échelle décrivant tous les niveaux possibles des impacts. Tout comme les échelles de besoins, une échelle de niveaux d’impacts est généralement ordinale (les objets sont classés par ordre de grandeur, les nombres indiquent des rangs et non des quantités) et composée de plusieurs niveaux permettant de classer l’ensemble des risques« .Ainsi, il est habituel de voir des utilisateurs de la méthode construire plusieurs échelles ordinales selon la nature de l’impact (financier, juridique, sur les opérations, sur la vie privée…) pour estimer la gravité des évènements redoutés. La construction est alors faite en graduant individuellement chaque type d’impact, sans se préoccuper de la cohérence entre les niveaux.Or, seul un résultat global est utilisé dans les cartographies de risques pour évaluer la gravité des uns par rapport aux autres. L’information sur la nature des impacts est perdue.

Pour éviter de fausses conclusions sur l’importance des risques, il faut donc veiller à vérifier la cohérence transverse de la gradation des impacts dans les échelles. Par exemple, vérifier que l’estimation d’un impact de niveau 3 sur les opérations sera de la même valeur pour l’organisme que les impacts financier et juridique de même niveau.
Lorsque c’est possible, le critère pivot (servant à la cohérence) peut être l’échelle financière. Dans le cas contraire (souvent le cas), il convient de présenter les impacts côte à côte et d’estimer leur importance auprès des responsables en recherchant un consensus. Dans ce cas là, les échelles peuvent avoir des cases vides (niveau n’ayant pas d’équivalence pour toutes les natures d’impacts considérées). Ça peut être le cas lorsque l’on estime par exemple la perte de vies humaines.Il est parfois difficile à des responsables d’établir ces échelles de manière générique. Une bonne solution consiste alors à demander aux parties prenantes de hiérarchiser les événements redoutés après avoir identifié les impacts, et de construire les échelles sur la base de cette estimation.

Réponse d’un membre du Club EBIOS : « il est utile de disposer d’échelles d’impacts hétérogènes, c’est un moyen important de communication avec les métiers »

En complément, l’idéal est selon moi de :

On peut ainsi facilement réaliser une étude à la fois SSI et protection de la vie privée en présentant côte à côte les impacts pour l’organisme et les impacts pour les personnes concernées.

Le critère de traçabilité est-il utile ?

Réponse d’un membre du Club EBIOS : « deux solutions »

Plusieurs propositions sont possibles pour démontrer que les problématiques associées à la traçabilité sont traitées dans une étude EBIOS sans pour autant considérer la traçabilité comme un critère :

Réponse d’un autre membre : « la traçabilité n’est pas un critère de sécurité »

Les critères de sécurité servent à apprécier les impacts en cas d’atteinte de chacun d’eux, et en particulier à étudier les besoins de sécurité. En sécurité de l’information, seules la disponibilité, l’intégrité et la confidentialité sont considérées comme des critères de sécurité (voir notamment les normes ISO/IEC 2700x). Il ne faut pas les confondre ni avec les thèmes de mesures de sécurité, ni avec les références réglementaires. En effet, le (faux) besoin de traçabilité vient du fait qu’on souhaite savoir ce qui s’est passé après un incident (mesure de détection) et/ou d’obligations diverses (légales, réglementaires, sectorielles ou liées à la politique SSI). Il est donc inutile, et même contre-productif d’étudier le besoin de traçabilité.

En outre, il conviendrait de disposer d’une échelle de besoins et d’une échelle d’impacts liées à la traçabilité. C’est souvent en essayant de les construire qu’on se rend compte qu’il s’agit d’une « envie de quelqu’un » qui relève de la mesure de sécurité ou de la couverture d’un « risque » juridique.

Enfin, ceci impliquerait d’étudier toutes les menaces qui mènent à une perte de traçabilité ! Or, ceci relève de la bonne mise en œuvre d’une mesure de sécurité, qu’il n’est pas nécessaire de traiter comme un risque (ou sinon il faudrait le faire pour le chiffrement, le contrôle d’accès, etc.). Toutefois, l’étude des besoins étant un instrument de communication avec les métiers, il est possible d’intégrer la traçabilité dans les critères de sécurité pour que les métiers adhèrent davantage à la démarche en voyant leur point de vue pris en compte…

Jérôme THEMEE (DEVUP), Avancement du Cercle des formateurs

Jean CAIRE (RATP), Cyberzoologie, tome 2 (point de vue offensif)

Sylvain CONCHON (CONIX), Influence 2.0 : comprendre les opérations d’influence dans un monde hyperconnecté

Influence 2.0 : comprendre les opérations d’influence dans un monde hyperconnecté

Proposition d’un ensemble de concepts permettant de modéliser et d’analyser les stratégies d’influence (une taxonomie des principes d’influence, une cartographie cognitive des audiences-cibles et un ensemble de modes d’action pour développer des scénarios selon un effet final recherché) et de prouver qu’elles restent applicables dans l’environnement hyperconnecté qui se développe aujourd’hui.

Fabien CAPARROS et Séverine OGER (ANSSI), Lancement du dispositif EBIOS RM (méthode, communauté, outil)

François ZAMORA (ORANGE), Message du Collège contenu

Ronan LE GOFF et Thanh-Nhan LY CAM (LA NETSCOUADE), Lancement des réseaux sociaux

La dernière version de la méthode de l’ANSSI : EBIOS Risk Manager

La méthode de référence française EBIOS accompagne les organisations pour identifier et comprendre les risques numériques qui leurs sont propres. Elle permet de déterminer les mesures de sécurité adaptées à la menace et de mettre en place le cadre de suivi et d’amélioration continue à l’issue d’une analyse de risque partagée au plus haut niveau.

Sur le site de l’ANSSI : La méthode EBIOS Risk Manager

Écouter aussi le podcast du 17/11/2019 de Fabien CAPARROS (ANSSI) sur NoLimitSecu.

François COSQUER (NOKIA), Challenges and Opportunities in SDN/NFV and 5G Security

Challenges and Opportunities in SDN/NFV and 5G Security

Jean CAIRE (RATP), Cyberzoologie, tome 1

Paul RICHY (ORANGE), Normalisation de la sécurité de l’information

Normalisation de la sécurité de l’information

EBIOS : l’approche générique

Ce guide constitue l’approche générique d’EBIOS*. Il fournit une base commune à toute déclinaison sectorielle. Conçue initialement pour la sécurité de l’information, EBIOS peut en effet se décliner dans tous les domaines au moyen de techniques et de bases de connaissances adaptées.

EBIOS permet d’apprécier et de traiter les risques. Elle fournit également tous les éléments nécessaires à la communication au sein de l’organisme et vis-à-vis de ses partenaires, ainsi qu’à la validation du traitement des risques. Elle constitue ainsi un outil complet de gestion des risques.

Il s’agit d’une véritable boîte à outils, dont on choisit les actions à mettre en œuvre et la manière de les utiliser selon l’objectif de l’étude. Elle permet d’apprécier les risques au travers de scénarios et d’en déduire une politique cohérente, appuyée sur des mesures concrètes et évaluables.

*EBIOS – Expression des besoins et identification des objectifs de sécurité.

Jean-Luc ALLARD, Les principes de Défense appliqués au cyberespace

Les principes de Défense appliqués au cyberespace

En termes de sécurité informatique et de cybersécurité, comme de sécurité de l’information suite à l’informatisation explosive on a trop souvent tendance à jeter le bébé avec l’eau du bain. « C’est un nouveau monde, il faut de nouvelles règles ! ». Je ne suis pas de cet avis. Les principes de défense vieux comme le monde (comme ceux exprimés par Sun Tzu dans son « Art de la guerre ») sont toujours d’application. Il suffit de les adapter au contexte. Un concept est universel et dépasse le temps et les modes. Jean-Luc Allard est expert en sécurité de l’information depuis plus de vingt ans et met un point d’honneur à revenir au plus vite aux fondamentaux et aux concepts avant de s’intéresser aux détails.

Arnaud SAVOYE, Présentation d’un outil compatible EBIOS 2010

Eric DELISLE (CNIL), L’évolution du statut de sous-traitant

L’évolution du statut de sous-traitant

Marie FERTE (CNIL), Point d’info sur : La directive Police Justice

Point d’info sur : La directive « Police Justice »

Mikaël SMAHA (HSC BY DELOITTE), Alice au pays des risques – Patchwork

Alice au pays des risques – Patchwork

CLUSIF, Menaces informatiques et pratiques de sécurité en France

Menaces informatiques et pratiques de sécurité en France

Murielle THIBIERGE-BATUDE, Analyse des risques physiologiques des métiers de l’IT et de la cybersécurité

Jean-Marc RIETSCH, Apports de la gestion des risques aux projets de digitalisation

Apports de la gestion des risques aux projets de digitalisation

Nicolas VAN CAUTER (THALES COMMUNICATIONS & SECURITY), Pistes d’approches « Cyber Kill Chain » étudiées au sein de Thales

Pistes d’approches « Cyber Kill Chain » étudiées au sein de Thales

La nouvelle EBIOS amène un nouveau contexte d’emploi orientant sur des études de scénarios d’attaque « de bout en bout » dont l’approche type « Cyber Kill Chain » peut être un moyen de les structurer. Cependant ce n’est pas la seule approche et elle a aussi ses limites. Après une introduction de la notion de « Cyber Kill Chain » et la présentation de travaux actuels aux US pour approfondir le concept, celle-ci est confrontée à une autre approche possible : celle des arbres d’attaque, puis enfin sont proposés les contextes d’emploi qui sembleraient les plus appropriés au sein de la nouvelle EBIOS pour l’approche « Cyber Kill Chain » d’une part, pour l’approche « arbre d’attaque » d’autre part.

Cyril DEMONCEAUX (ANSSI), Connaissance et anticipation de la menace au sein de l’ANSSI

Connaissance et anticipation de la menace au sein de l’ANSSI

Vincent DESROCHES (ANSSI), Nouvelle méthode EBIOS

Nouvelle méthode EBIOS

Jean CAIRE (RATP), SI industriels : Dualité cybersécurité / sûreté de fonctionnement

Sylvain CONCHON et Mouhédine HABACHE (CONIX), Risque « cyber » sur les SI Industriels – Une approche de sensibilisation

Risque « cyber » sur les SI Industriels – Une approche de sensibilisation

Démonstration d’une démarche de sensibilisation innovante sur la sécurité des SI industriels, à partir de scénarios de risques mis en scène sur des automates au service d’un procédé industriel simulé à partir d’une maquette en brique Lego.

Guillaume POUPARD (ANSSI), Point et encouragements

Pierre-Marie ALLEMAND (SAFRAN), Usage d’EBIOS pour les systèmes de fabrication additive (impression 3D)

Usage d’EBIOS pour les systèmes de fabrication additive (impression 3D)

Étude sur l’utilisation de la méthode EBIOS dans le contexte industriel. Analyse de risques portant sur les systèmes de fabrication additifs (impression 3D).

Les guides PIA de la CNIL

Les guides PIA* de la CNIL ont été révisés pour outiller le Règlement général sur la protection des données (RGPD).
La démarche méthodologique est une application spécifique de la boîte à outils EBIOS à la protection de la vie privée.
Elle permet de bâtir et de démontrer la conformité au RGPD pour un traitement de données à caractère personnel.
Les guides (la méthode, les modèles, et les bases de connaissances) sont complétés par un logiciel libre, des études de cas, des lignes directrices, une foire aux questions, etc.

Sur le site de la CNIL : L’analyse d’impact relative à la protection des données (AIPD)

*PIA – Privacy Impact Assessment, ou analyse d’impact relative à la protection des données (AIPD) dans le contexte du RGPD.

Assemblée générale

Raphaël MARICHEZ, Big data et analyse du risque SSI… sont-ils conciliables ?

Big data et analyse du risque SSI… sont-ils conciliables ?

Les cas d’usage du « big data », fortement liés à la « data science » et à la création de valeur par l’innovation, suggèrent que les modèles traditionnels d’analyse du risque sur la sécurité de l’information lors de tels traitements doivent évoluer pour intégrer des notions d’aléa et d’incertitude, autant du fait de l’indéterminisme des événements redoutés que du manque de maîtrise des SI sous-jacents aux scénarios de menace. Des parallèles aux « traitements big data » peuvent être raisonnablement menés avec la recherche-développement sur les armes ou la virologie, appelant une réponse coordonnée face à des « méta-risques » à l’échelle de la société, impliquant les pouvoirs publics.

Anne-Catherine VIÉ et Stéphane PAUL (ALL4TEC), Coopération Thales-ALL4TEC sur une évaluation de risques de sécurité EBIOS

Coopération Thales-ALL4TEC sur une évaluation de risques de sécurité EBIOS

Présentation de la coopération entre Thales et l’éditeur ALL4TEC sur une évaluation de risques de sécurité EBIOS réalisée grâce à l’outil Cyber Architect.

Paul RICHY et François ZAMORA (ORANGE), Point d’étape sur les normes SSI : retour de Berlin

Point d’étape sur les normes SSI : retour de Berlin

Les principales normes de la série ISO/IEC 27000 (27001, 27002 et 27005) ont montré une tendance au statu quo ou au moins à une évolution lente, des réflexions sont entamées sur la cybersécurité. Au WG 2 (mécanismes de sécurité, cryptographie), des évolutions importantes sont en cours concernant divers types d’algorithmes de chiffrement (quantique, post quantique et homomorphe) tandis que des tensions sont apparues pour la prise en compte d’algorithmes proposés par les USA (Simon et Speck). Enfin, il faut mentionner une importante évolution en cours de la norme ISO/IEC 15408 (Certification, Critères Communs) dont le contenu va passer de trois à cinq chapitres.

Philippe TOURRON (AP-HM), Animation Cyber battle » basée sur la méthode EBIOS »

Jean CAIRE (RATP) et Sylvain CONCHON (CONIX), Modèles et méthode pour définir une stratégie de résilience pour les infrastructures critiques

Modèles et méthode pour définir une stratégie de résilience pour les infrastructures critiques

Proposition d’une démarche systémique pour définir et mettre en œuvre une stratégie globale de défense, pilotée par l’analyse de risque, visant la résilience des infrastructures critiques dans un contexte marqué par les actes de malveillance d’intensité variable.

Thierry PERTUS (CONIX), Outils pratiques (action 55) : synthèse des travaux réalisés

Outils pratiques (action 55) : synthèse des travaux réalisés

Dans le cadre du GT « Outils pratiques », le présent support vise à établir un point de situation quant aux travaux réalisés à ce stade sur une étude de cas représentative retenue collégialement, et ce, vue de proposer différents d’outillages adaptés (Excel, EGERIE RM…) et mis en pratique destinés aux praticiens EBIOS, qu’ils soient novices ou expérimentés.

Fabien CAPARROS (ANSSI), Évolution de la méthode EBIOS

Clémence SCOTTEZ (CNIL), Projet de Règlement européen ePrivacy « relatif à la vie privée dans les communications électroniques »

Projet de Règlement européen « ePrivacy » relatif à la vie privée dans les communications électroniques

Paul RICHY (ORANGE), Normalisation de la sécurité de l’information

Matthieu GRALL (CNIL), Objets connectés – Typologie (en cours de réflexion)

Fabien CAPARROS (ANSSI), Perspectives : d’EBIOS 2010 à EBIOS 201x

Perspectives : d’EBIOS 2010 à EBIOS 201x

Thème : tendances

Gaston GAUTRENEAU (CNIL), Nouvelles technologies – Tendances (de quoi ?)

Nouvelles technologies – Tendances (de quoi ?)

Thème : le règlement général sur la protection des données (RGPD)

Pierre-Marie ALLEMAND (SAFRAN), Présentation de l’approche de SAFRAN sur le RGPD

Présentation de l’approche de SAFRAN sur le RGPD

Gaston GAUTRENEAU (CNIL), Feedback FIC 2017

Feedback FIC 2017

Bruno RASLE (AFCDP), Articulation DPO – gestion des risques, grandes questions

Clémence SCOTTEZ (CNIL), Privacy Impact Assessment (PIA) : les lignes directrices G29

Privacy Impact Assessment (PIA) : les lignes directrices G29

Thierry PERTUS (CONIX), EBIOS pour tous (ou presque…), Proposition d’un nouveau groupe de travail EBIOS ToolKit

EBIOS pour tous (ou presque…), Proposition d’un nouveau groupe de travail « EBIOS ToolKit »

Géolocalisation de véhicules d’entreprise – Étude de cas

Cette étude de cas est destinée à montrer comment utiliser la boîte à outils de la méthode EBIOS dans le contexte spécifique de la protection de la vie privée.

Matthieu GRALL (CNIL) et Yaël COHEN-HADRIA, La gestion des incidents au cœur de la réglementation

La gestion des incidents au cœur de la réglementation

Réflexion – Impacts différenciés

Dans une étude de risques, on constate que les impacts analysés dépendent fortement du point de vue de chaque partie prenante. Partant de ce constat, ce document de réflexion incite à la prise en compte des préoccupations de chaque acteur, dans une logique « by design », afin que le produit, système ou service soit accepté par tous.

Lila AKLI et Sylvain CONCHON (CONIX), EBIOS et les risques psycho-sociaux

EBIOS et les risques psycho-sociaux

Approche du domaine des risques psycho-sociaux et application de la méthode EBIOS dans le cadre de l’analyse des risques psycho-sociaux (concepts-clefs, bases de connaissance et étude de cas).

Mikaël SMAHA (HSC), Rétrospective sur les besoins de sécurité

Rétrospective sur les besoins de sécurité

Retour sur 6 ans de réflexions autour des besoins de sécurité : leur relation avec les conséquences métiers, leur utilisation dans les appréciations des risques, les tentatives de simplification, leur signification.

Franck YVELIN (CGI BUSINESS CONSULTING), Dates et thèmes des réunions courantes de 2017

Hulya SONMEZ (SWISS LIFE), Points sur les actions des administrateurs et les groupes de travail

Assemblée générale

Jérôme THÉMÉE (ASTON), Expert sécurité digitale, diplôme RNCP, titre niveau 1

Expert sécurité digitale, diplôme RNCP, titre niveau 1

Jean LARROUMETS (EGERIE SOFTWARE), Nouveautés concernant EGERIE

Nouveautés concernant EGERIE

Matthieu GRALL (CNIL), De la fiction à la réalité

De la fiction à la réalité

Des auteurs ont imaginé ce que le futur nous réservait dans de nombreuses fictions (romans, films, séries, bandes dessinées, etc.). Les nouveaux services et technologies permettent aujourd’hui de leur donner réalité.

Érik BOUCHER DE CRÈVECOEUR (CNIL), Les données génétiques

Les données génétiques

Jean-Luc ALLARD, Atelier sur la FAQ

Érik BOUCHER DE CRÈVECOEUR (CNIL), La Politique générale de sécurité des systèmes d’information de santé (PGSSI-S)

La Politique générale de sécurité des systèmes d’information de santé (PGSSI-S)

Geoffrey DELCROIX (CNIL), Exploration des tendances du moment sur les usages et technologies numériques et les données

Exploration des tendances du moment sur les usages et technologies numériques et les données

Gaston GAUTRENEAU (CNIL), Cybersécurité – État des lieux et constats

Cybersécurité – État des lieux et constats

Clémence SCOTTEZ (CNIL), Les nouvelles et tendances juridiques

Les nouvelles et tendances juridiques

Paul RICHY (ORANGE), Normalisation de la sécurité de l’information

Normalisation de la sécurité de l’information

Jean-Marx RIETSCH, eIDAS et EBIOS

eIDAS et EBIOS

Nicolas VAN CAUTER (THALES COMMUNICATIONS & SECURITY), Retour d’expérience – Problématiques de l’application d’EBIOS dans des contextes métiers « techniques »

Retour d’expérience – Problématiques de l’application d’EBIOS dans des contextes « métiers » techniques

Thierry MAUR (DCNS), La méthode EBIOS dans les SI industriels des infrastructures portuaires

La méthode EBIOS dans les SI industriels des infrastructures portuaires

Thierry CORNU (SOGETI), Utilisation d’EBIOS 2010 pour les infrastructures industrielles critiques : retours d’expérience

Utilisation d’EBIOS 2010 pour les infrastructures industrielles critiques : retours d’expérience

Matthieu GRALL (CNIL), Point sur la stratégie 2016-2018

Jean-Marc GRÉMY, Démocratiser l’AdR et y insuffler une touche de PDCA

Démocratiser l’AdR et y insuffler une touche de PDCA

Matthieu GRALL (CNIL), Point sur la stratégie 2016-2018

Yves VERHOEVEN (ANSSI), Vision de l’ANSSI en matière de gestion des risques

Point sur les groupes de travail

Discussion sur les évolutions d’EBIOS

Assemblée générale

Réflexion : systèmes d’information d’importance vitale (SIIV)

Gaston GAUTRENEAU (CNIL), SIV/SIIV

SIV/SIIV

Retour sur les enjeux et la réglementation dans le domaine des systèmes d’information d’importance vitale (SIIV) : éléments de contexte, bonnes pratiques et enjeux méthodologiques dans la prise en compte des risques sur le domaine, risques d’applicabilité et impact de la LPM.

Jean CAIRE (RATP) et Sylvain CONCHON (CONIX), Méthodologie : unification des travaux

Sébastien DELMOTTE (MAD-ENVIRONNEMENT), Le management des risques par l’AGR (Analyse Globale des Risques)

Le management des risques par l’AGR (Analyse Globale des Risques)

Présentation de la méthodologie AGR (Analyse Globale des Risques) et de l’outil STATCART AGR dans le cadre d’un cas d’usage.

Jean CAIRE (RATP) et Sylvain CONCHON (CONIX), Méthodologie : stratégie de défense

Réflexion : smart cities

Thierry PERTUS (CONIX), Les  » Smart Cities  » sous l’angle du risque cyber – Perspectives et challenges de demain

Les « Smart Cities » sous l’angle du risque cyber – Perspectives et challenges de demain

Exposé des perspectives de risque cyber et identification des challenges de la cybersécurité dans le cadre du concept de « Smart City ».

Matthieu GRALL (CNIL), Réflexion : quels sont les vrais problèmes d’aujourd’hui ?

Réflexion : quels sont les vrais problèmes d’aujourd’hui ?

Réflexion sur les enjeux actuels et les évolutions à venir, pour orienter de futures réflexions ou pistes d’étude au sein du Club EBIOS.

Raphaël MARICHEZ, Risque et responsabilité en SSI… pour un haut fonctionnaire d’une administration

Vincent DESROCHES (ANSSI), Approche capacitaire de la cybersécurité et axes d’évolution de la méthode EBIOS

Approche capacitaire de la cybersécurité et axes d’évolution de la méthode EBIOS

Réflexion méthodologique visant à orienter la méthode d’analyse de risque vers la construction de scénarios élaborés et permettre de définir une stratégie de défense en profondeur.

Jean-Luc ALLARD, Gestion des risques et complexité

Gestion des risques et complexité

Réflexion sur les facteurs de complexité à tous les stades d’une analyse de risque et sur les moyens de les maîtriser.

Paul RICHY (ORANGE), Thèmes à retenir dans l’ISO/IEC 270xx

Thèmes à retenir dans l’ISO/IEC 270xx

Panorama de l’évolution des thématiques traitées par la famille de normes ISO 27000.

Gaston GAUTRENEAU (CNIL), Réflexion : du transfert des risques aux transferts des coûts

Réflexion : du transfert des risques aux transferts des coûts

Réflexion sur le sens et l’intérêt de l’assurance dans la maîtrise des risques, et sur les garanties apportées dans les cas de cyber-risque.

Réflexion : améliorer l’efficacité de la gestion d’incidents

Jean CAIRE (RATP) et Sylvain CONCHON (CONIX), Méthodologie : étude des scénarios d’attaque

Assemblée générale

Réflexion : objets connectés

Vincent TOUBIANA (CNIL), Étude d’impact vie privée

Étude d’impact vie privée

Présentation d’une étude PIA (Privacy Impact Assessment) dans le cadre d’un périmètre composés d’objets connectés.

Garance MATHIAS (CABINET D’AVOCATS MATHIAS), Objets connectés – Quels sont les enjeux pour les entreprises et les administrations ?

Objets connectés – Quels sont les enjeux pour les entreprises et les administrations ?

Exposé des risques des objets connectés dans un contexte d’entreprise et des sujets connexes : responsabilités des différents acteurs, droits des utilisateurs, cadre règlementaire.

Christophe GUILLOU (ORANGE CONSULTING), Analyse prospective des enjeux de sécurité de l’IoT

Analyse prospective des enjeux de sécurité de l’IoT

Approche du domaine de l’Internet des Objets : spécificités du domaine, tendances du marché, problématiques posées et axes de recherche et de réflexion pour maîtriser les risques.

Jean CAIRE (RATP) et Sylvain CONCHON (CONIX), Méthodologie : étude du contexte

Point sur les actions en cours et à venir

Jean CAIRE (RATP) et Sylvain CONCHON (CONIX), Méthodologie : étude des sources de risques

Chantal CHAUVEAU (CNAM-TS), Démarche projet de l’analyse de risques à l’intégration de la sécurité dans les projets – Enjeux et retours d’expérience

Démarche projet de l’analyse de risques à l’intégration de la sécurité dans les projets – Enjeux et retours d’expérience

Matthieu GRALL (CNIL), L’approche de la CNIL pour mener des PIA (Privacy Impact Assessments)

L’approche de la CNIL pour mener des PIA (Privacy Impact Assessments)

Jean OLIVE (CGI BUSINESS CONSULTING), Des évolutions d’EBIOS ?

Des évolutions d’EBIOS ?

Jean CAIRE (RATP) et Sylvain CONCHON (CONIX), Méthodologie : Teaser Réflexions sur EBIOS 4″ – Répondre aux exigences de la LPM avec EBIOS »

Julien BARMI (ANSSI), Loi de programmation militaire

Jean-Luc ALLARD, Guide belge de cybersécurité

Guide belge de cybersécurité

Gaston GAUTRENEAU (CNIL), Cybersécurité – Les règles de bases sont-elles (in)suffisantes – (in)faisables – (in)effectives ?

Cybersécurité – Les règles de bases sont-elles (in)suffisantes – (in)faisables – (in)effectives ?

Delphine CARNEL (CNIL), Open Data – Vous, toi et la Loi IL

Open Data – Vous, toi et la Loi IL

Geoffrey DELCROIX (CNIL), Big Data

Big Data

Chadi HANTOUCHE(SOLUCOM), Big Data : risques et contre-mesures – Les fondamentaux pour bien démarrer

Big Data : risques et contre-mesures – Les fondamentaux pour bien démarrer

Aurélien MAGNIEZ (ORANGE CONSULTING), Identité dans le cloud, challenges et risques

Identité dans le cloud, challenges et risques

Amandine JAMBERT (CNIL), Règlement eIAS et point de vue des autorités de protection des données européennes

Ràglement eIAS et point de vue des autorités de protection des données européennes

Garance MATHIAS (CABINET D’AVOCATS MATHIAS), L’identité, une notion en pleine évolution, en pleine mutation

L’identité, une notion en pleine évolution, en pleine mutation

Éric FREYSSINET (GENDARMERIE NATIONALE), Identité et cybercriminalité

Philippe TOURRON (APHM), Approche de la sécurisation des équipements techniques numériques hospitaliers

Approche de la sécurisation des équipements techniques numériques hospitaliers

Yaël COHEN-HADRIA (HAAS SOCIÉTÉ D’AVOCATS), Données de santé : Gestion des risques juridico-technologiques ?

Données de santé : Gestion des risques juridico-technologiques ?

Adrien ROUSSEAUX (CNIL), Prise en compte des différents points de vue lors de l’appréciation des impacts

Prise en compte des différents points de vue lors de l’appréciation des impacts

BYOD – Éléments de réflexion pour gérer les risques

Ce document a pour objectif de fournir des éléments utiles pour gérer les risques liés à l’utilisation du BYOD (Bring Your Own Device).

Point sur les actions en cours et à venir

Assemblée générale

Jean-Luc ALLARD (MISIS), Les normes NIST pour la gestion des risques

Les normes NIST pour la gestion des risques

Jean CAIRE (RATP), Cyber-résilience : l’approche du MITRE

Cyber–résilience : l’approche du MITRE

Thierry JARDIN (CGI BUSINESS CONSULTING), Présentation du Cybersecurity Framework du NIST

Présentation du Cybersecurity Framework du NIST

Nicolas VAN CAUTER (THALES COMMUNICATIONS & SECURITY), Secur-ED : retour d’expérience d’une convergence EBIOS-2010/NIST SP800-30

Secur-ED : retour d’expérience d’une convergence EBIOS-2010/NIST SP800-30

Benoît RAST (BEAM AVOCATS), Dispositifs médicaux et réglementation applicable

Dispositifs médicaux et réglementation applicable

Adrien ROUSSEAUX (CNIL), Dispositifs médicaux connectés

Dispositifs médicaux connectés

Séminaire d’été sur le thème du BYOD

Loïc BOURNON (MORPHO), Retour d’expérience

Amina KHALED et Benoît RAST (BEAM AVOCATS), BYOD : la gestion du risque juridique

BYOD : la gestion du risque juridique

Vincent TOUBIANA (CNIL), Bring Your Own Device

Bring Your Own Device

Bruno OLLIVIER (BULL), Réflexions sur le B.Y.O.D (smartphones, tablettes…)

Réflexions sur le B.Y.O.D (smartphones, tablettes…)

Joseph GRACEFFA (ADVENS), BYOD & sécurité c’est maintenant ! » »

Alain MARCAY, Laurent JUIN et Xavier GUEGUEN (ORANGE CONSULTING), Outil EBIOS 2010 : retour d’expérience de l’outil en situation réelle

Outil EBIOS 2010 : retour d’expérience de l’outil en situation réelle

Jean LARROUMETS (FIDENS), Présentation du logiciel EGERIE

Présentation du logiciel EGERIE

Jean-Luc ALLARD (MISIS), EBIOS et la maturité

EBIOS et la maturité

Assemblée générale

Olivier LIGNEUL (ministères financiers), La défense en profondeur – Retour d’expérience sur une mise en œuvre

Thibault CHEVILLOTTE (LOGICA BUSINESS CONSULTING), Cloud Computing : des risques sécurité spécifiques

Cloud Computing : des risques sécurité spécifiques

Frédéric CONNES (HSC), Contractualiser la sécurité du cloud computing

Contractualiser la sécurité du cloud computing

Amandine JAMBERT (CNIL), Le cloud computing et les données à caractère personnel

Le cloud computing et les données à caractère personnel

Sandrine MERCIER (ORANGE), Intégration des systèmes de management : retour d’expérience en matière d’étude de besoins et d’identification des objectifs de sécurité

Philippe TOURRON (APHM), Systèmes de management de la qualité (ISO 9001), des processus informatiques (ISO 20000) et sécurité (ISO 27001) sur une approche orientée services (cf. ITIL V3)

Matthieu GRALL (CNIL), Gestion des risques liés à l’usurpation d’identité sur le web

François ZAMORA (ORANGE), Sylvain CONCHON (CONIX) et Jean CAIRE (RATP), Les facteurs de vraisemblance

Les facteurs de vraisemblance

Mikaël SMAHA (HSC), Agrégation et rétro-propagation du risque

Assemblée générale

Gestion des patients dans un cabinet de médecine du travail – Étude de cas

Cette étude de cas est destinée à montrer comment utiliser la boîte à outils de la méthode EBIOS dans le contexte spécifique de la protection de la vie privée.

La plaquette suivante synthétise les points essentiels de l’étude de cas.

Sylvain CONCHON (CONIX), Responsabilité sociétale, approche méthodologique par le risque

Responsabilité sociétale, approche méthodologique par le risque

Approche du domaine de la responsabilité sociétale et application de la méthode EBIOS dans le cadre de l’analyse des risque de responsabilité sociétale d’entreprise (concepts-clefs, bases de connaissance et étude de cas.

Assemblée générale

Jean-Paul PINTE (LABORATOIRE D’INNOVATION PÉDAGOGIQUE DE L’UNIVERSITÉ CATHOLIQUE DE LILLE et GENDARMERIE NATIONALE), La société de la connaissance et la culture informationnelle

Cyril HAZIZA (CRÉDIT AGRICOLE), Retour d’expérience sur l’utilisation d’EBIOS 2 et 2010 dans un très gros ERP

Discussions ouvertes

Matthieu GRALL (CNIL), Comment appliquer la méthode EBIOS à la protection des libertés et de la vie privée

Comment appliquer la méthode EBIOS à la protection des libertés et de la vie privée

Discussions ouvertes

Sylvain CONCHON (CONIX), La méthode EBIOS appliquée aux risques de sécurité physique

La méthode EBIOS appliquée aux risques de sécurité physique

Rapport d’étape du groupe de travail sur l’application d’EBIOS à la sécurité physique (étude de cas).

Élodie PLAYE (ANSSI), Le Cloud Computing

Le Cloud Computing

Stéphane BADACH (CNAM-TS), Mise en œuvre de l’analyse de risques à l’Assurance maladie

Mise en œuvre de l’analyse de risques à l’Assurance maladie

Matthieu GRALL (ANSSI), Présentation de la nouvelle version d’EBIOS et de l’étude de cas compromission des échanges par courrier électronique chez @RCHIMED

Présentation de la nouvelle version d’EBIOS et de l’étude de cas « compromission des échanges par courrier électronique chez @RCHIMED »

Assemblée générale

Denis MANGIN, Laurence MARCHAL, François ZAMORA (ORANGE) et Sylvain CONCHON (CONIX), La méthode EBIOS appliquée aux risques de sécurité physique

La méthode EBIOS appliquée aux risques de sécurité physique

Christian HAURY (SAGEM), Sécurité informatique dans l’aéronautique

Assemblée générale

Sébastien HERNIOTE (ANSSI), RGS – Référentiel Général de sécurité

RGS – Référentiel Général de sécurité

(SAGEM SÉCURITÉ), Analyse de risque dans un ERP

Sandrine LAFFAURIE (AIFE), EBIOS dans le cadre de CHORUS

Pierre LABLE (CPAM DE MARSEILLE), Retour d’expérience d’un DSI

Retour d’expérience d’un DSI

Sylvain CONCHON (CONIX) et François ZAMORA (ORANGE), Application de la méthode EBIOS dans le cadre du SMSI – Dépasser certaines idées reçues avec l’usage d’EBIOS

Application de la méthode EBIOS dans le cadre du SMSI – Dépasser certaines idées reçues avec l’usage d’EBIOS

Jean-Louis BRUNEL (MINISTÈRE DE L’ÉDUCATION NATIONALE) et Olivier MARY (OPPIDA), Étude EBIOS en académie et PSSI générique

Jean-Jacques REIRA (FRANÇAISE DES JEUX), Mise en œuvre du SMSI de la Française des Jeux avec EBIOS

Mémento sur la continuité des activités

Ce mémento présente les concepts liés à la continuité des activités et leurs places dans la SSI. Les activités propres à la gestion de la continuité sont ensuite présentées selon 4 phases itératives. Le référentiel, l’organisation et les outils associés sont ensuite développés.

Pratiques de gestion des risques

Ce document vous présente les secteurs où la gestion des risques joue un rôle majeur afin d’en éclairer les ressemblances et les dissemblances. La gestion des risques n’est pas réservée à l’informatique mais concerne un nombre croissant de secteurs qui réfléchissent à leurs stratégies de survie et d’expansion.

Thierry AUTRET (GIE CB) et Hervé HOSY (OPPIDA), Application d’EBIOS dans le cadre de la protection des secteurs d’activités d’importance vitale

Assemblée générale

Jean-Luc ALLARD (MISIS), EBIOS en gestion des risques projets

EBIOS en gestion des risques projets

Gurvan QUENET, Défense en profondeur appliquée à la sécurité de l’information

Défense en profondeur appliquée à la sécurité de l’information

Didier BEGAY (FRANCE TELECOM), Utilisation d’EBIOS dans le cadre du processus TTM (Time To Market)

Thierry DURAND (PHORCYS), Management du risque chez PSA sans EBIOS

Philippe TOURRON (UNIVERSITÉ DE MÉDITERRANNÉE), Emploi d’une démarche EBIOS dans le cadre des projets de l’Université de Méditerranée

Emploi d’une démarche EBIOS dans le cadre des projets de l’Université de Méditerranée

Mauro ISRAËL, Utilisation d’une approche EBIOS dans le cadre de la mise en œuvre de l’ISO 27001

Utilisation d’une approche EBIOS dans le cadre de la mise en œuvre de l’ISO 27001

Dominique JOUNIOT, Utilisation d’une approche EBIOS dans le cadre de la mise en œuvre de l’ISO 27001 – Illustrations

Gilles MOTET, L’institut pour une culture de sécurité industrielle (ICSI)

Assemblée générale ordinaire

Assemblée générale extraordinaire

Gérald BARTHOLOMEW (MINISTÈRE DE LA JUSTICE) et Cyril MOURLON (TSS), Emploi de la méthode EBIOS dans le cadre de l’étude de la sécurité globale du ministère de la Justice

Hughes JOURNEAU (SGDN), Revue d’Internet sur EBIOS

Revue d’Internet sur EBIOS

Serge LEBEL (SGDN), Réflexion sur l’estimation des risques

Réflexion sur l’estimation des risques

Élisabeth RIZET (FRANCE TELECOM) et Jean-Jacques BUREAU (TEAMLOG), EBIOS dans le cadre de la mise en œuvre d’une IGC

Alain PERRAUD (RENAULT), Mise en œuvre d’un plan d’assurance sécurité

Mise en œuvre d’un plan d’assurance sécurité

Hervé SCHAUER (HSC), ISO 27005

ISO 27005

Alain HUITRIC (MINISTÈRE DE LA DÉFENSE), Analyse de risques PA2 et autres systèmes militaires

Analyse de risques PA2 et autres systèmes militaires

Cyril MOURLON (TSS), Vers une analyse de risque globale

Voir la présentation

Cyril MOURLON a réalisé un retour d’expérience sur l’utilisation de la méthode EBIOS dans un contexte d’analyse de risques globale. Après avoir rappelé les contraintes des prestataires (objectifs, délais…) et les grandes étapes de la méthode, il a souligné tout d’abord l’évidente applicabilité d’EBIOS aux problématiques très étendues (dépassant la SSI). Une première difficulté réside pourtant dans la présentation de la grande quantité d’informations produites lors des études. En effet, les bénéficiaires de prestations de conseil veulent savoir ce à quoi cela va servir, ce que cela va leur coûter et leur apporter.

Jean-Luc ALLARD (MISIS) et Olivier LUXEREAU (NETEXPERT), Retour d’expérience APHP

Voir la présentation

Frédéric MALMARTEL (ACOSS), La démarche EBIOS

Voir la présentation

Assemblée générale constitutive

[sans présentation]

Matthieu GRALL (SGDN), Gestion de l’intégration de la SSI dans les projets (GISSIP)

Voir la présentation

Marc-André LÉGER (UNIVERSITÉ DE SHERBROOKE), Grille d’analyse de méthodologies d’analyse de risque

Voir la présentation

José-Patrick BOÉ (MICHELIN), La méthode EBIOS dans le groupe Michelin

Voir la présentation

Cyril DEMONCEAUX (SGDN), Retour d’expérience sur la méthode EBIOS

Voir la présentation

Jean-Pierre LACOMBE (FIDENS), ISO 2700x – Historique et devenir

Voir la présentation

Olivier SERVAS (CNRS / ATILF), Retour d’expérience de l’utilisation d’EBIOS du groupe de travail CAPSEC

Voir la présentation

Olivier MARY (OPPIDA), SSRS avec EBIOS

Voir la présentation

Jean OLIVE (ON-X / EDELWEB), Études de sécurité de services intégrés à un système d’information – Méthode et outillage

Voir la présentation

François LEFEVRE (ADAE) et Jean-Pierre LACOMBE (FIDENS), Étude des objectifs de sécurité pour des téléprocédures types

Voir la présentation

Éric SINGER (SGDN), La gestion de crise en sécurité des systèmes d’information

Voir la présentation

Discussions ouvertes

[sans présentation]

Jean-Luc ALLARD, Continuité des activités – Chronologie et événements

Voir la présentation

Nicole FORCE (OPPIDA), Retour d’expérience EBIOS

Voir la présentation

Stanislas DE MAUPEOU (SGDN), La défense en profondeur appliquée à la sécurité des systèmes d’information

Voir la présentation

François-Xavier VINCENT (SGDN), Qualifier des prestataires privés en SSI

Voir la présentation

Jean-Charles VALADIER (ALCATEL CIT), Retour d’expérience EBIOS ALCATEL / CNES

[sans présentation]

Paul RICHY (FRANCE TELECOM), Retour d’expérience de France Télécom

[sans présentation]

Discussions ouvertes

[sans présentation]

Jean-Louis FLEISCH, Autour d’EBIOS

Voir la présentation

Jean-Luc ALLARD (UBIZEN), Normes ISO (Guide ISO 73 et ISO 13335)

Voir la présentation

Jean-Luc ALLARD (UBIZEN), EBIOS et les PSI

Voir la présentation

Claude LEVY (EADS), Analyse de risques de réseaux d’organismes

[sans présentation]

Emmanuel CATHALO (CF6), Éléments clés d’articulation d’une analyse de risques EBIOS

[sans présentation]

José-Patrick BOÉ (MICHELIN), Méthode EBIOS et ergonomie

Voir la présentation

Jean OLIVE (ON-X / EDELWEB), Présentation d’une démarche de sécurisation du système d’information adaptée d’EBIOS

Voir la présentation

Hervé HOSY (OPPIDA), Retour d’expérience sur l’outil EBIOS-CC

Voir la présentation

André DESMEDT (CNAM-TS), SSI et EBIOS à la CNAM-TS

Voir la présentation