Académique Documents
Professionnel Documents
Culture Documents
Février 2019
EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber
►Avant-propos
La publication de la méthode EBIOS Risk Manager par l’ANSSI constitue une avancée majeure en matière de management du
risque cyber. En effet, cette nouvelle mouture, se voulant plus pertinente et plus agile, reflète à la fois une certaine maturité du
domaine et une réelle attente des praticiens et décideurs, aussi bien en termes de modélisation de l’écosystème et de la
menace que de partage des concepts et de vision.
Pour autant, bien que déléguant le management des risques numériques « usuels » à la conformité [au socle de sécurité],
force est de constater que la maîtrise de ces derniers n’est pas toujours au rendez-vous et que le cadre de référence applicable
reste dans certain cas à préciser selon le contexte et le périmètre d’étude.
A ce titre, une appropriation de la méthode par les praticiens s’avère indispensable, quitte à apporter des clés de lecture
adaptées, certaines étant proposées ici, tandis que certaines initiatives (label produit pour l’outillage, bases de connaissance,
référentiel de formation, …) portées par la communauté d’acteurs du management du risque numérique contribueront à enrichir
la méthode par la pratique.
Février 2019 p2
EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber
Février 2019 p3
EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber
L’héritage EBIOS® (Expression des Besoins et Identification des Objectifs de Sécurité)
EBIOS constitue plus que jamais LA méthode française de référence d’appréciation et de traitement de risques
liés au numérique, et désormais plus spécifiquement le risque « cyber », sous toutes ses formes.
La création de la méthode remonte à 1995 sous l’égide de la DCSSI (rattachée alors au SGDN), devenue par la suite
l’ANSSI (rattachée au SGDSN). Une première actualisation a été opérée en 2004, puis une évolution en 2010,
déjà en collaboration communautaire avec le Club EBIOS.
1 1
2 3 2 3
4 4
5 5
Scénarios
stratégiques
Cadrage et Sources Traitement
socle de sécurité de risque du risque
Scénarios
opérationnels
EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber
Une démarche méthodologique modulaire pour des cas d’usage multiples
Cas d’usage
EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber
Adhérence de la méthode EBIOS Risk Manager avec la norme ISO 31000
ISO 31000:2018
(processus de management du risque)
(cadre organisationnel)
EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber
Méthodologie détaillée
EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber
Modélisation d’un scénario de cyberattaque par décomposition analytique selon le point de vue attaque/défense
Vision stratégique
de la cyberattaque
orientée opportunité
Vision stratégique
de la cyberdéfense
orientée risque
Vision opérationnelle
de la cyber-attaque et de la cyberdéfense
orientée moindre effort
EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber
Février 2019 p 11
EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber
Pyramide du management du risque numérique visant à définir le « socle de sécurité »
EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber
Identification des couples sources de risques (SR) / objectifs visés (OV) les plus pertinents
EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber
Cartographie des parties prenantes critiques (PPC)
EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber
Sélection des mesures de sécurité stratégiques
EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber
Détermination des chemins d’attaques stratégiques les plus pertinents
EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber
Elaboration des scénarios opérationnels
(AE)
arbre/séquences d’attaque (« cyber kill chain »)
EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber
Elaboration des scénarios opérationnels
EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber
Modèle et thématiques de mesures de sécurité opérationnelles (réduction du risque)
Modèle de cyberdéfense
en profondeur
Protection
Résilience
Gouvernance
& anticipation
Défense
Facteurs de risques
et leviers d’action
EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber
Synthèse des scénarios de risques et sélection des mesures de sécurité opérationnelles
EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber
Février 2019 p 21
EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber
Modèle EBIOS Risk Manager « raffiné » pour une approche graduée
du management du risque numérique
Niveau de cybermenace potentiel > Risque cyber Niveau de cyberprotection requis
[capacité, ciblage, sophistication des cyberattaques] [fonction de la sensibilité SSI pondérée par l’exposition cyber]
Veille cybermenace :
cryptomalware / ransomware, cryptomining
botnets, watering hole, fileless malware,
Avancé
Avancé
par « conformité »
au « socle de sécurité » ISO/IEC 27001, ISO/IEC 29100,
Elaboré
Approche ciblée,
par modélisation de la cybermenace
via des « chemins d’attaque sophistiqués »
pertinents
EBIOS 2010
(en mode simplifié)
I - Sensibiliser et former
V - Sécuriser le réseau
VI - Sécuriser l’administration
Ressources humaines
Sécurité physique
Architecture des SI
Exploitation des SI
Continuité d’activité
Modèle de cyberdéfense
en profondeur
Protection
Résilience
Gouvernance
& anticipation
Défense
ISO 9001
ISO 9004
ISO 45001 ISO 26000
ISO 14001
QSE / RSE
ISO 223xx
ISO 304xx
Continuité
RH
d’activité
ISO 31000
Protection ISO Guide 73
Disponibilité Intégrité Confidentialité Traçabilité
des données
personnelles Gouvernance
du SI ISO/IEC 38500
ISO/IEC 291xx ISO/IEC 20000-xx
Management de la sécurité de l’information
Gouvernance (sécurité numérique organisationnelle)
des données Management de la cybersécurité
ISO 8000-xxx (sûreté numérique face à la cybercriminalité et au risque cyber)
ISO/IEC 38505-1
ISO/IEC 291xx
EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber
Structure et thématiques de la norme ISO/IEC 27001:2013 - Annexe A (SMSI/DdA**)
ou ISO/IEC 27002:2013 (code de bonne pratique) et ses « ISO-topes » sectoriels **
A5. Politiques de sécurité de l’information
A10. Cryptographie
A18. Conformité
Février 2019 p 30
EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber
Des supports pédagogiques (supplément fiches méthode, FAQ, études de cas, retours d’expérience, …)
et des bases de connaissance communautaires (catalogues d’objets) pour faire vivre la méthode
A venir :
Un référentiel pédagogique et un kit de formation destinées aux formations certifiantes EBIOS Risk Manager
pour accompagner et développer le réseau de praticiens de la méthode
EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber
Un label ANSSI pour les solutions digitales et collaboratives Cyber RM/GRC en support de la méthode
Source : https://www.ssi.gouv.fr/entreprise/management-du-risque/la-methode-ebios-risk-manager/label-ebios-risk-manager-des-outils-pour-faciliter-le-management-du-risque-numerique/
Dites, par rapport à mon dossier d’homologation, Eh bien figurez-vous que justement
c’est pas que je suis pressé, j’étais en train de le finaliser,
mais j’attends votre rapport d’analyse de risques Encore un peu de patience, plus qu’une ou deux
depuis bientôt 6 mois … itérations et je vous envoie cela sous Word.
* Dialogues revisités ici dans le cadre du droit à la parodie (article L 122-5 du Code de la Propriété Intellectuelle)
Février 2019 p 33
Cybersécurité
securite@conix.fr
www.conix.fr
Thierry PERTUS
Consultant senior
CISM, ISO/IEC 27001 LI, ISO/IEC 27005 RM, ISO 31000 RM
Keep control.
Powered by