Partager

A partir de l’épisode d’aujourd’hui, la série EBIOS RM dans la pratique va vous emmener faire un tour, à travers les fondamentaux de la méthode, et les 5 ateliers qui la composent.

Que vous découvriez EBIOS RM pour la première fois ou que vous ayez déjà commencé à l’explorer, cette suite d’épisodes va vous intéresser💡. Vous allez acquérir une vue d’ensemble de la méthode et de ses ateliers. Nous explorerons l’essence même de cette méthode, pour vous permettre de comprendre non seulement son fonctionnement ⚙️, mais aussi la philosophie qui la sous-tend 🧠. Et pour ceux d’entre vous qui suivent déjà la série, cette vidéo s’inscrit parfaitement dans la continuité de celle-ci.

Dans les 5 derniers épisodes, … nous avons entamé notre étude… en acquérant une connaissance suffisante du système étudié 🕵️‍♂️ … en vue de mener à bien l’analyse des risques. 🎯 A partir de l’épisode d’aujourd’hui, nous amorçons les ateliers de la méthode EBIOS RM et nous allons les appliquer à notre cas d’usage : un système de vidéosurveillance d’un centre de R&D, assez sensible.

Pour ne pas rater les prochains épisodes, je vous invite à vous abonner à notre Chaîne y, et à me suivre sur à me suivre sur Linkedin.

https://www.linkedin.com/in/ralaoui/

Enjoy !

Sommaire :

  • 0:00 : Introduction
  • 2:19 : Signification de l’acronyme EBIOS
  • 2:48 : Les Ateliers d’EBIOS RM
  • 3:15 : Les Questions traitées par EBIOS RM
  • 3:57 : Atelier 1
  • 6:20 : Les Valeurs Métier
  • 8:06 : Les Évènements Redoutés
  • 9:52 : Sécuriser les Valeurs Métier
  • 11:30 : Définition du Socle de sécurité

Transcription de la Vidéo

Introduction

EBIOS Risk Manager est la méthode d’analyse des risques de cybersécurité, publiée par l’Agence National de la sécurité système d’Information avec le soutien du Club EBIOS. En matière d’analyse des risques, c’est la méthode de référence en France.

Que vous découvriez EBIOS RM pour la première fois ou que vous ayez déjà commencé à l’explorer, cette vidéo va vous intéresser. je vais vous donner une vue d’ensemble de la méthode et de ses ateliers… Nous explorerons l’essence même de cette méthode, pour vous permettre de comprendre non seulement son fonctionnement, mais aussi la philosophie qui la sous-tend

Et Pour ceux d’entre vous qui suivent déjà notre série « EBIOS RM dans la pratique », Cette vidéo s’inscrit parfaitement dans la continuité de celle-ci.
Dans les 5 derniers épisodes, nous avons entamé notre étude en acquérant une connaissance et une maîtrise suffisante du système d’information objet de l’étude, en vue de mener à bien l’analyse des risques.
A partir de l’épisode d’aujourd’hui nous amorçons les ateliers de la méthode EBIOS RM et nous allons les appliquer à notre cas d’usage concret… un système de vidéosurveillance d’un centre de recherche et développement, assez sensible.

Mais, nous allons prendre un moment pour revenir aux fondamentaux de la méthode. Cela nous permettra d’avoir une vision claire et globale des différentes étapes à suivre, avant de plonger dans la pratique.

Signification de l’acronyme EBIOS

Commençons d’abord par une brève explication de la signification de l’acronyme EBIOS.

Les cinq lettres formant cet acronyme, E.B.I.O.S, signifient : Expression des Besoins et Identification des Objectifs de Sécurité. Donc, comme son nom l’indique, EBIOS Risk Manager est fondamentalement une méthode qui sert à identifier les besoins et à définir les objectifs de sécurité.

Les Ateliers d’EBIOS RM

Cette identification des besoins et cette définition des objectifs de sécurité se font à travers différentes étapes, organisées en cinq ateliers :

  • Atelier 1 : Cadrage et socle de sécurité
  • Atelier 2 : Sources de risques
  • Atelier 3 : Scénarios stratégiques
  • Atelier 4 : Scénarios opérationnels
  • Atelier 5 : Traitement du risque.

Les Questions traitées par EBIOS RM

Tout au long de ces 5 ateliers, les analystes répondent à ces questions :

  1. Quels biens ou actifs faut-il protéger ? et pourquoi ?
  2. Contre qui faut-il les protéger ?
  3. Comment ces actifs peuvent-ils être attaqués ?
  4. Comment les défendre ?
  5. et à quoi ils resteraient exposés ?

La réponse à ces questions repose d’abord sur une bonne compréhension du système étudié… une compréhension des composants de son périmètre… mais aussi des composants à la frontière hors périmètre, ou ce qu’on appelle l’écosystème.

La quête de cette compréhension a fait l’objet des 5 épisodes précédents. Nous avons discuté de la manière d’acquérir ces connaissances et nous avons appliqué ces principes à notre cas d’étude. J’ai partagé avec vous une approche en quatre étapes, et en particulier un questionnaire que je vous recommande vivement d’utiliser. 

Atelier 1

Maintenant que nous avons bien posé les bases, il est temps d’entamer la présentation des ateliers de la méthode un par un, en commençant par le premier atelier : Cadrage et socle de sécurité

D’abord une petite parenthèse sur le terme “Atelier”. Il s’agit d’un ensemble d’activités à réaliser dans le cadre de l’étude, et ce au travers d’une ou de plusieurs réunions, avec des travaux de préparation, de synthèse et de restitution.
Le choix du terme atelier par les auteurs de la méthode a pour objectif de souligner l’importance de l’approche collaborative et collégiale de l’étude.

Concernant l’atelier 1, il est constitué des activités suivantes :

  • cadrage de l’étude
  • la compréhension métier et techniques du système étudié
  • la définition des besoins métier en matière de cybersécurité
  • et la définition d’une première couche de mesures de sécurité, dans une approche par conformité

Dans le cadrage on va commencer par définir l’objectif de l’étude EBIOS en question. par exemple cet objectif peut être l’élaboration d’une politique de sécurité, l’homologation d’un système ou la mise en oeuvre d’un système de management de la sécurité.
Il est à noter que cet objectif conditionne le déroulement de l’étude et détermine en particulier le niveau de granularité et les ateliers à conduire.

Le cadrage comprend aussi l’identification des participants aux différents ateliers ainsi que le cadre temporel de l’étude.

Ensuite, il est question d’acquérir une connaissance et une maîtrise suffisante du système d’information pour mener à bien l’analyse des risques… une connaissance de toute les couches du système, que ce soit métier applicative, système, réseau, matériel et physique.
Dans cette connaissance, on s’intéresse non seulement au système étudié lui-même mais aussi à l’écosystème qui l’entour.

Cette phase de compréhension du système est abordée en détail dans les épisodes 8 à 12 que je vous invite à consulter . J’y ai partage avec vous une approche pratique en 4 étapes pour acquérir un minimum nécessaire de connaissance et de maîtrise du système d’information.

Valeurs Métier

Ensuite, toujours dans l’atelier 1, on définit les besoins métier en matière de cybersécurité.
Cela passe d’abord par la définition des bien de valeur à protéger, des bien de valeur d’un point de vue purement métier

Attention, le terme métier ici ne veut pas dire forcément le coeur de métier de l’organisme, mais il s’agit de la mission et du besoin pour lesquels ce système a été créé, il s’agit si on peut le dire du métier de ce système étudié

Par exemple, pour notre système de vidéosurveillance d’un site de recherche et développement, le terme métier désigne “la videosirveillance” et non “la recherche et développement”.

Ces biens de valeur sont appelés Valeur métier dans le vocabulaire EBIOS RM.

Concrètement, Ces valeurs métier sont constituées des informations métier manipulées par le système et des services et fonctions métier rendus par le système. Par exemple pour notre système de vidéosurveillance, Les valeurs métier sont les images vidéos qui sont des informations métier, et puis les fonctions métier d’acquisition, de visualisation et d’archivage des images vidéos.

Il est à noter que ces valeurs métier sont d’ordre fonctionnel, et sont indépendantes de l’architecture du système ou des technologies qui le composent.

Il est aussi à noter que ce sont ces valeurs métier qu’on cherche à protéger at the end of the day,
Sécuriser un système d’information revient en effet à sécuriser ses valeurs métier, c’est à dire les informations métier qu’il manipule et les services et fonctions métier qu’il rend.

Évènements Redoutés

Cela dit, une question cruciale se pose :

Que signifie exactement “Sécuriser une valeur métier” ?

Cela peut avoir plusieurs sens :

  • Est-ce qu’il s’agit de la sécuriser contre la fuite … l’altération … l’indisponibilité
  • S’il s’agit par exemple de protection contre la  fuite, on parle de fuite dans quel périmètre, que en externe, en interne aussi ?
  • S’il s’agit de protection contre d’indisponibilité, on parle de combien de temps

Il s’agit donc de définir les incidents de sécurité que l’on souhaite éviter », les définir d’un point de vue purement métier…

Ces incidents sont appelé “évènements redoutés” dans le vocabulaire de la méthode EBIOS Risk Manager.

Tout comme les valeurs métier, ces événements redoutés sont d’ordre fonctionnel, et sont indépendant de l’architecture du système et des technologie qui le composent. Ces événements sont définis avec les acteurs métier, et doivent formulés dans un langage métier.

Par exemple, pour notre système de vidéosurveillance, le responsable de sécurité du site, qui est un acteur métier, nous dit qu’il craint qu’il y ait une injection de fausse images vidéos pour tromper les agents de sécurité. Ceci est un événement redouté.

Il est à noter, que ces évènements redoutés constituent généralement une atteinte à la confidentialité, à l’intégrité ou à la disponibilité d’une ou de plusieurs valeur métier.

Par exemple, l’événement redouté  “Injection de fausses images vidéos” constitue une atteinte à l’intégrité de la valeur métier “images vidéo”.

Sécuriser les Valeurs Métier – Biens Support

Les valeurs métier sont des éléments abstraits, et les sécuriser revient concrètement à sécuriser les différents composants qui constituent le système d’information et qui participent au traitement et à la manipulation de ces valeurs métier.

Sans être exhaustif, il s’agit typiquement des logiciels, des composants système, de l’infrastructure réseau, des matériels, des locaux mais aussi des personnes qui manipulent ce système.

Ces composants sont appelé Biens Support.

Ces biens support, on les sécurise en appliquant des mesures de sécurité … des mesures de sécurité qui sont définies tout au long des 5 ateliers de la méthode.

Dans EBIOS Risk Manager, la définition de ces mesures de sécurité s’effectuent selon deux approches complémentaires … par Conformité et par Scénario de Risques.

  • L’approche par conformité est abordé dans l’atelier 1
  • L’approche par les scénarios de risques fait l’objet des ateliers 2, 3, 4 et 5.

L’approche par conformité consiste à définir une première couche de mesures de sécurité… une première couche constituée… des mesures d’hygiène de base, issue de l’état de l’art de la cybersécurité… et des mesures obligatoire issues des normes, des réglementation, des obligations contractuelle ou de politique internes.

Cette première couche de mesures définie par conformité s’appelle “Socle de sécurité” dans le vocabulaire EBIOS Risk Manager.

Définition du Socle de sécurité

Concrètement, on choisit un référentiel de cybersécurité, par exemple le guide d’hygiène et puis on décline ses exigences et on les traduit opérationnellement pour le système objet de l’étude.

Pour plus de détails sur le choix du référentiel et la déclinaison de ses exigences, je vous invite à consulter les épisodes 4 à 7 de la série.

Cependant, il est à noter que même si ce socle de sécurité est défini dans une approche par conformité, il participe bel et bien à la réduction des risques… il s’agit juste de risques basiques et si évidents qu’ils ne nécessitent pas de les formaliser pour justifier les mesures de traitement associée.

Dans cette optique, les mesures du socle de sécurité, qu’elles soient déjà en place ou à mettre en place, sont supposées mises en place dans la suite des ateliers. L’étude se focalise alors sur des scénarios de risque spécifiques qui ne sont pas couvert par le socle de sécurité.

Pour vous donner un exemple de mesures du socle, supposons que notre système de vidéosurveillance dispose d’un accès VPN pour la télémaintenance, une mesure d’hygiène de base, qui doit faire partie du socle de sécurité, serait de mettre en place une authentification pour cet accès.

Cette mesure permet de se protéger contre un scénario d’accès illégitime via ce VPN, mais qu’on a pas à formaliser, ce scénario est assez évident, et c’est d’ailleurs le cas pour la plupart des risques cybersécurité.
et c’est ainsi, que la majeure partie des mesures de sécurité définie par une étude EBIOS RM, sont généralement des mesures du socle de sécurité.

Conclustion

L’approche par le risque, quant à elle, se focalise sur des scénarios spécifiques et des mesures de traitement souvent complexes qui nécessitent des discussions approfondies et des arbitrages.
Cette approche par le risque démarre dans l’atelier 2 de la méthode EBIOS Risk Manager… c’est ce que nous allons explorer dans notre prochain épisode !

Pour ne rien rater, pensez donc à vous abonner pour être notifié.
Et si vous avez des interrogations ou des réflexions concernant les sujets que nous avons abordés aujourd’hui, n’hésitez pas à les partager en commentaires…
Je vous remercie pour votre attention et je vous dis à bientôt.


✅ “EBIOS-RM dans la pratique” est une série qui a pour objectif de partager une longue expérience terrain avec la méthode EBIOS (2010 et Risk Manager)

✅ Un résumé de la méthode EBIOS Risk Manager est disponible dans cet article.

✅  L’intégralité des articles de la série est disponible par 👉 ici

Avez-vous trouvé cet article utile?