23/10/2022
La méthode EBIOS Risk Manager (EBIOS RM) a été mise à jour en 2018, et l’ISO 27005 en novembre 2022. Ces mises à jour sont majeures, et recentrent la gestion des risques autour des métiers, de la cybersécurité et de la protection de la vie privée. L’objectif de cet article est de préciser le lien et l’adéquation existant entre ces deux standards.
La norme ISO 27005 décrit les grandes lignes d’une gestion des risques dans un contexte cyber : définition du contexte d’analyse, identification et évaluation des risques encourus, possibilités de traitement ou d’acceptation de ces derniers. Elle introduit un processus d’appréciation des risques conforme à l’ISO 31000, sans pour autant proposer de méthode au sens strict.
Construite en cohérence forte avec le couple de normes ISO 27001/27002 et reprenant le vocabulaire principalement défini dans l’ISO 27000, la norme ISO 27005 utilise comme nombre de systèmes de management la logique d’itération et d’amélioration continue.
La méthode EBIOS est une méthode d’analyse et d’évaluation des risques qui a aujourd’hui plus de 25 ans. Elle a été définie par l’ANSSI, avec le soutien du Club EBIOS. Elle décrit dans le détail la procédure à suivre pour dérouler une analyse des risques (démarche et bonnes pratiques).
La dernière version de la méthode a permis de mettre l’accent sur l’agilité, et de substituer à la recherche d’exhaustivité une volonté de représentativité : l’idée n’est plus d’identifier tous les risques, mais uniquement les plus significatifs dans une approche permettant représenter aussi largement que possible l’espace des risques. Elle se veut aussi plus flexible en fonction de la maturité et de l’objectif fixé.
La question du lien entre l’ISO 27005 et EBIOS RM revient régulièrement, pour les deux raisons suivantes :
Quels sont les liens entre le processus EBIOS RM et le processus ISO 27005 ? Peut-on dire d’EBIOS RM qu’elle est compatible ISO 27005 ? Cet article, au fil des prochains paragraphes, détaille cette compatibilité et le lien entre chaque activité et atelier.
EBIOS RM propose une démarche construite autour de 5 ateliers (réflexions), dont l’importance va varier en fonction de l’objectif fixé pour l’analyse de risques et la maturité du périmètre concerné. Les ateliers proposés sont les suivants :
La démarche proposée par l’ISO 27005 comprend, elle aussi, 5 étapes majeures :
L’ISO 27005 ajoute en parallèle deux autres activités : la communication et la surveillance & revue.
L’ISO 27005 appelle à identifier les exigences de base des parties intéressées, en intégrant à la fois des normes, de la réglementation, d’éventuels compléments provenant de la PSSI, etc. Cela correspond très directement à l’activité EBIOS RM d’établissement du socle de sécurité.
Non-conformité : Dans les deux cas, l’idée principale est que l’ensemble des non-conformités permettront d’avoir une vision claire de la maturité du périmètre, et alimenteront le cas échéant le travail réalisé aux étapes suivantes d’évaluation des risques. En effet, chaque non-conformité ou écart sera à prendre en compte pour évaluer la vraisemblance des risques auxquels est exposé le sujet de l’analyse réalisée.
Échelles : Se pose la question des critères de réalisation des appréciations du risque : dit simplement, il s’agit d’identifier les échelles & matrices à employer pour l’analyse, à la fois en termes de gravité des événements redoutés, de vraisemblance, et de politique d’acceptation des risques identifiés.
Conséquence : Pour l’évaluation de la gravité, un changement de vocabulaire important apparaît : l’ISO 27005 ne parle pas d’événements redoutés, mais utilise le terme de conséquence (précédemment, appelle impact). L’évaluation se fait à travers les critères de conséquences, et leurs criticités qui sont le niveau de magnitude, grâce à l’identification des préjudices et dommages : cela correspond tout simplement à la notion d’impacts présents en EBIOS RM.
Vraisemblance : Pour la vraisemblance, l’ISO 27005 appelle à utiliser des échelles reposant sur des probabilités ou des fréquences. EBIOS RM laisse libre l’utilisateur de définir sa méthode d’appréciation de la vraisemblance en l’axant sur la réalité de succès de l’attaquant. L’analyse de la vraisemblance issue d’une analyse de risques EBIOS RM (si l’on suit les fiches méthodes) nécessite une adaptation conformément aux recommandations de l’ISO.
EBIOS RM a en théorie une approche plus continue de la construction de ces éléments (ils sont définis au fil de l’analyse), mais dans les faits c’est souvent le sujet par lequel démarrer. On essaye alors d’aligner ce paramétrage avec celui déjà existant au sein de l’entreprise ou de l’organisme, pour faciliter le partage a posteriori des résultats obtenus.
Le dernier critère est celui de la politique d’acceptation des risques : en fonction des critères précédents (gravité et vraisemblance), quel est le comportement de l’organisme face aux risques identifiés ? Cette évaluation de l’appétence au risque est rarement spécifique à la sphère cyber. L’ISO 27005 et EBIOS RM sont complètement alignées.
L’appréciation du risque en ISO 27005 passe par son identification, son analyse, puis son évaluation.
L’identification des risques au sens ISO 27005 est le processus consistant à rechercher, reconnaître et décrire les risques. Elle implique de déterminer les sources et ce qui peut se produire. La cible est d’avoir à l’issue de cette activité une liste de risques pouvant mener à la concrétisation de conséquences menaçant l’atteinte des objectifs de sécurité identifiés.
En EBIOS RM, l’identification des risques n’est pas monolithique. Elle va se réaliser étape par étape, et chaque atelier va permettre de les construire puis de les préciser :
L’ISO 27005 identifie deux approches possibles pour l’identification des risques basée sur :
Vulnérabilités : Il existe néanmoins une notion explicitée en ISO 27005 et non directement citée en EBIOS RM : la gestion des vulnérabilités. En conjonction à l’atelier 4 (ou à l’approche par les biens), l’intégration des vulnérabilités à la démarche d’analyse de risque permet à l’organisme de proposer un traitement spécifique du risque à un niveau détaillé. Cette proposition peut être vue comme une extension à la démarche EBIOS RM, mais n’est en rien contradictoire.
Cette étape est destinée à évaluer, à travers un ensemble de critères déterminés en amont, les risques identifiés. Ce travail permettra de projeter chaque risque en termes de gravité et de vraisemblance lors de l’évaluation. Il est (à nouveau) réalisé au fil des ateliers EBIOS RM :
Ces valeurs permettront ensuite de classifier le risque, en le confrontant aux critères d’acceptation du risque, définis par l’organisme : ce n’est ni plus ni moins que le placement de chaque risque sur une matrice d’acceptation du risque, où chaque cellule reflète ces critères.
L’ISO 27005 propose un traitement général du risque décomposé en plusieurs étapes :
EBIOS RM simplifie le choix de l’option de traitement, en priorisant en fonction des niveaux de risque la réduction ou l’acceptation. La notion de DdA n’apparaît pas non plus, mais c’est une production documentaire qui peut être faite à partir des résultats obtenus dans chaque atelier. La formalisation du plan de traitement du risque et l’acceptation des risques résiduels sont très directement repris.
L’ISO 27005 présente le processus de communication de la manière suivante : « les informations sur les risques, leurs causes, leurs conséquences, leurs vraisemblances et les moyens de maîtrise mis en œuvre pour les traiter sont communiqués […] aux parties intéressées ».
Cette communication est bien présente au sein d’EBIOS RM, mais n’est pas identifiée comme une activité spécifique. C’est plutôt un travail de fond, intégré à chaque atelier, avec l’idée que cela fait partie de l’esprit de la méthode : l’analyse de risques est par définition un outil de partage et de communication. Les nombreuses représentations graphiques (radar, scénarios stratégiques & opérationnels, etc.), mais aussi la volonté très marquée (en termes de vocabulaire et de mise en œuvre) de placer les métiers au centre en est la preuve concrète.
Scénarios de surveillance : Parmi les activités de communication et surveillance, la transposition des scénarios de risques en règles de surveillance, et règles de corrélation à intégrer dans les outils de détection d’une organisation permet d’assurer que les risques résiduels les plus critiques peuvent être détectés. Cette partie, qui fait le lien avec l’ISO 27035 (norme sur la gestion des incidents de sécurité) et les activités de SOC, n’est pas présentée dans le cadre de la méthode EBIOS RM, mais provient d’une contribution du Club EBIOS issue des retours d’expérience de ses praticiens.
Déclencheur : Pour le processus de revue et de surveillance, l’ISO 27005 fournit nombre de détails sur la mise en œuvre du suivi des risques identifiés. Les notions de cycle stratégique et opérationnel sont reprises stricto senso, mais l’ISO 27005 fait apparaître la notion de déclencheur, condition amenant effectivement à initier la mise à jour de l’une ou l’autre des activités.
EBIOS RM | ISO 27005 |
---|---|
Partie prenante | Partie intéressée |
Cadrage et socle de sécurité | Etablissement du contexte |
Scénario stratégique | Approche par évènements |
Scénario opérationnel | Approche par les biens support |
Évènement redouté | Conséquence |
Évènement intermédiaire | Conséquence intermédiaire |
Valeur métier | Bien primaire |
Bien support | Bien support |
Source de risque | Source de risque |
Niveau de Menace | Niveau de danger |
PACS | Plan de traitement du risque |
Impact | Critères de conséquences |
Besoin de sécurité | Objectif de sécurité |
Gravité | Gravité |
N/A | Déclencheur |
L’approche générale proposée par l’ISO 27005 permet à chacun d’identifier les étapes nécessaires à la réalisation d’une analyse de risques, sans imposer de processus spécifique pour les conduire. La nouveauté principale de l’ISO 27005 est l’approche duale par événements et/ou par biens supports, et cette approche duale fait partie du cœur de la méthode EBIOS. Les concepts utilisés de part et d’autre sont cohérents, même s’ils ne sont parfois explicités que d’un côté ou de l’autre.
Article connexe : différences entre l’ISO 27005:2018 et l’ISO 27005:2022
10/06/2022
Ce document recense les propositions d’amélioration des guides de la méthode EBIOS Risk Manager et les retours d’expériences, produits par le Club EBIOS en vue d’alimenter les réflexions de l’ANSSI dans le cadre de l’amélioration continue de sa méthode.
En complément, une évaluation des « Principales forces, faiblesses, opportunités et menaces (SWOT) » et une « Évaluation des travaux et référentiels » sont proposées en annexe.
ClubEBIOS-EBIOSRiskManager-BilanEtPropositionsAmeliorations
Télécharger
19/10/2021
Le Club EBIOS se mobilise pour transmettre à l’ANSSI des propositions d’améliorations d’EBIOS Risk Manager.
L’objectif est d’apporter des clarifications, de rendre le guide et les fiches plus efficaces au regard des retours de ses praticiens mais n’est pas de « révolutionner » la méthode (pas en rupture avec le modèle ou les principes de la démarche).
Pour ce faire, un formulaire de collecte de commentaires et de retours d’expériences a été produit afin que chacun puisse contribuer.
Des réunions d’édition seront ensuite organisées pour parvenir à consolider et à mettre en valeurs vos retours.
Les travaux seront présentés aux membres du Club et à l’ANSSI, puis une restitution sera organisé avec l’ANSSI.
Nous comptons sur tous ceux qui ont utilisé la méthode pour y contribuer !
Vous trouverez ci-dessous le formulaire, ainsi que le guide et les fiches pratiques avec des lignes numérotées, pour vous permettre de localiser précisément vos propositions.
Vous pouvez télécharger le formulaire et l’utiliser en y ajoutant vos retours d’expériences, éléments à considérer et propositions d’améliorations.
Les contributions peuvent être transmises jusqu’au 28 novembre 2021 à l’adresse methode@club-ebios.org.
Le formulaire d’appel à commentaires
Le guide de la méthode au format PDF, avec les lignes numérotés
Les fiches de la méthode au format PDF, avec les lignes numérotés
10/09/2021
Le Conseil d’administration du Club EBIOS a créé un exemple d’étude des risques sur la base de celle du système d’information de l’association.
L’étude a été réalisée à l’aide de la méthode EBIOS Risk Manager et porte à la fois sur la cybersécurité et la protection de la vie privée.
L’exemple a pour objectif d’illustrer des techniques de réalisation des ateliers et des techniques de présentation réutilisables dans d’autres analyses.
ClubEBIOS-Exemple_etude_des_risques
Télécharger le document au format PDF.
Télécharger le document au format Word.
24/01/2021
Le Club EBIOS fédère la communauté des personnes intéressées par la gestion des risques autour de la méthode EBIOS.
C’est une association indépendante à but non lucratif (Loi 1901), composée d’experts individuels et d’organismes.
Son positionnement par rapport à l’ANSSI : l’ANSSI publie la méthode EBIOS Risk Manager, labellise les logiciels qui facilitent sa mise en œuvre, et forme les administrations. Le Club EBIOS et l’ANSSI travaillent main dans la main sur ce sujet.
Le rôle du Club EBIOS est de fédérer une communauté de plus de 200 personnes : le Club regroupe des organismes et des experts individuels du secteur public et du secteur privé, français et étrangers.
Il supporte et enrichit le référentiel de gestion des risques français depuis 2003, en collaboration avec l’ANSSI.
Il promeut et développe EBIOS, tous ses usages et ses dérivés (cybersécurité, protection de la vie privée, sécurité des personnes, etc.)
Une logique à 360° (méthode, logiciels, formation, certification) et en amélioration continue.
Le Club EBIOS est un lieu d’échange d’expériences. Il se réunit tous les deux mois pour échanger des expériences, harmoniser les pratiques et favoriser la satisfaction des besoins des usagers.
Il crée et diffuse l’outillage (bases de connaissances, techniques, études de cas, etc.)
Des groupes de travail permettent de créer des outils : “Outils pratiques”, “EBIOS Risk Manager“, “Menaces”, “Plans d’action”
Il agrée les certificateurs pour la certification de compétences EBIOS et anime le Cercle des formateurs.
Il constitue un espace pour définir des positions et exercer un rôle d’influence dans les débats nationaux et internationaux. Il agit en normalisation internationale, notamment sur la révision des normes ISO/IEC 27005 sur la gestion des risques de sécurité de l’information.
Le but du Club EBIOS est de promouvoir la gestion des risques.
Retrouvez-nous sur :
25/10/2020
Pour tous ceux qui souhaitent utiliser EBIOS Risk Manager pour mener un PIA (Privacy Impact Assessment, communément, ou analyse d’impact relative à la protection des données – AIPD, dans le cadre spécifique de l’article 35 du RGPD), voici une infographie qui synthétise la démarche :
D’une manière générale, la sécurité de l’information / cybersécurité et la protection de la vie privée traitent toutes deux de protection des données.
L’objectif diffère : en sécurité de l’information, le but est de protéger l’organisme, alors qu’en protection de la vie privée, le but est de protéger les personnes.
Mais la manière de gérer les risques est parfaitement compatible !
Pour mener un PIA avec EBIOS Risk Manager, il suffit ainsi de :
Toutes les informations requises dans un PIA se retrouvent toutes dans l’étude :
11/10/2020
On a tous entendus parler de la dernière méthode de l’ANSSI, mais on ne l’a pas forcément pratiquée, et on n’a pas forcément compris si elle révolutionne vraiment les choses !
– Pourquoi la notion de socle de sécurité va vous changer la vie ?
– Comment la méthode permet-elle de tenir compte de l’écosystème ?
– etc.
Matthieu GRALL vous en explique les grands principes sous la forme de mini-séquences, sur la chaîne YouTube du Club EBIOS :
C’est aussi l’occasion d’échanger sur le détail d’EBIOS Risk Manager, son usage, son positionnement, tout ce qui tourne autour de la méthode et toute question que vous pourriez vous poser.
L’objectif est de bien faire comprendre ce qu’est EBIOS et ses principes fondamentaux.
Ce n’est pas une formation à la méthode, mais une manière de mieux appréhender la méthode.
10/09/2020
Le Club EBIOS lance une nouvelle initiative : le “Collège des praticiens”.
L’objectif est de constituer un groupe d’utilisateurs qui va produire des éléments pour l’application opérationnelle de la méthode, et les diffuser au sein de la communauté EBIOS Risk Manager.
L’inscription est ouverte à tous, membres et non-membres du Club EBIOS.
L’ANSSI, en tant qu’éditeur de la méthode, est bien entendu déjà membre.
Seule exigence pour poser votre candidature : proposer une contribution au Collège.
En retour, le Club EBIOS s’engage à diffuser largement les travaux en y indiquant le nom du ou des contributeurs.
Nous comptons sur vous, membres de la communauté EBIOS Risk Manager, pour contribuer au déploiement de la méthode
> Télécharger le Règlement du Collège des praticiens
> Candidater
07/09/2020
ClubEBIOS-2020-09-07-GRALL
> Télécharger
Vous souvenez-vous ? Avant, nos voitures n’étaient pas connectées, nous n’étions pas tracés sur Internet (pour notre bien), et les entreprises étaient encore victimes d’attaques informatiques.
C’était au siècle dernier me direz-vous ! À l’ère dernière, même !
De pauvres désignés-volontaires devaient improviser des FEROS*, les meilleurs recopiant habilement celle d’un collègue.
Puis vint la lumière… Elle apparut sous la forme d’un ange nommé EBIOS*, qui apporta d’abord un peu de logique au respectable Vauban du numérique, puis différentes versions qui se nourrissaient de l’expérience de ses pratiquants jusqu’à influencer le monde entier, sans qu’il le sache.
Et alors que le feu sacré n’était plus entretenu que par quelques apôtres esseulés, la SC/DC/AN-SSI revint en force vers ceux-ci pour faire naître un nouveau nephilim.
Naquit notre méthode actuelle, non comme la solution ultime, mais comme une arme à la portée de tous.
Nous devons toujours affronter les croyants du pousse-bouton, mais nous, utopiques défenseurs de l’après-épine dorsale, portons et défendons aujourd’hui, EBIOS !
Retour sur la genèse de notre dernière mouture…
* Toi qui ne connait pas l’acronyme, sors ! (ou renseigne-toi :p)
28/06/2020
Une étude de cas d’analyse de risques EBIOS Risk Manager sur un centre d’imagerie médicale, publiée par Amine TABET (Ingénieur cybersécurité – Mastère Spécialisé en Opérations et Gestion de Crises en Cyberdéfense) :
“Le secteur de la santé est un domaine critique, aujourd’hui plus qu’hier. C’est particulièrement vrai pour les services de radiologie, qui constituent un élément central de ce secteur.
Ainsi, protéger les actifs radiologiques contre les cyber-attaques n’est pas un luxe mais un impératif ! Il faut absolument anticiper en adoptant une approche préventive, à travers la réalisation d’une analyse de risques.
Dans cet article nous présentons l’exemple d’une analyse de risques complète d’un centre d’imagerie médicale, basée sur la méthode EBIOS RM, à l’aide de l’outil Agile Risk Manager labélisé par l’ANSSI.“
Quelques extraits :
01/06/2020
17/05/2020
Voici un aide mémoire contenant les différentes étapes clés de la méthode EBIOS Risk Manager :
13/05/2020
ClubEBIOS-2020-05-13-VANCAUTER
> Télécharger
THALES utilise largement EBIOS RM depuis maintenant plus d’un an pour réaliser ses homologations. Cette présentation fait un focus sur plusieurs points de la méthode que nous avons eu le besoin d’augmenter/compléter/approfondir à l’occasion de l’industrialisation de notre pratique. Ceci est l’occasion d’ouvrir sur la perspective d’une première révision intermédiaire d’EBIOS RM ?!
06/05/2020
Agile Risk Manager est conçu pour vous accompagner dans la mise en œuvre d’analyses de risques en suivant la méthode EBIOS Risk Manager. Profitez de la force d’un outillage adapté pour vous concentrer sur les valeurs fondamentales mises en avant par la méthode : la connaissance, l’agilité et l’engagement.
Agile Risk Manager vous apporte l’efficacité et l’ergonomie d’une solution on-premise, tout en permettant un travail collaboratif complet et intuitif. De la journalisation des modifications à la gestion des rôles et des accès sur vos analyses partagées, tout est fait pour vous permettre de travailler en équipe.
Allez plus loin encore en bénéficiant de la force d’un outillage complet, qui vous guide sans vous restreindre. Agile Risk Manager adapte sa présentation à vos besoins, vous fait des recommandations tout en vous laissant maître de vos choix.
Personnalisez votre expérience :
Grâce à un import de données au format Excel, et un modèle simple et ouvert, retrouvez directement vos analyses précédentes dans Agile Risk Manager. Conservez votre capital métier pour le faire vivre dans l’outil, ou simplement pour initialiser de nouvelles analyses.
Agile Risk Manager vous permet par ailleurs d’échanger des données, avec des clients ou des collègues, en exportant chaque tableau vers Excel et chaque graphique et matrice sous forme d’image. Un rapport global peut également être généré, à n’importe quel moment dans votre analyse. Le contenu de ce rapport est personnalisable, et vous pourrez l’exporter sous différents formats, tels que HTML, Word et PDF.
La prise en main de notre logiciel est simple et aisée. Démarrez facilement avec nos exemples intégrés. Profitez également d’un accompagnement dédié avec nos démonstrations en ligne et une évaluation gratuite.
Pour obtenir plus d’informations ou demander votre version d’évaluation, contactez-nous à contact [at] all4tec.net ou visitez notre site https://www.all4tec.com.
ALL4TEC conçoit et distribue des outils d’analyse de risques dans le domaine de la cybersécurité et de la sûreté de fonctionnement, pour répondre à la double problématique « Safe & Secure » de plus en plus présente chez les grands industriels, opérateurs et donneurs d’ordre de l’IT.
(Par Jean Larroumets, Président d’EGERIE)
Il est convenu que le risque cyber est grandissant. En quelques dizaines d’années, nous sommes passés d’une dimension anecdotique à une menace internationale, multiple, systémique et organisée pouvant provoquer des dégâts considérables.
Dans le même temps, les dirigeants d’entreprise prennent quotidiennement des décisions stratégiques. Que celles-ci soient d’ordre financier, commercial ou industriel leurs conséquences auront toujours un impact considérable sur l’avenir de l’organisation. Mais il s’agit là de domaines historiques bien maîtrisés pour lesquels les dirigeants disposent d’une expérience considérable. Ces derniers sont toutefois désormais amenés à prendre des décisions tout aussi stratégiques, et aux conséquences tout aussi sérieuses, dans un domaine mouvant et en création permanente pour lequel ils n’ont pas toujours l’expérience significative : l’anticipation et l’analyse du risque cyber.
Pendant plusieurs décennies, nous avons mis l’accent sur la défense dans le but d’éviter tout incident de cybersécurité. Mais ces dernières années, les lignes ont bougé et nous avons commencé à accepter l’inéluctable à savoir que certaines attaques ne pourront être évitées et que, le cas échéant, l’important est de se concentrer sur la réponse à apporter pour limiter les risques.
Outre la nécessité de définir et d’analyser le risque cyber, les différents managers et leur COMEX doivent aujourd’hui également se préparer à prouver qu’ils ont mis en œuvre les moyens nécessaires pour le circonscrire.
Mais pourquoi mettre en place du management du risque cyber ?
Aujourd’hui, les entreprises accélèrent leur transformation numérique ce qui les oblige à repenser les métiers et les manières de les exercer. Par ailleurs, elles sont confrontées à l’obligation de s’adapter « à marche forcée » aux injonctions géopolitiques et réglementaires. Et le risque y est omniprésent. Aussi, seule une pratique holistique du Risk Management permet de le maîtriser, c’est-à-dire de sécuriser les stratégies et leurs trajectoires, de protéger les équipes et les actifs.
EGERIE est l’éditeur leader de la gestion des risques cyber en Europe. EGERIE propose une plateforme collaborative permettant une approche globale, agile et structurée pour la gouvernance, le pilotage et la conformité des risques cyber et la protection des données à caractère personnel.
Reconnue par les plus hautes autorités gouvernementales et réglementaires, la technologie d’EGERIE permet aux entreprises et organisations gouvernementales de comprendre comment elles sont exposées aux risques et de les accompagner dans l’aide à la décision et la détermination des mesures de sécurité à mettre en œuvre.
Grâce à la méthode EBIOS Risk Manager intégrée à la plate-forme EGERIE l’entreprise peut aujourd’hui à différents niveaux en analyser et arbitrer le risque cyber et s’inscrire, à plus long terme, dans une démarche d’amélioration continue.
La plate-forme EGERIE, au même titre que la méthode EBIOS Risk Manager, permet de déployer une approche adaptative d’analyse du risque cyber en entrant plus ou moins dans le détail selon les objectifs et le contexte de l’étude. Elle fournit automatiquement les éléments nécessaires à la prise de décision et à la communication au sein de l’organisation comme auprès de ses partenaires. On pourra par exemple rester synthétique dans le cadre d’une étude d’opportunité d’un nouveau projet ou entrer dans le détail d’une modélisation avancée pour une homologation d’un système sensible.
EGERIE, membre du Club EBIOS, participe activement à la promotion et à l’adoption de la méthode EBIOS auprès des industriels et administrations françaises. Nos solutions équipent déjà de nombreux OIV (Organisme d’Importance Vitale) et OSE (Opérateur de Service Essentiel) soucieux de disposer d’éléments d’arbitrage précis et visuels pour piloter au mieux leurs opérations de cybersécurité conformément à leurs enjeux métiers et leurs contraintes règlementaires.
Grâce à sa technologie de pointe, son moteur d’analyse et ses bibliothèques métiers et normatives, la plateforme EGERIE élabore la cartographie des risques cyber et rationalise la stratégie de cybersécurité de l’entreprise.
Le risque est polymorphique et va continuer d’évoluer. Il ne faut donc plus que les dispositifs associés à l’analyse et la gestion de ce risque soient questionnés ou challengés. Chez EGERIE l’anticipation et l’adaptabilité font partie de notre ADN alors nous y veillons.
En savoir plus : www.egerie.eu
EGERIE-EGERIE-Risk-Manager-Plaquette
> Télécharger la plaquette
03/04/2020
Ce mémento, ou aide mémoire, est destiné à aider les personnes en cours d’apprentissage de la méthode.
Il présente les principaux objets de modélisation des risques dans EBIOS Risk Manager, leurs liens, les ateliers dans lesquels ils sont utilisés et quelques définitions importantes.
Club EBIOS - EBIOS Risk Manager - Mémento - 2020-04-03
> Télécharger
01/04/2020
Il faut différencier la conformité aux obligations et les réponses apportées par l’organisme, de la démarche d’étude des risques décrites dans un PIA (Privacy Impact Assessment, ou analyse d’impact relative à la protection des données dans le RGPD).
L’analyse de la conformité aux obligations provenant de l’application de la législation (en particulier du RGPD et de la loi Informatique et libertés) peut ainsi être incluse dans l’atelier 1 d’EBIOS Risk Manager.
Pour ce faire, il ne faut pas mettre le RGPD dans son ensemble dans le socle de sécurité car il ne s’agit pas d’une liste d’exigences.
Par contre :
– les « normes simplifiées » de la CNIL, ou autres référentiels précis publiés par la CNIL ou l’EDPB (les CNILs européennes), peuvent utilement être ajoutées au socle (qui n’est plus que « de sécurité » dans ce cas), car il s’agit d’obligations ou de recommandations précises ;
– le « Socle pour la protection de la vie privée » du Club EBIOS peut être employé de la même manière.
L’étude des risques liés aux données à caractère personnel peut ensuite être menée par scénarios, en considérant les impacts sur les droits et libertés des personnes concernées, en plus ou à la place de la cybersécurité.
NB : EBIOS Risk Manager est une application d’EBIOS à la cybersécurité, dont l’objectif est de protéger les organismes contre les risques liés au numérique, alors que la protection de la vie privée a pour objectif de protéger les personnes concernées contre les mauvais usages et violations de leurs données, etc. Les deux approches sont complémentaires.
Question initiale :
Imaginons que mes associés et moi choisissions la méthode EBIOS Risk Manager.
Quels sont les première étapes d’implémentation de la méthode ? Devons-nous contacter des membres de l’ANSSI ? Devons-nous demander de l’aide ? Les Risk Managers et RSSI doivent-ils obligatoirement passer une formation à EBIOS Risk Manager ?
Très distinctement, comment s’implémente EBIOS Risk Manager d’un point opérationnel et pratique, pour une grande entreprise (les étapes, ceux qu’il faut faire exactement, etc.) ?
Quelques éléments de réponses :
Pour les organisations voulant se lancer, quitte à se tromper, car c’est en pratiquant qu’on va soi-même se rendre compte des choses à améliorer :
1. lire les guides ;
2. faire une formation (cf. liste des formateurs ayant signé la Charte du formateur EBIOS Risk Manager) ;
3. faire une étude, répondant à un besoin réel (ce qui permettra d’impliquer plus facilement les participants), et si possible en mode très “agile” (ce qui permettra d’une part d’avoir rapidement des résultats, d’autre part d’éviter de se noyer, et enfin de rapidement s’approprier les concepts et rectifier plus facilement le tir quand on a pu se tromper) : 1 référence pour le socle, 1 valeur métier, 1 événement redouté, 1 source de risques, 1 scénario stratégique, 1 scénario opérationnel, etc. puis on refait.
Pour les organisations déjà matures en sécurité :
1. disposer d’une instruction rendant les études de risques obligatoires ;
2. établir une taxonomie des besoins en études de risques de cybersécurité, selon le type de projets, contraintes métiers et pays, etc. ;
3. élaborer des guides (ex : documents, wiki) documentant en pratique comment mener une étude EBIOS Risk Manager, avec l’outillage correspondant, que ce soit à base de posters, de feuilles Excel ou d’outils ad-hoc ;
4. organiser des « projets pilotes » sur des études emblématiques de cas réels ; évaluer les retours d’expérience ;
5. organiser des sensibilisations aux études de risques de cybersécurité pour les généralistes ;
6. organiser des formations de « facilitateurs » pour les experts cyber : cela comprend une formation à EBIOS Risk Manager, puis une formation à l’animation d’ateliers.
Pour une démarche plus globale, un excellent guide a été publié par l’ANSSI et l’AMRAE : “Maîtrise du risque numérique – L’atout confiance”.
Il décrit 15 étapes d’une démarche progressive pour construire, étape par étape, une politique de gestion du risque numérique au sein de leur organisation :
– prendre la mesure du risque numérique ; comprendre le risque numérique et s’organiser (étapes 1 à 6) ;
– bâtir son socle de sécurité (étapes 7 à 11) ;
– piloter son risque numérique et valoriser sa cybersécurité (étapes 12 à 15).
Question initiale :
Comment devenir formateur EBIOS Risk Manager ? Quelles sont les étapes ?
Comment faire partie de ceux qui travaillent sur la méthode ?
Quelques éléments de réponses :
Les conditions pour être formateur EBIOS Risk Manager sont fixées dans la Charte des formateurs.
Sur l’ordre des choses, je dirais que c’est à vous de voir !
Et pour faire partie du Cercle des formateurs, il faut d’une part avoir signé cette Charte, mais aussi faire partie du Club EBIOS.
Question initiale :
Lorsque j’évoque l’utilisation ou au moins qu’on s’intéresse à la méthode au sein de mon entreprise (grande collectivité territoriale), on me dit qu’EBIOS est (je cite) :” […] pas fan, rébarbatif, 70 pages que personne ne lit…”
De mon côté je soutiens que la méthode, certes un peu complexe à aborder au départ, mais que, moyennant peut-être un accompagnement initial, l’intérêt est de monter en compétence et en maturité au niveau de notre niveau d’analyse de risques. Cela ne pourra nous être que profitable pour la suite une analyse de risque plus ambitieuse.
Mais par quel bout entamer la démarche ? Est-il notamment pertinent de démarrer par un petit projet ?
D’où ma question: Quel est le degré de granularité minimale d’utilisation d’EBIOS Risk Manager dans un SI ? Ou, autrement dit, peut-on envisager d’utiliser EBIOS Risk Manager pour un projet d’envergure plus modeste (ex: simple applicatif web de service public) ?
Quelques éléments de réponse :
La dernière version de la méthode EBIOS Risk Manager a justement été créée pour être plus accessible à ceux qui imaginaient (à tort selon moi) que la méthode était compliquée (c’est juste qu’elle était davantage écrite à la française, alors que personne n’aime lire !).
L’approche par scénarios permet notamment de se focaliser sur les risques ciblés et représentatifs de l’univers des risques (recherche d’efficacité plutôt que d’exhaustivité), après avoir évalué les mesures qu’on s’est engagé à respecter (ex : PSSI) et qui traitent naturellement la majorité des risques standards si elles sont mises en œuvre (l’approche par conformité).
Quant à son champ d’application, tout est possible : depuis l’étude de l’ensemble de l’organisme jusqu’à celle d’un composant applicatif.
Tout dépend de la modélisation que vous effectuez de la cible de l’étude et l’objectif recherché. Plus le périmètre est important, plus le niveau de granularité de l’analyse par scénarios sera faible pour éviter de se noyer dans trop de scénarios à examiner. Cette modélisation pour rester pertinente demande une connaissance approfondie du périmètre et une expérience de l’application de la méthode pour comprendre les implications des choix de la modélisation”.
Il conviendrait sans doute de privilégier un sujet que vous maîtrisez bien (sur lequel vous aurez toutes les informations nécessaires et si possible vous pourrez impliquer le plus de personnes possible) et qui va intéresser les décideurs (ex : un nouveau service que tout le monde attend).
Quels que soit le sujet retenu, il faudra juste adapter le niveau de détail de chaque atelier à la taille du périmètre afin de garder l’étude digeste pour ceux qui y participeront ou la valideront.
04/03/2020
ClubEBIOS-2020-03-04-GRISPAN-AUVRAY
> Télécharger
Le déroulé de la méthode EBIOS Risk Manager peut être différent en fonction du périmètre de l’analyse.
L’apport d’expertise particulière au niveau de l’évaluation de la menace et des scénarios techniques est un facteur clé du succès.
Nous présenterons notre retour d’expérience dans l’application de la méthode sur un grand système et l’apport des expertises externes.
La méthode EBIOS Risk Manager confirme un changement de paradigme concernant l’étude de la résilience de la mission de l’armée de l’air face à la surface d’attaque grandissante que constitue le cyber espace.
Ce changement implique une évolution de la gouvernance cyber qui doit s’adapter et disposer de moyens pertinents pour exposer le risque cyber aux autorités militaires.
Le coordinateur cybersécurité de l’armée de l’air (équivalent CISO) présente des éléments de réflexions sur les travaux de cartographie du risque cyber s’appuyant sur la méthode EBIOS Risk Manager.
17/02/2020
La présente étude de cas, fruit de plusieurs mois de travaux collaboratifs menés dans le cadre du GT55 “Outils & Pratiques” sous l’égide du Club EBIOS, vise à présenter tout l’intérêt de réaliser une analyse de risques raffinée et ciblée en s’appuyant sur la méthode EBIOS Risk Manager, en capitalisant (mais pas nécessairement) sur une analyse antérieurement basée sur EBIOS 2010*.
Bien qu’il s’agisse d’un cas purement fictif, l’étude en question tire parti de multiples retours d’expérience croisés issus de cas réels (médiatisés ou non) autour des enjeux et problématiques de cybersécurité et de protection des données personnelles liées aux plateformes digitales basées sur des technologies de data science en cloud. En l’occurrence, ladite plateforme se veut destinée ici à proposer par un offreur à ses clients, de digitaliser les process RH liés au management des talents et de la e-réputation, en s’adossant à une solution B-to-B en SaaS.
Si le parti pris a été d’aborder une analyse en post-incident dans une optique de recherche de cause racine (root cause analysis), une démarche par anticipation de certains scénarios de cyber-attaque sophistiqués (mais néanmoins plausibles), portant sur l’écosystème de parties prenantes, gagnera bien évidemment à être privilégiée, et ce, si possible dès la conception des systèmes, conformément au principe du “by design”.
Enfin, au-delà de la pertinence des scénarios et mesures retenus, l’étude de cas s’est avant tout focalisée sur l’implémentation pratique de la méthode EBIOS Risk Manager dans un souci essentiellement pédagogique et de partage auprès de la communauté élargie de praticiens du Risk Management.
* étude de cas par ailleurs disponible en accès membres sur le forum du Club EBIOS.
ClubEBIOS-EtudeDeCas-AnalyticsForTalentManagement-Synthese-2020-02-17
> Télécharger
ClubEBIOS-EtudeDeCas-AnalyticsForTalentManagement-2020-02-17
> Télécharger
17/11/2019
NoLimitSecu a diffusé un podcast sur EBIOS Risk Manager avec Fabien CAPARROS (ANSSI).
05/09/2019
ClubEBIOS-2019-09-05-PAUL
> Télécharger
Thales retravaille en profondeur le kit formation à EBIOS – Risk Manager de l’ANSSI pour des besoins de formation interne. Le résultat sera mis à disposition du Club dans les semaines à venir.
ClubEBIOS-2019-09-05-MA
> Télécharger
Présentation de CYPH-R, un outil d’analyse de risques cybersécurité interne EDF dédié aux besoins industriels. La version 1 est opérationnelle depuis 2018 et conforme avec EBIOS 2010, son évolution vers la conformité avec EBIOS RM est en cours.
11/08/2019
Des mesures peuvent bien entendu avoir un effet sur la gravité des risques dès lors qu’elles réduisent le préjudice lié à l’atteinte de la valeur métier concernée. Par exemple, des mesures permettent la mise en place d’un fonctionnement dégradé.
Les mesures sont prises en compte et décidées à plusieurs étapes de méthode. Un événement redouté peut avoir une gravité réduite parce que des mesures existantes sont considérées dans le socle de sécurité. La réduction de la gravité d’un scénario stratégique (et par induction d’un scénario opérationnel) peut être évaluée lors de l’atelier 3 par l’application de mesures de sécurité sur l’écosystème – Cette réduction à une gravité résiduelle est mentionnée dans le guide EBIOS Risk Manager dans le tableau cité en exemple page 76.
Il est vrai que dans une stratégie se limitant à renforcer la sécurité en rendant la tâche plus difficile pour l’attaquant, elle n’aura pas d’impact sur la gravité des risques. Ce qui ne sera pas le cas si la stratégie conduit également à limiter les préjudices des risques ou à réduire le niveau de menace intrinsèque.
17/04/2019
Question initiale : “Le périmètre d’activité du Risk Manager est bien plus large que le périmètre des risques numériques, et d’autre part, le management des risques numériques est sous la responsabilité du RSSI, qui en fournit une vision au Risk Manager pour consolidation dans la cartographie des risques majeurs de l’organisation.
Au travers des FAQ publiées sur le site de l’ANSSI, il est indiqué que « Les publics intéressés par cette méthode sont les RSSI et les risk managers ». Concrètement qui déroule la méthode ?”
Quelques éléments de réponse :
1. La méthode est bien une démarche de gestion des risques. L’objet de la méthode peut être d’ailleurs de “mettre en place ou renforcer un processus de management du risque numérique au sein d’une organisation”, ce qui est notamment illustré par les cycles opérationnels et stratégiques proposés dans la méthode.
2. Elle n’est pas déroulée par un acteur unique mais est conduite au travers d’ateliers réunissant les points de vue de plusieurs acteurs (Directions, métiers, RSSI, DSI, spécialiste en analyse de la menace numérique, Architectes fonctionnels, spécialiste en cybersécurité). Le Risk Manager peut être l’un des acteurs contribuant à la conduite de la démarche notamment en fournissant des éléments de décision de traitement des risques.
3. Quelque soit la méthode, l’un des points forts de cette nouvelle version est la simplification pour la rendre accessible à un plus grands nombre d’acteurs et notamment des non spécialistes de la SSI, dont des Risk Managers.
4. La méthode EBIOS Risk Manager est limitée aux risques numériques. EBIOS Générique (méthodologie du Club EBIOS) étend EBIOS RM pour se décliner dans tous les domaines en respect des exigences de la norme ISO 31000.
14/03/2019
ClubEBIOS-2019-03-14-VIE
> Télécharger
Suite à l’appel à manifestation d’intérêt en août 2018 et la présentation de la méthode EBIOS Risk Manager, l’ANSSI a présenté son processus de labellisation permettant de proposer à termes des outils avec le label “EBIOS Risk Manager” conforme à la méthode. ALL4TEC est en cours de labellisation pour son outil Agile Risk Manager qui permet de mettre en pratique la méthode de l’ANSSI.
03/02/2019
La traduction du guide d’EBIOS Risk Manager et de son supplément sortira fin septembre 2019.
La précédente version n’a jamais fait l’objet d’une traduction publiée.
Il existe aussi l’EBIOS générique, qui sert à créer des méthodes sectorielles, et qui est traduite.
09/01/2019
EBIOS Risk Manager est une méthode de gestion des risques de cybersécurité, et non de gestion des risques juridiques, environnementaux ou autres.
En outre, l’approche par scénarios d’EBIOS Risk Manager est ciblée sur les menaces intentionnelles.
Toutefois, les risques accidentels et environnementaux sont traités a priori via une approche par conformité au sein du socle de sécurité.
A noter : l’approche générique d’EBIOS (https://club-ebios.org/site/ebios-lapproche-generique/) couvre tous les types de risques et permet de créer des méthodes sectorielles.
L’objectif principal de la méthode EBIOS RM est de se concentrer sur l’analyse des risques ciblés. Considérant que les éléments faisant partie des référentiels de sécurité sont à appliquer (identifiés comme le socle de sécurité en atelier 1), la méthode EBIOS RM n’a pas pour objet de justifier ou d’argumenter le besoin ou les priorités de mettre en place ces mesures.
L’atelier 5, consacré au traitement des risques, sera l’occasion d’inscrire les mesures non mises à œuvre dans un plan d’amélioration continue.
A noter
15/12/2018
La fiche d’expression rationnelle des objectifs de sécurité (FEROS) est un document largement utilisé dans les programmes et projets d’armement comme point de départ d’une démarche d’homologation ou de certification par exemple. Les sommaires types proposés sur le site institutionnel de l’ANSSI, dont celui de la FEROS (https://www.ssi.gouv.fr/uploads/2014/06/Lhomologation-en-neuf-etapes-simples-Document-types.pdf), feront l’objet d’une mise à jour avant l’été 2019 afin de répercuter les évolutions de la méthode EBIOS.
La FEROS est principalement le reflet des résultats de l’analyse de risque, elle est donc structurée comme telle. Par conséquent, vous pouvez adapter votre template en reprenant les grandes séquences d’EBIOS Risk Manager. Par exemple, si l’on considère le template proposé par l’ANSSI (cf. lien ci-dessus) :
Pour le §8, nous vous recommandons fortement de structurer votre stratégie et vos mesures selon le cadre de référence suivant : protection, défense, résilience, gouvernance (voir fiche méthode n°9).
Ci-après les ressources utiles :
09/12/2018
Vous avez bien perçu l’articulation entre l’atelier 1 et les ateliers 2-3-4 d’appréciation des risques.
Un des objectifs de l’atelier 1 est d’identifier ou de bâtir un socle de sécurité à la fois basé sur l’état de l’art, les bonnes pratiques (dont la PSSI existante), et la réglementation. Les ateliers d’appréciation des risques vont ensuite « malmener » ce socle au travers de scénarios d’attaques représentatifs de la menace à laquelle vous êtes réellement exposé. L’appréciation des risques peut aboutir à la nécessité de durcir le socle grâce à des mesures complémentaires ad hoc. Elle peut également permettre de justifier des écarts de conformité ou des vulnérabilités. L’ISO 27001 constitue un cadre intéressant pour bâtir un socle de sécurité cohérent. Par ailleurs, la prise de risque peut dans certains cas être simplement acceptée en l’état ou refusée le temps de revenir à une situation plus saine, voire transférée vers une assurance ou un tiers.
L’appréciation des risques dans EBIOS RM est par essence intentionnelle. Nous considérons que les risques accidentels et environnementaux sont traités a priori dans l’atelier 1 dans le cadre du socle de sécurité.
Dès lors, deux réponses sont possibles.
La première consiste à distinguer les sujets. L’évaluation de la conformité aux bonnes pratiques de l’annexe de l’ISO 27001 vous permet de mettre les écarts en évidence et de déterminer les actions à entreprendre pour vous en rapprocher. Vous choisirez ensuite si votre étude des risques doit être basée sur l’état actuel de conformité aux bonnes pratiques ou sur l’état visé. À l’issue, vous aurez non seulement un plan d’action pour améliorer votre conformité et votre plan d’action pour traiter les risques appréciés avec la méthode.
Pour rappel, ces bonnes pratiques ne constituent pas le cœur d’ISO 27001, mais permettent juste de comparer les mesures choisies dans votre environnement à des bonnes pratiques.
La deuxième est applicable si vous souhaiteriez contextualiser ces risques afin de mettre en lumière de quelle façon les écarts concernés à l’ISO sont préjudiciables et justifier ainsi auprès de votre direction la nécessité d’y remédier.
Si vous souhaitez réaliser une appréciation des risques non intentionnels dans le cadre d’une EBIOS RM, vous pouvez procéder comme suit, mais dans tous les cas la phase d’appréciation des risques devra se concentrer sur les risques les plus extrêmes. Sans quoi, l’analyse serait trop lourde et inexploitable pour un décideur. Celui-ci doit pouvoir poser une décision sur un jeu de scénarios concret et limité, représentatif des risques les plus critiques.
Une façon alternative (mais non exclusive de celle présentée ci-dessus) de « valoriser » les problèmes de nature non intentionnelle est de voir de quelle façon ils peuvent bénéficier aux attaquants dans vos scénarios de risque intentionnels. Par exemple, un attaquant peut arriver à atteindre son objectif visé en raison d’un écart de sécurité environnementale qu’il exploitera volontairement ou opportunément. La vraisemblance d’une attaque peut être accrue à cause d’un manquement à une règle ISO 27001. Dans cette approche, vos écarts non intentionnels sont intégrés dans des scénarios de risques intentionnels en tant que facteurs aggravants qui faciliteront l’attaque. Cette approche peut se révéler très percutante car elle montre de quelle façon les faiblesses environnementales du socle de sécurité peuvent rendre une attaque intentionnelle bien plus vraisemblable ou aggraver fortement les conséquences.
02/12/2018
En matière de gestion des risques ou de cybersécurité, la méthode EBIOS Risk Manager est une méthode de référence développée par l’ANSSI et soutenue par le Club EBIOS. Elle permet d’apprécier et de traiter les risques numériques, conformément à la norme ISO/IEC 27005, dont les valeurs reposent sur les aspects concret, efficient, convaincant et collaboratif.
Face au bouleversement numérique, la méthode EBIOS nécessitait d’évoluer pour prendre en compte l’environnement numérique actuel (systèmes interconnectés, prolifération des menaces, état de l’art et règlementation plus mature, connaissance de la menace). La version de 2010 était très pertinente dans son contexte mais proposait une analyse séquencée, système par système. Il fallait attendre la fin de l’analyse complète pour pouvoir obtenir des résultats. La nouvelle version EBIOS Risk Manager propose une méthode d’analyse plus agile de l’ensemble des systèmes, dans leur environnement global, avec des résultats visibles étape par étape. Ce procédé d’analyse offre un aperçu plus réaliste et qualitatif. On estime qu’après appropriation, la mise en œuvre de cette démarche permet de gagner 30% de temps en comparaison avec la version de 2010. Les analyses réalisées avec cette dernière peuvent être intégrées au sein de cette nouvelle version puisque certaines mesures de traitement ont déjà été opérées. Ces mesures peuvent facilement contribuer à l’atelier 1 de la méthode EBIOS Risk Manager, lors de la définition du socle de sécurité.
EBIOS Risk Manager propose une analyse plus agile et ciblée. Elle est ancrée dans la réalité de la menace cyber et de l’environnement des systèmes concernés, et permet d’obtenir des résultats au fil de l’analyse, par ateliers exécutés. Elle prend en compte l’ensemble de l’écosystème de l’objet de l’étude.
Les analyses de risques réalisées avec la version précédente sont évidemment réutilisables dans la version actuelle. Grâce aux analyses de risques déjà réalisées, les mesures destinées à traiter les risques ont été identifiées et mises en place. Ces mesures pourront être directement intégrées au cours de l’atelier 1 de la méthode EBIOS, lors de la définition du socle de sécurité.
En effet, l’étape de définition du socle de sécurité permet d’identifier l’ensemble des bonnes pratiques, des mesures règlementaires et normatives qui s’appliquent à l’objet de l’étude, mais aussi des mesures spécifiques déjà mises en place sur le périmètre concerné.
La version 2010 n’est plus maintenue à partir de la sortie de la nouvelle version 2018.
Il s’agit de la base officielle de l’ANSSI. Le Club et l’ANSSI poursuivent les travaux dans le cadre des groupes de travail du Club EBIOS afin de fournir plus de contenus sur son portail (bases de connaissances, techniques spécifiques, études de cas, etc.).
La pyramide, qui place la réglementation et les mesures de base sous la gestion des risques, a pour but d’expliquer qu’EBIOS Risk Manager vise l’efficacité plutôt que l’exhaustivité : la méthode gère les risques qui peuvent encore survenir après application de la réglementation et des pratiques de base. Le reste de la méthode se concentre donc uniquement sur cette partie.
17/11/2018
En complément du guide EBIOS Risk Manager, des « fiches méthodes » ont été créées pour vous aider à réaliser chaque atelier décrit dans le guide. Elles contiennent notamment des bases de connaissances qui ont vocation à faciliter l’animation des ateliers d’appréciation des risques et l’identification des scénarios. Conçues comme des outils d’accompagnement à vocation pédagogique, ces fiches méthodes seront régulièrement enrichies et mises à jour.
Suite à l’appel à manifestation d’intérêt lancé l’été 2018 par l’ANSSI, plusieurs éditeurs ont répondu favorablement et travaillent activement au développement de solutions logicielles pour outiller la méthode EBIOS RM.
Le lancement d’un label qui atteste de la conformité des solutions logicielles aux principes et aux concepts de la méthode a eu lieu début 2019.
La liste des solutions labellisées est disponible sur le site de l’ANSSI.
Afin d’outiller cette nouvelle méthode, l’ANSSI souhaite s’appuyer sur des partenaires externes, éditeurs de logiciel. La mise à disposition d’une ou plusieurs solutions logicielles conformes à l’esprit de la méthode apparaît comme un complément attendu qui facilitera son adoption par le plus grand nombre.
Dans cette logique, l’ANSSI travaille à la création et à l’attribution d’un label de conformité EBIOS RM, accessible à tout éditeur souhaitant développer une solution logicielle conforme aux principes et aux concepts de la méthode EBIOS « Risk Manager ».
Les éditeurs sont dès à présent invités à se rapprocher de l’ANSSI (contact : ebios[at]ssi.gouv.fr) pour participer à l’expérimentation de la labellisation avant son lancement et disposer du cahier des charges dans le cadre d’un accord de confidentialité.
Voir la page du label sur le site de l’ANSSI.
Les analyses de risques réalisées avec la version précédente sont évidemment réutilisables dans la version actuelle. Grâce aux analyses de risques déjà réalisées, vous avez identifié et mis en place un certain nombre de mesures destinées à traiter les risques. Ces mesures pourront être directement intégrées au cours de l’atelier 1 de la méthode EBIOS Risk Manager, lors de la définition du socle de sécurité.
En effet, l’étape de définition du socle de sécurité permet d’identifier l’ensemble des bonnes pratiques, des mesures règlementaires et normatives qui s’appliquent à l’objet de l’étude, mais aussi les mesures spécifiques déjà en place sur votre périmètre.
A minima, il est fortement conseillé d’impliquer dans les ateliers un représentant du métier ou de la direction et un responsable des systèmes d’information. Néanmoins, la cybersécurité étant un domaine particulièrement technique, nous conseillons aux PME de se faire accompagner par un prestataire maîtrisant les enjeux et la méthode. Pour cela le Club EBIOS peut aider à prendre en main la méthode et à identifier des prestataires.
Réponse d’un membre du Club
La méthode EBIOS Risk Manager répond tout à fait à ce besoin. Le premier atelier permet de faire l’état des lieux de la conformité à une ou plusieurs règlementations en identifiant les éventuels écarts qui sont envisagés et les mesures qui sont prévues dans le socle de sécurité pour compenser ces écarts. Puis les phases d’appréciation et de traitement des risques (ateliers 2, 3, 4 et 5) permettent de consolider le socle de sécurité pour in fine attester de la conformité réglementaire, en précisant les écarts acceptés grâce à l’ensemble des mesures de sécurité qui permettent de diminuer suffisamment la criticité des risques.
Une réaction extérieure
J’essaye de comprendre de quelle manière EBIOS Risk Manager pourrait être utilisée afin d’évaluer notre conformité vis-à-vis de plusieurs référentiels ANSSI. Je rencontre toutefois un problème d’interprétation pour ce cas d’utilisation, intitulé “Être en conformité avec les référentiels de sécurité numérique”, page 14 du guide. Plus particulièrement dans le tableau de cette page où ce process ne fait intervenir que les ateliers 1 et 5. Cette ligne du tableau semble contredire la réponse ci-dessus. J’ai toutefois une remarque : en général les documents de conformité (hygiène, PSSIE, RGS) sont rédigés en dehors de tout contexte de menace /scénarios de risque précis. Du coup, quel que soit le cheminement au travers des ateliers, il semble difficile de réaliser les étapes de l’atelier 5 qui nécessitent de tels scénarios de risque.
Réponse d’un autre membre du Club
1. Le tableau page 14 du Guide est une aide à l’application de la méthode. Les ateliers identifiés doivent être considérés comme les principaux ateliers visant la finalité recherchée.
2. Il n’est pas nécessaire d’identifier des risques liés aux référentiels considérant que les exigences n’ont pas besoin d’être justifiées par des risques à couvrir. Elles sont des postulats considérés dans l’étude.
3. Les documents de conformité à prendre en compte dans l’atelier 1 doivent être une liste d’exigences applicables servant de référence à l’analyse de conformité. Le contexte peut être pris en compte dans le cadre du référentiel mais ne doit pas dépendre de risques non identifiés. L’atelier 5 peut servir à rédiger le PACS à partir des écarts identifiés en atelier 1, et à identifier les risques résiduels pour les exigences non satisfaites, sans pour autant réaliser une approche par scénario. L’approche par scénario peut compléter l’analyse.
Réponse d’un autre membre du Club
Il faut distinguer :
1. la pure gestion des risques de cybersécurité avec EBIOS Risk Manager, qui commence par évaluer l’application de ce qu’on s’est engagé à mettre en œuvre en matière de sécurité (ex : PSSI ou hygiène), et là, soit on s’arrête là tant que le socle n’est pas mis en œuvre, soit on note les écarts et cela alimente le plan d’action, pour ensuite mener le reste de l’étude comme si c’était mis en place afin de se concentrer sur ce qui dépasse du socle ;
2. la gestion des risques juridiques, qui va consister à protéger l’organisme des non-conformités avec la réglementation qu’on est censé appliquer, et là, il vaut mieux partir de l’EBIOS générique et l’utiliser en changeant les concepts et l’ordre des choses (ex : les impacts seront juridiques, financiers ou d’image et leur gravité dépendra des sanctions potentielles, et les scénarios de risques correspondront à tout ce qui rendrait possible les non-conformités) ;
3. la gestion des risques uniquement sur la vie privée, et là je conseillerais d’utiliser les guides et le logiciel libre PIA de la CNIL ;
4. la gestion des risques mixtes SSI + privacy, qui pourrait consister à utiliser EBIOS Risk Manager, en ajoutant deux choses : d’une part une déclaration d’applicabilité au regard des principes fondamentaux (finalité légitime et déterminée, minimisation des données collectées, exercice des droits des personnes, etc.), et d’autre part les impacts sur les droits et libertés des personnes concernées dans les événements redoutés.
Tout dépend de l’objectif visé, et il faut savoir jouer avec les outils, sachant que selon moi, il n’y a pas de meilleur outil qu’un outil qu’on maîtrise !
En se constituant autour de 5 ateliers complémentaires, la méthode EBIOS RM offre :
– Une synthèse entre conformité et scénarios : la méthode s’appuie sur un socle de sécurité solide, construit grâce à une approche par conformité. L’approche par scénarios vient solliciter ce socle face à des scénarios de risque plus particulièrement ciblés ou sophistiqués ;
– Une valorisation de la connaissance cyber : pour construire des scénarios de risques du point de vue de l’attaquant, il est indispensable d’avoir une bonne connaissance de ceux-ci. L’ANSSI propose donc avec la méthode EBIOS une structure permettant d’évaluer les différents profils d’attaquants et leurs objectifs ainsi que des bases de connaissances ;
– Une prise en compte de l’écosystème : les attaquants ne cherchent plus forcément à atteindre de manière frontale les organismes mais à passer par des parties prenantes de leur écosystème, qui peuvent être plus vulnérables, pour parvenir à leurs fins. La prise en compte de l’écosystème dans l’étude des risques est donc à présent indispensable.
La méthode EBIOS Risk Manager a été conçue en s’appuyant sur les valeurs suivantes :
– une méthode concrète axée sur la réalité de l’état de la menace ;
– une méthode efficiente, simple et suffisamment souple pour être complétée et adaptée rapidement ;
– une méthode convaincante auprès des dirigeants, où le risque cyber doit être expliqué avec pédagogie ;
– une méthode collaborative car les différents ateliers regroupent la direction, les métiers et les équipes SSI.
La méthode EBIOS Risk Manager doit offrir une compréhension partagée des risques cyber entre les décideurs et les opérationnels. L’objectif est que le risque cyber soit considéré au même niveau que les autres risques stratégiques (risque financier, juridique, d’image, etc.) par les dirigeants.
Les publics intéressés par cette méthode sont les RSSI et les risk managers.
La méthode EBIOS (dont la dernière version datait de 2010) était très pertinente dans son contexte. Face aux évolutions du numérique de ces dernières années, elle s’est modernisée pour prendre en compte l’environnement actuel (systèmes interconnectés, prolifération des menaces, état de l’art et règlementation plus mature, connaissance de la menace), et permettre aux dirigeants d’appréhender correctement les enjeux majeurs de la sécurité du numérique (de nature stratégique, financière, juridique, d’image, de ressources humaines).
17/10/2018
La méthode de référence française EBIOS accompagne les organisations pour identifier et comprendre les risques numériques qui leurs sont propres. Elle permet de déterminer les mesures de sécurité adaptées à la menace et de mettre en place le cadre de suivi et d’amélioration continue à l’issue d’une analyse de risque partagée au plus haut niveau.
Sur le site de l’ANSSI : La méthode EBIOS Risk Manager
Écouter aussi le podcast du 17/11/2019 de Fabien CAPARROS (ANSSI) sur NoLimitSecu.
12/02/2017
Dans une étude de risques, on constate que les impacts analysés dépendent fortement du point de vue de chaque partie prenante. Partant de ce constat, ce document de réflexion incite à la prise en compte des préoccupations de chaque acteur, dans une logique “by design”, afin que le produit, système ou service soit accepté par tous.
ClubEBIOS-ImpactsDifferencies-2017-02-19-Approuve
> Télécharger