La méthode

EBIOS Risk Manager

Analyse de risques cyber

La méthode EBIOS Risk Manager, promue par l’ANSSI, a pour objectif de vous accompagner dans la réalisation et le suivi de vos analyses de risques. Découvrez ici comment se construit la méthode, quels sont les ateliers qui la composent et leurs objectifs. Pour aller plus loin et démarrer plus concrètement, appuyez vous sur notre outil Agile Risk Manager labellisé pour EBIOS Risk manager !

Origine de la méthode

La méthode EBIOS Risk manager est née d’une réflexion et d’une collaboration active entre l’ANSSI et plusieurs acteurs majeurs, représentés par le Club EBIOS. Elle provient de l’expérience accumulée depuis de nombreuses années, et des nouveaux besoins permettant aux analyses de risques de rester un outil pertinent et efficace.

Depuis la version EBIOS 2010, le cadre normatif et réglementaire a beaucoup évolué, les retours d’expérience ont également pointé certaines limites et changement de pratiques, qui ont conduit à définir la nouvelle méthode EBIOS Risk Manager. S’appuyant sur des concepts éprouvés, tels que les notions de biens support et d’événements redoutés, elle a permis de mettre à jour l’approche et le travail d’analyse de risques avec les enjeux actuels. En prenant en compte le fonctionnement des organisations, les relations avec leur écosystème, etc. l’évaluation des risques va au delà des simples faits techniques.

Désormais, la cyber sécurité doit être vue comme un axe majeur des problématiques stratégiques et opérationnels de n’importe quelle organisation.

Une méthode, 5 ateliers

Atelier 1

Cadrage & socle de sécurité

Atelier 2

Sources de risque

Atelier 3

Scénarios stratégiques

Atelier 4

Scénarios opérationnels

Atelier 5

Traitement du risque

Découvrez EBIOS Risk Manager

Une méthode agile et collaborative

La méthode a été conçue avec la collaboration d’experts et se veut évolutive : elle doit vivre avec son domaine et ne pas rester figée. Ce principe agile se retrouve dans l’application même de la méthode permettant de réaliser les analyses de risques.

En effet, le découpage en ateliers permet d’aborder la méthode comme une boite à outils. Ceci permet de se concentrer uniquement sur les activités en rapport avec les objectifs attendus. La conduite des ateliers en groupe est également une valeur forte en lien avec l’agilité et valorisant la collaboration des différents corps de métier.

Enfin, la notion d’itération, prônée par l’agilité, se retrouve dans les cycles stratégiques et opérationnels, ainsi que dans les ateliers 3 et 4 qui sont très couplés. En abordant l’analyse de risque de cette manière, l’objectif est d’aboutir rapidement à des résultats pertinents et à les faire vivre dans le temps.

EBIOS Risk Manager

Schéma extrait du guide officiel de la méthode

Atelier 1 - Cadrage et socle de sécurité

Agile Risk Manager - Atelier 1 - Identification des évènements redoutés

Ce premier atelier sert à poser les bases de l’analyse, en expliquant ses objectifs, son cadre, les participants aux différentes ateliers et leurs rôles. La sélection des objectifs attendus pour l’analyse spécifie quels sont les autres ateliers qu’il sera nécessaire de mener.

Une seconde activité de cet atelier consiste à décrire le périmètre métier et technique à prendre en compte, en décrivant les missions de l’objet d’étude, ses biens supports et ses valeurs métiers. Suite à cela, il est possible de définir les évènements redoutés liés à ces valeurs métiers, et à les évaluer en terme d’impacts et de gravité.

L’atelier 1 se finit par l’étude du socle de sécurité, qui permet avec une approche par conformité d’éliminer les scénarios les plus évidents, en précisant les référentiels de sécurité appliqués et en justifiant les écarts potentiels connus.

Atelier 2 - Sources de risque

L’atelier 2 quant à lui propose une étude ciblée sur les sources de risque et les objectifs visés, afin de déterminer les cas représentatifs permettant d’identifier qui peut vouloir nuire ou attaquer l’objet de l’étude, et surtout pour quel objectif.

Cette notion de couple est capitale pour identifier les cas pertinents. Comme partout dans une étude EBIOS Risk Manager, il est demandé de travailler sur un sous ensemble représentatif plutôt que de chercher l’exhaustivité. L’évaluation de la pertinence de chaque couple s’appuie de plus sur une évaluation de plusieurs critères tels que la motivation, les ressources et l’activité des sources de risque. Il est également possible de renseigner des éléments de threat intelligence avancés pour caractériser les couples, en renseignant des faits d’armes connus,  des modes opératoires spécifiques, etc.

Agile Risk Manager - Atelier 2 - Evaluation des couples de source de risque par objectif visé

Atelier 3 - Scénarios stratégiques

Agile Risk Manager - Atelier 3 - Cartographie des parties prenantes

Durant l’atelier 3, une première activité consiste à cartographier la menace que peut représenter l’écosystème. En effet, prendre en compte les clients, partenaires ou prestataires qui interagissent avec l’objet de l’étude permet de prendre conscience de la menace qu’ils peuvent représenter. Cet indicateur de menace est calculé en fonction du degré de dépendance à cette partie prenante ainsi que de sa fiabilité. Cette cotation n’a bien sur que peu de sens directement mais elle doit être prise de manière relative, pour comparer les risques de chaque maillon de la chaine.

Enfin, une fois l’écosystème évalué, la seconde activité consiste à élaborer graphiquement les scénarios stratégiques de chaque couple source de risque / objectif visé. Ces derniers peuvent être directs ou bien impliquer une ou plusieurs parties prenantes, ce qui met en avant comment l’écosystème peut être utilisé par un attaquant.

Pour finir, grâce à ces premiers résultats, il est possible en fin d’atelier de proposer des mesures de sécurité à appliquer sur l’écosystème pour réduire son niveau de menace et parer directement à certains scénarios.

Atelier 4 - Scénarios opérationnels

En complément des scénarios stratégiques de l’atelier 3, qui restent de haut niveau, l’atelier 4 propose de détailler chaque chemin d’attaque possible et de les représenter graphiquement sous la forme de scénarios opérationnels.

La structuration des scénarios est facilitée en s’appuyant sur les phases d’une cyber kill chains. Ces grandes phases montrent l’organisation d’une attaque, chacune d’elle pouvant comporter certains types d’actions élémentaire. Ces dernières représentent les différentes étapes d’une attaque, et peuvent être liée à des biens supports, etc. pour mettre en avant l’application dans le contexte de l’objet d’étude.

Une fois décrit, la vraisemblance de chaque scénario peut être évaluée. La méthode propose différents modes pour l’évaluation de la vraisemblance : de la plus directe en cotant le scénario globalement, à la plus détaillée en prenant en compte la probabilité de succès et la difficulté de réalisation de chaque action élémentaire.

Pour finir, une fois la vraisemblance affectée pour chaque scénario opérationnel, une vision générale du risque initial est proposée à travers une cartographie globale.

Agile Risk Manager - Atelier 4 - Scénarios opérationnels

Atelier 5 - Traitement du risque

ARM - Atelier 5 - Traitement du risque

Pour finir, l’atelier 5 intervient en dernier pour traiter les risques identifiés et construire un PACS (Plan d’Amélioration Continue). Cette vision dans le temps de la remédiation s’appuie sur la vision agile de l’analyse de risque et sur la mise en place itératives de mesures de sécurité.

En effet, grâce aux différentes évaluations et résultats provenant des ateliers conduits en amont, le PACS permet de cibler sur quels éléments agir en priorité, en construisant des recommandations étalées sur plusieurs jalons. Il en ressort ainsi pour chacun de ces jalons un niveau de risque résiduel qui peut être considéré comme acceptable ou nécessiter de nouvelles mesures à appliquer par la suite.

Pour aller plus loin

Essayez

Agile Risk Manager !

Versions d’évaluation disponibles !

EBIOS 2010

Vous réalisez déjà des analyses EBIOS 2010 ? Vous avez un capital d’analyse existantes ? Vos méthodes d’analyses évoluent et EBIOS Risk Manager peut répondre à de nouveaux besoins. N’hésitez pas à vous appuyer sur notre suite outillée pour mettre à jour vos analyses EBIOS 2010 ou les reprendre en utilisant EBIOS Risk Manager.

 

Cyber Architect

Cyber Architect

Cyber Architect peut vous accompagner dans la réalisation et la reprise d'analyses EBIOS 2010. En tant qu'outil complémentaire à Agile Risk Manager, ils peuvent être utilisés seuls ou ensemble en tant que suite logicielle complète.