Dans ce nouvel épisode, nous continuons notre étude EBIOS Risk Manager“EBIOS Risk Manager 1 (EBIOS RM) est la méthode d’appréciation et de traitement des risques numériques publiée par l’Agence nationale de la sécurité et des systèmes d’information (ANSSI) avec le soutien du Club EBIOS 2 . Elle propose une boite à outils adaptable, dont l’utilisation varie selon l’objectif du projet et est compatible avec les référentiels normatifs en vigueur, en matière de gestion des risques comme en matière de sécurité du numérique.” - Guide officie... More, sur un cas d’usage concret :

Un Système de Vidéosurveillance

Nous travaillons sur ce système tout au long de la série, et nous lui appliquerons la méthode atelier par atelier.

Dans l’épisode précédent, nous avons commencé le travail de Compréhension du Système d’information, qui est indispensable pour mener à bien l’analyse des risques"Possibilité qu’un événement redouté survienne et que ses effets impactent les missions de l’objet de l’étude." - Guide officiel de la méthode EBIOS Risk Manager - More. Nous poursuivons aujourd’hui cette compréhension, et nous allons en particulier délimiter le Périmètre du système, et Définir ses Frontières.

Cela nous mènera à introduire deux notions importantes de la méthode :

• Les Biens SupportsLes biens supports sont les éléments du système d’information (humains, locaux, équipements, réseaux, logiciels et applications) qui contribuent au traitement, au stockage et au transport des informations métier et/ou participent aux processus et fonctions métier. More
• et les Parties Prenantes

Pour ne pas rater les prochains épisodes, je vous invite à vous abonner à notre Chaîne y, et à me suivre sur à me suivre sur Linkedin.

https://www.linkedin.com/in/ralaoui/

Enjoy !

Sommaire :

• 0:00 : Introduction
• 1:34 : Compréhension du système en 4 étapes
• 2:22 : Tout n’est pas forcément dans le périmètre
• 2:57 : Définition de la notion de “Périmètre”
• 3:09 : Composants du périmètre
• 3:17 : Composants hors périmètre
• 3:35 : Introduction de la notion de Parties Prenantes
• 4:29 : Introduction de la notion de Biens SupportsLes biens supports sont les éléments du système d’information (humains, locaux, équipements, réseaux, logiciels et applications) qui contribuent au traitement, au stockage et au transport des informations métier et/ou participent aux processus et fonctions métier. More
• 4:43 : Exemple – Différence entre Bien SupportLes biens supports sont les éléments du système d’information (humains, locaux, équipements, réseaux, logiciels et applications) qui contribuent au traitement, au stockage et au transport des informations métier et/ou participent aux processus et fonctions métier. More Partie Prenante"Élément (personne, système d’information, organisation, ou source de risque) en interaction directe ou indirecte avec l’objet de l’étude. On entend par interaction toute relation intervenant dans le fonctionnement normal de l’objet de l’étude. Une partie prenante peut être interne ou externe à l’organisation à laquelle appartient l’objet de l’étude. EXEMPLES  : partenaire, prestataire, client, fournisseur, filiale, service connexe support." - Guide officiel de la méth... More
• 5:31 : Périmètre et frontières de notre système exemple
• 6:54 : Notion de “frontière”
• 5:31 : Périmètre et frontière de notre système exemple (suite)
• 8:06 : Mot de la fin

Transcription de la Vidéo

Dans cet épisode de la série EBIOS RM“EBIOS Risk Manager 1 (EBIOS RM) est la méthode d’appréciation et de traitement des risques numériques publiée par l’Agence nationale de la sécurité et des systèmes d’information (ANSSI) avec le soutien du Club EBIOS 2 . Elle propose une boite à outils adaptable, dont l’utilisation varie selon l’objectif du projet et est compatible avec les référentiels normatifs en vigueur, en matière de gestion des risques comme en matière de sécurité du numérique.” - Guide officie... More dans la pratique, nous poursuivons notre étude de cas en examinant un système de vidéosurveillance d’un centre de recherche et de développement. Cette série vise à vous présenter concrètement les activités de la méthode EBIOS Risk Manager“EBIOS Risk Manager 1 (EBIOS RM) est la méthode d’appréciation et de traitement des risques numériques publiée par l’Agence nationale de la sécurité et des systèmes d’information (ANSSI) avec le soutien du Club EBIOS 2 . Elle propose une boite à outils adaptable, dont l’utilisation varie selon l’objectif du projet et est compatible avec les référentiels normatifs en vigueur, en matière de gestion des risques comme en matière de sécurité du numérique.” - Guide officie... More, en partageant des bonnes pratiques, en évitant les pièges courants, et en fournissant des ressources utiles pour vos analyses.

Nous avons déjà entamé le travail de compréhension du système d’information, une étape cruciale pour l’analyse des risques"Possibilité qu’un événement redouté survienne et que ses effets impactent les missions de l’objet de l’étude." - Guide officiel de la méthode EBIOS Risk Manager - More. Aujourd’hui, nous allons approfondir notre compréhension en délimitant le périmètre du système étudié et en définissant ses frontières. Cela nous amènera à introduire deux concepts essentiels de la méthode EBIOS Risk Manager“EBIOS Risk Manager 1 (EBIOS RM) est la méthode d’appréciation et de traitement des risques numériques publiée par l’Agence nationale de la sécurité et des systèmes d’information (ANSSI) avec le soutien du Club EBIOS 2 . Elle propose une boite à outils adaptable, dont l’utilisation varie selon l’objectif du projet et est compatible avec les référentiels normatifs en vigueur, en matière de gestion des risques comme en matière de sécurité du numérique.” - Guide officie... More : les « biens support » et les « parties prenantes ».

Définissons d’abord ce que nous entendons par « périmètre du système étudié ». Il s’agit de la zone sécurisée qui fait l’objet de notre analyse. Si un composant est considéré comme faisant partie de ce périmètre, nous prendrons des mesures de sécurité spécifiques pour le protéger. En revanche, si un composant est situé à la frontière du système, son niveau de sécurité sera une hypothèse de départ, et nous ne chercherons pas à le sécuriser directement.

Les composants à la frontière sont ce que nous appelons les « parties prenantes » de l’écosystème“L’écosystème comprend l’ensemble des parties prenantes qui gravitent autour de l’objet de l’étude et concourent à la réalisation de ses missions (partenaires, sous-traitants, filiales, etc.). De plus en plus de modes opératoires d’attaque exploitent les maillons les plus vulnérables de cet écosystème pour atteindre leur objectif (exemple : atteinte à la disponibilité d’un service en attaquant le fournisseur de service en nuage, piège de la chaîne logistique d’appro... More. Ils sont à considérer dans le processus d’analyse, car ils peuvent servir de points d’entrée potentiels pour les scénarios de menace que nous allons définir. Nous supposons qu’ils sont potentiellement compromis par une source de risqueUne source de risque est une entité à l’origine de menaces considérées contre le système d’information étudié en vue d’atteindre des objectifs visés. D’un point de vue opérationnel, la source de risque considérée peut réaliser elle-même l’attaque comme elle peut mobiliser d’autres acteurs le faire. More, mais notre intérêt principal réside dans la manière dont cette compromission pourrait affecter les composants à l’intérieur du périmètre.

Les mesures de sécurité que nous définissons pour les parties prenantes se limitent généralement à la liaison et aux interactions avec les composants du périmètre, sans être intrusives. En revanche, les composants à l’intérieur du périmètre sont considérés comme les « biens support ». Pour eux, nous étudions les techniques d’attaque possibles et définissons des mesures de sécurité concrètes.

Prenons un exemple concret : une salle de machines hébergeant une baie de serveurs. Si cette salle est située dans le périmètre, elle sera considérée comme un bien supportLes biens supports sont les éléments du système d’information (humains, locaux, équipements, réseaux, logiciels et applications) qui contribuent au traitement, au stockage et au transport des informations métier et/ou participent aux processus et fonctions métier. More, et nous étudierons comment un attaquant pourrait s’y introduire, en mettant en place des mesures de sécurité telles que le contrôle d’accès et la gestion des droits. En revanche, si cette salle n’est pas dans le périmètre, elle sera une partie prenante"Élément (personne, système d’information, organisation, ou source de risque) en interaction directe ou indirecte avec l’objet de l’étude. On entend par interaction toute relation intervenant dans le fonctionnement normal de l’objet de l’étude. Une partie prenante peut être interne ou externe à l’organisation à laquelle appartient l’objet de l’étude. EXEMPLES  : partenaire, prestataire, client, fournisseur, filiale, service connexe support." - Guide officiel de la méth... More, et nous réfléchirons à la manière de protéger la baie de serveurs contre une éventuelle attaque.

Dans notre étude de cas sur le système de vidéosurveillance, nous avons identifié le périmètre et défini ses frontières à différentes couches du système, y compris physique, réseau, systèmes et applicatifs. Nous avons également introduit le concept de relations qui définissent ces frontières, qu’il s’agisse de locaux, de réseaux ou d’autres types de connexions.

Il est important de noter que nous n’avons pas encore abordé les aspects organisationnels ni les personnes impliquées dans le système. Ces éléments seront traités dans un prochain épisode de la série.

N’oubliez pas de consulter nos précédents épisodes sur notre blog (lien disponible dans les commentaires) et de vous abonner à notre chaîne YouTube pour ne rien manquer de nos futurs épisodes.

À bientôt pour la suite de notre exploration de la méthode EBIOS Risk Manager“EBIOS Risk Manager 1 (EBIOS RM) est la méthode d’appréciation et de traitement des risques numériques publiée par l’Agence nationale de la sécurité et des systèmes d’information (ANSSI) avec le soutien du Club EBIOS 2 . Elle propose une boite à outils adaptable, dont l’utilisation varie selon l’objectif du projet et est compatible avec les référentiels normatifs en vigueur, en matière de gestion des risques comme en matière de sécurité du numérique.” - Guide officie... More !

---

✅ “EBIOS-RM dans la pratique” est une série qui a pour objectif de partager une longue expérience terrain avec la méthode EBIOS (2010 et Risk Manager)

✅ Un résumé de la méthode EBIOS Risk Manager est disponible dans cet article.

✅  L’intégralité des articles de la série est disponible par 👉 ici

✅ Si souhaitez vous former à EBIOS RM“EBIOS Risk Manager 1 (EBIOS RM) est la méthode d’appréciation et de traitement des risques numériques publiée par l’Agence nationale de la sécurité et des systèmes d’information (ANSSI) avec le soutien du Club EBIOS 2 . Elle propose une boite à outils adaptable, dont l’utilisation varie selon l’objectif du projet et est compatible avec les référentiels normatifs en vigueur, en matière de gestion des risques comme en matière de sécurité du numérique.” - Guide officie... More, nous proposons une formation pour apprendre la méthode par la pratique, 👉 Cliquer ici pour en savoir plus. Formation Certifiante éligible aux financements publics CPF, OPCO.