EBIOS Rick manager
1. Qu’est-ce que la méthode EBIOS Risk Manager ?
Pour assurer ses missions, l’organisation relative au management des risques numériques doit développer trois valeurs fondamentales : la connaissance, l’agilité et l’engagement.
EBIOS Risk Manager offre une compréhension et une responsabilité partagées des risques numériques entre décideurs et les acteurs opérationnels pour y parvenir. L’objectif est de permettre aux dirigeants d’appréhender correctement ces risques, au même titre que d’autres de nature stratégique, financière, juridique, d’image, de ressources humaines, etc.).
La méthode EBIOS, méthode d’analyse de risque française de référence, permet aux organisations de réaliser une appréciation et un traitement des risques. Mais face au bouleversement numérique, une modernisation de cette démarche s’avère indispensable, pour prendre en compte l’environnement actuel (systèmes interconnectés, prolifération de la menace, état de l’art et règlementation plus matures, connaissance de la menace). L’ANSSI a fait évoluer sa méthode initiale en tenant compte des nombreux retours d’expérience tout en faisant converger concepts et normes internationales relatives au système de management de la sécurité de l’information.
La méthode EBIOS Risk Manager se distingue par une approche qui réalise une synthèse entre conformité et scénarios. Elle se fonde sur un socle de sécurité solide, construit grâce à une approche par conformité. La démarche par scénarios vient solliciter ce socle face à des menaces particulièrement ciblées ou sophistiquées, qui prennent en compte l’écosystème métier et technique dans lequel l’organisation ciblée évolue.
2. La méthode en cinq ateliers
La méthode EBIOS Risk Manager adopte une approche de management du risque qui part du plus haut niveau (grandes missions de l’objet étudié) pour s’intéresser progressivement aux éléments métier et techniques, en étudiant les chemins d’attaque possibles.
Elle vise à obtenir une synthèse entre « conformité » et « scénarios » par le repositionnement de ces deux approches complémentaires là où elles apportent le plus de valeur ajoutée.
Selon EBIOS Risk Manager, l’appréciation des risques par scénarios se concentre donc sur les menaces intentionnelles et ciblées.
2.1 Atelier 1 : Cadrage et Socle de sécurité
Le premier atelier vise à identifier l’objet de l’étude, les participants aux ateliers et le cadre temporel. Au cours de cet atelier, vous recensez les missions, valeurs métier et biens supports relatifs à l’objet étudié. Vous identifiez les événements redoutés associés aux valeurs métier et estimez la gravité de leurs impacts. Vous évaluez également la conformité au socle de sécurité..
Les objectifs de l’atelier
Le but de ce premier atelier est de définir le cadre de l’étude, son périmètre métier et technique, les événements redoutés associés et le socle de sécurité.Cet atelier est un prérequis à la réalisation d’une appréciation des risques. A l’issue de cet atelier, des mesures de sécurité permettant de réduire les écarts du socle pourront être inscrites dans le plan de traitement du risque de l’atelier 5. La période à considérer pour cet atelier est celle du cycle stratégique.
Les participants à l’atelier
Les rôles des participants ou les rôles équivalents dans votre organisation sont :
- Direction (ou décideurs ayant le bon niveau de délégation) ;
- Métiers ;
- Responsable de la sécurité des systèmes d’information (RSSI) ou Responsable de la sécurité numérique du périmètre de l’étude ;
- Directeur des systèmes d’information (DSI) et/ou responsable informatique du périmètre de l’étude.
2.2 Atelier 2 : Sources de risque
Dans le deuxième atelier, vous identifiez et caractérisez les sources de risque(SR) et leurs objectifs de haut niveau, appelés objectifs visés (OV). Les couples SR/OV jugés les plus pertinents sont retenus au terme de cet atelier. Les résultats sont formalisés dans une cartographie des sources de risque.
Les objectifs de l’atelier
Le but de l’atelier 2 est d’identifier les sources de risque (SR) et leurs objectifs visés (OV), en lien avec le contexte particulier de l’étude. L’atelier vise à répondre à la question suivante : qui ou quoi pourrait porter atteinte aux missions et valeurs métier identifiées dans l’atelier 1, et dans quels buts ? Les sources de risque et les objectifs visés sont ensuite caractérisés et évalués en vue de retenir les plus pertinents. Ils seront utiles à la construction des scénarios des ateliers 3 et 4.
Les participants à l’atelier
Les rôles des participants ou les rôles équivalents dans votre organisation sont :
- Direction (au minimum lors de la dernière étape de l’atelier) ;
- Métiers ;
- RSSI ;
- Un spécialiste en analyse de la menace numérique complètera éventuellement votre groupe de travail, selon le niveau de connaissance de l’équipe et le niveau de précision souhaité.
2.3 Atelier 3 : Scénarios stratégiques
Dans l’atelier 3, vous allez acquérir une vision claire de l’écosystème et établir une cartographie du niveau de dangerosité induit par la relation avec les parties prenantes majeures de l’objet étudié. Ceci va vous permettre de bâtir des scénarios de haut niveau, appelés scénarios stratégiques. Ils représentent les chemins d’attaque qu’une source de risque est susceptible d’emprunter pour atteindre son objectif. Ces scénarios se conçoivent à l’échelle de l’écosystème et des valeurs métier de l’objet étudié. . Leur gravité est ensuite estimée.. À l’issue de cet atelier, vous pouvez déjà définir des mesures de sécurité sur l’écosystème.
Les objectifs de l’atelier
L’écosystème comprend l’ensemble des parties prenantes qui gravitent autour de l’objet de l’étude et concourent à la réalisation de ses missions (partenaires, sous-traitants, filiales, etc.). De plus en plus de modes opératoires d’attaque exploitent les maillons les plus vulnérables de cet écosystème pour atteindre leur objectif (exemple : atteinte à la disponibilité d’un service en attaquant le fournisseur de service en nuage, piège de la chaîne logistique d’approvisionnement de serveurs facilitant l’exfiltration de données sensibles). L’objectif de l’atelier 3 est de disposer d’une vision claire de l’écosystème, afin d’en identifier les parties prenantes les plus menaçantes à la direction. Il s’agit ensuite de bâtir des scénarios de haut niveau, appelés scénarios stratégiques. Ces derniers sont autant de chemins d’attaque que pourrait emprunter une source de risque pour atteindre son objectif (i.e. un des couples SR/OV sélectionnés lors de l’atelier 2). L’atelier 3 est à aborder comme une étude préliminaire de risque. Il peut conduire à identifier les mesures de sécurité à appliquer vis-à -vis de l’écosystème. Les scénarios stratégiques retenus dans l’atelier 3 constituent la base des scénarios opérationnels de l’atelier 4.
Les participants à l’atelier
Les rôles des participants ou les rôles équivalents dans votre organisation sont :
- Métiers, selon la finalité de l’étude ;
- Acteurs ayant connaissance des engagements contractuels avec les parties prenantes (usuellement Achats ou Service juridique) ;
- Architectes fonctionnels ;
- RSSI ;
- Un spécialiste en cybersécurité complètera éventuellement votre groupe de travail, selon le niveau de connaissance de l’équipe et le degré d’affinement visé.
2.4 Atelier 4 : Scénarios opérationnels
Le but de l’atelier 4 est de construire des scénarios techniques reprenant les modes opératoires susceptibles d’être utilisés par les sources de risque pour réaliser les scénarios stratégiques. Cet atelier adopte une démarche similaire à celle de l’atelier précédent mais se concentre sur les biens supports critiques. Vous estimez ensuite le niveau de vraisemblance des scénarios opérationnels obtenus.
Les objectifs de l’atelier
L’objectif de l’atelier 4 est de construire des scénarios opérationnels. Ils schématisent les modes opératoires que pourraient mettre en œuvre les sources de risque pour réaliser les scénarios stratégiques. Cet atelier adopte une démarche similaire à celle de l’atelier précédent mais se concentre sur les biens supports. La vraisemblance des scénarios opérationnels obtenus est ensuite estimée. À l’issue de cet atelier, vous allez réaliser une synthèse de l’ensemble des risques de l’étude. La période à considérer pour cet atelier est celle du cycle opérationnel.
Les participants à l’atelier
Les rôles des participants ou les rôles équivalents dans votre organisation sont :
- RSSI ;
- DSI ;
- Un spécialiste en cybersécurité complètera éventuellement le groupe de travail, selon le niveau de connaissance de l’équipe et le degré de précision souhaité.
2.5 Atelier 5 : Traitement du risque
Le dernier atelier consiste à synthétiser de l’ensemble des risques étudiés et à définir une stratégie de traitement du risque. Cette dernière est ensuite déclinée en mesures de sécurité inscrites dans un plan de traitement du risque. Lors de cet atelier, vous établissez la synthèse des risques résiduels et définissez le cadre de suivi des risques.
Les objectifs de l’atelier
Le but de cet atelier est de réaliser une synthèse des scénarios de risque identifiés et de définir une stratégie de traitement du risque. Cette stratégie aboutit à la définition de mesures de sécurité, recensées dans un plan de traitement du risque. Les risques résiduels sont ensuite identifiés ainsi que le cadre de suivi de ces risques.
Les participants à l’atelier
Les participants sont les mêmes que ceux de l’atelier 1 :
- Direction ;
- Métiers ;
- RSSI ;
- DSI.
3. Une démarche collaborative et agile
La nouvelle méthode d’analyse de risque EBIOS Risk Manager est un outil pratique, pédagogique et collaboratif pour intégrer le numérique dans le management des risques.
EBIOS Risk Manager est une méthode conçue pour être éprouvée, améliorée et discutée. En un mot, elle doit continuer de vivre et évoluer au contact d’une large communauté d’utilisateurs, déjà engagée dans cette démarche.
Dans ce contexte, le club EBIOS et le CLUSIF (ainsi que ses instances régionales en France) sont des partenaires indissociables de cette démarche, garants de la reconnaissance et de l’utilisation de la méthode EBIOS. De même, des partenariats avec d’autres organismes professionnels sont essentiels. EBIOS Risk Manager respecte un modèle dynamique qui s’inspire des méthodes de développement agile, en permanence challengées et adaptées aux différents contextes d’emploi par une communauté ouverte, connectée et réactive.
