- EBIOS Risk Manager – Vue d’ensemble
- EBIOS RM dans la pratique – N°2 – Recul & Bon Sens
- EBIOS RM dans la pratique – N°3 – Une question de Maîtrise
- EBIOS RM dans la pratique – N°4 – Socle de sécurité – Pourquoi ?
- EBIOS RM dans la pratique – N°5 – Socle de sécurité – Quel Output ?
- EBIOS RM dans la pratique – N°6 – Mode opératoire pour constituer un “Socle de sécurité”
- EBIOS RM dans la Pratique – N° 7 – Quel Référentiel pour mon Socle de Sécurité ?
- EBIOS RM dans la Pratique – N° 8 – Étude de Cas #1 – Connaître le SI (Partie 1)
- EBIOS RM dans la Pratique – N° 9 – Étude de Cas #2 – Connaître le SI (Partie 2)
- EBIOS RM dans la Pratique – N° 10 – Étude de Cas #3 – Personnes : Biens supports ou Parties prenantes ?
- EBIOS RM dans la Pratique – N° 11 – Étude de Cas #4 – Quête des détails
- EBIOS RM dans la Pratique – N° 12 – Questionnaire de maitrise – explications et astuces d’utilisation
- EBIOS RM dans la Pratique – N° 13 – Vue d’ensemble – Atelier 1
- EBIOS RM“EBIOS Risk Manager 1 (EBIOS RM) est la méthode d’appréciation et de traitement des risques numériques publiée par l’Agence nationale de la sécurité et des systèmes d’information (ANSSI) avec le soutien du Club EBIOS 2 . Elle propose une boite à outils adaptable, dont l’utilisation varie selon l’objectif du projet et est compatible avec les référentiels normatifs en vigueur, en matière de gestion des risques comme en matière de sécurité du numérique.” - Guide officie... dans la Pratique – N° 14 – Vue d’ensemble – Atelier 2
- EBIOS RM dans la Pratique – N° 15 – Vue d’ensemble – Atelier 3 – Partie 1
- EBIOS RM dans la Pratique – N° 16 – Vue d’ensemble – Atelier 3 – Partie 2
Dans la méthode EBIOS-RM, la cybersécurité d’un système d’information est étudiée en combinant les deux approches « par risque » et « par conformité ».
L’approche par conformité est abordée dans l’atelier 1, au travers du socle de sécuritéTraité dans l’atelier 1 de la méthode EBIOS Risk Manager, le socle de sécurité consiste à définir une première couche de mesures de sécurité issues de l’état de l’art et de la conformité obligatoire. La suite de l'analyse considère comme si ces mesures sont implémentées et se focalise sur les risques non couverts par celles-ci., comme vu dans l’épisode précédent.
L’approche par les risques"Possibilité qu’un événement redouté survienne et que ses effets impactent les missions de l’objet de l’étude." - Guide officiel de la méthode EBIOS Risk Manager - est traitée particulièrement dans les ateliers 2, 3, 4, 5.
À travers ces ateliers, et comme vu dans l’épisode précédent, les analystes répondent aux questions suivantes :
- Qui pourrait attaquer le système ? Pour quelle raison ? et quels en seraient les dégâts ?
- Comment le système peut-il être attaqué ?
- Comment protéger le système contre ces attaques ?
- Et à quoi il resterait exposé ?
Aujourd’hui nous allons découvrir l’atelier 2 de la méthode intitulé « Source de risques », et qui traite les questions suivantes :
- Qui pourrait attaquer le système ?
- Pourquoi quelqu’un pourrait-il attaquer ?
- Et quels en seraient les dégâts ?
Cet épisode vous permettra de comprendre non seulement le fonctionnement de l’atelier 2, mais aussi son importance dans la phase de cadrage de l’analyse.
Pour ne pas rater les prochains épisodes, je vous invite à vous abonner à notre Chaîne y, et à me suivre sur à me suivre sur Linkedin.
https://www.linkedin.com/in/ralaoui/
Enjoy !
Sommaire :
- 0:00 Introduction
- 2:03 Sources de RisqueUne source de risque est une entité à l’origine de menaces considérées contre le système d’information étudié en vue d’atteindre des objectifs visés. D’un point de vue opérationnel, la source de risque considérée peut réaliser elle-même l’attaque comme elle peut mobiliser d’autres acteurs le faire.
- 2:30 Objectifs VisésUne finalité recherchée par une source de risque en attaquant le système d’information en question.
- 4:25 Les couples SR-OV
- 6:40 Conclusion
Transcription de la Vidéo
Introduction
Dans la méthode EBIOS RM“EBIOS Risk Manager 1 (EBIOS RM) est la méthode d’appréciation et de traitement des risques numériques publiée par l’Agence nationale de la sécurité et des systèmes d’information (ANSSI) avec le soutien du Club EBIOS 2 . Elle propose une boite à outils adaptable, dont l’utilisation varie selon l’objectif du projet et est compatible avec les référentiels normatifs en vigueur, en matière de gestion des risques comme en matière de sécurité du numérique.” - Guide officie..., la sécurité d’un système d’information est étudiée en combinant les deux approches “par risque"Possibilité qu’un événement redouté survienne et que ses effets impactent les missions de l’objet de l’étude." - Guide officiel de la méthode EBIOS Risk Manager -” et “par conformité”.
L’approche par conformité est abordée dans l’atelier 1, au travers du socle de sécuritéTraité dans l’atelier 1 de la méthode EBIOS Risk Manager, le socle de sécurité consiste à définir une première couche de mesures de sécurité issues de l’état de l’art et de la conformité obligatoire. La suite de l'analyse considère comme si ces mesures sont implémentées et se focalise sur les risques non couverts par celles-ci., comme vue dans l’épisode précédent.
L’approche par les risques"Possibilité qu’un événement redouté survienne et que ses effets impactent les missions de l’objet de l’étude." - Guide officiel de la méthode EBIOS Risk Manager - est traité particulièrement dans les atelier 2, 3, 4, 5
Aux travers de ces atelier, et comme vu dans l’épisode précédent, les analystes répondent aux questions suivantes :
- Qui pourrait attaquer le système ?
- Pour quelle raison ?
- et quels en seraient les dégâts ?
- Comment le système peut-il être attaqué ?
- Comment protéger le système contre ces attaques ?
- Et à quoi il resterait exposé ?
Aujourd’hui nous allons découvrir l’atelier 2 de la méthode intitulé “Source de risques"Possibilité qu’un événement redouté survienne et que ses effets impactent les missions de l’objet de l’étude." - Guide officiel de la méthode EBIOS Risk Manager -”, et qui traitent les questions suivantes :
- Qui pourrait attaquer le système ?
- Pour quelle raison ?
- et quels en seraient les dégâts ?
Sources de Risques
La Première question à laquelle doit répondre l’atelier 2 est : Qui pourrait attaquer le système ?
Cela consiste à définir les adversaires qui pourraient être potentiellement à l’origine d’attaques contre le système d’information : C’est-à-dire toute entité qui a la capacité et la motivation d’attaquer le système.
Ces adversaires sont appelée “Source de risques"Possibilité qu’un événement redouté survienne et que ses effets impactent les missions de l’objet de l’étude." - Guide officiel de la méthode EBIOS Risk Manager -” dans le vocabulaire EBIOS Risk Manager“EBIOS Risk Manager 1 (EBIOS RM) est la méthode d’appréciation et de traitement des risques numériques publiée par l’Agence nationale de la sécurité et des systèmes d’information (ANSSI) avec le soutien du Club EBIOS 2 . Elle propose une boite à outils adaptable, dont l’utilisation varie selon l’objectif du projet et est compatible avec les référentiels normatifs en vigueur, en matière de gestion des risques comme en matière de sécurité du numérique.” - Guide officie....
Objectifs Visés
La Deuxième question à laquelle répond l’atelier 2 est : Pour quelle raison ces sources de risques"Possibilité qu’un événement redouté survienne et que ses effets impactent les missions de l’objet de l’étude." - Guide officiel de la méthode EBIOS Risk Manager - attaquerait le système ?
Pour répondre à cette question, pour chaque source de risqueUne source de risque est une entité à l’origine de menaces considérées contre le système d’information étudié en vue d’atteindre des objectifs visés. D’un point de vue opérationnel, la source de risque considérée peut réaliser elle-même l’attaque comme elle peut mobiliser d’autres acteurs le faire. identifié on va définir les objectifs potentiels d’une éventuelle attaque émanant de cette source. Ces objectifs sont appelé “Objectifs VisésUne finalité recherchée par une source de risque en attaquant le système d’information en question.” dans le vocabulaire EBIOS RM“EBIOS Risk Manager 1 (EBIOS RM) est la méthode d’appréciation et de traitement des risques numériques publiée par l’Agence nationale de la sécurité et des systèmes d’information (ANSSI) avec le soutien du Club EBIOS 2 . Elle propose une boite à outils adaptable, dont l’utilisation varie selon l’objectif du projet et est compatible avec les référentiels normatifs en vigueur, en matière de gestion des risques comme en matière de sécurité du numérique.” - Guide officie....
Par exemple, pour notre système de vidéosurveillance, une source de risqueUne source de risque est une entité à l’origine de menaces considérées contre le système d’information étudié en vue d’atteindre des objectifs visés. D’un point de vue opérationnel, la source de risque considérée peut réaliser elle-même l’attaque comme elle peut mobiliser d’autres acteurs le faire. serait un “état espion qui souhaite s’introduire physiquement dans le site pour de l’espionnage industriel” et son objectif viséUne finalité recherchée par une source de risque en attaquant le système d’information en question. serait d’effacer ses traces d’intrusion pour que sa petite visite passe inaperçue.
Il est à noter que ces objectifs sont définis au niveau stratégique, et non pas opérationnel. En d’autre terme, on s’intéresse au pourquoi de l’attaque et non pas à son mode opératoire.
Du côté du défenseur, ces objectifs visésUne finalité recherchée par une source de risque en attaquant le système d’information en question. de l’attaquant sont liés à des incidents métier à éviter, ou ce qu’on appelle des “évènements redoutés” dans le vocabulaire EBIOS RM“EBIOS Risk Manager 1 (EBIOS RM) est la méthode d’appréciation et de traitement des risques numériques publiée par l’Agence nationale de la sécurité et des systèmes d’information (ANSSI) avec le soutien du Club EBIOS 2 . Elle propose une boite à outils adaptable, dont l’utilisation varie selon l’objectif du projet et est compatible avec les référentiels normatifs en vigueur, en matière de gestion des risques comme en matière de sécurité du numérique.” - Guide officie....
On va alors associer chaque Objectif ViséUne finalité recherchée par une source de risque en attaquant le système d’information en question. à un ou plusieurs évènements redoutés parmi ceux qui sont définis dans l’atelier 1.
Par exemple, l’objectif viséUne finalité recherchée par une source de risque en attaquant le système d’information en question. “effacer les traces vidéos suite à une intrusion physique” sera associé à l’événement redoutéUn événement redouté représente une atteinte à un besoin de sécurité (confidentialité, intégrité, disponibilité) d’une valeur métier. Exemples : • Vol des données personnel des salariés
• Altération du procédé industriel
• perte irréversible des données de facturation
Chaque événement redouté (ex. indisponibilité de la gestion de la facturation) est associé à un niveau de gravité, en fonction des dégâts engendrés. More “perte des enregistrements vidéos”.
Pour résumer, l’objectif viséUne finalité recherchée par une source de risque en attaquant le système d’information en question. est défini du point de vue de l’attaquant, et on peut dire que l’événement redoutéUn événement redouté représente une atteinte à un besoin de sécurité (confidentialité, intégrité, disponibilité) d’une valeur métier. Exemples : • Vol des données personnel des salariés
• Altération du procédé industriel
• perte irréversible des données de facturation
Chaque événement redouté (ex. indisponibilité de la gestion de la facturation) est associé à un niveau de gravité, en fonction des dégâts engendrés. More est son pendant du point de vue du défenseur.
Couples Source de Risque / Objectifs Visés
Une fois les sources de risqueUne source de risque est une entité à l’origine de menaces considérées contre le système d’information étudié en vue d’atteindre des objectifs visés. D’un point de vue opérationnel, la source de risque considérée peut réaliser elle-même l’attaque comme elle peut mobiliser d’autres acteurs le faire. et leur objectifs visésUne finalité recherchée par une source de risque en attaquant le système d’information en question. son identifiés, c’est aux couples “source de risqueUne source de risque est une entité à l’origine de menaces considérées contre le système d’information étudié en vue d’atteindre des objectifs visés. D’un point de vue opérationnel, la source de risque considérée peut réaliser elle-même l’attaque comme elle peut mobiliser d’autres acteurs le faire. – Objectif ViséUne finalité recherchée par une source de risque en attaquant le système d’information en question.” qu’on s’intéresse pour le reste de l’étude. En d’autres termes, aucune source de risqueUne source de risque est une entité à l’origine de menaces considérées contre le système d’information étudié en vue d’atteindre des objectifs visés. D’un point de vue opérationnel, la source de risque considérée peut réaliser elle-même l’attaque comme elle peut mobiliser d’autres acteurs le faire. n’est étudiée isolément, elle est toujours associée à un objectif viséUne finalité recherchée par une source de risque en attaquant le système d’information en question..
Ces couples « Source de risqueUne source de risque est une entité à l’origine de menaces considérées contre le système d’information étudié en vue d’atteindre des objectifs visés. D’un point de vue opérationnel, la source de risque considérée peut réaliser elle-même l’attaque comme elle peut mobiliser d’autres acteurs le faire. – Objectif visé » constitue les points de départ de l’étude des risques"Possibilité qu’un événement redouté survienne et que ses effets impactent les missions de l’objet de l’étude." - Guide officiel de la méthode EBIOS Risk Manager -. De chaque couple vont découler un scénario stratégiques , des chemins d’attaqueUn chemin d’attaque est un scénario, décrit de haut niveau, identifiant les points d’entrée, les relais de propagation et les vecteurs d’exploitation les plus pertinents, dans une logique de moindre effort. Un chemin d’attaque est constitué d’une succession d'événements intermédiaires causés par la source de risque et appliqués à des parties prenantes de l’écosystème et/ou au système cible en vue d'atteindre un objectif visé., et des scénarios opérationnels. Il est donc nécessaire de filtrer ces couples pour n’en garder que les plus pertinents, afin de ne pas alourdir inutilement l’analyse des risque"Possibilité qu’un événement redouté survienne et que ses effets impactent les missions de l’objet de l’étude." - Guide officiel de la méthode EBIOS Risk Manager -.
Par exemple, considérons le couple SR OV : « état espion » et « sabotage du système de vidéosurveillance ».
L’objectif final de la source de risqueUne source de risque est une entité à l’origine de menaces considérées contre le système d’information étudié en vue d’atteindre des objectifs visés. D’un point de vue opérationnel, la source de risque considérée peut réaliser elle-même l’attaque comme elle peut mobiliser d’autres acteurs le faire. état espion étant de s’introduire discrètement dans le site de R&D, elle n’a clairement pas intérêt à saboter le système car cela fera du bruit.
Ce couple est alors non pertinent, et sera exclu de la suite de l’étude.
Pertinence des couples SR-OV
Pour évaluer cette pertinence, le guide de la méthode suggère d’utiliser les trois critère suivants :
- la motivation
- les ressources
- et l’activité
Ces critères sont évalués sur une échelle qualitative.
Motivation
Le critère de motivation reflète à quel point la source de risqueUne source de risque est une entité à l’origine de menaces considérées contre le système d’information étudié en vue d’atteindre des objectifs visés. D’un point de vue opérationnel, la source de risque considérée peut réaliser elle-même l’attaque comme elle peut mobiliser d’autres acteurs le faire. serait motivé et déterminée pour atteindre l’objectif viséUne finalité recherchée par une source de risque en attaquant le système d’information en question. en question
Ressources
Le critère ressources indique le niveau de ressource que la source de risqueUne source de risque est une entité à l’origine de menaces considérées contre le système d’information étudié en vue d’atteindre des objectifs visés. D’un point de vue opérationnel, la source de risque considérée peut réaliser elle-même l’attaque comme elle peut mobiliser d’autres acteurs le faire. pourrait et surtout serait prête à allouer pour atteindre l’objectif viséUne finalité recherchée par une source de risque en attaquant le système d’information en question.. Ces ressources comprennent les ressources humaines, financières, le temps, les connaissances et tout élément qui peut être utilisé dans l’attaque.
Activité
Le critère activité, indique dans quelle mesure des attaques ont été conduites dans le passé par une telle Source de Risques"Possibilité qu’un événement redouté survienne et que ses effets impactent les missions de l’objet de l’étude." - Guide officiel de la méthode EBIOS Risk Manager - pour atteindre un Objectif similaire.
Le niveau de pertinence est déterminé en combinant les valeurs de ces trois critères, par exemple au travers d’une formule mathématique
Dans un prochain épisode nous allons voir ensemble des exemples d’échelles qualitatives et de leur utilisation. Vous pouvez aussi consulter le guide de la méthode et les fiches pratiques associées pour plus de détails.
Conclusion
A l’issue de l’atelier 2, nous avons une liste des couple “Source de risques"Possibilité qu’un événement redouté survienne et que ses effets impactent les missions de l’objet de l’étude." - Guide officiel de la méthode EBIOS Risk Manager - / objectif ViséUne finalité recherchée par une source de risque en attaquant le système d’information en question.” les plus pertinents et qui seront considérés dans la suite de l’étude.
Pour chaque couple on va en particulier étudier les attaques possibles qui permettraient à la source de risqueUne source de risque est une entité à l’origine de menaces considérées contre le système d’information étudié en vue d’atteindre des objectifs visés. D’un point de vue opérationnel, la source de risque considérée peut réaliser elle-même l’attaque comme elle peut mobiliser d’autres acteurs le faire. en question d’atteindre l’objectif viséUne finalité recherchée par une source de risque en attaquant le système d’information en question. associé.
Cette étude des attaques possible fait l’objet des ateliers 3 et 4 que nous allons voir ensemble à partir du prochain épisode.
Pour ne pas le rater, pensez donc à vous abonner pour être notifié. Et si vous avez des interrogations ou des réflexions concernant les sujets que nous avons abordés jusque là, n’hésitez pas à les partager en commentaires…
✅ “EBIOS-RM dans la pratique” est une série qui a pour objectif de partager une longue expérience terrain avec la méthode EBIOS (2010 et Risk Manager)
✅ Un résumé de la méthode EBIOS Risk Manager est disponible dans cet article.
✅ L’intégralité des articles de la série est disponible par 👉 ici
✅ Si souhaitez vous former à EBIOS RM“EBIOS Risk Manager 1 (EBIOS RM) est la méthode d’appréciation et de traitement des risques numériques publiée par l’Agence nationale de la sécurité et des systèmes d’information (ANSSI) avec le soutien du Club EBIOS 2 . Elle propose une boite à outils adaptable, dont l’utilisation varie selon l’objectif du projet et est compatible avec les référentiels normatifs en vigueur, en matière de gestion des risques comme en matière de sécurité du numérique.” - Guide officie..., nous proposons une formation pour apprendre la méthode par la pratique, 👉 Cliquer ici pour en savoir plus. Formation Certifiante éligible aux financements publics CPF, OPCO.