- EBIOS Risk Manager – Vue d’ensemble
- EBIOS RM dans la pratique – N°2 – Recul & Bon Sens
- EBIOS RM“EBIOS Risk Manager 1 (EBIOS RM) est la méthode d’appréciation et de traitement des risques numériques publiée par l’Agence nationale de la sécurité et des systèmes d’information (ANSSI) avec le soutien du Club EBIOS 2 . Elle propose une boite à outils adaptable, dont l’utilisation varie selon l’objectif du projet et est compatible avec les référentiels normatifs en vigueur, en matière de gestion des risques comme en matière de sécurité du numérique.” - Guide officie... dans la pratique – N°3 – Une question de Maîtrise
- EBIOS RM dans la pratique – N°4 – Socle de sécurité – Pourquoi ?
- EBIOS RM dans la pratique – N°5 – Socle de sécurité – Quel Output ?
- EBIOS RM dans la pratique – N°6 – Mode opératoire pour constituer un “Socle de sécurité”
- EBIOS RM dans la Pratique – N° 7 – Quel Référentiel pour mon Socle de Sécurité ?
- EBIOS RM dans la Pratique – N° 8 – Étude de Cas #1 – Connaître le SI (Partie 1)
- EBIOS RM dans la Pratique – N° 9 – Étude de Cas #2 – Connaître le SI (Partie 2)
- EBIOS RM dans la Pratique – N° 10 – Étude de Cas #3 – Personnes : Biens supports ou Parties prenantes ?
- EBIOS RM dans la Pratique – N° 11 – Étude de Cas #4 – Quête des détails
- EBIOS RM dans la Pratique – N° 12 – Questionnaire de maitrise – explications et astuces d’utilisation
- EBIOS RM dans la Pratique – N° 13 – Vue d’ensemble – Atelier 1
- EBIOS RM dans la Pratique – N° 14 – Vue d’ensemble – Atelier 2
- EBIOS RM dans la Pratique – N° 15 – Vue d’ensemble – Atelier 3 – Partie 1
- EBIOS RM dans la Pratique – N° 16 – Vue d’ensemble – Atelier 3 – Partie 2
Après avoir parlé de l’importance du recule et du bon sens dans l’article précédent, ce nouvel article de la série traite un principe tout aussi important : la maîtrise du système étudié.
Une analyse des risques"Possibilité qu’un événement redouté survienne et que ses effets impactent les missions de l’objet de l’étude." - Guide officiel de la méthode EBIOS Risk Manager - d’un système doit répondre à ces questions : Que dois-je protéger ? Pourquoi ? Contre qui ? Comment ? et puis quels risques"Possibilité qu’un événement redouté survienne et que ses effets impactent les missions de l’objet de l’étude." - Guide officiel de la méthode EBIOS Risk Manager - vont persister ?
Cela passe en particulier par l’identification des chemins d’attaqueUn chemin d’attaque est un scénario, décrit de haut niveau, identifiant les points d’entrée, les relais de propagation et les vecteurs d’exploitation les plus pertinents, dans une logique de moindre effort. Un chemin d’attaque est constitué d’une succession d'événements intermédiaires causés par la source de risque et appliqués à des parties prenantes de l’écosystème et/ou au système cible en vue d'atteindre un objectif visé. et la définition des barrières de défense.
Faire cela sans une maîtrise suffisante du système d’information est comme jouer au foot et défendre son but les yeux bandés 🙈 …
L’attaquant 🥷 s’intéresse et joue sur les petits détails, le défenseur 👮 doit faire de même.
💡 Une bonne maîtrise du système est alors incontournable.
Plus concrètement, quels éléments faut-il maîtriser ?
Le document, téléchargeable ci-dessous, fournit une liste de questions de base qu’il convient de (se) poser dans la quête de cette maîtrise.
Cette liste de questions couvre toutes les couches du système, depuis la couche physique jusqu’aux aspects fonctionnels et métier, en passant par le réseau, les systèmes et les applicatifs.
La liste couvre également l’organisation relative au système et les éléments qui gravitent autour (écosystème“L’écosystème comprend l’ensemble des parties prenantes qui gravitent autour de l’objet de l’étude et concourent à la réalisation de ses missions (partenaires, sous-traitants, filiales, etc.). De plus en plus de modes opératoires d’attaque exploitent les maillons les plus vulnérables de cet écosystème pour atteindre leur objectif (exemple : atteinte à la disponibilité d’un service en attaquant le fournisseur de service en nuage, piège de la chaîne logistique d’appro...).
Ces questions permettent d’acquérir une compréhension de base, indispensable pour mener à bien les ateliers de la méthode.
Comment acquérir cette maîtrise dans le cadre d’une étude EBIOS RM“EBIOS Risk Manager 1 (EBIOS RM) est la méthode d’appréciation et de traitement des risques numériques publiée par l’Agence nationale de la sécurité et des systèmes d’information (ANSSI) avec le soutien du Club EBIOS 2 . Elle propose une boite à outils adaptable, dont l’utilisation varie selon l’objectif du projet et est compatible avec les référentiels normatifs en vigueur, en matière de gestion des risques comme en matière de sécurité du numérique.” - Guide officie... ?
Au titre de l’atelier 1, cette maîtrise passe dans un premier temps par une étude approfondie de la documentation 📙📕📘 et par des entretiens avec les acteurs clés 👩💻👨💼👷.
Si des zones d’ombre persistent, un diagnostic terrain 🔎 complémentaire serait nécessaire.
Cela peut consister en une visualisation physique, un scan réseau, un scan système, une analyse des configurations ou une étude des codes sources.
Quel niveau de détails faut-il chercher ?
Suffisamment pour une déclinaison opérationnelle rigoureuse des mesures du socle de sécurité… et non pas se limiter à cocher des cases d’un référentiel.
Suffisamment pour identifier des scénarios opérationnels utiles et pertinents… et non pas des techniques Mitre Attack génériques dans une kill chain passe-partout.
L’objectif n’est cependant pas de réaliser un inventaire des composants du système élément par élément.
Il s’agit plutôt d’identifier les composants types (ou groupes de composants), selon leur nature et leurs spécificités qui ont une incidence sur la cybersécurité telles que la fonction, la sensibilité et le niveau d’exposition.
Exemple :
Pour un système comprenant une centaine de postes de travail, il ne s’agira pas de les étudier un par un, mais d’identifier et d’étudier les postes types.
On pourrait avoir par exemple : le poste utilisateur fixe, le poste utilisateur mobile et le poste d’administration.
Et pour conclure…
Sans une bonne maîtrise du système d’information, EBIOS RM“EBIOS Risk Manager 1 (EBIOS RM) est la méthode d’appréciation et de traitement des risques numériques publiée par l’Agence nationale de la sécurité et des systèmes d’information (ANSSI) avec le soutien du Club EBIOS 2 . Elle propose une boite à outils adaptable, dont l’utilisation varie selon l’objectif du projet et est compatible avec les référentiels normatifs en vigueur, en matière de gestion des risques comme en matière de sécurité du numérique.” - Guide officie... n’y peut rien pour nous !
Dans une analyse des risques"Possibilité qu’un événement redouté survienne et que ses effets impactent les missions de l’objet de l’étude." - Guide officiel de la méthode EBIOS Risk Manager - comme dans la cybersécurité de manière générale, cette maîtrise est essentielle.
Pour ce faire, le document téléchargeable ci-dessus peut servir comme liste de course pour démarrer. Pensez à le télécharger.
✅ “EBIOS-RM dans la pratique” est une série qui a pour objectif de partager une longue expérience terrain avec la méthode EBIOS (2010 et Risk Manager)
✅ Un résumé de la méthode EBIOS Risk Manager“EBIOS Risk Manager 1 (EBIOS RM) est la méthode d’appréciation et de traitement des risques numériques publiée par l’Agence nationale de la sécurité et des systèmes d’information (ANSSI) avec le soutien du Club EBIOS 2 . Elle propose une boite à outils adaptable, dont l’utilisation varie selon l’objectif du projet et est compatible avec les référentiels normatifs en vigueur, en matière de gestion des risques comme en matière de sécurité du numérique.” - Guide officie... est disponible dans cet article.
✅ L’intégralité des articles de la série est disponible par 👉 ici
✅ Si souhaitez vous former à EBIOS RM“EBIOS Risk Manager 1 (EBIOS RM) est la méthode d’appréciation et de traitement des risques numériques publiée par l’Agence nationale de la sécurité et des systèmes d’information (ANSSI) avec le soutien du Club EBIOS 2 . Elle propose une boite à outils adaptable, dont l’utilisation varie selon l’objectif du projet et est compatible avec les référentiels normatifs en vigueur, en matière de gestion des risques comme en matière de sécurité du numérique.” - Guide officie..., nous proposons une formation pour apprendre la méthode par la pratique, 👉 Cliquer ici pour en savoir plus. Formation Certifiante éligible aux financements publics CPF, OPCO.