''  Votre partenaire  conseil en transformation numérique ''

 

Notre approche repose sur un accompagnement complet, depuis l'évaluation initiale de vos besoins jusqu'à la mise en œuvre opérationnelle de solutions stratégiques.

 

En mettant l'accent sur l'audit approfondi, l'analyse rigoureuse et la formulation de recommandations pertinentes, nous nous engageons à soutenir votre entreprise dans sa transformation numérique et à assurer sa réussite à long terme.

 

--    Nos principaux domaines d'expertise    --

Stratégie - Gestion Relation Métiers-DSI - Intelligence Collective - Pilotage de projets - Maîtrise d'œuvre

Conduite du Changement - Rédaction de Cahiers des Charges - Cybersécurité - ISO27001:2022

Sourcing de solutions - Solutions alternatives - Opensource

Conformités - Numérique Responsable

 

--    Catalogue de Solutions    --
 

Dans notre démarche d'accompagnement des entreprises dans leurs projets de transformation numérique, chez Innovalead, nous sommes toujours à la recherche de solutions innovantes et vertueuses favorisant le développement de l'économie de proximité et d'un numérique toujours plus responsable. 

 

Si vous êtes à la recherche de solutions créées et propulsées par des sociétés françaises ou européennes, depuis 2020, nous proposons une liste, non exhaustive, de solutions. Consultez notre catalogue !

 

 

--    Nos derniers articles    --
 

 

La méthode EBIOS

 

La méthode EBIOS pour votre gestion des risques IT ?

mai-2023

 

La méthode EBIOS a été créée en 1995 par la Direction Centrale de la Sécurité des Systèmes d'information (DCSSI), devenue aujourd'hui l'Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI). Elle permet aux entreprises et aux administrations d'analyser et de gérer leurs risques numériques et plus particulièrement les cyberattaques. Très riche, adaptative et rapide, elle permet de résoudre la plupart des problématiques de sécurité informatique.

   

La méthode EBIOS s'appuie sur des normes internationales comme l'ISO 27001 ou l'ISO 27002 et sur les lignes directrices de l'Organisation de Coopération et de Développement Économiques (OCDE). Cette méthode profite d'un logiciel qui facilite son utilisation grâce à un système modulaire. Il y a aussi le Club EBIOS qui regroupe plusieurs experts, français et étrangers.

 

La méthode EBIOS utilise une approche de management du risque numérique qui part du plus haut niveau, c'est-à-dire des grandes missions de l'objet étudié, pour atteindre de manière progressive les fonctions métiers et techniques, selon l'étude des scénarios de risques possibles. Elle est structurée en 5 ateliers qui permettent de l'aborder comme une boîte à outils. Grâce aux ateliers de la méthode EBIOS, l'organisation se concentre sur les activités liées aux objectifs attendus. La réalisation en groupe de ces ateliers apporte de l'agilité et la valorisation de travailler avec différents métiers.

En bref, la méthode EBIOS permet de : comprendre et évaluer les risques numériques ;

valider le niveau acceptable des risques ;
déterminer les mesures d'atténuation qui conviennent le mieux ; mettre en place un plan d'action pour réduire les risques numériques ; entrer dans une phase d'amélioration continue.

 

 

Atelier 1 : Cadrage et socle de sécurité

L'atelier « Cadrage et socle de sécurité » consiste à poser les bases de l'analyse en définissant le cadre de l'étude : les objectifs, les participants et le cadre temporel. Cet atelier est très important, car il permet de déterminer la marche à suivre pour la suite.

Il faut aussi définir le périmètre métier et technique, c'est-à-dire préciser les missions de l'objet d'étude et ses valeurs métiers.

Dans cet atelier, il est également nécessaire de déterminer les événements redoutés en lien avec ces valeurs métiers et les évaluer selon les impacts et la gravité. Enfin, il faut étudier le socle de sécurité en tenant compte des référentiels de sécurité, de l'état d'application des référentiels et de l'identification des écarts.

Pour cet atelier, il faut avoir un plan contenant le processus, une description de l'entreprise et une idée détaillée de la solution technique. Sans cela, il est impossible de déterminer les valeurs commerciales et donc l'impact ou les actifs possibles.

 

Atelier 2 : Sources de risque

L'atelier « Sources de risque » consiste à identifier et à catégoriser les sources de risques (SR) et les objectifs visés (OV) en lien avec le périmètre étudié afin de déterminer les cas représentatifs qui permettent d'identifier qui peut nuire ou attaquer l'objet de l'étude, et surtout dans quel objectif. En e]et, les sources de risques sont des entités qui peuvent porter préjudice aux actifs du périmètre étudié tout en ayant un but précis qui est l'objectif visé.

Le but est donc d'identifier la source de risque : les personnes susceptibles de nuire à l'organisation (par exemple, les menaces internes et/ou externes) et leurs objectifs (par exemple, nuire à l'organisation, détruire la réputation, etc.).

La source de risque et ses objectifs sont appelés « un couple ».

Cette évaluation des risques tient compte de la motivation, des ressources, de l'activité et de l'historique des sources de risque. Les couples SR/OV pertinents sont formalisés et sont inscrits dans une cartographie des sources de risques. Il faut savoir que seulement certains sont retenus pour la suite de l'analyse. En e]et, il faut travailler un ensemble représentatif plutôt qu'exhaustif.

 

Atelier 3 : Scénarios stratégiques

L'atelier « Scénarios stratégiques » consiste à cartographier la menace numérique selon l'objet étudié et de bâtir des scénarios stratégiques. Pour cela, il faut déterminer les chemins d'attaque d'une source de risque qui souhaite atteindre son objectif. Ces scénarios stratégiques sont évalués selon la gravité.

Après avoir cartographié les menaces, il faut alors tenir compte des clients, des partenaires ou des prestataires qui ont une interaction avec l'objet de l'étude et prendre conscience de la menace qu'ils représentent, élaborer les scénarios possibles et le niveau de gravité. Il faut aussi définir les mesures de sécurité associées afin de réduire le niveau de menace et parer aux différents scénarios.

 

ATELIER 4 : Scénarios opérationnels

L'atelier « Scénarios opérationnels » consiste à identifier les modes opératoires qui peuvent être utilisés pour réaliser des scénarios stratégiques. Leur structuration est facilitée en utilisant les phases d'une cyber kill chain.

La cyber kill chain désigne une méthode de modélisation des procédés d'intrusion sur un réseau informatique. Ces grandes phases mettent en avant l'organisation d'une attaque avec les types d'actions élémentaires. Il faut ensuite évaluer la vraisemblance des scénarios opérationnels. La vraisemblance peut être évaluée par différentes méthodes, c'est-à-dire en cotant le scénario globalement ou en prenant en compte la probabilité de succès et la difficulté de réalisation de chaque action élémentaire. Enfin, il est possible d'avoir une vision générale du risque initial à travers une cartographie globale.

 

Atelier 5 : Traitement du risque

L'atelier « Traitement du risque » consiste à synthétiser les scénarios de risques et à définir le plan de traitement du risque, un PACS « Plan d'Amélioration Continue de la Sécurité ». Il s'appuie sur la vision de l'analyse des risques et sur la mise en place des mesures de sécurité. Il faut donc réaliser une synthèse des scénarios précédemment identifiés et définir les mesures de sécurité complémentaires aux mesures identifiées dans l'atelier « Scénarios stratégiques ». Il faut évaluer les risques résiduels et mettre en place des indicateurs de suivi des risques.

 

Quel est l'intérêt de la méthode EBIOS ?

La méthode EBIOS permet de mettre en œuvre et de renforcer le processus de gestion des risques numériques des entreprises. Elle permet également d'évaluer les risques des projets numériques et de les traiter, par exemple avec une certiUcation de sécurité. Elle permet également de déterminer le niveau de sécurité à atteindre pour un produit ou pour un service selon ses cas d'usage et des risques à éviter, par exemple avec une certiUcation ou une accréditation.

La méthode EBIOS est une méthode rapide, car la durée de l'étude est optimisée. En e]et, elle prend en compte uniquement les éléments nécessaires selon le résultat souhaité. Cette méthode est également adaptative, structurée en fonction du contexte de chacun et est utilisée pour des finalités et démarches sécuritaires.

 

Le résultat de la méthode EBIOS est réutilisable, car une étude EBIOS est mise à jour de manière régulière pour gérer les risques en continu. La méthode EBIOS est riche et est maintenue à un niveau élevé par les experts de la sécurité des systèmes d'information, car elle regroupe des normes internationales, le logiciel libre, la formation et le club EBIOS.

 

Inconvénients de l’approche EBIOS

Outre sa faible diffusion relative ailleurs qu’auprès des Opérateurs d’Importance Vitale Français qui l’utilisent pour leur rapport annuel à l’ANSSI, côté inconvénients, cette approche ne fait l’objet d’aucune évaluation externe. Il s'agit, comme le cyber framework NIST, d'une technique d’auto-évaluation. La méthode EBIOS repose en outre sur l’idée que les cyber menaces relèvent d’attaques extérieures. Elle ne traite donc pas l’éventualité de risques accidentels.

Cette façon d’évaluer la gravité du risque repose donc sur une évaluation subjective et non-chiffrée du danger. L’incapacité réelle de l'entreprise à assurer la continuité de ses activités ou sa survie dépend d’hypothèses effectuées sur la base d’échelles nominales ou ordinales. En conséquence, la hiérarchie des cyber risques qui en découle a par conséquent des chances d’être approximative.

Il est indispensable de connaître l’impact financier d’un scenario de risque, pour les comparer et établir une hiérarchie des risques crédible, réaliste et utile pour la construction d’un plan d’actions de prévention de cybersécurité performant.

 

Pascal Baratoux

CEO Innovalead

--    Ils nous font confiance   --

--    Chartes & Labels    --

Acteurs France Num

--    Notre éco-système   --

Les Cas d'Or
Solainn
Digital League
BankVault
CPME
CortexEra

--    Notre fondateur   --

Pascal Baratoux

Président - Fondateur

Mes engagements :

Engagé dans le numérique depuis le début de ma carrière professionnelle, j'ai fondé Innovalead, cabinet de conseil spécialisé dans l'accompagnement des organisations dans leur parcours de transformation numérique. Je suis persuadé que le numérique est une opportunité si cette transformation se fait en profondeur, avec de l'intelligence collective et sur l'ensemble des structures et des collaborateurs de l'entreprise. Le numérique ne doit pas être une fin en soi, mais bien être un outil au service de la stratégie afin de permettre à l'entreprise d'atteindre ses objectifs. Dans les choix et conseils, je préconise les solutions numériques, éthiques et responsables qui servent les missions de RSE de l'entreprise. 

 

Mes compétences :

Avec + de 25 ans d’expérience au sein de groupes internationaux de services numériques en France et à l’international, j’ai développé des compétences dans les domaines de la digitalisation de processus métiers des petites et grandes entreprises et des relations métiers avec les Directions des Systèmes d’Information (DSI) internationales. Mes différentes responsabilités au sein de directions de services clients et de systèmes d’information m’ont permis de bien appréhender les besoins et contraintes quotidiens des clients et de leurs adéquations avec les services proposés par les DSI et les sociétés de services. Ces dernières années m’ont permis d’approfondir mes compétences dans la gestion de projets complexes et internationaux ainsi que des risques de cybersécurité en perpétuelle augmentation. Je me définis souvent comme un facilitateur de transformation.

 

Mon parcours :

Directeur de la relation entre la DSI et des filiales européennes, au sein de grands groupes internationaux, diplômé Executive MBA à HEC Paris, mes études et mon parcours professionnel m’ont amenée à découvrir et à comprendre différentes cultures internationales et de saisir les clés d'une transformation numérique réussit.  Autant d’expériences qui m’ont permis d’appréhender le monde de l’entreprise, avec ses enjeux environnementaux, sociétaux et éthiques.

 

 

#TransFoNum #Dématérialisation #Innovation #NumFrance #IntelligenceCollective #NumResponsable