Nous continuons notre étude EBIOS Risk Manager“EBIOS Risk Manager 1 (EBIOS RM) est la méthode d’appréciation et de traitement des risques numériques publiée par l’Agence nationale de la sécurité et des systèmes d’information (ANSSI) avec le soutien du Club EBIOS 2 . Elle propose une boite à outils adaptable, dont l’utilisation varie selon l’objectif du projet et est compatible avec les référentiels normatifs en vigueur, en matière de gestion des risques comme en matière de sécurité du numérique.” - Guide officie... More, sur un cas d’usage concret :

Un Système de Vidéosurveillance

Nous travaillons sur ce système tout au long de la série, et nous lui appliquerons la méthode atelier par atelier.

Dans les précédents épisodes, nous avons commencé le travail de Compréhension du système, selon une approche en 4 étapes :

• Identifier la mission du système
• Acquérir une vue d’ensemble
• Délimiter le périmètre du système
• Comprendre les Détails du système

Nous avons réalisé les 3 premières étapes, mais Il nous reste une dimension que nous n’avons pas traitée dans la vue d’ensemble et dans la définition du périmètre.

Ils s’agit de la dimension humaine et organisationnelle.

… Nous n’avons pas parlé des Personnes impliquées dans le système.
… Et nous n’avons pas précisé si elles sont des Biens SupportsLes biens supports sont les éléments du système d’information (humains, locaux, équipements, réseaux, logiciels et applications) qui contribuent au traitement, au stockage et au transport des informations métier et/ou participent aux processus et fonctions métier. More ou des Parties Prenantes.

… C’est ce que nous allons voir dans cet épisode 👇👇.

Pour ne pas rater les prochains épisodes, je vous invite à vous abonner à notre Chaîne y, et à me suivre sur à me suivre sur Linkedin.

https://www.linkedin.com/in/ralaoui/

Enjoy !

Sommaire :

• 0:00 : Introduction
• 1:28 : Vue d’ensemble des Personnes et Entités
• 4:30 : Périmètre, Biens SupportsLes biens supports sont les éléments du système d’information (humains, locaux, équipements, réseaux, logiciels et applications) qui contribuent au traitement, au stockage et au transport des informations métier et/ou participent aux processus et fonctions métier. More et Parties Prenantes
• 5:54 : Une Personne est un Bien SupportLes biens supports sont les éléments du système d’information (humains, locaux, équipements, réseaux, logiciels et applications) qui contribuent au traitement, au stockage et au transport des informations métier et/ou participent aux processus et fonctions métier. More si…
• 6:41 : Une Personne est une Partie Prenante"Élément (personne, système d’information, organisation, ou source de risque) en interaction directe ou indirecte avec l’objet de l’étude. On entend par interaction toute relation intervenant dans le fonctionnement normal de l’objet de l’étude. Une partie prenante peut être interne ou externe à l’organisation à laquelle appartient l’objet de l’étude. EXEMPLES  : partenaire, prestataire, client, fournisseur, filiale, service connexe support." - Guide officiel de la méth... More si…
• 6:54 : Application à notre système
• 8:09 : Une Personne est toujours une Partie Prenante"Élément (personne, système d’information, organisation, ou source de risque) en interaction directe ou indirecte avec l’objet de l’étude. On entend par interaction toute relation intervenant dans le fonctionnement normal de l’objet de l’étude. Une partie prenante peut être interne ou externe à l’organisation à laquelle appartient l’objet de l’étude. EXEMPLES  : partenaire, prestataire, client, fournisseur, filiale, service connexe support." - Guide officiel de la méth... More
• 9:50 : Mot de la fin

Transcription de la Vidéo
Bonjour et bienvenue dans un nouvel épisode de la série EBIOS RM“EBIOS Risk Manager 1 (EBIOS RM) est la méthode d’appréciation et de traitement des risques numériques publiée par l’Agence nationale de la sécurité et des systèmes d’information (ANSSI) avec le soutien du Club EBIOS 2 . Elle propose une boite à outils adaptable, dont l’utilisation varie selon l’objectif du projet et est compatible avec les référentiels normatifs en vigueur, en matière de gestion des risques comme en matière de sécurité du numérique.” - Guide officie... More dans la pratique. Nous continuons notre étude sur un cas d’usage concret : un système de vidéosurveillance d’un centre de recherche et de développement assez sensible. Nous travaillons sur ce système étape par étape en appliquant la méthode EBIOS. Dans les précédents épisodes, nous avons commencé le travail de compréhension du système d’information selon une approche en quatre étapes. Nous avons réalisé les trois premières étapes, mais il reste une dimension que nous n’avons pas traitée : la dimension humaine et organisationnelle. Nous n’avons pas parlé des personnes impliquées dans le système et n’avons pas précisé s’il s’agit de biens support ou de parties prenantes. C’est ce que nous allons voir aujourd’hui.

Commençons par une vue d’ensemble de cette dimension humaine et organisationnelle. Il convient d’identifier les principaux acteurs qui gravitent autour du système d’information et qui présentent une surface d’attaque contre celui-ci. Une personne constitue une surface d’attaque si elle peut aider à attaquer le système de manière consciente ou à son insu. Cela se produit généralement lorsque quelqu’un a un privilège d’accès logique ou physique au système, à l’un de ses composants ou à des informations liées. Voyons plus concrètement les types de rôles à considérer.

D’abord, intéressons-nous aux personnes et entités qui interagissent directement avec le système. Il s’agit généralement des utilisateurs et du personnel en charge de l’administration et de la maintenance. Pour notre système de vidéosurveillance, les utilisateurs sont les agents de sécurité qui assurent la surveillance depuis le poste de sécurité, ainsi que le responsable de sécurité physique, qui a des privilèges pour la gestion des droits et le paramétrage fonctionnel. L’administration et la maintenance sont assurées à distance par un prestataire externe. Les personnes ayant accès aux locaux d’installation physique du système d’information constituent également une surface d’attaque. Il s’agit du personnel de ménage, des employés et des visiteurs du centre. Des personnes et des entités peuvent avoir accès à des informations relatives au système mais en dehors de celui-ci, ce qui constitue également une surface d’attaque. Parmi ces acteurs, nous avons les enquêteurs, vous et moi, qui connaissons l’architecture du système d’information, et, si l’hébergement du système est externalisé, le fournisseur de services en question est aussi à considérer.

Enfin, n’oublions pas les acteurs de la phase projet, à commencer par les constructeurs des matériels, les éditeurs des logiciels, les éventuels distributeurs, les transporteurs des équipements, les entités et les personnes en charge des projets de développement et d’intégration. Cela constitue une liste d’acteurs à prendre en compte dans la compréhension du système et qui peuvent présenter des surfaces d’attaque.

Maintenant, passons à l’identification de ceux qui font partie du périmètre du système et ceux qui sont à la frontière hors périmètre. Nous verrons également si ces personnes et entités sont des biens support, des parties prenantes ou les deux. Pour bien comprendre la notion du périmètre du système étudié et de ses frontières, je vous invite à regarder l’épisode précédent (lien dans le premier commentaire).

Nous avons défini le périmètre du système étudié comme la zone à sécuriser. Les composants à l’intérieur de ce périmètre sont considérés comme des biens support, tandis que ceux à la frontière du système sont des parties prenantes. Voyons maintenant comment cela s’applique aux personnes qui gravitent autour du système. Une personne sera dans le périmètre et sera un bien supportLes biens supports sont les éléments du système d’information (humains, locaux, équipements, réseaux, logiciels et applications) qui contribuent au traitement, au stockage et au transport des informations métier et/ou participent aux processus et fonctions métier. More si nous lui définissons des mesures de sécurité. Pour une personne donnée, ces mesures peuvent inclure la formation, la sensibilisation, la signature de chartes, la mise en place de fiches réflexes, voire la réalisation d’enquêtes et de processus d’habilitation selon la réglementation. Si ces mesures ne sont pas étudiées pour une personne, elle sera une partie prenante"Élément (personne, système d’information, organisation, ou source de risque) en interaction directe ou indirecte avec l’objet de l’étude. On entend par interaction toute relation intervenant dans le fonctionnement normal de l’objet de l’étude. Une partie prenante peut être interne ou externe à l’organisation à laquelle appartient l’objet de l’étude. EXEMPLES  : partenaire, prestataire, client, fournisseur, filiale, service connexe support." - Guide officiel de la méth... More de l’écosystème“L’écosystème comprend l’ensemble des parties prenantes qui gravitent autour de l’objet de l’étude et concourent à la réalisation de ses missions (partenaires, sous-traitants, filiales, etc.). De plus en plus de modes opératoires d’attaque exploitent les maillons les plus vulnérables de cet écosystème pour atteindre leur objectif (exemple : atteinte à la disponibilité d’un service en attaquant le fournisseur de service en nuage, piège de la chaîne logistique d’appro... More.

Pour notre système de vidéosurveillance, les agents de sécurité, utilisateurs principaux du système, et le responsable de sécurité physique, utilisateurs privilégiés, sont considérés comme des biens support. Les autres acteurs identifiés précédemment sont des parties prenantes de l’écosystème“L’écosystème comprend l’ensemble des parties prenantes qui gravitent autour de l’objet de l’étude et concourent à la réalisation de ses missions (partenaires, sous-traitants, filiales, etc.). De plus en plus de modes opératoires d’attaque exploitent les maillons les plus vulnérables de cet écosystème pour atteindre leur objectif (exemple : atteinte à la disponibilité d’un service en attaquant le fournisseur de service en nuage, piège de la chaîne logistique d’appro... More. Cependant, il faudra préciser la nature de la relation que chacun de ces acteurs a avec le système pour définir la surface d’attaque associée, qui sera évaluée en atelier 3 de la méthode au travers de l’indicateur niveau de menace.

Revenons maintenant aux acteurs qui font partie du périmètre en tant que biens support. Ils ne peuvent pas être traités de la même manière que les composants techniques, car leur existence et leur raison d’être sont liées au système. Pour une personne, sa vie personnelle ou professionnelle en dehors du rôle défini comme bien supportLes biens supports sont les éléments du système d’information (humains, locaux, équipements, réseaux, logiciels et applications) qui contribuent au traitement, au stockage et au transport des informations métier et/ou participent aux processus et fonctions métier. More ne relève pas du périmètre. Cependant, cette vie personnelle ou professionnelle peut présenter une surface d’attaque pour le système, par exemple, en étant ciblée par une ingénierie sociale. Ainsi, une personne ayant une relation avec le système sera toujours une partie prenante"Élément (personne, système d’information, organisation, ou source de risque) en interaction directe ou indirecte avec l’objet de l’étude. On entend par interaction toute relation intervenant dans le fonctionnement normal de l’objet de l’étude. Une partie prenante peut être interne ou externe à l’organisation à laquelle appartient l’objet de l’étude. EXEMPLES  : partenaire, prestataire, client, fournisseur, filiale, service connexe support." - Guide officiel de la méth... More. Selon que nous pouvons ou non lui définir des mesures de sécurité, elle sera également un bien supportLes biens supports sont les éléments du système d’information (humains, locaux, équipements, réseaux, logiciels et applications) qui contribuent au traitement, au stockage et au transport des informations métier et/ou participent aux processus et fonctions métier. More.

Nous avons maintenant une vue d’ensemble du système, de sa dimension humaine et organisationnelle, ainsi que de l’identification des parties prenantes et des biens support. Dans le prochain épisode, nous entamerons l’étape 4 de la procédure de compréhension du système, qui consiste à chercher les détails pertinents. Je partagerai avec vous un questionnaire qui servira de liste de courses pour la compréhension des détails pertinents du système. Pour ne pas le rater, pensez à vous abonner. Rendez-vous au prochain épisode.

---

✅ “EBIOS-RM dans la pratique” est une série qui a pour objectif de partager une longue expérience terrain avec la méthode EBIOS (2010 et Risk Manager)

✅ Un résumé de la méthode EBIOS Risk Manager est disponible dans cet article.

✅  L’intégralité des articles de la série est disponible par 👉 ici

✅ Si souhaitez vous former à EBIOS RM“EBIOS Risk Manager 1 (EBIOS RM) est la méthode d’appréciation et de traitement des risques numériques publiée par l’Agence nationale de la sécurité et des systèmes d’information (ANSSI) avec le soutien du Club EBIOS 2 . Elle propose une boite à outils adaptable, dont l’utilisation varie selon l’objectif du projet et est compatible avec les référentiels normatifs en vigueur, en matière de gestion des risques comme en matière de sécurité du numérique.” - Guide officie... More, nous proposons une formation pour apprendre la méthode par la pratique, 👉 Cliquer ici pour en savoir plus. Formation Certifiante éligible aux financements publics CPF, OPCO.