{"id":10643,"date":"2019-10-07T10:00:00","date_gmt":"2019-10-07T08:00:00","guid":{"rendered":"http:\/\/www.ab-consulting.fr\/blog?p=10643"},"modified":"2019-10-08T07:40:06","modified_gmt":"2019-10-08T05:40:06","slug":"ebios-rm-risques-cyber","status":"publish","type":"post","link":"http:\/\/www.ab-consulting.fr\/blog\/securite\/ebios-rm-risques-cyber","title":{"rendered":"Optimisez vos risques cyber avec EBIOS RM"},"content":{"rendered":"\n

A l’heure o\u00f9 les cyber-risques n’ont jamais \u00e9t\u00e9 plus pr\u00e9sents dans les entreprises, aboutissement de 2 ans d’un travail d\u2019envergure par l\u2019ANSSI et le Club EBIOS, EBIOS Risk Manager<\/strong> (EBIOS RM) vient de voir le jour. C’est la nouvelle d\u00e9clinaison de la m\u00e9thodologie d\u2019analyse de risque EBIOS. Plus efficace et pragmatique que la version pr\u00e9c\u00e9dente publi\u00e9e en 2010, nous vous en expliquons les grandes lignes.<\/em><\/p><\/blockquote>\n\n\n\n

\"Optimisez
Cr\u00e9dit \u00a9 rawpixel.com 2019<\/figcaption><\/figure><\/div>\n\n\n\n

Les principes fondamentaux d\u2019identification des enjeux, des risques et des actions de rem\u00e9diation de la version pr\u00e9c\u00e9dente demeurent. Mais la m\u00e9thode s\u2019illustre maintenant par son appel \u00e0 des sc\u00e9narios d\u2019attaque complexes<\/strong> tirant partie de vuln\u00e9rabilit\u00e9s multiples,<\/strong> \u00e0 la mani\u00e8re d\u2019attaques r\u00e9elles comme celles contre les syst\u00e8mes de connexion \u00e0 SWIFT de la Banque Centrale du Bangladesh en 2016 ou contre Sony Pictures en 2014\u2026 L’autre \u00e9volution majeure est l\u2019apparition d\u2019une analyse approfondie des attaquants potentiels, de l\u2019\u00e9cosyst\u00e8me et des parties prenantes<\/strong> du p\u00e9rim\u00e8tre \u00e9tudi\u00e9.<\/p>\n\n\n\n

Ce changement de posture permet \u00e0 EBIOS RM de r\u00e9pondre sp\u00e9cifiquement aux probl\u00e9matiques pos\u00e9es par des attaquants toujours plus professionnalis\u00e9s <\/strong>qui \u00e9tudieront m\u00e9thodiquement les vuln\u00e9rabilit\u00e9s d\u2019une cible ainsi que l\u2019ensemble de son \u00e9cosyst\u00e8me pour parvenir \u00e0 leurs fins. Elle vient ainsi remplir une zone de vide dans l\u2019espace des m\u00e9thodologies d\u2019analyse de risques.<\/p>\n\n\n\n

Cette approche est r\u00e9ellement innovante. Cependant, EBIOS RM ne doit pas forc\u00e9ment \u00eatre consid\u00e9r\u00e9e comme la nouvelle d\u00e9marche globale<\/strong> d\u2019analyse des risques. Il s’agit plut\u00f4t d’une nouvelle corde \u00e0 l\u2019arc<\/strong> m\u00e9thodologique du RSSI pour traiter les sc\u00e9narios d\u2019attaque les plus complexes.<\/p>\n\n\n\n

EBIOS RM : des menaces unitaires aux menaces complexes<\/h2>\n\n\n\n

Depuis bient\u00f4t 10 ans, EBIOS 2010 propose une m\u00e9thode centr\u00e9e sur la notion de menaces unitaires<\/strong> tirant partie de vuln\u00e9rabilit\u00e9s<\/strong> et de pr\u00e9vention de leurs impacts sur des processus m\u00e9tiers<\/strong>. Cette m\u00e9thode remettait, \u00e0 l\u2019\u00e9poque, le m\u00e9tier au centre de l\u2019analyse de risques. Elle n\u2019est pas con\u00e7ue pour <\/strong>identifier et traiter des menaces complexes. <\/strong>Ces menaces sont compos\u00e9es de rebonds de l\u2019attaquant d\u2019une vuln\u00e9rabilit\u00e9 \u00e0 une autre pour atteindre ses fins. Elles constituent pourtant aujourd\u2019hui une part majeure de l\u2019univers des risques SSI. De nombreux comit\u00e9s ex\u00e9cutifs<\/strong> les ont d’ailleurs mises \u00e0 leur ordre du jour \u00e0 la suite des attaques majeures r\u00e9centes comme NotPetya ou WannaCry.<\/p>\n\n\n\n

EBIOS RM vise \u00e0 compl\u00e9ter ce manque par une approche. Elle int\u00e8gre, dans un premier temps, l\u2019\u00e9tude pouss\u00e9e des intentions des attaquants<\/strong> potentiels. Dans un second temps, elle prend en compte formellement l\u2019\u00e9cosyst\u00e8me<\/strong>. Elle termine en identifiant des sc\u00e9narios d\u2019attaque complexes de type kill chain<\/em><\/a><\/strong>. L\u2019objectif final de cette \u00e9tude n\u2019est plus l\u2019alignement des mesures de s\u00e9curit\u00e9 \u00e0 des failles unitaires comme pour EBIOS 2010. Elle vise d\u00e9sormais la capacit\u00e9 \u00e0 ma\u00eetriser des risques aux facettes multiples.<\/p>\n\n\n\n

Vue globale de la m\u00e9thode EBIOS RM<\/h2>\n\n\n\n

La m\u00e9thode EBIOS Risk Manager adopte une approche de management du risque num\u00e9rique partant du plus haut niveau (grandes missions de l\u2019objet \u00e9tudi\u00e9) pour atteindre progressivement les fonctions m\u00e9tier et techniques, par l\u2019\u00e9tude des sc\u00e9narios de risque possibles. Elle vise \u00e0 obtenir une synth\u00e8se entre \u00ab conformit\u00e9 \u00bb et \u00ab sc\u00e9narios \u00bb. Elle positionne donc ces deux approches compl\u00e9mentaires l\u00e0 o\u00f9 elles apportent la plus forte valeur ajout\u00e9e. La pyramide du management du risque num\u00e9rique symbolise cette d\u00e9marche :<\/p>\n\n\n\n

\"Pyramide
Pyramide de management du risque num\u00e9rique \u00a9 ANSSI 2018<\/figcaption><\/figure><\/div>\n\n\n\n

EBIOS RM consiste en une approche it\u00e9rative en 5 ateliers. L\u2019approche par conformit\u00e9 est utilis\u00e9e pour d\u00e9terminer le socle de s\u00e9curit\u00e9 sur lequel s\u2019appuie l\u2019approche par sc\u00e9narios pour \u00e9laborer des sc\u00e9narios de risque particuli\u00e8rement cibl\u00e9s ou sophistiqu\u00e9s. Cela suppose que les risques accidentels et environnementaux sont trait\u00e9s \u00e0 priori via <\/em>une approche par conformit\u00e9 au sein du socle de s\u00e9curit\u00e9. L\u2019appr\u00e9ciation des risques par sc\u00e9narios, telle que la d\u00e9crit la m\u00e9thode EBIOS RM, se concentre donc sur les menaces intentionnelles.<\/p>\n\n\n\n

\"Vue
EBIOS une d\u00e9marche it\u00e9rative en 5 ateliers \u00a9 ANSSI 2018\n<\/figcaption><\/figure><\/div>\n\n\n\n

Atelier 1 : Cadrage et socle de s\u00e9curit\u00e9<\/h3>\n\n\n\n

L\u2019atelier 1 permet de suivre une approche par \u00ab conformit\u00e9 \u00bb, correspondant aux deux premiers \u00e9tages de la pyramide du management du risque num\u00e9rique et d\u2019aborder l\u2019\u00e9tude du point de vue de la \u00ab d\u00e9fense \u00bb. Il s’\u00e9talera sur une dur\u00e9e moyenne de 3 demi-journ\u00e9es.<\/p>\n\n\n\n

Les participants requis \u00e0 cet atelier sont typiquement :<\/p>\n\n\n\n