Après la présentation du “pourquoi” du socle de sécuritéTraité dans l’atelier 1 de la méthode EBIOS Risk Manager, le socle de sécurité consiste à définir une première couche de mesures de sécurité issues de l’état de l’art et de la conformité obligatoire. La suite de l'analyse considère comme si ces mesures sont implémentées et se focalise sur les risques non couverts par celles-ci. More dans l’article précédent, cet article répond à la question :

Qu’est-ce qu’un socle de sécuritéTraité dans l’atelier 1 de la méthode EBIOS Risk Manager, le socle de sécurité consiste à définir une première couche de mesures de sécurité issues de l’état de l’art et de la conformité obligatoire. La suite de l'analyse considère comme si ces mesures sont implémentées et se focalise sur les risques non couverts par celles-ci. More concrètement ?

⛔ Le socle de sécuritéTraité dans l’atelier 1 de la méthode EBIOS Risk Manager, le socle de sécurité consiste à définir une première couche de mesures de sécurité issues de l’état de l’art et de la conformité obligatoire. La suite de l'analyse considère comme si ces mesures sont implémentées et se focalise sur les risques non couverts par celles-ci. More n’est surtout pas des exigences génériques cochés dans un référentiel

Mais,

👉 des mesures déclinées de ces exigences pour le système étudié… décrites sans ambiguïté.

Pourquoi ?

⚠️ Parce qu’un socle de sécuritéTraité dans l’atelier 1 de la méthode EBIOS Risk Manager, le socle de sécurité consiste à définir une première couche de mesures de sécurité issues de l’état de l’art et de la conformité obligatoire. La suite de l'analyse considère comme si ces mesures sont implémentées et se focalise sur les risques non couverts par celles-ci. More défini par des exigences génériques ne permet pas, lors de l’étude des risques"Possibilité qu’un événement redouté survienne et que ses effets impactent les missions de l’objet de l’étude." - Guide officiel de la méthode EBIOS Risk Manager - More, d’identifier finement les menaces non couvertes. ⚠️

Or, comme vu dans l’article précédent, cela est l’objet même de l’étude des risques"Possibilité qu’un événement redouté survienne et que ses effets impactent les missions de l’objet de l’étude." - Guide officiel de la méthode EBIOS Risk Manager - More dans EBIOS Risk Manager“EBIOS Risk Manager 1 (EBIOS RM) est la méthode d’appréciation et de traitement des risques numériques publiée par l’Agence nationale de la sécurité et des systèmes d’information (ANSSI) avec le soutien du Club EBIOS 2 . Elle propose une boite à outils adaptable, dont l’utilisation varie selon l’objectif du projet et est compatible avec les référentiels normatifs en vigueur, en matière de gestion des risques comme en matière de sécurité du numérique.” - Guide officie... More.

💡Pour identifier finement les menaces non couvertes par le socle de sécuritéTraité dans l’atelier 1 de la méthode EBIOS Risk Manager, le socle de sécurité consiste à définir une première couche de mesures de sécurité issues de l’état de l’art et de la conformité obligatoire. La suite de l'analyse considère comme si ces mesures sont implémentées et se focalise sur les risques non couverts par celles-ci. More, il est nécessaire de maîtriser celui-ci,
…d’identifier son apport concret en matière de sécurité,
…et de connaître ses limites et les techniques pour les exploiter 👈 c’est ce qui compose concrètement les chemins d’attaquesUn chemin d’attaque est un scénario, décrit de haut niveau, identifiant les points d’entrée, les relais de propagation et les vecteurs d’exploitation les plus pertinents, dans une logique de moindre effort. Un chemin d’attaque est constitué d’une succession d'événements intermédiaires causés par la source de risque et appliqués à des parties prenantes de l’écosystème et/ou au système cible en vue d'atteindre un objectif visé. More et les scénarios opérationnels.

Voyons cela dans un exemple concret :

J’utilise le guide d’hygiène comme référentiel pour mon socle de sécuritéTraité dans l’atelier 1 de la méthode EBIOS Risk Manager, le socle de sécurité consiste à définir une première couche de mesures de sécurité issues de l’état de l’art et de la conformité obligatoire. La suite de l'analyse considère comme si ces mesures sont implémentées et se focalise sur les risques non couverts par celles-ci. More.

Pour la règle “25 – Sécuriser les interconnexions réseau dédiées avec les partenaires”, je dois déterminer :

– son apport en matière de sécurité : 👉 à quel point la surface d’attaque depuis les partenaires est-elle couverte par cette règle ? 

– ses limites : 👉 quelles sont les possibilités d’intrusion persistantes ?

Il est alors indispensable de décliner cette règle pour le système, en identifiant :

1. les partenaires ayant une interconnexion avec le réseau

2. les règles de filtrage et les flux légitimes pour chaque interconnexion

3. l’éventuelle possibilité d’exploitation malveillante de chaque flux légitime (Ex. un flux ouvert depuis le partenaire X vers le serveur Exchange permettant d’exploiter la CVE 2021-26855 et de prendre son contrôle)

De cette même manière, le document téléchargeable ci-dessous 👇 fournit un guide pour : 

• 👉 décliner les règles du Guide d’Hygiène Informatique
• 👉 identifier les limites et les menaces non couvertes associées à chaque règle. 

Ce document sera enrichi progressivement pour couvrir les autres sections du guide et sera mise à jour dans cet article.

Pensez à le télécharger dès maintenant et à vous en servir pour vos socles de sécurité… et aussi pour vos audits.

---

✅ “EBIOS-RM dans la pratique” est une série qui a pour objectif de partager une longue expérience terrain avec la méthode EBIOS (2010 et Risk Manager)

✅ Un résumé de la méthode EBIOS Risk Manager est disponible dans cet article.

✅  L’intégralité des articles de la série est disponible par 👉 ici

✅ Si souhaitez vous former à EBIOS RM“EBIOS Risk Manager 1 (EBIOS RM) est la méthode d’appréciation et de traitement des risques numériques publiée par l’Agence nationale de la sécurité et des systèmes d’information (ANSSI) avec le soutien du Club EBIOS 2 . Elle propose une boite à outils adaptable, dont l’utilisation varie selon l’objectif du projet et est compatible avec les référentiels normatifs en vigueur, en matière de gestion des risques comme en matière de sécurité du numérique.” - Guide officie... More, nous proposons une formation pour apprendre la méthode par la pratique, 👉 Cliquer ici pour en savoir plus. Formation Certifiante éligible aux financements publics CPF, OPCO.