La méthode EBIOS pour votre gestion des risques IT ?
mai-2023
La méthode EBIOS a été créée en 1995 par la Direction Centrale de la Sécurité des Systèmes d'information (DCSSI), devenue aujourd'hui l'Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI). Elle permet aux entreprises et aux administrations d'analyser et de gérer leurs risques numériques et plus particulièrement les cyberattaques. Très riche, adaptative et rapide, elle permet de résoudre la plupart des problématiques de sécurité informatique.
La méthode EBIOS s'appuie sur des normes internationales comme l'ISO 27001 ou l'ISO 27002 et sur les lignes directrices de l'Organisation de Coopération et de Développement Économiques (OCDE). Cette méthode profite d'un logiciel qui facilite son utilisation grâce à un système modulaire. Il y a aussi le Club EBIOS qui regroupe plusieurs experts, français et étrangers.
La méthode EBIOS utilise une approche de management du risque numérique qui part du plus haut niveau, c'est-à-dire des grandes missions de l'objet étudié, pour atteindre de manière progressive les fonctions métiers et techniques, selon l'étude des scénarios de risques possibles. Elle est structurée en 5 ateliers qui permettent de l'aborder comme une boîte à outils. Grâce aux ateliers de la méthode EBIOS, l'organisation se concentre sur les activités liées aux objectifs attendus. La réalisation en groupe de ces ateliers apporte de l'agilité et la valorisation de travailler avec différents métiers.
En bref, la méthode EBIOS permet de : comprendre et évaluer les risques numériques ;
valider le niveau acceptable des risques ;
déterminer les mesures d'atténuation qui conviennent le mieux ; mettre en place un plan d'action pour réduire les risques numériques ; entrer dans une phase d'amélioration continue.
Atelier 1 : Cadrage et socle de sécurité
L'atelier « Cadrage et socle de sécurité » consiste à poser les bases de l'analyse en définissant le cadre de l'étude : les objectifs, les participants et le cadre temporel. Cet atelier est très important, car il permet de déterminer la marche à suivre pour la suite.
Il faut aussi définir le périmètre métier et technique, c'est-à-dire préciser les missions de l'objet d'étude et ses valeurs métiers.
Dans cet atelier, il est également nécessaire de déterminer les événements redoutés en lien avec ces valeurs métiers et les évaluer selon les impacts et la gravité. Enfin, il faut étudier le socle de sécurité en tenant compte des référentiels de sécurité, de l'état d'application des référentiels et de l'identification des écarts.
Pour cet atelier, il faut avoir un plan contenant le processus, une description de l'entreprise et une idée détaillée de la solution technique. Sans cela, il est impossible de déterminer les valeurs commerciales et donc l'impact ou les actifs possibles.
Atelier 2 : Sources de risque
L'atelier « Sources de risque » consiste à identifier et à catégoriser les sources de risques (SR) et les objectifs visés (OV) en lien avec le périmètre étudié afin de déterminer les cas représentatifs qui permettent d'identifier qui peut nuire ou attaquer l'objet de l'étude, et surtout dans quel objectif. En e]et, les sources de risques sont des entités qui peuvent porter préjudice aux actifs du périmètre étudié tout en ayant un but précis qui est l'objectif visé.
Le but est donc d'identifier la source de risque : les personnes susceptibles de nuire à l'organisation (par exemple, les menaces internes et/ou externes) et leurs objectifs (par exemple, nuire à l'organisation, détruire la réputation, etc.).
La source de risque et ses objectifs sont appelés « un couple ».
Cette évaluation des risques tient compte de la motivation, des ressources, de l'activité et de l'historique des sources de risque. Les couples SR/OV pertinents sont formalisés et sont inscrits dans une cartographie des sources de risques. Il faut savoir que seulement certains sont retenus pour la suite de l'analyse. En e]et, il faut travailler un ensemble représentatif plutôt qu'exhaustif.
Atelier 3 : Scénarios stratégiques
L'atelier « Scénarios stratégiques » consiste à cartographier la menace numérique selon l'objet étudié et de bâtir des scénarios stratégiques. Pour cela, il faut déterminer les chemins d'attaque d'une source de risque qui souhaite atteindre son objectif. Ces scénarios stratégiques sont évalués selon la gravité.
Après avoir cartographié les menaces, il faut alors tenir compte des clients, des partenaires ou des prestataires qui ont une interaction avec l'objet de l'étude et prendre conscience de la menace qu'ils représentent, élaborer les scénarios possibles et le niveau de gravité. Il faut aussi définir les mesures de sécurité associées afin de réduire le niveau de menace et parer aux différents scénarios.
ATELIER 4 : Scénarios opérationnels
L'atelier « Scénarios opérationnels » consiste à identifier les modes opératoires qui peuvent être utilisés pour réaliser des scénarios stratégiques. Leur structuration est facilitée en utilisant les phases d'une cyber kill chain.
La cyber kill chain désigne une méthode de modélisation des procédés d'intrusion sur un réseau informatique. Ces grandes phases mettent en avant l'organisation d'une attaque avec les types d'actions élémentaires. Il faut ensuite évaluer la vraisemblance des scénarios opérationnels. La vraisemblance peut être évaluée par différentes méthodes, c'est-à-dire en cotant le scénario globalement ou en prenant en compte la probabilité de succès et la difficulté de réalisation de chaque action élémentaire. Enfin, il est possible d'avoir une vision générale du risque initial à travers une cartographie globale.
Atelier 5 : Traitement du risque
L'atelier « Traitement du risque » consiste à synthétiser les scénarios de risques et à définir le plan de traitement du risque, un PACS « Plan d'Amélioration Continue de la Sécurité ». Il s'appuie sur la vision de l'analyse des risques et sur la mise en place des mesures de sécurité. Il faut donc réaliser une synthèse des scénarios précédemment identifiés et définir les mesures de sécurité complémentaires aux mesures identifiées dans l'atelier « Scénarios stratégiques ». Il faut évaluer les risques résiduels et mettre en place des indicateurs de suivi des risques.
Quel est l'intérêt de la méthode EBIOS ?
La méthode EBIOS permet de mettre en œuvre et de renforcer le processus de gestion des risques numériques des entreprises. Elle permet également d'évaluer les risques des projets numériques et de les traiter, par exemple avec une certiUcation de sécurité. Elle permet également de déterminer le niveau de sécurité à atteindre pour un produit ou pour un service selon ses cas d'usage et des risques à éviter, par exemple avec une certiUcation ou une accréditation.
La méthode EBIOS est une méthode rapide, car la durée de l'étude est optimisée. En e]et, elle prend en compte uniquement les éléments nécessaires selon le résultat souhaité. Cette méthode est également adaptative, structurée en fonction du contexte de chacun et est utilisée pour des finalités et démarches sécuritaires.
Le résultat de la méthode EBIOS est réutilisable, car une étude EBIOS est mise à jour de manière régulière pour gérer les risques en continu. La méthode EBIOS est riche et est maintenue à un niveau élevé par les experts de la sécurité des systèmes d'information, car elle regroupe des normes internationales, le logiciel libre, la formation et le club EBIOS.
Inconvénients de l’approche EBIOS
Outre sa faible diffusion relative ailleurs qu’auprès des Opérateurs d’Importance Vitale Français qui l’utilisent pour leur rapport annuel à l’ANSSI, côté inconvénients, cette approche ne fait l’objet d’aucune évaluation externe. Il s'agit, comme le cyber framework NIST, d'une technique d’auto-évaluation. La méthode EBIOS repose en outre sur l’idée que les cyber menaces relèvent d’attaques extérieures. Elle ne traite donc pas l’éventualité de risques accidentels.
Cette façon d’évaluer la gravité du risque repose donc sur une évaluation subjective et non-chiffrée du danger. L’incapacité réelle de l'entreprise à assurer la continuité de ses activités ou sa survie dépend d’hypothèses effectuées sur la base d’échelles nominales ou ordinales. En conséquence, la hiérarchie des cyber risques qui en découle a par conséquent des chances d’être approximative.
Il est indispensable de connaître l’impact financier d’un scenario de risque, pour les comparer et établir une hiérarchie des risques crédible, réaliste et utile pour la construction d’un plan d’actions de prévention de cybersécurité performant.
Pascal Baratoux
CEO Innovalead
