Ebios Risk Manager (EBIOS RM)

Méthode d'analyse de risques

La méthode EBIOS Risk Manager, promue par l’ANSSI, vous accompagne dans la réalisation et le suivi de vos analyses de risques. Ici, vous découvrirez comment utiliser la méthode EBIOS RM, quelles sont les étapes qui la composent et les objectifs.

Pour aller plus loin et démarrer rapidement, vous pouvez d’ores et déjà vous appuyez sur notre outil Agile Risk Manager labellisé EBIOS Risk manager !

Origine de la méthode EBIOS RM

La méthode EBIOS Risk manager (Ebios RM) est née d’une collaboration active entre l’ANSSI et plusieurs acteurs majeurs représentés par le Club EBIOS. Elle provient de l’expérience accumulée depuis de nombreuses années, et des nouveaux besoins permettant aux analyses de risques de rester un outil pertinent et efficace.

Depuis la version EBIOS 2010, le cadre réglementaire a fortement évolué. Les retours d’expérience ont également pointé certaines limites et changements de pratiques, qui ont conduit à définir la nouvelle méthode EBIOS Risk Manager.

Ces changements ont permis de mettre à jour l’approche et le travail d’analyse des risques avec les enjeux actuels. Aujourd’hui, la cybersécurité doit être vue comme un axe majeur des problématiques stratégiques et opérationnelles de n’importe quelle organisation.

EBIOS RM : Une méthode, 5 ateliers

Atelier 1

Cadrage & socle de sécurité

Atelier 2

Sources de risque

Atelier 3

Scénarios stratégiques

Atelier 4

Scénarios opérationnels

Atelier 5

Traitement du risque

Découvrez EBIOS Risk Manager (EBIOS RM)

Une méthode agile et collaborative

La méthode Ebios RM se découpe en plusieurs ateliers (étapes) permettant d’aborder la méthode comme une boîte à outils. On se concentre ainsi sur les activités en rapport avec les objectifs attendus.

La conduite des ateliers en groupe est également une valeur forte en lien avec l’agilité et valorisant la collaboration des différents corps de métier.

En quelques mots on va utiliser la méthode EBIOS RM pour : 

  • Implémenter ou renforcer la gestion des risques numériques
  • Apprécier et traiter les risques liés à un projet numérique
  • Définir un niveau de sécurité adapté à un projet
Schéma EBIOS RM
Cliquez sur l'image pour zoomer.

Atelier 1 - Cadrage et socle de sécurité

Ce premier atelier pose les bases de l’analyse. On y définit les objectifs, le cadre et les participants associés. Cette étape est d’autant plus importante, qu’elle permet de définir la marche à suivre dans tous les autres ateliers.

La seconde activité de cet atelier consiste à définir le périmètre métier et technique. On y décrit les missions de l’objet d’étude, ses biens supports et ses valeurs métiers.

Suite à cela, il est possible de définir les événements redoutés liés à ces valeurs métiers, et de les évaluer en termes d’impacts et de gravité. L’atelier 1  se finit par l’étude du socle de sécurité, ce qui permet avec une approche par “conformité” d’éliminer les scénarios les plus évidents. On y  précisera les référentiels de sécurité appliqués et les justificatifs d’écarts potentiels connus.

ARM : Atelier 1 - Cadrage et socle de sécurité
Cliquez sur l'image pour zoomer.

Atelier 2 - Sources de risque

On réaliser une étude ciblée sur les sources de risque et les objectifs visés, afin de déterminer les cas représentatifs permettant d’identifier qui peut vouloir nuire ou attaquer l’objet de l’étude, et surtout pour quel objectif.

L’idéal est de travailler sur un sous-ensemble représentatif plutôt que de chercher l’exhaustivité.

Cette évaluation des risques s’appuie sur plusieurs critères :

  • La motivation des sources de risque
  • Les ressources et l’activité des sources de risque
  • L’historique des sources de risque (modes opératoires, faits d’armes…) 
ARM : Atelier 2 - Sources de risque
Cliquez sur l'image pour zoomer.

Atelier 3 - Scénarios stratégiques

Durant l’atelier 3, une première activité consiste à cartographier la menace que peut représenter l’écosystème. En effet, prendre en compte les clients, partenaires ou prestataires qui interagissent avec l’objet de l’étude permet de prendre conscience de la menace qu’ils peuvent représenter.

Cet indicateur de menace est calculé en fonction du degré de dépendance à cette partie prenante ainsi que de sa fiabilité. Cette cotation n’a bien sur que peu de sens directement mais elle doit être prise de manière relative, pour comparer les risques de chaque maillon de la chaine.

Enfin, une fois l’écosystème évalué, la seconde activité consiste à élaborer graphiquement les scénarios stratégiques de chaque couple source de risque / objectif visé. Ces derniers peuvent être directs ou bien impliquer une ou plusieurs parties prenantes, ce qui met en avant comment l’écosystème peut être utilisé par un attaquant.

Pour finir, grâce à ces premiers résultats, il est possible en fin d’atelier de proposer des mesures de sécurité à appliquer sur l’écosystème pour réduire son niveau de menace et parer directement à certains scénarios.

ARM : Atelier 3 - Scénarios stratégiques
Cliquez sur l'image pour zoomer.

Atelier 4 - Scénarios opérationnels

En complément des scénarios stratégiques de l’atelier 3, l’atelier 4 propose de détailler chaque chemin d’attaque possible et de les représenter graphiquement sous la forme de scénarios opérationnels.

La structuration des scénarios est facilitée en s’appuyant sur les phases d’une « cyber kill chain« . Ces grandes phases montrent l’organisation d’une attaque, chacune d’elle pouvant comporter certains types d’actions élémentaires. Ces dernières représentent les différentes étapes d’une attaque, et peuvent être liées à des biens supports.

Ces scénarios une fois conçus, on va évaluer la vraisemblance. La méthode propose différents modes pour évaluer la vraisemblance : de la plus directe en cotant le scénario globalement, à la plus détaillée en prenant en compte la probabilité de succès et la difficulté de réalisation de chaque action élémentaire.

Enfin, une fois la vraisemblance affectée à chaque scénario opérationnel, une vision générale du risque initial est proposée à travers une .cartographie globale

ARM : Atelier 4 - Scénarios opérationnels
Cliquez sur l'image pour zoomer.

Atelier 5 - Traitement du risque

Pour finir, l’atelier 5 intervient en dernier pour traiter les risques identifiés et construire un PACS (Plan d’Amélioration Continue de la Sécurité). Cette vision dans le temps de la remédiation s’appuie sur la vision agile de l’analyse des risques et sur la mise en place itératives de mesures de sécurité.

En effet, grâce aux différentes évaluations et résultats provenant des ateliers conduits en amont, le PACS permet de cibler sur quels éléments agir en priorité, en construisant des recommandations étalées sur plusieurs jalons.

Il en ressort ainsi pour chacun de ces jalons un niveau de risque résiduel qui peut être considéré comme acceptable ou nécessiter de nouvelles mesures à appliquer par la suite.

ARM : Atelier 5 - Traitement du risque
Cliquez sur l'image pour zoomer.

Essayez

Agile Risk Manager !

Version d’évaluation disponible !

DEMANDE DE DÉMONSTRATION

Agile Risk Manager

Pour découvrir rapidement notre outil Agile Risk Manager, labellisé par l’ANSSI pour EBIOS Risk Manager, n’hésitez pas à réserver directement un créneau d’une heure en ligne avec notre expert !

PL

    Protégé par reCAPTCHA ; la politique et les conditions de Google s'appliquent.


    Passer de EBIOS 2010 à EBIOS RM

    EBIOS Risk Manager

    Vous réalisez déjà des analyses EBIOS 2010 ? Vous avez un capital d’analyses existantes ? Vos méthodes d’analyses évoluent et EBIOS Risk Manager peut répondre à de nouveaux besoins. 

    N’hésitez pas à vous appuyer sur notre suite outillée pour mettre à jour vos analyses EBIOS 2010 ou les reprendre en utilisant EBIOS Risk Manager.

    Cyber achitect pour passer à EBIOS RM

    Cyber Architect
    Cyber Architect vous accompagne dans la réalisation et la reprise d’analyses EBIOS 2010. Outil complémentaire à Agile Risk Manager, ils peuvent être utilisés seuls ou ensemble en tant que suite logicielle complète.