Partager

Dans l’épisode précédent, j’ai partage avec vous un questionnaire de maitrise, pour acquérir un minimum nécessaire de connaissance du système étudié… un minimum nécessaire pour mener à bien l’analyse des risques.

Mais nous avons également identifié quelques interrogations qui peuvent légitimement venir a l’esprit concernant ce questionnaire :

  • Selon quelle logique ces questions ont-elles été choisies ?
  • Le questionnaire est-il exhaustif pour acquérir une connaissance suffisante ?
  • Quel niveau de granularité faut-il adopter dans la collecte des informations demandées ?
  • Comment collecter les informations, et par quels moyens ?

Dans cet épisode, nous allons parcourir ces interrogations et nous allons y répondre.

SI ce n’est pas déjà fait, vous pouvez télécharger le questionnaire ici 👇👇

Amn Brains - PDF Icon

Vous y trouverez également un template Excel pour renseigner les informations collectées 👇👇

Pour ne pas rater les prochains épisodes, je vous invite à vous abonner à notre Chaîne y, et à me suivre sur à me suivre sur Linkedin.

https://www.linkedin.com/in/ralaoui/

Enjoy !

Sommaire :

  • 0:00 : Introduction
  • 1:30 : Logique de choix des questions
  • 3:03 : Le questionnaire est-il 𝗲𝘅𝗵𝗮𝘂𝘀𝘁𝗶𝗳 ?
  • 3:45 : Niveau de 𝗴𝗿𝗮𝗻𝘂𝗹𝗮𝗿𝗶𝘁𝗲́ à adopter
  • 5:45 : Cas particulier – 𝗴𝗿𝗮𝗻𝘂𝗹𝗮𝗿𝗶𝘁𝗲́ 𝗱𝗲𝘀 𝗹𝗼𝗴𝗶𝗰𝗶𝗲𝗹𝘀
  • 7:00 : 𝗠𝗼𝘆𝗲𝗻𝘀 𝗱𝗲 𝗰𝗼𝗹𝗹𝗲𝗰𝘁𝗲 des informations demandées
  • 8:20 : Récapitulatif de la 𝗱𝗲́𝗺𝗮𝗿𝗰𝗵𝗲 𝗱𝗲 𝗰𝗼𝗺𝗽𝗿𝗲́𝗵𝗲𝗻𝘀𝗶𝗼𝗻 𝗱𝘂 𝘀𝘆𝘀𝘁𝗲̀𝗺𝗲 𝗲𝗻 𝟰 𝗲́𝘁𝗮𝗽𝗲𝘀

Transcription de la Vidéo

Bonjour et bienvenue dans un nouvel épisode de la série EBIOS RM dans la pratique.

Nous continuons notre étude EBIOS Risk Manager sur un cas d’usage concret : un système de vidéo surveillance d’un centre de recherche et de développement assez sensible.

Dans l’épisode précédent, j’ai partagé avec vous un questionnaire pour acquérir un minimum nécessaire de connaissances du système étudié. Ce minimum est nécessaire pour mener à bien l’analyse des risques. Nous avons vu ensemble l’utilité de ce questionnaire et un exemple de son utilisation. Mais nous avons également identifié quelques interrogations qui peuvent légitimement venir à l’esprit concernant ce questionnaire.

Dans cet épisode, nous allons parcourir ces interrogations et y répondre.

Une première interrogation concernant ce questionnaire est la suivante :

  • Selon quelle logique ces questions ont-elles été choisies ?

Pour répondre à cette interrogation, il est d’abord à noter que l’objectif de cet exercice n’est pas de réaliser un inventaire du système d’information, mais de collecter les informations qui permettent de comprendre comment le système peut être attaqué, quels peuvent être les dégâts et comment le défendre. C’est d’ailleurs l’objectif même de l’analyse des risques, qu’on a parfois tendance à oublier.

Les questions de ce questionnaire ont donc été sélectionnées dans cette logique, c’est-à-dire pour collecter les informations pertinentes. Prenons par exemple la section couche applicative du questionnaire. Pour chaque composant logiciel, le questionnaire invite à identifier la machine où elle s’exécute et les droits qui lui sont associés. Ces deux informations sont pertinentes car elles sont nécessaires pour savoir par où ce logiciel peut être attaqué, quels dégâts cela peut avoir et comment le sécuriser.

Maintenant, étant donné que le questionnaire s’intéresse uniquement aux informations pertinentes pour comprendre comment le système peut être attaqué et comment le défendre, on peut se demander si :

  • Ce questionnaire est exhaustif pour acquérir cette compréhension ?

La réponse est non : le questionnaire n’est pas exhaustif. Il sert plutôt à acquérir un minimum nécessaire d’informations pour démarrer correctement l’analyse des risques. En fonction des réponses aux questions du questionnaire et du contexte de l’étude, vous allez avoir systématiquement d’autres questions à traiter, d’autres questions qui ne font pas partie de ce questionnaire.

Concernant l’utilisation de ce questionnaire, une autre question se pose :

  • Quel niveau de granularité faut-il adopter dans la quête des détails du système ?

La réponse est : suffisamment pour identifier les possibilités d’attaque et les moyens de défense.

Maintenant que nous savons quelles informations collecter et avec quel niveau de granularité, une autre question se pose :

  • Comment collecter ces informations et par quels moyens ?

Le premier moyen pour collecter les réponses aux questionnaires consiste en l’étude de la documentation du système d’information, tels que les spécifications fonctionnelles, les dossiers d’architecture et les procédures opérationnelles.

Avec l’épisode d’aujourd’hui, nous avons fait le tour de la démarche de compréhension du système pour mener à bien l’analyse des risques. Nous pouvons maintenant démarrer les activités de l’atelier 1 de la méthode. C’est ce que nous allons faire dans les prochains épisodes.

Je vous donne rendez-vous au prochain épisode et je vous dis à bientôt.


✅ “EBIOS-RM dans la pratique” est une série qui a pour objectif de partager une longue expérience terrain avec la méthode EBIOS (2010 et Risk Manager)

✅ Un résumé de la méthode EBIOS Risk Manager est disponible dans cet article.

✅  L’intégralité des articles de la série est disponible par 👉 ici

Avez-vous trouvé cet article utile?