Written by Rachid EL ALAOUI Dans la méthode EBIOS RM, les scénarios d’attaque sont définis au travers des deux ateliers 3 et 4.
Pour ce faire, la méthode EBIOS RM stipule de commencer d’abord, par étudier les points d’entrée a la périphérie du système, en vue de les identifier et de les sécuriser dans la mesure du possible. Cela fait l’objet de l’atelier 3…
Written by Rachid EL ALAOUI Au travers des 5 ateliers de la méthode EBIOS Risk Manager, les analystes répondent aux questions suivantes :
– Quels biens ou actifs faut-il protéger ? Et pourquoi ?
– Qui pourrait attaquer le système ? Et pour quelle raison ?
– Comment le système peut-il être attaque ?
– Comment protéger le système contre ces attaques ?
– Et a quoi il resterait expose ?
Written by Rachid EL ALAOUI Dans la méthode EBIOS-RM, la cybersécurité d’un système d’information est étudiée en combinant deux approches essentielles : celle « par risque » et celle « par conformité ». L’approche par conformité, abordée dans l’atelier 1, s’appuie sur le socle de sécurité, tandis que l’approche par les risques est explorée en détail dans les ateliers 2, 3, 4 et 5. À travers ces ateliers, les analystes se penchent sur des questions cruciales, telles que les menaces potentielles, les méthodes d’attaque, les mesures de protection, et les vulnérabilités résiduelles. Aujourd’hui, plongeons dans l’atelier 2,..
Written by Rachid EL ALAOUI A partir de l’épisode d’aujourd’hui, nous amorçons les ateliers de la méthode EBIOS RM et nous allons les appliquer à notre cas d’usage : un système de vidéosurveillance d’un centre de R&D, assez sensible…
Written by Rachid EL ALAOUI Une pratique assez courante consiste à baser la décision d’acceptation de risques simplement sur une cotation abstraite des niveaux de gravité et de vraisemblance. Cette approche présente deux problèmes majeurs …
Written by Rachid EL ALAOUI Une certification ISO 27001 est souvent utilisée comme gage de confiance en matière de cybersécurité. Cela peut avoir du sens, mais peut aussi être un piège…
Written by Rachid EL ALAOUI Une pratique très courante consiste à intégrer des référentiels génériques dans le cahier des charges. On trouve par exemple des normes type annexe A de l’iso ou PCI DSS, ou des réglementations tel que NIS ou la LPM et des guides de bonne pratique…
Written by Rachid EL ALAOUI Si on a une une politique de sécurité, c’est qu’on a défini dedans les objectifs en matière de cybersécurité, et on a formalisé les mesures qu’on souhaite mettre en place. Cela veut aussi dire qu’on a réfléchi aux mesures qui sont à exclure…
Written by Rachid EL ALAOUI Le chiffrement donne parfois un faux sentiment de sécurité, et c’est très dangereux car on finit par ne pas mettre les mesures réellement nécessaires, en se fiant, à tort, au chiffrement pour assurer la confidentialité.
Voici une approche en 4 questions qui permet d’éviter cette situation…
Written by Rachid EL ALAOUI Dans l’épisode précédent, j’ai partage avec vous un questionnaire de maitrise, pour acquérir un minimum nécessaire de connaissance du système étudié… un minimum nécessaire pour mener à bien l’analyse des risques…