Une pratique assez courante consiste à baser la décision d’acceptation de risques"Possibilité qu’un événement redouté survienne et que ses effets impactent les missions de l’objet de l’étude." - Guide officiel de la méthode EBIOS Risk Manager - More simplement sur une cotation abstraite des niveaux de gravité et de vraisemblance.

Si le risque"Possibilité qu’un événement redouté survienne et que ses effets impactent les missions de l’objet de l’étude." - Guide officiel de la méthode EBIOS Risk Manager - More est dans la zone verte de la matrice des risques"Possibilité qu’un événement redouté survienne et que ses effets impactent les missions de l’objet de l’étude." - Guide officiel de la méthode EBIOS Risk Manager - More il est accepté, s’il est en zone rouge il faudra le réduire.

Et même la réduction du risque"Possibilité qu’un événement redouté survienne et que ses effets impactent les missions de l’objet de l’étude." - Guide officiel de la méthode EBIOS Risk Manager - More est parfois calculée au travers d’une formule mathématique sur la base de « quote part » attribuée à des mesures de sécurité. Si la mesure X est appliqué le risque"Possibilité qu’un événement redouté survienne et que ses effets impactent les missions de l’objet de l’étude." - Guide officiel de la méthode EBIOS Risk Manager - More est réduit de 30%, si la mesure Y est appliqué, le risque"Possibilité qu’un événement redouté survienne et que ses effets impactent les missions de l’objet de l’étude." - Guide officiel de la méthode EBIOS Risk Manager - More est baissé de 50%.

Et ces poids et quote part sont généralement définis par défaut de manière générique, sans contextualisation pour le système en question.

Cette approche présente deux problèmes majeurs :

Premièrement les risques"Possibilité qu’un événement redouté survienne et que ses effets impactent les missions de l’objet de l’étude." - Guide officiel de la méthode EBIOS Risk Manager - More,leur traitement et les risques"Possibilité qu’un événement redouté survienne et que ses effets impactent les missions de l’objet de l’étude." - Guide officiel de la méthode EBIOS Risk Manager - More résiduels ne sont pas réellement compris par les décideurs et les acteurs clés. Par ce que Ces risques"Possibilité qu’un événement redouté survienne et que ses effets impactent les missions de l’objet de l’étude." - Guide officiel de la méthode EBIOS Risk Manager - More sont manipulés sur la base d’indicateurs abstrait et non sur la base d’éléments factuels

Deuxièmement, cela encourage la réduction artificielle des risques"Possibilité qu’un événement redouté survienne et que ses effets impactent les missions de l’objet de l’étude." - Guide officiel de la méthode EBIOS Risk Manager - More en adaptant les critères et les calculs mathématiques

Et tout cela peut mener à une fausse assurance, loin de la réalité du terrain.

Je ne suis pas contre l’utilisation d’échelle de classification ou de règle de calcul, mais cela doit servir uniquement à donner un premier aperçu de l’état des risques"Possibilité qu’un événement redouté survienne et que ses effets impactent les missions de l’objet de l’étude." - Guide officiel de la méthode EBIOS Risk Manager - More, et non à prendre une décision de traitement ou d’acceptation.

Cette décision doit être basée sur une vraie compréhension des scénarios de risques"Possibilité qu’un événement redouté survienne et que ses effets impactent les missions de l’objet de l’étude." - Guide officiel de la méthode EBIOS Risk Manager - More, une vraie compréhension de ce qui peut se passer, du comment il peut se passer et des dégâts potentiels.

Maintenant, comment assurer cette bonne compréhension du risque"Possibilité qu’un événement redouté survienne et que ses effets impactent les missions de l’objet de l’étude." - Guide officiel de la méthode EBIOS Risk Manager - More par les acteurs clés ?

Cela passe d’abord par l’élaboration de scénario de risque"Possibilité qu’un événement redouté survienne et que ses effets impactent les missions de l’objet de l’étude." - Guide officiel de la méthode EBIOS Risk Manager - More qui sont parlant… et surtout pas décrit par un texte générique pioché dans une base de connaissance

Chaque scénario doit être décrit… de bout en bout… en précisant le séquencement des évènement et des actions … depuis le point de départ de l’attaquant (si risque"Possibilité qu’un événement redouté survienne et que ses effets impactent les missions de l’objet de l’étude." - Guide officiel de la méthode EBIOS Risk Manager - More de malveillance) vers la cible d’attaque, … et en expliquant dans un langage métier les impacts que cela peut avoir pour l’organisation.

Il faut aussi un enchaînement logique dans le séquencement des événements et des actions…Chaque action doit remplir les conditions de réalisation de l’action suivante.

Par exemple, si dans un scénario, on a une action d’exploitation à distance d’une vulnérabilité, cette action doit être précédée par une étape qui donne un accès réseau à la machine en question.

Ensuite, quand on présente une mesure de réduction du risque"Possibilité qu’un événement redouté survienne et que ses effets impactent les missions de l’objet de l’étude." - Guide officiel de la méthode EBIOS Risk Manager - More, il faut décrire de manière factuelle comment cette mesure permet de réduire le risque"Possibilité qu’un événement redouté survienne et que ses effets impactent les missions de l’objet de l’étude." - Guide officiel de la méthode EBIOS Risk Manager - More, et indiquer particulièrement sur quelle étape du scénario elle va agir.

Par contre je tiens à préciser que quand je dis séquencement d’action, je ne veux pas dire forcément des techniques d’attaque décrites avec tous les détails opérationnels. Il faut plutôt mettre le juste nécessaire pour comprendre le risque"Possibilité qu’un événement redouté survienne et que ses effets impactent les missions de l’objet de l’étude." - Guide officiel de la méthode EBIOS Risk Manager - More et émettre une décision en toute connaissance de cause. Ce niveau de détails nécessaire fera l’objet d’une autre pensée cyber.