La méthode EBIOS Risk Manager (EBIOS RM) a été mise à jour en 2018, et l’ISO 27005 en novembre 2022. Ces mises à jour sont majeures, et recentrent la gestion des risques autour des métiers, de la cybersécurité et de la protection de la vie privée. L’objectif de cet article est de préciser le lien et l’adéquation existant entre ces deux standards.
La norme ISO 27005 décrit les grandes lignes d’une gestion des risques dans un contexte cyber : définition du contexte d’analyse, identification et évaluation des risques encourus, possibilités de traitement ou d’acceptation de ces derniers. Elle introduit un processus d’appréciation des risques conforme à l’ISO 31000, sans pour autant proposer de méthode au sens strict.
Construite en cohérence forte avec le couple de normes ISO 27001/27002 et reprenant le vocabulaire principalement défini dans l’ISO 27000, la norme ISO 27005 utilise comme nombre de systèmes de management la logique d’itération et d’amélioration continue.
La méthode EBIOS est une méthode d’analyse et d’évaluation des risques qui a aujourd’hui plus de 25 ans. Elle a été définie par l’ANSSI, avec le soutien du Club EBIOS. Elle décrit dans le détail la procédure à suivre pour dérouler une analyse des risques (démarche et bonnes pratiques).
La dernière version de la méthode a permis de mettre l’accent sur l’agilité, et de substituer à la recherche d’exhaustivité une volonté de représentativité : l’idée n’est plus d’identifier tous les risques, mais uniquement les plus significatifs dans une approche permettant représenter aussi largement que possible l’espace des risques. Elle se veut aussi plus flexible en fonction de la maturité et de l’objectif fixé.
La question du lien entre l’ISO 27005 et EBIOS RM revient régulièrement, pour les deux raisons suivantes :
- EBIOS RM est en France largement connue et son utilisation est très largement majoritaire comme méthode d'analyse de risques. C’est la méthode nationale, et elle est référencée par l’ENISA. Cependant, elle ne jouit pas de la même aura au-delà de nos frontières. EBIOS RM comme l’ISO 27005 présente une structuration de la notion de risque sécurité.
- EBIOS RM n’est pas une norme, mais une méthode. Elle décrit des techniques pratiques pour permettre à ses utilisateurs d’appliquer le modèle décrit dans l’ISO 27005. Dans les faits, lors d'une démarche de mise en œuvre d'un SMSI implémentant la famille de normes ISO 2700x, se pose immédiatement l'obligation d'identifier si oui ou non la méthode d'analyse de risques sélectionnée est bien compatible avec le cadre normatif choisi. EBIOS RM apporte une solution.
Correspondance des activités ISO 27005 et des ateliers EBIOS RM
Quels sont les liens entre le processus EBIOS RM et le processus ISO 27005 ? Peut-on dire d’EBIOS RM qu’elle est compatible ISO 27005 ?
Cet article, au fil des prochains paragraphes, détaille cette compatibilité et le lien entre chaque activité et atelier.
Le workflow général
EBIOS RM
EBIOS RM propose une démarche construite autour de 5 ateliers (réflexions), dont l’importance va varier en fonction de l’objectif fixé pour l’analyse de risques et la maturité du périmètre concerné. Les ateliers proposés sont les suivants :
- Le point de vue du défenseur : Qu’est ce qui doit être protégé, et pourquoi ? L'atelier 1 est un atelier centré sur le périmètre de l'analyse. L'analyste cherche à y définir précisément les frontières (où commence et où se termine l'analyse), ce que les métiers craignent, et l’état d’application du cadre légal, normatif ou réglementaire (le socle de sécurité) sur le périmètre à analyser.
- Qui est l’agresseur et pourquoi passe-t-il à l’acte ? L'atelier 2 est un atelier centré sur l'attaquant, qu'on va chercher à évaluer en termes de ressource & de motivation.
- Par où l’attaquant va-t-il agir ? L'atelier 3 s'intéresse à l'écosystème (tout ce qui interagit avec le périmètre sans en faire partie) et à l'usage possible de cet écosystème par un attaquant pour atteindre son objectif.
- Comment l’attaquant va-t-il agir ? L'atelier 4 cherche à évaluer la vraisemblance des attaques, en creusant les modes opératoires mis en œuvre par un attaquant et en appréciant leur probabilité de réussite.
- Quelle stratégie de sécurité au regard des risques identifiés ? L'atelier 5 est une activité classique de remédiation : maintenant que les risques sont identifiés, comment réussir à les réduire ? Doit-on les traiter, les transférer, peut-on les accepter ?
ISO 27005
La démarche proposée par l’ISO 27005 comprend, elle aussi, 5 étapes majeures :
L’ISO 27005 ajoute en parallèle deux autres activités : la communication et la surveillance & revue.
L'établissement du contexte
L’ISO 27005 appelle à identifier les exigences de base des parties intéressées, en intégrant à la fois des normes, de la réglementation, d’éventuels compléments provenant de la PSSI, etc. Cela correspond très directement à l’activité EBIOS RM d’établissement du socle de sécurité.
Non-conformité : Dans les deux cas, l’idée principale est que l’ensemble des non-conformités permettront d’avoir une vision claire de la maturité du périmètre, et alimenteront le cas échéant le travail réalisé aux étapes suivantes d’évaluation des risques. En effet, chaque non-conformité ou écart sera à prendre en compte pour évaluer la vraisemblance des risques auxquels est exposé le sujet de l’analyse réalisée.
Échelles : Se pose la question des critères de réalisation des appréciations du risque : dit simplement, il s’agit d’identifier les échelles & matrices à employer pour l’analyse, à la fois en termes de gravité des événements redoutés, de vraisemblance, et de politique d’acceptation des risques identifiés.
Conséquence : Pour l’évaluation de la gravité, un changement de vocabulaire important apparaît : l’ISO 27005 ne parle pas d’événements redoutés, mais utilise le terme de conséquence (précédemment, appelle impact). L’évaluation se fait à travers les critères de conséquences, et leurs criticités qui sont le niveau de magnitude, grâce à l’identification des préjudices et dommages : cela correspond tout simplement à la notion d’impacts présents en EBIOS RM.
Vraisemblance : Pour la vraisemblance, l’ISO 27005 appelle à utiliser des échelles reposant sur des probabilités ou des fréquences. EBIOS RM laisse libre l’utilisateur de définir sa méthode d’appréciation de la vraisemblance en l’axant sur la réalité de succès de l’attaquant. L’analyse de la vraisemblance issue d’une analyse de risques EBIOS RM (si l’on suit les fiches méthodes) nécessite une adaptation conformément aux recommandations de l’ISO.
EBIOS RM a en théorie une approche plus continue de la construction de ces éléments (ils sont définis au fil de l’analyse), mais dans les faits c’est souvent le sujet par lequel démarrer. On essaye alors d’aligner ce paramétrage avec celui déjà existant au sein de l’entreprise ou de l’organisme, pour faciliter le partage a posteriori des résultats obtenus.
Le dernier critère est celui de la politique d’acceptation des risques : en fonction des critères précédents (gravité et vraisemblance), quel est le comportement de l’organisme face aux risques identifiés ? Cette évaluation de l’appétence au risque est rarement spécifique à la sphère cyber. L’ISO 27005 et EBIOS RM sont complètement alignées.
L'appréciation du risque
L’appréciation du risque en ISO 27005 passe par son identification, son analyse, puis son évaluation.
L'identification des risques
L’identification des risques au sens ISO 27005 est le processus consistant à rechercher, reconnaître et décrire les risques. Elle implique de déterminer les sources et ce qui peut se produire. La cible est d’avoir à l’issue de cette activité une liste de risques pouvant mener à la concrétisation de conséquences menaçant l’atteinte des objectifs de sécurité identifiés.
En EBIOS RM, l’identification des risques n’est pas monolithique. Elle va se réaliser étape par étape, et chaque atelier va permettre de les construire puis de les préciser :
- L'atelier 1 : EBIOS RM permet d'identifier les événements redoutés
- L'atelier 2 : EBIOS RM filtre les couples sources de risques et objectifs visés pour ne retenir que les plus pertinents. Il est à noter une différence majeure de sémantique entre EBIOS RM et L'ISO 27005 : Le premier ne s'intéresse qu'aux sources intentionnelles (le socle de sécurité couvre le reste), le second intègre explicitement les sources non intentionnelles. Il y a de plus une distinction faite entre l’ISO 27005 entre l'objectif à court terme de l'attaquant et son objectif à long terme (état final recherché), alors qu'EBIOS RM ne dissocie pas les deux éléments. Ce sujet est décrit dans les annexes (informative) ;
- L'atelier 3 : EBIOS RM crée le lien entre évènements redoutés, sources de risques et valeurs métiers : la combinaison de ces éléments permet de faire apparaître des scénarios de risque, et donc d'atteindre l'objectif fixé par l'ISO 27005.
L’ISO 27005 identifie deux approches possibles pour l’identification des risques basée sur :
- Les événements et intégrant l'écosystème
- Les biens supports
Vulnérabilités : Il existe néanmoins une notion explicitée en ISO 27005 et non directement citée en EBIOS RM : la gestion des vulnérabilités. En conjonction à l’atelier 4 (ou à l’approche par les biens), l’intégration des vulnérabilités à la démarche d’analyse de risque permet à l’organisme de proposer un traitement spécifique du risque à un niveau détaillé. Cette proposition peut être vue comme une extension à la démarche EBIOS RM, mais n’est en rien contradictoire.
L'analyse et l'évaluation du risque
Cette étape est destinée à évaluer, à travers un ensemble de critères déterminés en amont, les risques identifiés. Ce travail permettra de projeter chaque risque en termes de gravité et de vraisemblance lors de l’évaluation. Il est (à nouveau) réalisé au fil des ateliers EBIOS RM :
- La volonté de passage à l'acte dans l'atelier 2, connue sous le terme de "pertinence".
- La gravité est évaluée pendant l'atelier 1, lors de l'identification des événements redoutés.
- La vraisemblance est évaluée de manière générale dans l'atelier 3, ou/et de manière détaillée dans l'atelier 4. Dans les deux cas, et que ce soit dans EBIOS RM ou en ISO 27005, la difficulté de l'exercice et sa nécessaire subjectivité sont soulignés. La norme utilise l'expression suivante : "variabilité d'heuristique mentale de prise de décision".
Ces valeurs permettront ensuite de classifier le risque, en le confrontant aux critères d’acceptation du risque, définis par l’organisme : ce n’est ni plus ni moins que le placement de chaque risque sur une matrice d’acceptation du risque, où chaque cellule reflète ces critères.
Le traitement du risque
L’ISO 27005 propose un traitement général du risque décomposé en plusieurs étapes :
- Choisir l'option de traitement, en partant du principe que la réduction est l'option prioritaire
- La préparation d'une déclaration d'acceptabilité (DdA), en lien avec l'annexe A de l'ISO 27001
- La formalisation d'un plan de traitement du risque
- L'acceptation des risques résiduels
EBIOS RM simplifie le choix de l’option de traitement, en priorisant en fonction des niveaux de risque la réduction ou l’acceptation. La notion de DdA n’apparaît pas non plus, mais c’est une production documentaire qui peut être faite à partir des résultats obtenus dans chaque atelier. La formalisation du plan de traitement du risque et l’acceptation des risques résiduels sont très directement repris.
Les process transverses : communication et surveillance
L’ISO 27005 présente le processus de communication de la manière suivante : « les informations sur les risques, leurs causes, leurs conséquences, leurs vraisemblances et les moyens de maîtrise mis en œuvre pour les traiter sont communiqués […] aux parties intéressées ».
Cette communication est bien présente au sein d’EBIOS RM, mais n’est pas identifiée comme une activité spécifique. C’est plutôt un travail de fond, intégré à chaque atelier, avec l’idée que cela fait partie de l’esprit de la méthode : l’analyse de risques est par définition un outil de partage et de communication.
Les nombreuses représentations graphiques (radar, scénarios stratégiques & opérationnels, etc.), mais aussi la volonté très marquée (en termes de vocabulaire et de mise en œuvre) de placer les métiers au centre en est la preuve concrète.
Scénarios de surveillance : Parmi les activités de communication et surveillance, la transposition des scénarios de risques en règles de surveillance, et règles de corrélation à intégrer dans les outils de détection d’une organisation permet d’assurer que les risques résiduels les plus critiques peuvent être détectés. Cette partie, qui fait le lien avec l’ISO 27035 (norme sur la gestion des incidents de sécurité) et les activités de SOC, n’est pas présentée dans le cadre de la méthode EBIOS RM, mais provient d’une contribution du Club EBIOS issue des retours d’expérience de ses praticiens.
Déclencheur : Pour le processus de revue et de surveillance, l’ISO 27005 fournit nombre de détails sur la mise en œuvre du suivi des risques identifiés. Les notions de cycle stratégique et opérationnel sont reprises stricto senso, mais l’ISO 27005 fait apparaître la notion de déclencheur, condition amenant effectivement à initier la mise à jour de l’une ou l’autre des activités.
Résumé des équivalences pour le vocabulaire
EBIOS RM | ISO 27005:2022 |
---|---|
Partie prenante | Partie intéressée |
Cadrage et socle de sécurité | Etablissement du contexte |
Scénario stratégique | Approche par évènements |
Scénario opérationnel | Approche par les biens support |
Évènement redouté | Conséquence |
Évènement intermédiaire | Conséquence intermédiaire |
Valeur métier | Bien primaire |
Bien support | Bien support |
Source de risque | Source de risque |
Niveau de Menace | Niveau de danger |
PACS | Plan de traitement du risque |
Impact | Critères de conséquences |
Besoin de sécurité | Objectif de sécurité |
Gravité | Gravité |
N/A | Déclencheur |
Bilan
L’approche générale proposée par l’ISO 27005 permet à chacun d’identifier les étapes nécessaires à la réalisation d’une analyse de risques, sans imposer de processus spécifique pour les conduire. La nouveauté principale de l’ISO 27005 est l’approche duale par événements et/ou par biens supports, et cette approche duale fait partie du cœur de la méthode EBIOS. Les concepts utilisés de part et d’autre sont cohérents, même s’ils ne sont parfois explicités que d’un côté ou de l’autre.
Product Owner Cyber – ALL4TEC
Risk Analysis and Cyber Team Leader