La question est légitime. Une analyse peut être menée en suivant à la lettre les différentes étapes décrites dans la méthode, que ce soit avec une solution logicielle ou non.
La méthode est d’ailleurs documentée par l’ANSSI avec le projet exemple : BIOTECH. Si vous êtes un utilisateur de la méthode, vous avez forcément dû le voir passer, c’est un incontournable. L’exemple est documenté, illustré et accompagné de fiches méthodes.
Pour rappel, voici le lien vers le guide de l’ANSSI :
https://www.ssi.gouv.fr/guide/la-methode-ebios-risk-manager-le-guide/
En complément, nous avons également un cas d’usage illustré avec notre solution Agile Risk Manager :
Il est bien sur toujours possible de réaliser des analyses EBIOS RM avec Excel par exemple. Toutefois l'apport d'un outil dédié se fait sentir sur de nombreux aspects opérationnels, comme l'accompagnement de l'utilisateur, la vérification de cohérence, la mise à jour des analyses ou la génération de rapports.
Pourquoi des solutions labellisées EBIOS RM ?
Pour qu’une solution logicielle soit labellisée EBIOS RM par l’ANSSI, une application doit répondre à certains critères :
- Elle doit permettre de dérouler de bout en bout les 5 ateliers de la méthode (rail de travail).
- Elle doit permettre de travailler de manière itérative et agile sur tous les ateliers, c’est-à-dire que l’on puisse travailler indépendamment sur chaque atelier (ce qui ne veut pas dire que les ateliers ne sont pas interconnectés).
- L’application doit permettre l’export des données vers d’autres formats (notamment pour travailler sur des analyses en dehors du cadre de l’application).
- L’application doit permettre le “versionning” et la “journalisation” des analyses de risques : qui a fait quoi ? quand ? comment ?
Il y a plus de 100 critères à valider pour qu’une application soit certifiée EBIOS RM. Pour retrouver l’intégralité du cahier des charges complet 👇
Une application labellisée EBIOS RM est conforme à la vision de l’ANSSI. En utilisant des solutions labellisées EBIOS RM, vous êtes dans les meilleures conditions pour réaliser des analyses cohérentes (notamment si vous êtes dans un processus d’homologation).
En somme, une application labellisée se doit d’être fidèle à la méthode EBIOS RM, telle que décrite dans le guide de l’ANSSI et de ses fiches méthodes. C’est une application qui garantit le format et le bon suivi de la démarche d’analyse.
À qui s’adressent les solutions EBIOS RM ?
Les profils
- Les RSSI
- Les consulstants cybersécurité
- Les auditeurs
- Les risk manager
- Responsable du SOC
- Opérateur analyste SOC
- Directeur Cybersécurité
- Etc...
Le contexte et la quantité
Si vous réalisez fréquemment ou occasionnellement des analyses EBIOS RM, alors l’utilisation d’un outil dédié à la méthode EBIOS RM semble être une option envisageable, pour répondre notamment aux problématiques de cohérence et de maintenabilité des analyses dans le temps.
Quelles sont les premières difficultés de mise en œuvre de la méthode EBIOS RM ?
La feuille blanche et le squelette de l’analyse
La première difficulté réside dans le cadre de travail. Si vous débutez vos premières analyses EBIOS RM, il est fort probable que votre première action soit de créer (ou de trouver) un modèle Excel de la méthode EBIOS RM.
Une feuille Excel pour :
- Définir les missions
- Les responsables
- Les bien supports
- Les valeurs métiers
- Les objectifs visés
- Les sources de risques
- …
En bref, il faut prévoir des dizaines de feuilles (ou de tableaux, de fichiers) par atelier pour construire votre environnement de travail. Avec cette méthode « maison », il est toujours possible d’arriver au bout d’une analyse, mais qu’en est-il du temps passé et des futures mises à jour ?
La notion de robustesse du modèle entre également en jeu. Comme dans tout nouveau projet et face à toute « feuille blanche », vous serez amenés à tester plusieurs alternatives, plusieurs formats, jusqu’à ce que vous trouviez celui qui vous convient (d’ici là, vous en serez certainement à quelques jours de travail 🙂).
Le risque de cette approche « maison » réside dans la finalité de l’analyse. Aurez-vous toutes les informations nécessaires à la fin de votre analyse ? Serez-vous amené à la retravailler une nouvelle fois, car les bases structurelles seront erronées ou incomplètes ? Une autre personne sera-t-elle amenée à mettre à jour votre analyse ?
Avec une solution labellisée par l’ANSSI, vous êtes assurés d’avoir un squelette d’analyse rodé et étudié pour implémenter la méthode, voire d’avoir un vérificateur de cohérence pour vous signaler les potentiels manquements ou erreurs relatives à une analyse EBIOS RM (cf. Agile Risk Manager).
La cohérence des données
Une analyse de risques, peu importe le domaine métier concerné, représente une masse de données à laquelle il faut donner du sens. Dans le cas des analyses EBIOS RM, la cohérence entre les ateliers pose quelques difficultés, notamment, car les résultats d’un atelier peuvent être utilisés en entrée de l’atelier suivant.
Par exemple :
- Lorsque vous générez des scénarios opérationnels (atelier 4) à partir de vos scénarios stratégiques (atelier 3).
- Lorsque vous concevez vos couples SR/OV dans l’atelier 2 pour les réutiliser dans l’atelier 3.
- …
Une solution labellisée vous apporte de la clarté et un cadre de travail rodé pour organiser les informations nécessaires au bon moment et au bon endroit.
La maintenabilité des données
Le second point concerne la mise à jour des informations. Au cours de votre analyse, vous serez également amenés à revisiter (plusieurs semaines ou mois après une itération) les ateliers précédents pour deux raisons :
- Des données incorrectes ou incohérentes
- Des données manquantes
- Une mise à jour des menaces, des vulnérabilités
- Un changement de contexte
Une analyse est “vivante”. Dans un premier temps, vous allez renseigner des informations incomplètes. C’est tout à fait normal, une analyse EBIOS RM s’effectue généralement sur plusieurs semaines. Il est rare d’avoir toutes les informations d’un seul coup.
Bien que la méthode soit conçue pour se concentrer sur l’efficacité et la représentativité des risques, cela reste un processus contraignant. Par conséquent, il faut tenir la longueur et conserver des données fiables au cours des semaines (risques de duplication des données, duplication des actions, erreurs d’attribution).
Quel est le livrable final d’une analyse EBIOS RM ?
De manière générale, deux informations vont vous intéresser en sortie d’analyse : le plan d’amélioration continue de la sécurité (PACS) et le rapport d’analyse final que vous allez partager à vos interlocuteurs finaux (COMEX, client, auditeur, etc…)
Le PACS (Plan d'amélioration continue de la sécurité)
Dans le cas du PACS, le livrable final se concrétise par un tableau récapitulatif des différentes mesures à appliquer, avec leurs échéances et leurs scénarios de risques associés. C’est l’information opérationnelle la plus importante. Ne l’oublions pas, dans la plupart des cas, la finalité n’est pas l’analyse mais les correctifs de sécurité qui seront appliqués grâce aux faiblesses décelées lors de cette même analyse.
Dans une analyse EBIOS RM, la décision d’appliquer de nouvelles mesures de sécurité peut venir de plusieurs sources :
- Des mesures de sécurité identifiées sur les parties prenantes (atelier 3).
- Des mesures de sécurité identifiées sur les actions élémentaires de vos scénarios opérationnels (atelier 4).
Il faut ensuite répertorier les différentes mesures dans un tableau et générer un échéancier documenté des mesures à appliquer.
Le rapport d'analyse
On imagine qu’un rapport d’analyse complet se fait sous le format “Word” ou équivalent. Dans le cas présent, vous aurez alors à retranscrire toute votre analyse réalisée sur “Excel” à l’intérieur d’un document “Word”.
De manière manuelle, vous serez amenés à faire du “copier-coller” de l’ensemble de vos tableaux pour ensuite les importer dans votre fichier final. C’est une mise en forme manuelle en somme. Cela peut prendre plus ou moins de temps en fonction de l’ampleur de votre analyse.
C’est aussi le document final qui permettra de justifier la bonne tenue de l’analyse auprès de vos pairs et du COMEX. Il est donc important d’apporter un soin particulier à la mise en forme et à la compréhension générale du document, ce qui reste un exercice ardu.
Les limites des solutions EBIOS RM
Une solution logicielle EBIOS RM n’est pas en mesure de réaliser les ateliers à votre place. L’animation des ateliers avec un groupe de travail, le recueil des informations, l’évaluation des éléments en fonction d’un contexte spécifique restent des tâches humaines, et la pertinence des informations sera toujours liée à votre interprétation.
Un logiciel adapté demeure une aide non négligeable pour structurer et qualifier les données récoltées lors des ateliers. C’est pourquoi il existe une véritable demande d’outillage concernant cette méthode, notamment pour deux grandes difficultés de mise en œuvre.
Conclusion
Une solution dédiée à la méthode EBIOS RM vous apporte les meilleures conditions pour réaliser une analyse partageable et pérenne. Elle vous propose une structure de travail et les différents composants essentiels pour valider une analyse.
C’est une manière de s’assurer de la cohérence d’une analyse de risques cyber tout en s’évitant une charge de travail trop importante. Le cadre étant déjà installé, vous n’avez plus qu’à vous concentrer sur les informations essentielles, une bonne partie de la méthode étant prise en charge par l’outil.
Solution labellisée EBIOS RM = gain de temps + cohérence + formatage
Ce ne sont pas non plus des outils magiques. La pertinence d’une analyse reste corrélée à la qualité des informations renseignées, voyez ces solutions comme des supports améliorant votre capacité d’analyse. En ce sens, c’est à vous d’estimer le bien fondé d’utiliser une solution dédiée ou non.