La méthode EBIOS Risk Manager, promue par l’ANSSI, vous accompagne dans la réalisation et le suivi de vos analyses de risques. Ici, vous découvrirez comment utiliser la méthode EBIOS RM, quelles sont les étapes qui la composent et les objectifs.
Pour aller plus loin et démarrer rapidement, vous pouvez d’ores et déjà vous appuyer sur notre outil Agile Risk Manager labellisé EBIOS Risk Manager !
Origine de la méthode EBIOS RM
La méthode EBIOS Risk Manager (EBIOS RM) est née d’une collaboration active entre l’ANSSI et plusieurs acteurs majeurs représentés par le Club EBIOS. Elle provient de l’expérience accumulée depuis de nombreuses années, et des nouveaux besoins permettant aux analyses de risques de rester un outil pertinent et efficace.
Depuis la version EBIOS 2010, le cadre réglementaire a fortement évolué. Les retours d’expérience ont également pointé certaines limites et changements de pratiques, qui ont conduit à définir la nouvelle méthode EBIOS Risk Manager.
Ces changements ont permis de mettre à jour l’approche et le travail d’analyse des risques avec les enjeux actuels. Aujourd’hui, la cybersécurité doit être vue comme un axe majeur des problématiques stratégiques et opérationnelles de n’importe quelle organisation.
EBIOS RM : Une méthode en 5 ateliers
Une méthode agile et collaborative
La méthode EBIOS RM se découpe en plusieurs ateliers (étapes) permettant d’aborder la méthode comme une boîte à outils. On se concentre ainsi sur les activités en rapport avec les objectifs attendus.
La conduite des ateliers en groupe est également une valeur forte en lien avec l’agilité et valorisant la collaboration des différents corps de métier.
En quelques mots, on va utiliser la méthode EBIOS RM pour :
- Implémenter ou renforcer la gestion des risques numériques
- Apprécier et traiter les risques liés à un projet numérique
- Définir un niveau de sécurité adapté à un projet
Atelier 1 - Cadrage et socle de sécurité
Ce premier atelier pose les bases de l’analyse. On y définit les objectifs, le cadre et les participants associés. Cette étape est d’autant plus importante, qu’elle permet de définir la marche à suivre dans tous les autres ateliers.
La seconde activité de cet atelier consiste à définir le périmètre métier et technique. On y décrit les missions de l’objet d’étude, ses biens supports et ses valeurs métiers.
Suite à cela, il est possible de définir les événements redoutés liés à ces valeurs métiers, et de les évaluer en termes d’impacts et de gravité. L’atelier 1 se finit par l’étude du socle de sécurité, ce qui permet avec une approche par conformité d’éliminer les scénarios les plus évidents. On y précisera les référentiels de sécurité appliqués et les justificatifs d’écarts potentiels connus.
Atelier 2 - Sources de risque
On réalise une étude ciblée sur les sources de risque et les objectifs visés, afin de déterminer les cas représentatifs permettant d’identifier qui peut vouloir nuire ou attaquer l’objet de l’étude, et surtout pour quel objectif.
L’idéal est de travailler sur un sous-ensemble représentatif plutôt que de chercher l’exhaustivité.
Cette évaluation des risques s’appuie sur plusieurs critères :
- La motivation des sources de risque
- Les ressources et l'activité des sources de risque
- L’historique des sources de risque (modes opératoires, faits d’armes…)
Atelier 3 - Scénarios stratégiques
Durant l’atelier 3, une première activité consiste à cartographier la menace que peut représenter l’écosystème. En effet, prendre en compte les clients, partenaires ou prestataires qui interagissent avec l’objet de l’étude permet de prendre conscience de la menace qu’ils peuvent représenter.
Cet indicateur de menace est calculé en fonction du du niveau d’exposition et du niveau de fiabilité cyber. Cette cotation n’a bien sur que peu de sens directement mais elle doit être prise de manière relative, pour comparer les risques de chaque maillon de la chaine.
Enfin, une fois l’écosystème évalué, la seconde activité consiste à élaborer graphiquement les scénarios stratégiques de chaque couple source de risque / objectif visé. Ces derniers peuvent être directs ou bien impliquer une ou plusieurs parties prenantes, ce qui met en avant comment l’écosystème peut être utilisé par un attaquant.
Pour finir, grâce à ces premiers résultats, il est possible en fin d’atelier de proposer des mesures de sécurité à appliquer sur l’écosystème pour réduire son niveau de menace et parer directement à certains scénarios.
Atelier 4 - Scénarios opérationnels
En complément des scénarios stratégiques de l’atelier 3, l’atelier 4 propose de détailler chaque chemin d’attaque possible et de les représenter graphiquement sous la forme de scénarios opérationnels.
La structuration des scénarios est facilitée en s’appuyant sur les phases d’une cyber kill chain. Ces grandes phases montrent l’organisation d’une attaque, chacune d’elle pouvant comporter certains types d’actions élémentaires. Ces dernières représentent les différentes étapes d’une attaque, et peuvent être liées à des biens supports.
Ces scénarios une fois conçus, on va évaluer la vraisemblance. La méthode propose différents modes pour évaluer la vraisemblance : de la plus directe en cotant le scénario globalement, à la plus détaillée en prenant en compte la probabilité de succès et la difficulté de réalisation de chaque action élémentaire.
Enfin, une fois la vraisemblance affectée à chaque scénario opérationnel, une vision générale du risque initial est proposée à travers une cartographie globale.
Atelier 5 - Traitement du risque
Ce dernier atelier intervient pour traiter les risques identifiés et construire un PACS (Plan d’Amélioration Continue de la Sécurité). Cette remédiation dans le temps s’appuie sur la vision agile de l’analyse des risques et sur la mise en place itératives de mesures de sécurité.
En effet, grâce aux différentes évaluations et résultats provenant des ateliers conduits en amont, le PACS permet de cibler sur quels éléments agir en priorité, en construisant des recommandations étalées sur plusieurs jalons.
Il en ressort ainsi pour chacun de ces jalons un niveau de risque résiduel qui peut être considéré comme acceptable ou nécessiter de nouvelles mesures à appliquer par la suite.
