"démarche"

01/04/2020

Catégories : Club EBIOSEBIOS Risk ManagerFAQ

Question initiale :
Imaginons que mes associés et moi choisissions la méthode EBIOS Risk Manager.
Quels sont les première étapes d’implémentation de la méthode ? Devons-nous contacter des membres de l’ANSSI ? Devons-nous demander de l’aide ? Les Risk Managers et RSSI doivent-ils obligatoirement passer une formation à EBIOS Risk Manager ?
Très distinctement, comment s’implémente EBIOS Risk Manager d’un point opérationnel et pratique, pour une grande entreprise (les étapes, ceux qu’il faut faire exactement, etc.) ?

Quelques éléments de réponses :

Pour les organisations voulant se lancer, quitte à se tromper, car c’est en pratiquant qu’on va soi-même se rendre compte des choses à améliorer :
1. lire les guides ;
2. faire une formation (cf. liste des formateurs ayant signé la Charte du formateur EBIOS Risk Manager) ;
3. faire une étude, répondant à un besoin réel (ce qui permettra d’impliquer plus facilement les participants), et si possible en mode très “agile” (ce qui permettra d’une part d’avoir rapidement des résultats, d’autre part d’éviter de se noyer, et enfin de rapidement s’approprier les concepts et rectifier plus facilement le tir quand on a pu se tromper) : 1 référence pour le socle, 1 valeur métier, 1 événement redouté, 1 source de risques, 1 scénario stratégique, 1 scénario opérationnel, etc. puis on refait.

Pour les organisations déjà matures en sécurité :
1. disposer d’une instruction rendant les études de risques obligatoires ;
2. établir une taxonomie des besoins en études de risques de cybersécurité, selon le type de projets, contraintes métiers et pays, etc. ;
3. élaborer des guides (ex : documents, wiki) documentant en pratique comment mener une étude EBIOS Risk Manager, avec l’outillage correspondant, que ce soit à base de posters, de feuilles Excel ou d’outils ad-hoc ;
4. organiser des « projets pilotes » sur des études emblématiques de cas réels ; évaluer les retours d’expérience ;
5. organiser des sensibilisations aux études de risques de cybersécurité pour les généralistes ;
6. organiser des formations de « facilitateurs » pour les experts cyber : cela comprend une formation à EBIOS Risk Manager, puis une formation à l’animation d’ateliers.

Pour une démarche plus globale, un excellent guide a été publié par l’ANSSI et l’AMRAE : “Maîtrise du risque numérique – L’atout confiance”.
Il décrit 15 étapes d’une démarche progressive pour construire, étape par étape, une politique de gestion du risque numérique au sein de leur organisation :
– prendre la mesure du risque numérique ; comprendre le risque numérique et s’organiser (étapes 1 à 6) ;
– bâtir son socle de sécurité (étapes 7 à 11) ;
– piloter son risque numérique et valoriser sa cybersécurité (étapes 12 à 15).

Catégories : Club EBIOSEBIOS Risk ManagerFAQ

Question initiale :
Lorsque j’évoque l’utilisation ou au moins qu’on s’intéresse à la méthode au sein de mon entreprise (grande collectivité territoriale), on me dit qu’EBIOS est (je cite) :” […] pas fan, rébarbatif, 70 pages que personne ne lit…”
De mon côté je soutiens que la méthode, certes un peu complexe à aborder au départ, mais que, moyennant peut-être un accompagnement initial, l’intérêt est de monter en compétence et en maturité au niveau de notre niveau d’analyse de risques. Cela ne pourra nous être que profitable pour la suite une analyse de risque plus ambitieuse.
Mais par quel bout entamer la démarche ? Est-il notamment pertinent de démarrer par un petit projet ?
D’où ma question: Quel est le degré de granularité minimale d’utilisation d’EBIOS Risk Manager dans un SI ? Ou, autrement dit, peut-on envisager d’utiliser EBIOS Risk Manager pour un projet d’envergure plus modeste (ex: simple applicatif web de service public) ?

Quelques éléments de réponse :
La dernière version de la méthode EBIOS Risk Manager a justement été créée pour être plus accessible à ceux qui imaginaient (à tort selon moi) que la méthode était compliquée (c’est juste qu’elle était davantage écrite à la française, alors que personne n’aime lire !).
L’approche par scénarios permet notamment de se focaliser sur les risques ciblés et représentatifs de l’univers des risques (recherche d’efficacité plutôt que d’exhaustivité), après avoir évalué les mesures qu’on s’est engagé à respecter (ex : PSSI) et qui traitent naturellement la majorité des risques standards si elles sont mises en œuvre (l’approche par conformité).
Quant à son champ d’application, tout est possible : depuis l’étude de l’ensemble de l’organisme jusqu’à celle d’un composant applicatif.
Tout dépend de la modélisation que vous effectuez de la cible de l’étude et l’objectif recherché. Plus le périmètre est important, plus le niveau de granularité de l’analyse par scénarios sera faible pour éviter de se noyer dans trop de scénarios à examiner. Cette modélisation pour rester pertinente demande une connaissance approfondie du périmètre et une expérience de l’application de la méthode pour comprendre les implications des choix de la modélisation”.
Il conviendrait sans doute de privilégier un sujet que vous maîtrisez bien (sur lequel vous aurez toutes les informations nécessaires et si possible vous pourrez impliquer le plus de personnes possible) et qui va intéresser les décideurs (ex : un nouveau service que tout le monde attend).
Quels que soit le sujet retenu, il faudra juste adapter le niveau de détail de chaque atelier à la taille du périmètre afin de garder l’étude digeste pour ceux qui y participeront ou la valideront.

Mots-clés :