Qu'est ce que la méthode EBIOS Risk Manager ?
EBIOS Risk Manager (EBIOS RM) est la méthode d’appréciation et de traitement du risque numérique publiée par l’Agence nationale de la sécurité et des systèmes d’information (ANSSI) avec le soutien du Club EBIOS. Elle propose une boîte à outils adaptable, dont l’utilisation varie selon l’objectif du projet et est compatible avec les référentiels normatifs en vigueur, en matière de gestion des risques comme en matière de sécurité numérique.
EBIOS Risk Manager permet d’apprécier les risques numériques et d’identifier les mesures de sécurité à mettre en œuvre pour les maîtriser. Elle permet aussi de valider le niveau de risque acceptable et de s’inscrire à plus long terme dans une démarche d’amélioration continue. Enfin, cette méthode permet de faire émerger les ressources et arguments utiles à la communication et à la prise de décision au sein de l’organisation et vis-à-vis de ses partenaires.
La méthode EBIOS Risk Manager peut être utilisée à plusieurs fins :
- mettre en place ou renforcer un processus de management du risque numérique au sein d’une organisation;
- apprécier et traiter les risques relatifs à un projet numérique, notamment dans l’objectif d’une homologation de sécurité;
- définir le niveau de sécurité à atteindre pour un produit ou un service selon ses cas d’usage envisagés et les risques à contrer, dans la perspective d’une certification ou d’un agrément par exemple.
Elle s’applique aussi bien aux organisations publiques ou privées, quels que soient leur taille, leur secteur d’activité et que leurs systèmes d’information soient en cours d’élaboration ou déjà existants.
Une démarche itérative en 5 ateliers
La méthode EBIOS Risk Manager adopte une approche de management du risque numérique partant du plus haut niveau (grandes missions de l’objet étudié) pour atteindre progressivement les fonctions métier et techniques, par l’étude des scénarios de risque possibles.
Elle vise à obtenir une synthèse entre « conformité » et « scénarios », en positionnant ces deux approches complémentaires là où elles apportent la plus forte valeur ajoutée. Cette démarche est symbolisée par la pyramide du management du risque numérique. Avec EBIOS Risk Manager, l’ensemble des risques est appréhendé par la combinaison :
- d’une approche par conformité pour déterminer le socle de sécurité pour les risques les plus communs, y compris ceux liés à des événements accidentels et environnementaux;
- et d’une approche par scénarios pour identifier les risques avancés, d’origine intentionnelle, et notamment les attaques particulièrement ciblées ou sophistiquées.
Ces deux approches permettent d’éclairer les décideurs dans leurs choix de traitement du risque.
La méthode EBIOS RM adopte une démarche itérative qui s'articule autour de cinq ateliers
Atelier 1 : Cadrage et socle de sécurité
Le premier atelier vise à identifier l’objet de l’étude, les participants aux ateliers et le cadre temporel. Au cours de cet atelier, vous recensez les missions, valeurs métier et biens supports relatifs à l’objet étudié. Vous identifiez les événements redoutés associés aux valeurs métier et estimez la gravité de leurs impacts. Vous évaluez également la conformité au socle de sécurité.
Atelier 2 : Sources de risque
Dans le deuxième atelier, vous identifiez et caractérisez les sources de risque (SR) et leurs objectifs de haut niveau, appelés objectifs visés (OV). Les couples SR/OV jugés les plus pertinents sont retenus au terme de cet atelier. Les résultats sont formalisés dans une cartographie des sources de risque.
Atelier 3 : Scénarios stratégiques
Dans l’atelier 3, vous allez acquérir une vision claire de l’écosystème et établir une cartographie du niveau de dangerosité induit par la relation avec les parties prenantes majeures de l’objet étudié. Ceci va vous permettre de bâtir des scénarios de haut niveau, appelés scénarios stratégiques. Ils représentent les chemins d’attaque qu’une source de risque est susceptible d’emprunter pour atteindre son objectif. Ces scénarios se conçoivent à l’échelle de l’écosystème et des valeurs métier de l’objet étudié. Leur gravité est ensuite estimée. À l’issue de cet atelier, vous pouvez déjà définir des mesures de sécurité sur l’écosystème.
Atelier 4 : Scénarios opérationnels
Le but de l’atelier 4 est de construire des scénarios techniques reprenant les modes opératoires susceptibles d’être utilisés par les sources de risque pour réaliser les scénarios stratégiques. Cet atelier adopte une démarche similaire à celle de l’atelier précédent mais se concentre sur les biens supports critiques. Vous estimez ensuite le niveau de vraisemblance des scénarios opérationnels obtenus.
- Les ateliers 3 et 4 s’alimentent naturellement au cours d’itérations successives.
- Les ateliers 2, 3 et 4 permettent d’apprécier les risques, ce qui constitue le dernier étage de la pyramide du management du risque numérique. Ils sollicitent le socle de sécurité selon des axes d’attaque différents, pertinents au regard des menaces considérées et en nombre limité pour en faciliter l’analyse.
Atelier 5 : Traitement du risque
Le dernier atelier consiste à synthétiser l’ensemble des risques étudiés et à définir une stratégie de traitement du risque. Cette dernière est ensuite déclinée en mesures de sécurité inscrites dans un plan de traitement du risque. Lors de cet atelier, vous établissez la synthèse des risques résiduels et définissez le cadre de suivi des risques.
Les cycles
La démarche prévoit deux cycles, dont les durées sont définies lors du premier atelier :
- un cycle stratégique revisitant l’ensemble de l’étude et en particulier les scénarios stratégiques;
- un cycle opérationnel revenant sur les scénarios opérationnels à la lumière des incidents de sécurité survenus, de l’apparition de nouvelles vulnérabilités et de l’évolution des modes opératoires.
Un exemple suivi pas à pas
La méthode est illustrée avec l’exemple d’une entreprise fictive de biotechnologie fabriquant des vaccins. Cet exemple se veut réaliste dans l’objectif de fournir au lecteur une illustration concrète et pédagogique de la méthode.
Différents usages d'EBIOS RISK MANAGER
EBIOS Risk Manager est une méthode adaptable. Elle constitue une véritable boîte à outils, dont le niveau de détail et le séquencement des activités à réaliser pour chaque atelier, seront adaptés en fonction des objectifs. La manière dont s’applique la méthode diffère selon le sujet étudié, les livrables attendus, le degré de connaissance du périmètre de l’étude ou encore le secteur auquel on l’applique. La grille ci-après propose des cas d’usage selon l’objectif visé.
Atelier 1 : Cadrage et socle de sécurité
1) Les objectifs de l'atelier
Le but de ce premier atelier est de définir le cadre de l’étude, son périmètre métier et technique, les événements redoutés associés et le socle de sécurité.
Cet atelier est un prérequis à la réalisation d’une appréciation des risques. À l’issue de cet atelier, des mesures de sécurité permettant de réduire les écarts du socle pourront être inscrites dans le plan de traitement du risque de l’atelier 5. La période
2) Les participants à l'atelier
Les rôles des participants ou les rôles équivalents dans votre organisation sont :
- Direction (ou décideurs ayant le bon niveau de délégation);
- Métiers;
- Directeur des systèmes d’information (DSI) et/ou responsable informatique du périmètre de l’étude.
3) Les données de sortie
À l’issue de l’atelier, vous devez avoir identifié :
- les éléments de cadrage : objectifs de l’étude, rôles et responsabilités, cadre temporel;
- le périmètre métier et technique: missions, valeurs métier, biens supports;
- les événements redoutés et leur niveau de gravité;
- le socle de sécurité: liste des référentiels applicables, état d’application, identification et justification des écarts.
4) Les étapes de l'atelier
Cet atelier peut par exemple se dérouler sur une à trois séances d’une demi-journée. L’objectif sera de :
- définir le cadre de l’étude;
- définir le périmètre métier et technique de l’objet étudié;
- identifier les événements redoutés et estimer leur niveau de gravité;
- déterminer le socle de sécurité et en évaluer la conformité.
5) Comment procéder
a) Définir le cadre de l'étude
Pour initier l’atelier, commencez par exposer l’objet et les attendus de la réunion aux participants. Accordez-vous sur les objectifs de l’étude. Ceux-ci peuvent être par exemple la mise en place d’un processus de management du risque cyber dans l’organisme, l’homologation d’un système d’information ou encore l’identification du niveau de sécurité à atteindre pour obtenir une certification produit. Selon l’objectif défini, il en est déduit le niveau de granularité de l’étude et les ateliers à conduire.
Identifiez ensuite les participants aux différents ateliers, leurs rôles et leurs responsabilités dans le cadre de l’étude (animateur de l’atelier, contributeur, décideur, etc.). Pour cela, vous pouvez par exemple réaliser une matrice de type RACI8. À cette étape, il est indispensable d’identifier quelle est la personne responsable d’accepter les risques résiduels au terme de l’étude.
Définissez ensuite le cadre temporel de l’étude (durées des cycles opérationnel et stratégique). Ces durées doivent être adaptées aux contraintes projet et cohérentes avec le cadre légal, règlementaire et normatif en vigueur. Communément, pour une homologation de système d’information, les durées sont de trois ans pour le cycle stratégique et d’un an pour le cycle opérationnel.
Des aspects relatifs à la gestion de projet comme le planning des ateliers à mener, les contraintes de disponibilité ou de ressources pourront également être abordés.
Enfin, posez les différentes hypothèses et contraintes qui devront être prises en compte dans l’analyse.
b) Délimiter le périmètre métier et technique
Dans un deuxième temps, vous allez recenser les missions, valeurs métier et biens supports relatifs à l’objet de l’étude. Les questions qui pourront être posées sont :
- À quoi sert l’objet de l’étude ? Quelles sont ses missions principales, ses finalités, ses raisons d’être ?
- Quels sont les processus et les informations majeures permettant à l’objet étudié de réaliser ses missions ?
- Quels sont les services numériques, applications, réseaux informatiques, structures organisationnelles, ressources humaines, locaux, etc. qui permettent de mener à bien ces processus ou de traiter ces informations ?
Commencez par lister l’ensemble des missions de l’objet étudié, c’est-à-dire les finalités et raisons d’être majeures de ce dernier (la manière dont il participe à la création de valeur, par exemple). Selon le niveau de granularité de l’étude, les missions à identifier peuvent parfois être intrinsèques à l’objet étudié mais sont généralement celles de l’organisme dans lesquelles l’objet s’inscrit.
De la même manière, recensez ensuite l’ensemble des valeurs métier associées à l’objet de l’étude, à savoir les informations ou processus jugés importants, dans le cadre de l’étude, et qu’il convient de protéger. Les valeurs métier représentent le patrimoine informationnel qu’une source de risque aurait intérêt à attaquer pour atteindre ses objectifs (exemple : service d’annulation de réservations en ligne, informations clients, résultats de travaux de R&D, phase de déploiement d’un projet, savoir-faire en conception de pièces aéronautiques, etc.).
Dans le cas d’une information transverse à plusieurs processus, il peut être opportun de l’isoler et de l’identifier comme valeur métier. À l’inverse, lorsque des informations Sont parties intégrantes d’un processus, il peut être plus pertinent de laisser ces informations dans le processus. La description de ce dernier devra alors clairement les faire apparaître.
À ce stade, l’objectif n’est pas de rechercher l’exhaustivité mais bien de veiller à limiter le nombre de valeurs métier pour ne garder que celles identifiées comme essentielles ou sensibles. Procéder ainsi permet de conserver une certaine agilité dans l’étude et de réduire le travail au niveau utile et acceptable. Pour parvenir à cette fin, vous pouvez par exemple :
- considérer des ensembles d’informations plutôt que des informations isolées;
- classer les valeurs métier selon leurs besoins de sécurité (disponibilité, intégrité, confidentialité, etc.).
En termes de volumétrie, 5 à 10 valeurs métier constituent généralement une base suffisante pour orienter la suite de l’étude.
Les valeurs métier qui n’auront pas été retenues pourront cependant hériter des mesures prises pour protéger les autres valeurs métier.
Listez ensuite les biens supports relatifs à chaque valeur métier. Il s’agit des éléments du système d’information sur lesquels les valeurs métier reposent. Pour cela, appuyez-vous sur la cartographie du système d’information de l’organisme.
À ce stade, vous pouvez limiter l’identification des biens supports aux plus importants, par exemple un à trois biens supports pour chaque valeur métier. Ils seront ensuite complétés lors de l’élaboration des scénarios opérationnels.
Exemple : société de biotechnologie fabriquant des vaccins.
Au cours de cette étape, vous pouvez être amené à identifier des valeurs métier ou biens supports placés sous la responsabilité d’entités extérieures à votre organisation. Ces éléments pourront être repris dans l’atelier 3, lors de l’estimation de la dangerosité des parties prenantes de l’écosystème.
c) Identifiez les évènements redoutés
Identifier et caractériser les événements redoutés (ER) permet aux acteurs de comparer objectivement l’importance des missions et valeurs métier tout en prenant conscience des enjeux de sécurité. Dans EBIOS Risk Manager, les événements redoutés sont associés aux valeurs métiers et traduisent une atteinte préjudiciable pour l’organisation. Le degré de préjudice ou d’impact est estimé selon une échelle de gravité permettant la hiérarchisation des événements redoutés.
Afin de faire émerger les ER, vous pouvez pour chaque valeur métier recensée dans l’étape précédente, mener des recherches sur les effets néfastes consécutifs par exemple à une atteinte :
- à la disponibilité de la valeur métier (exemple: information inaccessible, interruption totale ou partielle de service, impossibilité de réaliser une phase d’un processus);
- à son intégrité (exemple: falsification ou modification d’une information, détournement d’usage d’un service, altération d’un processus);
- à sa confidentialité (exemple : divulgation d’information, accès non autorisé à un service, compromission d’un secret);
- à la traçabilité (exemple : perte de traçabilité d’une action ou d’une modification d’information, impossibilité de tracer l’enchaînement d’un process.
L’estimation de la gravité de chaque ER est fonction de ses. impacts sur la valeur métier vis-à-vis :
- des missions de l’organisation;
- de la réglementation;
- de la nature et de l’intensité des impacts directs, voire indirects.
- Un événement redouté est décrit sous la forme d’une expression courte ou d’un scénario permettant une compréhension facile du préjudice lié à l’atteinte de la valeur métier concernée. L’évaluation préalable des besoins de sécurité peut aider à l’estimation de la gravité.
- Pour les ER portant atteinte à la disponibilité, nous vous recommandons de préciser au-delà de quelle perte de service le niveau de gravité mentionné est atteint (exemple : indisponibilité du service pendant une durée supérieure à 2 heures, impossibilité de diffuser des flux de données supérieurs à 1 Mbps). Cette approche vous permettra notamment d’ancrer dans votre appréciation du risque la notion de mode de fonctionnement dégradé.
- Pour estimer la gravité, considérer tous les types d’impacts envisageables – internes, externes, directs, indirects – afin de pousser les acteurs à envisager des impacts auxquels ils n’auraient peut-être pas songé de prime abord.
- À ce stade, les ER sont identifiés du point de vue de l’organisation, en dehors de tout scénario d’attaque. Ils seront ensuite utiles à l’élaboration des scénarios stratégiques (atelier 3), du point de vue de l’attaquant et pourront être actualisés dans ce cadre.
Identifier et caractériser les événements redoutés (ER) permet aux acteurs de comparer objectivement l’importance des missions et valeurs métier tout en prenant conscience des enjeux de sécurité. Dans EBIOS Risk Manager, les événements redoutés sont associés aux valeurs métiers et traduisent une atteinte préjudiciable pour l’organisation. Le degré de préjudice ou d’impact est estimé selon une échelle de gravité permettant la hiérarchisation des événements redoutés.
Afin de faire émerger les ER, vous pouvez pour chaque valeur métier recensée dans l’étape précédente, mener des recherches sur les effets néfastes consécutifs par exemple à une atteinte :
- à la disponibilité de la valeur métier (exemple: information inaccessible, interruption totale ou partielle de service, impossibilité de réaliser une phase d’un processus);
- à son intégrité (exemple: falsification ou modification d’une information, détournement d’usage d’un service, altération d’un processus);
- à sa confidentialité (exemple : divulgation d’information, accès non autorisé à un service, compromission d’un secret);
- à la traçabilité (exemple : perte de traçabilité d’une action ou d’une modification d’information, impossibilité de tracer l’enchaînement d’un process.
L’estimation de la gravité de chaque ER est fonction de ses impacts sur la valeur métier vis-à-vis :
- des missions de l’organisation;
- de la réglementation;
- de la nature et de l’intensité des impacts directs, voire indirects.
Exemple : société de biotechnologie fabriquant des vaccins.
La cotation de la gravité des impacts est effectuée sur la base de la grille suivante :
La société a recensé une partie des événements redoutés dans le tableau suivant :
Pour chaque ER, il est recommandé de conserver les éléments de justification pour la cotation de l’impact le plus grave.
d) Déterminer et évaluer le socle de sécurité
La définition du contenu du socle de sécurité doit être vue comme l’expression de mesures :
- permettant de traiter les risques non délibérés ou non ciblés (souvent s’appuyant sur des référentiels standards) ;
- qui ne nécessitent pas d’être justifiées par une approche par scénario (ateliers 3 et 4). En particulier, des mesures provenant de référentiels ou de législation dont l’application est obligatoire et sans interprétation.
Cette activité requiert :
- d’identifier les exigences de sécurité applicables ou non applicables au regard des spécificités techniques du système d’information;
- d’évaluer l’état d’application du socle et justifier les écarts;
- le cas échéant, de déterminer les mesures complémentaires;
- de décider de la manière de poursuivre l’étude.
Déterminer le socle de sécurité suppose d’adopter une approche par conformité, correspondant aux deux premiers étages de la pyramide de management du risque. Pour cela, vous devrez identifier l’ensemble des référentiels de sécurité qui s’appliquent à l’objet de l’étude. Ces référentiels peuvent être (de manière illustrative et non limitative) :
- des règles d’hygiène informatique et bonnes pratiques de sécurité (ex : guides de recommandations de l’ANSSI);
- des règles de sécurité internes à l’organisation (ex : PSSI);
- des exigences de tiers que vous devez respecter (ex : exigences de clients pour la fourniture de produit ou service);
- des normes (ex : famille ISO 27000);
- des réglementations en vigueur : vous pouvez vous reporter au site de l’ANSSI qui dresse un panorama des textes réglementaires en matière de sécurité numérique.
Le socle de sécurité aura idéalement été défini avant (ou pendant) la conception. Sa conformité peut également être traitée dans le cadre d’un système de management de la sécurité de l’information (SMSI).
Si l’objet de l’étude est un système ou un produit déjà en production, évaluer l’état d’application des différents référentiels listés, par exemple au moyen d’un indicateur de couleur (vert pour « appliqué sans restriction », orange pour « appliqué avec restrictions », rouge pour « non appliqué », etc.) et identifier clairement les écarts, ainsi que les causes de ces derniers.
Le socle de sécurité peut être formalisé dans une table, telle que celle proposée ci-après à titre d’illustration :
Pour chaque écart, il conviendra d’évaluer comment poursuivre l’étude :
- en cas d’écarts trop significatifs, ne pas poursuivre les ateliers suivants pour concentrer ses efforts sur le renforcement du socle de sécurité. En effet, il n’est pas pertinent d’évaluer des risques ciblés ou sophistiqués si l’objet de l’étude est vulnérable aux risques les plus courants;
- poursuivre en considérant la non-conformité, les scénarios de risques viendront exploiter les éventuelles fragilités du socle de sécurité pour en évaluer la gravité.
Les écarts au socle faisant émerger un risque non intentionnel peuvent être exprimés de manière empirique ou en utilisant un évènement redouté et en estimant la vraisemblance en mode express (cf. atelier 4).
- Les résultats des études de risques précédemment réalisées seront intégrés à cette étape. En effet, ces études vous ont permis d’identifier et de mettre en œuvre des mesures de sécurité. Celles-ci font donc désormais partie du socle de sécurité de votre organisation et pourront être éprouvées dans les ateliers suivants d’appréciation des risques.
- La volumétrie et la charge de travail sont différentes entre chaque atelier et entre les activités qui les composent. Ainsi, l’étude du socle de sécurité qui supporte toute l’approche par conformité est une activité qui occupe une grande partie du processus d’analyse de risque.
Atelier 2 : Sources de risque
1) Les objectifs de l'atelier
Le but de l’atelier 2 est d’identifier les sources de risque (SR) et leurs objectifs visés (OV), en lien avec le contexte particulier de l’étude. L’atelier vise à répondre à la question suivante : qui ou quoi pourrait porter atteinte aux missions et valeurs métier identifiées dans l’atelier 1, et dans quels buts ?
Les sources de risque et les objectifs visés sont ensuite caractérisés et évalués en vue de retenir les plus pertinents. Ils seront utiles à la construction des scénarios des ateliers 3 et 4.
2) Les participants à l'atelier
Direction (au minimum lors de la dernière étape de l’atelier) ;
- Métiers;
- RSSI ;
- Un spécialiste en analyse de la menace numérique complètera éventuellement votre groupe de travail, selon le niveau de connaissance de l’équipe et le niveau de précision souhaité.
3) Les données de sortie
À l’issue de l’atelier, vous devez avoir établi les éléments suivants :
- la liste de couples SR/OV prioritaires retenus pour la suite de l’étude ;
- la liste des couples SR/OV secondaires susceptibles d’être étudiés dans un second temps et qui feront, si possible, l’objet d’une surveillance attentive ;
- une cartographie des sources de risque.
4) Les étapes de l'atelier
Cet atelier, d’une durée variable, peut nécessiter 2 heures à une journée de travail16 en vue de :
- identifier les sources de risque et les objectifs visés;
- évaluer la pertinence des couples SR/OV;
- sélectionner les couples SR/OV jugés prioritaires pour poursuivre
l’analyse.
5) Comment procéder
Pour mener cet atelier, vous avez besoin de connaître les missions et les valeurs métier de l’objet étudié, issus de l’atelier 1.
La caractérisation fine des sources de risque et de leurs objectifs visés nécessite de disposer d’informations précises sur l’état de la menace et doit idéalement se tourner vers le secteur concerné : attaquants ou groupes d’attaquants, ressources et motivations supposées, modes opératoires, activités les plus exposées, etc. Les bulletins quotidiens de veille sur les cyberattaques et les actualités relatives à la cybersécurité sont également de précieuses sources d’information permettant de compléter et préciser la connaissance de la menace et de la contextualiser.
a) Identifier les sources de risques et les objectifs visés
Pour mener l’atelier, vous devez vous poser les questions suivantes :
- quelles sont les sources de risque susceptibles de porter atteinte aux missions de l’organisation ou à des intérêts supérieurs (sectoriels, étatiques, etc.) ?
- quels peuvent être les objectifs visés par chaque source de risque en termes d’effets recherchés ?
Une façon de procéder est de passer en revue les catégories de sources de risque et d’objectifs visés pour chaque catégorie de source de risque, déterminer quel est le profil de l’attaquant et quels types d’objectifs il cherche à atteindre. Une même source de risque peut le cas échéant générer plusieurs couples SR/OV, avec des objectifs visés de natures différentes.
- Une des clés de succès consiste à rechercher des catégories de couples SR/OV variées afin de disposer d’un panel différencié de profils d’attaquant et d’objectifs visés à partir desquels seront établis les scénarios stratégiques de l’atelier 3. Il est également important de ne pas laisser d’angle mort : assurez-vous de couvrir le plus largement possible les valeurs métier de l’organisation.
- L’objectif visé par une source de risque peut aller au-delà du seul périmètre de l’objet de l’étude. Dans ce cas, ce dernier est susceptible de servir d’intermédiaire pour atteindre l’OV ou de subir des impacts collatéraux du fait de son exposition au risque.
Exemple : société de biotechnologie fabriquant des vaccins.
b) Évaluer la pertinence des couples SR/OV
Lorsque l’équipe aura cessé de produire de nouveaux couples SR/OV, vous pourrez évaluer la pertinence de chaque couple. L’objectif est d’identifier, dans le vivier de sources de risque et objectifs visés recensés, ceux qui vous semblent les plus pertinents. Si le retour d’expérience des participants peut constituer une première base d’évaluation, nous vous recommandons également d’utiliser des critères et métriques de caractérisation qui apporteront une certaine objectivité. Les critères d’évaluation habituellement utilisés sont :
- la motivation de la source de risque à atteindre son objectif;
- ses ressources (financières, compétences, infrastructures d’attaque);
- son activité (est-elle active dans le périmètre de l’objet de l’étude, dans l’écosystème, dans l’industrie concernée, dans une industrie similaire, etc.).
Attention à ne pas confondre objectifs visés et la motivation poussant la source de risque à réaliser son objectif.
c) Sélectionner les couples SR/OV retenus pour la suite de l'analyse
Sur la base des travaux précédents, vous pouvez alors finaliser l’atelier en sélectionnant les couples SR/OV retenus pour la suite de l’étude. L’un des critères de choix est évidemment le niveau de pertinence évalué dans l’étape précédente. Privilégier des couples SR/OV suffisamment distincts les uns des autres et qui impacteront vraisemblablement différentes valeurs métier et biens supports. En termes de volumétrie, 3 à 6 couples SR/OV constituent généralement une base suffisante pour élaborer des scénarios stratégiques.
Sans oublier l’importance de la notion de représentativité des couples SR/OV, pour des systèmes complexes, il est possible d’avoir plus de 6 couples SR/OV afin d’obtenir la couverture la plus complète possible.
Exemple : société de biotechnologie fabriquant des vaccins.
Il conviendra de garder une trace de la justification des cotations, par exemple avec l’ajout d’une colonne justification ou d’explications. Cela permettra de pouvoir réévaluer plus facilement la cotation lors d’un prochain cycle.
Par exemple, pour les couples :
- Activiste / Saboter la campagne nationale de vaccination : « Il a été noté un regain d’activité médiatique de groupes d’activistes revendiqués « anti-vaccins » à la reprise du calendrier de la vaccination anti-grippale nationale. »
- Concurrent / Voler des informations : « Dernière publication scientifique de BioTech informant de l’aboutissement imminent de ses recherches concernant le vaccin sur lequel nos concurrents sont en compétition acharnée. »
- Activiste / Divulguer des informations sur les tests animaliers : « Deux cas dans l’année écoulée d’activistes s’étant introduit dans des abattoirs pour filmer et dénoncer des maltraitances animales, mais aucun dans un laboratoire. »
- Cybercriminel / Menace d’altération de la composition des vaccins à des fins d’extorsion d’une rançon : « Le dernier rapport annuel de l’ANSSI indique une augmentation du nombre d’attaques par rançongiciel, mais avec peu de cas avérés sur un système industriel. »
Le groupe de travail retiendra en priorité les couples de pertinence élevée et moyenne, laissant de côté dans un premier temps la menace cybercriminelle et celle liée aux activistes souhaitant divulguer des informations sur les tests animaliers, qui sont jugées moins prégnantes.
Il est important de confronter les deux points de vue abordés, celui de l’attaquant (SR/OV) et du défenseur (ER). Cela permet de vérifier que chaque ER est bien en liaison avec un couple SR/OV et réciproquement. Tous les OV retenus hériteront de la gravité des ER auxquels ils sont associés.
Atelier 3 : Scénarios stratégiques
1) Les objectifs de l'atelier
L’écosystème, comprenant l’ensemble des parties prenantes qui gravitent autour de l’objet de l’étude et contribuent à la réalisation de ses missions (partenaires, sous-traitants, filiales, etc.), est de plus en plus ciblé par diverses méthodes d’attaque exploitant ses maillons les plus vulnérables pour atteindre leurs objectifs (exemple : atteinte à la disponibilité d’un service en attaquant le fournisseur de service en nuage, piège de la chaîne logistique d’approvisionnement de serveurs facilitant l’exfiltration de données sensibles).
L’objectif de l’atelier 3 est de disposer d’une vision claire de l’écosystème, afin d’identifier et de présenter les parties prenantes les plus menaçantes à la direction. Il s’agit ensuite de bâtir des scénarios de haut niveau, appelés scénarios stratégiques. Ces derniers représentent autant de chemins d’attaque qu’une source de risque pourrait emprunter pour atteindre son objectif (c’est-à-dire l’un des couples SR/OV sélectionnés lors de l’atelier 2).
L’atelier 3 est à aborder comme une étude préliminaire de risque. Il peut conduire à identifier les mesures de sécurité à appliquer vis-à-vis de l’écosystème. Les scénarios stratégiques retenus dans l’atelier 3 constituent la base des scénarios opérationnels de l’atelier 4.
2) Les participants à l'atelier
Les rôles des participants ou les rôles équivalents dans notre organisation sont :
- Métiers, selon la finalité de l’étude;
- Acteurs ayant connaissance des engagements contractuels avec les parties prenantes (habituellement Achats ou Service juridique);
- Architectes fonctionnels;
- Responsable de la sécurité des systèmes d’information (RSSI);
- Un spécialiste en cybersécurité complétera éventuellement votre groupe de travail, selon le niveau de connaissance de l’équipe et le degré d’affinement visé.
3) Les données de sortie
À l’issue de l’atelier, vous devez avoir établi et identifié les éléments suivants :
- la cartographie du niveau de dangerosité induit par les parties prenantes majeures de l’écosystème et l’identification des parties prenantes critiques;
- les scénarios stratégiques et les événements redoutés;
- les mesures de sécurité retenues pour l’écosystème.
4) Les étapes de l'atelier
Cet atelier peut généralement nécessiter une à trois demi-journées de travail en vue de :
- construire la cartographie de dangerosité des parties prenantes de l’écosystème et sélectionner les parties prenantes critiques;
- élaborer des scénarios stratégiques;
- définir des mesures de sécurité sur l’écosystème.
5) Comment procéder
Pour mener cet atelier, vous avez besoin de connaître :
- les missions et valeurs métier de l’objet étudié (atelier 1);
- les événements redoutés et leur gravité (atelier 1);
- les sources de risque et objectifs visés retenus (atelier 2);
- la cartographie du SI et en particulier sa vue écosystème (voir note).
La vue écosystème présente les différentes parties prenantes avec lesquelles l’objet étudié interagit directement ou indirectement pour réaliser ses missions et services. Dans un souci d’efficacité, elle peut se limiter aux interactions associées aux valeurs métier. Lorsque c’est possible, vous avez tout intérêt à utiliser une cartographie existante et à la compléter au besoin. Pour plus de précisions, vous pouvez vous reporter avec profit au guide de cartographie proposé par l’ANSSI.
a) Construire la cartographie de dangerosité de l'écosystème et identifier les parties prenantes critiques
Une partie prenante est dite critique (PPC) dès lors qu’elle est susceptible de constituer un vecteur d’attaque pertinent, du fait par exemple de son accès numérique privilégié à l’objet étudié, de sa vulnérabilité ou de son exposition. Une source de risque bien renseignée (c’est-à-dire connaissant l’écosystème de la cible) tentera, dans une logique de moindre effort, d’attaquer la partie prenante qui apparaît comme le « maillon faible ». L’objectif est donc d’identifier ces parties prenantes critiques pour les inclure dans l’élaboration des scénarios stratégiques.
Vous allez d’abord estimer le niveau de dangerosité induit par chaque partie prenante de l’écosystème sur l’objet étudié. Le niveau de dangerosité ne préjuge aucunement d’une intention malveillante de la part de la partie prenante, mais de la capacité d’une source de risques d’exploiter la relation privilégiée entre cette partie prenante et l’objet de l’étude afin de réaliser son objectif visé. Il convient de privilégier l’étude des parties prenantes sur des critères objectifs et opposables, plutôt que sur des facteurs subjectifs.
Une partie prenante est dite critique (PPC) dès lors qu’elle est susceptible de constituer un vecteur d’attaque pertinent, du fait par exemple de son accès numérique privilégié à l’objet étudié, de sa vulnérabilité ou de son exposition. Une source de risque bien renseignée (c’est-à-dire connaissant l’écosystème de la cible) tentera, dans une logique de moindre effort, d’attaquer la partie prenante qui apparaît comme le « maillon faible ». L’objectif est donc d’identifier ces parties prenantes critiques pour les inclure dans l’élaboration des scénarios stratégiques.
Vous allez d’abord estimer le niveau de dangerosité induit par chaque partie prenante de l’écosystème sur l’objet étudié. Le niveau de dangerosité ne préjuge aucunement d’une intention malveillante de la part de la partie prenante, mais de la capacité d’une source de risques d’exploiter la relation privilégiée entre cette partie prenante et l’objet de l’étude afin de réaliser son objectif visé. Il convient de privilégier l’étude des parties prenantes sur des critères objectifs et opposables, plutôt que sur des facteurs subjectifs.
Ajouter toutes les justifications à l‘estimation de la dangerosité pour démontrer le point de vue utilisé lors de l’analyse afin de permettre une relecture aisée.
La cartographie de dangerosité de l’écosystème ainsi obtenue fera apparaître l’ensemble des parties prenantes d’intérêt au regard de leur niveau de dangerosité vis-à-vis de l’objet de l’étude. Vous serez alors en mesure de sélectionner les parties prenantes critiques. L’utilisation de seuils d’acceptation du risque facilitera ce travail de sélection. Les parties prenantes sont évaluées sur la base de critères d’exposition (dépendance, pénétration) et de fiabilité cyber (maturité, confiance).
Exemple : société de biotechnologie fabriquant des vaccins.
L’équipe a décidé de se concentrer dans un premier temps sur les parties prenantes externes de l’écosystème de la société. Elle a identifié les acteurs suivants :
L’évaluation de chaque partie prenante a permis d’établir la cartographie de dangerosité des parties ci-après :
L’équipe a retenu F3 – Prestataire informatique comme partie prenante critique. Les parties prenantes P3 et F2 sont également retenues comme parties prenantes critiques. Les autres parties prenantes n’ont pas été retenues comme critiques. Après discussion avec le RSSI, P1 et F1, bien que situées dans la zone de contrôle, n’ont pas été retenues par le responsable projet, compte tenu du contexte et de la nature des sources de risque en jeu.
b) Élaborer des scénarios stratégiques
Dans l’étape précédente, vous avez construit la cartographie des parties prenantes de l’écosystème et sélectionné les parties prenantes critiques. L’objectif est maintenant d’imaginer des scénarios réalistes de haut niveau, indiquant de quelle façon un attaquant pourrait procéder pour atteindre son objectif. Il peut par exemple choisir d’exploiter l’écosystème ou de dévoyer certains processus métiers.
Ces scénarios dits stratégiques sont identifiés par déduction. Dans cette démarche, les éléments d’analyse des étapes précédentes vous seront précieux. Pour animer cet atelier, prenez comme point de départ les couples SR/OV sélectionnés dans l’atelier 2. Puis, pour chaque couple SR/OV, lancez les discussions en posant les questions suivantes du point de vue de l’attaquant :
- quelles sont la ou les valeurs métier de l’organisation que je dois viser pour atteindre mon objectif ?
- pour permettre ou faciliter mon attaque, suis-je susceptible d’attaquer les parties prenantes critiques de l’écosystème disposant d’un accès privilégié aux valeurs métier ?
Une fois les éléments les plus exposés identifiés, vous pouvez élaborer le scénario stratégique issu du couple SR/OV en décrivant le séquencement des événements générés par la source de risque pour atteindre son objectif. Les atteintes aux valeurs métier correspondent à des événements redoutés pour l’objet étudié tandis que les événements portant sur l’écosystème sont des événements intermédiaires.
Exemples d’événements (intermédiaires ou redoutés) d’un scénario stratégique :
- création d’un canal d’exfiltration depuis l’infrastructure du prestataire,
- modification d’un paramètre critique de processus industriel (seuil de température haute),
- attaque en déni de service du fournisseur d’informatique en nuage,
- suppression ou altération d’une base de données,
- usurpation d’identité d’un service support.
Les événements redoutés qui interviennent dans les scénarios stratégiques sont à rechercher dans la liste des ER établie lors de l’atelier 1. Toutefois, contrairement à l’exercice de l’atelier 1, les ER sont ici exploités sous l’angle de l’attaquant. Le point de vue étant différent, la liste des ER est susceptible d’être complétée ou modifiée.
Vous pouvez représenter vos scénarios sous la forme de graphes d’attaque ou directement sur la vue écosystème de la cartographie du SI en y superposant le ou les chemins d’attaque. Vous estimerez alors le niveau de gravité de chaque scénario, au regard des impacts potentiels associés aux événements redoutés sur les valeurs métier.
- On utilise ici la gravité de l’ER qui a été associé à l’OV lors de l’étape de croisement OV/ER en fin d’atelier 2.
- Gardez à l’esprit que la finalité est d’identifier les points d’entrée, relais de propagation et vecteurs d’exploitation les plus pertinents, dans une logique de moindre effort, et de les décrire sous la forme d’événements correspondant à des objectifs intermédiaires pour l’attaquant pour atteindre son objectif. Attention toutefois à ne pas élaborer des scénarios stratégiques trop détaillés.
- Généralement, un à trois chemins d’attaque pour chaque couple SR/OV sont suffisants pour explorer un champ de risque pertinent (ex : attaque directe, attaque par rebond, attaque de parties prenantes uniquement). Prenez soin de privilégier une variété de scénarios où interviennent différentes parties prenantes critiques et catégories de valeurs métier.
- Dans le cas où l’atelier 4 n’est pas réalisé (étude préliminaire de risque ou étude limitée au cycle stratégique par exemple), la pertinence du couple SR/OV est un bon indicateur de la vraisemblance du scénario stratégique.
Exemple : société de biotechnologie fabriquant des vaccins.
Le groupe de travail s’est d’abord intéressé au couple SR/OV « Un concurrent veut voler des informations en espionnant les travaux de R&D en vue d’obtenir un avantage concurrentiel » (voir atelier 2). Les trois chemins d’attaque ci-après ont été jugés pertinents :
- le concurrent vole les travaux de recherche en créant un canal d’exfiltration de données portant directement sur le système d’information de la R&D ;
- le concurrent vole les travaux de recherche en créant un canal d’exfiltration de données sur le système d’information du laboratoire, qui détient une partie des travaux (partie prenante P3 identifiée comme critique dans l’étape précédente);
- le concurrent vole les travaux de recherche en créant un canal d’exfiltration de données passant par le prestataire informatique (partie prenante critique F3).
Le scénario stratégique associé est représenté ci-après. Il est de gravité 3 (grave) selon la cotation effectuée lors de l’atelier 1 sur les valeurs métier.
Puis le groupe de travail s’est penché sur le couple SR/OV : « Une organisation activiste veut saboter la prochaine campagne nationale de vaccination, en perturbant la production ou la distribution des vaccins, pour générer un choc psychologique sur la population et discréditer les pouvoirs publics ». Deux chemins d’attaque ont été identifiés comme pertinents :
- les activistes perturbent la production ou la distribution de vaccins en provoquant un arrêt de la production industrielle par compromission de l’équipement de maintenance du fournisseur de matériel F2 (conséquence : la fabrication des vaccins est fortement perturbée);
- les activistes perturbent la production ou la distribution de vaccins en modifiant l’étiquetage des vaccins (conséquence : les vaccins ne sont pas livrés au bon endroit).
Le scénario stratégique associé est représenté ci-après. Il est de gravité 4 (critique) selon la cotation effectuée dans l’atelier 1, car est ici considéré le cas le plus défavorable puisque l’incident survient lors d’un pic d’épidémie et dure au-delà d’une semaine.
c) Définir des mesures de sécurité sur l'écosystème
Les travaux précédemment menés auront éventuellement mis en lumière des vulnérabilités structurelles liées à vos parties prenantes internes et externes, que des attaquants tenteront d’exploiter pour arriver à leurs fins. Vous aurez également peut-être identifié un scénario dans lequel votre organisation serait impactée de façon collatérale par une attaque informatique ciblant l’un de vos partenaires. La dernière étape de l’atelier 3 porte sur la recherche de pistes de réduction du niveau de danger représenté par les parties prenantes critiques, et leur traduction en mesures de sécurité. Dans l’éventualité où certaines mesures pourraient être mises en œuvre sans délai, il est utile de réestimer la dangerosité des parties prenantes.
Les mesures de sécurité auront pour vocation de réduire le niveau de dangerosité intrinsèque induit par les parties prenantes critiques (exemple : réduire la dépendance à un sous-traitant). Elles pourront également agir sur le déroulement des scénarios stratégiques.
Les mesures de sécurité seront susceptibles d’impacter la gouvernance de votre organisation, voire celle de vos parties prenantes externes. Par conséquent, des arbitrages du ressort de la direction seront à prévoir.
Exemple : société de biotechnologie fabriquant des vaccins.
Des mesures de sécurité ont été définies en priorité pour les prestataires F2, F3 et P3. Ces derniers sont en effet impliqués dans des scénarios stratégiques particulièrement problématiques.
Exemple : Evolution de la cartographie de menace
Atelier 4 : Scénarios opérationnels
1) Les objectifs de l'atelier
L’objectif de l’atelier 4 est de construire des scénarios opérationnels. Ils schématisent les modes opératoires que pourraient mettre en œuvre les sources de risque pour réaliser les scénarios stratégiques. Cet atelier adopte une démarche similaire à celle de l’atelier précédent mais se concentre sur les biens supports. La vraisemblance des scénarios opérationnels obtenus est ensuite estimée. À l’issue de cet atelier, vous allez réaliser une synthèse de l’ensemble des risques de l’étude. La période à considérer pour cet atelier est celle du cycle opérationnel.
2) Les participants à l'atelier
Les rôles des participants ou les rôles équivalents dans votre organisation sont :
- RSSI ;
- DSI ;
- Un spécialiste en cybersécurité complètera éventuellement le groupe de travail, selon le niveau de connaissance de l’équipe et le degré de précision souhaité.
3) Les données de sortie
À l’issue de cet atelier, vous devez avoir établi la liste des scénarios opérationnels et leur vraisemblance.
4) Les étapes de l'atelier
Cet atelier, d’une durée variable, peut nécessiter une à trois demi-journées de travail en vue de :
- élaborer les scénarios opérationnels;
- évaluer leur vraisemblance.
5) Comment procéder
Pour mener cet atelier, vous avez besoin de connaître :
- les missions, valeurs métier et biens supports relatifs à l’objet de l’étude (atelier 1);
- le socle de sécurité (atelier 1);
- les sources de risque et objectifs visés retenus (atelier 2);
- les scénarios stratégiques retenus (atelier 3);
- les vues applications et infrastructures logiques de la cartographie du système d’information.
a) Élaborer les scénarios opérationnels
Une attaque réussie relève le plus souvent de l’exploitation de plusieurs failles. Les attaques intentionnelles suivent généralement une démarche séquencée. Celle-ci exploite de façon coordonnée plusieurs vulnérabilités de nature informatique, organisationnelle ou encore physique. Une telle approche fondée sur l’exploitation simultanée de failles distinctes peut avoir des conséquences lourdes alors même que les vulnérabilités exploitées peuvent sembler anodines lorsqu’on les considère individuellement.
Les scénarios opérationnels définis dans cet atelier pourront être structurés selon une séquence d’attaque type. Plusieurs modèles existent et peuvent être utilisés (exemple : modèle de cyber kill chain de Lockheed Martin). La démarche doit vous permettre d’identifier les biens supports critiques susceptibles de servir de vecteurs d’entrée ou d’exploitation ou de relais de propagation pour l’attaque modélisée. Lors de l’atelier 5, les mesures de sécurité porteront notamment sur ces biens supports plus particulièrement ciblés. Toutefois, les autres biens supports pourront hériter de ces mesures.
Construire les scénarios opérationnels en vous basant sur les scénarios stratégiques retenus dans l’atelier 3 et en vous appuyant sur la cartographie du système d’information. Une bonne approche consiste à représenter vos scénarios sous la forme de graphes ou de schémas d’attaque, utiles à la représentation des modes opératoires de l’attaquant.
- À chaque chemin d’attaque stratégique retenu dans l’atelier 3 correspond un scénario opérationnel permettant à la source de risque d’atteindre son objectif.
- L’appréciation des scénarios opérationnels peut, dans certains cas, tenir compte des mesures déterminées dans les ateliers précédents, à condition qu’elles aient été mises en œuvre.
L’élaboration des modes opératoires doivent intégrer les mesures du socle de sécurité, et venir en stresser les limites et non conformités. Par exemple :
- Mesure du socle : existence d’un pare-feu dans l’architecture du SI, qui assure le cloisonnement et le filtrage des flux réseaux non autorisés. Limite : il n’y a pas de filtrage applicatif, le pare-feu peut laisser passer des éléments malveillants insérés dans des protocoles légitimes.
- Mesure du socle : un antivirus est déployé sur les postes de travail et protège bien contre les menaces connues. Limite : une vulnérabilité 0 jour ne sera pas détectée.
Le schéma ci-après présente le mode opératoire type d’une attaque dite par « point d’eau » dont l’objectif est de permettre à une source de risque d’établir un canal d’exfiltration de données.
- Dans vos scénarios opérationnels, ajuster la granularité du mode opératoire au niveau de maturité de l’organisation et de profondeur d’analyse visée. Cette approche à géométrie variable permet d’inclure des actions élémentaires macroscopiques (exemple : attaque de type « WannaCry ») ou plus affinées selon le niveau de détail souhaité pour la séquence du scénario étudié ou la sensibilité du groupe de biens supports considéré.
- Afin d’éviter une quantité excessive de combinaisons de modes opératoires, privilégier ceux de moindre effort pour la source de risque et sollicitant un panel représentatif de biens supports présents dans l’organisation.
Exemple : société de biotechnologie fabriquant des vaccins.
L’équipe projet a décidé de représenter les scénarios opérationnels sous la forme de graphes d’attaque. Elle a choisi de se concentrer sur la réalisation d’un premier scénario opérationnel correspondant à un chemin d’attaque stratégique identifié dans l’atelier 3.
Scénario opérationnel relatif au chemin d’attaque « Un concurrent vole des travaux de recherche en créant un canal d’exfiltration de données portant directement sur le système d’information de la R&D (de l’entreprise de biotechnologies) » :
Il est possible de compléter le schéma par des opérateurs entre les actions élémentaires :
- OU : l’une OU l’autre des actions en entrée permet de réaliser l’étape suivante ;
- ET : l’une ET l’autre des actions en entrée sont nécessaires pour réaliser l’étape suivante.
- L’attaquant s’introduit dans le système d’information par une attaque ciblée sur la messagerie du service des ressources humaines en piégeant le site du comité d’entreprise ou en exploitant un canal caché préexistant. Il accède ensuite aux données stratégiques de R&D du fait notamment de l’absence de cloisonnement entre les réseaux internes puis les exfiltre en utilisant le canal caché voire un canal légitime.
- L’attaquant corrompt un salarié de l’équipe R&D qui récupère ensuite facilement les informations depuis son poste de travail, dans la mesure où aucune action de supervision n’est réalisée.
- L’attaquant corrompt un personnel d’entretien des locaux et lui demande de brancher une clé USB préalablement piégée sur un poste de travail de R&D. Cette opération est facilitée par le fait que l’entretien des locaux est réalisé en dehors des heures ouvrées, que le personnel d’entretien a accès librement au bureau d’études et que les ports USB ne sont soumis à aucune restriction.
b) Évaluer la vraisemblance des scénarios opérationnels
- Pour rappel, la gravité du scénario opérationnel correspond à la gravité du scénario stratégique associé, évaluée lors de l’atelier 3.
- Il peut être judicieux de faire un rapprochement entre la vraisemblance et la pertinence du couple SR/OV associés à ce scénario pour s’assurer de la cohérence entre les deux.
Commencer par évaluer la vraisemblance élémentaire de chaque action élémentaire de votre scénario. Celle-ci peut être estimée par le jugement d’un expert ou à l’aide de métriques. L’évaluation confronte d’une part les ressources et la motivation présumées de la source de risque et d’autre part le socle de sécurité de l’objet étudié et le niveau de vulnérabilité de l’écosystème (surface d’attaque exposée, vulnérabilités structurelles et organisationnelles, capacités de détection et de réaction, etc.).
Evaluez ensuite la vraisemblance globale du scénario à partir des vraisemblances élémentaires. L’évaluation peut par exemple porter sur le mode opératoire de moindre effort pour la source de risque.
Vous pouvez également effectuer une estimation directe de la vraisemblance globale du scénario, sans passer par une cotation détaillée des actions élémentaires. Considérer par exemple la vraisemblance des différents modes opératoires dans leur ensemble. Cette méthode expresse perd toutefois en précision par rapport à l’évaluation des vraisemblances élémentaires.
Exemple : société de biotechnologie fabriquant des vaccins.
Les cinq scénarios opérationnels ont été élaborés au cours de l’étape précédente par l’équipe projet (ils ne seront pas représentés ici). Ils ont été évalués selon leur niveau de vraisemblance, sur la base de la grille de cotation suivante :
Échelle de vraisemblance globale d'un scénario opérationnel
Le vol des données d’études R&D par l’intermédiaire du prestataire informatique est considéré comme quasi certain. D’une part, le prestataire en question dispose de droits d’accès élevés sur le système d’information de la société de biotechnologie et d’autre part la sécurité de son système d’information est faible. La combinaison de ces facteurs aggravants rend une opération d’intrusion et exfiltration très facile pour un attaquant avec un minimum de ressources engagées.
Le vol de données par exfiltration directe est considéré comme très vraisemblable compte tenu des nombreuses vulnérabilités techniques et organisationnelles observées dans l’organisation : utilisateurs peu informés sur les risques numériques (exemple : hameçonnage), site du comité d’entreprise facilement accessible depuis Internet, maintien en condition de sécurité quasi inexistant, réseaux non cloisonnés et administrés depuis des postes connectés à Internet, flux sortants non supervisés, données R&D non protégées et centralisées sur un serveur facilement identifiable.
Lors de l’élaboration des scénarios opérationnels dans cet atelier, vous pouvez être amené à mettre à jour ou compléter les scénarios stratégiques de l’atelier 3, par exemple si vous identifiez une vulnérabilité impactant une partie prenante non considérée ou un mode opératoire alternatif auquel vous n’aviez pas pensé. Les participants à l’atelier 3 pourront alors choisir de retenir ou non les propositions formulées. Les ateliers 3 et 4 s’alimentent ainsi au cours d’itérations successives. Veiller toutefois à ne pas dépasser deux itérations pour ne pas trop complexifier l’analyse.
Atelier 5 : Traitement du risque
1) Les objectifs de l'atelier
Le but de cet atelier est de réaliser une synthèse des scénarios de risque identifiés et de définir une stratégie de traitement du risque. Cette stratégie aboutit à la définition de mesures de sécurité, recensées dans un plan de traitement du risque. Les risques résiduels sont ensuite identifiés ainsi que le cadre de suivi de ces risques.
2) Les participants à l'atelier
Les participants sont les mêmes que ceux de l’atelier 1 :
- Direction ;
- Métiers;
- RSSI ;
- DSI.
3) Les données de sortie
À l’issue de l’atelier, vous devez avoir défini les éléments suivants :
- la stratégie de traitement du risque;
- la synthèse des risques résiduels;
- le plan de traitement du risque;
- le cadre du suivi des risques.
4) Les étapes de l'atelier
Cet atelier, d’une durée variable, peut nécessiter deux à quatre demi-journées de travail en vue de :
- réaliser la synthèse des scénarios de risque ;
- décider de la stratégie de traitement du risque;
- prioriser les mesures de sécurité ;
- évaluer et documenter les risques résiduels;
- mettre en place le cadre de suivi des risques;
- mettre en place des mécanismes de surveillance.
5) Comment procéder
Pour mener cet atelier, vous avez besoin de connaître :
- le socle de sécurité (atelier 1);
- les scénarios stratégiques (atelier 3);
- les mesures de sécurité portant sur l’écosystème (issues de l’atelier 3);
- les scénarios opérationnels (atelier 4).
a) Réaliser une synthèse des scénarios de risque
Réaliser d’abord une synthèse des scénarios de risque identifiés. Une représentation simple de ces scénarios facilitera leur exploitation par la suite. De manière usuelle, les risques sont décrits par leurs scénarios stratégiques.
Sans être recommandée, une alternative possible pour décrire les risques selon la granularité de l’étude et ses destinataires peut être de les aborder par événements redoutés, sources de risques, scénarios opérationnels ou autres.
Ces scénarios sont le plus souvent positionnés sur une grille, un radar ou un diagramme de Farmer selon leurs niveaux de gravité et de vraisemblance. L’ensemble des représentations adoptées constituera votre cartographie du risque initial, c’est-à-dire avant traitement.
Exemple : société de biotechnologie fabriquant des vaccins.
Scénarios de risques :
- R1: Un concurrent vole des informations de R&D grâce à un canal d’exfiltration direct
- R2: Un concurrent vole des informations de R&D en exfiltrant celles détenues par le laboratoire
- R3: Un concurrent vole des informations de R&D grâce à un canal d’exfiltration via le prestataire informatique
- R4: Un activiste provoque un arrêt de la production des vaccins en compromettant l’équipement de maintenance du fournisseur de matériel
- R5: Un activiste perturbe la distribution de vaccins en modifiant leur étiquetage
Nous vous invitons à affiner ce travail de synthèse en représentant vos scénarios de risque par source de risque et objectif visé (ou selon tout autre critère qui vous semble pertinent). L’objectif est de fournir des éclairages et angles d’analyse différenciés capables d’aider à la compréhension et à l’identification des zones de risque les plus critiques.
La couverture des événements redoutés identifiés dans l’atelier 1 est un aspect à considérer dans le travail de synthèse que vous effectuez. Il s’agit d’identifier si des ER de gravité importante – et les valeurs métier sous-jacentes – n’ont pas été laissés de côté, occasionnant un angle mort dans l’appréciation des risques. Passer en revue l’ensemble des ER de l’atelier 1 et identifier ceux qui n’ont pas été abordés dans un scénario de risque : selon leur gravité et les valeurs métier concernées, vous pourrez alors décider de faire une itération des ateliers 2, 3 et 4 afin de compléter la liste des scénarios de risque. Établir au besoin une matrice de couverture entre les événements redoutés de l’atelier 1 et les scénarios de risque traités dans l’appréciation des risques.
b) Décider de la stratégie de traitement du risque
Pour chaque scénario de risque, accordez-vous sur des seuils d’acceptation du risque et un niveau de sécurité à atteindre en cas de non acceptation. Cette décision se formalise dans la stratégie de traitement du risque. Nous vous recommandons les classes d’acceptation suivantes couramment utilisées en management du risque.
On pourra par exemple représenter la stratégie de traitement du risque selon le schéma ci-après :
Exemple : société de biotechnologie fabriquant des vaccins.
- R1: Un concurrent vole des informations de R&D grâce à un canal d’exfiltration direct
- R2: Un concurrent vole des informations de R&D en exfiltrant celles détenues par le laboratoire
- R3: Un concurrent vole des informations de R&D grâce à un canal d’exfiltration via le prestataire informatique
- R4: Un activiste provoque un arrêt de la production des vaccins en compromettant l’équipement de maintenance du fournisseur de matériel
- R5: Un activiste perturbe la distribution de vaccins en modifiant leur étiquetage
c) Définir les mesures de sécurité
Une fois la stratégie de traitement validée pour chaque scénario, définir les mesures de sécurité associées pour le traiter. Il peut s’agir de mesures ad hoc liées au contexte d’emploi et de menace (atelier 2), ou du renforcement de mesures comprises dans le socle de sécurité (atelier 1). Elles viennent compléter les mesures sur l’écosystème identifiées dans l’atelier 3.
L’identification des mesures de traitement du risque doit faire écho aux scénarios stratégiques et opérationnels. Parcourez chaque scénario et posez-vous la question suivante : quelles sont les phases ou actions élémentaires pour lesquelles il serait pertinent de renforcer la sécurité, afin de rendre la tâche plus difficile pour l’attaquant et diminuer sa probabilité de réussite ?
Sécuriser en priorité les actions élémentaires dont la vraisemblance est la plus forte ainsi que les nœuds stratégiques ou opérationnels par lesquels la source de risque pourrait passer. Il s’agit alors de sécuriser en priorité les biens supports critiques concernés.
Formaliser chaque mesure issue des différents ateliers au sein d’un plan de traitement du risque, échelonné dans le temps et structuré. À chaque mesure sont associés le responsable, les principaux freins et difficultés de mise en œuvre, une estimation du coût ou de la complexité et une échéance.
Le plan de traitement du risque ci-dessus est proposé à titre illustratif, et peut être à ajuster à vos besoins. Si un formalisme de suivi d’actions ou de gestion de projets équivalent existe déjà au sein de votre organisation, il est recommandé de le réutiliser et de l’adapter si nécessaire.
d) Évaluer et documenter les risques résiduels
L’évaluation des risques résiduels (RR) intervient après l’application des mesures de traitement définies dans l’étape précédente. Vous pouvez par exemple documenter les risques résiduels selon le modèle suivant :
Nous vous recommandons de représenter les risques résiduels de la même manière que la cartographie du risque initial. La cartographie du risque résiduel ainsi obtenue pourra alors servir de référence lorsque doit être réalisée la revue formelle des risques (à l’occasion d’une commission d’homologation par exemple). Elle constitue un outil d’aide à la décision pour l’acceptation des risques.
Ne pas hésiter à associer à chaque grand jalon du plan d’amélioration de la sécurité (T0+3 mois, T0+6 mois, etc.) une cartographie des risques résiduels. Vous pourrez ainsi présenter à votre hiérarchie ou en commission d’homologation, l’évolution des risques résiduels dans le temps, au regard des actions mises en œuvre. De même, ne pas hésiter à reformuler le risque pour faire clairement apparaître le risque résiduel persistant dans l’expression du risque.
Exemple : société de biotechnologie fabriquant des vaccins.
La direction a décidé de maintenir le risque R3 à un niveau résiduel élevé, malgré l’application des mesures de remédiation prévues. Ce risque est en effet considéré comme particulièrement problématique, le prestataire informatique étant relativement opposé à la mise en place des mesures de sécurité. Celles-ci impliquent en effet un changement assez profond dans ses méthodes de travail.
La piste envisagée pour maîtriser ce risque consisterait donc à entrer dans le capital de ce prestataire afin de modifier la gouvernance en matière de sécurité numérique ou de changer de prestataire. D’autre part, la direction souhaite mettre sous surveillance la menace cybercriminelle jugée actuellement peu pertinente (voir atelier 2), mais qui représente pour elle une préoccupation forte.
e) Mettre en place le cadre de suivi des risques
Le management du risque, notamment le suivi des risques, doit s’appuyer sur des indicateurs de pilotage pour assurer par exemple le maintien en condition de sécurité. Ces indicateurs permettent de vérifier l’efficacité des mesures prises et leur adaptation à l’état de la menace. Ces indicateurs permettront d’avoir une vision consolidée pour permettre de suivre la mise en œuvre du plan de traitement des risques ainsi que le risque dans le temps.
Une fois ces indicateurs listés, définir ou affiner le processus d’amélioration continue de la sécurité et la gouvernance afférente (organisation, rôles et responsabilités, comités associés). Il est recommandé de constituer un comité de pilotage se réunissant tous les six mois pour aborder cette montée en puissance ou tous les douze mois en rythme de croisière afin d’assurer un suivi des indicateurs, de l’avancement du plan de traitement du risque et de l’évolution des risques.
e) Mettre en place des mécanismes de surveillance
La mise à jour de l’étude des risques se réalise dans le respect des cycles stratégique et opérationnel prévus. En cas d’événements importants susceptibles de remettre en cause la pertinence des scénarios (émergence d’une nouvelle menace, évolution significative de l’écosystème ou de l’objet de l’étude, etc.), ceux-ci feront l’objet d’une mise à jour au juste niveau.
En complément des différents déclencheurs, un cadre de surveillance devra être mis en place. Ce dernier devra s’assurer que le contexte, le périmètre, les résultats de l’appréciation et du traitement du risque ainsi que les processus de management du risque restent pertinents et adaptés à l’objet de l’étude. Cette surveillance est un processus régulier et permanent qui pourra être intégrée lors de revue plus régulière.
EBIOS Risk Manager - Les évolutions
Cette mise à jour d’EBIOS Risk Manager intègre des évolutions issues des retours d’expérience de l’Agence et des praticiens de la méthode. Ces évolutions ont notamment pour vocation à rendre la méthode pleinement conforme à la norme ISO/CEI 27005:2022. De nombreuses précisions ont été apportées dans chacun des ateliers afin d’en faciliter la compréhension, et mieux expliciter certaines étapes.
Par rapport à l’édition 2018 d’EBIOS Risk Manager, les évolutions de vocabulaire ci-dessous ont également été apportées afin de rapprocher la terminologie de l’ISO lorsque cela était pertinent :
EBIOS RISK MANAGER 2018 | EBIOS RISK MANAGER 2024 |
---|---|
Plan d’Amélioration Continue de la Sécurité | Plan de Traitement du Risque |
Entité ou personne responsable | Propriétaire |
Synthèse des scénarios de risque | Évaluations des risques |