Conix Ebiosriskmanager 190211005916

EBIOS Risk Manager :
Vers une approche « raffinée » du risque cyber

Thierry PERTUS
Février 2019
EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber
►Avant-propos
La publication de la méthode EBIOS Risk Manager par l’ANSSI constitue une avancée majeure en matière de management du
risque cyber. En effet, cette nouvelle mouture, se voulant plus pertinente et plus agile, reflète à la fois une certaine maturité du
domaine et une réelle attente des praticiens et décideurs, aussi bien en termes de modélisation de l’écosystème et de la
menace que de partage des concepts et de vision.
Pour autant, bien que déléguant le management des risques numériques « usuels » à la conformité [au socle de sécurité],
force est de constater que la maîtrise de ces derniers n’est pas toujours au rendez-vous et que le cadre de référence applicable
reste dans certain cas à préciser selon le contexte et le périmètre d’étude.
A ce titre, une appropriation de la méthode par les praticiens s’avère indispensable, quitte à apporter des clés de lecture
adaptées, certaines étant proposées ici, tandis que certaines initiatives (label produit pour l’outillage, bases de connaissance,
référentiel de formation, …) portées par la communauté d’acteurs du management du risque numérique contribueront à enrichir
la méthode par la pratique.
Février 2019 p2
EBIOS Risk Manager : l’émergence d’un nouveau paradigme
Février 2019 p3
L’héritage EBIOS® (Expression des Besoins et Identification des Objectifs de Sécurité)
EBIOS constitue plus que jamais LA méthode française de référence d’appréciation et de traitement de risques
liés au numérique, et désormais plus spécifiquement le risque « cyber », sous toutes ses formes.
La création de la méthode remonte à 1995 sous l’égide de la DCSSI (rattachée alors au SGDN), devenue par la suite
l’ANSSI (rattachée au SGDSN). Une première actualisation a été opérée en 2004, puis une évolution en 2010,
déjà en collaboration communautaire avec le Club EBIOS.
EBIOS v2 (2004) EBIOS v3 (2010)

DCSSI (démarche générale en 5 étapes) ANSSI (démarche générale en 5 modules)
1 1
2 3 2 3
4 4
5 5
Compatibilité avec le cadre normatif ISO/IEC 27005,

lui-même aligné sur l’ISO 31000
EBIOS « nouvelle génération » pour franchir un nouveau palier de maturité
10 octobre 2018 : l’ANSSI publie EBIOS Risk Manager,

une méthode repensée pour l’analyse agile du risque cyber
Aux Assises de la sécurité, lors de son discours inaugural placé sous le signe de « l’anticipation collective »,
Guillaume Poupard, le directeur général de l'ANSSI, a insisté sur la généralisation de l'analyse de risque numérique
au sein des entreprises.
« Cette méthode se veut accessible

et évite les écueils du tout analyser
et tout réinventer »
« Les analyses de risques

doivent se faire avec des experts,
@club_ebios
mais aussi avec les décideurs et les métiers »
« Miser sur la collaboration

pour rendre la cybersécurité plus attrayante »
« Le fruit d’un travail de deux années conduit par l’ANSSI et le Club EBIOS [avec contribution du CLUSIF] »
https://www.ssi.gouv.fr/administration/management-du-risque/la-methode-ebios-risk-manager/ #EBIOSRM
Une démarche collaborative (pédagogique, inclusive) et agile (pragmatique, itérative) en 5 ateliers
Scénarios
stratégiques
Cadrage et Sources Traitement
socle de sécurité de risque du risque
Scénarios
opérationnels
Une démarche méthodologique modulaire pour des cas d’usage multiples
Cas d’usage
Adhérence de la méthode EBIOS Risk Manager avec la norme ISO 31000
ISO 31000:2018
(processus de management du risque)
EBIOS Risk Manager

(démarche itérative en 5 ateliers)
(cadre organisationnel)
Méthodologie détaillée
Modélisation d’un scénario de cyberattaque par décomposition analytique selon le point de vue attaque/défense
Vision stratégique
de la cyberattaque
orientée opportunité
Vision stratégique
de la cyberdéfense
orientée risque
Vision opérationnelle
de la cyber-attaque et de la cyberdéfense
orientée moindre effort
EBIOS Risk Manager :

des concepts novateurs et une modélisation plus visuelle
Février 2019 p 11
Pyramide du management du risque numérique visant à définir le « socle de sécurité »
Identification des couples sources de risques (SR) / objectifs visés (OV) les plus pertinents
Cartographie des parties prenantes critiques (PPC)
Sélection des mesures de sécurité stratégiques
Détermination des chemins d’attaques stratégiques les plus pertinents
Elaboration des scénarios opérationnels
(AE)
arbre/séquences d’attaque (« cyber kill chain »)
Elaboration des scénarios opérationnels
Modèle et thématiques de mesures de sécurité opérationnelles (réduction du risque)
Modèle de cyberdéfense
en profondeur
Protection
Résilience
Gouvernance
& anticipation
Défense
Facteur Facteur Facteur

organisationnel humain technologique
Facteurs de risques
et leviers d’action
Synthèse des scénarios de risques et sélection des mesures de sécurité opérationnelles
Quel cadre de référence

en guise de socle de sécurité ?
Février 2019 p 21
Modèle EBIOS Risk Manager « raffiné » pour une approche graduée
du management du risque numérique
Niveau de cybermenace potentiel > Risque cyber Niveau de cyberprotection requis
[capacité, ciblage, sophistication des cyberattaques] [fonction de la sensibilité SSI pondérée par l’exposition cyber]
Veille cybermenace :
cryptomalware / ransomware, cryptomining
botnets, watering hole, fileless malware,
Avancé
Avancé
spear phishing, scam, fake apps, …
Analyse fine Guides techniques spécialisés :

du risque cyber Approche ciblée, ANSSI, CNIL (PIA/AIPD), ENISA, CIS, NIST,
par « scénarios » OWASP, CSA, …
Approche à large spectre, Cadre normatif

(normes / labels / standards) :
Risques accidentels et environnementaux
par « conformité »
au « socle de sécurité » ISO/IEC 27001, ISO/IEC 29100,
Elaboré
ISO/IEC 15408, IEC 62443,

Application avec discernement
PSCo/PASSI/PDIS/PRIS, PCI-DSS, …
du cadre légal et réglementaire,
voire normatif
Cadre règlementaire
(textes UE / nationaux / extraterritoriaux) :
LPM, NIS, GDPR, LIL, eIDAS, RGS, RGI, PSSI-E,
II901, IGI1300, HDS, SoX, ISAE-3402, …
Ordinaire
Application ad hoc Standards de bonnes pratiques :

des règles élémentaires Guide ANSSI « Hygiène informatique » (niv. std.)
et recours aux standards Guide CNIL « sécurité des données personnelles »
de bonnes pratiques
Sources de risque Appréciation du risque Traitement du risque

numérique numérique numérique
Adhérence normative avec l’ISO 31000:2018
Démarche hybride EBIOS Risk Manager / EBISO 2010 pour une approche différentiée puis consolidée
du management du risque cyber / risques numériques usuels
Niveau de cybermenace potentiel > Risque cyber
[capacité, ciblage, sophistication des cyberattaques]
Avancé
Avancé
Approche ciblée,
par modélisation de la cybermenace
via des « chemins d’attaque sophistiqués »
pertinents
Approche à large spectre,

Risques accidentels et environnementaux
par priorisation des mesures de sécurité

issues du « socle de sécurité »
Elaboré
au regard des « risques usuels »

Ordinaire
EBIOS 2010
(en mode simplifié)
Sources de risque Appréciation du risque Traitement du risque

numérique numérique numérique
Adhérence normative avec l’ISO 31000:2018
Structure et thématiques du guide d’hygiène informatique (ANSSI)
I - Sensibiliser et former
II - Connaitre le système d’information
III - Authentifier et contrôler les accès
IV - Sécuriser les postes
V - Sécuriser le réseau
VI - Sécuriser l’administration
VII - gérer le nomadisme
VIII - Maintenir à jour le système d’information
IX - Superviser, auditer, réagir
X - Pour aller plus loin

Structure et thématiques de la PSSI de l’Etat
Politique, Organisation, Gouvernance
Ressources humaines
Gestion des biens
Intégration de la SSI dans le cycle de vie

des systèmes d’information
Sécurité physique
Sécurité des réseaux
Architecture des SI
Exploitation des SI
Sécurité du poste de travail
Sécurité du développement des systèmes
Traitement des incidents
Continuité d’activité
Conformité, audit, inspection, contrôle
Domaine d’application : Sécurité des SI des administrations de l’Etat

Structure et thématiques de Arrêté « transposition NIS » du 14/09/2018 (règles de sécurité)
Modèle de cyberdéfense
en profondeur
Protection
Résilience
Gouvernance
& anticipation
Défense
Domaine d’application : Cyber-résilience des infrastructures et services essentiels (SIE)

Structure et thématiques du standard CIS Controls v7
Domaine d’application de la SSI global et intégré au sein d’un écosystème normatif ISO
ISO 9001
ISO 9004
ISO 45001 ISO 26000
ISO 14001
QSE / RSE
ISO 223xx
ISO 304xx
Continuité
RH
d’activité
Sécurité Cyber Sécurité des systèmes d’information

de l’information SSI -sécurité Sensibilité SSI = Max (D,I,C,T)
ISO 19600 ISO/IEC 27xxx ISO/IEC 27032
D I C T
Conformité Audit &
Risques
ISO 31000
Protection ISO Guide 73
Disponibilité Intégrité Confidentialité Traçabilité
des données
personnelles Gouvernance
du SI ISO/IEC 38500
ISO/IEC 291xx ISO/IEC 20000-xx
Management de la sécurité de l’information
Gouvernance (sécurité numérique organisationnelle)
des données Management de la cybersécurité
ISO 8000-xxx (sûreté numérique face à la cybercriminalité et au risque cyber)
ISO/IEC 38505-1
ISO/IEC 291xx
Structure et thématiques de la norme ISO/IEC 27001:2013 - Annexe A (SMSI/DdA**)
ou ISO/IEC 27002:2013 (code de bonne pratique) et ses « ISO-topes » sectoriels **
A5. Politiques de sécurité de l’information
A6. Organisation de la sécurité de l’information
A7. Sécurité des ressources humaines
A8. Gestion des actifs
A9. Contrôle d’accès
A10. Cryptographie
A11. Sécurité physique et environnementale
A12. Sécurité liée à l’exploitation
A13. Sécurité des communications
A14. Acquisition, développement et maintenance

des systèmes d’information
A15. Relations avec les fournisseurs
A16. Gestion des incidents liés à la sécurité de l’information
A17. Continuité de la sécurité de l’information
A18. Conformité
* Système de Management de la Sécurité de l’Information / Déclaration d’Applicabilité (SoA)

** ISO/IEC 27011 (Télécoms), 27017 (Cloud Security), 27018 (Privacy Security),
27019 (Energy Utility Industry IS),27799 (Healthcare IS), …
Pour aller plus loin …
Février 2019 p 30
Des supports pédagogiques (supplément fiches méthode, FAQ, études de cas, retours d’expérience, …)
et des bases de connaissance communautaires (catalogues d’objets) pour faire vivre la méthode
A venir :
Un référentiel pédagogique et un kit de formation destinées aux formations certifiantes EBIOS Risk Manager
pour accompagner et développer le réseau de praticiens de la méthode
Un label ANSSI pour les solutions digitales et collaboratives Cyber RM/GRC en support de la méthode
Source : https://www.ssi.gouv.fr/entreprise/management-du-risque/la-methode-ebios-risk-manager/label-ebios-risk-manager-des-outils-pour-faciliter-le-management-du-risque-numerique/
2 plateformes phares en cours de développement parmi les solutions candidates au label :

Dites, par rapport à mon dossier d’homologation, Eh bien figurez-vous que justement
c’est pas que je suis pressé, j’étais en train de le finaliser,
mais j’attends votre rapport d’analyse de risques Encore un peu de patience, plus qu’une ou deux
depuis bientôt 6 mois … itérations et je vous envoie cela sous Word.
Source* : Zootopia (Disney)
* Dialogues revisités ici dans le cadre du droit à la parodie (article L 122-5 du Code de la Propriété Intellectuelle)
Février 2019 p 33
Cybersécurité
securite@conix.fr
www.conix.fr
Thierry PERTUS
Consultant senior
CISM, ISO/IEC 27001 LI, ISO/IEC 27005 RM, ISO 31000 RM
Keep control.
Powered by

Conix Ebiosriskmanager 190211005916

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Conix Ebiosriskmanager 190211005916

Transféré par

Droits d'auteur :

Formats disponibles

EBIOS Risk Manager :

Vers une approche « raffinée » du risque cyber

EBIOS Risk Manager : l’émergence d’un nouveau paradigme

EBIOS v2 (2004) EBIOS v3 (2010)

Compatibilité avec le cadre normatif ISO/IEC 27005,

10 octobre 2018 : l’ANSSI publie EBIOS Risk Manager,

« Cette méthode se veut accessible

« Les analyses de risques

« Miser sur la collaboration

EBIOS Risk Manager

EBIOS Risk Manager :

Facteur Facteur Facteur

Quel cadre de référence

spear phishing, scam, fake apps, …

Analyse fine Guides techniques spécialisés :

Approche à large spectre, Cadre normatif

ISO/IEC 15408, IEC 62443,

Application ad hoc Standards de bonnes pratiques :

Sources de risque Appréciation du risque Traitement du risque

Approche à large spectre,

par priorisation des mesures de sécurité

au regard des « risques usuels »

Sources de risque Appréciation du risque Traitement du risque

II - Connaitre le système d’information

III - Authentifier et contrôler les accès

IV - Sécuriser les postes

VII - gérer le nomadisme

VIII - Maintenir à jour le système d’information

IX - Superviser, auditer, réagir

X - Pour aller plus loin

Politique, Organisation, Gouvernance

Gestion des biens

Intégration de la SSI dans le cycle de vie

Sécurité des réseaux

Sécurité du poste de travail

Sécurité du développement des systèmes

Traitement des incidents

Conformité, audit, inspection, contrôle

Domaine d’application : Sécurité des SI des administrations de l’Etat

Domaine d’application : Cyber-résilience des infrastructures et services essentiels (SIE)

Sécurité Cyber Sécurité des systèmes d’information

A6. Organisation de la sécurité de l’information

A7. Sécurité des ressources humaines

A8. Gestion des actifs

A9. Contrôle d’accès

A11. Sécurité physique et environnementale

A12. Sécurité liée à l’exploitation

A13. Sécurité des communications

A14. Acquisition, développement et maintenance

A15. Relations avec les fournisseurs

A16. Gestion des incidents liés à la sécurité de l’information

A17. Continuité de la sécurité de l’information

* Système de Management de la Sécurité de l’Information / Déclaration d’Applicabilité (SoA)

Pour aller plus loin …

2 plateformes phares en cours de développement parmi les solutions candidates au label :

Source* : Zootopia (Disney)

Vous aimerez peut-être aussi