Analyser des cyber-risques avec EBIOS Risk Manager

EBIOS est une méthode d’analyse de risques développée dans sa version initiale par la DCSSI (direction centrale) devenue ANSSI (agence nationale). Cette méthode qui a évolué d’EBIOS 2010 vers EBIOS Risk Manager est couramment utilisée dans le cadre des homologations (défense, référentiel général de sécurité, activités d’importance vitales…), pour des certifications ISO 27001 et Cloud ou établir des attestations de conformité (SOC for Cybersecurity par exemple). L’analyse et le traitement des risques sont des activités de fond pour tout professionnel de la sécurité car il s’agit d’adapter les mesures de sécurité au niveau requis. EBIOS Risk Manager peut par conséquent être suivie dans un cadre plus large que les homologations et les certifications. D'autres types de méthodes, centrées sur le développement logiciel se concentrent sur la modélisation des menaces. EBIOS Risk Manager suit les bonnes pratiques de la norme ISO 27005.

La méthode

La méthode est très modulable. Elle permet de rentrer plus ou moins dans le détail en fonction de ses objectifs et du contexte. On pourra par exemple rester synthétique dans le cadre d’une étude d’opportunité d’un nouveau projet ou rentrer dans le détail pour une homologation. EBIOS Risk Manager est articulée en 5 ateliers :

  • Le premier atelier consiste à cadrer l’analyse : objectifs, équipe projet, planification, processus métiers, informations et actifs supports, événements redoutés et échelle de mesure des impacts.
  • Le deuxième atelier vise à sélectionner les sources de risques les plus pertinentes par rapport au contexte et aux objectifs visés. On pourra par exemple choisir de considérer le cyberterrorisme comme moins pertinent que le pirate externe ou le concurrent malveillant.
  • L’objectif du troisième atelier est d’élaborer et de qualifier les scénarios de risques qui seront retenus : sources de risques, objectifs visés, modes d’actions et gravité en termes d’impacts pour les métiers (opérationnels, légaux, financier, image de marque).
  • Le quatrième atelier va affiner les scénarios de risques en mesurant leur vraisemblance en fonction des actifs supports concernés. Il est donc nécessaire d’être le plus concret possible et de prendre en compte les ressources humaines, les sites, les applications, les réseaux, les systèmes, les bases de données. Plus on disposera de données précises (issues d’une cartographie à jour, des derniers audits ou de l’historique des incidents de sécurité) et plus les résultats de cette phase seront objectifs.
  • Le dernier atelier consiste à définir les mesures de traitement (rétention, partage, évitement et mitigation pour reprendre le vocabulaire de l’ISO 27005). On obtiendra donc en sortie les risques résiduels qui sont une donnée fondamentale que ce soit pour une homologation ou pour une certification. La formalisation de ces risques résiduels prouvent qu’une entité est consciente de ses risques et des mesures de sécurité en place. Un plan précis et priorisé assure un suivi dans le temps des actions mettant sous contrôle les risques en fonction de leur criticité.

Bénéfice

On reproche souvent aux méthodes d’analyse de risque d’être longues et fastidieuse à mettre en œuvre. Les exercices se révèlent alors soit trop scolaires, réalisés par quelques personnes sans inclure les représentants métiers, soit trop longs et peu adaptés aux transformations à marche forcée que les groupes connaissent actuellement (migrations vers les Cloud publics et privés, méthodes de développement Agile, DevOps, utilisation des containaires…). EBIOS Risk Manager permet une approche pragmatique. On peut se focaliser sur ce qui est important pour l’entité et se concentrer sur les mesures les plus prioritaires. Cela permet d’inclure les métiers et la direction aux moments importuns, sans leur demander une participation trop importante, qu’ils n’aurait généralement pas la possibilité de consacrer à ces analyses.

Pour aller plus loin

L’ANSSI a édité sur son site des fiches méthodes (par exemple identifier et caractériser les sources de risques, construire les graphes d’attaques, structurer les mesures de traitement…). Elles complètent la documentation déjà disponible dans la version précédente. Ces fiches sont très utiles pour préparer et animer les ateliers à chacune des étapes.

 Pour en savoir plus sur les 20 meilleures formations sur la sécurité des systèmes d’information, téléchargez gratuitement notre livre blanc ci-dessous :

Certification, Homologation, Risques, EbiosRiskManager