En octobre 2018, lors des Assises de la sécurité, le directeur général de l’ANSSI, Guillaume Poupard, dévoilait la nouvelle méthodologie EBIOS Risk Manager. « Fruit d’un travail de deux années de l’ANSSI et du Club EBIOS, qui regroupe des experts de la gestion des risques », ce nouvel outil doit permettre de répondre aux nouveaux enjeux que sont la prolifération des menaces, l’émergence d’écosystèmes numériques complexes et le bouleversement numérique dans tous les secteurs d’activité.
Apparue en France en 1995 et destinée aux entreprises et aux institutions, la méthode EBIOS est la référence française dans l’analyse de risques liés au numérique.
La nouvelle version, EBIOS Risk Manager, est divisée en 5 ateliers : le cadrage et socle de sécurité, les sources de risques, les scénarios stratégiques, les scénarios opérationnels, et enfin le traitement du risque. Elle a été élaborée pour apprécier les risques numériques actuels et identifier les mesures de sécurité à mettre en œuvre afin de les maîtriser.
Premier atelier
Le premier atelier consiste à cadrer l’étude en identifiant les actifs et les évènements redoutés. Il est attendu ici, d’exposer l’objet de l’étude en s’accordant sur les objectifs, puis d’identifier les participants des ateliers suivants en fonction notamment de leurs responsabilités. Pour ce faire, l’ANSSI préconise l’utilisation de la matrice RACI.
Il faut ensuite estimer le cadre temporel de l’étude, soit la durée des cycles opérationnels et stratégiques.
L’ANSSI conseille en outre de recenser l’ensemble des valeurs métiers associées à l’objet de l’étude. Cela concerne plus exactement les informations et processus jugés importants qu’il convient de protéger. L’objectif principal est de veiller à limiter le nombre de valeurs métiers pour ne garder que celles identifiées comme essentielles ou sensibles.
Dès lors, on aboutit à l’identification des événements redoutés et à l’évaluation de leur niveau de gravité. Pour parvenir à un résultat le plus exhaustif possible, il faut notamment effectuer un travail de recherche sur les effets néfastes consécutifs à une atteinte de chaque « valeur métier ». Ici, l’ANSSI et le Club EBIOS préconisent d’utiliser le processus DICT.
Après ce travail, il faut estimer la gravité de chaque évènement redouté en fonction de la criticité de la valeur métier vis-à-vis :
- Des missions de l’organisation
- De la réglementation
- De la nature et de l’intensité des impacts directs, voire indirects.
Enfin, pour mener à bien cet atelier, il faut déterminer le socle de sécurité en identifiant l’ensemble des référentiels de sécurité s’appliquant à l’objet d’étude, en utilisant par exemple les normes ISO2700X. Cet atelier, très complet, se rapporte précisément à l’étude de contexte et l’étude des évènements redoutés dans la méthode EBIOS.
Deuxième atelier
Le deuxième atelier permet quant à lui d’identifier les sources de risque. Pour y arriver, il faut déterminer le profil de l’attaquant et les types d’objectifs qu’il cherche atteindre. A partir de là, il est possible d’évaluer la pertinence des couples « sources de risque et objectifs visés » les plus pertinents. Enfin, on sélectionne les couples jugés prioritaires pour poursuivre l’analyse de risques.
Cet atelier équivaut à l’introduction à l’étude des scénarios de menaces sur EBIOS, soit l’identification de la source des menaces.
Troisième atelier
Pour cet atelier, il faut construire la cartographie de menace numérique de l’écosystème et y sélectionner les parties prenantes critiques avant d’élaborer des scénarios stratégiques. Ces derniers doivent imaginer de quelle façon un attaquant peut procéder pour atteindre son objectif. Grâce à ce travail, on peut évaluer le niveau de gravité de chaque attaque potentielle, au regard des impacts sur les valeurs métier.
L’ANSSI nous invite à rechercher des pistes de réduction des risques et les traduire en mesure de sécurité, ce qui permet dès lors de définir les mesures de sécurité sur l’écosystème.
La particularité de cet atelier est sa nouveauté par rapport à la méthode EBIOS, en effet, dans la méthode originelle, il n’est pas fait mention des scénarios stratégiques.
Quatrième atelier
L’avant dernier atelier permet d’identifier les scénarios opérationnels. Pour cela, il faut définir les biens-supports critiques susceptibles de servir d’entrée à une attaque. Il faut construire les scénarios opérationnels en se basant sur les scénarios stratégiques retenus dans l’atelier 3 et en s’appuyant sur la cartographie du système d’information.
L’ANSSI préconise de représenter les scénarios sous forme de graphiques ou de schémas d’attaques, utiles à la représentation des modes opératoires de l’attaquant.
Après cette élaboration des scénarios opérationnels, il est nécessaire d’évaluer leurs vraisemblances globales, fondées sur la probabilité de réussite ou la faisabilité.
Deux évaluations sont nécessaires : une première ciblant la vraisemblance élémentaire de chaque action du scénario et une seconde touchant la vraisemblance globale du scénario à partir de vraisemblances élémentaires. La première évaluation confronte d’une part les ressources et la motivation présumée de la source de risques, et d’autre part le socle de sécurité de l’objet étudié et le niveau de vulnérabilité de l’écosystème. La seconde se positionne sur le mode opératoire de moindre effort pour la source de risques.
Cet atelier se rapporte à la deuxième partie de l’étude des scénarios de menaces sur EBIOS.
Cinquième atelier
Enfin, le dernier atelier identifie les risques et les mesures de sécurité à mettre en place. Pour cela il est nécessaire de réaliser une synthèse des scénarios de risques identifiés. L’ensemble des représentations adoptées constitue la cartographie du risque initial, c’est-à-dire avant traitement. Ensuite, il est possible de définir la stratégie de traitement du risque et les mesures de sécurité.
Pour chaque scénario de risques, il est nécessaire de mettre en place des seuils d’acceptation du risque et du niveau de sécurité à atteindre en cas de non acceptation. Cela permet la formalisation de cette décision dans la stratégie de traitement du risque.
Après la stratégie de traitement validée pour chaque scénario, il faut définir les mesures de sécurité associées pour le traiter.
Ce dernier atelier, bien vaste, regroupe quant à lui l’étude des risques et l’étude des mesures de sécurité d’EBIOS.
Au premier abord, cette nouvelle méthode semble plus compliquée que l’initiale. Qui plus est, la différence notable est l’apport des scénarios stratégiques qui étaient inexistants dans l’analyse EBIOS originelle.
Cette analyse de risques souhaite remplacer la méthode originelle critiquée pour son inaccessibilité à tous les métiers. En effet, l’ANSSI voit en cette méthode, une approche plus collective permettant d’impliquer tous les acteurs centraux d’une entreprise ou d’une organisation. L’ANSSI insiste bien sur la nouveauté d’EBIOS Risk Manager : miser sur une collaboration totale en entreprise.
Dans le domaine de la sécurité des systèmes d’information, cette méthode met au centre la volonté d’anticipation. « La crise, ça se prépare, ça s’anticipe. La foudre ne tombe pas toujours chez le voisin. […] La communication en cas de crise est essentielle[1]» précise ainsi Guillaume Poupard.
En parallèle à cette nouvelle méthode d’analyse de risques, l’ANSSI compte lancer un label en 2019 pour les éditeurs de logiciels développés en totale conformité avec cette dernière.
[1] BLANC-ROLIN Charles, « Les Assises de la sécurité : l’actu de l’Anssi », DSIH, le 17 octobre 2018