ALL4TEC sera au Incyber Forum du 26 au 28 mars 2024
ALL4TEC - Safe & Secure

Guide de la méthode EBIOS Risk Manager (EBIOS RM)

La méthode EBIOS Risk Manager, promue par l’ANSSI, vous accompagne dans la réalisation et le suivi de vos analyses de risques. Ici, vous découvrirez comment utiliser la méthode EBIOS RM, quelles sont les étapes qui la composent et les objectifs.

Pour aller plus loin et démarrer rapidement, vous pouvez d’ores et déjà vous appuyer sur notre outil Agile Risk Manager labellisé EBIOS Risk manager !

Origine de la méthode EBIOS RM

La méthode EBIOS Risk manager (EBIOS RM) est née d’une collaboration active entre l’ANSSI et plusieurs acteurs majeurs représentés par le Club EBIOS. Elle provient de l’expérience accumulée depuis de nombreuses années, et des nouveaux besoins permettant aux analyses de risques de rester un outil pertinent et efficace.

Depuis la version EBIOS 2010, le cadre réglementaire a fortement évolué. Les retours d’expérience ont également pointé certaines limites et changements de pratiques, qui ont conduit à définir la nouvelle méthode EBIOS Risk Manager.

Ces changements ont permis de mettre à jour l’approche et le travail d’analyse des risques avec les enjeux actuels. Aujourd’hui, la cybersécurité doit être vue comme un axe majeur des problématiques stratégiques et opérationnelles de n’importe quelle organisation.

EBIOS RM : Une méthode en 5 ateliers

Une méthode agile et collaborative

La méthode EBIOS RM se découpe en plusieurs ateliers (étapes) permettant d’aborder la méthode comme une boîte à outils. On se concentre ainsi sur les activités en rapport avec les objectifs attendus.

La conduite des ateliers en groupe est également une valeur forte en lien avec l’agilité et valorisant la collaboration des différents corps de métier.

En quelques mots, on va utiliser la méthode EBIOS RM pour : 

EBIOS Risk Manager

Atelier 1 - Cadrage et socle de sécurité

Ce premier atelier pose les bases de l’analyse. On y définit les objectifs, le cadre et les participants associés. Cette étape est d’autant plus importante, qu’elle permet de définir la marche à suivre dans tous les autres ateliers.

La seconde activité de cet atelier consiste à définir le périmètre métier et technique. On y décrit les missions de l’objet d’étude, ses biens supports et ses valeurs métiers.

Suite à cela, il est possible de définir les événements redoutés liés à ces valeurs métiers, et de les évaluer en termes d’impacts et de gravité. L’atelier 1 se finit par l’étude du socle de sécurité, ce qui permet avec une approche par conformité d’éliminer les scénarios les plus évidents. On y précisera les référentiels de sécurité appliqués et les justificatifs d’écarts potentiels connus.

Cliquez sur l'image pour zoomer.

Atelier 2 - Sources de risque

On réalise une étude ciblée sur les sources de risque et les objectifs visés, afin de déterminer les cas représentatifs permettant d’identifier qui peut vouloir nuire ou attaquer l’objet de l’étude, et surtout pour quel objectif.

L’idéal est de travailler sur un sous-ensemble représentatif plutôt que de chercher l’exhaustivité.

Cette évaluation des risques s’appuie sur plusieurs critères :

Cliquez sur l'image pour zoomer.

Atelier 3 - Scénarios stratégiques

Durant l’atelier 3, une première activité consiste à cartographier la menace que peut représenter l’écosystème. En effet, prendre en compte les clients, partenaires ou prestataires qui interagissent avec l’objet de l’étude permet de prendre conscience de la menace qu’ils peuvent représenter.

Cet indicateur de menace est calculé en fonction du du niveau d’exposition et du niveau de fiabilité cyber. Cette cotation n’a bien sur que peu de sens directement mais elle doit être prise de manière relative, pour comparer les risques de chaque maillon de la chaine.

Enfin, une fois l’écosystème évalué, la seconde activité consiste à élaborer graphiquement les scénarios stratégiques de chaque couple source de risque / objectif visé. Ces derniers peuvent être directs ou bien impliquer une ou plusieurs parties prenantes, ce qui met en avant comment l’écosystème peut être utilisé par un attaquant.

Pour finir, grâce à ces premiers résultats, il est possible en fin d’atelier de proposer des mesures de sécurité à appliquer sur l’écosystème pour réduire son niveau de menace et parer directement à certains scénarios.

Cliquez sur l'image pour zoomer.

Atelier 4 - Scénarios opérationnels

En complément des scénarios stratégiques de l’atelier 3, l’atelier 4 propose de détailler chaque chemin d’attaque possible et de les représenter graphiquement sous la forme de scénarios opérationnels.

La structuration des scénarios est facilitée en s’appuyant sur les phases d’une cyber kill chain. Ces grandes phases montrent l’organisation d’une attaque, chacune d’elle pouvant comporter certains types d’actions élémentaires. Ces dernières représentent les différentes étapes d’une attaque, et peuvent être liées à des biens supports.

Ces scénarios une fois conçus, on va évaluer la vraisemblance. La méthode propose différents modes pour évaluer la vraisemblance : de la plus directe en cotant le scénario globalement, à la plus détaillée en prenant en compte la probabilité de succès et la difficulté de réalisation de chaque action élémentaire.

Enfin, une fois la vraisemblance affectée à chaque scénario opérationnel, une vision générale du risque initial est proposée à travers une cartographie globale.

Cliquez sur l'image pour zoomer.

Atelier 5 - Traitement du risque

Ce dernier atelier intervient pour traiter les risques identifiés et construire un PACS (Plan d’Amélioration Continue de la Sécurité). Cette remédiation dans le temps s’appuie sur la vision agile de l’analyse des risques et sur la mise en place itératives de mesures de sécurité.

En effet, grâce aux différentes évaluations et résultats provenant des ateliers conduits en amont, le PACS permet de cibler sur quels éléments agir en priorité, en construisant des recommandations étalées sur plusieurs jalons.

Il en ressort ainsi pour chacun de ces jalons un niveau de risque résiduel qui peut être considéré comme acceptable ou nécessiter de nouvelles mesures à appliquer par la suite.

ARM : Atelier 5 - Traitement du risque
Cliquez sur l'image pour zoomer.

Informations utiles

Mis en ligne par : Tony Hedoux
Product Owner Cyber – ALL4TEC
Catégorie
Sommaire
Partager sur :
Articles complémentaires