Premières impressions sur EBIOS Risk Manager

Gouvernance Risques et Conformité
Premières impressions sur EBIOS Risk Manager

Après s’être imposée comme la méthodologie de référence, entreprises publiques comme privées, voilà que l’ANSSI et le Club EBIOS ont décidé de nous proposer une refonte /mise à jour de la méthodologie, 8 ans après la dernière version.

En 8 ans, la prise en compte de la sécurité des systèmes d’information a forcément grandement évolué. Mais la méthodologie 2010 restait selon nous appropriée au travers de son approche « générique ». On maitrisait enfin les principes et variantes, tout en la rendant la plus opérationnelle possible. Avis aux RSSI, équipe sécurité et autres consultants : nous allons devoir nous la réapproprier ! Rentrons dans le vif du sujet, après notre première lecture à chaud…

La méthodologie EBIOS Risk manager, simple lifting ou refonte en profondeur ?

En première lecture, tout a changé et pourtant tout a l’air semblable… Autant vous le dire tout de suite, il va falloir revoir toute votre terminologie d’analyse de risque. Certains termes perdurent (bien support, événement redouté et même risque… ouf !). Et d’autres font leur apparition avec une séparation pas franche : scénario stratégique et opérationnel, source de risque et partie prenante critique, etc. Au passage, dites adieu aux biens essentiels, sources et scénarios de menaces – les deux derniers étant selon nous les termes les plus simples !

Dans le fond, en réalisant un exercice de comparaison entre la version 2010 et la version 2018, l’approche reste la même. On identifie les biens ayant de la valeur pour l’organisation (valeur métier et objectif visé désormais et non plus bien « essentiel »). Puis on applique des scénarios au travers de sources. Et cela génère des risques et des mesures. La manière n’a donc pas changé, ouf ! On ne reviendra donc pas sur l’atelier 1 « Cadrage et socle de sécurité », qui s’apparente à nos anciennes études du contexte et évènement redouté. Hormis quelques termes, rien ne change.

On ne reviendra pas non plus sur l’atelier 5 « Traitement des risques » qui permet de représenter nos risques selon une cartographie bien connue (Gravité vs Vraisemblance) et de produire le plan de traitement associé. Excusez-moi, le PACS associé (Plan d’Amélioration Continue de la Sécurité) !

Ce dernier a d’ailleurs subit un petit lifting bien venu - avec le lien entre risques réalisé directement au travers des mesures (finis les liens multiples) et l’ajout de nouvelles informations souvent demandées : le responsable de l’action, les freins de déploiement éventuel, les coûts et la durée. Du classique pour un plan d’action !

Là où la nouvelle méthodologie nous perd un peu, c’est dans l’atelier 2 « Source de risque » avec la distinction faite entre source de risque et partie prenante critique (dans l’atelier 3) … mais aussi dans les ateliers 3 et 4, avec l’ajout de deux niveaux de scénarios : stratégiques et opérationnels.

Pourquoi faire compliqué quand on faisait simple… Focus !

L’atelier 2 nous demande d’identifier les sources de risques et leurs objectifs visés : à savoir toute origine (personne ou organisation) souhaitant nuire à notre système et sans accès à ce dernier. Tandis que l’atelier 3 nous demande d’identifier les parties prenantes critiques : autrement dit toute personne avec un accès au système par lequel une source de risque pourrait passer pour arriver à ses fins.

Vous suivez toujours ? Pas évident… En effet, là où nous avions des sources de menaces en 2010 avec origine involontaire et délibérée, il va maintenant falloir distinguer. Pourquoi pas ! Mais ne retrouvons-nous pas souvent les mêmes sources de risques : concurrent, hacktiviste (et encore) et employé vengeur ? Que faisons-nous de nos administrateurs par qui les menaces étaient les plus parlantes ? Visiblement ce sont maintenant des parties prenantes critiques qu’il va falloir protéger… et non plus des gens dont on devrait se méfier ! Il était toujours délicat de savoir comment considérer cette catégorie d’utilisateur. L’exercice sera intéressant à réaliser.

Maintenant passons à la partie la plus compliquée (selon nous) avec l’ajout de deux niveaux de scénarios dans deux ateliers (3 et 4). En atelier 1, on a déjà identifié les événements redoutés (ouf un terme que l’on connait) et voilà qu’il faut le coupler avec un scénario dit « stratégique », c’est-à-dire exploitant des vulnérabilités, mais pas trop technique qui pourrait être exprimées par le métier. C’était déjà compliqué d’obtenir les événements, cela va être encore plus dur d’avoir ces scénarios…

Et on en remet une couche dans un autre atelier avec cette fois-ci les scénarios « opérationnels ». Ce sont les mêmes… mais cette fois on est plus précis dans les vulnérabilités et on estime enfin les vraisemblances ! De prime abord, cela a l’air plutôt complexe à décliner et risque d’alourdir la démarche. A vérifier en pratique !


Des questions en suspens ?

Outre la terminologie, le guide nous a semblé plutôt clair et compréhensible pour les plus initiés. Cependant, et faute peut-être au rédacteur de ces lignes, deux points semblaient obscurs :

La détermination du socle de sécurité doit-il faire l’objet d’un audit ?

Je n’ai pas parlé de ce point… En atelier « 1 – Cadrage », il faut identifier les référentiels applicables et le niveau de conformité selon une échelle à 3 valeur (appliqué sans restriction, avec restriction et non appliqué)… jusque-là, plutôt simple ! Mais il faut également identifier les écarts en citant les points précisément (dixit l’exemple). Si c’est le cas, cela risque de complexifier la démarche et de nécessiter un audit complet avant chaque analyse. Ce point risque d’être souvent mis de côté ou être plus générique sans la liste des écarts.

Comment estimer la menace numérique ?

Encore un nouveau terme qui doit permettre de choisir, parmi les parties prenantes identifiées, les plus critiques au travers de deux critères : leur exposition et leur fiabilité Cyber - selon une échelle qui ne semble pas définie. Ça se jouera peut-être au feeling dans un premier temps !


Pour résumer

Rien ne change, on a toujours 5 grandes étapes mais on les aborde un peu différemment :

  • 1er atelier : on cadre l’étude, on identifie les actifs et les événements redoutés. Pas d’inquiétude, on est en terrain conquis (à voir comment aborder le socle sécurité néanmoins).
  • 2ème atelier : on identifie les sources de risque. On est également en confiance. Notre seule crainte, c’est d’être un peu « classique », sauf exception liée à l’organisation ou au système analysé.
  • 3ème atelier : on identifie nos parties prenantes critiques (ex sources de menaces) et les scénarios stratégiques. Ça commence à se compliquer. C’est un début de scénario de risque, vu que l’on recoupe avec nos évènements redoutés et on introduit des (ex)menaces. Mais on ne rentre pas trop dans le détail. L’exercice ne s’annonce pas simple, surtout avec les métiers.
  • 4ème atelier : on identifie nos scénarios opérationnels. Pour faire simple, cela revient à identifier nos (ex)menaces et nos vraisemblances. A priori facile, mais on perd notre base de connaissances qui était plutôt pratique à décliner.
  • 5ème atelier : on identifie nos risques avec une recommandation bienvenue sur leur formulation (orientée métier et compréhensible), puis bien évidement les mesures de sécurité à mettre en place et les risques résiduels. Du classique ici aussi normalement.

Le mot de la fin

Outre la nouvelle terminologie, l’approche change également. Nous avions enfin réussi à inculquer deux notions, l’une relative aux évènements redoutés exprimées par le métier et l’autre relative aux menaces par l’IT. On y ajoute désormais une couche intermédiaire de scénarios. Laissons-nous le temps de l’appropriation avant de juger de sa plus-value. Nous ne doutons pas que l’ANSSI et le club EBIOS ont pris le temps de la réflexion avant de nous proposer cette refonte !

Après une lecture à chaud et sans mise en application, nous la jugeons néanmoins plutôt complexe dans sa prise en main et dans sa déclinaison opérationnelle. Mais quel consultant en sécurité - ayant déjà tenté de sensibiliser ses interlocuteurs - ignore encore que la gestion du changement est un art subtil ?

Nous reviendrons avec un avis éclairé par des retours terrain après quelques analyses réalisées.


Nicolas Pierre, Consultant, Advens