- EBIOS Risk Manager – Vue d’ensemble
- EBIOS RM dans la pratique – N°2 – Recul & Bon Sens
- EBIOS RM dans la pratique – N°3 – Une question de Maîtrise
- EBIOS RM dans la pratique – N°4 – Socle de sécurité – Pourquoi ?
- EBIOS RM dans la pratique – N°5 – Socle de sécurité – Quel Output ?
- EBIOS RM dans la pratique – N°6 – Mode opératoire pour constituer un “Socle de sécurité”
- EBIOS RM dans la Pratique – N° 7 – Quel Référentiel pour mon Socle de Sécurité ?
- EBIOS RM dans la Pratique – N° 8 – Étude de Cas #1 – Connaître le SI (Partie 1)
- EBIOS RM dans la Pratique – N° 9 – Étude de Cas #2 – Connaître le SI (Partie 2)
- EBIOS RM dans la Pratique – N° 10 – Étude de Cas #3 – Personnes : Biens supports ou Parties prenantes ?
- EBIOS RM dans la Pratique – N° 11 – Étude de Cas #4 – Quête des détails
- EBIOS RM dans la Pratique – N° 12 – Questionnaire de maitrise – explications et astuces d’utilisation
- EBIOS RM“EBIOS Risk Manager 1 (EBIOS RM) est la méthode d’appréciation et de traitement des risques numériques publiée par l’Agence nationale de la sécurité et des systèmes d’information (ANSSI) avec le soutien du Club EBIOS 2 . Elle propose une boite à outils adaptable, dont l’utilisation varie selon l’objectif du projet et est compatible avec les référentiels normatifs en vigueur, en matière de gestion des risques comme en matière de sécurité du numérique.” - Guide officie... dans la Pratique – N° 13 – Vue d’ensemble – Atelier 1
- EBIOS RM dans la Pratique – N° 14 – Vue d’ensemble – Atelier 2
- EBIOS RM dans la Pratique – N° 15 – Vue d’ensemble – Atelier 3 – Partie 1
- EBIOS RM dans la Pratique – N° 16 – Vue d’ensemble – Atelier 3 – Partie 2
A partir de l’épisode d’aujourd’hui, la série EBIOS RM“EBIOS Risk Manager 1 (EBIOS RM) est la méthode d’appréciation et de traitement des risques numériques publiée par l’Agence nationale de la sécurité et des systèmes d’information (ANSSI) avec le soutien du Club EBIOS 2 . Elle propose une boite à outils adaptable, dont l’utilisation varie selon l’objectif du projet et est compatible avec les référentiels normatifs en vigueur, en matière de gestion des risques comme en matière de sécurité du numérique.” - Guide officie... dans la pratique va vous emmener faire un tour, à travers les fondamentaux de la méthode, et les 5 ateliers qui la composent.
Que vous découvriez EBIOS RM“EBIOS Risk Manager 1 (EBIOS RM) est la méthode d’appréciation et de traitement des risques numériques publiée par l’Agence nationale de la sécurité et des systèmes d’information (ANSSI) avec le soutien du Club EBIOS 2 . Elle propose une boite à outils adaptable, dont l’utilisation varie selon l’objectif du projet et est compatible avec les référentiels normatifs en vigueur, en matière de gestion des risques comme en matière de sécurité du numérique.” - Guide officie... pour la première fois ou que vous ayez déjà commencé à l’explorer, cette suite d’épisodes va vous intéresser💡. Vous allez acquérir une vue d’ensemble de la méthode et de ses ateliers. Nous explorerons l’essence même de cette méthode, pour vous permettre de comprendre non seulement son fonctionnement ⚙️, mais aussi la philosophie qui la sous-tend 🧠. Et pour ceux d’entre vous qui suivent déjà la série, cette vidéo s’inscrit parfaitement dans la continuité de celle-ci.
Dans les 5 derniers épisodes, … nous avons entamé notre étude… en acquérant une connaissance suffisante du système étudié 🕵️♂️ … en vue de mener à bien l’analyse des risques"Possibilité qu’un événement redouté survienne et que ses effets impactent les missions de l’objet de l’étude." - Guide officiel de la méthode EBIOS Risk Manager -. 🎯 A partir de l’épisode d’aujourd’hui, nous amorçons les ateliers de la méthode EBIOS RM“EBIOS Risk Manager 1 (EBIOS RM) est la méthode d’appréciation et de traitement des risques numériques publiée par l’Agence nationale de la sécurité et des systèmes d’information (ANSSI) avec le soutien du Club EBIOS 2 . Elle propose une boite à outils adaptable, dont l’utilisation varie selon l’objectif du projet et est compatible avec les référentiels normatifs en vigueur, en matière de gestion des risques comme en matière de sécurité du numérique.” - Guide officie... et nous allons les appliquer à notre cas d’usage : un système de vidéosurveillance d’un centre de R&D, assez sensible.
Pour ne pas rater les prochains épisodes, je vous invite à vous abonner à notre Chaîne y, et à me suivre sur à me suivre sur Linkedin.
https://www.linkedin.com/in/ralaoui/
Enjoy !
Sommaire :
- 0:00 : Introduction
- 2:19 : Signification de l’acronyme EBIOS
- 2:48 : Les Ateliers d’EBIOS RM“EBIOS Risk Manager 1 (EBIOS RM) est la méthode d’appréciation et de traitement des risques numériques publiée par l’Agence nationale de la sécurité et des systèmes d’information (ANSSI) avec le soutien du Club EBIOS 2 . Elle propose une boite à outils adaptable, dont l’utilisation varie selon l’objectif du projet et est compatible avec les référentiels normatifs en vigueur, en matière de gestion des risques comme en matière de sécurité du numérique.” - Guide officie...
- 3:15 : Les Questions traitées par EBIOS RM“EBIOS Risk Manager 1 (EBIOS RM) est la méthode d’appréciation et de traitement des risques numériques publiée par l’Agence nationale de la sécurité et des systèmes d’information (ANSSI) avec le soutien du Club EBIOS 2 . Elle propose une boite à outils adaptable, dont l’utilisation varie selon l’objectif du projet et est compatible avec les référentiels normatifs en vigueur, en matière de gestion des risques comme en matière de sécurité du numérique.” - Guide officie...
- 3:57 : Atelier 1
- 6:20 : Les Valeurs Métier“Les valeurs métier sont les informations ou processus jugés importants, dans le cadre de l’étude, et qu’il convient de protéger. Les valeurs métier représentent le patrimoine informationnel qu’une source de risque aurait intérêt à attaquer pour atteindre ses objectifs (exemple: service d’annulation de réservations en ligne, informations clients, résultats de travaux de R&D, phase de déploiement d’un projet, savoir-faire en conception de pièces aéronautiques, etc.)....
- 8:06 : Les Évènements Redoutés
- 9:52 : Sécuriser les Valeurs Métier“Les valeurs métier sont les informations ou processus jugés importants, dans le cadre de l’étude, et qu’il convient de protéger. Les valeurs métier représentent le patrimoine informationnel qu’une source de risque aurait intérêt à attaquer pour atteindre ses objectifs (exemple: service d’annulation de réservations en ligne, informations clients, résultats de travaux de R&D, phase de déploiement d’un projet, savoir-faire en conception de pièces aéronautiques, etc.)....
- 11:30 : Définition du Socle de sécuritéTraité dans l’atelier 1 de la méthode EBIOS Risk Manager, le socle de sécurité consiste à définir une première couche de mesures de sécurité issues de l’état de l’art et de la conformité obligatoire. La suite de l'analyse considère comme si ces mesures sont implémentées et se focalise sur les risques non couverts par celles-ci.
Transcription de la Vidéo
Introduction
EBIOS Risk Manager“EBIOS Risk Manager 1 (EBIOS RM) est la méthode d’appréciation et de traitement des risques numériques publiée par l’Agence nationale de la sécurité et des systèmes d’information (ANSSI) avec le soutien du Club EBIOS 2 . Elle propose une boite à outils adaptable, dont l’utilisation varie selon l’objectif du projet et est compatible avec les référentiels normatifs en vigueur, en matière de gestion des risques comme en matière de sécurité du numérique.” - Guide officie... est la méthode d’analyse des risques"Possibilité qu’un événement redouté survienne et que ses effets impactent les missions de l’objet de l’étude." - Guide officiel de la méthode EBIOS Risk Manager - de cybersécurité, publiée par l’Agence National de la sécurité système d’Information avec le soutien du Club EBIOS. En matière d’analyse des risques"Possibilité qu’un événement redouté survienne et que ses effets impactent les missions de l’objet de l’étude." - Guide officiel de la méthode EBIOS Risk Manager -, c’est la méthode de référence en France.
Que vous découvriez EBIOS RM“EBIOS Risk Manager 1 (EBIOS RM) est la méthode d’appréciation et de traitement des risques numériques publiée par l’Agence nationale de la sécurité et des systèmes d’information (ANSSI) avec le soutien du Club EBIOS 2 . Elle propose une boite à outils adaptable, dont l’utilisation varie selon l’objectif du projet et est compatible avec les référentiels normatifs en vigueur, en matière de gestion des risques comme en matière de sécurité du numérique.” - Guide officie... pour la première fois ou que vous ayez déjà commencé à l’explorer, cette vidéo va vous intéresser. je vais vous donner une vue d’ensemble de la méthode et de ses ateliers… Nous explorerons l’essence même de cette méthode, pour vous permettre de comprendre non seulement son fonctionnement, mais aussi la philosophie qui la sous-tend
Et Pour ceux d’entre vous qui suivent déjà notre série « EBIOS RM“EBIOS Risk Manager 1 (EBIOS RM) est la méthode d’appréciation et de traitement des risques numériques publiée par l’Agence nationale de la sécurité et des systèmes d’information (ANSSI) avec le soutien du Club EBIOS 2 . Elle propose une boite à outils adaptable, dont l’utilisation varie selon l’objectif du projet et est compatible avec les référentiels normatifs en vigueur, en matière de gestion des risques comme en matière de sécurité du numérique.” - Guide officie... dans la pratique », Cette vidéo s’inscrit parfaitement dans la continuité de celle-ci.
Dans les 5 derniers épisodes, nous avons entamé notre étude en acquérant une connaissance et une maîtrise suffisante du système d’information objet de l’étude, en vue de mener à bien l’analyse des risques"Possibilité qu’un événement redouté survienne et que ses effets impactent les missions de l’objet de l’étude." - Guide officiel de la méthode EBIOS Risk Manager -.
A partir de l’épisode d’aujourd’hui nous amorçons les ateliers de la méthode EBIOS RM“EBIOS Risk Manager 1 (EBIOS RM) est la méthode d’appréciation et de traitement des risques numériques publiée par l’Agence nationale de la sécurité et des systèmes d’information (ANSSI) avec le soutien du Club EBIOS 2 . Elle propose une boite à outils adaptable, dont l’utilisation varie selon l’objectif du projet et est compatible avec les référentiels normatifs en vigueur, en matière de gestion des risques comme en matière de sécurité du numérique.” - Guide officie... et nous allons les appliquer à notre cas d’usage concret… un système de vidéosurveillance d’un centre de recherche et développement, assez sensible.
Mais, nous allons prendre un moment pour revenir aux fondamentaux de la méthode. Cela nous permettra d’avoir une vision claire et globale des différentes étapes à suivre, avant de plonger dans la pratique.
Signification de l’acronyme EBIOS
Commençons d’abord par une brève explication de la signification de l’acronyme EBIOS.
Les cinq lettres formant cet acronyme, E.B.I.O.S, signifient : Expression des Besoins et Identification des Objectifs de Sécurité. Donc, comme son nom l’indique, EBIOS Risk Manager“EBIOS Risk Manager 1 (EBIOS RM) est la méthode d’appréciation et de traitement des risques numériques publiée par l’Agence nationale de la sécurité et des systèmes d’information (ANSSI) avec le soutien du Club EBIOS 2 . Elle propose une boite à outils adaptable, dont l’utilisation varie selon l’objectif du projet et est compatible avec les référentiels normatifs en vigueur, en matière de gestion des risques comme en matière de sécurité du numérique.” - Guide officie... est fondamentalement une méthode qui sert à identifier les besoins et à définir les objectifs de sécurité.
Les Ateliers d’EBIOS RM
Cette identification des besoins et cette définition des objectifs de sécurité se font à travers différentes étapes, organisées en cinq ateliers :
- Atelier 1 : Cadrage et socle de sécuritéTraité dans l’atelier 1 de la méthode EBIOS Risk Manager, le socle de sécurité consiste à définir une première couche de mesures de sécurité issues de l’état de l’art et de la conformité obligatoire. La suite de l'analyse considère comme si ces mesures sont implémentées et se focalise sur les risques non couverts par celles-ci.
- Atelier 2 : Sources de risques"Possibilité qu’un événement redouté survienne et que ses effets impactent les missions de l’objet de l’étude." - Guide officiel de la méthode EBIOS Risk Manager -
- Atelier 3 : Scénarios stratégiquesUn scénario stratégie correspond à un couple “source de risque - Objectif visé” (SR-OV) et aux chemins d’attaque (de haut niveau) considérés que la source de risque peut emprunter pour atteindre son objectif visé.
- Atelier 4 : Scénarios opérationnels
- Atelier 5 : Traitement du risque"Possibilité qu’un événement redouté survienne et que ses effets impactent les missions de l’objet de l’étude." - Guide officiel de la méthode EBIOS Risk Manager -.
Les Questions traitées par EBIOS RM
Tout au long de ces 5 ateliers, les analystes répondent à ces questions :
- Quels biens ou actifs faut-il protéger ? et pourquoi ?
- Contre qui faut-il les protéger ?
- Comment ces actifs peuvent-ils être attaqués ?
- Comment les défendre ?
- et à quoi ils resteraient exposés ?
La réponse à ces questions repose d’abord sur une bonne compréhension du système étudié… une compréhension des composants de son périmètre… mais aussi des composants à la frontière hors périmètre, ou ce qu’on appelle l’écosystème“L’écosystème comprend l’ensemble des parties prenantes qui gravitent autour de l’objet de l’étude et concourent à la réalisation de ses missions (partenaires, sous-traitants, filiales, etc.). De plus en plus de modes opératoires d’attaque exploitent les maillons les plus vulnérables de cet écosystème pour atteindre leur objectif (exemple : atteinte à la disponibilité d’un service en attaquant le fournisseur de service en nuage, piège de la chaîne logistique d’appro....
La quête de cette compréhension a fait l’objet des 5 épisodes précédents. Nous avons discuté de la manière d’acquérir ces connaissances et nous avons appliqué ces principes à notre cas d’étude. J’ai partagé avec vous une approche en quatre étapes, et en particulier un questionnaire que je vous recommande vivement d’utiliser.
Atelier 1
Maintenant que nous avons bien posé les bases, il est temps d’entamer la présentation des ateliers de la méthode un par un, en commençant par le premier atelier : Cadrage et socle de sécuritéTraité dans l’atelier 1 de la méthode EBIOS Risk Manager, le socle de sécurité consiste à définir une première couche de mesures de sécurité issues de l’état de l’art et de la conformité obligatoire. La suite de l'analyse considère comme si ces mesures sont implémentées et se focalise sur les risques non couverts par celles-ci.
D’abord une petite parenthèse sur le terme “Atelier”. Il s’agit d’un ensemble d’activités à réaliser dans le cadre de l’étude, et ce au travers d’une ou de plusieurs réunions, avec des travaux de préparation, de synthèse et de restitution.
Le choix du terme atelier par les auteurs de la méthode a pour objectif de souligner l’importance de l’approche collaborative et collégiale de l’étude.
Concernant l’atelier 1, il est constitué des activités suivantes :
- cadrage de l’étude
- la compréhension métier et techniques du système étudié
- la définition des besoins métier en matière de cybersécurité
- et la définition d’une première couche de mesures de sécurité, dans une approche par conformité
Dans le cadrage on va commencer par définir l’objectif de l’étude EBIOS en question. par exemple cet objectif peut être l’élaboration d’une politique de sécurité, l’homologation d’un système ou la mise en oeuvre d’un système de management de la sécurité.
Il est à noter que cet objectif conditionne le déroulement de l’étude et détermine en particulier le niveau de granularité et les ateliers à conduire.
Le cadrage comprend aussi l’identification des participants aux différents ateliers ainsi que le cadre temporel de l’étude.
Ensuite, il est question d’acquérir une connaissance et une maîtrise suffisante du système d’information pour mener à bien l’analyse des risques… une connaissance de toute les couches du système, que ce soit métier applicative, système, réseau, matériel et physique.
Dans cette connaissance, on s’intéresse non seulement au système étudié lui-même mais aussi à l’écosystème“L’écosystème comprend l’ensemble des parties prenantes qui gravitent autour de l’objet de l’étude et concourent à la réalisation de ses missions (partenaires, sous-traitants, filiales, etc.). De plus en plus de modes opératoires d’attaque exploitent les maillons les plus vulnérables de cet écosystème pour atteindre leur objectif (exemple : atteinte à la disponibilité d’un service en attaquant le fournisseur de service en nuage, piège de la chaîne logistique d’appro... qui l’entour.
Cette phase de compréhension du système est abordée en détail dans les épisodes 8 à 12 que je vous invite à consulter . J’y ai partage avec vous une approche pratique en 4 étapes pour acquérir un minimum nécessaire de connaissance et de maîtrise du système d’information.
Valeurs Métier
Ensuite, toujours dans l’atelier 1, on définit les besoins métier en matière de cybersécurité.
Cela passe d’abord par la définition des bien de valeur à protéger, des bien de valeur d’un point de vue purement métier
Attention, le terme métier ici ne veut pas dire forcément le coeur de métier de l’organisme, mais il s’agit de la mission et du besoin pour lesquels ce système a été créé, il s’agit si on peut le dire du métier de ce système étudié
Par exemple, pour notre système de vidéosurveillance d’un site de recherche et développement, le terme métier désigne “la videosirveillance” et non “la recherche et développement”.
Ces biens de valeur sont appelés Valeur métier“Les valeurs métier sont les informations ou processus jugés importants, dans le cadre de l’étude, et qu’il convient de protéger. Les valeurs métier représentent le patrimoine informationnel qu’une source de risque aurait intérêt à attaquer pour atteindre ses objectifs (exemple: service d’annulation de réservations en ligne, informations clients, résultats de travaux de R&D, phase de déploiement d’un projet, savoir-faire en conception de pièces aéronautiques, etc.).... dans le vocabulaire EBIOS RM“EBIOS Risk Manager 1 (EBIOS RM) est la méthode d’appréciation et de traitement des risques numériques publiée par l’Agence nationale de la sécurité et des systèmes d’information (ANSSI) avec le soutien du Club EBIOS 2 . Elle propose une boite à outils adaptable, dont l’utilisation varie selon l’objectif du projet et est compatible avec les référentiels normatifs en vigueur, en matière de gestion des risques comme en matière de sécurité du numérique.” - Guide officie....
Concrètement, Ces valeurs métier“Les valeurs métier sont les informations ou processus jugés importants, dans le cadre de l’étude, et qu’il convient de protéger. Les valeurs métier représentent le patrimoine informationnel qu’une source de risque aurait intérêt à attaquer pour atteindre ses objectifs (exemple: service d’annulation de réservations en ligne, informations clients, résultats de travaux de R&D, phase de déploiement d’un projet, savoir-faire en conception de pièces aéronautiques, etc.).... sont constituées des informations métier manipulées par le système et des services et fonctions métier rendus par le système. Par exemple pour notre système de vidéosurveillance, Les valeurs métier“Les valeurs métier sont les informations ou processus jugés importants, dans le cadre de l’étude, et qu’il convient de protéger. Les valeurs métier représentent le patrimoine informationnel qu’une source de risque aurait intérêt à attaquer pour atteindre ses objectifs (exemple: service d’annulation de réservations en ligne, informations clients, résultats de travaux de R&D, phase de déploiement d’un projet, savoir-faire en conception de pièces aéronautiques, etc.).... sont les images vidéos qui sont des informations métier, et puis les fonctions métier d’acquisition, de visualisation et d’archivage des images vidéos.
Il est à noter que ces valeurs métier“Les valeurs métier sont les informations ou processus jugés importants, dans le cadre de l’étude, et qu’il convient de protéger. Les valeurs métier représentent le patrimoine informationnel qu’une source de risque aurait intérêt à attaquer pour atteindre ses objectifs (exemple: service d’annulation de réservations en ligne, informations clients, résultats de travaux de R&D, phase de déploiement d’un projet, savoir-faire en conception de pièces aéronautiques, etc.).... sont d’ordre fonctionnel, et sont indépendantes de l’architecture du système ou des technologies qui le composent.
Il est aussi à noter que ce sont ces valeurs métier“Les valeurs métier sont les informations ou processus jugés importants, dans le cadre de l’étude, et qu’il convient de protéger. Les valeurs métier représentent le patrimoine informationnel qu’une source de risque aurait intérêt à attaquer pour atteindre ses objectifs (exemple: service d’annulation de réservations en ligne, informations clients, résultats de travaux de R&D, phase de déploiement d’un projet, savoir-faire en conception de pièces aéronautiques, etc.).... qu’on cherche à protéger at the end of the day,
Sécuriser un système d’information revient en effet à sécuriser ses valeurs métier“Les valeurs métier sont les informations ou processus jugés importants, dans le cadre de l’étude, et qu’il convient de protéger. Les valeurs métier représentent le patrimoine informationnel qu’une source de risque aurait intérêt à attaquer pour atteindre ses objectifs (exemple: service d’annulation de réservations en ligne, informations clients, résultats de travaux de R&D, phase de déploiement d’un projet, savoir-faire en conception de pièces aéronautiques, etc.)...., c’est à dire les informations métier qu’il manipule et les services et fonctions métier qu’il rend.
Évènements Redoutés
Cela dit, une question cruciale se pose :
Que signifie exactement “Sécuriser une valeur métier“Les valeurs métier sont les informations ou processus jugés importants, dans le cadre de l’étude, et qu’il convient de protéger. Les valeurs métier représentent le patrimoine informationnel qu’une source de risque aurait intérêt à attaquer pour atteindre ses objectifs (exemple: service d’annulation de réservations en ligne, informations clients, résultats de travaux de R&D, phase de déploiement d’un projet, savoir-faire en conception de pièces aéronautiques, etc.)....” ?
Cela peut avoir plusieurs sens :
- Est-ce qu’il s’agit de la sécuriser contre la fuite … l’altération … l’indisponibilité
- S’il s’agit par exemple de protection contre la fuite, on parle de fuite dans quel périmètre, que en externe, en interne aussi ?
- S’il s’agit de protection contre d’indisponibilité, on parle de combien de temps
Il s’agit donc de définir les incidents de sécurité que l’on souhaite éviter », les définir d’un point de vue purement métier…
Ces incidents sont appelé “évènements redoutés” dans le vocabulaire de la méthode EBIOS Risk Manager“EBIOS Risk Manager 1 (EBIOS RM) est la méthode d’appréciation et de traitement des risques numériques publiée par l’Agence nationale de la sécurité et des systèmes d’information (ANSSI) avec le soutien du Club EBIOS 2 . Elle propose une boite à outils adaptable, dont l’utilisation varie selon l’objectif du projet et est compatible avec les référentiels normatifs en vigueur, en matière de gestion des risques comme en matière de sécurité du numérique.” - Guide officie....
Tout comme les valeurs métier“Les valeurs métier sont les informations ou processus jugés importants, dans le cadre de l’étude, et qu’il convient de protéger. Les valeurs métier représentent le patrimoine informationnel qu’une source de risque aurait intérêt à attaquer pour atteindre ses objectifs (exemple: service d’annulation de réservations en ligne, informations clients, résultats de travaux de R&D, phase de déploiement d’un projet, savoir-faire en conception de pièces aéronautiques, etc.)...., ces événements redoutésUn événement redouté représente une atteinte à un besoin de sécurité (confidentialité, intégrité, disponibilité) d’une valeur métier. Exemples : • Vol des données personnel des salariés
• Altération du procédé industriel
• perte irréversible des données de facturation
Chaque événement redouté (ex. indisponibilité de la gestion de la facturation) est associé à un niveau de gravité, en fonction des dégâts engendrés. More sont d’ordre fonctionnel, et sont indépendant de l’architecture du système et des technologie qui le composent. Ces événements sont définis avec les acteurs métier, et doivent formulés dans un langage métier.
Par exemple, pour notre système de vidéosurveillance, le responsable de sécurité du site, qui est un acteur métier, nous dit qu’il craint qu’il y ait une injection de fausse images vidéos pour tromper les agents de sécurité. Ceci est un événement redoutéUn événement redouté représente une atteinte à un besoin de sécurité (confidentialité, intégrité, disponibilité) d’une valeur métier. Exemples : • Vol des données personnel des salariés
• Altération du procédé industriel
• perte irréversible des données de facturation
Chaque événement redouté (ex. indisponibilité de la gestion de la facturation) est associé à un niveau de gravité, en fonction des dégâts engendrés. More.
Il est à noter, que ces évènements redoutés constituent généralement une atteinte à la confidentialité, à l’intégrité ou à la disponibilité d’une ou de plusieurs valeur métier“Les valeurs métier sont les informations ou processus jugés importants, dans le cadre de l’étude, et qu’il convient de protéger. Les valeurs métier représentent le patrimoine informationnel qu’une source de risque aurait intérêt à attaquer pour atteindre ses objectifs (exemple: service d’annulation de réservations en ligne, informations clients, résultats de travaux de R&D, phase de déploiement d’un projet, savoir-faire en conception de pièces aéronautiques, etc.).....
Par exemple, l’événement redouté “Injection de fausses images vidéos” constitue une atteinte à l’intégrité de la valeur métier“Les valeurs métier sont les informations ou processus jugés importants, dans le cadre de l’étude, et qu’il convient de protéger. Les valeurs métier représentent le patrimoine informationnel qu’une source de risque aurait intérêt à attaquer pour atteindre ses objectifs (exemple: service d’annulation de réservations en ligne, informations clients, résultats de travaux de R&D, phase de déploiement d’un projet, savoir-faire en conception de pièces aéronautiques, etc.).... “images vidéo”.
Sécuriser les Valeurs Métier – Biens Support
Les valeurs métier“Les valeurs métier sont les informations ou processus jugés importants, dans le cadre de l’étude, et qu’il convient de protéger. Les valeurs métier représentent le patrimoine informationnel qu’une source de risque aurait intérêt à attaquer pour atteindre ses objectifs (exemple: service d’annulation de réservations en ligne, informations clients, résultats de travaux de R&D, phase de déploiement d’un projet, savoir-faire en conception de pièces aéronautiques, etc.).... sont des éléments abstraits, et les sécuriser revient concrètement à sécuriser les différents composants qui constituent le système d’information et qui participent au traitement et à la manipulation de ces valeurs métier“Les valeurs métier sont les informations ou processus jugés importants, dans le cadre de l’étude, et qu’il convient de protéger. Les valeurs métier représentent le patrimoine informationnel qu’une source de risque aurait intérêt à attaquer pour atteindre ses objectifs (exemple: service d’annulation de réservations en ligne, informations clients, résultats de travaux de R&D, phase de déploiement d’un projet, savoir-faire en conception de pièces aéronautiques, etc.).....
Sans être exhaustif, il s’agit typiquement des logiciels, des composants système, de l’infrastructure réseau, des matériels, des locaux mais aussi des personnes qui manipulent ce système.
Ces composants sont appelé Biens Support.
Ces biens support, on les sécurise en appliquant des mesures de sécurité … des mesures de sécurité qui sont définies tout au long des 5 ateliers de la méthode.
Dans EBIOS Risk Manager“EBIOS Risk Manager 1 (EBIOS RM) est la méthode d’appréciation et de traitement des risques numériques publiée par l’Agence nationale de la sécurité et des systèmes d’information (ANSSI) avec le soutien du Club EBIOS 2 . Elle propose une boite à outils adaptable, dont l’utilisation varie selon l’objectif du projet et est compatible avec les référentiels normatifs en vigueur, en matière de gestion des risques comme en matière de sécurité du numérique.” - Guide officie..., la définition de ces mesures de sécurité s’effectuent selon deux approches complémentaires … par Conformité et par Scénario de Risques"Possibilité qu’un événement redouté survienne et que ses effets impactent les missions de l’objet de l’étude." - Guide officiel de la méthode EBIOS Risk Manager -.
- L’approche par conformité est abordé dans l’atelier 1
- L’approche par les scénarios de risques"Possibilité qu’un événement redouté survienne et que ses effets impactent les missions de l’objet de l’étude." - Guide officiel de la méthode EBIOS Risk Manager - fait l’objet des ateliers 2, 3, 4 et 5.
L’approche par conformité consiste à définir une première couche de mesures de sécurité… une première couche constituée… des mesures d’hygiène de base, issue de l’état de l’art de la cybersécurité… et des mesures obligatoire issues des normes, des réglementation, des obligations contractuelle ou de politique internes.
Cette première couche de mesures définie par conformité s’appelle “Socle de sécuritéTraité dans l’atelier 1 de la méthode EBIOS Risk Manager, le socle de sécurité consiste à définir une première couche de mesures de sécurité issues de l’état de l’art et de la conformité obligatoire. La suite de l'analyse considère comme si ces mesures sont implémentées et se focalise sur les risques non couverts par celles-ci.” dans le vocabulaire EBIOS Risk Manager“EBIOS Risk Manager 1 (EBIOS RM) est la méthode d’appréciation et de traitement des risques numériques publiée par l’Agence nationale de la sécurité et des systèmes d’information (ANSSI) avec le soutien du Club EBIOS 2 . Elle propose une boite à outils adaptable, dont l’utilisation varie selon l’objectif du projet et est compatible avec les référentiels normatifs en vigueur, en matière de gestion des risques comme en matière de sécurité du numérique.” - Guide officie....
Définition du Socle de sécurité
Concrètement, on choisit un référentiel de cybersécurité, par exemple le guide d’hygiène et puis on décline ses exigences et on les traduit opérationnellement pour le système objet de l’étude.
Pour plus de détails sur le choix du référentiel et la déclinaison de ses exigences, je vous invite à consulter les épisodes 4 à 7 de la série.
Cependant, il est à noter que même si ce socle de sécuritéTraité dans l’atelier 1 de la méthode EBIOS Risk Manager, le socle de sécurité consiste à définir une première couche de mesures de sécurité issues de l’état de l’art et de la conformité obligatoire. La suite de l'analyse considère comme si ces mesures sont implémentées et se focalise sur les risques non couverts par celles-ci. est défini dans une approche par conformité, il participe bel et bien à la réduction des risques… il s’agit juste de risques"Possibilité qu’un événement redouté survienne et que ses effets impactent les missions de l’objet de l’étude." - Guide officiel de la méthode EBIOS Risk Manager - basiques et si évidents qu’ils ne nécessitent pas de les formaliser pour justifier les mesures de traitement associée.
Dans cette optique, les mesures du socle de sécuritéTraité dans l’atelier 1 de la méthode EBIOS Risk Manager, le socle de sécurité consiste à définir une première couche de mesures de sécurité issues de l’état de l’art et de la conformité obligatoire. La suite de l'analyse considère comme si ces mesures sont implémentées et se focalise sur les risques non couverts par celles-ci., qu’elles soient déjà en place ou à mettre en place, sont supposées mises en place dans la suite des ateliers. L’étude se focalise alors sur des scénarios de risque"Possibilité qu’un événement redouté survienne et que ses effets impactent les missions de l’objet de l’étude." - Guide officiel de la méthode EBIOS Risk Manager - spécifiques qui ne sont pas couvert par le socle de sécuritéTraité dans l’atelier 1 de la méthode EBIOS Risk Manager, le socle de sécurité consiste à définir une première couche de mesures de sécurité issues de l’état de l’art et de la conformité obligatoire. La suite de l'analyse considère comme si ces mesures sont implémentées et se focalise sur les risques non couverts par celles-ci..
Pour vous donner un exemple de mesures du socle, supposons que notre système de vidéosurveillance dispose d’un accès VPN pour la télémaintenance, une mesure d’hygiène de base, qui doit faire partie du socle de sécuritéTraité dans l’atelier 1 de la méthode EBIOS Risk Manager, le socle de sécurité consiste à définir une première couche de mesures de sécurité issues de l’état de l’art et de la conformité obligatoire. La suite de l'analyse considère comme si ces mesures sont implémentées et se focalise sur les risques non couverts par celles-ci., serait de mettre en place une authentification pour cet accès.
Cette mesure permet de se protéger contre un scénario d’accès illégitime via ce VPN, mais qu’on a pas à formaliser, ce scénario est assez évident, et c’est d’ailleurs le cas pour la plupart des risques"Possibilité qu’un événement redouté survienne et que ses effets impactent les missions de l’objet de l’étude." - Guide officiel de la méthode EBIOS Risk Manager - cybersécurité.
et c’est ainsi, que la majeure partie des mesures de sécurité définie par une étude EBIOS RM“EBIOS Risk Manager 1 (EBIOS RM) est la méthode d’appréciation et de traitement des risques numériques publiée par l’Agence nationale de la sécurité et des systèmes d’information (ANSSI) avec le soutien du Club EBIOS 2 . Elle propose une boite à outils adaptable, dont l’utilisation varie selon l’objectif du projet et est compatible avec les référentiels normatifs en vigueur, en matière de gestion des risques comme en matière de sécurité du numérique.” - Guide officie..., sont généralement des mesures du socle de sécuritéTraité dans l’atelier 1 de la méthode EBIOS Risk Manager, le socle de sécurité consiste à définir une première couche de mesures de sécurité issues de l’état de l’art et de la conformité obligatoire. La suite de l'analyse considère comme si ces mesures sont implémentées et se focalise sur les risques non couverts par celles-ci..
Conclustion
L’approche par le risque"Possibilité qu’un événement redouté survienne et que ses effets impactent les missions de l’objet de l’étude." - Guide officiel de la méthode EBIOS Risk Manager -, quant à elle, se focalise sur des scénarios spécifiques et des mesures de traitement souvent complexes qui nécessitent des discussions approfondies et des arbitrages.
Cette approche par le risque"Possibilité qu’un événement redouté survienne et que ses effets impactent les missions de l’objet de l’étude." - Guide officiel de la méthode EBIOS Risk Manager - démarre dans l’atelier 2 de la méthode EBIOS Risk Manager… c’est ce que nous allons explorer dans notre prochain épisode !
Pour ne rien rater, pensez donc à vous abonner pour être notifié.
Et si vous avez des interrogations ou des réflexions concernant les sujets que nous avons abordés aujourd’hui, n’hésitez pas à les partager en commentaires…
Je vous remercie pour votre attention et je vous dis à bientôt.
✅ “EBIOS-RM dans la pratique” est une série qui a pour objectif de partager une longue expérience terrain avec la méthode EBIOS (2010 et Risk Manager)
✅ Un résumé de la méthode EBIOS Risk Manager est disponible dans cet article.
✅ L’intégralité des articles de la série est disponible par 👉 ici
✅ Si souhaitez vous former à EBIOS RM“EBIOS Risk Manager 1 (EBIOS RM) est la méthode d’appréciation et de traitement des risques numériques publiée par l’Agence nationale de la sécurité et des systèmes d’information (ANSSI) avec le soutien du Club EBIOS 2 . Elle propose une boite à outils adaptable, dont l’utilisation varie selon l’objectif du projet et est compatible avec les référentiels normatifs en vigueur, en matière de gestion des risques comme en matière de sécurité du numérique.” - Guide officie..., nous proposons une formation pour apprendre la méthode par la pratique, 👉 Cliquer ici pour en savoir plus. Formation Certifiante éligible aux financements publics CPF, OPCO.