Dans les épisodes précédents, je vous ai parlé d’un Questionnaire de collecte d’informations sur le système étudié. Un questionnaire que je vous recommande d’utiliser pour acquérir un minimum nécessaire de connaissance du système étudié afin mener à bien l’analyse des risques"Possibilité qu’un événement redouté survienne et que ses effets impactent les missions de l’objet de l’étude." - Guide officiel de la méthode EBIOS Risk Manager - More.

Dans cet épisode, je partage le questionnaire avec vous. Nous le découvrons ensemble, et nous l’appliquons à notre cas d’usage :

le Système de Vidéosurveillance

En plus du questionnaire, je partage avec vous un Tableur Excel pour renseigner les informations collectées. Un exemple d’utilisation est présentée dans la vidéo ci-dessous.

Vous pouvez télécharger le questionnaire et le tableur ci-dessous :

Pour ne pas rater les prochains épisodes, je vous invite à vous abonner à notre Chaîne y, et à me suivre sur à me suivre sur Linkedin.

https://www.linkedin.com/in/ralaoui/

Enjoy !

Sommaire :

• 0:00 : Introduction
• 1:14 : Présentation du questionnaire
• 3:10 : Présentation du template Excel pour renseigner les informations collectées
• 3:37 : Application du questionnaire au système de vidéosurveillance
• 7:47 : Quelques interrogations légitimes

Transcription de la Vidéo

Bonjour et bienvenue dans un nouvel épisode de la série EBIOS RM“EBIOS Risk Manager 1 (EBIOS RM) est la méthode d’appréciation et de traitement des risques numériques publiée par l’Agence nationale de la sécurité et des systèmes d’information (ANSSI) avec le soutien du Club EBIOS 2 . Elle propose une boite à outils adaptable, dont l’utilisation varie selon l’objectif du projet et est compatible avec les référentiels normatifs en vigueur, en matière de gestion des risques comme en matière de sécurité du numérique.” - Guide officie... More dans la pratique. Nous continuons notre étude d’EBIOS Risk Manager“EBIOS Risk Manager 1 (EBIOS RM) est la méthode d’appréciation et de traitement des risques numériques publiée par l’Agence nationale de la sécurité et des systèmes d’information (ANSSI) avec le soutien du Club EBIOS 2 . Elle propose une boite à outils adaptable, dont l’utilisation varie selon l’objectif du projet et est compatible avec les référentiels normatifs en vigueur, en matière de gestion des risques comme en matière de sécurité du numérique.” - Guide officie... More sur un cas d’usage concret : un système de vidéosurveillance d’un centre de recherche et de développement sensible. Dans les épisodes précédents, je vous ai parlé d’un questionnaire de collecte d’informations sur le système étudié, que je vais partager avec vous et que je recommande d’utiliser pour acquérir les connaissances nécessaires.

Pour mener à bien l’analyse des risques"Possibilité qu’un événement redouté survienne et que ses effets impactent les missions de l’objet de l’étude." - Guide officiel de la méthode EBIOS Risk Manager - More, nous allons découvrir ensemble ce questionnaire et l’appliquer à notre système de vidéosurveillance. Cette série vise à présenter concrètement les activités d’EBIOS RM“EBIOS Risk Manager 1 (EBIOS RM) est la méthode d’appréciation et de traitement des risques numériques publiée par l’Agence nationale de la sécurité et des systèmes d’information (ANSSI) avec le soutien du Club EBIOS 2 . Elle propose une boite à outils adaptable, dont l’utilisation varie selon l’objectif du projet et est compatible avec les référentiels normatifs en vigueur, en matière de gestion des risques comme en matière de sécurité du numérique.” - Guide officie... More et à partager des bonnes pratiques ainsi que des ressources utiles pour vos analyses. Vous trouverez les anciens épisodes sur notre blog imbreizh.com, et pour ne rien rater, je vous invite à suivre mon profil et notre page LinkedIn, ainsi qu’à vous abonner à notre chaîne YouTube.

Dans cet épisode, nous allons comprendre l’utilité de ce questionnaire. Imaginez que vous démarrez une analyse des risques"Possibilité qu’un événement redouté survienne et que ses effets impactent les missions de l’objet de l’étude." - Guide officiel de la méthode EBIOS Risk Manager - More et que vous cherchez à bien comprendre le système étudié. Pour ce faire, vous lisez la documentation existante ou menez des entretiens avec les experts du système. Cependant, votre principal défi est de savoir quelles informations rechercher et quelles questions poser. Si cette quête d’informations n’est pas bien cadrée, vous risquez de passer à côté d’informations importantes ou de vous perdre dans des détails non pertinents.

L’objectif de ce questionnaire est de cadrer cette quête d’informations en posant une série de questions cruciales pour acquérir une connaissance minimale des détails de chaque composant du système d’information. Ces questions couvrent toutes les couches du système d’information, de l’organisation à la partie matérielle et physique.

Vous pouvez télécharger le document ci-dessus. Pour mieux comprendre comment l’utiliser concrètement, je vous invite à regarder l’épisode 8 de la série, qui présente une vue d’ensemble du système d’information. Il vous aidera à suivre cet exercice de quête des détails.

Pour répondre aux questions du questionnaire, vous pouvez utiliser le modèle Excel que je partage avec vous. Chaque section du questionnaire correspond à un onglet du modèle. Chaque onglet contient plusieurs colonnes pour répondre aux questions de la section. Pour des raisons de temps, nous ne pouvons pas détailler l’intégralité du questionnaire, mais je vais vous montrer un exemple d’utilisation en répondant à une section.

Par exemple, la page 5 du questionnaire concerne les composants applicatifs du système d’information. Elle demande d’abord de lister ces composants, puis pour chaque applicatif, d’approfondir les fonctions, les données manipulées, les solutions logicielles sous-jacentes, les interfaces d’interaction et les communications associées. Nous allons collecter ces informations et les renseigner dans notre modèle Excel, dans l’onglet « Composants Applicatifs » dédié à cette section.

En revenant à la vue d’ensemble du système que nous avons présentée dans l’épisode 8, nous avons identifié trois applicatifs : le centre de gestion vidéo, l’applicatif des caméras et la station de vidéosurveillance. Nous allons les répertorier dans la première colonne. Ensuite, pour chaque composant, nous identifierons les fonctions rendues et les données manipulées.

Par exemple, le centre de gestion vidéo est impliqué dans les fonctions d’acquisition et de visionnage des images. Le client vidéo est impliqué dans le visionnage, et l’applicatif des caméras est impliqué dans l’acquisition. En ce qui concerne les données, les trois applicatifs manipulent des images vidéo.

Nous expliquerons plus en détail dans la colonne « Applications ». Par exemple, l’applicatif vidéo reçoit les images vidéos envoyées par les caméras et les transfère aux stations de gestion pour le visionnage.

Nous aborderons ensuite les solutions logicielles sous-jacentes. Par exemple, le centre de gestion vidéo est constitué de deux composants logiciels : serveurs applicatifs vidéo et bases de données.

Enfin, pour chaque composant logiciel, nous préciserons sur quelle machine il s’exécute et avec quels droits. Par exemple, le serveur applicatif vidéo tourne sur la même serveur vidéo avec des droits d’administrateur local.

Ce modèle Excel, une fois complété, sera joint au rapport final d’analyse des risques"Possibilité qu’un événement redouté survienne et que ses effets impactent les missions de l’objet de l’étude." - Guide officiel de la méthode EBIOS Risk Manager - More. Il est essentiel pour les lecteurs du rapport, car il permet de comprendre les conclusions de l’analyse.

Dans le prochain épisode, je répondrai aux questions sur la logique derrière ces questions, la pertinence des détails à collecter, le niveau de granularité et les méthodes de collecte. Restez connectés en vous abonnant à notre chaîne YouTube. Rendez-vous au prochain épisode et à bientôt.

---

✅ “EBIOS-RM dans la pratique” est une série qui a pour objectif de partager une longue expérience terrain avec la méthode EBIOS (2010 et Risk Manager)

✅ Un résumé de la méthode EBIOS Risk Manager est disponible dans cet article.

✅  L’intégralité des articles de la série est disponible par 👉 ici

✅ Si souhaitez vous former à EBIOS RM“EBIOS Risk Manager 1 (EBIOS RM) est la méthode d’appréciation et de traitement des risques numériques publiée par l’Agence nationale de la sécurité et des systèmes d’information (ANSSI) avec le soutien du Club EBIOS 2 . Elle propose une boite à outils adaptable, dont l’utilisation varie selon l’objectif du projet et est compatible avec les référentiels normatifs en vigueur, en matière de gestion des risques comme en matière de sécurité du numérique.” - Guide officie... More, nous proposons une formation pour apprendre la méthode par la pratique, 👉 Cliquer ici pour en savoir plus. Formation Certifiante éligible aux financements publics CPF, OPCO.