1. Qu’est-ce que EBIOS Risk Manager ?
EBIOS Risk Manager (EBIOS RM) est la méthode d’appréciation et de traitement des risques numériques publiée par l’Agence nationale de la sécurité et des systèmes d’information (ANSSI) avec le soutien du Club EBIOS.
Elle propose une boite à outils adaptable, dont l’utilisation varie selon l’objectif du projet et est compatible avec les référentiels normatifs en vigueur, en matière de gestion des risques comme en matière de sécurité du numérique.
EBIOS RM permet d’apprécier les risques numériques et d’identifier les mesures de sécurité à mettre en œuvre pour les maitriser. Elle permet aussi de valider le niveau de risque acceptable et de s’inscrire à plus long terme dans une démarche d’amélioration continue. Enfin, cette méthode permet de faire émerger les ressources et arguments utiles à la communication et à la prise de décision au sein de l’organisation et vis-à-vis de ses partenaires.
2. Quel est l’utilité d’EBIOS RM ?
La méthode EBIOS RM peut être utilisée à plusieurs fins :
- mettre en place ou renforcer un processus de management du risque numérique au sein d’une organisation ;
- apprécier et traiter les risques relatifs à un projet numérique, notamment dans l’objectif d’une homologation de sécurité ;
- définir le niveau de sécurité à atteindre pour un produit ou un service selon ses cas d’usage envisagés et les risques à contrer, dans la perspective d’une certification ou d’un agrément par exemple.
Elle s’applique aussi bien aux organisations publiques ou privées, quels que soient leur taille, leur secteur d’activité et que leurs systèmes d’information soient en cours d’élaboration ou déjà existants.
3. Quel est l’approche de management des risques avec EBIOS RM ?
La méthode EBIOS Risk Manager adopte une approche de management du risque numérique partant du plus haut niveau (grandes missions de l’objet étudié) pour atteindre progressivement les fonctions métier et techniques, par l’étude des scénarios de risque possibles. Elle vise à obtenir une synthèse entre « conformité » et « scénarios », en positionnant ces deux approches complémentaires là où elles apportent la plus forte valeur ajoutée. Cette démarche est symbolisée par la pyramide du management du risque numérique.
L’approche par conformité est utilisée pour déterminer le socle de sécurité sur lequel s’appuie l’approche par scénarios pour élaborer des scénarios de risque particulièrement ciblés ou sophistiqués. Cela suppose que les risques accidentels et environnementaux sont traités a priori via une approche par conformité au sein du socle de sécurité. L’appréciation des risques par scénarios, telle que la décrit la méthode EBIOS RM, se concentre donc sur les menaces intentionnelles.
4. Comment mettre en œuvre EBIOS RM ?
La démarche de mise en œuvre d’EBIOS RM se fait en 5 ateliers présentés ainsi :
Atelier 1 : Cadrage et socle de sécurité
Le premier atelier vise à identifier l’objet de l’étude, les participants aux ateliers et le cadre temporel. Au cours de cet atelier, vous recensez les missions, valeurs métier et biens supports relatifs à l’objet étudié. Vous identifiez les événements redoutés associés aux valeurs métier et évaluez la gravité de leurs impacts. Vous définissez également le socle de sécurité et les écarts.
Atelier 2 : Sources de risque
Dans cet atelier, vous identifiez et caractérisez les sources de risque (SR) et leurs objectifs de haut niveau, appelés objectifs visés (OV). Les couples SR/OV jugés les plus pertinents sont retenus au terme de cet atelier. Les résultats sont formalisés dans une cartographie des sources de risque.
Atelier 3 : Scénarios stratégiques
Dans cet atelier, vous allez acquérir une vision claire de l’écosystème et établir une cartographie de menace numérique de celui-ci vis-à-vis de l’objet étudié. Ceci va vous permettre de bâtir des scénarios de haut niveau, appelés scénarios stratégiques. Ils représentent les chemins d’attaque qu’une source de risque est susceptible d’emprunter pour atteindre son objectif. Ces scénarios se conçoivent à l’échelle de l’écosystème et des valeurs métier de l’objet étudié. Ils sont évalués en termes de gravité. À l’issue de cet atelier, vous pouvez déjà définir des mesures de sécurité sur l’écosystème.
Atelier 4 : Scénarios opérationnels
Le but de l’atelier 4 est de construire des scénarios techniques reprenant les modes opératoires susceptibles d’être utilisés par les sources de risque pour réaliser les scénarios stratégiques. Cet atelier adopte une démarche similaire à celle de l’atelier précédent mais se concentre sur les biens supports critiques. Vous évaluez ensuite le niveau de vraisemblance des scénarios opérationnels obtenus.
Atelier 5 : Traitement du risque
Le dernier atelier consiste à réaliser une synthèse de l’ensemble des risques étudiés en vue de définir une stratégie de traitement du risque. Cette dernière est ensuite déclinée en mesures de sécurité inscrites dans un plan d’amélioration continue. Lors de cet atelier, vous établissez la synthèse des risques résiduels et définissez le cadre de suivi des risques.
Source : ANSSI
Lancelot TETANG
Consultant en évaluation des risques numériques