Face aux menaces numériques grandissantes, le club EBIOS et l’ANSSI ont mis en place une méthode permettant d’assurer un socle de sécurité aux organisations. Il s’agit de la méthode EBIOS RM. Alors de quoi s’agit-il ? Comment l’utiliser ? Et quel est son intérêt ? C’est ce que nous allons voir dans cet article.
C’est quoi la méthode EBIOS RM ?
EBIOS, c’est l’acronyme de "Expression des Besoins et Identification des Objectifs de Sécurité". Il s’agit d’une méthode d’évaluation et de gestion des risques en matière de sécurité de l'information. Définie par l'Agence nationale de la sécurité et des systèmes d’information (ANSSI), avec le soutien du Club EBIOS, EBIOS décrit en détail la procédure à suivre pour évaluer des risques de sécurité au sein d’une organisation (étapes générales et bonnes pratiques).
Un peu d’histoire
Une première version a vu le jour en 1995, seulement 5 ans après la création du World Wide Web. Mais à mesure que les réseaux informatiques se développent et que les entreprises se digitalisent, les risques augmentent. Le traitement des risques doit donc s’adapter à ces évolutions. C’est pourquoi, la méthode EBIOS a été régulièrement mise à jour, d’abord en 2004, puis en 2010.
De nouveau, EBIOS RM a été actualisée en 2018 afin de prendre en compte l’environnement dans lequel les entreprises interagissent. À savoir : des systèmes interconnectés, une prolifération des menaces cyber, une règlementation plus mature, etc. Pour intégrer ces évolutions, la dernière mise à jour EBIOS RM met l'accent sur l'agilité et la représentativité des risques (non pas forcément sur leur exhaustivité). Ainsi, la nouvelle version d’EBIOS risk management n’a pas pour but d’identifier tous les risques de sécurité, seulement les plus importants.
Une nouvelle approche de la gestion du risque
Quelles que soient les actualisations de la méthode, l’objectif est toujours le même : aider les organisations à identifier, évaluer et gérer les risques cyber. Pour cela, EBIOS RM part du plus haut niveau avant d’atteindre progressivement les fonctions métier et techniques. Ce chemin descendant est réalisé à travers différents scénarios de risque possibles.
Ce faisant, les organisations sont capables d’apprécier les risques numériques (notamment leur niveau d’acceptation) et d’identifier les mesures de sécurité à mettre en place pour les maîtriser. In fine, elle s’inscrit dans une démarche d’amélioration continue.
Bon à savoir : EBIOS RM est une méthodologie française largement utilisée pour évaluer les risques de sécurité. Mais au-delà de nos frontières, c’est la norme ISO 27005 qui fait figure de référence. Pour autant, EBIOS RM et ISO 27005 peuvent être complémentaires. En effet, en tant que norme, ISO 27005 fournit le cadre à adopter pour optimiser son management des risques, alors que EBIOS RM fournit les étapes et les bonnes pratiques pour évaluer et gérer les risques.
Comment utiliser la méthode EBIOS Risk Management ?
La méthode EBIOS RM fournit aux organisations une boîte à outils pour mieux gérer les risques. Celle-ci se présente sous la forme de 5 ateliers (ou étapes) :
- Atelier 1 : Il s’agit de définir le périmètre d'application de la méthode de management des risques. À savoir les participants, le calendrier, les objectifs, les supports, les ressources de l’entreprise, …. Ce qui permet d’identifier les événements redoutés en fonction de leur gravité et de leur impact.
- Atelier 2 : à ce stade, vous devez croiser les origines des risques avec les objectifs ciblés.
- Atelier 3 : c’est l’élaboration de scénarios de menaces numériques basés sur une échelle d'impact et de gravité. Ces scénarios présentent les voies d'attaque d'une origine du risque.
- Atelier 4 : on passe à la conception de scénarios opérationnels. L’idée est de détailler concrètement la manière dont les pirates agissent.
- Atelier 5 : c’est un résumé des risques examinés précédemment. Cela va ensuite permettre d’implémenter une stratégie de lutte contre les cybermenaces.
Il faut savoir que ces différentes étapes sont adaptables en fonction de l’objectif et du projet. Et oui, l’un des gros points forts de la méthode EBIOS est son agilité et sa flexibilité. Ainsi, toutes les organisations peuvent l’utiliser, quels que soient leur taille, leur secteur d’activité, le niveau de maturité de leurs systèmes d’information, etc.
Quel est l’intérêt de EBIOS Risk Management ?
EBIOS RM se présente avant tout comme une méthode ultra flexible. Elle peut ainsi être utilisée pour répondre à divers objectifs, comme la mise en place d’un processus de management du risque, l’appréciation des risques numériques, la définition du niveau de sécurité d’une organisation (notamment en prévision d’une certification), etc.
Cette méthode est d’autant plus agile qu’aujourd’hui, toutes les organisations sont soumises au risque cyber. Elles ont donc toutes intérêt à implémenter EBIOS RM pour évaluer leurs risques.
Pour apprendre à utiliser cette méthode avec efficacité et l’adapter aux spécificités de votre organisation, mieux vaut se former. C’est justement possible avec la CyberUniversity. Découvrez notre programme.