Dans une analyse des risques"Possibilité qu’un événement redouté survienne et que ses effets impactent les missions de l’objet de l’étude." - Guide officiel de la méthode EBIOS Risk Manager - More EBIOS Risk Manager“EBIOS Risk Manager 1 (EBIOS RM) est la méthode d’appréciation et de traitement des risques numériques publiée par l’Agence nationale de la sécurité et des systèmes d’information (ANSSI) avec le soutien du Club EBIOS 2 . Elle propose une boite à outils adaptable, dont l’utilisation varie selon l’objectif du projet et est compatible avec les référentiels normatifs en vigueur, en matière de gestion des risques comme en matière de sécurité du numérique.” - Guide officie... More, le socle de sécuritéTraité dans l’atelier 1 de la méthode EBIOS Risk Manager, le socle de sécurité consiste à définir une première couche de mesures de sécurité issues de l’état de l’art et de la conformité obligatoire. La suite de l'analyse considère comme si ces mesures sont implémentées et se focalise sur les risques non couverts par celles-ci. More est constitué de :

• Mesures d’hygiène de base,
• et de Mesures obligatoires

… identifiés dans une approche par conformité

… conformité à un Référentiel qui sert comme base pour mon Socle de SécuritéTraité dans l’atelier 1 de la méthode EBIOS Risk Manager, le socle de sécurité consiste à définir une première couche de mesures de sécurité issues de l’état de l’art et de la conformité obligatoire. La suite de l'analyse considère comme si ces mesures sont implémentées et se focalise sur les risques non couverts par celles-ci. More.

• Comment choisir ce référentiel qui sert comme base pour mon socle de sécuritéTraité dans l’atelier 1 de la méthode EBIOS Risk Manager, le socle de sécurité consiste à définir une première couche de mesures de sécurité issues de l’état de l’art et de la conformité obligatoire. La suite de l'analyse considère comme si ces mesures sont implémentées et se focalise sur les risques non couverts par celles-ci. More ?
• Sur la base de quels critères ? – Lesquels sont recommandés ?
• Lesquels sont à éviter ?
• Faut-il retenir l’intégralité des mesures du référentiel dans le socle de sécuritéTraité dans l’atelier 1 de la méthode EBIOS Risk Manager, le socle de sécurité consiste à définir une première couche de mesures de sécurité issues de l’état de l’art et de la conformité obligatoire. La suite de l'analyse considère comme si ces mesures sont implémentées et se focalise sur les risques non couverts par celles-ci. More ?
• Sinon, quel est le critère de sélection des mesures ?
• Faut-il se limiter aux mesures du référentiel ?
• Comment gérer la « zone grise » entre le socle de sécuritéTraité dans l’atelier 1 de la méthode EBIOS Risk Manager, le socle de sécurité consiste à définir une première couche de mesures de sécurité issues de l’état de l’art et de la conformité obligatoire. La suite de l'analyse considère comme si ces mesures sont implémentées et se focalise sur les risques non couverts par celles-ci. More et l’approche “par les risques"Possibilité qu’un événement redouté survienne et que ses effets impactent les missions de l’objet de l’étude." - Guide officiel de la méthode EBIOS Risk Manager - More” ? 
• Est-ce une bonne pratique de considérer les mesures existantes comme socle de sécuritéTraité dans l’atelier 1 de la méthode EBIOS Risk Manager, le socle de sécurité consiste à définir une première couche de mesures de sécurité issues de l’état de l’art et de la conformité obligatoire. La suite de l'analyse considère comme si ces mesures sont implémentées et se focalise sur les risques non couverts par celles-ci. More ? 

Des réponses à toutes ces questions sont dans la vidéo ci-dessous :

Sommaire :

• 0:00 – Introduction
• 0:53 – Rappel – Définition du socle de sécuritéTraité dans l’atelier 1 de la méthode EBIOS Risk Manager, le socle de sécurité consiste à définir une première couche de mesures de sécurité issues de l’état de l’art et de la conformité obligatoire. La suite de l'analyse considère comme si ces mesures sont implémentées et se focalise sur les risques non couverts par celles-ci. More
• 2:08 – Rappel – Utilité du socle de sécuritéTraité dans l’atelier 1 de la méthode EBIOS Risk Manager, le socle de sécurité consiste à définir une première couche de mesures de sécurité issues de l’état de l’art et de la conformité obligatoire. La suite de l'analyse considère comme si ces mesures sont implémentées et se focalise sur les risques non couverts par celles-ci. More dans une étude EBIOS RM“EBIOS Risk Manager 1 (EBIOS RM) est la méthode d’appréciation et de traitement des risques numériques publiée par l’Agence nationale de la sécurité et des systèmes d’information (ANSSI) avec le soutien du Club EBIOS 2 . Elle propose une boite à outils adaptable, dont l’utilisation varie selon l’objectif du projet et est compatible avec les référentiels normatifs en vigueur, en matière de gestion des risques comme en matière de sécurité du numérique.” - Guide officie... More
• 2:51 – Rappel – Contenu d’un socle de sécuritéTraité dans l’atelier 1 de la méthode EBIOS Risk Manager, le socle de sécurité consiste à définir une première couche de mesures de sécurité issues de l’état de l’art et de la conformité obligatoire. La suite de l'analyse considère comme si ces mesures sont implémentées et se focalise sur les risques non couverts par celles-ci. More my
• 3:50 – Rappel – Mode opératoire d’élaboration d’un socle de sécuritéTraité dans l’atelier 1 de la méthode EBIOS Risk Manager, le socle de sécurité consiste à définir une première couche de mesures de sécurité issues de l’état de l’art et de la conformité obligatoire. La suite de l'analyse considère comme si ces mesures sont implémentées et se focalise sur les risques non couverts par celles-ci. More
• 4:42 – Problématique – Quel référentiel utiliser ?
• 5:52 – Cas 1 – Un référentiel obligatoire existe
• 8:06 – Cas 1-bis – Multiples référentiels obligatoires existent
• 9:44 – Cas 2 – Il n’existe pas de référentiel obligatoire
• 11:14 – Faut-il retenir l’intégralité des mesures du référentiel dans le socle de sécuritéTraité dans l’atelier 1 de la méthode EBIOS Risk Manager, le socle de sécurité consiste à définir une première couche de mesures de sécurité issues de l’état de l’art et de la conformité obligatoire. La suite de l'analyse considère comme si ces mesures sont implémentées et se focalise sur les risques non couverts par celles-ci. More ?
• 13:25 – Est-ce une bonne pratique de considérer les mesures existantes comme socle de sécuritéTraité dans l’atelier 1 de la méthode EBIOS Risk Manager, le socle de sécurité consiste à définir une première couche de mesures de sécurité issues de l’état de l’art et de la conformité obligatoire. La suite de l'analyse considère comme si ces mesures sont implémentées et se focalise sur les risques non couverts par celles-ci. More

Transcription de la Vidéo

L’objectif de cet épisode est de répondre à la question : quel référentiel utilisé comme base pour mon socle de sécuritéTraité dans l’atelier 1 de la méthode EBIOS Risk Manager, le socle de sécurité consiste à définir une première couche de mesures de sécurité issues de l’état de l’art et de la conformité obligatoire. La suite de l'analyse considère comme si ces mesures sont implémentées et se focalise sur les risques non couverts par celles-ci. More ? C’est parti. Commençons par quelques rappels de ce que nous avons vu précédemment. D’abord, qu’est-ce qu’un socle de sécuritéTraité dans l’atelier 1 de la méthode EBIOS Risk Manager, le socle de sécurité consiste à définir une première couche de mesures de sécurité issues de l’état de l’art et de la conformité obligatoire. La suite de l'analyse considère comme si ces mesures sont implémentées et se focalise sur les risques non couverts par celles-ci. More ? Dans une étude EBIOS RM“EBIOS Risk Manager 1 (EBIOS RM) est la méthode d’appréciation et de traitement des risques numériques publiée par l’Agence nationale de la sécurité et des systèmes d’information (ANSSI) avec le soutien du Club EBIOS 2 . Elle propose une boite à outils adaptable, dont l’utilisation varie selon l’objectif du projet et est compatible avec les référentiels normatifs en vigueur, en matière de gestion des risques comme en matière de sécurité du numérique.” - Guide officie... More, un socle de sécuritéTraité dans l’atelier 1 de la méthode EBIOS Risk Manager, le socle de sécurité consiste à définir une première couche de mesures de sécurité issues de l’état de l’art et de la conformité obligatoire. La suite de l'analyse considère comme si ces mesures sont implémentées et se focalise sur les risques non couverts par celles-ci. More est défini au préalable de l’analyse des risques"Possibilité qu’un événement redouté survienne et que ses effets impactent les missions de l’objet de l’étude." - Guide officiel de la méthode EBIOS Risk Manager - More et est constitué de mesures dont la nécessité relève de l’évidence et qui ne nécessite pas de risque"Possibilité qu’un événement redouté survienne et que ses effets impactent les missions de l’objet de l’étude." - Guide officiel de la méthode EBIOS Risk Manager - More formalisé pour le justifier.

Contrairement au risque"Possibilité qu’un événement redouté survienne et que ses effets impactent les missions de l’objet de l’étude." - Guide officiel de la méthode EBIOS Risk Manager - More dont la pyramide de gestion des risques"Possibilité qu’un événement redouté survienne et que ses effets impactent les missions de l’objet de l’étude." - Guide officiel de la méthode EBIOS Risk Manager - More, le socle de sécuritéTraité dans l’atelier 1 de la méthode EBIOS Risk Manager, le socle de sécurité consiste à définir une première couche de mesures de sécurité issues de l’état de l’art et de la conformité obligatoire. La suite de l'analyse considère comme si ces mesures sont implémentées et se focalise sur les risques non couverts par celles-ci. More est constitué de principes de base et d’hygiène, plutôt de mesures obligatoires issues de réglementations, de normes, d’obligations contractuelles, voire de politique interne. Attention, je ne dis pas que les mesures du socle ne couvrent pas de risque"Possibilité qu’un événement redouté survienne et que ses effets impactent les missions de l’objet de l’étude." - Guide officiel de la méthode EBIOS Risk Manager - More, mais plutôt que ces risques"Possibilité qu’un événement redouté survienne et que ses effets impactent les missions de l’objet de l’étude." - Guide officiel de la méthode EBIOS Risk Manager - More sont tellement évidents qu’ils ne nécessitent pas d’être formalisés explicitement. Par exemple, faut-il vraiment un risque"Possibilité qu’un événement redouté survienne et que ses effets impactent les missions de l’objet de l’étude." - Guide officiel de la méthode EBIOS Risk Manager - More formalisé pour conclure qu’il faut une authentification à minima par mot de passe ? Pour moi, ce n’est pas le cas. Bah, je mets cette authentification dans mon socle de sécuritéTraité dans l’atelier 1 de la méthode EBIOS Risk Manager, le socle de sécurité consiste à définir une première couche de mesures de sécurité issues de l’état de l’art et de la conformité obligatoire. La suite de l'analyse considère comme si ces mesures sont implémentées et se focalise sur les risques non couverts par celles-ci. More. Au contraire, peut-être qu’une authentification forte n’est pas aussi évidente que ça. Dans quels cas je formalise un risque"Possibilité qu’un événement redouté survienne et que ses effets impactent les missions de l’objet de l’étude." - Guide officiel de la méthode EBIOS Risk Manager - More qui est mis en avant, les limites de l’authentification par mot de passe et qui met en avant les dégâts en cas de contournement de cette authentification. Voyons maintenant un deuxième rappel de quelle est l’utilité du socle de sécuritéTraité dans l’atelier 1 de la méthode EBIOS Risk Manager, le socle de sécurité consiste à définir une première couche de mesures de sécurité issues de l’état de l’art et de la conformité obligatoire. La suite de l'analyse considère comme si ces mesures sont implémentées et se focalise sur les risques non couverts par celles-ci. More. Voyons ça de manière schématisée. Ici à gauche, j’ai une analyse des risques"Possibilité qu’un événement redouté survienne et que ses effets impactent les missions de l’objet de l’étude." - Guide officiel de la méthode EBIOS Risk Manager - More sans socle de sécuritéTraité dans l’atelier 1 de la méthode EBIOS Risk Manager, le socle de sécurité consiste à définir une première couche de mesures de sécurité issues de l’état de l’art et de la conformité obligatoire. La suite de l'analyse considère comme si ces mesures sont implémentées et se focalise sur les risques non couverts par celles-ci. More identifié au préalable. Comme on le voit, on finit par un nombre important de scénarios de risque"Possibilité qu’un événement redouté survienne et que ses effets impactent les missions de l’objet de l’étude." - Guide officiel de la méthode EBIOS Risk Manager - More à traiter, ce qui impacte la qualité de l’analyse des risques"Possibilité qu’un événement redouté survienne et que ses effets impactent les missions de l’objet de l’étude." - Guide officiel de la méthode EBIOS Risk Manager - More. C’était par exemple le cas avec EBIOS RM“EBIOS Risk Manager 1 (EBIOS RM) est la méthode d’appréciation et de traitement des risques numériques publiée par l’Agence nationale de la sécurité et des systèmes d’information (ANSSI) avec le soutien du Club EBIOS 2 . Elle propose une boite à outils adaptable, dont l’utilisation varie selon l’objectif du projet et est compatible avec les référentiels normatifs en vigueur, en matière de gestion des risques comme en matière de sécurité du numérique.” - Guide officie... More en 2010. À droite, j’ai une analyse des risques"Possibilité qu’un événement redouté survienne et que ses effets impactent les missions de l’objet de l’étude." - Guide officiel de la méthode EBIOS Risk Manager - More avec un socle de sécuritéTraité dans l’atelier 1 de la méthode EBIOS Risk Manager, le socle de sécurité consiste à définir une première couche de mesures de sécurité issues de l’état de l’art et de la conformité obligatoire. La suite de l'analyse considère comme si ces mesures sont implémentées et se focalise sur les risques non couverts par celles-ci. More identifié au préalable. Et comment on le voit, cela permet d’éliminer un nombre important de risques"Possibilité qu’un événement redouté survienne et que ses effets impactent les missions de l’objet de l’étude." - Guide officiel de la méthode EBIOS Risk Manager - More, en particulier ceux les plus basiques, et cela permet de finir avec un nombre limité de risques"Possibilité qu’un événement redouté survienne et que ses effets impactent les missions de l’objet de l’étude." - Guide officiel de la méthode EBIOS Risk Manager - More à traiter, ce qui permet de gagner en temps et en pertinence.

Troisième rappel très important aujourd’hui, l’objectif est de définir un processus de choix d’un référentiel qui sert comme base pour mon socle de sécuritéTraité dans l’atelier 1 de la méthode EBIOS Risk Manager, le socle de sécurité consiste à définir une première couche de mesures de sécurité issues de l’état de l’art et de la conformité obligatoire. La suite de l'analyse considère comme si ces mesures sont implémentées et se focalise sur les risques non couverts par celles-ci. More. Mais attention, le socle de sécuritéTraité dans l’atelier 1 de la méthode EBIOS Risk Manager, le socle de sécurité consiste à définir une première couche de mesures de sécurité issues de l’état de l’art et de la conformité obligatoire. La suite de l'analyse considère comme si ces mesures sont implémentées et se focalise sur les risques non couverts par celles-ci. More ne doit pas être constitué d’exigences génériques cochées dans ce référentiel, mais plutôt de mesures dites « linéaires » et de ses exigences contextualisées pour le système d’information en question et décrites sans ambiguïté. Par exemple, si je prends la mesure 25 du guide d’hygiène informatique, qui dit : « Sécuriser les interconnexions réseau avec les partenaires », il ne faut pas simplement la cocher de manière générique cette mesure dans le référentiel. Il faut plutôt la décliner de manière opérationnelle. Et pour ce faire, il faudra identifier les partenaires un par un. Pour chaque partenaire, j’identifie et coche toutes les interconnexions. Et après, pour chaque interconnexion, je définis les règles et mécanismes de filtrage qui sont en place.

Maintenant, à notre appel du mode opératoire que nous avons vu précédemment et qui permet d’obtenir un tel résultat. D’abord, première étape indispensable consiste à connaître et maîtriser le système d’information, et cela passe en particulier par une cartographie du système d’information. Ensuite, on viendra réaliser un audit de cybersécurité qui a pour but l’identification de mesures en place et aussi des recommandations de mesures à mettre en place. Les mesures en place et les mesures à mettre en place constituent un ensemble, notre socle de sécuritéTraité dans l’atelier 1 de la méthode EBIOS Risk Manager, le socle de sécurité consiste à définir une première couche de mesures de sécurité issues de l’état de l’art et de la conformité obligatoire. La suite de l'analyse considère comme si ces mesures sont implémentées et se focalise sur les risques non couverts par celles-ci. More. Ici, une recommandation, un conseil que je recommande fortement, c’est que chaque fois que j’ajoute une mesure à mon socle de sécuritéTraité dans l’atelier 1 de la méthode EBIOS Risk Manager, le socle de sécurité consiste à définir une première couche de mesures de sécurité issues de l’état de l’art et de la conformité obligatoire. La suite de l'analyse considère comme si ces mesures sont implémentées et se focalise sur les risques non couverts par celles-ci. More, à ce moment-là, je réfléchis à ses limites et aux menaces qui peuvent exploiter ses limites. Ensuite, ces menaces devront être considérées dans l’étude des risques"Possibilité qu’un événement redouté survienne et que ses effets impactent les missions de l’objet de l’étude." - Guide officiel de la méthode EBIOS Risk Manager - More.

Après ces quelques rappels importants, revenons au vif du sujet d’aujourd’hui. Pour ce faire, regardons l’étape 2 du mode opératoire, qui dit de réaliser un audit de sécurité. Une question qui se pose ici, ces audits par rapport à quel référentiel ? Et là, on se rend compte qu’il manquait en effet une étape dans notre mode opératoire, qui consistait d’abord à identifier le référentiel qui va servir comme base pour mon socle de sécuritéTraité dans l’atelier 1 de la méthode EBIOS Risk Manager, le socle de sécurité consiste à définir une première couche de mesures de sécurité issues de l’état de l’art et de la conformité obligatoire. La suite de l'analyse considère comme si ces mesures sont implémentées et se focalise sur les risques non couverts par celles-ci. More. Donc, dans cette vidéo, nous allons creuser cette étape. Et pour ce faire, nous allons répondre à ces questions-là :

• comment choisir le référentiel qui va servir comme base pour mon socle ?
• Sur la base de quels critères ?
• Lesquels sont recommandés ?
• Lesquels sont à éviter ?
• Faut-il, une fois que j’ai choisi mon référentiel, faut-il en retenir l’intégralité des mesures de ce référentiel pour mon socle de sécuritéTraité dans l’atelier 1 de la méthode EBIOS Risk Manager, le socle de sécurité consiste à définir une première couche de mesures de sécurité issues de l’état de l’art et de la conformité obligatoire. La suite de l'analyse considère comme si ces mesures sont implémentées et se focalise sur les risques non couverts par celles-ci. More ?
• Si ce n’est pas le cas, quelles mesures là sont retenues ou pas ?
• Selon quels critères ?
• Et comme d’habitude, il y a toujours une zone grise, et nous allons voir comment la limiter voire l’éliminer la zone grise entre le socle de sécuritéTraité dans l’atelier 1 de la méthode EBIOS Risk Manager, le socle de sécurité consiste à définir une première couche de mesures de sécurité issues de l’état de l’art et de la conformité obligatoire. La suite de l'analyse considère comme si ces mesures sont implémentées et se focalise sur les risques non couverts par celles-ci. More et l’approche par les risques"Possibilité qu’un événement redouté survienne et que ses effets impactent les missions de l’objet de l’étude." - Guide officiel de la méthode EBIOS Risk Manager - More.

Enfin, une approche assez courante consiste à considérer les mesures existantes comme stock de sécurité. Et nous allons voir si c’est une bonne pratique du choix du référentiel qui va servir comme base pour mon socle de sécuritéTraité dans l’atelier 1 de la méthode EBIOS Risk Manager, le socle de sécurité consiste à définir une première couche de mesures de sécurité issues de l’état de l’art et de la conformité obligatoire. La suite de l'analyse considère comme si ces mesures sont implémentées et se focalise sur les risques non couverts par celles-ci. More. Nous allons distinguer deux cas qui concernent la deuxième couche constituée des mesures obligatoires. En effet, un cadre de conformité obligatoire peut exister, comme il peut ne pas exister. Regardons dans un premier temps le cas où un référentiel obligatoire existe.

D’abord, qu’est-ce qu’un référentiel obligatoire ?

Celui-ci peut être une obligation légale ou réglementaire, une norme certifiante, une obligation contractuelle, ou même une politique interne applicable en transversal à mon organisme et qui devient une obligation pour mon périmètre. Ok, maintenant, j’ai un référentiel obligatoire qui existe. Est-ce que je dois l’utiliser systématiquement comme base pour mon socle de sécuritéTraité dans l’atelier 1 de la méthode EBIOS Risk Manager, le socle de sécurité consiste à définir une première couche de mesures de sécurité issues de l’état de l’art et de la conformité obligatoire. La suite de l'analyse considère comme si ces mesures sont implémentées et se focalise sur les risques non couverts par celles-ci. More ? Pas forcément le cas, et nous allons voir cela dans un arbre de décision. Première question qu’il convient de se poser : est-ce que ce référentiel contient des mesures concrètes et opérationnelles ? Par exemple, c’est le cas pour la LPM ou la directive NIS qui parlent d’authentification, de cloisonnement, de filtrage, etc. Contrairement aux RGPD, par exemple, qui sont plutôt pour la partie cyber des principes généraux.

Dans ce deuxième cas, le référentiel en question n’est pas utilisable comme base pour le socle de sécuritéTraité dans l’atelier 1 de la méthode EBIOS Risk Manager, le socle de sécurité consiste à définir une première couche de mesures de sécurité issues de l’état de l’art et de la conformité obligatoire. La suite de l'analyse considère comme si ces mesures sont implémentées et se focalise sur les risques non couverts par celles-ci. More, mais sera considéré dans l’étude. Il sera considéré dans la définition des objectifs et aussi dans la définition et la qualification des impacts associés au risque"Possibilité qu’un événement redouté survienne et que ses effets impactent les missions de l’objet de l’étude." - Guide officiel de la méthode EBIOS Risk Manager - More. Donc, si mon référentiel ne comprend pas de mesures concrètes et opérationnelles, je passe au cas 2. Comme si je n’ai pas de référentiel obligatoire qui existe, et nous allons voir cela plus tard. Ok, maintenant, j’ai un référentiel obligatoire avec des mesures concrètes et opérationnelles.

Deuxième question qu’il convient de se poser : est-ce que ce référentiel est exhaustif par rapport à l’état de l’art ?

Entre parenthèses, par exemple, on sait que la LPM ne couvre pas certaines thématiques d’état de l’art. Ça ne parle pas explicitement de la sécurité des communications, ni de sécurité physique, ni des sauvegardes, etc. Dans ce cas-là, il convient de compléter par un référentiel de l’état de l’art. Si, par contre, j’ai un référentiel que je considère comme exhaustif par rapport à l’état de l’art, je peux l’utiliser tel quel. Regardons maintenant le cas que j’ai appelé ici « qu’à 1 bis » ou pas de référentiel obligatoire qui existe, mais plusieurs cas, c’est fréquent.

Regardons quelques cas d’usage. Je peux avoir un même système auquel s’appliquent plusieurs obligations, suffit juste d’avoir d’un côté une politique interne à mon organisme, et de l’autre côté une réglementation qui s’applique spécifiquement à mon périmètre. Je peux aussi avoir un système auquel s’appliquent multiples réglementations. C’est aussi le cas. Donc, quand on souhaite créer un modèle de socle de sécuritéTraité dans l’atelier 1 de la méthode EBIOS Risk Manager, le socle de sécurité consiste à définir une première couche de mesures de sécurité issues de l’état de l’art et de la conformité obligatoire. La suite de l'analyse considère comme si ces mesures sont implémentées et se focalise sur les risques non couverts par celles-ci. More uniforme qui sera utilisable dans plusieurs projets différents et dans différents contextes réglementaires et normatifs, c’est par exemple le cas pour des projets internes de gros groupes ou des cabinets de conseil pour leurs projets clients. Ici, j’ai deux solutions.

Une première solution consiste à choisir parmi ces référentiels obligatoires celui qui est le plus complet, et puis établir des correspondances entre ce référentiel et les autres. On peut aussi le compléter si nécessaire. Deuxième solution, qui est ma préférée et que j’ai longuement pratiquée, c’est de créer une trame interne personnalisée. Et après, on vient établir des correspondances entre cette trame et les référentiels applicables. Cette solution présente l’avantage de donner plus de liberté. Je peux adapter la granularité que je souhaite, la structure que je souhaite. Et aussi, cette trame évolue et je peux ainsi l’enrichir sans être lié à un référentiel.

Regardons maintenant le deuxième cas où il n’existe pas de référentiel obligatoire. Deux solutions se présentent : soit choisir et utiliser un référentiel de l’état de l’art, soit utiliser et construire une trame interne personnalisée. Comme nous venons de voir, regardez maintenant comment choisir un référentiel de l’état de l’art. Il faut veiller à quelques critères de choix. D’abord, le référentiel doit contenir des mesures suffisamment directives et opérationnelles. Et ces mesures doivent être assez fines et moins sujettes à interprétation. À ce titre, je conseille d’éviter autant que possible l’annexion à ISO 27001 ou au CISF. Pourquoi ? Parce que ces deux référentiels contiennent des mesures assez vagues et qui nécessitent beaucoup d’interprétations, ce qui peut rendre l’exercice assez complexe.

Autre critère, il faut veiller autant que possible à utiliser un référentiel adapté à la typologie du système d’information. Par exemple, si j’ai un SI industriel, je dois me tourner vers un référentiel adapté. Même chose si j’ai une implication dans l’administration. Faut aussi veiller à utiliser un référentiel avec une taille raisonnable, juste pour des aspects pratiques et pour éviter de passer trop de temps là-dessus. Voilà, ça doit être exhaustif. Voilà quelques exemples de référentiels que je trouve adaptés pour un socle de sécuritéTraité dans l’atelier 1 de la méthode EBIOS Risk Manager, le socle de sécurité consiste à définir une première couche de mesures de sécurité issues de l’état de l’art et de la conformité obligatoire. La suite de l'analyse considère comme si ces mesures sont implémentées et se focalise sur les risques non couverts par celles-ci. More : le guide d’hygiène de l’informatique de l’ANSSI, les 6 axes contre 11 ou pour les SI industriels, le référentiel de l’ANSSI Cybersécurité des systèmes industriels.

Ok, maintenant que j’ai choisi mon référentiel qui va servir comme base pour mon socle de sécuritéTraité dans l’atelier 1 de la méthode EBIOS Risk Manager, le socle de sécurité consiste à définir une première couche de mesures de sécurité issues de l’état de l’art et de la conformité obligatoire. La suite de l'analyse considère comme si ces mesures sont implémentées et se focalise sur les risques non couverts par celles-ci. More, une question qui se pose : est-ce que je suis dans l’obligation de retenir l’intégralité des mesures de ce référentiel dans mon socle ? La réponse est non. Faut pas oublier, on est bien dans le cas 2, dans lequel il n’existe pas de référentiel obligatoire. Le référentiel de l’état de l’art que nous avons choisi sert plutôt de fil conducteur au catalogue, dans lequel on viendra puiser des mesures à décliner pour notre système d’information. C’est pour ça qu’il ne devient pas obligatoire. Maintenant, alors selon quels critères on va retenir ou ne pas retenir des mesures de ce référentiel ? La réponse : on va retenir les mesures évidentes, celles qui ne font pas débat, en lien avec l’objectif de la définition du socle de sécuritéTraité dans l’atelier 1 de la méthode EBIOS Risk Manager, le socle de sécurité consiste à définir une première couche de mesures de sécurité issues de l’état de l’art et de la conformité obligatoire. La suite de l'analyse considère comme si ces mesures sont implémentées et se focalise sur les risques non couverts par celles-ci. More. Il sera constitué de mesures dont la nécessité est évidente et qui ne nécessite pas d’être justifiée par des risques"Possibilité qu’un événement redouté survienne et que ses effets impactent les missions de l’objet de l’étude." - Guide officiel de la méthode EBIOS Risk Manager - More.

Troisième point : il ne faut pas être borné par le référentiel qu’on a choisi. On peut aller plus loin et ajouter au socle des mesures qui ne sont pas dans ce référentiel, du moment qu’on juge qu’elles sont évidentes pour le contexte du projet en question. Voyons cela de manière plus concrète dans le mode opératoire. Nous avons dit que l’étape 2 consiste à réaliser un audit de sécurité qui conduit à l’identification de mesures en place et à des recommandations de mesures à mettre en place. Les mesures en place et les mesures à mettre en place constituent notre socle de sécuritéTraité dans l’atelier 1 de la méthode EBIOS Risk Manager, le socle de sécurité consiste à définir une première couche de mesures de sécurité issues de l’état de l’art et de la conformité obligatoire. La suite de l'analyse considère comme si ces mesures sont implémentées et se focalise sur les risques non couverts par celles-ci. More.

Ici, une précision à apporter : on ne va pas retenir toutes les préconisations de l’audit, mais plutôt celles qui ne font pas débat. Concrètement, nous allons mettre tous les acteurs autour de la table, on déroule les recommandations une par une. Si une recommandation ne fait pas de bruit et est en accord avec le socle de sécuritéTraité dans l’atelier 1 de la méthode EBIOS Risk Manager, le socle de sécurité consiste à définir une première couche de mesures de sécurité issues de l’état de l’art et de la conformité obligatoire. La suite de l'analyse considère comme si ces mesures sont implémentées et se focalise sur les risques non couverts par celles-ci. More, on la retient. Par contre, si elle génère des questions, par exemple, « C’est complexe, est-ce vraiment nécessaire ? Quel est le risque"Possibilité qu’un événement redouté survienne et que ses effets impactent les missions de l’objet de l’étude." - Guide officiel de la méthode EBIOS Risk Manager - More ? » alors ça passe dans l’approche par les risques"Possibilité qu’un événement redouté survienne et que ses effets impactent les missions de l’objet de l’étude." - Guide officiel de la méthode EBIOS Risk Manager - More.

Enfin, une pratique assez courante consiste à utiliser les mesures existantes comme socle de sécuritéTraité dans l’atelier 1 de la méthode EBIOS Risk Manager, le socle de sécurité consiste à définir une première couche de mesures de sécurité issues de l’état de l’art et de la conformité obligatoire. La suite de l'analyse considère comme si ces mesures sont implémentées et se focalise sur les risques non couverts par celles-ci. More. Et nous allons voir si c’est une bonne pratique du choix du référentiel qui va servir comme base pour mon socle de sécuritéTraité dans l’atelier 1 de la méthode EBIOS Risk Manager, le socle de sécurité consiste à définir une première couche de mesures de sécurité issues de l’état de l’art et de la conformité obligatoire. La suite de l'analyse considère comme si ces mesures sont implémentées et se focalise sur les risques non couverts par celles-ci. More. Nous allons distinguer deux cas qui concernent la deuxième couche constituée des mesures obligatoires. En effet, un cadre de conformité obligatoire peut exister, comme il peut ne pas exister. Regardons dans un premier temps le cas où un référentiel obligatoire existe.

D’abord, qu’est-ce qu’un référentiel obligatoire ? Celui-ci peut être une obligation légale ou réglementaire, une norme certifiante, une obligation contractuelle, ou même une politique interne applicable en transversal à mon organisme et qui devient une obligation pour mon périmètre. Ok, maintenant, j’ai un référentiel obligatoire qui existe. Est-ce que je dois l’utiliser systématiquement comme base pour mon socle de sécuritéTraité dans l’atelier 1 de la méthode EBIOS Risk Manager, le socle de sécurité consiste à définir une première couche de mesures de sécurité issues de l’état de l’art et de la conformité obligatoire. La suite de l'analyse considère comme si ces mesures sont implémentées et se focalise sur les risques non couverts par celles-ci. More ? Pas forcément le cas, et nous allons voir cela dans un arbre de décision. Première question qu’il convient de se poser : est-ce que ce référentiel contient des mesures concrètes et opérationnelles ? Par exemple, c’est le cas pour la LPM ou la directive NIS qui parlent d’authentification, de cloisonnement, de filtrage, etc. Contrairement aux RGPD, par exemple, qui sont plutôt pour la partie cyber des principes généraux.

Dans ce deuxième cas, le référentiel en question n’est pas utilisable comme base pour le socle de sécuritéTraité dans l’atelier 1 de la méthode EBIOS Risk Manager, le socle de sécurité consiste à définir une première couche de mesures de sécurité issues de l’état de l’art et de la conformité obligatoire. La suite de l'analyse considère comme si ces mesures sont implémentées et se focalise sur les risques non couverts par celles-ci. More, mais sera considéré dans l’étude. Il sera considéré dans la définition des objectifs et aussi dans la définition et la qualification des impacts associés au risque"Possibilité qu’un événement redouté survienne et que ses effets impactent les missions de l’objet de l’étude." - Guide officiel de la méthode EBIOS Risk Manager - More. Donc, si mon référentiel ne comprend pas de mesures concrètes et opérationnelles, je passe au cas 2. Comme si je n’ai pas de référentiel obligatoire qui existe, et nous allons voir cela plus tard. Ok, maintenant, j’ai un référentiel obligatoire avec des mesures concrètes et opérationnelles. Deuxième question qu’il convient de se poser : est-ce que ce référentiel est exhaustif par rapport à l’état de l’art ?

Entre parenthèses, par exemple, on sait que la LPM ne couvre pas certaines thématiques d’état de l’art. Ça ne parle pas explicitement de la sécurité des communications, ni de sécurité physique, ni des sauvegardes, etc. Dans ce cas-là, il convient de compléter par un référentiel de l’état de l’art. Si, par contre, j’ai un référentiel que je considère comme exhaustif par rapport à l’état de l’art, je peux l’utiliser tel quel. Regardons maintenant le cas que j’ai appelé ici « qu’à 1 bis » ou pas de référentiel obligatoire qui existe, mais plusieurs cas, c’est fréquent.

Regardons quelques cas d’usage. Je peux avoir un même système auquel s’appliquent plusieurs obligations, suffit juste d’avoir d’un côté une politique interne à mon organisme, et de l’autre côté une réglementation qui s’applique spécifiquement à mon périmètre. Je peux aussi avoir un système auquel s’appliquent multiples réglementations. C’est aussi le cas. Donc, quand on souhaite créer un modèle de socle de sécuritéTraité dans l’atelier 1 de la méthode EBIOS Risk Manager, le socle de sécurité consiste à définir une première couche de mesures de sécurité issues de l’état de l’art et de la conformité obligatoire. La suite de l'analyse considère comme si ces mesures sont implémentées et se focalise sur les risques non couverts par celles-ci. More uniforme qui sera utilisable dans plusieurs projets différents et dans différents contextes réglementaires et normatifs, c’est par exemple le cas pour des projets internes de gros groupes ou des cabinets de conseil pour leurs projets clients. Ici, j’ai deux solutions.

Une première solution consiste à choisir parmi ces référentiels obligatoires celui qui est le plus complet, et puis établir des correspondances entre ce référentiel et les autres. On peut aussi le compléter si nécessaire. Deuxième solution, qui est ma préférée et que j’ai longuement pratiquée, c’est de créer une trame interne personnalisée. Et après, on vient établir des correspondances entre cette trame et les référentiels applicables. Cette solution présente l’avantage de donner plus de liberté. Je peux adapter la granularité que je souhaite, la structure que je souhaite. Et aussi, cette trame évolue et je peux ainsi l’enrichir sans être lié à un référentiel.

Regardons maintenant le deuxième cas où il n’existe pas de référentiel obligatoire. Deux solutions se présentent : soit choisir et utiliser un référentiel de l’état de l’art, soit utiliser et construire une trame interne personnalisée. Comme nous venons de voir, regardez maintenant comment choisir un référentiel de l’état

de l’art. Il faut veiller à quelques critères de choix. D’abord, le référentiel doit contenir des mesures suffisamment directes et opérationnelles. Ces mesures doivent être suffisamment détaillées et moins sujettes à interprétation. À ce titre, je conseille d’éviter autant que possible l’annexe à l’ISO 27001 ou le NIST CSF, pourquoi ? Parce que ces deux référentiels contiennent des mesures assez génériques et qui nécessitent beaucoup d’interprétations, ce qui peut rendre l’exercice assez complexe.

Un autre critère important est de choisir un référentiel adapté à la typologie du système d’information. Par exemple, si j’ai un SI industriel, je devrais me tourner vers un référentiel adapté à ce contexte. De même, si j’ai un SI impliquant des données sensibles, ou un SI industriel d’administration, je devrais également veiller à utiliser un référentiel approprié.

Enfin, il est important de choisir un référentiel de taille raisonnable pour des raisons pratiques, afin d’éviter de passer trop de temps sur cette étape. Il faut éviter d’utiliser un référentiel qui serait trop volumineux pour être géré efficacement.

Voilà quelques exemples de référentiels que je trouve adaptés pour un socle de sécuritéTraité dans l’atelier 1 de la méthode EBIOS Risk Manager, le socle de sécurité consiste à définir une première couche de mesures de sécurité issues de l’état de l’art et de la conformité obligatoire. La suite de l'analyse considère comme si ces mesures sont implémentées et se focalise sur les risques non couverts par celles-ci. More : le guide d’hygiène de l’informatique de l’ANSSI, le CIS de l’ANSSI, ou pour les SI industriels, le référentiel de l’ANSSI « Cybersécurité des systèmes industriels ».

Maintenant que j’ai choisi mon référentiel qui servira de base pour mon socle de sécuritéTraité dans l’atelier 1 de la méthode EBIOS Risk Manager, le socle de sécurité consiste à définir une première couche de mesures de sécurité issues de l’état de l’art et de la conformité obligatoire. La suite de l'analyse considère comme si ces mesures sont implémentées et se focalise sur les risques non couverts par celles-ci. More, une question se pose : suis-je dans l’obligation de retenir l’intégralité des mesures de ce référentiel dans mon socle de sécuritéTraité dans l’atelier 1 de la méthode EBIOS Risk Manager, le socle de sécurité consiste à définir une première couche de mesures de sécurité issues de l’état de l’art et de la conformité obligatoire. La suite de l'analyse considère comme si ces mesures sont implémentées et se focalise sur les risques non couverts par celles-ci. More ? La réponse est non. Comme nous l’avons vu, nous sommes dans le cas où il n’existe pas de référentiel obligatoire. Le référentiel de l’état de l’art que nous avons choisi sert plutôt de fil conducteur au catalogue, dans lequel nous viendrons puiser des mesures à décliner pour notre système d’information. Il ne devient donc pas obligatoire.

Maintenant, selon quels critères allons-nous retenir ou ne pas retenir des mesures de ce référentiel ? La réponse est que nous allons retenir les mesures évidentes, celles qui ne font pas débat, en lien avec l’objectif de la définition du socle de sécuritéTraité dans l’atelier 1 de la méthode EBIOS Risk Manager, le socle de sécurité consiste à définir une première couche de mesures de sécurité issues de l’état de l’art et de la conformité obligatoire. La suite de l'analyse considère comme si ces mesures sont implémentées et se focalise sur les risques non couverts par celles-ci. More. Il sera constitué de mesures dont la nécessité est évidente et qui ne nécessite pas d’être justifiée par des risques"Possibilité qu’un événement redouté survienne et que ses effets impactent les missions de l’objet de l’étude." - Guide officiel de la méthode EBIOS Risk Manager - More.

Troisième point : il ne faut pas être borné par le référentiel que nous avons choisi. Nous pouvons aller plus loin et ajouter au socle des mesures qui ne sont pas dans ce référentiel, du moment que nous jugeons qu’elles sont évidentes pour le contexte du projet en question.

Voilà, c’est tout pour cet épisode. J’espère qu’il vous a été utile. Je vous donne rendez-vous au prochain épisode. À bientôt.

---

✅ “EBIOS-RM dans la pratique” est une série qui a pour objectif de partager une longue expérience terrain avec la méthode EBIOS (2010 et Risk Manager)

✅ Un résumé de la méthode EBIOS Risk Manager est disponible dans cet article.

✅  L’intégralité des articles de la série est disponible par 👉 ici

✅ Si souhaitez vous former à EBIOS RM“EBIOS Risk Manager 1 (EBIOS RM) est la méthode d’appréciation et de traitement des risques numériques publiée par l’Agence nationale de la sécurité et des systèmes d’information (ANSSI) avec le soutien du Club EBIOS 2 . Elle propose une boite à outils adaptable, dont l’utilisation varie selon l’objectif du projet et est compatible avec les référentiels normatifs en vigueur, en matière de gestion des risques comme en matière de sécurité du numérique.” - Guide officie... More, nous proposons une formation pour apprendre la méthode par la pratique, 👉 Cliquer ici pour en savoir plus. Formation Certifiante éligible aux financements publics CPF, OPCO.