Dans ce nouvel épisode, nous allons mettre la main dans la pâte, et commencer à appliquer la méthode EBIOS Risk Manager“EBIOS Risk Manager 1 (EBIOS RM) est la méthode d’appréciation et de traitement des risques numériques publiée par l’Agence nationale de la sécurité et des systèmes d’information (ANSSI) avec le soutien du Club EBIOS 2 . Elle propose une boite à outils adaptable, dont l’utilisation varie selon l’objectif du projet et est compatible avec les référentiels normatifs en vigueur, en matière de gestion des risques comme en matière de sécurité du numérique.” - Guide officie... More, à un cas d’usage concret :

Un Système de Vidéosurveillance

Nous allons travailler sur ce système tout au long de la série, et nous lui appliquerons la méthode atelier par atelier.

La première étape indispensable, mais souvent négligée, est la Connaissance et la Maîtrise du système étudié. C’est ce que nous allons faire, en 4 étapes :

1. Comprendre les Missions du système
2. Acquérir une Vue d’Ensemble du système
3. Identifier le Périmètre et les Frontières
4. Comprendre les Détails du système

Je vous invite à découvrir, dans cet épisode, les deux premières étapes (Vidéo ci-dessous).

Et, pour ne pas rater les prochains épisodes, je vous invite à vous abonner à notre Chaîne y, et à me suivre sur à me suivre sur Linkedin.

https://www.linkedin.com/in/ralaoui/

Enjoy !

Sommaire :

• 0:00 – Introduction
• 1:24 – Importance de la maîtrise
• 2:16 – Compréhension du système en 4 étapes
• 2:55 – Comprendre les missions du système
• 4:39 – Vue d’ensemble du système
• 6:05 – Synoptique d’architecture physique
• 6:52 – Synoptique d’architecture réseau
• 7:25 – Synoptique d’architecture système et applicative
• 8:24 – Mot de la fin

Transcription de la Vidéo
Bonjour et bienvenue dans un nouvel épisode de la série EBIOS RM“EBIOS Risk Manager 1 (EBIOS RM) est la méthode d’appréciation et de traitement des risques numériques publiée par l’Agence nationale de la sécurité et des systèmes d’information (ANSSI) avec le soutien du Club EBIOS 2 . Elle propose une boite à outils adaptable, dont l’utilisation varie selon l’objectif du projet et est compatible avec les référentiels normatifs en vigueur, en matière de gestion des risques comme en matière de sécurité du numérique.” - Guide officie... More dans la pratique. Aujourd’hui nous allons mettre la main dans la pâte et commencer à appliquer la méthode EBIOS Risk Manager“EBIOS Risk Manager 1 (EBIOS RM) est la méthode d’appréciation et de traitement des risques numériques publiée par l’Agence nationale de la sécurité et des systèmes d’information (ANSSI) avec le soutien du Club EBIOS 2 . Elle propose une boite à outils adaptable, dont l’utilisation varie selon l’objectif du projet et est compatible avec les référentiels normatifs en vigueur, en matière de gestion des risques comme en matière de sécurité du numérique.” - Guide officie... More à un cas d’usages concret, un système de vidéo-surveillance d’un centre de recherche et de développement assez sensible.

La première étape indispensable mais souvent négligée est la connaissance et la maîtrise du système étudié. C’est ce que nous allons faire aujourd’hui et c’est aussi l’occasion pour vous présenter le système. Nous allons travailler sur ce système tout au long de la série et nous lui appliquerons la méthode atelier par atelier.

D’abord pourquoi est-il si important de connaître et de maîtriser le SI dans une analyse des risques"Possibilité qu’un événement redouté survienne et que ses effets impactent les missions de l’objet de l’étude." - Guide officiel de la méthode EBIOS Risk Manager - More ? en effet la réalisation d’une analyse des risques"Possibilité qu’un événement redouté survienne et que ses effets impactent les missions de l’objet de l’étude." - Guide officiel de la méthode EBIOS Risk Manager - More implique entre autres d’identifier les scénarios d’attaques possibles et de définir les barrières de défense. Faire cela sans une maîtrise suffisante du système d’information serait comme jouer au foot et défendre son but les yeux bandés, le match est perdu d’avance…

Toujours comme dans un match de foot, on sait bien qu’un cyber attaquant joue sur des petits détails du système d’information : Une CVE non corrigée, un port ouvert, ou un mot de passe qui circule… le défenseur doit faire de même pour que le duel soit au moins équivalent pour ces raisons, on ne peut pas prétendre faire une analyse des risques"Possibilité qu’un événement redouté survienne et que ses effets impactent les missions de l’objet de l’étude." - Guide officiel de la méthode EBIOS Risk Manager - More sans une bonne maîtrise du système. Une maîtrise de toutes ces couches physique, réseaux, système, applicative, et organisationnelle…

Dans la quête de cette maîtrise, je vous propose une approche en quatre étapes : 1. Comprendre les missions du système d’information 2. il convient ensuite d’acquérir une vue d’ensemble du système généralement au travers de synoptiques d’architecture 3. Puis, il faut délimiter le périmètre, et identifier ses frontières 4. Et enfin, rentrer dans les détails du système d’information au travers d’un questionnaire que je partagerai avec vous. aujourd’hui, nous allons parcourir les deux premières étapes, et la 3e et la 4e seront abordées dans le prochain épisode.

Voyons maintenant en quoi consiste la première étape de compréhension des missions du système étudié. Il s’agit en effet de comprendre deux éléments : – D’abord la raison d’être du système d’information il convient en effet de savoir les besoins pour lesquels le système a été créé et puis pour satisfaire ces besoins, quelles sont les fonctions rendues par le système d’information ces éléments sont généralement disponibles dans la documentation fonctionnelle du système et il convient également de s’entretenir avec les acteurs métiers pour comprendre ces éléments…

Voyons concrètement cette compréhension des missions du système pour notre exemple de vidéo surveillance d’un centre de R&D D’abord, pourquoi ce système a été créé ? quelle est sa raison d’être ? Le centre de R&D en question abrite en effet des informations sensibles. il peut ainsi être sujet à des intrusions physiques pour espionnage industriel, d’où la nécessité d’un système de sécurité physique et en particulier un système de vidéosurveillance.

Quel est maintenant la fonction du système pour satisfaire ce besoin ? Il a en effet pour rôle de prendre des vues vidéo dans différents endroits du site et de les afficher dans des stations de surveillance situées dans le poste de sécurité. ces informations, nous les avons obtenues en consultant d’abord le document des spécifications fonctionnelles et puis au travers d’un entretien avec le responsable de la sécurité physique du site.

la deuxième étape dans la quête de cette maîtrise du système consiste à acquérir une vue d’ensemble cela passe généralement par des synoptiques d’architecture qu’il convient de demander aux de construire s’il n’existent pas. Ces synoptiques d’architecture doivent illustrer les principaux composants du système ainsi que les liaisons et interactions entre eux. Ces synoptiques sont réalisés selon différentes vues : applicative, systèmes, réseaux, et physiques. Pour obtenir ou constituer ces synoptiques, il convient de consulter le dossier d’architecture s’il existe et de s’entretenir avec un panel d’acteurs ayant une vue d’ensemble du système.

Voyons pour notre exemple, à quoi peut ressembler cette vue d’ensemble.. Avant de continuer, j’ai juste une précision à apporter : D’abord, ce système est purement fictif et a été imaginée uniquement pour la série. Deuxièmement, il ne s’agit pas de recommandation d’architecture pour un système de vidéosurveillance. Au contraire, j’ai même introduit volontairement quelques faiblesses pour avoir de la matière pour la suite de l’analyse des risques"Possibilité qu’un événement redouté survienne et que ses effets impactent les missions de l’objet de l’étude." - Guide officiel de la méthode EBIOS Risk Manager - More si vous les identifiez, n’hésitez pas à les mentionner en commentaire et préciser les menaces associées commençons maintenant par la vue physique de cette vue d’ensemble.

Nous avons d’abord les caméras dans trois zones principales : Bâtiment 1, Bâtiment 2, et puis à l’extérieur. Nous avons aussi trois stations de vidéosurveillance dont une reliée à un mur d’image. Ces stations sont localisées dans le poste de sécurité du site. Et puis, nous avons le serveur constituant le cœur du système dans une salle machine derrière un pare feu. Ces composants sont reliés par une boucle réseau constituée de commutateurs et de câbles de fibre optique. Enfin nous avons une interconnexion avec le SI de gestion sur un des ports du pare feu. Voilà, nous avons un schéma qui donne une vue d’ensemble du système d’un point de vue physique.

D’un point de vue réseau, nous avons un LAN serveurs délimité par le

pare-feu. De l’autre côté, nous avons la boucle réseau. Celles-ci hébergent 2 VLANs en particulier : Le VLAN des caméras et le VLAN des stations. Et sur un troisième port du pare-feu nous avons une interconnexion avec le réseau du SI de gestion. Le routage entre tous ces réseaux est assuré par le pare-feu qui filtre les communications.

Maintenant, nous avons une vue d’ensemble du réseau d’un point de vue logique. D’un point de vue applicatif et système, nous avons au cœur, le centre de gestion vidéo. Celui-ci est constitué d’un serveur vidéo relié à une base de données. Les deux tournent respectivement sur deux machines virtuelles Windows. Ces machines sont hébergées par le serveur hôte et ce au travers d’un hyperviseur de virtualisation.

Le serveur vidéo communique avec les caméras pour la prise de vue. Chaque caméra est équipée d’un firmware. Ces vues vidéo sont transmises par le serveur vidéo aux stations de surveillance, et ce pour visionnage par les agents de sécurité. Chaque station est équipée d’un OS Windows et d’un client vidéo. Et nous avons également un envoi des enregistrements vidéo au SI de gestion pour archivage.

Voilà, nous avons une vue d’ensemble de notre système de vidéosurveillance d’un point de vue applicatif et système. Voilà, nous sommes arrivés à la fin de cette première partie de compréhension du système étudié. Nous avons identifié les missions du système d’information et nous avons acquis une vue d’ensemble assez claire d’un point de vue physique, réseaux, système, et applicatif. L’objectif à ce stade n’est pas d’avoir les détails du système mais plutôt un minimum pour savoir poser au se poser les bonnes questions dans la quête de ces détails Dans les prochains épisodes, nous allons délimiter deux périmètres et définir les frontières et ensuite nous partirons dans la quête des détails du système.

Pour ne rien rater, pensez donc à vous abonner pour être notifié. Je vous remercie pour votre attention et je vous dis à bientôt.

---

✅ “EBIOS-RM dans la pratique” est une série qui a pour objectif de partager une longue expérience terrain avec la méthode EBIOS (2010 et Risk Manager)

✅ Un résumé de la méthode EBIOS Risk Manager est disponible dans cet article.

✅  L’intégralité des articles de la série est disponible par 👉 ici

✅ Si souhaitez vous former à EBIOS RM“EBIOS Risk Manager 1 (EBIOS RM) est la méthode d’appréciation et de traitement des risques numériques publiée par l’Agence nationale de la sécurité et des systèmes d’information (ANSSI) avec le soutien du Club EBIOS 2 . Elle propose une boite à outils adaptable, dont l’utilisation varie selon l’objectif du projet et est compatible avec les référentiels normatifs en vigueur, en matière de gestion des risques comme en matière de sécurité du numérique.” - Guide officie... More, nous proposons une formation pour apprendre la méthode par la pratique, 👉 Cliquer ici pour en savoir plus. Formation Certifiante éligible aux financements publics CPF, OPCO.