"Atelier 3 – Scénarios stratégiques"

Sujet réservé

14/03/2019

Catégories : Présentation

Voir la présentation

Suite à l’appel à manifestation d’intérêt en août 2018 et la présentation de la méthode EBIOS Risk Manager, l’ANSSI a présenté son processus de labellisation permettant de proposer à termes des outils avec le label « EBIOS Risk Manager » conforme à la méthode. ALL4TEC est en cours de labellisation pour son outil Agile Risk Manager qui permet de mettre en pratique la méthode de l’ANSSI.

17/11/2018

Catégories : FAQ

La Fiche méthode n°5 décrit la méthode d’évaluation du niveau de menace d’une partie prenante et propose une métrique. Quatre critères d’évaluation sont pris en compte : deux qui reflètent le degré d’exposition de l’objet de l’étude vis-à-vis de la partie prenante (dépendance et pénétration) et deux qui concernent le niveau de fiabilité cyber de la partie prenante (maturité et confiance).
Dans la cartographie radar, vous pouvez simplement positionner chaque partie prenante selon son niveau de menace. Mais vous pouvez également affiner la représentation comme proposé dans la cartographie page 45 : la taille des ronds reflète le degré d’exposition relatif à la partie prenante (produit dépendance x pénétration) et la couleur des ronds traduit la fiabilité cyber (produit maturité x confiance).

Catégories : FAQ

Réponse d’un membre du Club EBIOS : « Attention aux échelles utilisant plusieurs types d’impacts »

Rappel du guide EBIOS : « Cette action [élaboration d’une échelle] consiste à créer une échelle décrivant tous les niveaux possibles des impacts. Tout comme les échelles de besoins, une échelle de niveaux d’impacts est généralement ordinale (les objets sont classés par ordre de grandeur, les nombres indiquent des rangs et non des quantités) et composée de plusieurs niveaux permettant de classer l’ensemble des risques« .Ainsi, il est habituel de voir des utilisateurs de la méthode construire plusieurs échelles ordinales selon la nature de l’impact (financier, juridique, sur les opérations, sur la vie privée…) pour estimer la gravité des évènements redoutés. La construction est alors faite en graduant individuellement chaque type d’impact, sans se préoccuper de la cohérence entre les niveaux.Or, seul un résultat global est utilisé dans les cartographies de risques pour évaluer la gravité des uns par rapport aux autres. L’information sur la nature des impacts est perdue.

Pour éviter de fausses conclusions sur l’importance des risques, il faut donc veiller à vérifier la cohérence transverse de la gradation des impacts dans les échelles. Par exemple, vérifier que l’estimation d’un impact de niveau 3 sur les opérations sera de la même valeur pour l’organisme que les impacts financier et juridique de même niveau.
Lorsque c’est possible, le critère pivot (servant à la cohérence) peut être l’échelle financière. Dans le cas contraire (souvent le cas), il convient de présenter les impacts côte à côte et d’estimer leur importance auprès des responsables en recherchant un consensus. Dans ce cas là, les échelles peuvent avoir des cases vides (niveau n’ayant pas d’équivalence pour toutes les natures d’impacts considérées). Ça peut être le cas lorsque l’on estime par exemple la perte de vies humaines.Il est parfois difficile à des responsables d’établir ces échelles de manière générique. Une bonne solution consiste alors à demander aux parties prenantes de hiérarchiser les événements redoutés après avoir identifié les impacts, et de construire les échelles sur la base de cette estimation.

Réponse d’un membre du Club EBIOS : « il est utile de disposer d’échelles d’impacts hétérogènes, c’est un moyen important de communication avec les métiers »

En complément, l’idéal est selon moi de :

  • disposer d’une échelle pour chaque type d’impacts (financiers, sur l’image, juridiques, sur le fonctionnement, sur la vie privée…) en couvrant tout le spectre des possibles (du pire au mieux) ;
  • présenter les impacts côte à côte quand on analyse les événements redoutés et estime leur gravité ;
  • rappeler les différents impacts et leur estimation quand on présente la cartographie (qui ne garde au final que la valeur la plus importante).

On peut ainsi facilement réaliser une étude à la fois SSI et protection de la vie privée en présentant côte à côte les impacts pour l’organisme et les impacts pour les personnes concernées.

Catégories : FAQ

Réponse d’un membre du Club EBIOS : « deux solutions »

Plusieurs propositions sont possibles pour démontrer que les problématiques associées à la traçabilité sont traitées dans une étude EBIOS sans pour autant considérer la traçabilité comme un critère :

  • une solution élégante mais un peu théorique : on considère l’information « traces » (ou « preuve », ou « log ») comme un bien essentiel, et la traçabilité devient l’intégrité et la disponibilité de ce bien essentiel. Cela revient à limiter l’étude aux traces qui induisent un événement redouté et à mettre hors périmètre des biens essentiels les autres, pour éviter les colonnes remplies de « 0 » ;
  • une solution appliquée : la traçabilité n’est pas un critère, mais une mesure de sécurité. Pouvoir tracer une action relève d’une mesure à la fois de dissuasion mais aussi de récupération, et considérer la traçabilité comme tel permet de se limiter à l’étude des événements (vraiment) redoutés : on admet que ne pas pouvoir tracer n’est pas réellement l’événement redouté, mais permet de réduire le risque associé.

Réponse d’un autre membre : « la traçabilité n’est pas un critère de sécurité »

Les critères de sécurité servent à apprécier les impacts en cas d’atteinte de chacun d’eux, et en particulier à étudier les besoins de sécurité. En sécurité de l’information, seules la disponibilité, l’intégrité et la confidentialité sont considérées comme des critères de sécurité (voir notamment les normes ISO/IEC 2700x). Il ne faut pas les confondre ni avec les thèmes de mesures de sécurité, ni avec les références réglementaires. En effet, le (faux) besoin de traçabilité vient du fait qu’on souhaite savoir ce qui s’est passé après un incident (mesure de détection) et/ou d’obligations diverses (légales, réglementaires, sectorielles ou liées à la politique SSI). Il est donc inutile, et même contre-productif d’étudier le besoin de traçabilité.

En outre, il conviendrait de disposer d’une échelle de besoins et d’une échelle d’impacts liées à la traçabilité. C’est souvent en essayant de les construire qu’on se rend compte qu’il s’agit d’une « envie de quelqu’un » qui relève de la mesure de sécurité ou de la couverture d’un « risque » juridique.

Enfin, ceci impliquerait d’étudier toutes les menaces qui mènent à une perte de traçabilité ! Or, ceci relève de la bonne mise en œuvre d’une mesure de sécurité, qu’il n’est pas nécessaire de traiter comme un risque (ou sinon il faudrait le faire pour le chiffrement, le contrôle d’accès, etc.). Toutefois, l’étude des besoins étant un instrument de communication avec les métiers, il est possible d’intégrer la traçabilité dans les critères de sécurité pour que les métiers adhèrent davantage à la démarche en voyant leur point de vue pris en compte…