"conformité"

La méthode EBIOS Risk Manager (EBIOS RM) a été mise à jour en 2018, et l’ISO 27005 en novembre 2022. Ces mises à jour sont majeures, et recentrent la gestion des risques autour des métiers, de la cybersécurité et de la protection de la vie privée. L’objectif de cet article est de préciser le lien et l’adéquation existant entre ces deux standards.

La norme ISO 27005 décrit les grandes lignes d’une gestion des risques dans un contexte cyber : définition du contexte d’analyse, identification et évaluation des risques encourus, possibilités de traitement ou d’acceptation de ces derniers. Elle introduit un processus d’appréciation des risques conforme à l’ISO 31000, sans pour autant proposer de méthode au sens strict.

Construite en cohérence forte avec le couple de normes ISO 27001/27002 et reprenant le vocabulaire principalement défini dans l’ISO 27000, la norme ISO 27005 utilise comme nombre de systèmes de management la logique d’itération et d’amélioration continue.

La méthode EBIOS est une méthode d’analyse et d’évaluation des risques qui a aujourd’hui plus de 25 ans. Elle a été définie par l’ANSSI, avec le soutien du Club EBIOS. Elle décrit dans le détail la procédure à suivre pour dérouler une analyse des risques (démarche et bonnes pratiques).

La dernière version de la méthode a permis de mettre l’accent sur l’agilité, et de substituer à la recherche d’exhaustivité une volonté de représentativité : l’idée n’est plus d’identifier tous les risques, mais uniquement les plus significatifs dans une approche permettant représenter aussi largement que possible l’espace des risques. Elle se veut aussi plus flexible en fonction de la maturité et de l’objectif fixé.

La question du lien entre l’ISO 27005 et EBIOS RM revient régulièrement, pour les deux raisons suivantes :

• EBIOS RM est en France largement connue et son utilisation est très largement majoritaire comme méthode d’analyse de risques. C’est la méthode nationale, et elle est référencée par l’ENISA. Cependant, elle ne jouit pas de la même aura au-delà de nos frontières. EBIOS RM comme l’ISO 27005 présente une structuration de la notion de risque sécurité.
• EBIOS RM n’est pas une norme, mais une méthode. Elle décrit des techniques pratiques pour permettre à ses utilisateurs d’appliquer le modèle décrit dans l’ISO 27005. Dans les faits, lors d’une démarche de mise en œuvre d’un SMSI implémentant la famille de normes ISO 2700x, se pose immédiatement l’obligation d’identifier si oui ou non la méthode d’analyse de risques sélectionnée est bien compatible avec le cadre normatif choisi. EBIOS RM apporte une solution.

Quels sont les liens entre le processus EBIOS RM et le processus ISO 27005 ? Peut-on dire d’EBIOS RM qu’elle est compatible ISO 27005 ? Cet article, au fil des prochains paragraphes, détaille cette compatibilité et le lien entre chaque activité et atelier.

Le workflow général

EBIOS Risk Manager

EBIOS RM propose une démarche construite autour de 5 ateliers (réflexions), dont l’importance va varier en fonction de l’objectif fixé pour l’analyse de risques et la maturité du périmètre concerné. Les ateliers proposés sont les suivants :

• Le point de vue du défenseur : Qu’est ce qui doit être protégé, et pourquoi ?
  L’atelier 1 est un atelier centré sur le périmètre de l’analyse. L’analyste cherche à y définir précisément les frontières (où commence et où se termine l’analyse), ce que les métiers craignent, et l’état d’application du cadre légal, normatif ou réglementaire (le socle de sécurité) sur le périmètre à analyser.
• Qui est l’agresseur et pourquoi passe-t-il à l’acte ?
  L’atelier 2 est un atelier centré sur l’attaquant, qu’on va chercher à évaluer en termes de ressource & de motivation.
• Par où l’attaquant va-t-il agir ?
  L’atelier 3 s’intéresse à l’écosystème (tout ce qui interagit avec le périmètre sans en faire partie) et à l’usage possible de cet écosystème par un attaquant pour atteindre son objectif.
• Comment l’attaquant va-t-il agir ?
  L’atelier 4 cherche à évaluer la vraisemblance des attaques, en creusant les modes opératoires mis en œuvre par un attaquant et en appréciant leur probabilité de réussite.
• Quelle stratégie de sécurité au regard des risques identifiés ?
  L’atelier 5 est une activité classique de remédiation : maintenant que les risques sont identifiés, comment réussir à les réduire ? Doit-on les traiter, les transférer, peut-on les accepter ?

L’ISO 27005

La démarche proposée par l’ISO 27005 comprend, elle aussi, 5 étapes majeures :

• L’établissement du contexte
• L’identification des risques
• L’analyse du risque
• L’évaluation du risque
• Le traitement du risque

L’ISO 27005 ajoute en parallèle deux autres activités : la communication et la surveillance & revue.

Correspondance des activités ISO 27005 et des ateliers EBIOS RM

L’établissement du contexte

L’ISO 27005 appelle à identifier les exigences de base des parties intéressées, en intégrant à la fois des normes, de la réglementation, d’éventuels compléments provenant de la PSSI, etc. Cela correspond très directement à l’activité EBIOS RM d’établissement du socle de sécurité.

Non-conformité : Dans les deux cas, l’idée principale est que l’ensemble des non-conformités permettront d’avoir une vision claire de la maturité du périmètre, et alimenteront le cas échéant le travail réalisé aux étapes suivantes d’évaluation des risques. En effet, chaque non-conformité ou écart sera à prendre en compte pour évaluer la vraisemblance des risques auxquels est exposé le sujet de l’analyse réalisée.

Échelles : Se pose la question des critères de réalisation des appréciations du risque : dit simplement, il s’agit d’identifier les échelles & matrices à employer pour l’analyse, à la fois en termes de gravité des événements redoutés, de vraisemblance, et de politique d’acceptation des risques identifiés.

Conséquence : Pour l’évaluation de la gravité, un changement de vocabulaire important apparaît : l’ISO 27005 ne parle pas d’événements redoutés, mais utilise le terme de conséquence (précédemment, appelle impact). L’évaluation se fait à travers les critères de conséquences, et leurs criticités qui sont le niveau de magnitude, grâce à l’identification des préjudices et dommages : cela correspond tout simplement à la notion d’impacts présents en EBIOS RM.

Vraisemblance : Pour la vraisemblance, l’ISO 27005 appelle à utiliser des échelles reposant sur des probabilités ou des fréquences. EBIOS RM laisse libre l’utilisateur de définir sa méthode d’appréciation de la vraisemblance en l’axant sur la réalité de succès de l’attaquant. L’analyse de la vraisemblance issue d’une analyse de risques EBIOS RM (si l’on suit les fiches méthodes) nécessite une adaptation conformément aux recommandations de l’ISO.

EBIOS RM a en théorie une approche plus continue de la construction de ces éléments (ils sont définis au fil de l’analyse), mais dans les faits c’est souvent le sujet par lequel démarrer. On essaye alors d’aligner ce paramétrage avec celui déjà existant au sein de l’entreprise ou de l’organisme, pour faciliter le partage a posteriori des résultats obtenus.

Le dernier critère est celui de la politique d’acceptation des risques : en fonction des critères précédents (gravité et vraisemblance), quel est le comportement de l’organisme face aux risques identifiés ? Cette évaluation de l’appétence au risque est rarement spécifique à la sphère cyber. L’ISO 27005 et EBIOS RM sont complètement alignées.

L’appréciation du risque

L’appréciation du risque en ISO 27005 passe par son identification, son analyse, puis son évaluation.

L’identification des risques

L’identification des risques au sens ISO 27005 est le processus consistant à rechercher, reconnaître et décrire les risques. Elle implique de déterminer les sources et ce qui peut se produire. La cible est d’avoir à l’issue de cette activité une liste de risques pouvant mener à la concrétisation de conséquences menaçant l’atteinte des objectifs de sécurité identifiés.

En EBIOS RM, l’identification des risques n’est pas monolithique. Elle va se réaliser étape par étape, et chaque atelier va permettre de les construire puis de les préciser :

• L’atelier 1 : EBIOS RM permet d’identifier les événements redoutés
• L’atelier 2 : EBIOS RM filtre les couples sources de risques et objectifs visés pour ne retenir que les plus pertinents. Il est à noter une différence majeure de sémantique entre EBIOS RM et L’ISO 27005 : Le premier ne s’intéresse qu’aux sources intentionnelles (le socle de sécurité couvre le reste), le second intègre explicitement les sources non intentionnelles. Il y a de plus une distinction faite entre l’ISO 27005 entre l’objectif à court terme de l’attaquant et son objectif à long terme (état final recherché), alors qu’EBIOS RM ne dissocie pas les deux éléments. Ce sujet est décrit dans les annexes (informative) ;
• L’atelier 3 : EBIOS RM crée le lien entre évènements redoutés, sources de risques et valeurs métiers : la combinaison de ces éléments permet de faire apparaître des scénarios de risque, et donc d’atteindre l’objectif fixé par l’ISO 27005.

L’ISO 27005 identifie deux approches possibles pour l’identification des risques basée sur :

• Les événements et intégrant l’écosystème
• Les biens supports

Vulnérabilités : Il existe néanmoins une notion explicitée en ISO 27005 et non directement citée en EBIOS RM : la gestion des vulnérabilités. En conjonction à l’atelier 4 (ou à l’approche par les biens), l’intégration des vulnérabilités à la démarche d’analyse de risque permet à l’organisme de proposer un traitement spécifique du risque à un niveau détaillé. Cette proposition peut être vue comme une extension à la démarche EBIOS RM, mais n’est en rien contradictoire.

L’analyse et l’évaluation du risque

Cette étape est destinée à évaluer, à travers un ensemble de critères déterminés en amont, les risques identifiés. Ce travail permettra de projeter chaque risque en termes de gravité et de vraisemblance lors de l’évaluation. Il est (à nouveau) réalisé au fil des ateliers EBIOS RM :

• La volonté de passage à l’acte dans l’atelier 2, connue sous le terme de “pertinence”
• La gravité est évaluée pendant l’atelier 1, lors de l’identification des événements redoutés
• La vraisemblance est évaluée de manière générale dans l’atelier 3, ou/et de manière détaillée dans l’atelier 4. Dans les deux cas, et que ce soit dans EBIOS RM ou en ISO 27005, la difficulté de l’exercice et sa nécessaire subjectivité sont soulignés. La norme utilise l’expression suivante : “variabilité d’heuristique mentale de prise de décision”.

Ces valeurs permettront ensuite de classifier le risque, en le confrontant aux critères d’acceptation du risque, définis par l’organisme : ce n’est ni plus ni moins que le placement de chaque risque sur une matrice d’acceptation du risque, où chaque cellule reflète ces critères.

Le traitement du risque

L’ISO 27005 propose un traitement général du risque décomposé en plusieurs étapes :

• Choisir l’option de traitement, en partant du principe que la réduction est l’option prioritaire
• La préparation d’une déclaration d’acceptabilité (DdA), en lien avec l’annexe A de l’ISO 27001
• La formalisation d’un plan de traitement du risque
• L’acceptation des risques résiduels

EBIOS RM simplifie le choix de l’option de traitement, en priorisant en fonction des niveaux de risque la réduction ou l’acceptation. La notion de DdA n’apparaît pas non plus, mais c’est une production documentaire qui peut être faite à partir des résultats obtenus dans chaque atelier. La formalisation du plan de traitement du risque et l’acceptation des risques résiduels sont très directement repris.

Les process transverses : communication et surveillance

L’ISO 27005 présente le processus de communication de la manière suivante : « les informations sur les risques, leurs causes, leurs conséquences, leurs vraisemblances et les moyens de maîtrise mis en œuvre pour les traiter sont communiqués […] aux parties intéressées ».

Cette communication est bien présente au sein d’EBIOS RM, mais n’est pas identifiée comme une activité spécifique. C’est plutôt un travail de fond, intégré à chaque atelier, avec l’idée que cela fait partie de l’esprit de la méthode : l’analyse de risques est par définition un outil de partage et de communication. Les nombreuses représentations graphiques (radar, scénarios stratégiques & opérationnels, etc.), mais aussi la volonté très marquée (en termes de vocabulaire et de mise en œuvre) de placer les métiers au centre en est la preuve concrète.

Scénarios de surveillance : Parmi les activités de communication et surveillance, la transposition des scénarios de risques en règles de surveillance, et règles de corrélation à intégrer dans les outils de détection d’une organisation permet d’assurer que les risques résiduels les plus critiques peuvent être détectés. Cette partie, qui fait le lien avec l’ISO 27035 (norme sur la gestion des incidents de sécurité) et les activités de SOC, n’est pas présentée dans le cadre de la méthode EBIOS RM, mais provient d’une contribution du Club EBIOS issue des retours d’expérience de ses praticiens.

Déclencheur : Pour le processus de revue et de surveillance, l’ISO 27005 fournit nombre de détails sur la mise en œuvre du suivi des risques identifiés. Les notions de cycle stratégique et opérationnel sont reprises stricto senso, mais l’ISO 27005 fait apparaître la notion de déclencheur, condition amenant effectivement à initier la mise à jour de l’une ou l’autre des activités.

Résumé des équivalences pour le vocabulaire

Bilan

L’approche générale proposée par l’ISO 27005 permet à chacun d’identifier les étapes nécessaires à la réalisation d’une analyse de risques, sans imposer de processus spécifique pour les conduire. La nouveauté principale de l’ISO 27005 est l’approche duale par événements et/ou par biens supports, et cette approche duale fait partie du cœur de la méthode EBIOS. Les concepts utilisés de part et d’autre sont cohérents, même s’ils ne sont parfois explicités que d’un côté ou de l’autre.

Article connexe : différences entre l’ISO 27005:2018 et l’ISO 27005:2022

Le logiciel open source PIA facilite la conduite et la formalisation d’analyses d’impact relatives à la protection des données (AIPD) telles que prévues par le RGPD.

Il est diffusé par la CNIL : Télécharger

L’objectif principal de la méthode EBIOS RM est de se concentrer sur l’analyse des risques ciblés. Considérant que les éléments faisant partie des référentiels de sécurité sont à appliquer (identifiés comme le socle de sécurité en atelier 1), la méthode EBIOS RM n’a pas pour objet de justifier ou d’argumenter le besoin ou les priorités de mettre en place ces mesures.
L’atelier 5, consacré au traitement des risques, sera l’occasion d’inscrire les mesures non mises à œuvre dans un plan d’amélioration continue.
A noter

• que l’atelier 1 conduit à identifier des écarts qui pourront être réutilisés dans les activités 3 et 4 pour identifier des scénarios exploitants ces failles ;
• seules sont représentées dans ce tableau les étapes essentielles pour répondre aux objectifs de l’étude.

Réponse d’un membre du Club
La méthode EBIOS Risk Manager répond tout à fait à ce besoin. Le premier atelier permet de faire l’état des lieux de la conformité à une ou plusieurs règlementations en identifiant les éventuels écarts qui sont envisagés et les mesures qui sont prévues dans le socle de sécurité pour compenser ces écarts. Puis les phases d’appréciation et de traitement des risques (ateliers 2, 3, 4 et 5) permettent de consolider le socle de sécurité pour in fine attester de la conformité réglementaire, en précisant les écarts acceptés grâce à l’ensemble des mesures de sécurité qui permettent de diminuer suffisamment la criticité des risques.

Une réaction extérieure
J’essaye de comprendre de quelle manière EBIOS Risk Manager pourrait être utilisée afin d’évaluer notre conformité vis-à-vis de plusieurs référentiels ANSSI. Je rencontre toutefois un problème d’interprétation pour ce cas d’utilisation, intitulé “Être en conformité avec les référentiels de sécurité numérique”, page 14 du guide. Plus particulièrement dans le tableau de cette page où ce process ne fait intervenir que les ateliers 1 et 5. Cette ligne du tableau semble contredire la réponse ci-dessus. J’ai toutefois une remarque : en général les documents de conformité (hygiène, PSSIE, RGS) sont rédigés en dehors de tout contexte de menace /scénarios de risque précis. Du coup, quel que soit le cheminement au travers des ateliers, il semble difficile de réaliser les étapes de l’atelier 5 qui nécessitent de tels scénarios de risque.

Réponse d’un autre membre du Club
1. Le tableau page 14 du Guide est une aide à l’application de la méthode. Les ateliers identifiés doivent être considérés comme les principaux ateliers visant la finalité recherchée.
2. Il n’est pas nécessaire d’identifier des risques liés aux référentiels considérant que les exigences n’ont pas besoin d’être justifiées par des risques à couvrir. Elles sont des postulats considérés dans l’étude.
3. Les documents de conformité à prendre en compte dans l’atelier 1 doivent être une liste d’exigences applicables servant de référence à l’analyse de conformité. Le contexte peut être pris en compte dans le cadre du référentiel mais ne doit pas dépendre de risques non identifiés. L’atelier 5 peut servir à rédiger le PACS à partir des écarts identifiés en atelier 1, et à identifier les risques résiduels pour les exigences non satisfaites, sans pour autant réaliser une approche par scénario. L’approche par scénario peut compléter l’analyse.

Réponse d’un autre membre du Club
Il faut distinguer :
1. la pure gestion des risques de cybersécurité avec EBIOS Risk Manager, qui commence par évaluer l’application de ce qu’on s’est engagé à mettre en œuvre en matière de sécurité (ex : PSSI ou hygiène), et là, soit on s’arrête là tant que le socle n’est pas mis en œuvre, soit on note les écarts et cela alimente le plan d’action, pour ensuite mener le reste de l’étude comme si c’était mis en place afin de se concentrer sur ce qui dépasse du socle ;
2. la gestion des risques juridiques, qui va consister à protéger l’organisme des non-conformités avec la réglementation qu’on est censé appliquer, et là, il vaut mieux partir de l’EBIOS générique et l’utiliser en changeant les concepts et l’ordre des choses (ex : les impacts seront juridiques, financiers ou d’image et leur gravité dépendra des sanctions potentielles, et les scénarios de risques correspondront à tout ce qui rendrait possible les non-conformités) ;
3. la gestion des risques uniquement sur la vie privée, et là je conseillerais d’utiliser les guides et le logiciel libre PIA de la CNIL ;
4. la gestion des risques mixtes SSI + privacy, qui pourrait consister à utiliser EBIOS Risk Manager, en ajoutant deux choses : d’une part une déclaration d’applicabilité au regard des principes fondamentaux (finalité légitime et déterminée, minimisation des données collectées, exercice des droits des personnes, etc.), et d’autre part les impacts sur les droits et libertés des personnes concernées dans les événements redoutés.
Tout dépend de l’objectif visé, et il faut savoir jouer avec les outils, sachant que selon moi, il n’y a pas de meilleur outil qu’un outil qu’on maîtrise !