Présentation de la méthode EBIOS Risk Manager

Le numérique devient une composante universelle et vitale de notre société qui transforme de manière irréversible les dimensions politique, économique, sociale et culturelle des organismes comme des individus.

D’abord, il bouleverse les domaines régaliens si bien que certains auteurs n’hésitent pas à comparer les conséquences stratégiques de l’avènement du cyberespace aux ruptures qu’ont provoqué en leur temps la poudre à canon, l’aviation, ou même l’arme nucléaire.

En effet, le cyberespace est devenu un milieu artificiel, supplémentaire, qui entoure et pénètre les domaines physiques que sont l’air, la terre, la mer, l’air et l’espace. Il transforme ainsi les rapports de force traditionnels et fait émerger un nouvel enjeu pour les Etats : la souveraineté numérique.

Ensuite, il transforme l’économie : dans leur quête permanente d’efficacité et leur souci de développement durable, les entreprises – grandes et petites – numérisent progressivement leurs processus à grand renfort de technologies de l’information et de la communication (TIC), modifiant ainsi leurs modes de fonctionnement internes comme leurs relations avec leurs partenaires, fournisseurs et client.

Enfin, le citoyen, devenu internaute, fait lui aussi un usage massif et constant des outils numériques dont il dépend de plus en plus.

La conséquence la plus importante de cette révolution est que la confiance dans le cyberespace est désormais requise par tous, partout et tout le temps, afin que la société puisse bénéficier des progrès qu’apporte le cyberespace tout en maîtrisant ses dangers et ses menaces.

Quel que soit le milieu, la finalité de la sécurité est toujours de maîtriser l’issue des confrontations potentielles.

S’appliquant à un espace complexe et évolutif, la cybersécurité prend la forme de la résilience, fondée sur la robustesse des technologies associée à l’agilité des processus. Elle nécessite de définir, de concevoir et de déployer de façon rationnelle, comprise et partagée, les indispensables évolutions des cultures comme des organisations, des raisonnements économiques comme des choix techniques.

De fait, la mise en œuvre de la cybersécurité nécessite une stratégie qui doit s’adapter à la diversité des sources de menace, à la variété de leurs modes d’action et à la multiplicité des vulnérabilités susceptibles d’être exploitées. Par contre, les moyens mobilisables pour la sécurité sont, par essence, limités ; il est donc primordial de définir de manière rigoureuse les activités de sécurité puis de mesurer leur efficacité. C’est en cela que le concept de risque prend tout son sens car il permet d’évaluer et de hiérarchiser les situations de confrontation

EBIOS 2010 et EBIOS Risk Manager ont en commun la conformité au cadre de gestion des risques en sécurité de l’information, normalisé à l’international par la norme ISO/IEC 27005.

Elles se différencient par l’objectif de leur utilisation. EBIOS 2010 qui est conçue pour une recherche systématique des menaces sur tout type d’activités, résulte en un inventaire précis mais fourni et s’avère plutôt adaptée à une audience d’experts. En outre, ses capacités de description des scénarios d’attaque sont limitée.

EBIOS Risk Manager offre tout à la fois un processus d’analyse rigoureux pour conduire et optimiser la réflexion et un processus de communication pour partager ses résultats avec les décideurs grâce à plusieurs innovations :

1. l’introduction d’un socle de sécurité permet de considérer maîtrisés les risques habituels dès lors que sont en place les bonnes pratiques d’hygiène et les recommandations issues de référentiels normatifs ou réglementaires ;
2. la caractérisation de l’écosystème, par une représentation graphique, simple et efficace, du périmètre étudié, permet d’identifier ses parties prenantes (clients, partenaires, prestataires) et les sources de risque les plus vraisemblables ;
3. l’introduction dans la réflexion du point de vue de l’attaquant permet de reformuler les motivations premières de la source de risque (un but lucratif, un sabotage, une destruction, etc.) en objectifs précis (revendre des données sensibles, causer une rupture informatique, etc.), puis de les contextualiser dans le cadre des informations et fonctions métier (perte de confidentialité de données clients, interruption du système de commande livraison, etc.) ;
4. l’introduction de chemins d’attaques non techniques, les scénarios stratégiques, représentés dans l’écosystème de façon naturelle, montre les possibilités de contourner ou de surmonter le niveau de protection fourni par le socle tout en restant très proches du contexte métier. Cette innovation apporte à l’analyse une étape d’identification des chemins d’attaques exploitant la compromission préalable d’une ou de plusieurs parties prenantes ;
5. la modélisation des scénarios opérationnels, permettant aux scénarios stratégiques de se réaliser, encourage la prise en compte des éléments d’architecture, des enseignements d’audits ou de pentests, afin d’identifier les tactiques d’attaques les plus plausibles ;
6. Tous ces éléments convergent pour permettre une sélection efficace de mesures, en complément du socle, afin d’apporter au décideur l’assurance que son dispositif de sécurité corresponde au meilleur ratio coût / opportunité.

Depuis plusieurs années en France, le succès de la gestion de risques à l’aide de la méthode EBIOS, est démontré auprès des experts métiers et des experts en gestion des risques.

Le défi est enfin résolu : il est possible de produire en temps contraint une étude optimisée sur la partie essentielle d’un métier en prenant en compte son écosystème et le besoin d’offrir au décideur une vue claire et pertinente à son niveau.

Le Club EBIOS, avec le soutien de l’ANSSI, rassemble une communauté d’experts, d’institutions et d’organismes privés ou publics, de tailles et de secteurs variés, qui s’attachent à favoriser là où c’est utile la pratique de la gestion des risques en sécurité de l’information et son application sur des objets d’études qui relèvent du cyberespace.

Pour concrétiser son action, le Club EBIOS s’est positionné comme le creuset de la méthode de gestion des risques EBIOS Risk Manager, publiée par l’ANSSI. La communauté des utilisateurs de la méthode partage librement au sein du Club les retours d’expérience et propose à l’ANSSI les pistes d’amélioration de son contenu comme de son outillage logiciel ou de ses bases de connaissances. En outre, il maintient la liste des formateurs et agrée les certificateurs.

Riche de cultures métiers et de profils d’organismes très divers, le Club EBIOS a accompagné la transformation de la gestion des risques, d’abord marquée par les risques informatiques, puis par les risques en sécurité de l’information, et aujourd’hui les risques dans le cyberespace où apparaissent de nouvelles formes de menaces et de stratégies de défense.

Grâce au soutien de l’ANSSI, le Club EBIOS se veut non seulement une plateforme d’échange ouverte pour la gestion des risques à l’aide de la méthode EBIOS Risk Manager, mais aussi un vecteur de rayonnement de la France en Europe et à l’international dans ce domaine, via une stratégie de collaboration transverse avec le CLUSIF et l’AFNOR pour une influence appuyée au Comité Joint Technique 13 du CEN/CENELEC et au Sous-Comité 27 du Comité Joint Technique de l’ISO et de l’IEC.

(par le Club EBIOS)