15 novembre 2018

La gestion de risques selon la méthode EBIOS RM

BSSI-EBIOS_RM

EBIOS RM

Le 10 octobre dernier, l’ANSSI a publié un communiqué de presse sur la nouvelle version de la méthode d’analyse de risques EBIOS RM (Expression des Besoins et Identification des Objectifs de Sécurité Risk Manager).

Cette méthode, créée en 1995 par l’ANSSI, donne les lignes directrices pour identifier, analyser et traiter les risques en sécurité de l’information. Il s’agit d’un outil de gestion de risques complet, régulièrement mis à jour et conforme aux référentiels normatifs internationaux.

EBIOS RM repose sur une approche d’appréciation de risques partant du plus global au plus précis. Ainsi, cette approche va du plus simple en termes de scénarios d’attaques, au plus élaboré. Cette méthode vise à obtenir une synthèse entre l’approche par « conformité » et celle par « scénarios ». Cela permet ainsi d’obtenir une approche complémentaire.

Rappel des étapes d’une gestion de risques

Un processus de gestion de risques, quelle que soit la méthode ou la norme adoptée, peut être réalisé en 4 grandes familles d’étapes :

  1. Identification du périmètre et valorisation des actifs. Cette étape consiste à identifier dans un premier temps le périmètre de l’analyse de risques, à savoir les différents actifs (humain, matériel, documents, etc.) ainsi que leurs responsables. Les actifs sont ensuite valorisés suivant les 4 critères de la sécurité de l’information (la traçabilité, l’intégrité, la confidentialité et la disponibilité) dans le but d’en apprécier les risques (en répertoriant les vulnérabilités et les impacts) le plus précisément possible.
  2. Réalisation d’une appréciation des risques. L’estimation du risque est différente d’une méthode à l’autre. Généralement son calcul est basé sur la vraisemblance des menaces par rapport à la valeur de l’actif. A l’issue de cette étape les risques à fort impact qui sont identifiés, doivent être traités. D’autres risques à faible impact peuvent être évités, transférés (transfert de responsabilité à une entité externe), voire acceptés.
  1. Traitement des risques identifiés : une fois les risques estimés, des mesures de sécurité doivent être définies afin de les traiter. Il s’agit d’un ensemble d’actions qu’il serait pertinent d’adopter dans le but de réduire la probabilité de réussite de l’attaque à l’égard du risque traité. L’étape de traitement du risque est un processus de suivi qui dure dans le temps jusqu’à l’application de l’action identifiée.
  1. Estimation des risques résiduels : un risque résiduel est un risque qui reste après l’application des mesures de sécurité. Ce risque peut être accepté si la criticité a été réduite et l’impact est moins fort après le traitement. Cependant s’il est jugé inacceptable, des mesures de sécurité supplémentaires doivent être appliquées.

La formalisation des résultats se fait en amont des différentes étapes. Bien que la nature du contenu soit la même, la documentation est différente selon la méthode ou la norme adoptée.

Dans le contexte de la méthode EBIOS RM

La méthode EBIOS RM, tout en ayant les mêmes objectifs d’un processus de gestion de risques classique, adopte une approche différente et suit une démarche en 5 étapes, dites « ateliers » :

  1. Cadrage et socle de sécurité. Ce premier atelier a pour but de définir le cadre de l’étude (objectifs, participants et cadre temporel), le périmètre métier et technique (les missions, valeurs métier et bien supports relatifs au périmètre), les évènements redoutés (des risques évalués selon une échelle de gravité) et le socle de sécurité (référentiels de sécurité, l’état d’application des référentiels et identification des écarts).
  2. Sources de risque. Il s’agit d’identifier les sources de risques (SR) et leurs objectifs visés (OV) en lien avec le périmètre étudié. Les SR sont les entités qui pourraient porter atteinte aux actifs du périmètre étudié, en ayant des buts précis (OV). Une fois le couple SR/OV identifié, leur pertinence sera évaluée. Seuls quelques-uns seront retenus pour la suite de l’analyse de risques.
  3. Scénarios stratégiques. Il s’agit d’identifier les différents scénarios de risques de haut niveau qui permettraient à un SR d’atteindre son OV. En se basant sur les résultats des deux premiers ateliers, celui-ci vise à cartographier les menaces, identifier les parties prenantes, élaborer les scénarios possibles et les niveaux de gravité, et définir les mesures de sécurité associées.
  4. Scénarios opérationnels. Il s’agit d’identifier les modes opératoires utilisés par les SR afin de réaliser les scénarios d’attaques stratégiques définis précédemment. Le but de cet atelier est d’élaborer les scénarios opérationnels et évaluer leur vraisemblance.
  1. Traitement du risque. Ce dernier atelier a pour but de synthétiser les scénarios de risques et définir un plan de traitement du risque. Il s’agit de réaliser la synthèse des scénarios précédemment identifiés, définir des mesures de sécurité complémentaires aux mesures identifiées dans le troisième atelier, évaluer les risques résiduels et mettre en place des indicateurs de suivi des risques.

Pour plus d’informations sur cette méthode, veuillez-vous référer au guide officiel publié par l’ANSSI : https://www.ssi.gouv.fr/uploads/2018/10/guide-methode-ebios-risk-manager.pdf

Management de la sécurité de l’information, par Alexandre FERNANDEZ-TORO : https://www.eyrolles.com/Informatique/Livre/management-de-la-securite-de-l-information-9782212138146

 

Imane Belhaous

Imane Belhaous :
Consultante BSSI

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *