Quelles sont les étapes pour déployer une démarche EBIOS Risk Manager dans une grande entreprise ?
Question initiale :
Imaginons que mes associés et moi choisissions la méthode EBIOS Risk Manager.
Quels sont les première étapes d’implémentation de la méthode ? Devons-nous contacter des membres de l’ANSSI ? Devons-nous demander de l’aide ? Les Risk Managers et RSSI doivent-ils obligatoirement passer une formation à EBIOS Risk Manager ?
Très distinctement, comment s’implémente EBIOS Risk Manager d’un point opérationnel et pratique, pour une grande entreprise (les étapes, ceux qu’il faut faire exactement, etc.) ?
Quelques éléments de réponses :
Pour les organisations voulant se lancer, quitte à se tromper, car c’est en pratiquant qu’on va soi-même se rendre compte des choses à améliorer :
1. lire les guides ;
2. faire une formation (cf. liste des formateurs ayant signé la Charte du formateur EBIOS Risk Manager) ;
3. faire une étude, répondant à un besoin réel (ce qui permettra d’impliquer plus facilement les participants), et si possible en mode très « agile » (ce qui permettra d’une part d’avoir rapidement des résultats, d’autre part d’éviter de se noyer, et enfin de rapidement s’approprier les concepts et rectifier plus facilement le tir quand on a pu se tromper) : 1 référence pour le socle, 1 valeur métier, 1 événement redouté, 1 source de risques, 1 scénario stratégique, 1 scénario opérationnel, etc. puis on refait.
Pour les organisations déjà matures en sécurité :
1. disposer d’une instruction rendant les études de risques obligatoires ;
2. établir une taxonomie des besoins en études de risques de cybersécurité, selon le type de projets, contraintes métiers et pays, etc. ;
3. élaborer des guides (ex : documents, wiki) documentant en pratique comment mener une étude EBIOS Risk Manager, avec l’outillage correspondant, que ce soit à base de posters, de feuilles Excel ou d’outils ad-hoc ;
4. organiser des « projets pilotes » sur des études emblématiques de cas réels ; évaluer les retours d’expérience ;
5. organiser des sensibilisations aux études de risques de cybersécurité pour les généralistes ;
6. organiser des formations de « facilitateurs » pour les experts cyber : cela comprend une formation à EBIOS Risk Manager, puis une formation à l’animation d’ateliers.
Pour une démarche plus globale, un excellent guide a été publié par l’ANSSI et l’AMRAE : « Maîtrise du risque numérique – L’atout confiance ».
Il décrit 15 étapes d’une démarche progressive pour construire, étape par étape, une politique de gestion du risque numérique au sein de leur organisation :
– prendre la mesure du risque numérique ; comprendre le risque numérique et s’organiser (étapes 1 à 6) ;
– bâtir son socle de sécurité (étapes 7 à 11) ;
– piloter son risque numérique et valoriser sa cybersécurité (étapes 12 à 15).