Académique Documents
Professionnel Documents
Culture Documents
de la méthode EBIOS RM :
Introduction 5
Demande de démo 75
L’analyse de risques est aujourd’hui une démarche indispensable et fait partie des
outils les plus importants à la disposition des RSSI. La méthode EBIOS, au fil des
années, a su évoluer et s’adapter à la réalité des systèmes SI et la complexité de
la menace cyber. Sa dernière mouture, EBIOS Risk Manager, propose plus que
jamais une démarche pragmatique, efficace, centrée sur la représentativité, les
métiers et l’écosystème.
Les cas d’usage de la méthode EBIOS RM sont plutôt rares et nous espérons vous
apporter une approche pertinente de la méthode EBIOS RM via notre solution Agile
Risk Manager labellisée EBIOS RM par l’ANSSI depuis 2019.
Très cordialement.
L’équipe ALL4TEC
CADRE RÈGLEMENTAIRE
ET NORMATIF
Approche par
« conformité »
LARGE SPECTRE
SIMPLE
ÉCOSYSTÈME
ATELIER 3
SCÉNARIOS
STRATÉGIQUES
ATELIER 1 ATELIER 2 ATELIER 5
CADRAGE ET SOCLE SOURCES DE TRAITEMENT
DE SÉCURITÉ RISQUE DU RISQUE
ATELIER 4
SCÉNARIOS
OPÉRATIONNELS
SYSTÈME
CYCLE OPÉRATIONNEL
CYCLE STRATÉGIQUE
Le centre d'imagerie est une unité médicale qui réalise au profit des patients les
examens radiologiques suivants : IRM, scanner, échographie et radio.
Notre but est de réaliser une analyse EBIOS RM complète. De ce fait, nous allons
réaliser les 5 ateliers de la méthode. Il est cependant à noter qu’il n’est pas
obligatoire de réaliser ces 5 ateliers, et que ceux-ci peuvent être réalisés
indépendamment, en fonction des objectifs de d’analyse.
Introduction 5 / 75
Atelier 1
Cadrage & socle
de sécurité
Les objectifs de l’atelier
Le but de ce premier atelier est de définir le cadre de l’étude, son périmètre métier
et technique, les événements redoutés associés et le socle de sécurité. Cet atelier
est un prérequis à la réalisation d’une appréciation des risques.
Rôles et responsabilités
Cadre temporel
Pour initier ce premier atelier, nous allons commencer par exposer l’objet et les
attendus. Il s’agira de définir les objectifs de l’étude.
Nous identifierons également tous les participants aux différents ateliers, leurs
rôles et responsabilités.
Dans un second temps, nous allons recenser les missions, valeurs métiers et biens
supports relatifs à l’objet de notre étude.
Dénomination
Dossiers patients
de la valeur Échographie Gestion des patients
informatisés
métier
Nature de la
Processus Processus Information
valeur métier
Activité quotidienne
consistant à réaliser : Activité consistant à
Activité à réaliser : assurer :
Les échographies
Les documents de prise La sécurité d'accès des
quotidiennes des patients
en charge et données patients
d'intervention patients
Contrôles de la qualité des
Description L'intégrité des données
clichés médicaux
Enregistrer et mettre à patients
jour les infos patients
Renseigner des documents
médico-administratifs La disponibilité des
Organiser le flux données patients
administratif
Imprimer / rendre les
résultat des clichés
Entité ou
Chef du service des Chef du Service Directeur des systèmes
personne
échographies administratif informatiques
responsable
Dénomination
du/des biens Terminal Base de données
Échographe Canal informatique Site physique
supports utilisateur patients
associés
Systèmes
informatiques
Matériel essentiel Système informatique Locaux et
permettant de
Description pour mener à bien Ordinateurs régulant les information installations
stocker des
une échographie d'un service à un autre physiques
informations
sensibles
Dans Agile Risk Manager, voici ce que l’on obtient en faisant cette synthèse. Vous
pouvez associer autant d’éléments que vous le souhaitez. Ce n’est ni plus ni moins
qu’un tableau associatif sur lequel nous avons greffé notre périmètre métier.
Pour arriver à ce résultat dans l’application, rien de plus simple. Nous allons
simplement segmenter notre périmètre métier en créant des bases de
connaissances indépendantes dans un premier temps.
Dans EBIOS RM, les événements redoutés sont associés aux valeurs métiers et
traduisent une atteinte préjudiciable pour l’organisation. Le degré de préjudice ou
d’impact est évalué selon une échelle de gravité permettant la hiérarchisation des
événements redoutés.
Notre cadre et périmètre d’étude défini, nous allons nous attaquer à la définition
de ces événements redoutés. In fine, nous retrouverons ces événements lors de
la réalisation des scénarios stratégiques dans l’atelier 3.
Pour nous aider dans cette étape, nous allons mener des recherches sur les
valeurs métier selon plusieurs critères :
En fonction de ces 5 critères, nous allons imaginer des événements redoutés pour
chaque valeur métier.
C’est une liste de mesures de sécurité adapté au domaine pour lesquelles elles
sont destinées. Celles-ci peuvent être internes à l’organisation ou externes si nous
prenons des référentiels « publiques » tels que le guide d’hygiène de l’ANSSI.
Les sources de risque et les objectifs visés sont ensuite caractérisés et évalués en
vue de retenir les plus pertinents. Ils seront utiles à la construction des scénarios
des ateliers 3 et 4.
Tout le périmètre métier est défini, il est maintenant temps de rentrer dans le vif
du sujet : l’évaluation des sources de risque. Pour ce faire, nous allons lister les
sources de risque ainsi que leurs objectifs visés.
Le profil de l’attaquant
Indisponibilité de la plate-forme de
prise de rendez-vous.
L’objectif sera d’identifier les sources de risque et objectifs visés les plus
pertinents. Nous allons utiliser 3 métriques de caractérisation pour apporter une
aide « mathématique » à notre évaluation.
Niveau 1 = +
Niveau 2 = ++
Niveau 3 = +++
1ère matrice
En ordonnée : niveau de ressources
2ème matrice
C’est cette 2ème matrice qui nous donnera le niveau de pertinence final d’un
couple « source de risques / objectif visé ».
x
Exemple : 2ème matrice (finale)
*Les valeurs utilisées dans cet exemple sont arbitraires.
Cette 2ème matrice indique un niveau de pertinence élevée (zone rouge = 3). C’est
donc cette valeur qui indiquera le niveau de pertinence d’un couple SR/OV.
x
Sélection des couples SR/OV retenus pour la suite de
l’analyse
Voilà, nous avons défini toutes les échelles. Grâce à celles-ci, l’application sera
capable d’interpréter les données d’entrées pour proposer une pertinence adaptée
à chaque source de risque.
Dans la grille de cotation et pour chaque source de risque, nous avons évalué les
3 critères selon le barème d’évaluation défini précédemment.
Dans Agile Risk Manager, l’évaluation des 3 critères permettra d’obtenir une
« pertinence proposée » par l’application. Il nous sera cependant possible de
retenir une autre pertinence si l’on juge qu’un couple source de risque / objectif
visé doit avoir une pertinence plus ou moins élevée que celle proposée par
l’application.
De plus en plus de modes opératoires d’attaquants exploitent les maillons les plus
vulnérables de cet écosystème pour atteindre leur objectif (exemple : atteinte à la
disponibilité d’un service en attaquant le fournisseur de service cloud, piège de la
chaîne logistique d’approvisionnement de serveurs facilitant l’exfiltration de
données sensibles).
L’objectif de l’atelier 3 est de disposer d’une vision claire de l’écosystème, afin d’en
identifier les parties prenantes les plus vulnérables. Il s’agit ensuite de bâtir des
scénarios de « haut niveau », appelés scénarios stratégiques. Ces derniers sont
autant de chemins d’attaque que pourrait emprunter une source de risque pour
atteindre son objectif.
L’atelier 3 est à aborder comme une étude préliminaire de risque. Il peut conduire
à identifier les mesures de sécurité à appliquer vis-à-vis de l’écosystème. Les
scénarios stratégiques retenus dans l’atelier 3 constituent la base des scénarios
opérationnels de l’atelier 4.
Dans l’application
Construction de la cartographie de menace de
l’écosystème
Une partie prenante est dite critique dès lors qu’elle est susceptible de constituer
un vecteur d’attaque pertinent, du fait par exemple de son accès numérique
privilégié à l’objet étudié, de sa vulnérabilité ou de son exposition.
Une source de risques tentera, dans une logique du moindre effort, d’attaquer la
partie prenante qui apparaît comme le « maillon faible ». L’objectif ici, sera
d’identifier ces parties prenantes critiques pour les inclure dans l’élaboration des
scénarios stratégiques.
Dans un premier temps, nous allons lister toutes les parties prenantes du sujet
d’étude, à savoir le centre d’imagerie médicale.
Plus une partie prenante (cercle dans le graphique ci-dessous) tend vers le
vert, plus son niveau de fiabilité est fort et inversement avec la couleur rouge.
Plus une partie prenante est exposée (cercle dans le graphique), plus le cercle
est large et inversement.
Pour arriver à ce résultat, rien de magique, nous allons utiliser les mathématiques
et un peu de bon sens.
Dépendance (1 à 4)
Pénétration (1 à 4)
Maturité cyber (1 à 4)
Confiance (1 à 4)
Après réflexion, nous obtenons ce tableau d’évaluation des parties prenantes ainsi
que cette cartographie.
Le personnel interne
Les autres parties prenantes n’ont pas été retenues comme « critiques » et seront
mises de côté pour le reste de l’analyse.
Ces scénarios stratégiques sont identifiés par déduction et prennent comme point
de départ la liste de nos couples source de risque / objectif visé. L’idée sera de
mettre en relation ces couples avec nos parties prenantes afin de déterminer les
différents points d’entrées des sources de risque.
Personnel interne
Notre spectre de scénarios stratégique est maintenant réduit à ces 2 listes. Nous
allons maintenant catalogués nos événements redoutés.
Les 2 scénarios que nous venons de détailler sont de gravité « grave » et sont
retenus pour la suite de l’analyse.
*Pour la suite de l’exemple, nous allons nous concentrer uniquement sur ces 2
scénarios stratégiques
Pour affiner le niveau de menace de nos parties prenante, il est d’usage de lister
et d’attribuer des mesures de sécurité sur ces parties prenantes. Il sera ensuite
possible d’attribuer un nouveau niveau de menace (prévisionnel) aux parties
prenantes.
(On retrouvera ces mesures de sécurité lors de la génération du PACS dans l’atelier
5)
Dans Agile Risk Manager, nous allons pouvoir faire ce travail dans un tableau
dédié. Nous allons associer des mesures de sécurité à chaque partie prenante en
fonction de notre niveau de connaissances, pour ensuite réévaluer le niveau
d’exposition et de fiabilité cyber des parties prenantes affectées.
Nous avons donc réévaluer nos différentes parties prenantes en fonction des
chemins stratégiques et des mesures de sécurités associées.
Dans le cas présent, les mesures de sécurité n’ont pas diminué le niveau
d’exposition de nos parties prenantes. Cependant, cela a augmenté le niveau de
fiabilité cyber de celles-ci et plus spécifiquement le niveau de confiance que l’on
leur accorde.
Bien que cette baisse soit notable, nos 2 parties prenantes restent tout de même
dans la zone de danger.
Nous avons nos scénarios stratégiques, il nous faut maintenant détailler le mode
opératoire de nos sources de risque. Pour chaque chemin d’attaque, nous allons
élaborer une "cyber kill chain".
Vous pouvez renseigner autant d’actions élémentaires que vous souhaitez, elles
vous seront proposées lors de la création des scénarios opérationnels.
C’est la note de vraisemblance que vous donnerez à une action élémentaire. Cette
cotation sera utilisée en abscisse dans la matrice de niveau de risque.
Exemple :
Son niveau de risque serait inacceptable (zone rouge). Des mesures devront être
prises pour atténuer ce risque dans l’atelier 5 lors du traitement du risque.
Élaboration et évaluation des scénarios opérationnels
Une attaque réussie relève le plus souvent de l’exploitation de plusieurs failles. Les
attaques intentionnelles suivent généralement une démarche séquencée. Celles-
ci viennent exploiter de manière coordonnée plusieurs vulnérabilités de nature
informatique, organisationnelle ou encore physique.
Notre préparation des données étant terminé, nous allons passer à la réalisation
des scénarios opérationnels.
1. La mafia recherche des informations sur les employés grâce à des sources
ouvertes, soudoie un employé en interne qui se trouve avoir accès à un compte
utilisateur avec des droits avancés. Celui-ci n’a plus qu’à uploader un
ransomware développé par la mafia sur les serveurs de l’organisation.
2. La mafia recherche des informations sur les employés grâce à des sources
ouvertes, soudoie un employé en interne. La mafia donne une clé USB piégée à
l’employé corrompu. Celui n’a plus qu’à l’insérer sur un poste non surveillé, en
« libre accès ». Grâce à cette clé, la mafia aura accès à des informations de
connexion d’un administrateur qui se connectera via ce poste pour ensuite
uploader un ransomware sur les serveurs du centre d’imagerie médicale.
Résultats
Notre scénario opérationnel (R4 : La mafia rend indisponible les données patients
par l’intermédiaire d’un employé corrompu) a une vraisemblance de 3.
Vous aurez peut-être remarqué des « cadenas » sur les actions élémentaires. En
prévision de la réalisation du PACS dans l’atelier 5, nous pouvons identifier des
mesures de sécurité à associer à des actions élémentaires.
Ici, pas de méthode miracle, c’est à vous de définir des mesures de sécurité
adaptées en fonction des actions élémentaires et du contexte.
Nous avons associé toutes les mesures de sécurité jugées nécessaires sur les
actions élémentaires. Tout ce travail portera ses fruits dans le prochain atelier,
lorsque nous générerons le PACS à partir de ces mesures de sécurité identifiées.
La zone orange représente une zone de risque modérée, il faudra prendre des
mesures quand la situation le permettra.
La zone verte représente une zone de risque faible, il n’est pas nécessaire de
prendre des mesures dans l’immédiat.
Avant de passer au traitement du risque dans Agile Risk Manager, nous allons
devoir définir quelques paramètres propres à l’atelier 5.
Échelle d’échéance
Nous allons partir du postulat que nous souhaitons seulement appliquer les
mesures de sécurité identifiées sur les actions élémentaires dans l’atelier 4.
Dans l’atelier 4, nous avons associé des mesures de sécurité à des actions
élémentaires. Nous allons nous servir de ce travail pour élaborer notre PACS.
Dans l’application, dans la section « PACS », il existe une option pour rassembler
en un seul clic, toutes les mesures de sécurité appliquées sur des actions
élémentaires.
Nous avons maintenant notre PACS, c’est bien ! Mais il reste une dernière étape
pour compléter notre analyse. L’évaluation des risques résiduels par jalon. Ce n’est
pas pour rien que nous avons défini une échéance d’application « prévisionnelle ».
Grâce aux échéances, Agile Risk Manager va être capable de vous générer un
tableau récapitulatif ainsi qu’une matrice de réduction du risque par jalon.
C’est ici que nous allons appliquer une réduction en agissant sur la réduction de
la gravité ou de la vraisemblance.
Nous avons 3 mesures de sécurité à appliquer sur différentes périodes. Sur ces
différentes périodes, nous avons besoin de savoir quel sera le niveau de risque
résiduel du scénario de risque à chaque application d’une mesure de sécurité.
Limiter au strict besoin opérationnel les droits d’administration sur les postes
de travail (9 mois)
Dans Agile Risk Manager, vous aurez la possibilité de diminuer la gravité résiduelle
et la vraisemblance résiduelle par jalon. Ainsi, vous pourrez voir la réduction
prévisionnelle dans une matrice de risque segmentée par jalon.
In fine, nous avons toutes nos mesures de sécurité à appliquer ainsi que leur
échéance d’application prévisionnelle. Il reste maintenant à les appliquer
conformément aux échéances.
Dans cet exemple, nous avons réduit le risque de chaque scénario de risque
jusqu’au point ou le risque résiduel de ceux-ci soit acceptable.
Travail collaboratif
Etc.
Si vous êtes intéressé pour aller plus loin avec Agile Risk Manager, n’hésitez pas
à contacter notre équipe d’experts pour planifier une démonstration plus poussée.
Vous aurez également droit à une version d’essai pour mettre en pratique tout ce
que nous venons de voir dans cette analyse de risque EBIOS RM.
AGILE RISK
MANAGER Atelier 5 - Traitement du risque 74 / 75
Une démo ?