EBIOS

De EBIOS 2010 à EBIOS Risk Manager

Migrer ses analyses de risque

La méthode EBIOS Risk Manager continue son déploiement et son adoption s’accélère. Il n’en reste pas moins qu’un large capital d’analyses EBIOS 2010 est toujours en place et valide. Peux t-on les migrer sous EBIOS RM et pour quels gains ?

Un peu d’histoire

La méthode EBIOS est une méthode d’analyse et d’évaluation des risques qui a aujourd’hui près de 25 ans. Elle a initialement été définie par la DCSSI, qui est devenue l’ANSSI en 2009. D’abord imaginée pour répondre au besoin de rédaction de fiche FEROS à destination du monde de la défense, elle a connu de nombreuses mises à jour au fil de son intégration dans le monde industriel et de son exploitation par les acteurs terrain. Elle est intrinsèquement compatible (vocabulaire, démarche) avec les normes les plus répandues, et notamment l’ISO 27005.

L’histoire de cette méthode est marquée par 4 grandes étapes : la première version officielle (1995), une actualisation (2004), puis deux évolutions significatives, respectivement en 2010 (EBIOS 2010) et en 2018 (EBIOS RM). Portée par un contexte cyber en pleine expansion, la méthode EBIOS 2010 s’est solidement implantée, à la fois auprès des acteurs publiques et institutionnels mais aussi dans le monde privé. Elle avait néanmoins pour défaut de proposer une démarche d’assez bas niveau, pilotée par une approche unitaire des vulnérabilités et de la remédiation associée. La mise à jour EBIOS RM a pour objectif d’accélérer ce déploiement et l’utilisation de la méthode, en fournissant un nouveau cadre plus agile, centré sur l’utilisateur et l’écosystème. Les deux versions de la méthode n’ayant pas pour vocation de cohabiter, comment migrer de l’une à l’autre ?

1995
2004
2010
2018

Faut-il passer à EBIOS Risk Manager ?

L'agilité dans EBIOS RM

EBIOS 2010 parle de Module, EBIOS RM parle d’Atelier. Ce changement de vocabulaire n’est pas anodin, et vient réellement appuyer la volonté de communication et d’échange portée par cette nouvelle itération de la méthode. L’idée d’Atelier implique de travailler à plusieurs, de manière directe, et d’y intégrer au maximum des acteurs qui restaient par le passé en marge de l’analyse. Chaque Atelier va imposer d’identifier et prioriser des éléments, et cela nécessite d’avoir une vision juste à travers les métiers, et la capacité à décider à travers les responsables.

De plus, et contrairement à ce que proposait EBIOS 2010, chaque Atelier va pouvoir produire des éléments directement exploitables pour améliorer la posture cyber globale : à la sortie de l’atelier 1, on pourra par exemple considérer le périmètre du socle de sécurité non appliqué, à la sortie de l’atelier 3 identifier les mesures associées à l’écosystème, etc.

Le passage d’EBIOS 2010 à EBIOS RM impose donc avant tout un changement de posture : l’agilité et l’amélioration continue deviennent centrales dans cette nouvelle démarche.

EBIOS Risk Manager

Schéma extrait du guide officiel de la méthode

Une construction et une approche différentes

EBIOS 2010 demandait une approche d’identification des vulnérabilités et des bien supports très larges, avec comme corollaire le risque d’intégrer au périmètre de nombreux éléments périphériques, et la nécessité d’une exhaustivité réelle. Ce travail minutieux et souvent conséquent permettait facilement l’industrialisation. Cet inventaire a été partiellement abandonné par EBIOS RM. La construction du contexte se fait à partir des missions (et non pas vers la mission), et l’identification des vulnérabilités poursuit maintenant un autre but : permettre de définir les actions élémentaires possibles et assurer la pertinence des scénarios opérationnels de l’atelier 4.

Des éléments ré-exploitables

De manière directe, une grande partie des données des analyses EBIOS 2010 existantes peuvent directement être réexploités dans EBIOS RM : les biens supports (attention au périmètre néanmoins), les biens essentiels (sous la forme de valeurs métiers). Le référentiel de sécurité pourra venir alimenter le socle de sécurité assez simplement. Les échelles sont aussi globalement réexploitables (gravité, vraisemblance, etc.) ainsi que la base de connaissance des impacts.

Il y a ensuite les éléments pour lesquels la corrélation est possible mais moins directe :

  • Les sources de menaces EBIOS 2010 (Module 1) sont partiellement couvertes par les sources de risques EBIOS RM. En effet, toute la partie non intentionnelle n’est plus explicitée, car normalement absorbée par le socle de sécurité (Atelier 1). A la marge, on peut aussi réutiliser certaines sources de menaces pour la définition des parties prenantes de l’écosystème.
  • Les évènements redoutés définis en EBIOS 2010 sont construits assez mécaniquement à partir de critères et besoin de sécurité. Si ces notions n’ont pas disparu en EBIOS RM, elles sont néanmoins moins explicitées. L’objectif est de rendre les évènements redoutés moins génériques et plus spécifiques au métier/périmètre traité par l’analyse. Il faudra donc être attentif à leur reformulation.
  • Les menaces au sens EBIOS 2010 sont des actions globales, de très haut niveau, associables à une source pour permettre de construire des scénarios de menace de haut niveau. Ce type d’approche n’a plus d’équivalent direct en EBIOS RM. Néanmoins, en fonction du niveau de détails des analyses existantes, une partie des données peut être utilisée pour alimenter la base des évènements intermédiaires (Atelier 3), au sein des scénarios stratégiques dans le cadre d’une analyse EBIOS RM.
Approche par exhaustivité

EBIOS 2010 : Approche par exhaustivité

Approche par représentativité

EBIOS RM : Approche par représentativité

EBIOS RM - Construction des scénarios d'attaque

EBIOS 2010 : Construction des scénarios

EBIOS RM - Construction des chemins d'attaque

EBIOS RM : Construction des chemins d’attaque

Des différences notables

Démarche itérative

Les différences entre les deux démarches sont suffisamment significatives pour inciter à la prudence lors de la reprise des autres éléments. Les risques identifiés seront par nature très différents : EBIOS 2010 permet d’identifier des risques simples, précis, alors qu’EBIOS RM se concentre sur des scénarios et des risques beaucoup plus riches et complexes. Il ne faut donc pas être chercher à identifier la même chose, ou la même volumétrie de risques, mais changer son approche en visant la construction d’une stratégie itérative de réduction du risque.

Une remise en cause obligatoire pour des gains tangibles

Les différences et les points communs abordés dans cet article permettent de construire une première approche structurée d’une migration : récupération et élagage des données, re-découpage de certaines bases, puis un nouveau cycle de définition des risques et leur évaluation. Cette approche doit être adaptée (une analyse EBIOS 2010 d’un SI en univers hospitalier n’offre pas le même contexte que celle d’un système de défense militaire), et il ne faut pas faire l’économie d’une remise en cause significative des résultats des analyses précédentes : le gain et la pertinence de la migration seront au rendez-vous.

De EBIOS 2010 à EBIOS Risk Manager

Références

Essayez

Agile Risk Manager !

Version d’évaluation disponible !

Demande de démonstration

    Protégé par reCAPTCHA ; la politique et les conditions de Google s'appliquent.


    Logo Agile Risk Manager

    Agile Risk Manager

    Pour découvrir rapidement notre outil Agile Risk Manager, labellisé par l’ANSSI pour EBIOS Risk Manager, n’hésitez pas à réserver directement un créneau d’une heure en ligne avec notre expert !

    EBIOS 2010

    Vous réalisez déjà des analyses EBIOS 2010 ? Vous avez un capital d’analyse existantes ? Vos méthodes d’analyses évoluent et EBIOS Risk Manager peut répondre à de nouveaux besoins. N’hésitez pas à vous appuyer sur notre suite outillée pour mettre à jour vos analyses EBIOS 2010 ou les reprendre en utilisant EBIOS Risk Manager.

     

    Cyber Architect

    Cyber Architect

    Cyber Architect peut vous accompagner dans la réalisation et la reprise d'analyses EBIOS 2010. En tant qu'outil complémentaire à Agile Risk Manager, ils peuvent être utilisés seuls ou ensemble en tant que suite logicielle complète.