L’article N°2 de la série a souligné l’importance de connaître l’esprit de la méthode et le « pourquoi » de chacune de ses activités… pour la pratiquer de manière saine.

Cet article s’inscrit dans cette démarche et vise à expliquer le « pourquoi » du socle de sécuritéTraité dans l’atelier 1 de la méthode EBIOS Risk Manager, le socle de sécurité consiste à définir une première couche de mesures de sécurité issues de l’état de l’art et de la conformité obligatoire. La suite de l'analyse considère comme si ces mesures sont implémentées et se focalise sur les risques non couverts par celles-ci. More.

Pour ce faire, un petit rappel de l’ancêtre EBIOS 2010 s’impose.

La méthode EBIOS 2010 adoptait une approche qui vise une identification exhaustive des scénarios de risque"Possibilité qu’un événement redouté survienne et que ses effets impactent les missions de l’objet de l’étude." - Guide officiel de la méthode EBIOS Risk Manager - More …  

👉 Toute mesure devait être justifiée par un risque"Possibilité qu’un événement redouté survienne et que ses effets impactent les missions de l’objet de l’étude." - Guide officiel de la méthode EBIOS Risk Manager - More.

D’une part, cela menait souvent à l’une des deux situations suivantes :

1. des scénarios de menace trop nombreux au point de rendre l’analyse très complexe, voire inexploitable. ⚠️ (Figure 1 ci-dessous 👇) 
2. des scénarios de menace génériques qui n’apportaient pas de réelle valeur ajoutée. ⚠️

D’autre part, la grande majorité des mesures ne nécessitaient pas vraiment de formaliser un risque"Possibilité qu’un événement redouté survienne et que ses effets impactent les missions de l’objet de l’étude." - Guide officiel de la méthode EBIOS Risk Manager - More pour les justifier …

• 👉 parce que leur nécessité est assez évidente,
• 👉 ou parce qu’elles sont obligatoires en raison d’une réglementation, d’une norme ou d’une clause contractuelle.

A titre d’exemple :

Une authentification au niveau d’un accès distant depuis Internet nécessite-elle vraiment un scénario de risque"Possibilité qu’un événement redouté survienne et que ses effets impactent les missions de l’objet de l’étude." - Guide officiel de la méthode EBIOS Risk Manager - More formalisé pour justifier sa nécessité 🙄 ? 

💡 Partant de ces constats, EBIOS Risk Manager“EBIOS Risk Manager 1 (EBIOS RM) est la méthode d’appréciation et de traitement des risques numériques publiée par l’Agence nationale de la sécurité et des systèmes d’information (ANSSI) avec le soutien du Club EBIOS 2 . Elle propose une boite à outils adaptable, dont l’utilisation varie selon l’objectif du projet et est compatible avec les référentiels normatifs en vigueur, en matière de gestion des risques comme en matière de sécurité du numérique.” - Guide officie... More a introduit la notion du socle de sécuritéTraité dans l’atelier 1 de la méthode EBIOS Risk Manager, le socle de sécurité consiste à définir une première couche de mesures de sécurité issues de l’état de l’art et de la conformité obligatoire. La suite de l'analyse considère comme si ces mesures sont implémentées et se focalise sur les risques non couverts par celles-ci. More.

Celui-ci consiste à identifier, dans une approche de conformité :

• 👉 les mesures issues de l’état de l’art et dont la nécessité est évidente;
• 👉 les mesures obligatoires issues des réglementations, des normes et des clauses contractuelles.

Ces deux types de mesures constituent les deux premières couches de la fameuse Pyramide du management du risque"Possibilité qu’un événement redouté survienne et que ses effets impactent les missions de l’objet de l’étude." - Guide officiel de la méthode EBIOS Risk Manager - More numérique.

Ces mesures sont par la suite supposées implémentées dans l’approche par « risques » qui vise à identifier des mesures supplémentaires pour réduire les risques"Possibilité qu’un événement redouté survienne et que ses effets impactent les missions de l’objet de l’étude." - Guide officiel de la méthode EBIOS Risk Manager - More « sophistiqués » non couverts par le socle. En d’autres termes, pour boucher les “trous” persistants suite à l’implémentation de la couche “socle de sécuritéTraité dans l’atelier 1 de la méthode EBIOS Risk Manager, le socle de sécurité consiste à définir une première couche de mesures de sécurité issues de l’état de l’art et de la conformité obligatoire. La suite de l'analyse considère comme si ces mesures sont implémentées et se focalise sur les risques non couverts par celles-ci. More”.

Les risques"Possibilité qu’un événement redouté survienne et que ses effets impactent les missions de l’objet de l’étude." - Guide officiel de la méthode EBIOS Risk Manager - More ainsi identifiés sont alors plus ciblés et moins nombreux, ce qui permet de les étudier plus soigneusement. Les risques"Possibilité qu’un événement redouté survienne et que ses effets impactent les missions de l’objet de l’étude." - Guide officiel de la méthode EBIOS Risk Manager - More sont alors plus utiles et plus pertinents. (Voir Figure 3 ci-dessous).

Les prochains articles traitent des bonnes, mais aussi mauvaises, pratiques relatives au « socle de sécurité ».

---

✅ “EBIOS-RM dans la pratique” est une série qui a pour objectif de partager une longue expérience terrain avec la méthode EBIOS (2010 et Risk Manager)

✅ Un résumé de la méthode EBIOS Risk Manager“EBIOS Risk Manager 1 (EBIOS RM) est la méthode d’appréciation et de traitement des risques numériques publiée par l’Agence nationale de la sécurité et des systèmes d’information (ANSSI) avec le soutien du Club EBIOS 2 . Elle propose une boite à outils adaptable, dont l’utilisation varie selon l’objectif du projet et est compatible avec les référentiels normatifs en vigueur, en matière de gestion des risques comme en matière de sécurité du numérique.” - Guide officie... More est disponible dans cet article.

✅  L’intégralité des articles de la série est disponible par 👉 ici