Dans la méthode EBIOS-RM, la cybersécurité d’un système d’information est étudiée en combinant les deux approches « par risque » et « par conformité ».

L’approche par conformité est abordée dans l’atelier 1, au travers du socle de sécuritéTraité dans l’atelier 1 de la méthode EBIOS Risk Manager, le socle de sécurité consiste à définir une première couche de mesures de sécurité issues de l’état de l’art et de la conformité obligatoire. La suite de l'analyse considère comme si ces mesures sont implémentées et se focalise sur les risques non couverts par celles-ci. More, comme vu dans l’épisode précédent.

L’approche par les risques"Possibilité qu’un événement redouté survienne et que ses effets impactent les missions de l’objet de l’étude." - Guide officiel de la méthode EBIOS Risk Manager - More est traitée particulièrement dans les ateliers 2, 3, 4, 5.

À travers ces ateliers, et comme vu dans l’épisode précédent, les analystes répondent aux questions suivantes :

• Qui pourrait attaquer le système ? Pour quelle raison ? et quels en seraient les dégâts ?
• Comment le système peut-il être attaqué ?
• Comment protéger le système contre ces attaques ?
• Et à quoi il resterait exposé ?

Aujourd’hui nous allons découvrir l’atelier 2 de la méthode intitulé « Source de risques », et qui traite les questions suivantes :

• Qui pourrait attaquer le système ?
• Pourquoi quelqu’un pourrait-il attaquer ?
• Et quels en seraient les dégâts ?

Cet épisode vous permettra de comprendre non seulement le fonctionnement de l’atelier 2, mais aussi son importance dans la phase de cadrage de l’analyse.

Pour ne pas rater les prochains épisodes, je vous invite à vous abonner à notre Chaîne y, et à me suivre sur à me suivre sur Linkedin.

https://www.linkedin.com/in/ralaoui/

Enjoy !

Sommaire :

• 0:00 Introduction
• 2:03 Sources de RisqueUne source de risque est une entité à l’origine de menaces considérées contre le système d’information étudié en vue d’atteindre des objectifs visés. D’un point de vue opérationnel, la source de risque considérée peut réaliser elle-même l’attaque comme elle peut mobiliser d’autres acteurs le faire. More
• 2:30 Objectifs VisésUne finalité recherchée par une source de risque en attaquant le système d’information en question. More
• 4:25 Les couples SR-OV
• 6:40 Conclusion

Transcription de la Vidéo

Introduction

Dans la méthode EBIOS RM“EBIOS Risk Manager 1 (EBIOS RM) est la méthode d’appréciation et de traitement des risques numériques publiée par l’Agence nationale de la sécurité et des systèmes d’information (ANSSI) avec le soutien du Club EBIOS 2 . Elle propose une boite à outils adaptable, dont l’utilisation varie selon l’objectif du projet et est compatible avec les référentiels normatifs en vigueur, en matière de gestion des risques comme en matière de sécurité du numérique.” - Guide officie... More, la sécurité d’un système d’information est étudiée en combinant les deux approches “par risque"Possibilité qu’un événement redouté survienne et que ses effets impactent les missions de l’objet de l’étude." - Guide officiel de la méthode EBIOS Risk Manager - More” et “par conformité”.

L’approche par conformité est abordée dans l’atelier 1, au travers du socle de sécuritéTraité dans l’atelier 1 de la méthode EBIOS Risk Manager, le socle de sécurité consiste à définir une première couche de mesures de sécurité issues de l’état de l’art et de la conformité obligatoire. La suite de l'analyse considère comme si ces mesures sont implémentées et se focalise sur les risques non couverts par celles-ci. More, comme vue dans l’épisode précédent.

L’approche par les risques"Possibilité qu’un événement redouté survienne et que ses effets impactent les missions de l’objet de l’étude." - Guide officiel de la méthode EBIOS Risk Manager - More est traité particulièrement dans les atelier 2, 3, 4, 5

Aux travers de ces atelier, et comme vu dans l’épisode précédent, les analystes répondent aux questions suivantes :

• Qui pourrait attaquer le système ?
• Pour quelle raison ?
• et quels en seraient les dégâts ?
• Comment le système peut-il être attaqué ?
• Comment protéger le système contre ces attaques ?
• Et à quoi il resterait exposé ?

Aujourd’hui nous allons découvrir l’atelier 2 de la méthode intitulé “Source de risques"Possibilité qu’un événement redouté survienne et que ses effets impactent les missions de l’objet de l’étude." - Guide officiel de la méthode EBIOS Risk Manager - More”, et qui traitent les questions suivantes :

• Qui pourrait attaquer le système ?
• Pour quelle raison ?
• et quels en seraient les dégâts ?

Sources de Risques

La Première question à laquelle doit répondre l’atelier 2 est : Qui pourrait attaquer le système ?

Cela consiste à définir les adversaires qui pourraient être potentiellement à l’origine d’attaques contre le système d’information : C’est-à-dire toute entité qui a la capacité et la motivation d’attaquer le système.

Ces adversaires sont appelée “Source de risques"Possibilité qu’un événement redouté survienne et que ses effets impactent les missions de l’objet de l’étude." - Guide officiel de la méthode EBIOS Risk Manager - More” dans le vocabulaire EBIOS Risk Manager“EBIOS Risk Manager 1 (EBIOS RM) est la méthode d’appréciation et de traitement des risques numériques publiée par l’Agence nationale de la sécurité et des systèmes d’information (ANSSI) avec le soutien du Club EBIOS 2 . Elle propose une boite à outils adaptable, dont l’utilisation varie selon l’objectif du projet et est compatible avec les référentiels normatifs en vigueur, en matière de gestion des risques comme en matière de sécurité du numérique.” - Guide officie... More.

Objectifs Visés

La Deuxième question à laquelle répond l’atelier 2 est : Pour quelle raison ces sources de risques"Possibilité qu’un événement redouté survienne et que ses effets impactent les missions de l’objet de l’étude." - Guide officiel de la méthode EBIOS Risk Manager - More attaquerait le système ?

Pour répondre à cette question, pour chaque source de risqueUne source de risque est une entité à l’origine de menaces considérées contre le système d’information étudié en vue d’atteindre des objectifs visés. D’un point de vue opérationnel, la source de risque considérée peut réaliser elle-même l’attaque comme elle peut mobiliser d’autres acteurs le faire. More identifié on va définir les objectifs potentiels d’une éventuelle attaque émanant de cette source. Ces objectifs sont appelé “Objectifs VisésUne finalité recherchée par une source de risque en attaquant le système d’information en question. More” dans le vocabulaire EBIOS RM“EBIOS Risk Manager 1 (EBIOS RM) est la méthode d’appréciation et de traitement des risques numériques publiée par l’Agence nationale de la sécurité et des systèmes d’information (ANSSI) avec le soutien du Club EBIOS 2 . Elle propose une boite à outils adaptable, dont l’utilisation varie selon l’objectif du projet et est compatible avec les référentiels normatifs en vigueur, en matière de gestion des risques comme en matière de sécurité du numérique.” - Guide officie... More.

Par exemple, pour notre système de vidéosurveillance, une source de risqueUne source de risque est une entité à l’origine de menaces considérées contre le système d’information étudié en vue d’atteindre des objectifs visés. D’un point de vue opérationnel, la source de risque considérée peut réaliser elle-même l’attaque comme elle peut mobiliser d’autres acteurs le faire. More serait un “état espion qui souhaite s’introduire physiquement dans le site pour de l’espionnage industriel” et son objectif viséUne finalité recherchée par une source de risque en attaquant le système d’information en question. More serait d’effacer ses traces d’intrusion pour que sa petite visite passe inaperçue.

Il est à noter que ces objectifs sont définis au niveau stratégique, et non pas opérationnel. En d’autre terme, on s’intéresse au pourquoi de l’attaque et non pas à son mode opératoire.

Du côté du défenseur, ces objectifs visésUne finalité recherchée par une source de risque en attaquant le système d’information en question. More de l’attaquant sont liés à des incidents métier à éviter, ou ce qu’on appelle des “évènements redoutés” dans le vocabulaire EBIOS RM“EBIOS Risk Manager 1 (EBIOS RM) est la méthode d’appréciation et de traitement des risques numériques publiée par l’Agence nationale de la sécurité et des systèmes d’information (ANSSI) avec le soutien du Club EBIOS 2 . Elle propose une boite à outils adaptable, dont l’utilisation varie selon l’objectif du projet et est compatible avec les référentiels normatifs en vigueur, en matière de gestion des risques comme en matière de sécurité du numérique.” - Guide officie... More.

On va alors associer chaque Objectif ViséUne finalité recherchée par une source de risque en attaquant le système d’information en question. More à un ou plusieurs évènements redoutés parmi ceux qui sont définis dans l’atelier 1.

Par exemple, l’objectif viséUne finalité recherchée par une source de risque en attaquant le système d’information en question. More “effacer les traces vidéos suite à une intrusion physique” sera associé à l’événement redoutéUn événement redouté représente une atteinte à un besoin de sécurité (confidentialité, intégrité, disponibilité) d’une valeur métier. Exemples : • Vol des données personnel des salariés
• Altération du procédé industriel
• perte irréversible des données de facturation
Chaque événement redouté (ex. indisponibilité de la gestion de la facturation) est associé à un niveau de gravité, en fonction des dégâts engendrés. More “perte des enregistrements vidéos”.

Pour résumer, l’objectif viséUne finalité recherchée par une source de risque en attaquant le système d’information en question. More est défini du point de vue de l’attaquant, et on peut dire que l’événement redoutéUn événement redouté représente une atteinte à un besoin de sécurité (confidentialité, intégrité, disponibilité) d’une valeur métier. Exemples : • Vol des données personnel des salariés
• Altération du procédé industriel
• perte irréversible des données de facturation
Chaque événement redouté (ex. indisponibilité de la gestion de la facturation) est associé à un niveau de gravité, en fonction des dégâts engendrés. More est son pendant du point de vue du défenseur.

Couples Source de Risque / Objectifs Visés

Une fois les sources de risqueUne source de risque est une entité à l’origine de menaces considérées contre le système d’information étudié en vue d’atteindre des objectifs visés. D’un point de vue opérationnel, la source de risque considérée peut réaliser elle-même l’attaque comme elle peut mobiliser d’autres acteurs le faire. More et leur objectifs visésUne finalité recherchée par une source de risque en attaquant le système d’information en question. More son identifiés, c’est aux couples “source de risqueUne source de risque est une entité à l’origine de menaces considérées contre le système d’information étudié en vue d’atteindre des objectifs visés. D’un point de vue opérationnel, la source de risque considérée peut réaliser elle-même l’attaque comme elle peut mobiliser d’autres acteurs le faire. More – Objectif ViséUne finalité recherchée par une source de risque en attaquant le système d’information en question. More” qu’on s’intéresse pour le reste de l’étude. En d’autres termes, aucune source de risqueUne source de risque est une entité à l’origine de menaces considérées contre le système d’information étudié en vue d’atteindre des objectifs visés. D’un point de vue opérationnel, la source de risque considérée peut réaliser elle-même l’attaque comme elle peut mobiliser d’autres acteurs le faire. More n’est étudiée isolément, elle est toujours associée à un objectif viséUne finalité recherchée par une source de risque en attaquant le système d’information en question. More.

Ces couples « Source de risqueUne source de risque est une entité à l’origine de menaces considérées contre le système d’information étudié en vue d’atteindre des objectifs visés. D’un point de vue opérationnel, la source de risque considérée peut réaliser elle-même l’attaque comme elle peut mobiliser d’autres acteurs le faire. More – Objectif visé » constitue les points de départ de l’étude des risques"Possibilité qu’un événement redouté survienne et que ses effets impactent les missions de l’objet de l’étude." - Guide officiel de la méthode EBIOS Risk Manager - More. De chaque couple vont découler un scénario stratégiques , des chemins d’attaqueUn chemin d’attaque est un scénario, décrit de haut niveau, identifiant les points d’entrée, les relais de propagation et les vecteurs d’exploitation les plus pertinents, dans une logique de moindre effort. Un chemin d’attaque est constitué d’une succession d'événements intermédiaires causés par la source de risque et appliqués à des parties prenantes de l’écosystème et/ou au système cible en vue d'atteindre un objectif visé. More, et des scénarios opérationnels. Il est donc nécessaire de filtrer ces couples pour n’en garder que les plus pertinents, afin de ne pas alourdir inutilement l’analyse des risque"Possibilité qu’un événement redouté survienne et que ses effets impactent les missions de l’objet de l’étude." - Guide officiel de la méthode EBIOS Risk Manager - More.

Par exemple, considérons le couple SR OV : « état espion » et « sabotage du système de vidéosurveillance ».
L’objectif final de la source de risqueUne source de risque est une entité à l’origine de menaces considérées contre le système d’information étudié en vue d’atteindre des objectifs visés. D’un point de vue opérationnel, la source de risque considérée peut réaliser elle-même l’attaque comme elle peut mobiliser d’autres acteurs le faire. More état espion étant de s’introduire discrètement dans le site de R&D, elle n’a clairement pas intérêt à saboter le système car cela fera du bruit.
Ce couple est alors non pertinent, et sera exclu de la suite de l’étude.

Pertinence des couples SR-OV

Pour évaluer cette pertinence, le guide de la méthode suggère d’utiliser les trois critère suivants :

• la motivation
• les ressources
• et l’activité

Ces critères sont évalués sur une échelle qualitative.

Motivation

Le critère de motivation reflète à quel point la source de risqueUne source de risque est une entité à l’origine de menaces considérées contre le système d’information étudié en vue d’atteindre des objectifs visés. D’un point de vue opérationnel, la source de risque considérée peut réaliser elle-même l’attaque comme elle peut mobiliser d’autres acteurs le faire. More serait motivé et déterminée pour atteindre l’objectif viséUne finalité recherchée par une source de risque en attaquant le système d’information en question. More en question

Ressources

Le critère ressources indique le niveau de ressource que la source de risqueUne source de risque est une entité à l’origine de menaces considérées contre le système d’information étudié en vue d’atteindre des objectifs visés. D’un point de vue opérationnel, la source de risque considérée peut réaliser elle-même l’attaque comme elle peut mobiliser d’autres acteurs le faire. More pourrait et surtout serait prête à allouer pour atteindre l’objectif viséUne finalité recherchée par une source de risque en attaquant le système d’information en question. More. Ces ressources comprennent les ressources humaines, financières, le temps, les connaissances et tout élément qui peut être utilisé dans l’attaque.

Activité

Le critère activité, indique dans quelle mesure des attaques ont été conduites dans le passé par une telle Source de Risques"Possibilité qu’un événement redouté survienne et que ses effets impactent les missions de l’objet de l’étude." - Guide officiel de la méthode EBIOS Risk Manager - More pour atteindre un Objectif similaire.

Le niveau de pertinence est déterminé en combinant les valeurs de ces trois critères, par exemple au travers d’une formule mathématique

Dans un prochain épisode nous allons voir ensemble des exemples d’échelles qualitatives et de leur utilisation. Vous pouvez aussi consulter le guide de la méthode et les fiches pratiques associées pour plus de détails.

Conclusion

A l’issue de l’atelier 2, nous avons une liste des couple “Source de risques"Possibilité qu’un événement redouté survienne et que ses effets impactent les missions de l’objet de l’étude." - Guide officiel de la méthode EBIOS Risk Manager - More / objectif ViséUne finalité recherchée par une source de risque en attaquant le système d’information en question. More” les plus pertinents et qui seront considérés dans la suite de l’étude.

Pour chaque couple on va en particulier étudier les attaques possibles qui permettraient à la source de risqueUne source de risque est une entité à l’origine de menaces considérées contre le système d’information étudié en vue d’atteindre des objectifs visés. D’un point de vue opérationnel, la source de risque considérée peut réaliser elle-même l’attaque comme elle peut mobiliser d’autres acteurs le faire. More en question d’atteindre l’objectif viséUne finalité recherchée par une source de risque en attaquant le système d’information en question. More associé.

Cette étude des attaques possible fait l’objet des ateliers 3 et 4 que nous allons voir ensemble à partir du prochain épisode.

Pour ne pas le rater, pensez donc à vous abonner pour être notifié.  Et si vous avez des interrogations ou des réflexions concernant les sujets que nous avons abordés jusque là, n’hésitez pas à les partager en commentaires…

---

✅ “EBIOS-RM dans la pratique” est une série qui a pour objectif de partager une longue expérience terrain avec la méthode EBIOS (2010 et Risk Manager)

✅ Un résumé de la méthode EBIOS Risk Manager est disponible dans cet article.

✅  L’intégralité des articles de la série est disponible par 👉 ici

✅ Si souhaitez vous former à EBIOS RM“EBIOS Risk Manager 1 (EBIOS RM) est la méthode d’appréciation et de traitement des risques numériques publiée par l’Agence nationale de la sécurité et des systèmes d’information (ANSSI) avec le soutien du Club EBIOS 2 . Elle propose une boite à outils adaptable, dont l’utilisation varie selon l’objectif du projet et est compatible avec les référentiels normatifs en vigueur, en matière de gestion des risques comme en matière de sécurité du numérique.” - Guide officie... More, nous proposons une formation pour apprendre la méthode par la pratique, 👉 Cliquer ici pour en savoir plus. Formation Certifiante éligible aux financements publics CPF, OPCO.