"Ateliers d’EBIOS RM"

Sujet réservé

10/06/2019

Le document suivant peut être utilisé lors de la détermination du socle de l’atelier 1 d’EBIOS Risk Manager dans le cas où l’objet de l’étude est un traitement de données à caractère personnel :


Il constitue une déclaration d’applicabilité relative aux principes fondamentaux liés à la protection de la vie privée.

La suite de l’étude permet de satisfaire les obligations du RGPD en matière de sécurité (cf. art. 32) si vous appréciez les impacts sur les personnes concernées en plus de ceux sur l’organisme.
Vous pouvez ainsi utiliser EBIOS Risk Manager pour mener un PIA (cf. art. 35).

10/01/2019

Catégories : Présentation

Voir la présentation

Avec EBIOS – Risk Manager, l’ANSSI a proposé une approche agile à l’évaluation de risques de cybersécurité, soutenu par une organisation en ateliers (séances de remue-méninges). Pour structurer ces ateliers, nous avons créé une série de posters en taille A0 pour capturer en séance les informations avec des post-its (approche de type Obeya). Ces posters ont été affinés à travers 3 études de cas: In-Flight Entertainment (IFE), drones autonomes et dernièrement, l’introduction de l’IOT dans un SCADA ferroviaire.

09/01/2019

Catégories : FAQ

Quelques éléments de réponses :

  • Un spécialiste en analyse de la menace numérique peut contribuer à l’étude pour aider à apprécier cette motivation. Il s’appuie sur l’expérience et la connaissance de la menace dans le secteur considéré.
  • Des bases de connaissance sont en cours de développement pour aider à l’appréciation des niveaux de motivation.
  • Les niveaux de pertinence des couples SR/OV, et les niveaux de motivation en particulier, doivent être évalués comme des valeurs relatives permettant de hiérarchiser les couples selon leur intérêt pour la suite de l’étude.

17/11/2018

Catégories : FAQ

Dans les graphes d’attaque présentés, la valeur en gras correspond à la probabilité ou difficulté technique de l’action élémentaire concernée du point de vue de l’attaquant. Par exemple en page 33 « Pr 4 » pour l’action élémentaire « Intrusion via mail de hameçonnage sur service RH » signifie que l’on considère que cette action d’hameçonnage a une probabilité quasi-certaine de réussir pour l’attaquant compte-tenu par exemple du très faible niveau de sensibilisation des personnes visées. La valeur entre parenthèses et en italique correspond à l’indice cumulé de probabilité ou de difficulté technique de la phase concernée du mode opératoire. Elle est calculée en appliquant les algorithmes proposés pages 32 et 33. La probabilité cumulée intermédiaire à une phase donnée du mode opératoire correspond donc à la probabilité que l’attaquant ait réussi toutes les actions élémentaires en amont y compris l’action élémentaire concernée. Par exemple, page 33, « (3) » au niveau de l’action élémentaire « Exploitation maliciel de collecte et d’exfiltration » signifie que l’on estime que l’attaquant a de très fortes chances (probabilité très élevée) d’arriver à ce stade du mode opératoire concerné, compte-tenu des probabilités de succès des actions élémentaires précédentes et de celle concernée.

Catégories : FAQ

La Fiche méthode n°5 décrit la méthode d’évaluation du niveau de menace d’une partie prenante et propose une métrique. Quatre critères d’évaluation sont pris en compte : deux qui reflètent le degré d’exposition de l’objet de l’étude vis-à-vis de la partie prenante (dépendance et pénétration) et deux qui concernent le niveau de fiabilité cyber de la partie prenante (maturité et confiance).
Dans la cartographie radar, vous pouvez simplement positionner chaque partie prenante selon son niveau de menace. Mais vous pouvez également affiner la représentation comme proposé dans la cartographie page 45 : la taille des ronds reflète le degré d’exposition relatif à la partie prenante (produit dépendance x pénétration) et la couleur des ronds traduit la fiabilité cyber (produit maturité x confiance).

Catégories : FAQ

Dans l’exemple qui est donné, on a supposé que l’on dispose d’informations permettant d’évaluer la motivation, les ressources et l’activité de la source de risque. Une échelle de cotation à trois niveaux est utilisée, représentée par des « + ». La pertinence globale d’un couple SR/OV est estimée selon la métrique suivante : pertinence faible si la somme « motivation+ressources+activité » est égale à 3 ou 4 ; pertinence moyenne si la somme est égale à 5, 6 ou 7 ; pertinence élevée si le score est 8 ou 9.

Catégories : FAQ

Réponse d’un membre du Club EBIOS : « Attention aux échelles utilisant plusieurs types d’impacts »

Rappel du guide EBIOS : « Cette action [élaboration d’une échelle] consiste à créer une échelle décrivant tous les niveaux possibles des impacts. Tout comme les échelles de besoins, une échelle de niveaux d’impacts est généralement ordinale (les objets sont classés par ordre de grandeur, les nombres indiquent des rangs et non des quantités) et composée de plusieurs niveaux permettant de classer l’ensemble des risques« .Ainsi, il est habituel de voir des utilisateurs de la méthode construire plusieurs échelles ordinales selon la nature de l’impact (financier, juridique, sur les opérations, sur la vie privée…) pour estimer la gravité des évènements redoutés. La construction est alors faite en graduant individuellement chaque type d’impact, sans se préoccuper de la cohérence entre les niveaux.Or, seul un résultat global est utilisé dans les cartographies de risques pour évaluer la gravité des uns par rapport aux autres. L’information sur la nature des impacts est perdue.

Pour éviter de fausses conclusions sur l’importance des risques, il faut donc veiller à vérifier la cohérence transverse de la gradation des impacts dans les échelles. Par exemple, vérifier que l’estimation d’un impact de niveau 3 sur les opérations sera de la même valeur pour l’organisme que les impacts financier et juridique de même niveau.
Lorsque c’est possible, le critère pivot (servant à la cohérence) peut être l’échelle financière. Dans le cas contraire (souvent le cas), il convient de présenter les impacts côte à côte et d’estimer leur importance auprès des responsables en recherchant un consensus. Dans ce cas là, les échelles peuvent avoir des cases vides (niveau n’ayant pas d’équivalence pour toutes les natures d’impacts considérées). Ça peut être le cas lorsque l’on estime par exemple la perte de vies humaines.Il est parfois difficile à des responsables d’établir ces échelles de manière générique. Une bonne solution consiste alors à demander aux parties prenantes de hiérarchiser les événements redoutés après avoir identifié les impacts, et de construire les échelles sur la base de cette estimation.

Réponse d’un membre du Club EBIOS : « il est utile de disposer d’échelles d’impacts hétérogènes, c’est un moyen important de communication avec les métiers »

En complément, l’idéal est selon moi de :

  • disposer d’une échelle pour chaque type d’impacts (financiers, sur l’image, juridiques, sur le fonctionnement, sur la vie privée…) en couvrant tout le spectre des possibles (du pire au mieux) ;
  • présenter les impacts côte à côte quand on analyse les événements redoutés et estime leur gravité ;
  • rappeler les différents impacts et leur estimation quand on présente la cartographie (qui ne garde au final que la valeur la plus importante).

On peut ainsi facilement réaliser une étude à la fois SSI et protection de la vie privée en présentant côte à côte les impacts pour l’organisme et les impacts pour les personnes concernées.

Catégories : FAQ

Réponse d’un membre du Club EBIOS : « deux solutions »

Plusieurs propositions sont possibles pour démontrer que les problématiques associées à la traçabilité sont traitées dans une étude EBIOS sans pour autant considérer la traçabilité comme un critère :

  • une solution élégante mais un peu théorique : on considère l’information « traces » (ou « preuve », ou « log ») comme un bien essentiel, et la traçabilité devient l’intégrité et la disponibilité de ce bien essentiel. Cela revient à limiter l’étude aux traces qui induisent un événement redouté et à mettre hors périmètre des biens essentiels les autres, pour éviter les colonnes remplies de « 0 » ;
  • une solution appliquée : la traçabilité n’est pas un critère, mais une mesure de sécurité. Pouvoir tracer une action relève d’une mesure à la fois de dissuasion mais aussi de récupération, et considérer la traçabilité comme tel permet de se limiter à l’étude des événements (vraiment) redoutés : on admet que ne pas pouvoir tracer n’est pas réellement l’événement redouté, mais permet de réduire le risque associé.

Réponse d’un autre membre : « la traçabilité n’est pas un critère de sécurité »

Les critères de sécurité servent à apprécier les impacts en cas d’atteinte de chacun d’eux, et en particulier à étudier les besoins de sécurité. En sécurité de l’information, seules la disponibilité, l’intégrité et la confidentialité sont considérées comme des critères de sécurité (voir notamment les normes ISO/IEC 2700x). Il ne faut pas les confondre ni avec les thèmes de mesures de sécurité, ni avec les références réglementaires. En effet, le (faux) besoin de traçabilité vient du fait qu’on souhaite savoir ce qui s’est passé après un incident (mesure de détection) et/ou d’obligations diverses (légales, réglementaires, sectorielles ou liées à la politique SSI). Il est donc inutile, et même contre-productif d’étudier le besoin de traçabilité.

En outre, il conviendrait de disposer d’une échelle de besoins et d’une échelle d’impacts liées à la traçabilité. C’est souvent en essayant de les construire qu’on se rend compte qu’il s’agit d’une « envie de quelqu’un » qui relève de la mesure de sécurité ou de la couverture d’un « risque » juridique.

Enfin, ceci impliquerait d’étudier toutes les menaces qui mènent à une perte de traçabilité ! Or, ceci relève de la bonne mise en œuvre d’une mesure de sécurité, qu’il n’est pas nécessaire de traiter comme un risque (ou sinon il faudrait le faire pour le chiffrement, le contrôle d’accès, etc.). Toutefois, l’étude des besoins étant un instrument de communication avec les métiers, il est possible d’intégrer la traçabilité dans les critères de sécurité pour que les métiers adhèrent davantage à la démarche en voyant leur point de vue pris en compte…