A l’heure où les cyber-risques n’ont jamais été plus présents dans les entreprises, aboutissement de 2 ans d’un travail d’envergure par l’ANSSI et le Club EBIOS, EBIOS Risk Manager (EBIOS RM) vient de voir le jour. C’est la nouvelle déclinaison de la méthodologie d’analyse de risque EBIOS. Plus efficace et pragmatique que la version précédente publiée en 2010, nous vous en expliquons les grandes lignes.
Les principes fondamentaux d’identification des enjeux, des risques et des actions de remédiation de la version précédente demeurent. Mais la méthode s’illustre maintenant par son appel à des scénarios d’attaque complexes tirant partie de vulnérabilités multiples, à la manière d’attaques réelles comme celles contre les systèmes de connexion à SWIFT de la Banque Centrale du Bangladesh en 2016 ou contre Sony Pictures en 2014… L’autre évolution majeure est l’apparition d’une analyse approfondie des attaquants potentiels, de l’écosystème et des parties prenantes du périmètre étudié.
Ce changement de posture permet à EBIOS RM de répondre spécifiquement aux problématiques posées par des attaquants toujours plus professionnalisés qui étudieront méthodiquement les vulnérabilités d’une cible ainsi que l’ensemble de son écosystème pour parvenir à leurs fins. Elle vient ainsi remplir une zone de vide dans l’espace des méthodologies d’analyse de risques.
Cette approche est réellement innovante. Cependant, EBIOS RM ne doit pas forcément être considérée comme la nouvelle démarche globale d’analyse des risques. Il s’agit plutôt d’une nouvelle corde à l’arc méthodologique du RSSI pour traiter les scénarios d’attaque les plus complexes.
EBIOS RM : des menaces unitaires aux menaces complexes
Depuis bientôt 10 ans, EBIOS 2010 propose une méthode centrée sur la notion de menaces unitaires tirant partie de vulnérabilités et de prévention de leurs impacts sur des processus métiers. Cette méthode remettait, à l’époque, le métier au centre de l’analyse de risques. Elle n’est pas conçue pour identifier et traiter des menaces complexes. Ces menaces sont composées de rebonds de l’attaquant d’une vulnérabilité à une autre pour atteindre ses fins. Elles constituent pourtant aujourd’hui une part majeure de l’univers des risques SSI. De nombreux comités exécutifs les ont d’ailleurs mises à leur ordre du jour à la suite des attaques majeures récentes comme NotPetya ou WannaCry.
EBIOS RM vise à compléter ce manque par une approche. Elle intègre, dans un premier temps, l’étude poussée des intentions des attaquants potentiels. Dans un second temps, elle prend en compte formellement l’écosystème. Elle termine en identifiant des scénarios d’attaque complexes de type kill chain. L’objectif final de cette étude n’est plus l’alignement des mesures de sécurité à des failles unitaires comme pour EBIOS 2010. Elle vise désormais la capacité à maîtriser des risques aux facettes multiples.
Vue globale de la méthode EBIOS RM
La méthode EBIOS Risk Manager adopte une approche de management du risque numérique partant du plus haut niveau (grandes missions de l’objet étudié) pour atteindre progressivement les fonctions métier et techniques, par l’étude des scénarios de risque possibles. Elle vise à obtenir une synthèse entre « conformité » et « scénarios ». Elle positionne donc ces deux approches complémentaires là où elles apportent la plus forte valeur ajoutée. La pyramide du management du risque numérique symbolise cette démarche :
EBIOS RM consiste en une approche itérative en 5 ateliers. L’approche par conformité est utilisée pour déterminer le socle de sécurité sur lequel s’appuie l’approche par scénarios pour élaborer des scénarios de risque particulièrement ciblés ou sophistiqués. Cela suppose que les risques accidentels et environnementaux sont traités à priori via une approche par conformité au sein du socle de sécurité. L’appréciation des risques par scénarios, telle que la décrit la méthode EBIOS RM, se concentre donc sur les menaces intentionnelles.
Atelier 1 : Cadrage et socle de sécurité
L’atelier 1 permet de suivre une approche par « conformité », correspondant aux deux premiers étages de la pyramide du management du risque numérique et d’aborder l’étude du point de vue de la « défense ». Il s’étalera sur une durée moyenne de 3 demi-journées.
Les participants requis à cet atelier sont typiquement :
- La direction,
- Les métiers,
- Le responsable de la sécurité des systèmes d’information (RSSI / CISO),
- La direction des systèmes d’information (DSI / CIO).
Ce premier atelier vise à identifier l’objet de l’étude, les participants aux ateliers et le cadre temporel. L’objectif de cet atelier, est de recenser les missions, valeurs métier (ou biens essentiels) et biens supports relatifs à l’objet étudié. Les participants identifient ensuite les événements redoutés associés aux valeurs métier et évaluent la gravité de leurs impacts. Enfin, cet atelier définit le socle de sécurité et les écarts.
Atelier 2 : Sources de risque
Le but de l’atelier 2 de la méthode EBIOS RM est d’identifier les sources de risque (SR) et leurs objectifs visés (OV), en lien avec le contexte particulier de l’étude. L’atelier vise à répondre à la question suivante : qui ou quoi pourrait porter atteinte aux missions et valeurs métier identifiées dans l’atelier 1, et dans quels buts ?
Les sources de risque et les objectifs visés sont ensuite caractérisés et évalués en vue de retenir les plus pertinents. Au final, les couples SR/OV jugés les plus pertinents sont retenus au terme de cet atelier. Les résultats permettent de formaliser dans une cartographie des sources de risque. Ils seront utiles à la construction des scénarios des ateliers 3 et 4.
Les participants requis à cet atelier sont :
- La direction (au minimum lors de la dernière étape de l’atelier) ,
- Les métiers,
- Le RSSI / CISO,
- Un spécialiste en analyse de la menace numérique complètera éventuellement votre groupe de travail, selon le niveau de connaissance de l’équipe et le niveau de précision souhaité.
Cet atelier, d’une durée variable, pourra, selon cas, nécessiter de 2 heures à une journée de travail.
Atelier 3 : Scénarios stratégiques
Compréhension de l’écosystème
L’atelier 3 permet d’acquérir une vision claire de l’écosystème et d’établir une cartographie de menace numérique de celui-ci vis-à-vis de l’objet étudié. Ceci va vous permettre de bâtir des scénarios de haut niveau, appelés scénarios stratégiques. Ils représentent les chemins d’attaque qu’une source de risque est susceptible d’emprunter pour atteindre son objectif. Ces scénarios se conçoivent à l’échelle de l’écosystème et des valeurs métier de l’objet étudié. Ils sont évalués en termes de gravité. À l’issue de cet atelier, vous pouvez déjà définir des mesures de sécurité sur l’écosystème.
L’écosystème comprend l’ensemble des parties prenantes qui gravitent autour de l’objet de l’étude et concourent à la réalisation de ses missions (partenaires, sous-traitants, filiales, etc.). De plus en plus de modes opératoires d’attaque exploitent les maillons les plus vulnérables de cet écosystème pour atteindre leur objectif (exemple : atteinte à la disponibilité d’un service en attaquant le fournisseur de service en nuage, piège de la chaîne logistique d’approvisionnement de serveurs facilitant l’exfiltration de données sensibles).
Elaboration de scénarios stratégiques
L’objectif de l’atelier 3 est de disposer d’une vision claire de l’écosystème, afin d’en identifier les parties prenantes les plus vulnérables. Il s’agit ensuite de bâtir des scénarios de haut niveau, appelés scénarios stratégiques. Ces derniers sont autant de chemins d’attaque que pourrait emprunter une source de risque pour atteindre son objectif (i.e. un des couples SR/OV sélectionnés lors de l’atelier 2).
L’atelier 3 est à aborder comme une étude préliminaire de risque. Il peut conduire à identifier les mesures de sécurité à appliquer vis-à-vis de l’écosystème. Les scénarios stratégiques retenus dans l’atelier 3 constituent la base des scénarios opérationnels de l’atelier 4.
Cet atelier, d’une durée variable, pourra nécessiter de une à trois journées de travail, selon les cas. Il requiert la participation de :
- Les métiers,
- Les architectes fonctionnels,
- Le RSSI / CISO,
- Un spécialiste en cybersécurité complètera éventuellement votre groupe de travail, selon le niveau de connaissance de l’équipe et le degré d’affinement visé.
Atelier 4 : Scénarios opérationnels
L’objectif de l’atelier 4 est de construire des scénarios opérationnels. Ils schématisent les modes opératoires que pourraient mettre en oeuvre les sources de risque pour réaliser les scénarios stratégiques. Cet atelier adopte une démarche similaire à celle de l’atelier précédent mais se concentre sur les biens supports. Les scénarios opérationnels (voir exemple ci-dessous) obtenus sont évalués en termes de vraisemblance. À l’issue de cet atelier, vous allez réaliser une synthèse de l’ensemble des risques de l’étude.
La période à considérer pour cet atelier est celle du cycle opérationnel.
Cet atelier, d’une durée moyenne de une à trois journées de travail nécessitera la participation active de :
- Le RSSI / CISO,
- Le DSI / CIO,
- Un spécialiste en cybersécurité complètera éventuellement le groupe de travail, selon le niveau de connaissance de l’équipe et le degré de précision souhaité.
Atelier 5 : Traitement du risque
Le dernier atelier consiste à réaliser une synthèse de l’ensemble des risques étudiés en vue de définir une stratégie de traitement du risque. Cette dernière se décline ensuite en mesures de sécurité inscrites dans un plan d’amélioration continue. Lors de cet atelier, on établit la synthèse des risques résiduels et le cadre de suivi des risques est défini.
Le but de cet atelier est de réaliser une synthèse des scénarios de risque identifiés et de définir une stratégie de traitement du risque. Cette stratégie aboutit à la définition de mesures de sécurité, recensées dans un plan d’amélioration continue de la sécurité (PACS). On identifie ensuite les risques résiduels ainsi que le cadre de suivi de ces risques.
La durée de cet atelier est variable mais se situe de deux à quatre demi-journée de travail en moyenne. Les participants à cet atelier sont les mêmes que pour l’atelier 1 :
- La direction,
- Les métiers,
- Le RSSI / CISO,
- Le DSI / CIO.
La méthode EBIOS Risk Manager en résumé
En savoir plus sur EBIOS Risk Manager
Elaborée en France, cette méthode des gestion des risques s’aligne sur la norme ISO/IEC 27005. Son avantage réside dans son pragmatisme et sa simplicité de mise en oeuvre. De plus, de nombreuses ressources vous permettent d’aller plus loin dans sa compréhension et sa mise en oeuvre.
Documentation publiée par l’ANSSI
L’ANSSI met à disposition gratuitement sur son site, le guide EBIOS Risk Manager. Ce guide complet de 49 pages. Il décrit les différentes étapes de façon pragmatique et claire. Pour ce faire, il se baset sur un exemple qui sert de fil rouge.
En outre, des « fiches méthodes » sont disponibles pour aider les utilisateurs à réaliser chaque atelier décrit dans le guide. Conçues comme des outils d’accompagnement à vocation pédagogique, ces fiches méthodes sont régulièrement mises à jour sur le site de l’ANSSI.
Formation et certification de personnes
Pour maîtriser la méthode EBIOS RM, PECB a créé une certification de personne EBIOS Risk Manager. La formation correspondante, d’une durée de 3 jours s’adresse à tous ceux qui veulent comprendre et être en mesure d’appliquer la méthode rapidement.
Une formation de 5 jours, combinant l’apprentissage de la norme ISO 27005 et de la méthode EBIOS RM emporte notre préférence. En seulement 5 jours, elle permet de passer les deux examens de certification ISO 27005 Risk Manager et EBIOS Risk Manager.