"conformité"

06/04/2020

Le logiciel open source PIA facilite la conduite et la formalisation d’analyses d’impact relatives à la protection des données (AIPD) telles que prévues par le RGPD.

Il est diffusé par la CNIL : Télécharger

PIA

11/08/2019

Catégories : Club EBIOSEBIOS Risk ManagerFAQ

La norme ISO/IEC 27005 décrit les principes de la gestion des risques dans le cadre de la mise en place d’un système de management de la sécurité de l’information en définissant notamment un processus de gestion des risques dans une logique d’amélioration continue.
La méthode EBIOS Risk Manager répond à l’ensemble de ces principes en proposant une méthode. Cette méthode présente 2 approches d’identification des risques : par conformité (pour les risques non délibérés) et par scénarios (pour les risques délibérés).
Ainsi, la détermination du plan de traitement des risques et son suivi (PACS) sont obtenus en respect de la norme.

Mots-clés :

09/01/2019

Catégories : Club EBIOSEBIOS Risk ManagerFAQ

L’objectif principal de la méthode EBIOS RM est de se concentrer sur l’analyse des risques ciblés. Considérant que les éléments faisant partie des référentiels de sécurité sont à appliquer (identifiés comme le socle de sécurité en atelier 1), la méthode EBIOS RM n’a pas pour objet de justifier ou d’argumenter le besoin ou les priorités de mettre en place ces mesures.
L’atelier 5, consacré au traitement des risques, sera l’occasion d’inscrire les mesures non mises à œuvre dans un plan d’amélioration continue.
A noter

  • que l’atelier 1 conduit à identifier des écarts qui pourront être réutilisés dans les activités 3 et 4 pour identifier des scénarios exploitants ces failles ;
  • seules sont représentées dans ce tableau les étapes essentielles pour répondre aux objectifs de l’étude.
Mots-clés :

17/11/2018

Catégories : Club EBIOSEBIOS Risk ManagerFAQ

Réponse d’un membre du Club
La méthode EBIOS Risk Manager répond tout à fait à ce besoin. Le premier atelier permet de faire l’état des lieux de la conformité à une ou plusieurs règlementations en identifiant les éventuels écarts qui sont envisagés et les mesures qui sont prévues dans le socle de sécurité pour compenser ces écarts. Puis les phases d’appréciation et de traitement des risques (ateliers 2, 3, 4 et 5) permettent de consolider le socle de sécurité pour in fine attester de la conformité réglementaire, en précisant les écarts acceptés grâce à l’ensemble des mesures de sécurité qui permettent de diminuer suffisamment la criticité des risques.

Une réaction extérieure
J’essaye de comprendre de quelle manière EBIOS Risk Manager pourrait être utilisée afin d’évaluer notre conformité vis-à-vis de plusieurs référentiels ANSSI. Je rencontre toutefois un problème d’interprétation pour ce cas d’utilisation, intitulé “Être en conformité avec les référentiels de sécurité numérique”, page 14 du guide. Plus particulièrement dans le tableau de cette page où ce process ne fait intervenir que les ateliers 1 et 5. Cette ligne du tableau semble contredire la réponse ci-dessus. J’ai toutefois une remarque : en général les documents de conformité (hygiène, PSSIE, RGS) sont rédigés en dehors de tout contexte de menace /scénarios de risque précis. Du coup, quel que soit le cheminement au travers des ateliers, il semble difficile de réaliser les étapes de l’atelier 5 qui nécessitent de tels scénarios de risque.

Réponse d’un autre membre du Club
1. Le tableau page 14 du Guide est une aide à l’application de la méthode. Les ateliers identifiés doivent être considérés comme les principaux ateliers visant la finalité recherchée.
2. Il n’est pas nécessaire d’identifier des risques liés aux référentiels considérant que les exigences n’ont pas besoin d’être justifiées par des risques à couvrir. Elles sont des postulats considérés dans l’étude.
3. Les documents de conformité à prendre en compte dans l’atelier 1 doivent être une liste d’exigences applicables servant de référence à l’analyse de conformité. Le contexte peut être pris en compte dans le cadre du référentiel mais ne doit pas dépendre de risques non identifiés. L’atelier 5 peut servir à rédiger le PACS à partir des écarts identifiés en atelier 1, et à identifier les risques résiduels pour les exigences non satisfaites, sans pour autant réaliser une approche par scénario. L’approche par scénario peut compléter l’analyse.

Réponse d’un autre membre du Club
Il faut distinguer :
1. la pure gestion des risques de cybersécurité avec EBIOS Risk Manager, qui commence par évaluer l’application de ce qu’on s’est engagé à mettre en œuvre en matière de sécurité (ex : PSSI ou hygiène), et là, soit on s’arrête là tant que le socle n’est pas mis en œuvre, soit on note les écarts et cela alimente le plan d’action, pour ensuite mener le reste de l’étude comme si c’était mis en place afin de se concentrer sur ce qui dépasse du socle ;
2. la gestion des risques juridiques, qui va consister à protéger l’organisme des non-conformités avec la réglementation qu’on est censé appliquer, et là, il vaut mieux partir de l’EBIOS générique et l’utiliser en changeant les concepts et l’ordre des choses (ex : les impacts seront juridiques, financiers ou d’image et leur gravité dépendra des sanctions potentielles, et les scénarios de risques correspondront à tout ce qui rendrait possible les non-conformités) ;
3. la gestion des risques uniquement sur la vie privée, et là je conseillerais d’utiliser les guides et le logiciel libre PIA de la CNIL ;
4. la gestion des risques mixtes SSI + privacy, qui pourrait consister à utiliser EBIOS Risk Manager, en ajoutant deux choses : d’une part une déclaration d’applicabilité au regard des principes fondamentaux (finalité légitime et déterminée, minimisation des données collectées, exercice des droits des personnes, etc.), et d’autre part les impacts sur les droits et libertés des personnes concernées dans les événements redoutés.
Tout dépend de l’objectif visé, et il faut savoir jouer avec les outils, sachant que selon moi, il n’y a pas de meilleur outil qu’un outil qu’on maîtrise !

Mots-clés :