"EBIOS Risk Manager"

28/06/2020

Une étude de cas d’analyse de risques EBIOS Risk Manager sur un centre d’imagerie médicale, publiée par Amine TABET (Ingénieur cybersécurité – Mastère Spécialisé en Opérations et Gestion de Crises en Cyberdéfense) :

Le secteur de la santé est un domaine critique, aujourd’hui plus qu’hier. C’est particulièrement vrai pour les services de radiologie, qui constituent un élément central de ce secteur.
Ainsi, protéger les actifs radiologiques contre les cyber-attaques n’est pas un luxe mais un impératif ! Il faut absolument anticiper en adoptant une approche préventive, à travers la réalisation d’une analyse de risques.
Dans cet article nous présentons l’exemple d’une analyse de risques complète d’un centre d’imagerie médicale, basée sur la méthode EBIOS RM, à l’aide de l’outil Agile Risk Manager labélisé par l’ANSSI.

Quelques extraits :



01/06/2020

17/05/2020

Catégories : Club EBIOSEBIOS Risk ManagerGuide

Voici un aide mémoire contenant les différentes étapes clés de la méthode EBIOS Risk Manager :

13/05/2020

ClubEBIOS-2020-05-13-VANCAUTER

> Télécharger

THALES utilise largement EBIOS RM depuis maintenant plus d’un an pour réaliser ses homologations. Cette présentation fait un focus sur plusieurs points de la méthode que nous avons eu le besoin d’augmenter/compléter/approfondir à l’occasion de l’industrialisation de notre pratique. Ceci est l’occasion d’ouvrir sur la perspective d’une première révision intermédiaire d’EBIOS RM ?!

Mots-clés :

06/05/2020

Collaborez efficacement pour vos analyses EBIOS Risk Manager !

De la méthode EBIOS Risk Manager à son application agile et collaborative

Agile Risk Manager est conçu pour vous accompagner dans la mise en œuvre d’analyses de risques en suivant la méthode EBIOS Risk Manager. Profitez de la force d’un outillage adapté pour vous concentrer sur les valeurs fondamentales mises en avant par la méthode : la connaissance, l’agilité et l’engagement.

Agile Risk Manager vous apporte l’efficacité et l’ergonomie d’une solution on-premise, tout en permettant un travail collaboratif complet et intuitif. De la journalisation des modifications à la gestion des rôles et des accès sur vos analyses partagées, tout est fait pour vous permettre de travailler en équipe.

La puissance d’un outil entièrement personnalisable

Allez plus loin encore en bénéficiant de la force d’un outillage complet, qui vous guide sans vous restreindre. Agile Risk Manager adapte sa présentation à vos besoins, vous fait des recommandations tout en vous laissant maître de vos choix.

Personnalisez votre expérience :

  • Piochez dans les bases de connaissances intégrées
  • Utilisez les référentiels standards à disposition (ISO 27001, IEC 62443, PSSIE, NIS, etc.)
  • Définissez vos propres référentiels d’entreprise pour faciliter le travail collaboratif
  • Sélectionnez les ateliers et activités à mener en fonction de vos objectifs

Partir d’un patrimoine existant et valoriser ses données

Grâce à un import de données au format Excel, et un modèle simple et ouvert, retrouvez directement vos analyses précédentes dans Agile Risk Manager. Conservez votre capital métier pour le faire vivre dans l’outil, ou simplement pour initialiser de nouvelles analyses.

Agile Risk Manager vous permet par ailleurs d’échanger des données, avec des clients ou des collègues, en exportant chaque tableau vers Excel et chaque graphique et matrice sous forme d’image. Un rapport global peut également être généré, à n’importe quel moment dans votre analyse. Le contenu de ce rapport est personnalisable, et vous pourrez l’exporter sous différents formats, tels que HTML, Word et PDF.

Comment évaluer Agile Risk Manager ?

La prise en main de notre logiciel est simple et aisée. Démarrez facilement avec nos exemples intégrés. Profitez également d’un accompagnement dédié avec nos démonstrations en ligne et une évaluation gratuite pendant 7 jours.

Pour obtenir plus d’informations ou demander votre version d’évaluation, contactez-nous à riskoversee [at] all4tec.net ou visitez notre site https://www.riskoversee.com.

A propos d’ALL4TEC

ALL4TEC, éditeur logiciel français bénéficiant de plus de 20 ans d’expérience, conçoit et distribue des outils d’analyse de risques dans le domaine de la cybersécurité et de la sûreté de fonctionnement au travers de sa marque RiskOversee. Celle-ci regroupe ainsi une gamme d’outils complète pour répondre à la double problématique « Safe & Secure ».

Captures d’écrans

Capture d'écran : Atelier 2 - Évaluation des couples SR/OV

Capture d'écran : Atelier 3 - Cartographie des parties prenantes

Capture d'écran : Atelier 4 - Scénarios opérationnels

Mots-clés :

Quand le risque cyber et les méthodes d’analyse de risque s’invitent au COMEX

(Par Jean Larroumets, Président d’EGERIE)

Il est convenu que le risque cyber est grandissant. En quelques dizaines d’années, nous sommes passés d’une dimension anecdotique à une menace internationale, multiple, systémique et organisée pouvant provoquer des dégâts considérables.

Dans le même temps, les dirigeants d’entreprise prennent quotidiennement des décisions stratégiques. Que celles-ci soient d’ordre financier, commercial ou industriel leurs conséquences auront toujours un impact considérable sur l’avenir de l’organisation. Mais il s’agit là de domaines historiques bien maîtrisés pour lesquels les dirigeants disposent d’une expérience considérable. Ces derniers sont toutefois désormais amenés à prendre des décisions tout aussi stratégiques, et aux conséquences tout aussi sérieuses, dans un domaine mouvant et en création permanente pour lequel ils n’ont pas toujours l’expérience significative : l’anticipation et l’analyse du risque cyber.

Pendant plusieurs décennies, nous avons mis l’accent sur la défense dans le but d’éviter tout incident de cybersécurité. Mais ces dernières années, les lignes ont bougé et nous avons commencé à accepter l’inéluctable à savoir que certaines attaques ne pourront être évitées et que, le cas échéant, l’important est de se concentrer sur la réponse à apporter pour limiter les risques.

Outre la nécessité de définir et d’analyser le risque cyber, les différents managers et leur COMEX doivent aujourd’hui également se préparer à prouver qu’ils ont mis en œuvre les moyens nécessaires pour le circonscrire.

Mais pourquoi mettre en place du management du risque cyber ?

Aujourd’hui, les entreprises accélèrent leur transformation numérique ce qui les oblige à repenser les métiers et les manières de les exercer. Par ailleurs, elles sont confrontées à l’obligation de s’adapter « à marche forcée » aux injonctions géopolitiques et réglementaires. Et le risque y est omniprésent. Aussi, seule une pratique holistique du Risk Management permet de le maîtriser, c’est-à-dire de sécuriser les stratégies et leurs trajectoires, de protéger les équipes et les actifs.

EGERIE est l’éditeur leader de la gestion des risques cyber en Europe. EGERIE propose une plateforme collaborative permettant une approche globale, agile et structurée pour la gouvernance, le pilotage et la conformité des risques cyber et la protection des données à caractère personnel.

Reconnue par les plus hautes autorités gouvernementales et réglementaires, la technologie d’EGERIE permet aux entreprises et organisations gouvernementales de comprendre comment elles sont exposées aux risques et de les accompagner dans l’aide à la décision et la détermination des mesures de sécurité à mettre en œuvre.

Grâce à la méthode EBIOS Risk Manager intégrée à la plate-forme EGERIE l’entreprise peut aujourd’hui à différents niveaux en analyser et arbitrer le risque cyber et s’inscrire, à plus long terme, dans une démarche d’amélioration continue.

La plate-forme EGERIE, au même titre que la méthode EBIOS Risk Manager, permet de déployer une approche adaptative d’analyse du risque cyber en entrant plus ou moins dans le détail selon les objectifs et le contexte de l’étude. Elle fournit automatiquement les éléments nécessaires à la prise de décision et à la communication au sein de l’organisation comme auprès de ses partenaires. On pourra par exemple rester synthétique dans le cadre d’une étude d’opportunité d’un nouveau projet ou entrer dans le détail d’une modélisation avancée pour une homologation d’un système sensible.

EGERIE, membre du Club EBIOS, participe activement à la promotion et à l’adoption de la méthode EBIOS auprès des industriels et administrations françaises. Nos solutions équipent déjà de nombreux OIV (Organisme d’Importance Vitale) et OSE (Opérateur de Service Essentiel) soucieux de disposer d’éléments d’arbitrage précis et visuels pour piloter au mieux leurs opérations de cybersécurité conformément à leurs enjeux métiers et leurs contraintes règlementaires.

Grâce à sa technologie de pointe, son moteur d’analyse et ses bibliothèques métiers et normatives, la plateforme EGERIE élabore la cartographie des risques cyber et rationalise la stratégie de cybersécurité de l’entreprise.

Le risque est polymorphique et va continuer d’évoluer. Il ne faut donc plus que les dispositifs associés à l’analyse et la gestion de ce risque soient questionnés ou challengés. Chez EGERIE l’anticipation et l’adaptabilité font partie de notre ADN alors nous y veillons.

En savoir plus : www.egerie.eu

EGERIE-EGERIE-Risk-Manager-Plaquette

> Télécharger la plaquette

03/04/2020

Catégories : Club EBIOSEBIOS Risk ManagerGuide

Ce mémento, ou aide mémoire, est destiné à aider les personnes en cours d’apprentissage de la méthode.
Il présente les principaux objets de modélisation des risques dans EBIOS Risk Manager, leurs liens, les ateliers dans lesquels ils sont utilisés et quelques définitions importantes.

Club EBIOS - EBIOS Risk Manager - Mémento - 2020-04-03

> Télécharger

Mots-clés :

01/04/2020

Il faut différencier la conformité aux obligations et les réponses apportées par l’organisme, de la démarche d’étude des risques décrites dans un PIA (Privacy Impact Assessment, ou analyse d’impact relative à la protection des données dans le RGPD).

L’analyse de la conformité aux obligations provenant de l’application de la législation (en particulier du RGPD et de la loi Informatique et libertés) peut ainsi être incluse dans l’atelier 1 d’EBIOS Risk Manager.
Pour ce faire, il ne faut pas mettre le RGPD dans son ensemble dans le socle de sécurité car il ne s’agit pas d’une liste d’exigences.
Par contre :
– les « normes simplifiées » de la CNIL, ou autres référentiels précis publiés par la CNIL ou l’EDPB (les CNILs européennes), peuvent utilement être ajoutées au socle (qui n’est plus que « de sécurité » dans ce cas), car il s’agit d’obligations ou de recommandations précises ;
– le « Socle pour la protection de la vie privée » du Club EBIOS peut être employé de la même manière.

L’étude des risques liés aux données à caractère personnel peut ensuite être menée par scénarios, en considérant les impacts sur les droits et libertés des personnes concernées, en plus ou à la place de la cybersécurité.
NB : EBIOS Risk Manager est une application d’EBIOS à la cybersécurité, dont l’objectif est de protéger les organismes contre les risques liés au numérique, alors que la protection de la vie privée a pour objectif de protéger les personnes concernées contre les mauvais usages et violations de leurs données, etc. Les deux approches sont complémentaires.

Catégories : Club EBIOSEBIOS Risk ManagerFAQ

Question initiale :
Imaginons que mes associés et moi choisissions la méthode EBIOS Risk Manager.
Quels sont les première étapes d’implémentation de la méthode ? Devons-nous contacter des membres de l’ANSSI ? Devons-nous demander de l’aide ? Les Risk Managers et RSSI doivent-ils obligatoirement passer une formation à EBIOS Risk Manager ?
Très distinctement, comment s’implémente EBIOS Risk Manager d’un point opérationnel et pratique, pour une grande entreprise (les étapes, ceux qu’il faut faire exactement, etc.) ?

Quelques éléments de réponses :

Pour les organisations voulant se lancer, quitte à se tromper, car c’est en pratiquant qu’on va soi-même se rendre compte des choses à améliorer :
1. lire les guides ;
2. faire une formation (cf. liste des formateurs ayant signé la Charte du formateur EBIOS Risk Manager) ;
3. faire une étude, répondant à un besoin réel (ce qui permettra d’impliquer plus facilement les participants), et si possible en mode très “agile” (ce qui permettra d’une part d’avoir rapidement des résultats, d’autre part d’éviter de se noyer, et enfin de rapidement s’approprier les concepts et rectifier plus facilement le tir quand on a pu se tromper) : 1 référence pour le socle, 1 valeur métier, 1 événement redouté, 1 source de risques, 1 scénario stratégique, 1 scénario opérationnel, etc. puis on refait.

Pour les organisations déjà matures en sécurité :
1. disposer d’une instruction rendant les études de risques obligatoires ;
2. établir une taxonomie des besoins en études de risques de cybersécurité, selon le type de projets, contraintes métiers et pays, etc. ;
3. élaborer des guides (ex : documents, wiki) documentant en pratique comment mener une étude EBIOS Risk Manager, avec l’outillage correspondant, que ce soit à base de posters, de feuilles Excel ou d’outils ad-hoc ;
4. organiser des « projets pilotes » sur des études emblématiques de cas réels ; évaluer les retours d’expérience ;
5. organiser des sensibilisations aux études de risques de cybersécurité pour les généralistes ;
6. organiser des formations de « facilitateurs » pour les experts cyber : cela comprend une formation à EBIOS Risk Manager, puis une formation à l’animation d’ateliers.

Pour une démarche plus globale, un excellent guide a été publié par l’ANSSI et l’AMRAE : “Maîtrise du risque numérique – L’atout confiance”.
Il décrit 15 étapes d’une démarche progressive pour construire, étape par étape, une politique de gestion du risque numérique au sein de leur organisation :
– prendre la mesure du risque numérique ; comprendre le risque numérique et s’organiser (étapes 1 à 6) ;
– bâtir son socle de sécurité (étapes 7 à 11) ;
– piloter son risque numérique et valoriser sa cybersécurité (étapes 12 à 15).

Catégories : Club EBIOSEBIOS Risk ManagerFAQ

Question initiale :
Comment devenir formateur EBIOS Risk Manager ? Quelles sont les étapes ?
Comment faire partie de ceux qui travaillent sur la méthode ?

Quelques éléments de réponses :
Les conditions pour être formateur EBIOS Risk Manager sont fixées dans la Charte des formateurs.
Sur l’ordre des choses, je dirais que c’est à vous de voir !
Et pour faire partie du Cercle des formateurs, il faut d’une part avoir signé cette Charte, mais aussi faire partie du Club EBIOS.

Mots-clés :

Catégories : Club EBIOSEBIOS Risk ManagerFAQ

Question initiale :
Lorsque j’évoque l’utilisation ou au moins qu’on s’intéresse à la méthode au sein de mon entreprise (grande collectivité territoriale), on me dit qu’EBIOS est (je cite) :” […] pas fan, rébarbatif, 70 pages que personne ne lit…”
De mon côté je soutiens que la méthode, certes un peu complexe à aborder au départ, mais que, moyennant peut-être un accompagnement initial, l’intérêt est de monter en compétence et en maturité au niveau de notre niveau d’analyse de risques. Cela ne pourra nous être que profitable pour la suite une analyse de risque plus ambitieuse.
Mais par quel bout entamer la démarche ? Est-il notamment pertinent de démarrer par un petit projet ?
D’où ma question: Quel est le degré de granularité minimale d’utilisation d’EBIOS Risk Manager dans un SI ? Ou, autrement dit, peut-on envisager d’utiliser EBIOS Risk Manager pour un projet d’envergure plus modeste (ex: simple applicatif web de service public) ?

Quelques éléments de réponse :
La dernière version de la méthode EBIOS Risk Manager a justement été créée pour être plus accessible à ceux qui imaginaient (à tort selon moi) que la méthode était compliquée (c’est juste qu’elle était davantage écrite à la française, alors que personne n’aime lire !).
L’approche par scénarios permet notamment de se focaliser sur les risques ciblés et représentatifs de l’univers des risques (recherche d’efficacité plutôt que d’exhaustivité), après avoir évalué les mesures qu’on s’est engagé à respecter (ex : PSSI) et qui traitent naturellement la majorité des risques standards si elles sont mises en œuvre (l’approche par conformité).
Quant à son champ d’application, tout est possible : depuis l’étude de l’ensemble de l’organisme jusqu’à celle d’un composant applicatif.
Tout dépend de la modélisation que vous effectuez de la cible de l’étude et l’objectif recherché. Plus le périmètre est important, plus le niveau de granularité de l’analyse par scénarios sera faible pour éviter de se noyer dans trop de scénarios à examiner. Cette modélisation pour rester pertinente demande une connaissance approfondie du périmètre et une expérience de l’application de la méthode pour comprendre les implications des choix de la modélisation”.
Il conviendrait sans doute de privilégier un sujet que vous maîtrisez bien (sur lequel vous aurez toutes les informations nécessaires et si possible vous pourrez impliquer le plus de personnes possible) et qui va intéresser les décideurs (ex : un nouveau service que tout le monde attend).
Quels que soit le sujet retenu, il faudra juste adapter le niveau de détail de chaque atelier à la taille du périmètre afin de garder l’étude digeste pour ceux qui y participeront ou la valideront.

Mots-clés :

04/03/2020

Catégories : Présentation

ClubEBIOS-2020-03-04-GRISPAN-AUVRAY

> Télécharger

Le déroulé de la méthode EBIOS Risk Manager peut être différent en fonction du périmètre de l’analyse.
L’apport d’expertise particulière au niveau de l’évaluation de la menace et des scénarios techniques est un facteur clé du succès.

Nous présenterons notre retour d’expérience dans l’application de la méthode sur un grand système et l’apport des expertises externes.

Catégories : Présentation

La méthode EBIOS Risk Manager confirme un changement de paradigme concernant l’étude de la résilience de la mission de l’armée de l’air face à la surface d’attaque grandissante que constitue le cyber espace.
Ce changement implique une évolution de la gouvernance cyber qui doit s’adapter et disposer de moyens pertinents pour exposer le risque cyber aux autorités militaires.
Le coordinateur cybersécurité de l’armée de l’air (équivalent CISO) présente des éléments de réflexions sur les travaux de cartographie du risque cyber s’appuyant sur la méthode EBIOS Risk Manager.

Mots-clés :

17/02/2020

La présente étude de cas, fruit de plusieurs mois de travaux collaboratifs menés dans le cadre du GT55 “Outils & Pratiques” sous l’égide du Club EBIOS, vise à présenter tout l’intérêt de réaliser une analyse de risques raffinée et ciblée en s’appuyant sur la méthode EBIOS Risk Manager, en capitalisant (mais pas nécessairement) sur une analyse antérieurement basée sur EBIOS 2010*.

Bien qu’il s’agisse d’un cas purement fictif, l’étude en question tire parti de multiples retours d’expérience croisés issus de cas réels (médiatisés ou non) autour des enjeux et problématiques de cybersécurité et de protection des données personnelles liées aux plateformes digitales basées sur des technologies de data science en cloud. En l’occurrence, ladite plateforme se veut destinée ici à proposer par un offreur à ses clients, de digitaliser les process RH liés au management des talents et de la e-réputation, en s’adossant à une solution B-to-B en SaaS.

Si le parti pris a été d’aborder une analyse en post-incident dans une optique de recherche de cause racine (root cause analysis), une démarche par anticipation de certains scénarios de cyber-attaque sophistiqués (mais néanmoins plausibles), portant sur l’écosystème de parties prenantes, gagnera bien évidemment à être privilégiée, et ce, si possible dès la conception des systèmes, conformément au principe du “by design”.

Enfin, au-delà de la pertinence des scénarios et mesures retenus, l’étude de cas s’est avant tout focalisée sur l’implémentation pratique de la méthode EBIOS Risk Manager dans un souci essentiellement pédagogique et de partage auprès de la communauté élargie de praticiens du Risk Management.

* étude de cas par ailleurs disponible en accès membres sur le forum du Club EBIOS.

ClubEBIOS-EtudeDeCas-AnalyticsForTalentManagement-Synthese-2020-02-17

> Télécharger

ClubEBIOS-EtudeDeCas-AnalyticsForTalentManagement-2020-02-17

> Télécharger

13/01/2020

Le Lean management est à la mode. Cela concerne également la gestion des risques, notamment en France, avec la récente publication de la méthode EBIOS Risk Manager par l’ANSSI.

Cependant, si la nouvelle méthode favorise une approche agile de gestion des risques, elle ne fournit pas les outils pour soutenir les ateliers de brainstorming obligatoires.

Ici, nous proposons un ensemble innovant de posters A0 pour soutenir la collecte d’informations sur la gestion des risques lors des ateliers de brainstorming.
Voir les posters.

En utilisant ces affiches sur un cours de cybersécurité interne à Thales et sur deux études de cas réels, nous avons développé le nombre optimal de posters et leur contenu, en les amenant à un niveau de maturité compatible avec les cas d’usages métier opérationnels.
Nous avons remarqué au cours de ces études de cas que cette technique rend la gestion des risques amusante. C’est un moyen de démystifier la gestion des risques, de la rendre plus facile à comprendre, tout en restant très efficace en temps.
Ce format est particulièrement approprié lors des activités de candidature ou de lancement de projet. Il favorise également un état d’esprit collaboratif, rappelant que la sécurisation de l’architecture système n’est pas la seule affaire des experts en cybersécurité, mais le résultat d’un travail collaboratif impliquant la direction, les experts du domaine, le RSSI et le DSI.

Les posters pour une approche de gestion des risques de type Obeya, par Stéphane Paul de Thales Research & Technology (Laboratoire des systèmes embarqués critiques), sont disponibles sous forme de diapositives PowerPoint sous CC BY-NC-SA (i.e. Creative Commons Attribution + Non Commercial + Partager à l’identique).

Voir aussi l’article.

17/11/2019

Catégories : ANSSIArticleEBIOS Risk Manager
Mots-clés :

05/09/2019

Catégories : Présentation

ClubEBIOS-2019-09-05-PAUL

> Télécharger

Thales retravaille en profondeur le kit formation à EBIOS – Risk Manager de l’ANSSI pour des besoins de formation interne. Le résultat sera mis à disposition du Club dans les semaines à venir.

Catégories : Présentation

ClubEBIOS-2019-09-05-MA

> Télécharger

Présentation de CYPH-R, un outil d’analyse de risques cybersécurité interne EDF dédié aux besoins industriels. La version 1 est opérationnelle depuis 2018 et conforme avec EBIOS 2010, son évolution vers la conformité avec EBIOS RM est en cours.

Mots-clés :

11/08/2019

Catégories : Club EBIOSEBIOS Risk ManagerFAQ

La norme ISO/IEC 27005 décrit les principes de la gestion des risques dans le cadre de la mise en place d’un système de management de la sécurité de l’information en définissant notamment un processus de gestion des risques dans une logique d’amélioration continue.
La méthode EBIOS Risk Manager répond à l’ensemble de ces principes en proposant une méthode. Cette méthode présente 2 approches d’identification des risques : par conformité (pour les risques non délibérés) et par scénarios (pour les risques délibérés).
Ainsi, la détermination du plan de traitement des risques et son suivi (PACS) sont obtenus en respect de la norme.

Mots-clés :

Catégories : Club EBIOSEBIOS Risk ManagerFAQ

Des mesures peuvent bien entendu avoir un effet sur la gravité des risques dès lors qu’elles réduisent le préjudice lié à l’atteinte de la valeur métier concernée. Par exemple, des mesures permettent la mise en place d’un fonctionnement dégradé.
Les mesures sont prises en compte et décidées à plusieurs étapes de méthode. Un événement redouté peut avoir une gravité réduite parce que des mesures existantes sont considérées dans le socle de sécurité. La réduction de la gravité d’un scénario stratégique (et par induction d’un scénario opérationnel) peut être évaluée lors de l’atelier 3 par l’application de mesures de sécurité sur l’écosystème – Cette réduction à une gravité résiduelle est mentionnée dans le guide EBIOS Risk Manager dans le tableau cité en exemple page 76.
Il est vrai que dans une stratégie se limitant à renforcer la sécurité en rendant la tâche plus difficile pour l’attaquant, elle n’aura pas d’impact sur la gravité des risques. Ce qui ne sera pas le cas si la stratégie conduit également à limiter les préjudices des risques ou à réduire le niveau de menace intrinsèque.

Mots-clés :

17/04/2019

Catégories : Club EBIOSEBIOS Risk ManagerFAQ

Question initiale : “Le périmètre d’activité du Risk Manager est bien plus large que le périmètre des risques numériques, et d’autre part, le management des risques numériques est sous la responsabilité du RSSI, qui en fournit une vision au Risk Manager pour consolidation dans la cartographie des risques majeurs de l’organisation.
Au travers des FAQ publiées sur le site de l’ANSSI, il est indiqué que « Les publics intéressés par cette méthode sont les RSSI et les risk managers ». Concrètement qui déroule la méthode ?

Quelques éléments de réponse :
1. La méthode est bien une démarche de gestion des risques. L’objet de la méthode peut être d’ailleurs de “mettre en place ou renforcer un processus de management du risque numérique au sein d’une organisation”, ce qui est notamment illustré par les cycles opérationnels et stratégiques proposés dans la méthode.
2. Elle n’est pas déroulée par un acteur unique mais est conduite au travers d’ateliers réunissant les points de vue de plusieurs acteurs (Directions, métiers, RSSI, DSI, spécialiste en analyse de la menace numérique, Architectes fonctionnels, spécialiste en cybersécurité). Le Risk Manager peut être l’un des acteurs contribuant à la conduite de la démarche notamment en fournissant des éléments de décision de traitement des risques.
3. Quelque soit la méthode, l’un des points forts de cette nouvelle version est la simplification pour la rendre accessible à un plus grands nombre d’acteurs et notamment des non spécialistes de la SSI, dont des Risk Managers.
4. La méthode EBIOS Risk Manager est limitée aux risques numériques. EBIOS Générique (méthodologie du Club EBIOS) étend EBIOS RM pour se décliner dans tous les domaines en respect des exigences de la norme ISO 31000.

14/03/2019

Catégories : Présentation

ClubEBIOS-2019-03-14-VIE

> Télécharger

Suite à l’appel à manifestation d’intérêt en août 2018 et la présentation de la méthode EBIOS Risk Manager, l’ANSSI a présenté son processus de labellisation permettant de proposer à termes des outils avec le label “EBIOS Risk Manager” conforme à la méthode. ALL4TEC est en cours de labellisation pour son outil Agile Risk Manager qui permet de mettre en pratique la méthode de l’ANSSI.

03/02/2019

Catégories : Club EBIOSEBIOS Risk ManagerFAQ

La traduction du guide d’EBIOS Risk Manager et de son supplément sortira fin septembre 2019.

La précédente version n’a jamais fait l’objet d’une traduction publiée.

Il existe aussi l’EBIOS générique, qui sert à créer des méthodes sectorielles, et qui est traduite.

Mots-clés :

09/01/2019

Catégories : Club EBIOSEBIOS Risk ManagerFAQ

EBIOS Risk Manager est une méthode de gestion des risques de cybersécurité, et non de gestion des risques juridiques, environnementaux ou autres.
En outre, l’approche par scénarios d’EBIOS Risk Manager est ciblée sur les menaces intentionnelles.
Toutefois, les risques accidentels et environnementaux sont traités a priori via une approche par conformité au sein du socle de sécurité.

A noter : l’approche générique d’EBIOS (https://club-ebios.org/site/ebios-lapproche-generique/) couvre tous les types de risques et permet de créer des méthodes sectorielles.

Mots-clés :

Catégories : Club EBIOSEBIOS Risk ManagerFAQ

L’objectif principal de la méthode EBIOS RM est de se concentrer sur l’analyse des risques ciblés. Considérant que les éléments faisant partie des référentiels de sécurité sont à appliquer (identifiés comme le socle de sécurité en atelier 1), la méthode EBIOS RM n’a pas pour objet de justifier ou d’argumenter le besoin ou les priorités de mettre en place ces mesures.
L’atelier 5, consacré au traitement des risques, sera l’occasion d’inscrire les mesures non mises à œuvre dans un plan d’amélioration continue.
A noter

  • que l’atelier 1 conduit à identifier des écarts qui pourront être réutilisés dans les activités 3 et 4 pour identifier des scénarios exploitants ces failles ;
  • seules sont représentées dans ce tableau les étapes essentielles pour répondre aux objectifs de l’étude.
Mots-clés :

15/12/2018

Catégories : ANSSIEBIOS Risk ManagerFAQ

La fiche d’expression rationnelle des objectifs de sécurité (FEROS) est un document largement utilisé dans les programmes et projets d’armement comme point de départ d’une démarche d’homologation ou de certification par exemple. Les sommaires types proposés sur le site institutionnel de l’ANSSI, dont celui de la FEROS (https://www.ssi.gouv.fr/uploads/2014/06/Lhomologation-en-neuf-etapes-simples-Document-types.pdf), feront l’objet d’une mise à jour avant l’été 2019 afin de répercuter les évolutions de la méthode EBIOS.

La FEROS est principalement le reflet des résultats de l’analyse de risque, elle est donc structurée comme telle. Par conséquent, vous pouvez adapter votre template en reprenant les grandes séquences d’EBIOS Risk Manager. Par exemple, si l’on considère le template proposé par l’ANSSI (cf. lien ci-dessus) :

  • §4 Besoins de sécurité —–> Socle de sécurité et événements redoutés (atelier 1)
  • §5 Etude des menaces —–> Sources de risque (atelier 2)
  • §6 Evénements redoutés —–> Menace liée à l’écosystème (atelier 3)
  • §7 Risques —–> Scénarios de risque (ateliers 3 et 4)
  • §8 Objectifs de sécurité —–> Stratégie de traitement du risque et mesures de sécurité (atelier 5)
  • §9 Risques résiduels —–> Risques résiduels (atelier 5)
  • §10 Compléments —–> Cadre de suivi des risques (atelier 5)

Pour le §8, nous vous recommandons fortement de structurer votre stratégie et vos mesures selon le cadre de référence suivant : protection, défense, résilience, gouvernance (voir fiche méthode n°9).

Ci-après les ressources utiles :

  • https://www.ssi.gouv.fr/entreprise/management-du-risque/la-methode-ebios-risk-manager/ ;
  • https://www.ssi.gouv.fr/guide/la-methode-ebios-risk-manager-le-guide/ ;
  • https://www.ssi.gouv.fr/entreprise/management-du-risque/la-methode-ebios-risk-manager/faq-methode-ebios-rm/.
Mots-clés :

09/12/2018

Catégories : ANSSIEBIOS Risk ManagerFAQ

Vous avez bien perçu l’articulation entre l’atelier 1 et les ateliers 2-3-4 d’appréciation des risques.

Un des objectifs de l’atelier 1 est d’identifier ou de bâtir un socle de sécurité à la fois basé sur l’état de l’art, les bonnes pratiques (dont la PSSI existante), et la réglementation. Les ateliers d’appréciation des risques vont ensuite « malmener » ce socle au travers de scénarios d’attaques représentatifs de la menace à laquelle vous êtes réellement exposé. L’appréciation des risques peut aboutir à la nécessité de durcir le socle grâce à des mesures complémentaires ad hoc. Elle peut également permettre de justifier des écarts de conformité ou des vulnérabilités. L’ISO 27001 constitue un cadre intéressant pour bâtir un socle de sécurité cohérent. Par ailleurs, la prise de risque peut dans certains cas être simplement acceptée en l’état ou refusée le temps de revenir à une situation plus saine, voire transférée vers une assurance ou un tiers.
L’appréciation des risques dans EBIOS RM est par essence intentionnelle. Nous considérons que les risques accidentels et environnementaux sont traités a priori dans l’atelier 1 dans le cadre du socle de sécurité.

Dès lors, deux réponses sont possibles.

La première consiste à distinguer les sujets. L’évaluation de la conformité aux bonnes pratiques de l’annexe de l’ISO 27001 vous permet de mettre les écarts en évidence et de déterminer les actions à entreprendre pour vous en rapprocher. Vous choisirez ensuite si votre étude des risques doit être basée sur l’état actuel de conformité aux bonnes pratiques ou sur l’état visé. À l’issue, vous aurez non seulement un plan d’action pour améliorer votre conformité et votre plan d’action pour traiter les risques appréciés avec la méthode.
Pour rappel, ces bonnes pratiques ne constituent pas le cœur d’ISO 27001, mais permettent juste de comparer les mesures choisies dans votre environnement à des bonnes pratiques.

La deuxième est applicable si vous souhaiteriez contextualiser ces risques afin de mettre en lumière de quelle façon les écarts concernés à l’ISO sont préjudiciables et justifier ainsi auprès de votre direction la nécessité d’y remédier.
Si vous souhaitez réaliser une appréciation des risques non intentionnels dans le cadre d’une EBIOS RM, vous pouvez procéder comme suit, mais dans tous les cas la phase d’appréciation des risques devra se concentrer sur les risques les plus extrêmes. Sans quoi, l’analyse serait trop lourde et inexploitable pour un décideur. Celui-ci doit pouvoir poser une décision sur un jeu de scénarios concret et limité, représentatif des risques les plus critiques.

  • Atelier 1 : identifiez les thématiques non intentionnelles relatives aux écarts de conformité dont vous souhaitez apprécier le risque (par exemple : la sécurité incendie, l’alimentation en énergie des locaux techniques, les intempéries et phénomènes climatiques, la protection contre les inondations).
  • Atelier 2 : documentez les sources de risque non intentionnelles en précisant le cas échéant les valeurs métier ou biens supports plus particulièrement concernés. (nota : documenter des objectifs visés n’aura ici pas de sens).
  • Atelier 3 : identifiez les parties prenantes associées aux sources de risque non intentionnelles ci-dessus (par exemple tel fournisseur qui assure la maintenance de vos biens supports si la source de risque est « erreur de maintenance ») ; vous pouvez aller au-delà en construisant une cartographie de menace de cet « écosystème non-intentionnel » sur la base de critères à adapter par rapport à ceux proposés pour l’intentionnel dans la fiche méthode n°5. Construisez ensuite pour chaque source de risque un scénario stratégique. Ce scénario illustre la manière selon laquelle la source de risque non intentionnelle peut conduire à des événements redoutés (de l’atelier 1) au travers d’un enchaînement d’événements non intentionnels ou de facteurs aggravants qui peuvent être relatifs aux écarts de conformité et/ou à une faible maîtrise de l’écosystème impliqué.
  • Atelier 4 : si besoin, affinez certains scénarios stratégiques au travers de scénarios opérationnels dont la vocation sera simplement de préciser les modes de défaillance et d’erreur qui pourront également être liés à des écarts (ex : une absence de procédure). Évaluez la vraisemblance des scénarios de risque selon la métrique proposée dans la fiche méthode n°8.
  • Atelier 5 : incorporez vos risques non intentionnels dans le traitement du risque au même titre que les risques intentionnels.

Une façon alternative (mais non exclusive de celle présentée ci-dessus) de « valoriser » les problèmes de nature non intentionnelle est de voir de quelle façon ils peuvent bénéficier aux attaquants dans vos scénarios de risque intentionnels. Par exemple, un attaquant peut arriver à atteindre son objectif visé en raison d’un écart de sécurité environnementale qu’il exploitera volontairement ou opportunément. La vraisemblance d’une attaque peut être accrue à cause d’un manquement à une règle ISO 27001. Dans cette approche, vos écarts non intentionnels sont intégrés dans des scénarios de risques intentionnels en tant que facteurs aggravants qui faciliteront l’attaque. Cette approche peut se révéler très percutante car elle montre de quelle façon les faiblesses environnementales du socle de sécurité peuvent rendre une attaque intentionnelle bien plus vraisemblable ou aggraver fortement les conséquences.

02/12/2018

Catégories : ANSSIEBIOS Risk ManagerFAQ

En matière de gestion des risques ou de cybersécurité, la méthode EBIOS Risk Manager est une méthode de référence développée par l’ANSSI et soutenue par le Club EBIOS. Elle permet d’apprécier et de traiter les risques numériques, conformément à la norme ISO/IEC 27005, dont les valeurs reposent sur les aspects concret, efficient, convaincant et collaboratif.

Face au bouleversement numérique, la méthode EBIOS nécessitait d’évoluer pour prendre en compte l’environnement numérique actuel (systèmes interconnectés, prolifération des menaces, état de l’art et règlementation plus mature, connaissance de la menace). La version de 2010 était très pertinente dans son contexte mais proposait une analyse séquencée, système par système. Il fallait attendre la fin de l’analyse complète pour pouvoir obtenir des résultats. La nouvelle version EBIOS Risk Manager propose une méthode d’analyse plus agile de l’ensemble des systèmes, dans leur environnement global, avec des résultats visibles étape par étape. Ce procédé d’analyse offre un aperçu plus réaliste et qualitatif. On estime qu’après appropriation, la mise en œuvre de cette démarche permet de gagner 30% de temps en comparaison avec la version de 2010. Les analyses réalisées avec cette dernière peuvent être intégrées au sein de cette nouvelle version puisque certaines mesures de traitement ont déjà été opérées. Ces mesures peuvent facilement contribuer à l’atelier 1 de la méthode EBIOS Risk Manager, lors de la définition du socle de sécurité.

EBIOS Risk Manager propose une analyse plus agile et ciblée. Elle est ancrée dans la réalité de la menace cyber et de l’environnement des systèmes concernés, et permet d’obtenir des résultats au fil de l’analyse, par ateliers exécutés. Elle prend en compte l’ensemble de l’écosystème de l’objet de l’étude.
Les analyses de risques réalisées avec la version précédente sont évidemment réutilisables dans la version actuelle. Grâce aux analyses de risques déjà réalisées, les mesures destinées à traiter les risques ont été identifiées et mises en place. Ces mesures pourront être directement intégrées au cours de l’atelier 1 de la méthode EBIOS, lors de la définition du socle de sécurité.
En effet, l’étape de définition du socle de sécurité permet d’identifier l’ensemble des bonnes pratiques, des mesures règlementaires et normatives qui s’appliquent à l’objet de l’étude, mais aussi des mesures spécifiques déjà mises en place sur le périmètre concerné.

La version 2010 n’est plus maintenue à partir de la sortie de la nouvelle version 2018.

Mots-clés :

Catégories : Club EBIOSEBIOS Risk ManagerFAQ

Il s’agit de la base officielle de l’ANSSI. Le Club et l’ANSSI poursuivent les travaux dans le cadre des groupes de travail du Club EBIOS afin de fournir plus de contenus sur son portail (bases de connaissances, techniques spécifiques, études de cas, etc.).

Mots-clés :

Catégories : ANSSIEBIOS Risk ManagerFAQ

La pyramide, qui place la réglementation et les mesures de base sous la gestion des risques, a pour but d’expliquer qu’EBIOS Risk Manager vise l’efficacité plutôt que l’exhaustivité : la méthode gère les risques qui peuvent encore survenir après application de la réglementation et des pratiques de base. Le reste de la méthode se concentre donc uniquement sur cette partie.

Mots-clés :

17/11/2018

Catégories : ANSSIEBIOS Risk ManagerFAQ

En complément du guide EBIOS Risk Manager, des « fiches méthodes » ont été créées pour vous aider à réaliser chaque atelier décrit dans le guide. Elles contiennent notamment des bases de connaissances qui ont vocation à faciliter l’animation des ateliers d’appréciation des risques et l’identification des scénarios. Conçues comme des outils d’accompagnement à vocation pédagogique, ces fiches méthodes seront régulièrement enrichies et mises à jour.

Catégories : ANSSIEBIOS Risk ManagerFAQ

Suite à l’appel à manifestation d’intérêt lancé l’été 2018 par l’ANSSI, plusieurs éditeurs ont répondu favorablement et travaillent activement au développement de solutions logicielles pour outiller la méthode EBIOS RM.
Le lancement d’un label qui atteste de la conformité des solutions logicielles aux principes et aux concepts de la méthode a eu lieu début 2019.
La liste des solutions labellisées est disponible sur le site de l’ANSSI.

Mots-clés :

Catégories : ANSSIEBIOS Risk ManagerFAQ

Afin d’outiller cette nouvelle méthode, l’ANSSI souhaite s’appuyer sur des partenaires externes, éditeurs de logiciel. La mise à disposition d’une ou plusieurs solutions logicielles conformes à l’esprit de la méthode apparaît comme un complément attendu qui facilitera son adoption par le plus grand nombre.
Dans cette logique, l’ANSSI travaille à la création et à l’attribution d’un label de conformité EBIOS RM, accessible à tout éditeur souhaitant développer une solution logicielle conforme aux principes et aux concepts de la méthode EBIOS « Risk Manager ».
Les éditeurs sont dès à présent invités à se rapprocher de l’ANSSI (contact : ebios[at]ssi.gouv.fr) pour participer à l’expérimentation de la labellisation avant son lancement et disposer du cahier des charges dans le cadre d’un accord de confidentialité.

Voir la page du label sur le site de l’ANSSI.

Mots-clés :

Catégories : Club EBIOSEBIOS Risk ManagerFAQ

Les analyses de risques réalisées avec la version précédente sont évidemment réutilisables dans la version actuelle. Grâce aux analyses de risques déjà réalisées, vous avez identifié et mis en place un certain nombre de mesures destinées à traiter les risques. Ces mesures pourront être directement intégrées au cours de l’atelier 1 de la méthode EBIOS Risk Manager, lors de la définition du socle de sécurité.
En effet, l’étape de définition du socle de sécurité permet d’identifier l’ensemble des bonnes pratiques, des mesures règlementaires et normatives qui s’appliquent à l’objet de l’étude, mais aussi les mesures spécifiques déjà en place sur votre périmètre.

Mots-clés :

Catégories : Club EBIOSEBIOS Risk ManagerFAQ

A minima, il est fortement conseillé d’impliquer dans les ateliers un représentant du métier ou de la direction et un responsable des systèmes d’information. Néanmoins, la cybersécurité étant un domaine particulièrement technique, nous conseillons aux PME de se faire accompagner par un prestataire maîtrisant les enjeux et la méthode. Pour cela le Club EBIOS peut aider à prendre en main la méthode et à identifier des prestataires.

Mots-clés :

Catégories : Club EBIOSEBIOS Risk ManagerFAQ

Réponse d’un membre du Club
La méthode EBIOS Risk Manager répond tout à fait à ce besoin. Le premier atelier permet de faire l’état des lieux de la conformité à une ou plusieurs règlementations en identifiant les éventuels écarts qui sont envisagés et les mesures qui sont prévues dans le socle de sécurité pour compenser ces écarts. Puis les phases d’appréciation et de traitement des risques (ateliers 2, 3, 4 et 5) permettent de consolider le socle de sécurité pour in fine attester de la conformité réglementaire, en précisant les écarts acceptés grâce à l’ensemble des mesures de sécurité qui permettent de diminuer suffisamment la criticité des risques.

Une réaction extérieure
J’essaye de comprendre de quelle manière EBIOS Risk Manager pourrait être utilisée afin d’évaluer notre conformité vis-à-vis de plusieurs référentiels ANSSI. Je rencontre toutefois un problème d’interprétation pour ce cas d’utilisation, intitulé “Être en conformité avec les référentiels de sécurité numérique”, page 14 du guide. Plus particulièrement dans le tableau de cette page où ce process ne fait intervenir que les ateliers 1 et 5. Cette ligne du tableau semble contredire la réponse ci-dessus. J’ai toutefois une remarque : en général les documents de conformité (hygiène, PSSIE, RGS) sont rédigés en dehors de tout contexte de menace /scénarios de risque précis. Du coup, quel que soit le cheminement au travers des ateliers, il semble difficile de réaliser les étapes de l’atelier 5 qui nécessitent de tels scénarios de risque.

Réponse d’un autre membre du Club
1. Le tableau page 14 du Guide est une aide à l’application de la méthode. Les ateliers identifiés doivent être considérés comme les principaux ateliers visant la finalité recherchée.
2. Il n’est pas nécessaire d’identifier des risques liés aux référentiels considérant que les exigences n’ont pas besoin d’être justifiées par des risques à couvrir. Elles sont des postulats considérés dans l’étude.
3. Les documents de conformité à prendre en compte dans l’atelier 1 doivent être une liste d’exigences applicables servant de référence à l’analyse de conformité. Le contexte peut être pris en compte dans le cadre du référentiel mais ne doit pas dépendre de risques non identifiés. L’atelier 5 peut servir à rédiger le PACS à partir des écarts identifiés en atelier 1, et à identifier les risques résiduels pour les exigences non satisfaites, sans pour autant réaliser une approche par scénario. L’approche par scénario peut compléter l’analyse.

Réponse d’un autre membre du Club
Il faut distinguer :
1. la pure gestion des risques de cybersécurité avec EBIOS Risk Manager, qui commence par évaluer l’application de ce qu’on s’est engagé à mettre en œuvre en matière de sécurité (ex : PSSI ou hygiène), et là, soit on s’arrête là tant que le socle n’est pas mis en œuvre, soit on note les écarts et cela alimente le plan d’action, pour ensuite mener le reste de l’étude comme si c’était mis en place afin de se concentrer sur ce qui dépasse du socle ;
2. la gestion des risques juridiques, qui va consister à protéger l’organisme des non-conformités avec la réglementation qu’on est censé appliquer, et là, il vaut mieux partir de l’EBIOS générique et l’utiliser en changeant les concepts et l’ordre des choses (ex : les impacts seront juridiques, financiers ou d’image et leur gravité dépendra des sanctions potentielles, et les scénarios de risques correspondront à tout ce qui rendrait possible les non-conformités) ;
3. la gestion des risques uniquement sur la vie privée, et là je conseillerais d’utiliser les guides et le logiciel libre PIA de la CNIL ;
4. la gestion des risques mixtes SSI + privacy, qui pourrait consister à utiliser EBIOS Risk Manager, en ajoutant deux choses : d’une part une déclaration d’applicabilité au regard des principes fondamentaux (finalité légitime et déterminée, minimisation des données collectées, exercice des droits des personnes, etc.), et d’autre part les impacts sur les droits et libertés des personnes concernées dans les événements redoutés.
Tout dépend de l’objectif visé, et il faut savoir jouer avec les outils, sachant que selon moi, il n’y a pas de meilleur outil qu’un outil qu’on maîtrise !

Mots-clés :

Catégories : ANSSIEBIOS Risk ManagerFAQ

En se constituant autour de 5 ateliers complémentaires, la méthode EBIOS RM offre :
– Une synthèse entre conformité et scénarios : la méthode s’appuie sur un socle de sécurité solide, construit grâce à une approche par conformité. L’approche par scénarios vient solliciter ce socle face à des scénarios de risque plus particulièrement ciblés ou sophistiqués ;
– Une valorisation de la connaissance cyber : pour construire des scénarios de risques du point de vue de l’attaquant, il est indispensable d’avoir une bonne connaissance de ceux-ci. L’ANSSI propose donc avec la méthode EBIOS une structure permettant d’évaluer les différents profils d’attaquants et leurs objectifs ainsi que des bases de connaissances ;
– Une prise en compte de l’écosystème : les attaquants ne cherchent plus forcément à atteindre de manière frontale les organismes mais à passer par des parties prenantes de leur écosystème, qui peuvent être plus vulnérables, pour parvenir à leurs fins. La prise en compte de l’écosystème dans l’étude des risques est donc à présent indispensable.

Mots-clés :

Catégories : ANSSIEBIOS Risk ManagerFAQ

La méthode EBIOS Risk Manager a été conçue en s’appuyant sur les valeurs suivantes :
– une méthode concrète axée sur la réalité de l’état de la menace ;
– une méthode efficiente, simple et suffisamment souple pour être complétée et adaptée rapidement ;
– une méthode convaincante auprès des dirigeants, où le risque cyber doit être expliqué avec pédagogie ;
– une méthode collaborative car les différents ateliers regroupent la direction, les métiers et les équipes SSI.

Mots-clés :

Catégories : ANSSIEBIOS Risk ManagerFAQ

La méthode EBIOS Risk Manager doit offrir une compréhension partagée des risques cyber entre les décideurs et les opérationnels. L’objectif est que le risque cyber soit considéré au même niveau que les autres risques stratégiques (risque financier, juridique, d’image, etc.) par les dirigeants.
Les publics intéressés par cette méthode sont les RSSI et les risk managers.

Mots-clés :

Catégories : ANSSIEBIOS Risk ManagerFAQ

La méthode EBIOS (dont la dernière version datait de 2010) était très pertinente dans son contexte. Face aux évolutions du numérique de ces dernières années, elle s’est modernisée pour prendre en compte l’environnement actuel (systèmes interconnectés, prolifération des menaces, état de l’art et règlementation plus mature, connaissance de la menace), et permettre aux dirigeants d’appréhender correctement les enjeux majeurs de la sécurité du numérique (de nature stratégique, financière, juridique, d’image, de ressources humaines).

Mots-clés :

17/10/2018

Catégories : ANSSIEBIOS Risk ManagerMéthode

La méthode de référence française EBIOS accompagne les organisations pour identifier et comprendre les risques numériques qui leurs sont propres. Elle permet de déterminer les mesures de sécurité adaptées à la menace et de mettre en place le cadre de suivi et d’amélioration continue à l’issue d’une analyse de risque partagée au plus haut niveau.

Sur le site de l’ANSSI : La méthode EBIOS Risk Manager
EBIOS Risk Manager

Écouter aussi le podcast du 17/11/2019 de Fabien CAPARROS (ANSSI) sur NoLimitSecu.

12/02/2017

Catégories : Atelier 1Club EBIOSGuide

Dans une étude de risques, on constate que les impacts analysés dépendent fortement du point de vue de chaque partie prenante. Partant de ce constat, ce document de réflexion incite à la prise en compte des préoccupations de chaque acteur, dans une logique “by design”, afin que le produit, système ou service soit accepté par tous.

ClubEBIOS-ImpactsDifferencies-2017-02-19-Approuve

> Télécharger