PIA & EBIOS RM

Fiche méthode

Une approche outillée​

Les guides PIA et EBIOS Risk Manager présentent une forte proximité de thème, de vocabulaire et de méthode. Opérationnellement, les deux métiers pilotant ces analyses, respectivement le DPO et le RSSI, sont très souvent portés ou assumés par la même personne ou la même équipe. Le besoin d’homogénéiser les analyses réalisées, et de réutiliser au maximum à la fois les bases de connaissances et les méthodologies est important. Pour rendre cela possible, nous proposons d’outiller à la fois la réalisation de vos PIA et de vos analyses de risques EBIOS Risk Manager avec notre logiciel Agile Risk Manager.

Utiliser EBIOS RM pour faire un PIA

Le RGPD est entré en vigueur il y a près de deux ans maintenant, et la CNIL a fait un effort pédagogique considérable à destination des entreprises et des institutions pour les accompagner dans sa mise en œuvre. Au cœur du RGPD, lorsqu’un traitement de données personnelles est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes, le PIA est une véritable pierre angulaire. Il doit permettre d’analyser en détail les risques encourus, leur vraisemblance, et la gravité associée.

En parallèle, l’ANSSI a mis à jour sa méthode de référence EBIOS, pour proposer une nouvelle itération, plus agile, concentrée, et qui passe plus facilement à l’échelle : EBIOS Risk Manager. Cette méthode a été créée pour être utilisée par tout type d’organisation, et leur permettre d’identifier clairement les risques numériques auxquels ils sont exposés.

Lorsqu’on analyse la documentation proposée par ces deux organisations, on voit immédiatement que si les deux sujets abordés ne sont pas identiques, leurs deux espaces sont entremêlées. Il y a une proximité de thème, de vocabulaire, de méthodologie, qui est significative. Opérationnellement, les deux métiers pilotant ces analyses (le DPO pour la PIA, le RSSI pour l’analyse EBIOS RM), sont très souvent portés ou en tout cas assumés par la même personne ou au sein de la même équipe.

Une fois identifiée cette proximité, le besoin d’homogénéiser les analyses réalisées, et de réutiliser au maximum à la fois les bases de connaissances et les méthodologies apparait. Posée concrètement, la question est : peut on utiliser la méthode EBIOS Risk Manager pour réaliser un PIA?

Du point de vue réglementaire

Il n’y a pas de difficulté d’un point de vue légal. Si l’application du RGPD impose (en fonction de règles précises) la réalisation d’un PIA, elle n’explicite pas de méthode spécifique pour le réaliser. Le détail est disponible sur le site de l’union européenne (article 35.7). On peut lire qu’il faut obligatoirement y retrouver :

  1. une description systématique des opérations de traitement envisagées et des finalités du traitement, y compris, le cas échéant, l’intérêt légitime poursuivi par le responsable du traitement;
  2. une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités;
  3. une évaluation des risques pour les droits et libertés des personnes concernées conformément au paragraphe 1;
  4. les mesures envisagées pour faire face aux risques, y compris les garanties et mécanismes de sécurité visant à assurer la protection des données à caractère personnel et à apporter la preuve du respect du présent règlement, compte tenu des droits et des intérêts légitimes des personnes concernées et des autres personnes affectées.
Certificat

Du point de vue méthodologique

Le parallèle avec entre les deux méthodes est assez direct, même s’il faut rester attentif à la différence de sémantique entre les vocabulaires utilisés. Le même mot n’a pas toujours exactement le même sens dans les deux contextes.

Description d'un PIA par la CNIL

La conduite d’un PIA se compose de 4 étapes majeures :

  1. Délimiter et décrire le contexte du (des) traitement(s) considéré(s) ;
  2. Analyser les mesures garantissant le respect des principes fondamentaux : la proportionnalité et la nécessité du traitement, et la protection des droits des personnes concernées ;
  3. Apprécier les risques sur la vie privée liés à la sécurité des données et vérifier qu’ils sont convenablement traités ;
  4. Formaliser la validation du PIA au regard des éléments précédents ou bien décider de réviser les étapes précédentes.

Description d'EBIOS Risk Manager par l'ANSSI

La méthode est construite autours de 5 ateliers :

  1. Cadrage et socle de sécurité
  2. Sources de risque
  3. Scénarios stratégiques
  4. Scénarios opérationnels
  5. Traitement du risque
Cycle d'un PIA

Schéma extrait du guide PIA de la CNIL

EBIOS Risk Manager

Schéma extrait du guide EBIOS RM de la CNIL

Pour aller plus loin

Réaliser son PIA avec EBIOS RM

Réalisation étape par étape

L’étape de définition du contexte (première étape du PIA) peut très directement être réalisée dans l’atelier 1 Ebios RM. Les données personnelles, coeur du PIA, sont traitées comme des valeurs métiers. Il est à noter que le périmètre PIA est ici plus large que celui initialement proposé par Ebios RM, car il inclut par exemple des éléments physiques (supports papier, etc). Les supports de données (PIA) peuvent quand à eux être directement traités comme des biens support (EBIOS RM).

1

2

La seconde étape du PIA (principes fondamentaux) vise à évaluer les mesures déjà mises en place et la nécessité du traitement réalisé. Cette étape est couverte dans un cycle EBIOS RM par la définition du socle de sécurité (atelier 1), même s’il y a obligatoirement un peu de gymnastique pour faire correspondre les notions volontairement génériques d’EBIOS RM et celles plus spécifiques du PIA.

La troisième étape du PIA couvre l’étude des risques liés à la sécurité des données. C’est un sous ensemble sur lequel l’approche proposée par EBIOS RM devient particulièrement créatrice de valeur. Les valeurs métiers/bien supports ont déjà été identifiés lors de la première étape. Les sources de risques sont une notion explicitement présentes dans les deux méthodologies, même si, à nouveau, le périmètre PIA est beaucoup plus vaste : il intègre à la fois des sources de risques intentionnelles, non intentionnelles, et des parties prenantes au sens EBIOS RM. Cette différence de vocabulaire va nécessiter une approche spécifique : certaines sources de risques n’ont pas d’objectif visé. Pour pallier à cette absence, des objectifs neutres vont être définis, c’est-à-dire des objectifs sans sémantique particulière. Les ateliers 3 & 4 (scénarios stratégiques et opérationnels) peuvent alors être complétés de manière classique. Le traitement de l’évaluation de la menace associée aux parties prenantes est ici optionnel et à réaliser au cas par cas.

3

4

La dernière étape du PIA est une étape générale de remédiation, puis de validation. La première sous étape correspond à l’identification des mesures de sécurité nécessaires au respect des principes fondamentaux et à la sécurité des données. C’est une activité couverte par l’atelier 5 dans EBIOS RM, tout comme l’identification des risques résiduels et la création du plan d’action. La seconde partie de cette étape dans le PIA correspond à une validation formelle, via un formulaire spécifique. C’est une activité purement documentaire, compatible avec la démarche EBIOS RM.

Agile Risk Manager et le PIA

Une fois la méthode définie, il reste à accélérer et à industrialiser la démarche en s’appuyant sur l’outil Agile Risk Manager d’ALL4TEC. Pour vous faciliter la réalisation des PIA au sein de notre application, l’ensemble des bases de connaissances proposées par la CNIL y sont pré intégrées : sources de risques, socle de sécurité, impacts, divers échelles (de gravité, de coût, de complexité…).

Grâce à ces bases, au travail collaboratif, et à la génération documentaire, il devient donc possible de construire un PIA en s’appuyant sur EBIOS RM, tout en garantissant la cohérence du résultat final.

PIA & EBIOS RM
PIA dans Agile Risk Manager
PIA dans Agile Risk Manager

Essayez

Agile Risk Manager !

Version d’évaluation disponible !

Demande de démonstration


Ce site est protégé par reCAPTCHA ; la politique de confidentialité et les conditions d'utilisation de Google sont appliquées.

Logo Agile Risk Manager

Agile Risk Manager

Pour découvrir rapidement notre outil Agile Risk Manager, labellisé par l’ANSSI pour EBIOS Risk Manager, n’hésitez pas à réserver directement un créneau d’une heure en ligne avec notre expert !

EBIOS Risk Manager

La méthode EBIOS Risk Manager, promue par l’ANSSI, a pour objectif de vous accompagner dans la réalisation et le suivi de vos analyses de risques. Découvrez comment se construit la méthode, quels sont les ateliers qui la composent et leurs objectifs.

Logo Agile Risk Manager

Agile Risk Manager

Agile Risk Manager est conçu pour vous accompagner dans la prise en main et la mise en œuvre d’analyses de risques en suivant la méthodologie EBIOS Risk Manager. Profitez de la force d’un outillage adapté pour vous concentrer sur les valeurs fondamentales mises en avant par EBIOS Risk Manager : la connaissance, l’agilité et l’engagement.