Partager

Cet article a pour objectif de fournir une vue d’ensemble de la méthode EBIOS Risk Manager (ou EBIOS RM), des notions qui la constituent et de l’agencement entre celles-ci. L’ordre des activités ainsi que le détail de réalisation n’y sont pas expliqués. En effet, ces éléments sont très bien détaillés dans le guide officiel de la méthode

EBIOS Risk Manager est la méthode d’appréciation et de traitement des risques numériques publiée par l’Agence nationale de la sécurité et des systèmes d’information (ANSSI) avec le soutien du Club EBIOS . Elle propose une boite à outils adaptable, dont l’utilisation varie selon l’objectif du projet et est compatible avec les référentiels normatifs en vigueur, en matière de gestion des risques comme en matière de sécurité du numérique.

Guide officiel de la méthode

Dans une démarche très pratique de gestion des risques, la méthode EBIOS Risk Manager combine les deux approches; par “risques” et par “Conformité“. Cela constitue une des nouveautés les plus importantes de la méthode par rapport à la version 2010.

Approche par “Conformité”

L’approche par “Conformité” se manifeste dans l’Activité “Socle de sécurité” de l’atelier 1. Celle-ci consiste à définir une première couche de mesures de sécurité issues de l’état de l’art et de la conformité obligatoire (ex. réglementation, obligation contractuelles).

Comme illustré dans la Figure 1 (extraite du guide officiel de la méthode), le Socle de sécurité est constitué des deux premières couches de la pyramide et est défini dans une approche par “Conformité“; en dehors d’un plan de traitement des risques.

EBIOS RM Approche Risque & Conformité Pyramide
Figure 1 – Combinaison des deux approches, par “Risques” et par “Conformité” (source : guide officiel de la méthode)

Concrètement, cela consiste à considérer un ou plusieurs référentiels, de bonnes pratiques ou d’origine réglementaire, et à :

  1. réaliser un état des lieu pour identifier les mesures existantes et les écarts;
  2. définir un plan d’action de mise en conformité.

Ce premier lot de mesures identifiées couvrent généralement la majeur partie des risques qui pèsent sur le système d’information, plus particulièrement ceux d’origine accidentelle ou relatives à des attaques opportunistes.

Approche par “Risques”

L’approche par “risques” considère que les mesures du Socle de sécurité sont implémentées et vise à identifier des mesures supplémentaires pour réduire les risques non couverts par les mesures du socle. En d’autres termes, pour boucher les “trous” persistants suite à l’implémentation des deux premières couches de la pyramide.

EBIOS Risk Manager - Vue d'ensemble
Figure 2 – Vue d’ensemble de l’approche par “Risques”

Comme illustré dans le schéma ci-dessus, l’analyse des risques est réalisée sur deux volets :

  1. Ce que je crains, d’un point de vue purement métier. Cela consiste en l’identification des événements redoutés
    .
  2. Ce à quoi je suis réellement exposé, en matière de menace de cybersécurité. Cela consiste en l’identification des sources de risque, de leurs objectifs visés et des scénarios d’attaque possibles pour les atteindre. Ces derniers sont définis à deux niveaux : stratégique et opérationnel.

Ces deux volets sont combinés pour constituer les risques de cybersécurité. Un risque représente un ou plusieurs scénarios d’attaques qui provoquent un ou plusieurs évènements redoutés. La gravité du risque est celle des évènements redoutés. La vraisemblance est celle de l’occurence des scénarios d’attaque.

Les risques jugés inacceptables sont traités en vue de les réduire ou de les éviter. Cela donne lieu à un plan de traitement des risques, composé des mesures barrières sélectionnées pour contrer les scénarios d’attaques contre le système.

Tenant compte des mesures de traitement retenues, les risques sont par la suite réévalués, pour identifier les risques résiduels.

Etude des événements redoutés (ce que l’on craint d’un point de vue métier)

Les événements redoutés représentent les atteintes aux besoins de sécurité des valeurs métier, qui sont les processus / fonctions métier (ex. Gestion de la facturation) et les données métier (ex. Informations relatives à la facturation).

Les besoins de sécurité sont exprimés, particulièrement, en matière de confidentialité, d’intégrité et de disponibilité.

Chaque événement redouté (ex. indisponibilité de la gestion de la facturation) est associé à un niveau de gravité, en fonction des dégâts engendrés.

Etude des menaces (ce à quoi l’on est exposé)

Cela consiste en l’identification des sources de risque, de leurs objectifs visés et des scénarios d’attaque possibles pour atteindre ces objectifs. Les scénarios d’attaque sont étudiés à deux niveaux : Stratégique et opérationnel.

Scénarios Stratégiques

L’étude des scénarios stratégiques consiste à définir, à haut niveau et tenant compte de l’ensemble de l’écosystème, les chemins d’attaque qu’une source de risque peut emprunter pour atteindre ses objectifs visés.

Figure 3 – Illustration d’un exemple de scénario stratégique (source : guide officiel de la méthode)

Comme illustré dans la figure 3 (issue du guide officiel), un chemin d’attaque peut être direct contre le système étudié ou au travers d’une partie prenante de l’écosystème.

Une partie prenante est une entité impliquée dans la chaine d’approvisionnement du système étudié, sans être dans le périmètre de celui-ci (ex. Intégrateur, Hébergeur). La source de risque profite des privilèges et de la confiance accordée à une telle entité pour attaquer le système dans une logique de moindre effort.

Scénarios opérationnels

L’étude des scénarios opérationnels consiste à définir les modes opératoires qu’une source de risque peut employer pour mettre en oeuvre un chemin d’attaque stratégique, et ce tenant compte de l’architecture du système et des spécificités de ses composants (biens supports).

Figure 4 – Exemple d’un scénario opérationnel (source : guide de la méthode)

Comme illustré dans la figure 4, ces scénarios opérationnels sont définis sous la forme de graphe d’attaque à plusieurs étapes. Chaque étape consiste en une action élémentaire exploitant une vulnérabilité d’un bien support.

Les biens supports sont les humains, les locaux, les équipements, les réseaux, les logiciels et les applications qui contribuent au traitement, au stockage et au transport des informations métier et/ou participent aux processus et fonctions métier.

Identification des risques

EBIOS RM Identification des risques
Figure 5 – Identification des risques

Comme illustré dans la figure 2, les risques sont les combinaisons :

  • d’une part, de “ce que l’on craint” d’un point de vue métier : les événements redoutés, avec des niveaux de gravité
  • et, d’autre part, de “ce à quoi l’on est exposé” : scénarios stratégiques et opérationnels avec des vraisemblances d’occurrence.

Autrement dit, un risque représente un ou plusieurs scénarios d’attaques possibles qui peuvent provoquer un ou plusieurs évènements redoutés.

Tableau des risques
Figure 6 – Illustration d’une matrice des risques (source : guide de la méthode)

Traitement des risques

EBIOS RM - Traitement des risques
Figure 7 – Traitement des risques

Les risques jugés inacceptables sont traités en vue de les réduire ou de les éviter. Cela donne lieu à un plan de traitement des risques, composé des mesures barrières sélectionnées pour contrer les scénarios d’attaques contre le système. Ces mesures sont identifiées aux deux niveaux :

  1. Scénario stratégiques : les mesures barrières sont appliquées aux parties prenantes de l’écosystème (ex. revoir à la baisse les privilèges d’une partie prenante)
  2. Scénarios opérationnels : les mesures barrières sont appliquées aux biens supports composant le système.

En tenant compte des mesures de traitement retenues, les risques de cybersécurité sont réévalués pour identifier les risques résiduels.

EBIOS RM Risques Résiduels
Figure 8 – Illustration des risques résiduels

 

Avez-vous trouvé cet article utile?