L’Anssi a publié en octobre 2018 sa nouvelle méthode d’analyse de risque orientée cyber intitulée EBIOS Risk Manager (1).
EBIOS Risk Manager : une nouvelle méthode basée sur les retours d’expérience
Cette nouvelle méthodologie, publiée avec le soutien du Club EBIOS, vise à permettre aux dirigeants de mieux appréhender les risques liés aux nouveaux usages numériques.
L’évolution de cette méthodologie, qui se veut agile, prend en compte les différents retours d’expérience des organismes sur la méthodologie EBIOS 2010. Elle intègre notamment les concepts et les normes internationales en vigueur concernant le système de management de la sécurité de l’information.
L’EBIOS Risk Manager repose sur cinq ateliers qui s’inscrivent dans une démarche itérative.
Définition du socle de sécurité
Le premier atelier proposé permet de fixer un périmètre à l’analyse en identifiant les « valeurs métiers » et les biens supports relatifs à ces dernières.
Le premier objectif de cet atelier est d’identifier les événements redoutés associés aux valeurs métiers, ainsi que leurs impacts et leurs gravités.
Le second objectif est de mettre en exergue le socle de sécurité sur la base de référentiels de sécurité qui peuvent s’appliquer à l’objet de l’analyse : par exemple, les règles d’hygiène informatique et bonnes pratiques de sécurité ou les guides de recommandations de l’Anssi, les normes ISO 2700x ou encore les différentes règlementations en vigueur, telles que le RGPD (2), NIS (3), eIDAS (4).
Identification des sources de risques
Le deuxième atelier permet d’évaluer les profils qui pourraient porter atteinte aux missions et aux valeurs métiers de l’organisation. Il s’agit donc principalement d’identifier les sources de risques (organisées ou individuelles) couplées avec leurs objectifs visés. Il s’agit par la suite de sélectionner les couples les plus pertinents en se basant sur la cotation du niveau de motivation, de ressources et d’activité de ces couples.
Définition des scénarios stratégiques
Le troisième atelier a pour objectif d’obtenir une cartographie de l’écosystème pour identifier les parties prenantes les plus vulnérables parmi les partenaires, les prestataires ou les clients. Pour cela, il convient de définir des scénarios stratégiques qui permettent de représenter les chemins d’attaques empruntés par une source de risque pour atteindre son objectif.
Cet atelier permet de définir la cartographie des menaces numériques liées à l’écosystème, ainsi que les parties prenantes critiques, les scénarios stratégiques et les événements redoutés, ainsi que les mesures de sécurité retenues.
Identification des scénarios opérationnels
Le quatrième atelier découle du précédent, afin d’identifier les scénarios opérationnels, en se basant sur les scénarios stratégiques définis précédemment. Ces scénarios opérationnels peuvent se baser sur une multitude de modèles, tel que celui de « cyber kill chain » de Lockheed Martin. La granularité des scénarios opérationnels est à adapter selon la maturité de l’organisation et la profondeur visée par l’analyse de risque. La vraisemblance globale de ces scénarios peut être définie en identifiant la vraisemblance élémentaire de chacune des actions du scénario.
Traitement des risques
En cinquième et dernier lieu, un atelier qui a pour objectif de traiter le risque. De cet atelier, il doit en résulter une cartographie des risques synthétisés, selon leur niveau de vraisemblance et de gravité. Il doit aussi faire ressortir la stratégie de traitement du risque, les mesures de sécurité techniques et organisationnelles à mettre en œuvre et les risques résiduels qui en découlent.
Une méthode qui se veut souple et adaptable
La méthodologie EBIOS Risk Manager est présentée par l’Anssi comme une « boîte à outils » dont les ateliers doivent être adaptés à l’usage désiré.
Ainsi, en plus de permettre de conduire une analyse de risque complète et fine sur un processus ou une activité spécifique de l’organisation, elle permet :
- d’identifier le socle de sécurité de l’organisation ;
- d’être en conformité avec les référentiels de sécurité numérique de la Cnil et de l’Anssi ;
- d’évaluer le niveau de menace de l’écosystème de l’objet de l’analyse ;
- ou encore d’identifier les axes prioritaires d’amélioration de la sécurité par la réalisation d’une étude préliminaire du risque.
Les différences avec la méthodologie EBIOS 2010
La méthodologie EBIOS Risk Manager apporte des variations terminologiques. Ainsi, les biens essentiels identifiés lors de la réunion d’étude du contexte pour l’EBIOS 2010 deviennent des « valeurs métiers ». Les modules 4 et 5 de l’étude des risques et des mesures de sécurité de l’EBIOS 2010 se retrouvent dans le cinquième atelier sur le traitement des risques. Enfin, on pourra aussi noter que les deux méthodes ne privilégient pas assez l’approche métier dans la démarche d’analyse de risque.
Les divergences se retrouvent essentiellement dans les étapes intermédiaires. On ne considère plus le côté intentionnel des sources de risques : les utilisateurs ou les administrateurs sont alors considérés comme des parties prenantes vulnérables. Par ailleurs, les sources de risques non humaines ne sont plus considérées par la nouvelle méthode.
Le découpage en scénarios stratégiques et opérationnels complexifie la démarche d’analyse mais permet d’offrir une vision globale. Cette approche permet aux dirigeants d’avoir une meilleure compréhension des vulnérabilités de leurs organisations ainsi que des processus.
Une démarche qui reste à éprouver
Si elle se veut plus complète et plus agile, notamment en considérant les transformations rapides liés au numérique, elle semble aussi apporter un niveau de complexité plus important. La méthode EBIOS Risk Manager doit donc désormais faire ses preuve auprès des professionnels de la sécurité des systèmes d’information.
Anthony Coquer
Guillaume Carayon
Lexing Sécurité & Organisation
(1) Présentation de la méthode EBIOS Risk Manager sur le site de l’Anssi.
(2) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.
(3) Directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union.
(4) Règlement (UE) 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE.