Partager

L’article N°2 de la série a souligné l’importance de connaître l’esprit de la méthode et le “pourquoi” de chacune de ses activités… pour la pratiquer de manière saine.

Cet article s’inscrit dans cette démarche et vise à expliquer le “pourquoi” du Socle de sécurité.

Pour ce faire, un petit rappel de l’ancêtre EBIOS 2010 s’impose.

La méthode EBIOS 2010 adoptait une approche qui vise une identification exhaustive des scénarios de risque …  

👉 Toute mesure devait être justifiée par un risque.

D’une part, cela menait souvent à l’une des deux situations suivantes :

  1. des scénarios de menace trop nombreux au point de rendre l’analyse très complexe, voire inexploitable. ⚠️ (Figure 1 ci-dessous 👇) 
  2. des scénarios de menace génériques qui n’apportaient pas de réelle valeur ajoutée. ⚠️
EBIOS 2010 - Identification des Risques
Figure 1 – EBIOS 2010 : Identification exhaustive des scénarios de risques

D’autre part, la grande majorité des mesures ne nécessitaient pas vraiment de formaliser un risque pour les justifier …

  • 👉 parce que leur nécessité est assez évidente,
  • 👉 ou parce qu’elles sont obligatoires en raison d’une réglementation, d’une norme ou d’une clause contractuelle.

A titre d’exemple :

Une authentification au niveau d’un accès distant depuis Internet nécessite-elle vraiment un scénario de risque formalisé pour justifier sa nécessité 🙄 ? 

💡 Partant de ces constats, EBIOS Risk Manager a introduit la notion du Socle de sécurité.

Celui-ci consiste à identifier, dans une approche de conformité :

  • 👉 les mesures issues de l’état de l’art et dont la nécessité est évidente;
  • 👉 les mesures obligatoires issues des réglementations, des normes et des clauses contractuelles.

Ces deux types de mesures constituent les deux premières couches de la fameuse Pyramide du management du risque numérique.

EBIOS RM - Pyramide
Figure 2 – EBIOS RM : Pyramide du management du risque numérique (source : guide officiel de la méthode)

Ces mesures sont par la suite supposées implémentées dans l’approche par “risques” qui vise à identifier des mesures supplémentaires pour réduire les risques “sophistiqués” non couverts par le socle. En d’autres termes, pour boucher les “trous” persistants suite à l’implémentation de la couche “Socle de sécurité”.

Les risques ainsi identifiés sont alors plus ciblés et moins nombreux, ce qui permet de les étudier plus soigneusement. Les risques sont alors plus utiles et plus pertinents. (Voir Figure 3 ci-dessous).

EBIOS RM - Simplification des Risques
Figure 3 – EBIOS RM : Simplification des risques par combinaison des deux approches “par risques” et “par conformité”

Les prochains articles traitent des bonnes, mais aussi mauvaises, pratiques relatives au “socle de sécurité”.


“EBIOS-RM dans la pratique” est une série qui a pour objectif de partager une longue expérience terrain avec la méthode EBIOS (2010 et Risk Manager)

✅ Un résumé de la méthode EBIOS Risk Manager est disponible dans cet article.

✅  L’intégralité des articles de la série est disponible par 👉 ici

Avez-vous trouvé cet article utile?