- EBIOS Risk Manager – Vue d’ensemble
- EBIOS RM dans la pratique – N°2 – Recul & Bon Sens
- EBIOS RM dans la pratique – N°3 – Une question de Maîtrise
- EBIOS RM dans la pratique – N°4 – Socle de sécurité – Pourquoi ?
- EBIOS RM dans la pratique – N°5 – Socle de sécurité – Quel Output ?
- EBIOS RM dans la pratique – N°6 – Mode opératoire pour constituer un “Socle de sécurité”
- EBIOS RM dans la Pratique – N° 7 – Quel Référentiel pour mon Socle de Sécurité ?
- EBIOS RM dans la Pratique – N° 8 – Étude de Cas #1 – Connaître le SI (Partie 1)
- EBIOS RM dans la Pratique – N° 9 – Étude de Cas #2 – Connaître le SI (Partie 2)
- EBIOS RM dans la Pratique – N° 10 – Étude de Cas #3 – Personnes : Biens supports ou Parties prenantes ?
- EBIOS RM dans la Pratique – N° 11 – Étude de Cas #4 – Quête des détails
- EBIOS RM dans la Pratique – N° 12 – Questionnaire de maitrise – explications et astuces d’utilisation
- EBIOS RM dans la Pratique – N° 13 – Vue d’ensemble – Atelier 1
- EBIOS RM dans la Pratique – N° 14 – Vue d’ensemble – Atelier 2
- EBIOS RM“EBIOS Risk Manager 1 (EBIOS RM) est la méthode d’appréciation et de traitement des risques numériques publiée par l’Agence nationale de la sécurité et des systèmes d’information (ANSSI) avec le soutien du Club EBIOS 2 . Elle propose une boite à outils adaptable, dont l’utilisation varie selon l’objectif du projet et est compatible avec les référentiels normatifs en vigueur, en matière de gestion des risques comme en matière de sécurité du numérique.” - Guide officie... dans la Pratique – N° 15 – Vue d’ensemble – Atelier 3 – Partie 1
- EBIOS RM dans la Pratique – N° 16 – Vue d’ensemble – Atelier 3 – Partie 2
Au travers des 5 ateliers de la méthode EBIOS Risk Manager“EBIOS Risk Manager 1 (EBIOS RM) est la méthode d’appréciation et de traitement des risques numériques publiée par l’Agence nationale de la sécurité et des systèmes d’information (ANSSI) avec le soutien du Club EBIOS 2 . Elle propose une boite à outils adaptable, dont l’utilisation varie selon l’objectif du projet et est compatible avec les référentiels normatifs en vigueur, en matière de gestion des risques comme en matière de sécurité du numérique.” - Guide officie..., les analystes répondent aux questions suivantes :
- Quels biens ou actifs faut-il protéger ? Et pourquoi ?
- Qui pourrait attaquer le système ? Et pour quelle raison ?
- Comment le système peut-il être attaque ?
- Comment protéger le système contre ces attaques ?
- Et a quoi il resterait expose ?
L’atelier 1 vue dans l’épisode 13, répond a la première question “quel bien faut-il protéger”, en définissant les valeurs métier“Les valeurs métier sont les informations ou processus jugés importants, dans le cadre de l’étude, et qu’il convient de protéger. Les valeurs métier représentent le patrimoine informationnel qu’une source de risque aurait intérêt à attaquer pour atteindre ses objectifs (exemple: service d’annulation de réservations en ligne, informations clients, résultats de travaux de R&D, phase de déploiement d’un projet, savoir-faire en conception de pièces aéronautiques, etc.).... les plus sensibles.
L’atelier 2, présente dans l’épisode 14 répond a la deuxième question “Qui pourrait attaquer le système et pour quelle raison ?” en définissant les sources de risques"Possibilité qu’un événement redouté survienne et que ses effets impactent les missions de l’objet de l’étude." - Guide officiel de la méthode EBIOS Risk Manager - et les objectifs vises.
Les ateliers 3 et 4 repondent aux questions “Comment le systeme peut-il etre attaque ? et comment le proteger ?”.
Pour répondre a ces deux questions, la méthode EBIOS stipule de commencer d’abord par étudier les points d’entrée a la périphérie du système étudie, en vue de les identifier et de les sécuriser dans la mesure du possible.
Et puis on réfléchit dans un deuxième temps au détail des attaques après ces points d’entrée afin de mettre des barrières de sécurité dans une approche de défense en profondeur.
L’étude des points d’entrée a la périphérie du système fait l’objet de l’atelier 3, intitule Scenario Stratégique et que nous allons détailler dans cette vidéo.
Cet épisode de la série vous permettra de comprendre non seulement le fonctionnement de cet atelier 3, mais aussi son esprit et la philosophie qui le sous-tend.
Pour ne pas rater les prochains épisodes, je vous invite à vous abonner à notre Chaîne y, et à me suivre sur à me suivre sur Linkedin.
https://www.linkedin.com/in/ralaoui/
Enjoy !
Sommaire :
- 0:00 Introduction
- 2:30 Services et Formation EBIOS RM“EBIOS Risk Manager 1 (EBIOS RM) est la méthode d’appréciation et de traitement des risques numériques publiée par l’Agence nationale de la sécurité et des systèmes d’information (ANSSI) avec le soutien du Club EBIOS 2 . Elle propose une boite à outils adaptable, dont l’utilisation varie selon l’objectif du projet et est compatible avec les référentiels normatifs en vigueur, en matière de gestion des risques comme en matière de sécurité du numérique.” - Guide officie...
- 3:34 Objectifs de l’atelier
- 4:11 Les parties prenantes
- 6:41 Niveau de menace
- 9:37 Conclusion
Transcription de la Vidéo
✅ “EBIOS-RM dans la pratique” est une série qui a pour objectif de partager une longue expérience terrain avec la méthode EBIOS (2010 et Risk Manager)
✅ Un résumé de la méthode EBIOS Risk Manager est disponible dans cet article.
✅ L’intégralité des articles de la série est disponible par 👉 ici
✅ Si souhaitez vous former à EBIOS RM“EBIOS Risk Manager 1 (EBIOS RM) est la méthode d’appréciation et de traitement des risques numériques publiée par l’Agence nationale de la sécurité et des systèmes d’information (ANSSI) avec le soutien du Club EBIOS 2 . Elle propose une boite à outils adaptable, dont l’utilisation varie selon l’objectif du projet et est compatible avec les référentiels normatifs en vigueur, en matière de gestion des risques comme en matière de sécurité du numérique.” - Guide officie..., nous proposons une formation pour apprendre la méthode par la pratique, 👉 Cliquer ici pour en savoir plus. Formation Certifiante éligible aux financements publics CPF, OPCO.
Henri
Bonjour
Merci pour ces contenus super édifiants
cependant, j’ai une petite incompréhension au niveau de la confiance vis-à-vis des parties prenantes. Je me disais que le niveau de confiance se mesure par rapport au défenseur (dont à l’organisation) et non pas par rapport à l’attaquant tel que vous avez souligné dans votre vidéo sur l’atélier 3.
Henri
admin
Bonjour Henri,
Merci pour votre intérêt pour cet article et pour votre question.
Ici, il est question du niveau de confiance que le défenseur accorde à la partie prenante. Il faut se demander dans quelle mesure cette partie prenante pourrait être amenée à collaborer avec un attaquant si elle venait à être approchée.
N’hésitez pas à poser d’autres questions si quelque chose n’est pas clair, je serai ravi d’y répondre !