L’article précédent de cette série, précise que :

Le socle de sécuritéTraité dans l’atelier 1 de la méthode EBIOS Risk Manager, le socle de sécurité consiste à définir une première couche de mesures de sécurité issues de l’état de l’art et de la conformité obligatoire. La suite de l'analyse considère comme si ces mesures sont implémentées et se focalise sur les risques non couverts par celles-ci. More n’est pas :

⛔ des exigences génériques cochés dans un référentiel

Mais,

👉 des mesures déclinées de ces exigences pour le système étudié … décrites sans ambiguïté.

Cet article présente un mode opératoire pour la définition de ce socle, particulièrement pour :

1. la déclinaison des exigences dans le cas du Guide d’Hygiène Informatique ;
2. et l’identification des menaces persistantes qu’il convient de considérer dans l’étude des risques"Possibilité qu’un événement redouté survienne et que ses effets impactent les missions de l’objet de l’étude." - Guide officiel de la méthode EBIOS Risk Manager - More.

Ce mode opératoire s’appuie sur le document ci-dessous :

Ce document est un outils qui vous aide à constituer votre socle de sécuritéTraité dans l’atelier 1 de la méthode EBIOS Risk Manager, le socle de sécurité consiste à définir une première couche de mesures de sécurité issues de l’état de l’art et de la conformité obligatoire. La suite de l'analyse considère comme si ces mesures sont implémentées et se focalise sur les risques non couverts par celles-ci. More à partir du Guide d’Hygiène Informatique de manière correcte et rigoureuse. Le document fournit, en particulier, pour chaque section du guide d’Hygiène :

• des instructions pour identifier les éléments du système étudié auxquels s’applique chaque règle de sécurité ;
• des points de contrôle extraits du descriptif de chaque règle,
• des points de vigilance à prendre en compte,
• et liste les menaces qu’il convient de considérer dans l’étude des risques"Possibilité qu’un événement redouté survienne et que ses effets impactent les missions de l’objet de l’étude." - Guide officiel de la méthode EBIOS Risk Manager - More, selon l’état de mise en œuvre de chaque règle.

Le document est à utiliser tout au long des étapes du mode opératoire.

Mode opératoire

Le mode opératoire se compose des étapes illustrées et détaillées ci-dessous :

1 – Acquérir une maîtrise globale du système d’information

Pour ce faire, il convient de :

• suivre l’approche présentée dans l’article N°3 de la série ;
• dérouler le questionnaire de maîtrise (téléchargeable par 👉 ici), qui sert comme liste de course dans la quête de cette maîtrise.

2 –  Auditer le système d’information par rapport au Guide d’Hygiène Informatique

Pour chaque section du Guide d’Hygiène Informatique :

• Identifier et comprendre les éléments du système auxquels s’appliquent les règles de sécurité.
  Il convient pour ce faire de dérouler le questionnaire de la section « préparation« du document ci-dessus ;
• Dérouler les points de contrôles disponibles dans la fiche de chaque règle ;
• Porter une attention particulière aux points de vigilance indiqués dans la fiche de chaque règle.

3 – Définir le socle de sécuritéTraité dans l’atelier 1 de la méthode EBIOS Risk Manager, le socle de sécurité consiste à définir une première couche de mesures de sécurité issues de l’état de l’art et de la conformité obligatoire. La suite de l'analyse considère comme si ces mesures sont implémentées et se focalise sur les risques non couverts par celles-ci. More

Le socle de sécuritéTraité dans l’atelier 1 de la méthode EBIOS Risk Manager, le socle de sécurité consiste à définir une première couche de mesures de sécurité issues de l’état de l’art et de la conformité obligatoire. La suite de l'analyse considère comme si ces mesures sont implémentées et se focalise sur les risques non couverts par celles-ci. More se constitue des :

• mesures de sécurité existantes identifiées par l’audit ;
• mesures retenues, issues des recommandations de l’audit.

4 –  Déduire les menaces persistantes

Dans l’atelier 4 de la méthode (Scénarios Opérationnelles), considérer les menaces indiquées dans la fiche de chaque règle ; comme actions élémentaires.

Pour chaque menace, la fiche indique les conditions dans lesquelles elle doit être considérée, en fonction de :

• l’environnement du système d’information,
• l’état actuel de mise en oeuvre de la règle,
• et les recommandations retenues à l’issue de l’audit.

Note

la version actuelle 0.3 du document comprend les trois sections “III”, “V” et “VI” du guide d’Hygiène

Le document sera complété progressivement pour couvrir les autres sections et sera mise à jour dans cet article.

Pensez à le télécharger et à vous en servir pour vos socles de sécurité… et aussi pour vos audits.

---

✅ “EBIOS-RM dans la pratique” est une série qui a pour objectif de partager une longue expérience terrain avec la méthode EBIOS (2010 et Risk Manager)

✅ Un résumé de la méthode EBIOS Risk Manager est disponible dans cet article.

✅  L’intégralité des articles de la série est disponible par 👉 ici

✅ Si souhaitez vous former à EBIOS RM“EBIOS Risk Manager 1 (EBIOS RM) est la méthode d’appréciation et de traitement des risques numériques publiée par l’Agence nationale de la sécurité et des systèmes d’information (ANSSI) avec le soutien du Club EBIOS 2 . Elle propose une boite à outils adaptable, dont l’utilisation varie selon l’objectif du projet et est compatible avec les référentiels normatifs en vigueur, en matière de gestion des risques comme en matière de sécurité du numérique.” - Guide officie... More, nous proposons une formation pour apprendre la méthode par la pratique, 👉 Cliquer ici pour en savoir plus. Formation Certifiante éligible aux financements publics CPF, OPCO.