Quels sont les liens entre la norme ISO 27005 et EBIOS Risk Manager ?

La méthode EBIOS Risk Manager (EBIOS RM) a été mise à jour en 2018, et l’ISO 27005 en novembre 2022. Ces mises à jour sont majeures, et recentrent la gestion des risques autour des métiers, de la cybersécurité et de la protection de la vie privée. L’objectif de cet article est de préciser le lien et l’adéquation existant entre ces deux standards.

La norme ISO 27005 décrit les grandes lignes d’une gestion des risques dans un contexte cyber : définition du contexte d’analyse, identification et évaluation des risques encourus, possibilités de traitement ou d’acceptation de ces derniers. Elle introduit un processus d’appréciation des risques conforme à l’ISO 31000, sans pour autant proposer de méthode au sens strict.

Construite en cohérence forte avec le couple de normes ISO 27001/27002 et reprenant le vocabulaire principalement défini dans l’ISO 27000, la norme ISO 27005 utilise comme nombre de systèmes de management la logique d’itération et d’amélioration continue.

La méthode EBIOS est une méthode d’analyse et d’évaluation des risques qui a aujourd’hui plus de 25 ans. Elle a été définie par l’ANSSI, avec le soutien du Club EBIOS. Elle décrit dans le détail la procédure à suivre pour dérouler une analyse des risques (démarche et bonnes pratiques).

La dernière version de la méthode a permis de mettre l’accent sur l’agilité, et de substituer à la recherche d’exhaustivité une volonté de représentativité : l’idée n’est plus d’identifier tous les risques, mais uniquement les plus significatifs dans une approche permettant représenter aussi largement que possible l’espace des risques. Elle se veut aussi plus flexible en fonction de la maturité et de l’objectif fixé.

La question du lien entre l’ISO 27005 et EBIOS RM revient régulièrement, pour les deux raisons suivantes :

Correspondance des activités ISO 27005 et des ateliers EBIOS RM

Quels sont les liens entre le processus EBIOS RM et le processus ISO 27005 ? Peut-on dire d’EBIOS RM qu’elle est compatible ISO 27005 ?

Cet article, au fil des prochains paragraphes, détaille cette compatibilité et le lien entre chaque activité et atelier.

Navigation possible à partir des blocs ci-dessus

Le workflow général

EBIOS RM

EBIOS RM propose une démarche construite autour de 5 ateliers (réflexions), dont l’importance va varier en fonction de l’objectif fixé pour l’analyse de risques et la maturité du périmètre concerné. Les ateliers proposés sont les suivants :

Schéma EBIOS RM
Schéma EBIOS RM

ISO 27005

La démarche proposée par l’ISO 27005 comprend, elle aussi, 5 étapes majeures :

Les étapes principales de la norme ISO 27005
Les étapes principales de la norme ISO 27005

L’ISO 27005 ajoute en parallèle deux autres activités : la communication et la surveillance & revue.

L'établissement du contexte

L’ISO 27005 appelle à identifier les exigences de base des parties intéressées, en intégrant à la fois des normes, de la réglementation, d’éventuels compléments provenant de la PSSI, etc. Cela correspond très directement à l’activité EBIOS RM d’établissement du socle de sécurité.

Non-conformité : Dans les deux cas, l’idée principale est que l’ensemble des non-conformités permettront d’avoir une vision claire de la maturité du périmètre, et alimenteront le cas échéant le travail réalisé aux étapes suivantes d’évaluation des risques. En effet, chaque non-conformité ou écart sera à prendre en compte pour évaluer la vraisemblance des risques auxquels est exposé le sujet de l’analyse réalisée.

Échelles : Se pose la question des critères de réalisation des appréciations du risque : dit simplement, il s’agit d’identifier les échelles & matrices à employer pour l’analyse, à la fois en termes de gravité des événements redoutés, de vraisemblance, et de politique d’acceptation des risques identifiés.

Conséquence : Pour l’évaluation de la gravité, un changement de vocabulaire important apparaît : l’ISO 27005 ne parle pas d’événements redoutés, mais utilise le terme de conséquence (précédemment, appelle impact). L’évaluation se fait à travers les critères de conséquences, et leurs criticités qui sont le niveau de magnitude, grâce à l’identification des préjudices et dommages : cela correspond tout simplement à la notion d’impacts présents en EBIOS RM.

Vraisemblance : Pour la vraisemblance, l’ISO 27005 appelle à utiliser des échelles reposant sur des probabilités ou des fréquences. EBIOS RM laisse libre l’utilisateur de définir sa méthode d’appréciation de la vraisemblance en l’axant sur la réalité de succès de l’attaquant. L’analyse de la vraisemblance issue d’une analyse de risques EBIOS RM (si l’on suit les fiches méthodes) nécessite une adaptation conformément aux recommandations de l’ISO.

EBIOS RM a en théorie une approche plus continue de la construction de ces éléments (ils sont définis au fil de l’analyse), mais dans les faits c’est souvent le sujet par lequel démarrer. On essaye alors d’aligner ce paramétrage avec celui déjà existant au sein de l’entreprise ou de l’organisme, pour faciliter le partage a posteriori des résultats obtenus.

Le dernier critère est celui de la politique d’acceptation des risques : en fonction des critères précédents (gravité et vraisemblance), quel est le comportement de l’organisme face aux risques identifiés ? Cette évaluation de l’appétence au risque est rarement spécifique à la sphère cyber. L’ISO 27005 et EBIOS RM sont complètement alignées.

L'appréciation du risque

L’appréciation du risque en ISO 27005 passe par son identification, son analyse, puis son évaluation.

L'identification des risques

L’identification des risques au sens ISO 27005 est le processus consistant à rechercher, reconnaître et décrire les risques. Elle implique de déterminer les sources et ce qui peut se produire. La cible est d’avoir à l’issue de cette activité une liste de risques pouvant mener à la concrétisation de conséquences menaçant l’atteinte des objectifs de sécurité identifiés.

En EBIOS RM, l’identification des risques n’est pas monolithique. Elle va se réaliser étape par étape, et chaque atelier va permettre de les construire puis de les préciser :

L’ISO 27005 identifie deux approches possibles pour l’identification des risques basée sur :

Association des étapes EBIOS RM et ISO 27005>
Association des étapes EBIOS RM et ISO 27005

Vulnérabilités : Il existe néanmoins une notion explicitée en ISO 27005 et non directement citée en EBIOS RM : la gestion des vulnérabilités. En conjonction à l’atelier 4 (ou à l’approche par les biens), l’intégration des vulnérabilités à la démarche d’analyse de risque permet à l’organisme de proposer un traitement spécifique du risque à un niveau détaillé. Cette proposition peut être vue comme une extension à la démarche EBIOS RM, mais n’est en rien contradictoire.

L'analyse et l'évaluation du risque

Cette étape est destinée à évaluer, à travers un ensemble de critères déterminés en amont, les risques identifiés. Ce travail permettra de projeter chaque risque en termes de gravité et de vraisemblance lors de l’évaluation. Il est (à nouveau) réalisé au fil des ateliers EBIOS RM :

Ces valeurs permettront ensuite de classifier le risque, en le confrontant aux critères d’acceptation du risque, définis par l’organisme : ce n’est ni plus ni moins que le placement de chaque risque sur une matrice d’acceptation du risque, où chaque cellule reflète ces critères.

Le traitement du risque

L’ISO 27005 propose un traitement général du risque décomposé en plusieurs étapes :

EBIOS RM simplifie le choix de l’option de traitement, en priorisant en fonction des niveaux de risque la réduction ou l’acceptation. La notion de DdA n’apparaît pas non plus, mais c’est une production documentaire qui peut être faite à partir des résultats obtenus dans chaque atelier. La formalisation du plan de traitement du risque et l’acceptation des risques résiduels sont très directement repris.

Les process transverses : communication et surveillance

L’ISO 27005 présente le processus de communication de la manière suivante : « les informations sur les risques, leurs causes, leurs conséquences, leurs vraisemblances et les moyens de maîtrise mis en œuvre pour les traiter sont communiqués […] aux parties intéressées ».

Cette communication est bien présente au sein d’EBIOS RM, mais n’est pas identifiée comme une activité spécifique. C’est plutôt un travail de fond, intégré à chaque atelier, avec l’idée que cela fait partie de l’esprit de la méthode : l’analyse de risques est par définition un outil de partage et de communication.

Les nombreuses représentations graphiques (radar, scénarios stratégiques & opérationnels, etc.), mais aussi la volonté très marquée (en termes de vocabulaire et de mise en œuvre) de placer les métiers au centre en est la preuve concrète.

Scénarios de surveillance : Parmi les activités de communication et surveillance, la transposition des scénarios de risques en règles de surveillance, et règles de corrélation à intégrer dans les outils de détection d’une organisation permet d’assurer que les risques résiduels les plus critiques peuvent être détectés. Cette partie, qui fait le lien avec l’ISO 27035 (norme sur la gestion des incidents de sécurité) et les activités de SOC, n’est pas présentée dans le cadre de la méthode EBIOS RM, mais provient d’une contribution du Club EBIOS issue des retours d’expérience de ses praticiens.

Déclencheur : Pour le processus de revue et de surveillance, l’ISO 27005 fournit nombre de détails sur la mise en œuvre du suivi des risques identifiés. Les notions de cycle stratégique et opérationnel sont reprises stricto senso, mais l’ISO 27005 fait apparaître la notion de déclencheur, condition amenant effectivement à initier la mise à jour de l’une ou l’autre des activités.

Résumé des équivalences pour le vocabulaire

EBIOS RMISO 27005:2022
Partie prenantePartie intéressée
Cadrage et socle de sécuritéEtablissement du contexte
Scénario stratégiqueApproche par évènements
Scénario opérationnelApproche par les biens support
Évènement redoutéConséquence
Évènement intermédiaireConséquence intermédiaire
Valeur métierBien primaire
Bien supportBien support
Source de risqueSource de risque
Niveau de MenaceNiveau de danger
PACSPlan de traitement du risque
ImpactCritères de conséquences
Besoin de sécuritéObjectif de sécurité
GravitéGravité
N/ADéclencheur

Bilan

L’approche générale proposée par l’ISO 27005 permet à chacun d’identifier les étapes nécessaires à la réalisation d’une analyse de risques, sans imposer de processus spécifique pour les conduire. La nouveauté principale de l’ISO 27005 est l’approche duale par événements et/ou par biens supports, et cette approche duale fait partie du cœur de la méthode EBIOS. Les concepts utilisés de part et d’autre sont cohérents, même s’ils ne sont parfois explicités que d’un côté ou de l’autre.

Contributeurs
Tony Hedoux

Product Owner Cyber – ALL4TEC

Logo ALL4TEC
Paul verla

Risk Analysis and Cyber Team Leader

Mis en ligne par : Tony Hedoux
Product Owner Cyber & RSSI – ALL4TEC
Catégorie
Sommaire
Partager sur :
Articles complémentaires