EBIOS : 1 an après

EBIOS : 1 an après

Voilà un peu plus d’un an que la nouvelle méthodologie EBIOS Risk Manager a été publiée par l’ANSSI. Il est temps de donner notre avis (en espérant ne froisser personne) sur un retour opérationnel et de voir si les points soulevés à l’époque (lien ancien article) ont réellement posés des difficultés. 

Simple lifting ou refonte en profondeur ?

 Une fois l’appropriation des nouvelles terminologies (valeurs métiers, parties prenantes critiques,...) maitrisée sans trop de mal il faut l’avouer, force est de constater que la méthode a un peu changé si on la veut opérationnelle, beaucoup si on la suit à la lettre.
L’arrivée des fiches explicatives a tout de même permis de lever certains points un peu obscurs (menace numérique notamment) et aider les moins initiés avec un niveau de précision parfois bienvenue. La méthode nécessite néanmoins une appropriation selon le type d’analyse réalisée avec plus de difficulté pour l’utiliser sur un SMSI que sur une application.

 

Focus atelier par atelier

La découpe en ateliers était une bonne idée, avec la encore de bonnes explications dans le guide sur la préparation avec les objectifs, attendus et participants souhaités. Il reste toujours quelques stressés des interviews qui veulent les questions en avance, mais on arrive à s’en sortir !
En revanche le découplage de certains ateliers et attendus nous laisse encore perplexe, nous y reviendrons

Mais aussi, la notion d’atelier en elle-même peut être trompeur. A la lecture, le non initié peut penser qu’en 5 ateliers, donc 5 interviews, il aura une magnifique analyse de risque complète. C’est presque vrai si on réalise une analyse sur une application, en revanche, c’est loin de la vérité si on réalise une analyse sur un SMSI (oui on a été joueur et tous nos accompagnements ISO, HDS, Homologation sont sous EBIOS RM).

 

Rentrons dans le détail :

 

Atelier 1 : Cadrage et socle de sécurité

On le disait en 2018, sur le papier c’était l’atelier le plus simple, on restait en terrain connu. Après déclinaison, cela s’est avéré vrai avec une méthode bien rôdée sur l’identification du périmètre (valeur métier et bien support) et des événements redoutés pour faire parler le Métier. Nous ne pouvons qu’apprécier le retrait de l’obligation d’évaluer les besoins de sécurité des valeurs métier qui faisait doublon avec les événements redoutés. Il ne ne reste plus qu’un petit effort pour ne pas obliger les liens valeurs métiers et biens supports (la cartographie est normalement la pour ça) et on sera vraiment efficace.

Nous avions sous estimé l’importance du socle de sécurité. Se poser concrètement la question des référentiels, normes et lois applicables est un très bon exercice (surtout pour les secteurs très réglementés) et permet de mieux préparer nos scénarios de menace. Néanmoins, et comme dit à l’époque, il a été impossible d’identifier les écarts mesures par mesures ou règle par règle tant cet exercice s’apparente à un audit, qui nécessite un temps que nous n’avons généralement pas.

 

Atelier 2 : Sources de risque

On note la volonté de l’ANSSI de vouloir se poser LA question sur qui on craint, cependant et comme on le disait en 2018, on reste souvent générique sur cet atelier. La faute à une fiche méthode bien complète et pouvant s’appliquer à tous les secteurs. A nous de rendre cet atelier plus contextualisé, mais la menace étant aujourd’hui partout, cela reste difficile et valable pour tous (on arrive même à placer la source étatique de plus en plus).

 

Atelier 3 : Scénarios stratégiques

Enfin ! LE point qui soulevait beaucoup de questions à l’époque. Et bien il en pose toujours autant…Pourquoi avoir voulu complexifier la méthode avec ces doubles scénarios, on est tous perdus… Ce que l’on craignait s’est concrétisé, le Métier est incapable de s’exprimer sur ces scénarios (on le disait, il a déjà du mal sur les événements redoutés), donc soit il ne sait pas, soit il donne des scénarios opérationnels. C’est donc souvent un atelier non réalisé car trop complexe dans son approche. Et pour le coup, c’est le seul qui n’a pas le droit à sa fiche méthode. De notre point de vue, il n’aurait du sens que si on réalise une évaluation au niveau de la menace numérique, là oui, mais pourquoi l’imposer si on veut réaliser une analyse de risque complète avec forcément des doublons ou tout simplement des scénarios « marketing » sans réel apport.

Autre point, quand on nous dit qu’il faut se concentrer sur 4 / 5 grands scénarios et ne pas viser l’exhaustivité,c'est un grand non la encore !
Cela pourrait être vrai si nos sociétés avaient un bon niveau de sécurité, mais force est de constater que l’on est encore loin des bases et du fameux guide d’hygiène. Donc se concentrer sur l’essentiel (et vu par qui car personne ne le sait) est bien trop dangereux et « risque » de faire passer à côté de faiblesses bien réelles. (nous y reviendrons sur le prochain atelier). C’est d’autant plus vrai sur un système de management, comment dire à un responsable de processus que son scénario est moins important que celui de son voisin et donc on ne le prend pas. Bon courage pour défendre ça vis-à-vis d’un auditeur !

N’oublions pas tout de même la première partie de cet atelier sur les parties prenantes critiques, qui pour le coup est à l’instar du socle de sécurité, un très bon exercice. L’ajout des évaluations d’exposition et de la fiabilité, avec des échelles claires et compréhensibles, permet de se poser les bonnes questions et d’avoir cette fameuse menace numérique et d’en définir les bonnes actions. Nous ne pouvons qu'apprécier également l’aspect « politique » où il était compliqué de dire à un administrateur que c’était une source de menace, maintenant c’est une partie prenante sur qui on a confiance (ou pas), et ça passe beaucoup mieux dans le discours !
En revanche, on zappe  facilement la mise en place de mesures attendues sur cette partie et on se la réserve plutôt pour le PACS pour éviter, la encore, les doublons. Une question tout de même : pourquoi ne pas avoir mis cette partie dans l’atelier 2 avec les sources de risques et avoir une vue complète de la menace numérique ? Cela éviterait les sollicitations multiples non désirées.

 

Atelier 4 : Scénarios opérationnels

On le disait en 2018, cet atelier est très proche de l’ex étude des menaces, donc on est en terrain conquis. Les fiches méthodes apportent un vrai plus avec des exemples de scénarios et une logique d’attaque, mais également des méthodes (mathématiques même) d’évaluation de la vraisemblance qui donne moins une impression de « doigt mouillé (ou lancé de dés au choix) ». Cependant, et pour faire écho au paragraphe précédent, si on suit à la lettre la méthode, on est censé se focaliser sur les scénarios opérationnels des 4/5 scénarios stratégiques. On passe donc (obligatoirement) à côté de vulnérabilités. On a donc souvent décidé de ne pas écouter l’ANSSI sur la méthode, et d’essayer de garder une vue d’ensemble.

Il aurait été bon d’apporter plus de lien avec le socle de sécurité pour mieux faire ressortir tous les écarts constatés en vulnérabilités potentielles et en évaluer leur vraisemblance. On ne va pas se mentir, sauf pour les référentiels où on a pas le choix (LPM au hasard), on doit prioriser nos actions de mise en conformité.

L’idée des graphs d’attaque était bonne si on a 2 / 3 graphs à faire, ça devient tout de suite beaucoup plus lourd si on est plus complet. Néanmoins l’idée de représentation graphique a été gardée, mais plutôt pour présenter nos risques.

Pour finir sur les (ex) menaces, nous n’en avons pas parlé, mais à l’époque les menaces accidentelles avaient été exclues. La possibilité de les ajouter a depuis été spécifiée, et encore une fois, ne pas les évaluer serait dangereux car le risque d’erreur et la gestion du changement est encore loin d’être maitrisée.

 

Atelier 5 : Traitement du risque

Et voila notre dernier atelier, celui qui avait le moins changé avec EBIOS 2010, et bien c’est vrai. Il en ressort toujours de la « magie » pour arriver aux risques, sans explication.

Tada, voila vos risques !

Plus sérieusement il y a toujours 2 écoles : ceux qui vont suivre à la lettre ce qui est écrit où on est censé avoir autant de risque que nous avons de scénarios opérationnels multipliés par le nombre de scénarios stratégiques et chemin d’attaque. Soit beaucoup (ou pas si on a pas réussi à identifier les scénarios stratégiques).
Et ceux qui comme nous, essaient d’identifier des scénarios de risques Métier, factorisés et compréhensibles par tous (direction compris) en tordant un peu la méthode de construction. Donc oui on est dans l’idée de ce que voulait l’ANSSI sur les scénarios stratégiques, mais si on suit la méthode à la lettre, on y arrive pas.

Autre point, sur le PACS cette fois ci. On ne commentera pas l’acronyme, mais on l’avait dit, les améliorations étaient les bienvenues. Il en manquerait une dernière, le fameux poids des mesures qui amènent les risques résiduels. On est de plus en plus challengé, et le « à dire d’expert » passe de moins en moins. La recette miracle n’a pas (encore) été trouvée.

 

Ce qui pourrait être amélioré ?

 

Vous l’aurez compris, dans l’ensemble, nous apprécions les nouveautés de la méthode qui apporte de vrais réflexions, à une exception prêt : les scénarios stratégiques !

Est-ce que la démarche apporte un gain de temps (30% comme on entend dire) par rapport à EBIOS 2010 ?

Nous n’en sommes pas convaincus. Il faut toujours regarder les craintes d’un côté, et les vulnérabilités de l’autre, avec en plus des réflexions sur le socle et les sources de risques / parties prenantes. Sur un an écoulé, le gain de temps est pour nous nul. A voir dans un an si on sera plus performant !

 

L’ANSSI prônant les valeurs de l’amélioration continue (et on ne peut qu’être d’accord), nous pouvons espérer une amélioration de la méthode et une possibilité de choisir plutôt entre les deux ateliers de scénarios selon la profondeur d’analyse que l’on souhaite réaliser. 

Nicolas Pierre, Consultant, Advens