Formation EBIOS RM - Session Du 20220205

Formation EBIOS
Risk Manager (2018)
Présentation de la méthode
Contenu de présentation : extraits du support de cours de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information)
EBIOS Risk Manager : les bases
Atelier 1 : cadrage et socle de sécurité
Atelier 2 : sources de risque
Atelier 3 : scénarios stratégiques
Atelier 4 : scénarios opérationnels
Atelier 5 : traitement du risque
05/02/2022 Formation EBIOS RM 2

Qu’est-ce qu’un risque ?
DEFINITIONS
• Larousse : Danger, inconvénient plus ou moins probable auquel on est exposé
• Norme ISO 31000 (Risk Management) : Effet de l’incertitude sur l’atteinte des objectifs. Un risque est
souvent exprimé en termes de combinaison des conséquences d’un événement et de sa
vraisemblance.
• EBIOS RM : Possibilité qu’un événement redouté survienne et que ses effets perturbent les missions
de l’objet de l’étude
PERCEPTION / VISION DU RISQUE

• Positive : gain, opportunité
• Neutre : alternative à une situation
• Négative : menace, événement nuisible
Exemple : la pluie peut être positive pour un agriculteur, neutre pour un scientifique, négative pour des
vacanciers

Comment évaluer le niveau d’un risque ?
NIVEAU DE RISQUE (EBIOS RISK MANAGER)
Mesure de l’importance du risque, exprimée par la combinaison de la gravité et de la

vraisemblance
GRAVITÉ VRAISEMBLANCE
Estimation du niveau et de l’intensité des Estimation de la faisabilité ou de la

effets d’un risque probabilité qu’un risque se réalise
L’estimation de la gravité et de la vraisemblance sont réalisées grâce à des échelles définies par
l’organisation

Méthode EBIOS RM
EBIOS : Expression des Besoins et Identification des Objectifs de Sécurité

RM : Risk Manager
2 axes majeures de la méthode collaborative

• Analyse de l’action intentionnelle
• Orientée uniquement sur le risque numérique
L’erreur, les événements climatiques, les vices de matériels, … sont hors périmètre d’analyse
Apports
• Ateliers d’analyse collégiale, pour se positionner côté cible et côté attaquant pour définir
les scenarios d’attaque
• Connaissance de l’écosystème dans son ensemble

Terminologie
VALEUR MÉTIER - VM (Bien Essentiel Méthode EBIOS 2010)
Composante numérique importante pour l’organisation dans l’accomplissement de ses missions. Ce sont des
informations ou des processus
BIEN SUPPORT
Composante du système d’information sur laquelle repose une ou plusieurs valeurs métiers. Un bien support peut être
de nature numérique, physique ou organisationnelle
EVÉNEMENT REDOUTÉ - ER
Evénement redouté est associé à une valeur métier et portant atteinte à l’un des besoins de sécurité. Il est évalué en
termes de gravité
SOURCE DE RISQUE - SR
Elément, personne ou groupe de personnes ou organisation susceptible d’engendrer un risque. Une source de risque
peut être caractérisée par sa motivation, ses ressources, ses compétences, ses modes opératoires
OBJECTIF VISÉ - OV
Finalité visée par une source de risque, selon ses motivations

La pyramide du management du risque :
le concept phare de EBIOS Risk Manager
Analyse technique et fonctionnel du SI sur :

AVANCÉ
- Ressources humaines, matériels, techniques, …

APPRÉCIATION Chemins d’attaques - Composants et configuration du SI
DES RISQUES
NUMÉRIQUES
Comment le risque peut se réaliser ?
NIVEAU DES CYBER ATTAQUES
Approche par « scénarios »
Approche par « conformité »

Quel est le niveau de protection ?
Loi Programmation Militaire (LPM)
ÉLABORÉ
RGPD NIS
IGI 13000
CADRE RÈGLEMENTAIRE Sarbannes Maturité de fonctionnement sur les référentiels qui
ET NORMATIF Oaxley SOC sont à appliquer dans le contexte :
PCI-DSS Bale II
- Obligations légales et règlementaires à respecter
ISO 27001
- Certification appliquée
- Bonnes pratiques
Guides techniques - Politique de sécurité de l’information
ANSSI, NIST, … - Plan de Continuité d’Activité
LARGE SPECTRE
Guides CNIL - Procédure de surveillance et de contrôle

SIMPLE
Bonnes pratiques - Plan d’audit

PRINCIPES DE BASE ET HYGIÈNE CNIL, ANSSI, … - …
Politique Entreprise

EBIOS Risk Manager : une méthode basée sur 5 ateliers
Vision attaquant
Vision organisation Vision organisation Vision organisation
ATELIER 3
SCÉNARIOS STRATÉGIQUES
ATELIER 1 ATELIER 2 ATELIER 5
CADRAGE ET
SOURCES DE TRAITEMENT
SOCLE DE
RISQUE DU RISQUE
SÉCURITÉ
ATELIER 4
SCÉNARIOS OPÉRATIONNELS
Vision attaquant
APPRÉCIATION DES RISQUES
CYCLE OPÉRATIONNEL
CYCLE STRATÉGIQUE

EBIOS Risk Manager - Pyramide de management du
risque
Référentiels Chemins d’attaques
ATELIER 3
CADRAGE ET
SOCLE DE
RISQUE DU RISQUE
SÉCURITÉ
ATELIER 4
Définition de la Définition de la
Gravité Vraisemblance
APPRÉCIATION DES RISQUES
RISQUE RESIDUEL
RISQUE BRUT
CYCLE OPÉRATIONNEL
CYCLE STRATÉGIQUE

EBIOS Risk Manager : des choix à chaque étape
Parties prenantes de l’écosystème
les plus « menaçantes » :
Cartographie des vulnérabilités
fonctionnelles, organisationnelles
ATELIER 3
CADRAGE ET
SOCLE DE
RISQUE DU RISQUE
SÉCURITÉ
ATELIER 4
Couples « Source
Événements Solutions de protection /
de risque /
redoutés les renforcement du niveau
Objectif visé » les
plus graves de sécurité
plus pertinents
Modes opératoires d’attaques :
Cartographie des vulnérabilités techniques APPRÉCIATION DES RISQUES
CYCLE OPÉRATIONNEL
CYCLE STRATÉGIQUE


Atelier 1 : cadrage et socle de sécurité A1
OBJECTIF : Définir le cadre de l’étude et du projet, son périmètre métier et

technique
ÉLÉMENTS EN SORTIE :
• Éléments de cadrage de l’étude : participants,
planning…
ATELIER 1
CADRAGE ET
• Périmètre métier et technique : missions, valeurs
SOCLE DE
SÉCURITÉ métier, biens supports
• Événements redoutés et leur niveau de gravité
• Socle de sécurité : liste des référentiels applicables, état
d’application, identification des écarts
Vision organisation
PARTICIPANTS : Direction, Métiers, RSSI, DSI

Vocabulaire A1
Un adolescent de 15 ans « pirate » le système de son collège pour améliorer ses notes.
Un adolescent de quinze ans a été interpellé pour s'être introduit dans le système informatique de son collège dans le
but de modifier ses résultats scolaires. […]
[Sources Internet : Le Point.fr et ZDNet]
ATTAQUE
Source de risque Adolescent
Objectif visé Modifier ses résultats scolaires
Évènement redouté Les résultats scolaires d’un ou plusieurs collégiens sont erronés
Valeur métier Résultats scolaires
Bien support Système informatique de gestion des résultats scolaires
Impacts • Impact sur la poursuite d’études des collégiens

• Impact d’image vis-à-vis des autres établissements scolaires
05/02/2022 Formation EBIOS RM

13
Définir une échelle de gravité A1
Fiche Méthode 3
ÉCHELLE DÉFINITION
Incapacité pour la société d’assurer tout ou partie de son activité, avec d’éventuels impacts graves sur la sécurité
G4 – CRITIQUE des personnes et des biens. La société ne surmontera vraisemblablement pas la situation (sa survie est menacée)
Forte dégradation des performances de l’activité, avec d’éventuels impacts significatifs sur la sécurité des
G3 – GRAVE personnes et des biens. La société surmontera la situation avec de sérieuses difficultés (fonctionnement en mode
très dégradé)
G2 – SIGNIFICATIVE Dégradation des performances de l’activité sans impacts sur la sécurité des personnes et des biens. La société
surmontera la situation malgré quelques difficultés (fonctionnement en mode dégradé)
G1 – MINEURE Aucun impact opérationnel ni sur les performances de l’activité ni sur la sécurité des personnes et des biens. La
société surmontera la situation sans trop de difficultés (consommation des marges)
Il est recommandé de reprendre une échelle de gravité déjà définie dans l’organisation ou lors de l’étude des risques
précédente

Catégories d’impact (1/2) A1
Fiche Méthode 3
Catégorie d’impact Exemples (liste non exhaustive)

Impacts sur les missions et services de l’organisme
Incapacité à fournir un service, dégradation de performances opérationnelles, retards,
Conséquences directes ou indirectes sur la réalisation des
impacts sur la production ou la distribution de biens ou de services, impossibilité de
missions et services.
mettre en œuvre un processus clé.
Impacts sur la gouvernance de l’organisme
Impacts sur la capacité de développement ou de décision Perte de souveraineté, perte ou limitation de l'indépendance de jugement ou de
Conséquences directes ou indirectes sur la liberté de décision, limitation des marges de négociation, perte de capacité d'influence, prise de
décider, de diriger, de mettre en œuvre la stratégie de contrôle de l'organisme, changement contraint de stratégie, perte de fournisseurs ou
développement. de sous-traitants clés.
Impacts sur le lien social interne Perte de confiance des employés dans la pérennité de l’organisme, exacerbation d'un
Conséquences directes ou indirectes sur la qualité des liens ressentiment ou de tensions entre groupes, baisse de l'engagement,
sociaux au sein de l'organisation. affaiblissement/perte de sens des valeurs communes.
Impacts sur le patrimoine intellectuel ou culturel
Perte de mémoire de l'entreprise (anciens projets, succès ou échecs), perte de
Conséquences directes ou indirectes sur les connaissances connaissances implicites (savoir-faire transmis entre générations, optimisations dans
non-explicites accumulées par l'organisme, sur le savoir- l'exécution de tâches ou de processus), captation d'idées novatrices, perte de
faire, sur les capacités d'innovation, sur les références patrimoine scientifique ou technique, perte de ressources humaines clés.
culturelles communes.

Catégories d’impact (1/2) A1
Fiche Méthode 3
Catégorie d’impact Exemples (liste non exhaustive)

Impacts humains, matériels ou environnementaux
Impacts sur la sécurité ou sur la santé des personnes
Accident du travail, maladie professionnelle, perte de vies humaines, mise en danger,
Conséquences directes ou indirectes sur l'intégrité physique crise ou alerte sanitaire.
de personnes.
Impacts matériels Destruction de locaux ou d’installations, endommagement de moyens de production,
Dégâts matériels ou destruction de biens supports. usure prématurée de matériels.
Impacts sur l'environnement
Contamination radiologique ou chimique des nappes phréatiques ou des sols, rejet de
Conséquences écologiques à court ou long terme, directes polluants dans l’atmosphère.
ou indirectes.
Impacts financiers
Perte de chiffre d'affaire, perte d’un marché, dépenses imprévues, chute de valeur en
Conséquences pécuniaires, directes ou indirectes.
bourse, baisse de revenus, pénalités imposées.
Impacts juridiques
Conséquences suite à une non-conformité légale,
Procès, amende, condamnation d'un dirigeant, amendement de contrat.
règlementaire, normative ou contractuelle.
Impacts sur l'image et la confiance
Publication d’articles négatifs dans la presse, perte de crédibilité vis-à-vis de clients,
Conséquences directes ou indirectes sur l'image de
mécontentement des actionnaires, perte d'avance concurrentielle, perte de notoriété,
l’organisation, la notoriété, la confiance des clients.
perte de confiance d’usagers.

Cas fictif – société de biotechnologies A1

Définir le périmètre métier et technique A1
MISSION IDENTIFIER ET FABRIQUER DES VACCINS

Fiche Méthode 1
DÉNOMINATION DE LA
Fabriquer des vaccins
VALEUR MÉTIER
NATURE DE LA VALEUR
MÉTIER (PROCESSUS OU Processus
VALEUR METIER
INFORMATION)
Activité consistant à réaliser :

• le remplissage de seringues
DESCRIPTION (stérilisation, remplissage) ;
• le conditionnement
(étiquetage et emballage).
ENTITÉ OU PERSONNE
RESPONSABLE Responsable production
(INTERNE/EXTERNE)
DÉNOMINATION DU/DES
BIENS SUPPORTS
ASSOCIÉS
BIENS SUPPORTS
DESCRIPTION
ENTITÉ OU PERSONNE
RESPONSABLE
(INTERNE/EXTERNE)


Fiche Méthode 1
DÉNOMINATION DE LA
Recherche & développement (R&D) Fabriquer des vaccins Traçabilité et contrôle
VALEUR MÉTIER
NATURE DE LA VALEUR
MÉTIER (PROCESSUS OU Processus Processus Information
INFORMATION)
VALEUR METIER
Activité de recherche et développement des vaccins nécessitant :

Activité consistant à réaliser : Informations permettant
• l’identification des antigènes ; d’assurer le contrôle qualité et la
• la production des antigènes (vaccin vivant atténué, inactivé, sous- • le remplissage de seringues libération de lot (exemples :
DESCRIPTION unité) : fermentation (récolte), purification, inactivation, filtration, (stérilisation, remplissage) ; antigène, répartition aseptique,
stockage ; • le conditionnement conditionnement, libération
• l’évaluation préclinique ; (étiquetage et emballage). finale…)
• le développement clinique.
ENTITÉ OU PERSONNE
RESPONSABLE Pharmacien Responsable production Responsable qualité
(INTERNE/EXTERNE)
BIENS SUPPORTS
ASSOCIÉS
BIENS SUPPORTS
DESCRIPTION
ENTITÉ OU PERSONNE
RESPONSABLE
(INTERNE/EXTERNE)

Fiche Méthode 2 MISSION IDENTIFIER ET FABRIQUER DES VACCINS
DÉNOMINATION DE LA
VALEUR MÉTIER
NATURE DE LA VALEUR
VALEUR METIER
INFORMATION)
Activité consistant à réaliser : Informations permettant
• l’identification des antigènes ; d’assurer le contrôle qualité et la
• la production des antigènes (vaccin vivant atténué, inactivé, sous- • le remplissage de seringues libération de lot (exemples :
DESCRIPTION unité) : fermentation (récolte), purification, inactivation, filtration, (stérilisation, remplissage) ; antigène, répartition aseptique,
ENTITÉ OU PERSONNE
(INTERNE/EXTERNE)
BIENS SUPPORTS ASSOCIÉS
Systèmes de production
BIENS SUPPORTS
Ensemble de machines et
équipements informatiques
DESCRIPTION
permettant de fabriquer des
vaccins à grande échelle
ENTITÉ OU PERSONNE
RESPONSABLE DSI + Fournisseurs de matériel
(INTERNE/EXTERNE)


Fiche Méthode 2 DÉNOMINATION DE LA
VALEUR MÉTIER
NATURE DE LA VALEUR
INFORMATION)
VALEUR METIER

Activité consistant à réaliser : Informations permettant d’assurer
• l’identification des antigènes ; le contrôle qualité et la libération
• la production des antigènes (vaccin vivant atténué, inactivé, sous- • le remplissage de seringues de lot (exemples : antigène,
DESCRIPTION unité) : fermentation (récolte), purification, inactivation, filtration, (stérilisation, remplissage) ; répartition aseptique,
ENTITÉ OU PERSONNE
(INTERNE/EXTERNE)
DÉNOMINATION DU/DES Serveurs Serveurs Systèmes de
BIENS SUPPORTS bureautiques bureautiques production des Systèmes de production Serveurs bureautiques (internes)
ASSOCIÉS (internes) (externes) antigènes
BIENS SUPPORTS
Ensemble de
Serveurs Serveurs machines et Serveurs bureautiques permettant
Ensemble de machines et
bureautiques bureautiques équipements de stocker l’ensemble des
équipements informatiques
DESCRIPTION permettant de stocker permettant de stocker informatiques données relatives à la traçabilité
permettant de fabriquer des
l’ensemble des une partie des permettant de et au contrôle, pour les différents
vaccins à grande échelle
données de R&D données de R&D produire des processus
antigènes
ENTITÉ OU PERSONNE
RESPONSABLE DSI Laboratoires Laboratoires DSI + Fournisseurs de matériel DSI
(INTERNE/EXTERNE)
Fiche Méthode 2
Etat des lieux : constat de la situation ou du contexte
« faire une photographie de l’existant »
Il ne s’agit pas dans cette étape de lister l’intégralité des valeurs métier et biens supports de l’organisation
Ce n’est une démarche de cartographie du système d’information, il s’agit d’un état macro, général
Ne conserver que les valeurs

métiers identifiées comme les Considérer des ensembles 5 à 10 valeurs métiers
plus pertinentes ou sensibles d’informations plutôt que des constituent généralement une
(les classer par exemple selon leurs informations isolées base suffisante
besoins de sécurité)
Les valeurs métier qui n’auront pas été retenues pourront hériter des mesures prises pour protéger les autres valeurs métier

Identifier les événements redoutés A1
DISPONIBILITE INTEGRITE CONFIDENTIALITE TRAÇABILITE
Panne électrique Falsification Vol d’information Perte de suivi d’action

d’information
Objectif
Erreur de saisie ou de Absence de trace de
Service indisponible
résultat
Vol de matériel
modification Définir le niveau d’impact
(dangerosité) d’un évènement
Impossibilité de
Saturation du système
Altération d’un Accès non autorisé à un
constituer l’historique
redouté en définissant un niveau
processus local / système de gravité
des actions
Interruption totale / Détournement d’usage Compromission d’un Méconnaissance de
partielle d’un service / matériel secret l’auteur de l’action
Traitement / Résultat Divulgation Service / destinataire

Perte de service incorrect d’information non défini Résultat
Priorisation du niveau des
Dégradation de service … … … activités (valeurs métiers) et
donc, de leur importance pour
… l’ensemble de l’organisation
(entreprise, collectivité, …)

VALEUR MÉTIER ÉVÉNEMENT REDOUTÉ CATÉGORIES D’IMPACT GRAVITÉ
Perte ou destruction des informations d’études et • Impacts sur les missions et services de l’organisme
R&D recherches • Impacts sur les coûts de développement 2
• Impacts sur le patrimoine intellectuel
Objectif
Définir le niveau d’impact
(dangerosité) d’un évènement
redouté en définissant un niveau
de gravité
Résultat
Priorisation du niveau des
activités (valeurs métiers) et
donc, de leur importance pour
l’ensemble de l’organisation
(entreprise, collectivité, …)

Cartographie des risques

VALEUR
ÉVÉNEMENT REDOUTÉ CATÉGORIES D’IMPACT GRAVITÉ
MÉTIER Résultat
Impacts sur la sécurité ou la santé des personnes Priorisation du niveau des
Altération des informations d’études et recherches • Impacts sur l’image et la confiance
aboutissant à une formule de vaccin erronée • 3 activités (valeurs métiers) et
• Impacts juridiques
donc, de leur importance
Fuite des informations d’études et recherches de • Impacts sur le patrimoine intellectuel
pour l’ensemble de
3
l’entreprise • Impacts financiers l’organisation (entreprise,
R&D collectivité, …)
Perte ou destruction des informations d’études et • Impacts sur les missions et services de l’organisme
recherches • Impacts sur les coûts de développement 2
• Impacts sur le patrimoine intellectuel
Interruption des phases de tests des vaccins • Impacts sur les missions et services de l’organisme 2
pendant plus d’une semaine • Impacts financiers
Interruption de la production ou de la distribution • Impacts sur la sécurité ou la santé des personnes

de vaccins pendant plus d’une semaine pendant • Impacts sur l’image et la confiance 4 Plan d’action
Fabriquer des
un pic d’épidémie • Impacts financiers Les couples Valeurs Métier et
vaccins
Fuite du savoir-faire de l’entreprise concernant le
Evénements Redoutés les
processus de fabrication des vaccins et de leurs • Impacts financiers 2 plus importants sont à
tests qualité
analyser en détail (Atelier 2)
Traçabilité et Altération des résultats des contrôles qualité • Impacts sur la sécurité ou la santé des personnes
contrôle aboutissant à une non-conformité sanitaire • Impacts sur l’image et la confiance 4
• Impacts juridiques


Atelier 2 : sources de risque A2
OBJECTIF : Identifier les Sources de Risque (SR) et leurs Objectifs Visés (OV) en
lien avec l’objet de l’étude
• Liste des couples SR/OV retenus
pour la suite de l’étude
ÉLÉMENTS EN ENTRÉE :
• Valeurs métier (atelier 1)
ATELIER 2
SOURCES DE
• Liste des couples SR/OV
• Événements redoutés (atelier 1)
RISQUE secondaires, qui seront si possible
mis sous surveillance
• Représentation des SR/OV sous la
forme d’une cartographie
Vision organisation
PARTICIPANTS : Métiers, RSSI, (Spécialiste analyse de la menace cyber), Direction
(validation des résultats de l’atelier)

Comment évaluer la pertinence des couples A2
SR/OV ?
RESSOURCES
Fiche Méthode 4
Incluant les ressources financières, le niveau de compétences cyber, l’ouillage, le
temps dont l’attaquant dispose pour réaliser l’attaque, etc.
Ressources Ressources
Ressources limitées significatives importantes Ressources illimitées
Moyennement
Fortement motivé Plutôt pertinent Très pertinent Très pertinent
ments qui poussent la source de risque à atteindre son
pertinent
Moyennement
Assez motivé Plutôt pertinent Plutôt pertinent Très pertinent
pertinent
Moyennement
Peu motivé Peu pertinent Plutôt pertinent Plutôt pertinent
pertinent
MOTIVATION
objectif
DEGRÉ DE PERTINENCE D’UN COUPLE SR/OV

Très peu motivé Peu pertinent Peu pertinent Moyennement Moyennement
pertinent pertinent
SR/OV ?
Fiche Méthode 4
SOURCES DE OBJECTIFS VISÉS MOTIVATION RESSOURCES PERTINENCE
RISQUE
Ressources
Etatique Vol d’information Fortement motivé Très pertinent
importantes
Concurrent Ressources Plutôt

Gain financier Assez motivé
significatives pertinent
Hacktiviste Sabotage (provoquer une Peu motivé Ressources Moyennement

panne, …) significatives pertinent
Espionnage, écoute,
Cyber-terroriste Peu motivé Ressources limitées Peu pertinent
surveillance
Crime organisé Dénigrement, influence,

manipulation
Amateur Défi, Reconnaissance Grille d’évaluation pour définir un niveau de

pertinence de risque à partir d’une source de risque
Ancien salarié Déstabilisation et d’objectif visé
… …

SR/OV ?
Fiche Méthode 4
Dans ce contexte, les couples SR/OV très
Mode opératoire : Reporter dans le tableau ci-dessous
pertinents ou plutôt pertinents seront
• Les résultats de l’atelier 1 : Sources de risques & objectifs visés retenus pour la suite de l’étude
SOURCES DE
OBJECTIFS VISÉS MOTIVATION RESSOURCES PERTINENCE
RISQUE
Fortement Ressources
Concurrent Voler des informations motivé importantes Très pertinent
SR/OV les plus
pertinents
Saboter la campagne nationale de Ressources
Hacktiviste vaccination Assez motivé significatives Plutôt pertinent
Divulguer des informations sur les tests Ressources Moyennement

Hacktiviste Peu motivé
animaliers significatives pertinent
Altérer la composition des vaccins à des fins Ressources

Cyber-terroriste Peu motivé Peu pertinent
de bioterrorisme limitées

SR/OV ?
Estimation de la pertinence des couples SR/OV à partir de la motivation et des ressources des SR :
• P1 = couples SR/OV prioritaires retenus pour la suite de l’étude ;
• P2 = autres couples SR/OV (susceptibles d'être étudiés dans un second temps)
IDENTIFICATION COTATION ÉVALUATION
Pertinence
Source de risque Source de risque Objectif visé (Catégorie) Objectif visé (Détail) Motivatio Ressourc du couple Choix
(Profil) (Détail) n es SR/OV P1/P2
Mafia spécialisée Déployer le maximum de
CRIME ORGANISÉ LUCRATIF ++ ++ MOYEN P1
Ransomware Ransomware
Entrer illégalement sur site pour
ACTIVISTE Militant association
INFLUENCE démontrer le manque de surveillance ++ + FAIBLE P2
IDÉOLOGIQUE écologique du site
Provoquer un déni de services afin de
VENGEUR Ancien employé INFLUENCE décrédibiliser l'entreprise auprès de + +++ MOYEN P1
ses clients
MALVEILLANT PRÉPOSITIONNEMENT Se maintenir dans le système afin de
PATHOLOGIQUE Ancien employé STRATÉGIQUE pouvoir réaliser une future opération ++ +++ ÉLEVÉ P1
Positionner une back door sur un ou

AMATEUR Concurrent DÉFI, AMUSEMENT +++ ++ ÉLEVÉ P1
plusieurs sytèmes pour s'en vanter
ENTRAVE AU
TERRORISTE Terroriste Saboter les chaines de production ++ ++ MOYEN P1
FONCTIONNEMENT
ÉTATIQUE Etat concurrent LUCRATIF Voler des informations +++ +++ ÉLEVÉ P1

SR/OV ?
Reporter les résultats dans le tableau ci-dessous
• Atelier 1 : Valeurs Métiers / Evénements redoutés
• Atelier 2 : Sources de risques & objectifs visés
ER les plus graves SR/OV les plus pertinents
VALEUR ÉVÉNEMENT REDOUTÉ GRAVITÉ

MÉTIER SOURCES DE RISQUE OBJECTIF VISÉ
Interruption de la production ou de
Fabriquer la distribution de vaccins pendant Concurrent Voler des informations
des vaccins plus d’une semaine pendant un pic 4
d’épidémie
Saboter la campagne nationale de
Hacktiviste vaccination
Traçabilité Altération des résultats des contrôles
qualité aboutissant à une non- 4
et contrôle conformité sanitaire
Altération des informations d’études

R&D et recherches aboutissant à une 3
formule de vaccin erronée OBJECTIF (formulation au choix)
• Identifier quel profil d’attaquant peut attaquer
Fuite des informations d’études et
R&D
recherches de l’entreprise
3 une activité sensible ou stratégique
• Identifier quel profil d’attaquant (source de
risque) pourrait nuire à une activité métier
• …

Atelier 3 : scénarios stratégiques A3
OBJECTIF : Identifier les parties prenantes critiques de l’écosystème et construire

des scénarios de risque de haut niveau (scénarios stratégiques)
ÉLÉMENTS EN ENTRÉE : ÉLÉMENTS EN SORTIE :

• Missions et valeurs métier • Cartographie de menace de
(atelier 1)
l’écosystème
• Événements redoutés et leur ATELIER 3
gravité (atelier 1) SCÉNARIOS
• Scénarios stratégiques
STRATÉGIQUES
• Sources de risque et objectifs • Mesures de sécurité retenues pour
visés retenus (atelier 2) l’écosystème
Vision attaquant PARTICIPANTS : Métiers, Architectes fonctionnels, Juristes, RSSI, (Spécialiste

cybersécurité)

Articulation des différents ateliers A3
Couple Source de Risque / Objectif visé

ATELIER 2
(SR/OV)
Scénario stratégique
GRAVITÉ DES IMPACTS

ATELIER 3 (identique pour le scénario stratégique et
tous ses chemins d’attaque)
Chemin d’attaque (1)

… Chemin d’attaque (n)
ATELIER 4
Scénario opérationnel
(1) … Scénario opérationnel
(n)
VRAISEMBLANCE DU SCÉNARIO
(propre à chaque scénario opérationnel)
NIVEAU DE RISQUE
(propre à chaque scénario de risque,
ATELIER 5 Scénario de risque (1) Scénario de risque (n) évalué sur la base de sa gravité et de sa
vraisemblance)
Identifier les parties prenantes de l’écosystème A3
Liste des Parties Prenantes

Source de
Partie risque Source de (non exhaustive) :
prenante risque
• Clients
• Fournisseurs
Partie • Partenaires
prenante
Partie
• Prestataires
prenante • Autorité de contrôle
EXTERNE
VALEURS METIER
• Autorité de tutelle
BIENS SUPPORTS
Source de Partie
• Etat / Gouvernement
risque
SYSTEME prenante • Ecole / Université
• Association
Partie • Public
Partie prenante
• Concurrents
prenante
• …
Source de
risque
ECOSYSTEME • Salariés
INTERNE
• Direction
Source de • Comité de Direction
risque
Partie prenante directement reliée au système (1er niveau de relation) • Actionnaires
Partie prenante reliée à une autre partie prenante (2e niveau de relation)
• …
Critères de cotation de la menace proposés A3
Fiche Méthode 5 DÉPENDANCE PÉNÉTRATION MATURITÉ CYBER CONFIANCE
Pas d’accès ou accès avec des Des règles d’hygiène sont

appliquées ponctuellement et non
Pas de lien avec le SI de la partie privilèges de type utilisateur à des Les intentions de la partie
1 prenante pour réaliser la mission formalisées. La capacité de prenante ne sont pas connues.
terminaux utilisateurs (poste de réaction sur incident est
travail, ordiphone, etc.). incertaine.
Accès avec privilèges de type Les règles d’hygiène et la

administrateur à des terminaux réglementation sont prises en
Lien avec le SI de la partie utilisateurs (parc informatique, compte, sans intégration dans une Les intentions de la partie
2 prenante utile à la réalisation de la
politique globale.
prenante sont considérées comme
mission flotte de terminaux mobiles,
etc.)ou accès physique aux La sécurité numérique est assurée neutres.
bureaux de l’organisme. selon un mode réactif.
Accès avec privilèges de type Une politique globale est

administrateur à des serveurs « appliquée en matière de sécurité
Lien avec le SI de la partie Les intentions de la partie
numérique. Celle-ci est assurée
3 prenante indispensable mais non métier » (serveur de fichiers, bases selon un mode réactif, avec une prenante sont connues et
exclusif (possible substitution) de données, serveur web, serveur probablement positives.
recherche de centralisation et
d’application, etc.). d’anticipation sur certains risques.
Accès avec privilèges de type

administrateur à des équipements La partie prenante met en œuvre Les intentions de la partie
Lien avec le SI de la partie d’infrastructure (annuaires une politique de management du prenante sont parfaitement
4 prenante indispensable et unique d’entreprise, DNS, DHCP, switchs, risque. La politique est intégrée et connues et pleinement
(pas de substitution possible) pare-feu, hyperviseurs, baies de prend pleinement en compte une compatibles avec celles de
stockage, etc.) ou accès physique dimension proactive. l’organisation étudiée.
aux salles serveurs de l’organisme.

Construire la cartographie de menace de l’écosystème A3
Fiche Méthode 5
ille
ve
Pour chaque partie prenante, évaluer 4 critères : ui
ld
e
Se le
ntrô
co
e
EXPOSITION N ld
iv eui
ea S er
u ang
de d
Dépendance Pénétration ld
e
m eui
La relation avec cette partie Dans quelle mesure la en S
prenante est-elle vitale partie prenante accède-t- ac
e
pour mon activité ? elle à mes ressources
internes ?
Niveau de menace = Objet de
l'étude
Pénétration x Dépendance
Maturité cyber x Confiance
FIABILITE CYBER
Maturité cyber Confiance

Quelles sont les Est-ce que les intentions ou
capacités les intérêts de la partie
de la partie prenante prenante peuvent m’être
en matière de sécurité ? contraires ?

Évaluer le niveau de menace de chaque partie prenante A3
Fiche Méthode 5
NIVEAU DE
CATÉGORIE NOM DÉPENDANCE PÉNÉTRATION MATURITÉ CYBER CONFIANCE
MENACE
Client C1 - Établissements de santé
Client C2 - Pharmacies
Client C3 - Grossistes répartiteurs
Partenaire P1 - Universités
P2 - Régulateurs (ANSM,
Partenaire EMA…)
Partenaire P3 - Laboratoires
Prestataire F1 - Fournisseurs industriels

chimistes
F2 - Fournisseurs de matériel
Prestataire (chaine de production)
Prestataire F3 - Prestataire informatique

Fiche Méthode 5
Clients Partenaires
C1 – ETABLISSEMENTS
DE SANTE P1 – UNIVERSITES
C2 – PHARMACIES P2 – REGULATEURS
C3 – GROSSISTES P3 – LABORATOIRES
REPARTITEURS
Société de biotechnologies
5
F1 – FOURNISSEURS 4
INDUSTRIELS CHIMISTES NI
VE 3
AU 2
F2 – FOURNISSEURS DE
DE MATERIEL M 1
EN
AC 0
E
F3 – PRESTATAIRE
INFORMATIQUE
Prestataires

Évaluer le niveau de menace de chaque partie prenante A3
CATÉGORIE NOM DÉPENDANCE PÉNÉTRATION MATURITÉ CYBER CONFIANCE NIVEAU DE

MENACE
Client C1 - Établissements de santé 1 1 1 3 0,3
Client C2 - Pharmacies 1 1 2 3 0,2
Client C3 - Grossistes répartiteurs 1 2 2 3 0,3
Partenaire P1 - Universités 2 1 1 2 1
P2 - Régulateurs (ANSM,
Partenaire 2 1 2 4 0,25
EMA…)
Partenaire P3 - Laboratoires 3 3 2 2 2,25
Prestataire F1 - Fournisseurs industriels 4 2 2 3 1,3

chimistes
Prestataire F2 - Fournisseurs de matériel 4 3 2 3 2

(chaine de production)
Prestataire F3 - Prestataire informatique 3 4 2 2 3
EXPOSITION FIABILITÉ CYBER

Fiche Méthode 6
Clients Partenaires
C1 – ETABLISSEMENTS
DE SANTE P1 – UNIVERSITES
C2 – PHARMACIES P2 – REGULATEURS
C3 – DÉPOSITAIRES &
GROSSISTES P3 – LABORATOIRES
REPARTITEURS
Société de biotechnologies
5 EXPOSITION
F3 – PRESTATAIRE 4
INFORMATIQUE = Dépendance x Pénétration
NI 3
VE
AU 2
F2 – FOURNISSEURS DE DE
M 1 <3 3-6 7-9 >9
MATERIEL EN
AC 0
E
FIABILITE CYBER
F1 – FOURNISSEURS
= Maturité cyber x Confiance
INDUSTRIELS CHIMISTES
Prestataires
<4 4-5 6-7 >7
Zone de veille Zone de contrôle Zone de danger

Élaborer des scénarios stratégiques A3
A2 Source de risque : Concurrent Objectif visé : Voler des informations
SOURCE DE ECOSYSTÈME SOCIÉTÉ DE BIOTECHNOLOGIE

RISQUE
Informations
de R&D
CONCURRENT

A2 Source de risque : Concurrent Objectif visé : Voler des informations
SOURCE DE ECOSYSTÈME SOCIÉTÉ DE BIOTECHNOLOGIE

RISQUE
1
Une partie des Informations

informations de
R&D
de R&D
2
CONCURRENT LABORATOIRE (P3)
PRESTATAIRE INFORMATIQUE
(F3) Gravité : 3
Un scénario stratégique constitué de 3 chemins d’attaque
Valeur métier
Source PP
de
risque ER
Valeur métier ER
PP
EI
Légende :
Chemin d’attaque d’un scénario stratégique
EI Événement intermédiaire associé à une valeur métier de l’écosystème
ER Événement redouté relatif à une valeur métier de l’objet de l’étude
PP Partie prenante de l’écosystème

Atelier 4 : scénarios opérationnels A4
OBJECTIF : Construire les scénarios opérationnels schématisant les modes

opératoires techniques qui seront mis en œuvre par les sources de risque
• Missions, valeurs métier et ÉLÉMENTS EN SORTIE :
biens supports (atelier 1) ATELIER 4
SCÉNARIOS
• Scénarios opérationnels
• Socle de sécurité (atelier 1)
• Sources de risque et objectifs
OPÉRATIONNELS
• Évaluation des scénarios
visés retenus (atelier 2) opérationnels en termes de
• Scénarios stratégiques retenus vraisemblance
(atelier 3)
Vision attaquant
PARTICIPANTS : RSSI, DSI, Architectes SI, (Spécialiste cybersécurité)

Rappel : articulation des ateliers A4

ATELIER 2
(SR/OV)


ATELIER 4
(n)
NIVEAU DE RISQUE
vraisemblance)
Scenario opérationnel : mode opératoire de l’attaque A4
Exemple type
L’élaboration d’un scenario prend en compte :

• Les composants techniques de l’architecture SI
(interne et externe / interconnexion de SI, les
accès distants, etc)
• Les actions possibles selon les composants
techniques
• La notion du temps n’est pas prise en compte
dans le déroulement d’un scenario

Ensemble de possibilité d’actions possibles

selon l’avancement dans une attaque. Le travail
d’analyse technique et sécurité est effectué
pour :
• Identifier les points de faiblesse
MITRE ATT&CK Entreprise Framework (vulnérabilité)
attack.mitre.org • Définir le déroulement de l’attaque selon les
Source : composants et le contexte
https://attack.mitre.org/matrices/enterprise/ • Etablir le degré de probabilité et de difficulté
pour chaque action à mener

Attaque / Défense
C’est la corrélation entre :

• Les vulnérabilités d’un système (= failles,
points de faiblesse) que peut utiliser un
attaquant
• Les mesures de protection à mettre en
œuvre pour corriger les points de faiblesse
ou pour contrer / contenir une attaque

Élaborer des scénarios opérationnels A4
Fiche Méthode 7
CONNAITRE RENTRER TROUVER EXPLOITER
> Corruption > Corruption > Corruption > Corruption
> Reconnaissance > Intrusion depuis > Reconnaissance > Pilotage et

externe Internet interne exploitation de
l’attaque
> Intrusion ou > Latéralisation et
piège physique élévation de
privilèges
Il est important de noter que ces étapes sont modulaires (par exemple selon si l’attaquant
attaque directement ou par rebond via une partie prenante de l’écosystème)
Définir une échelle de vraisemblance A4
Fiche Méthode 8
ÉCHELLE DÉFINITION
V4 – CERTAIN OU DÉJÀ La source de risque va certainement atteindre son objectif visé selon l’un des modes opératoires
PRODUIT envisagés OU un tel scénario s’est déjà produit au sein de l’organisation (historique d’incidents)
La source de risque va probablement atteindre son objectif visé selon l’un des modes opératoires
V3 – TRÈS VRAISEMBLABLE
envisagés. La vraisemblance du scénario est élevée
La source de risque est susceptible d’atteindre son objectif visé selon l’un des modes opératoires
V2 – VRAISEMBLABLE
envisagés. La vraisemblance du scénario est significative
La source de risque a peu de chances d’atteindre son objectif visé selon l’un des modes
V1 – PEU VRAISEMBLABLE
opératoires envisagés. La vraisemblance du scénario est faible
Il est recommandé de reprendre une échelle de vraisemblance déjà définie dans l’organisation ou lors
de l’étude des risques précédente

Evaluer les scenarios opérationnels A4
Fiche Méthode 8 Méthodes d’évaluation
C’est l’évaluation de chaque action élémentaire, puis de l’ensemble du mode opératoire selon :
• La difficulté technique :
• La probabilité de succès :
NIVEAU DE L’ÉCHELLE DESCRIPTION de la VRAISEMBLANCE du SCENARIO OPERATIONNEL

La source de risque va très certainement atteindre son objectif en empruntant l’un des modes opératoires envisagés. La vraisemblance du
V4 - QUASI-CERTAIN scénario de risque est très élevée.
La source de risque va probablement atteindre son objectif en empruntant l’un des modes opératoires envisagés. La vraisemblance du
V3 - TRÈS VRAISEMBLABLE scénario de risque est élevée.
La source de risque est susceptible d’atteindre son objectif en empruntant l’un des modes opératoires envisagés. La vraisemblance du
V2 - VRAISEMBLABLE scénario de risque est significative.
La source de risque a relativement peu de chances d’atteindre son objectif en empruntant l’un des modes opératoires envisagés. La
V1 - PEU VRAISEMBLABLE
vraisemblance du scénario de risque est faible.
V0 - INVRAISEMBLABLE La source de risque a très peu de chances d’atteindre son objectif visé en empruntant l’un des modes opératoires envisagés. La
vraisemblance du scénario de risque est très faible.

Evaluer les scenarios opérationnels A4
Fiche Méthode 8 Méthodes d’évaluation
C’est l’évaluation de chaque action élémentaire, puis de l’ensemble du mode opératoire selon :
• La probabilité de succès : évaluation de chaque action élémentaire selon un indice de probabilité de succès pour l’attaquant de réaliser l’action
Par exemple : pour le phishing (hameçonnage) , un niveau de 3 signifiera que l’attaquant a de très fortes chances de réussir l’action, c’est-à-dire
qu’une personne cible va cliquer sur le lien ou la pièce jointe.
• La difficulté technique : estimation des ressources que l’attaquant devra engager pour mener son action et accroître ses chances de réussite. La
difficulté technique est liée au niveau des mesures de protection existante(= niveau de défense et de résilience, de détection, de réactivité, …).
Par exemple, un attaquant qui veut accéder à un répertoire chiffré accessible par un système d’authentification forte aura un score de difficulté
technique de 3 contrairement à l’accès à des données sur l’intranet partagé entre tous les utilisateurs (difficulté de niveau 1 à 2).
NIVEAU DE L’ÉCHELLE DESCRIPTION de la PROBABILITE DE SUCCES NIVEAU DE L’ECHELLE DESCRIPTION de la DIFFICULTE TECHNIQUE
Difficulté très élevée : l'attaquant engagera des ressources très importantes pour
4 - TRÈS ÉLEVEE mener à bien son action.
4- QUASI-CERTAINE Probabilité de succès quasi-certaine > 90%
Difficulté élevée : l'attaquant engagera des ressources importantes pour mener à

3 - TRÈS ELEVEE Probabilité de succès très élevée > 60% 3 - ÉLEVÉE
bien son action.
Difficulté modérée : l'attaquant engagera des ressources significatives pour

2 - SIGNIFICATIVE Probabilité de succès significative > 20% 2 - MODÉRÉE
mener à bien son action.
1 - FAIBLE Probabilité de succès faible < 20% 1 - FAIBLE Difficulté faible : les ressources engagées par l'attaquant seront faibles.
0 - NÉGLIGEABLE Difficulté négligeable, voire nulle : les ressources engagées par l'attaquant seront
0 - TRÈS FAIBLE Probabilité de succès très faible < 3% négligeables ou déjà disponibles.

Élaborer des scénarios opérationnels : méthode A4
Fiche Méthode 7 Scénario stratégique : Un concurrent

A3 vole des informations de R&D
Chemin d’attaque : n°1 – attaque directe Gravité : 3
Vol et exploitation
de données de
R&D

Élaborer des scénarios opérationnels : modes A4
opératoires
Intrusion via un
canal d’accès
préexistant
Exploitation
Reconnaissance maliciel de collecte
Reconnaissance Intrusion via mail
interne réseaux et d’exfiltration
externe sources de hameçonnage
bureautique & IT
ouvertes sur service RH
site de Paris
Intrusion via le site du Création et

comité d’entreprise maintien d’un canal
(point d’eau) d’exfiltration via un
poste Internet
Latéralisation vers
Corruption d’un réseau LAN R&D
personnel de
l’équipe R&D
Vol et exploitation
Corruption d’un de données de
Clé USB piégée R&D
Reconnaissance prestataire
connectée sur un
externe avancée d’entretien des
poste de R&D
locaux

Évaluer les scénarios opérationnels : Probabilité de A4
succès
Intrusion via un
canal d’accès
préexistant
PR 2 (2)
Exploitation
(3) interne réseaux et d’exfiltration
bureautique & IT
ouvertes sur service RH PR 4 (3)
site de Paris
PR 3 (3) PR 4 (3)
PR 3 (3)
PR 3 (3) Intrusion via le site du Création et
PR 4 (3) poste Internet
Latéralisation vers PR 3 (3)
personnel de SCENARIO 1 : PROBABILITE 3
l’équipe R&D PR 4 (3)
PR 1 (1)
Vol et exploitation
Clé USB piégée SCENARIO 2 : PROBABILITE 1 R&D
connectée sur un
poste de R&D PROBABILITE GLOBALE 3
locaux
PR 2 (2) PR 3 (2) PR 3 (2)
SCENARIO 3 : PROBABILITE 2

Évaluer les scénarios opérationnels : difficulté A4
technique
Intrusion via un
canal d’accès
préexistant
DT 1 (1)
Exploitation
(1) interne réseaux et d’exfiltration
bureautique & IT
ouvertes sur service RH DT 1 (3)
site de Paris
DT 1 (1) DT 1 (1)
DT 2 (2)
DT 1 (1) Intrusion via le site du Création et

DT 1 (1) poste Internet
Latéralisation vers DT 3 (3)
personnel de SCENARIO 1 : DIFFICULTE 3
l’équipe R&D DT 3 (3)
DT 2 (2)
Vol et exploitation
Clé USB piégée SCENARIO 2 : DIFFICULTE 2 R&D
connectée sur un
poste de R&D DIFFICULTE GLOBALE 2
locaux
DT 2 (2) DT 2 (2) DT 1 (2)
SCENARIO 3 : DIFFICULTE 2

Evaluer les scenarios opérationnels : résultats A4
Fiche Méthode 8
Méthodes d’évaluation
Chemin Probabilité de Difficulté Vraissemblance
succès technique
Le niveau de vraisemblance est issu de l’analyse : 1 3 3 2
• La difficulté technique 2 1 2 2
• La probabilité de succès 3 2 2 2
• La rencontre entre les niveaux de probabilité de succès la plus

Vraissemblance globale du scénario : 2
élevée et de difficulté technique la plus faible
• L’exposition des vulnérabilités existantes sur le niveau de
protection existant


Atelier 5 : traitement du risque A5
OBJECTIF : Définir une stratégie de traitement du risque et identifier les risques

résiduels
• Socle de sécurité (atelier 1) • Stratégie de traitement du risque
• Mesures de sécurité portant sur ATELIER 5 • Plan d’amélioration continue de la
TRAITEMENT
l’écosystème (atelier 3) DU RISQUE sécurité (PACS)
• Scénarios stratégiques (atelier 3)
• Synthèse des risques résiduels
• Scénarios opérationnels (atelier 4)
• Cadre du suivi des risques
Vision organisation
PARTICIPANTS : Direction, Métiers, RSSI, DSI

Rappel : articulation des ateliers A5

ATELIER 2
(SR/OV)


ATELIER 4
(n)
NIVEAU DE RISQUE
vraisemblance)
Décider de la stratégie de traitement du risque A5
GRAVITÉ
Scénarios de risques :
4 R5 R4
 R1 : Un concurrent vole des informations de R&D grâce à un canal
d’exfiltration direct
 R2 : Un concurrent vole des informations de R&D en exfiltrant celles
3 R2 R1 R3 détenues par le laboratoire
 R3 : Un concurrent vole des informations de R&D grâce à un canal
d’exfiltration via le prestataire informatique
2  R4 : Un hacktiviste provoque un arrêt de la production des vaccins en
compromettant l’équipement de maintenance du fournisseur de matériel
 R5 : Un hacktiviste perturbe la distribution de vaccins en modifiant leur
1 étiquetage
1 2 3 4 VRAISEMBLANCE
La représentation de la stratégie de traitement doit permettre de comparer les risques les uns par
rapport aux autres et être compréhensible par l’ensemble des participants

Définir les mesures de sécurité dans un plan A5
d’amélioration continue de la sécurité (PACS)
Fiche Méthode 9
Scénarios
Mesure de sécurité de risques Responsable Freins et difficultés de mise en Coût /
… Complexité Échéance Statut
associés œuvre
GOUVERNANCE
Sensibilisation renforcée au hameçonnage par un prestataire R1 RSSI Validation de la hiérarchie + Juin 2019 En cours
spécialisé obligatoire
Audit de sécurité technique et organisationnel de l’ensemble du R1, R5 RSSI ++ Mars 2019 A lancer
SI bureautique par un PASSI
Intégration d’une clause de garantie d’un niveau de sécurité Équipe Effectué au fil de l’eau à la
satisfaisant dans les contrats avec les prestataires et laboratoires R2, R3, R4 juridique renégociation des contrats ++ Juin 2020 En cours
Mise en place d’une procédure de signalement de tout incident R2, R3, R4 RSSI / Équipe
de sécurité ayant lieu chez un prestataire ou un laboratoire juridique ++ Juin 2019 A lancer
Audit de sécurité organisationnel des prestataires et Acceptation de la démarche par

laboratoires clés. Mise en place et suivi des plans d’action R2, R3, R4 RSSI ++ Juin 2019 A lancer
consécutifs les prestataires et laboratoires
Limitation des données transmises au laboratoire au juste

besoin R2 Équipe R&D + Mars 2019 Terminé
PROTECTION
Protection renforcée des données de R&D sur le SI (pistes : R1, R3 DSI +++ Septembre En cours
chiffrement, cloisonnement) 2019
Renforcement du contrôle d’accès physique au bureau R&D R1 Équipe sûreté ++ Mars 2019 Terminé
Dotation de matériels de maintenance administrées par la DSI R4 DSI ++ Septembre A lancer
et qui seront mis à disposition du prestataire sur site 2019

Gérer les risques résiduels A5
Cartographie du risque initial (avant traitement) Cartographie du risque résiduel (après application du PACS)
GRAVITÉ GRAVITÉ
4 R5 R4 R4
4
R5
3 R2 R1 R3 3 R1 R3
2 2
1 1
1 2 3 4 1 2 3 4 VRAISEMBLANCE
VRAISEMBLANCE
Au terme de l’analyse, les risques résiduels sont acceptés formellement par la Direction

Mettre en place le cadre de suivi des risques A5
Mettre en place un comité de pilotage pour assurer le suivi des risques
Suivi des indicateurs de Suivi des mises à jour de l’étude des

Suivi de l’avancement du PACS maintien en condition de risques selon les cycles stratégique
sécurité et opérationnel
Atelier 2 : sources de risque Synthèse

Principes de la méthode collaborative :
1. Analyse de l’action intentionnelle (attaque)
2. Orientée uniquement sur le risque numérique
Vision attaquant
Axes d’analyse : Vision organisation Vision organisation Vision organisation

• Vision organisation
• Vision attaquant ATELIER 3
CADRAGE ET
SOCLE DE
Etude de l’attaque SÉCURITÉ
RISQUE DU RISQUE
• Via l’Ecosystème ATELIER 4

• Mode opératoire
• Niveau de vraisemblance
• Mise en avant des Vision attaquant
vulnérabilités du SI & de
l’Ecosystème APPRÉCIATION DES RISQUES
2. ETAT DES LIEUX: 3. TYPE D’ATTAQUE 4. MODE OPÉRATOIRE 5. MESURES DE

1. CADRE
MENACES, IMPACTS DANS DÉTAILLÉ D’UNE PROTECTION À
D’APPLICATION
& SOURCES DE L’ECOSYSTEME ATTAQUE (PROBABILITÉ METTRE EN ŒUVRE
RISQUES (PARTIES ET DIFFICULTÉ (TRAITEMENT DES
PRENANTES) TECHNIQUE) RISQUES)

OBJECTIFS DE L’ETUDE ATELIERS
1 2 3 4 5
Identifier le socle de sécurité adapté à l’objet de l’étude X
Etre conforme avec les référentiels de sécurité numérique X X
Evaluer le niveau de menace de l’écosystème vis-à-vis de l’objet de l’étude X
Identifier et analyser les scenarios de haut niveau, intégrant l’écosystème X X
Réaliser une étude préliminaire de risque pour identifier les axes prioritaires X X X X
d’amélioration de la sécurité
Conduire une étude de risque complète et fine, par exemple sur un produit de X X X X X
sécurité ou en vue de l’homologation d’un système
Orienter un audit de sécurité et notamment un test d’intrusion X X
Orienter les dispositifs de détection et de réaction, par exemple au niveau d’un X X

centre opérationnel de sécurité (SOC)

Formation EBIOS RM - Session Du 20220205

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Formation EBIOS RM - Session Du 20220205

Transféré par

Droits d'auteur :

Formats disponibles

Formation EBIOS

Risk Manager (2018)

Atelier 1 : cadrage et socle de sécurité

Atelier 2 : sources de risque

Atelier 3 : scénarios stratégiques

Atelier 4 : scénarios opérationnels

Atelier 5 : traitement du risque

05/02/2022 Formation EBIOS RM 2

PERCEPTION / VISION DU RISQUE

05/02/2022 Formation EBIOS RM 3

NIVEAU DE RISQUE (EBIOS RISK MANAGER)

Mesure de l’importance du risque, exprimée par la combinaison de la gravité et de la

Estimation du niveau et de l’intensité des Estimation de la faisabilité ou de la

05/02/2022 Formation EBIOS RM 4

EBIOS : Expression des Besoins et Identification des Objectifs de Sécurité

2 axes majeures de la méthode collaborative

05/02/2022 Formation EBIOS RM 5

05/02/2022 Formation EBIOS RM 6

Analyse technique et fonctionnel du SI sur :

- Ressources humaines, matériels, techniques, …

Approche par « scénarios »

Approche par « conformité »

Guides CNIL - Procédure de surveillance et de contrôle

Bonnes pratiques - Plan d’audit

05/02/2022 Formation EBIOS RM 7

Vision organisation Vision organisation Vision organisation

APPRÉCIATION DES RISQUES

05/02/2022 Formation EBIOS RM 8

Référentiels Chemins d’attaques

APPRÉCIATION DES RISQUES

05/02/2022 Formation EBIOS RM 9

05/02/2022 Formation EBIOS RM 10

Atelier 1 : cadrage et socle de sécurité

Atelier 2 : sources de risque

Atelier 3 : scénarios stratégiques

Atelier 4 : scénarios opérationnels

Atelier 5 : traitement du risque

05/02/2022 Formation EBIOS RM 11

OBJECTIF : Définir le cadre de l’étude et du projet, son périmètre métier et

05/02/2022 Formation EBIOS RM 12

Source de risque Adolescent

Objectif visé Modifier ses résultats scolaires

Valeur métier Résultats scolaires

Bien support Système informatique de gestion des résultats scolaires

Impacts • Impact sur la poursuite d’études des collégiens

05/02/2022 Formation EBIOS RM

05/02/2022 Formation EBIOS RM 14

Catégorie d’impact Exemples (liste non exhaustive)

05/02/2022 Formation EBIOS RM 15

Catégorie d’impact Exemples (liste non exhaustive)

05/02/2022 Formation EBIOS RM 16

05/02/2022 Formation EBIOS RM 17

MISSION IDENTIFIER ET FABRIQUER DES VACCINS

Activité consistant à réaliser :

05/02/2022 Formation EBIOS RM 18

MISSION IDENTIFIER ET FABRIQUER DES VACCINS

Activité de recherche et développement des vaccins nécessitant :

05/02/2022 Formation EBIOS RM 19

Fiche Méthode 2 MISSION IDENTIFIER ET FABRIQUER DES VACCINS

05/02/2022 Formation EBIOS RM 20

MISSION IDENTIFIER ET FABRIQUER DES VACCINS

Activité de recherche et développement des vaccins nécessitant :

Ne conserver que les valeurs