Découvrez EBIOS RM
Que vous le réalisiez ou non, chaque décision que vous prenez au quotidien repose sur une analyse implicite des risques. Que ce soit pour traverser une rue, investir dans des actions, ou accepter une nouvelle offre d'emploi, vous évaluez constamment les conséquences potentielles de vos choix. De la même manière, les organisations doivent aussi évaluer les risques pour protéger leurs informations cruciales et assurer leurs activités.
EBIOS RM, ou EBIOS Risk Manager, est une méthode conçue par l’ANSSI (Agence nationale de la sécurité des systèmes d'information) pour aider les organisations à naviguer dans ce monde complexe de la gestion des risques. L'objectif d'EBIOS RM est clair : identifier, évaluer et traiter les risques liés à la sécurité de l'information pour protéger les actifs critiques d'une organisation.
Qu’est qu’un actif critique ?
Un actif critique pourrait se résumer à une activité ou une personne qui serait importante au bon fonctionnement d’une organisation. La compromission d'un actif critique peut paralyser l'ensemble du système, ce qui rend indispensable une évaluation régulière des risques et la mise en place de mesures de protection adaptées.
Identifiez les apports d'EBIOS RM
Imaginez que vous passez d'une carte papier à une application GPS pour votre randonnée. EBIOS RM offre une approche moderne et dynamique :
Approche collaborative : Une implication accrue des métiers et du top management, comme si vous planifiiez votre randonnée en équipe.
Adaptabilité : Une méthodologie flexible qui s'adapte non seulement aux évolutions technologiques et organisationnelles mais également à tous types d’organisation qu'elles soient publiques, privées, de petite ou de grande taille.
Intégration stratégique et opérationnelle : Une meilleure connexion entre les aspects stratégiques et opérationnels de la gestion des risques, assurant que votre plan reste cohérent et efficace.
Pour atteindre cet objectif, EBIOS RM propose une approche structurée à travers cinq ateliers distincts que nous allons parcourir tout au long de ce cours.
Découvrez les 5 ateliers de l’approche EBIOS RM
Atelier 1 : Création du socle de sécurité
Imaginez-vous en train de préparer un plan de voyage. La première étape consiste à définir votre destination et votre itinéraire. De la même manière, cet atelier vous aide à définir le périmètre et le contexte de sécurité de votre organisation. Vous allez définir ici les valeurs métiers, les biens surpports et les événements redoutés.
Variante d'appellation : cadre et sécurité de l'organisme.
Atelier 2 : Identification des sources de risque
Tout comme vous identifiez les obstacles potentiels sur votre route, cet atelier vous permet de repérer les menaces qui pourraient affecter votre organisation.
Variante d'appellation : description des sources de risques et leurs objectifs.
Atelier 3 : Définition des scénarios stratégiques
Visualiser les scénarios de risques, c'est comme anticiper les détours imprévus lors de votre voyage. Cet atelier vous aide à identifier les parties prenantes et à développer des scénarios réalistes et pertinents.
Variante d'appellation : compréhension de l’écosystème et élaboration de scénarios de risques.
Atelier 4 : Définition des scénarios opérationnels pour évaluer l'impact
Après avoir identifié les scénarios, vous devez évaluer leur impact potentiel. Cet atelier vous guide dans l'analyse et l'évaluation des risques.
Variante d'appellation : Évaluation des risques.
Atelier 5 : Définition du Plan de Traitement des Risques
Enfin, tout comme vous préparez des plans de secours pour votre voyage, cet atelier vous aide à proposer et à mettre en œuvre des mesures de traitement des risques.
Variante d'appellation : traitement des risques.
Comprenez pourquoi et comment utiliser EBIOS RM
Imaginez que vous êtes en train de construire une maison. Vous ne commenceriez pas sans un plan détaillé, n'est-ce pas ? Vous évalueriez les besoins en matériaux, prépareriez un budget, et consulteriez des experts en construction. EBIOS RM fonctionne de manière similaire. Il offre une approche méthodique et structurée pour la gestion des risques, en engageant diverses parties prenantes pour assurer une communication efficace et une compréhension approfondie des enjeux de sécurité à tous les niveaux de l'organisation.
Maintenant que vous savez ce qu’est la méthodologie EBIOS RM, allons un peu plus loin en abordant ses fondamentaux.
Identifiez les principes fondamentaux d’EBIOS RM
L'importance de la gestion des risques en sécurité de l'information
Chaque jour, vous prenez des décisions pour protéger ce qui vous est cher, qu'il s'agisse de verrouiller votre porte la nuit ou de choisir une assurance santé. De la même manière, les organisations doivent protéger leurs informations sensibles pour assurer leur sécurité et leur continuité. La gestion des risques en sécurité de l'information permet de prévenir les incidents de sécurité, de minimiser leur impact et de garantir la résilience de l'organisation.
La notion de risque dans le contexte d'EBIOS RM
L'approche par scénarios est un des aspects les plus distinctifs et puissants d'EBIOS RM. Cette méthode consiste à imaginer des situations réalistes lors desquelles des risques pourraient se matérialiser.
Par exemple, vous pourriez envisager le scénario durant lequel une panne de courant affecte vos systèmes critiques ou une attaque de phishing réussie compromet vos données sensibles. En développant ces scénarios, vous pouvez mieux préparer des réponses adaptées et efficaces pour chaque situation.
Placez-vous du côté de l’attaquant puis du défenseur
Pour bien comprendre et définir les objectifs visés dans la gestion des risques, plaçons-nous à la fois du côté de l’attaquant et du défenseur. Cette double perspective permet d’anticiper les menaces potentielles et de renforcer les mesures de sécurité de manière proactive.
Du côté de l’attaquant
En se mettant dans la peau de l'attaquant, vous cherchez à identifier les motivations et les méthodes que celui-ci pourrait utiliser pour compromettre le système d'information. L'attaquant vise souvent à exploiter les faiblesses du système pour accéder à des informations sensibles, perturber les services ou causer des dommages à l'organisation. Comprendre ses objectifs permet ainsi de mieux se préparer face à une éventuelle attaque, en ajustant les mesures de sécurité en conséquence.
Par exemple, dans le cas de notre outil de gestion de paie, un attaquant pourrait chercher à :
Voler des données confidentielles : Informations personnelles des employés, données financières (comme les salaires et les montants des cotisations sociales).
Altérer l'intégrité des données : Modifier des informations de paie pour détourner des fonds.
Rendre les systèmes indisponibles : Lancer des attaques par déni de service (DDoS) pour interrompre les services critiques.
Du côté du défenseur
En tant que défenseur, l'objectif est de protéger les actifs critiques de l'organisation en anticipant les attaques et en mettant en place des mesures de sécurité robustes. Les défenseurs doivent se concentrer sur la mise en œuvre de stratégies qui garantissent la confidentialité, l'intégrité, la disponibilité et la traçabilité des informations (DICT).
Les principaux objectifs du défenseur incluent de :
Protéger la confidentialité des données : Assurer que seules les personnes autorisées ont accès aux informations sensibles.
Maintenir l'intégrité des systèmes et des données : Prévenir les modifications non autorisées et garantir que les informations restent fiables.
Assurer la disponibilité des services : Faire en sorte que les systèmes d'information soient accessibles et fonctionnels en tout temps.
Garantir la traçabilité : Enregistrer et surveiller les actions et les événements pour pouvoir détecter et répondre rapidement aux incidents de sécurité.
En adoptant ces deux perspectives, vous obtenez une vision complète des risques et des mesures nécessaires pour protéger efficacement le système d'information. Cette approche vous permet de développer des stratégies de sécurité qui non seulement répondent aux menaces actuelles mais anticipent également les futures attaques, assurant ainsi une défense solide et proactive pour votre organisation.
Adoptez une posture de consultant rassurante
Tout au long du processus, il est essentiel d'adopter une posture rassurante et humble. Montrez que vous maîtrisez la situation et que vous avez des solutions efficaces pour protéger le logiciel de paie. Une attitude confiante renforce la confiance des parties prenantes et les incite à suivre vos recommandations.
Cependant n’oubliez pas de préciser à votre auditoire qu’une analyse de risque se co-construit avec les parties prenantes. Ce sont eux qui connaissent le mieux leur application et les enjeux liés à celle-ci. 😉
Engagez les parties prenantes
Avec cette posture en tête, vous allez pouvoir mieux impliquer vos parties prenantes. Mais voici deux autres conseils pour bien les engager :
Vulgarisez le jargon de la cybersécurité pour une meilleure compréhension
Lorsque vous discutez avec les parties prenantes, il est crucial de vulgariser le jargon de la cybersécurité. Expliquez les termes techniques de manière simple.
Par exemple, au lieu de parler de "vulnérabilité zero-day", vous pourriez dire "une faille de sécurité non encore connue des développeurs".
Utilisez des analogies ou des métaphores
Employer une métaphore signifie comparer un concept technique à une idée familière.
Par exemple, on pourrait comparer la gestion des risques cyber au pilotage d’un bateau en pleine mer :
Le capitaine (l’équipe de la cybersécurité) doit surveiller les conditions météorologiques et les courants marins (les menaces potentielles).
Il utilise pour cela des cartes maritimes et des instruments de navigation (les outils et protocoles de sécurité) pour éviter les tempêtes (les cyberattaques) et les récifs cachés (les vulnérabilités).
En anticipant les dangers et ajustant la trajectoire du bateau (les stratégies de sécurité), il assure une traversée en toute sécurité.
Utilisez des exemples concrets
Donnez des exemples réels et/ou des situations pratiques pour illustrer un concept.
Pour notre logiciel de paie, vous pourriez organiser des démonstrations pratiques où vous montrerez comment une attaque par phishing pourrait compromettre les données stockées dans le logiciel.
Utilisez des visuels
Présentez des images, schéma, etc. pour clarifier les points complexes.
Structurez l'information
Divisez votre contenu en sections claires avec des titres et sous-titres. Utilisez des listes à puces.
Encouragez les questions
Préparez-vous notamment à répondre à la question : à quoi la gestion des risques sert-elle dans une organisation ?
En résumé
EBIOS RM permet d’identifier, d’évaluer et de traiter les risques liés à la sécurité de l'information pour protéger les actifs critiques d'une organisation.
Adoptez une posture rassurante pour mener à bien votre analyse.
Engagez vos parties prenantes, en :
simplifiant le jargon ;
utilisant des analogies, des exemples concrets et des visuels ;
structurant l’information ;
encourageant les questions.
Vous en savez désormais plus sur la méthodologie EBIOS RM. Avant de nous lancer dans le vif du sujet, je vous invite au chapitre suivant pour découvrir comment préparer l’ensemble de ces ateliers.
