Qu’est-ce que la méthode EBIOS RM ?
Depuis 20 ans, EBIOS est la méthode de référence pour les analyses de risque des systèmes d’information des administrations et grandes entreprises françaises. En effet, EBIOS est l'acronyme d’« Expression des Besoins et Identification des Objectifs de Sécurité ». Après 8 années d’utilisation de la méthode d’Analyse de risques EBIOS 2010, un nouveau concept voit le jour se basant sur l’agilité, la connaissance et l’engagement : EBIOS “RM”, pour Risk Manager.
Selon l’ANSSI, “La méthode EBIOS RM adopte une approche de management du risque numérique qui part du plus haut niveau (grandes missions de l’objet étudié) pour s’intéresser progressivement aux éléments métiers et techniques, en étudiant les chemins d’attaque possibles. L’appréciation des risques par scénarios se concentre donc sur les menaces intentionnelles et ciblées.”
Qu’est-ce que la méthode EBIOS risk manager ?
La méthode EBIOS RM peut être utilisée à plusieurs fins :
- mettre en place ou renforcer un processus de gestion du risque numérique au sein d'une une organisation ;
- évaluer et traiter les risques liés à un projet numérique, notamment en vue de l'objectif d'une accréditation de sécurité ;
- définir le niveau de sécurité à atteindre pour un produit ou un service en fonction de ses cas d'usage et des risques à contrer, dans la perspective d'une certification ou d'une accréditation par exemple.
Comment cette méthode permet-elle de gérer les risques ?
La méthode EBIOS Risk Manager adopte une approche de la gestion du risque numérique en partant du niveau le plus élevé (missions majeures de l'objet étudié) pour atteindre progressivement les fonctions métiers et techniques, en étudiant les scénarios de risques possibles. Elle vise à obtenir une synthèse entre la " conformité " et les " scénarios ", en positionnant ces deux approches complémentaires là où où elles apportent la plus grande valeur ajoutée. Cette approche est symbolisée par la pyramide de la gestion du risque numérique (cf. Figure 1 - Pyramide du management du risque numérique ).
Le déploiement et l’application de cette nouvelle méthode s’effectue généralement lors de 5 ateliers
- L’atelier 1 “Cadrage et socle de sécurité” permet d’ identifier l’objet de l’étude, les participants aux ateliers et le cadre temporel. Cet atelier doit permettre de recenser les missions, les valeurs métier et biens supports relatifs à l’objet étudié. Les événements redoutés associés aux valeurs métier sont également identifiés.
- L’atelier 2 “Source de risque” donne lieu à l’identification et à la caractérisation des sources de risque (SR) et de leurs objectifs de haut niveau, appelés objectifs visés (OV).
- L’atelier 3 “Scénarios stratégique” a pour objectif de définir une vision claire de l’écosystème et d’établir une cartographie de menace numérique de celui-ci vis-à-vis de l’objet étudié. Cela va permettre de construire des scénarios de haut niveau, appelés scénarios stratégiques. Ils représentent les chemins d’attaque qu’une source de risque est susceptible d’emprunter pour atteindre son objectif.
- L’atelier 4 “Scénarios opérationnels” vise à élaborer des scénarios techniques reprenant les modes opératoires susceptibles d’être utilisés par les sources de risque pour réaliser les scénarios stratégiques.
- L’atelier 5 “Traitement du risques” consiste à réaliser une synthèse de l’ensemble des risques étudiés en vue de définir une stratégie de traitement du risque. Cette stratégie est ensuite déclinée en mesures de sécurité inscrites dans un plan d’amélioration continue.
Pour conclure, EBIOS RM est une méthode conçue pour être testée, améliorée et débattue. Dans ce contexte, le club EBIOS, entre autres, est un des partenaires indissociables de cette démarche, garants de la reconnaissance et de l’utilisation de la méthode EBIOS.