Formation

La méthode Ebios Risk Manager : avantages, exemples et limites

Sophie LERAULT
August 8, 2023
Une formatrice dispensant une formation à la méthode EBIOS Risk Manager

Dans cet article, nous revenons sur la méthode Ebios Risk Manager : définition, déroulé, avantages, limites, cas d'utilisations et bonnes pratiques.

La méthode Ebios Risk Manager ou comment appréhender et gérer les risques informatiques 

EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité) est une méthode 100% française qui a vu le jour en 1995. Le terme “Expressions des besoins” est central car il renvoie à l’idée que cette méthode accompagne ces organisations dans la compréhension et la délimitation de leurs besoins en matière de gestion des risques. Alors, est-ce réellement le cas ? Et quels sont les avantages et les limites de cette démarche ?

EBIOS, une démarche pédagogique dédiée à la gestion des risques et de la sécurité des systèmes d’information (SI)

Définition et principes généraux de la méthode Ebios Risk Manager

Développée par l'ANSSI (Agence nationale de la sécurité des systèmes d'Information), cette approche a pour objectif de comprendre, traiter et analyser les risques inhérents aux systèmes d'information, à l'image des cyberattaques. Elle est particulièrement sollicitée par les établissements publics français et les OIV (Opérateurs d'Importance Vitale). Ces derniers correspondent aux administrations et aux entreprises privées ou publiques dont l’activité revêt un caractère indispensable à la vie de la nation. 

EBIOS invite toutes les parties prenantes à se poser les bonnes questions parmi lesquelles :

  • Comment évaluer et reconnaître un risque numérique au regard de nos spécificités propres et de notre activité ?
  • Quelles mesures et ressources existent pour maîtriser ces risques ?
  • Qu’est-ce qu’un risque acceptable et qu’est-ce qui ne l’est pas ? Comment délimiter cette jauge ?
  • Quel niveau de sécurité devons-nous appliquer à tel service ou à tel produit ?
  • Quels labels de sécurité pouvons-nous obtenir et comment ?

Traiter la gestion du risque à travers la pédagogie, la collaboration et l'agilité à l’ère de la transformation numérique

En près de 30 ans d’existence, la méthode EBIOS s’est vue agrémenter de plusieurs réorientations stratégiques, changements inévitables à l’heure de la transformation numérique. Ces dernières décennies ont en effet été témoins d'une véritable révolution technologique en même temps qu'un changement de paradigmes en matière de pratiques métiers. Aucun secteur professionnel n’est épargné et certainement pas le secteur public qui a mis, depuis longtemps déjà, le numérique au cœur de ses process. 

Mais tout bouleversement de ce type comporte un revers de la médaille. Dans ce cas de figure, il s’agit de la montée en puissance de la cybercriminalité et de son inquiétante industrialisation. Et ce sont les établissements publics qui font les frais de ransomwares et d’autres attaques sophistiquées. Une récente étude de l’ANSSI estime ainsi que depuis 2020, les organismes publics ont subi une hausse d'intrusions de 37%.

La méthode Ebios a réussi à s'adapter à ce nouvel environnement en s’orientant vers une approche résolument pédagogique et agile. Elle se conçoit davantage comme une boîte à outils dotée d’une approche désormais simplifiée, d’une trame de plans d’action et de stratégies, de cas pratiques, de méthodes encourageant la participation et la collaboration inter équipes ou encore d’un logiciel dédié. En 2018, elle s’est même assortie de la mention Risk Manager. Forte de cette nouvelle version, elle tend à analyser en profondeur le parcours et les motivations des cyberattaques. 

Les 5 étapes de la méthode Ebios Risk Manager et quelques conseils pour une implémentation optimale

La méthode Ebios Risk Manager s’adresse à un large éventail d’organisations qui ont pour objectif de mettre en place une gestion sécurisée des données de l’information. Elle constitue une réponse pertinente pour déployer une stratégie de Sécurité des Systèmes d’Information (SSI) en adéquation avec les nouveaux défis du monde numérique. En outre, elle permet d’incorporer efficacement la sécurité des systèmes d’information à chaque étape d’un projet, dépassant ainsi le cadre de la seule Direction des Systèmes d’Information (DSI). En optant pour la méthode Ebios Risk Manager, les organisations peuvent également se conformer aux exigences réglementaires et normatives en matière de sécurité, en vue d’obtenir des qualifications ou des certifications spécifiques. 

L’ANSSI a donc mis au point une succession d’étapes connue aussi sous le nom “ateliers” afin de guider les organisations dans la réalisation de ces objectifs.

Cadrage et identification du socle de sécurité

Ce premier atelier a pour objectif de délimiter le cadre de la méthode. Il s’agira ni plus ni moins d’identifier les participant·e·s (DSI, RSSI et tout autre  personne interne ou externe concernée) et les actifs de l’organisation. Et par actifs, nous entendons tout ce qui pourra être ciblé par une attaque à savoir les biens supports (composants matériels, numériques et organisationnels du SI) et les valeurs métiers, c’est-à-dire un service, une fonction support, des données ou tout autre élément indispensable à l'accomplissement d’une mission.

Ensuite, il s’agira de verbaliser les événements redoutés ou ER (indisponibilité d’un service pendant une durée définie, divulgation de données sensibles, etc.) en lien avec les valeurs métiers (VM). Il conviendra d’en établir un classement ou une sorte d’échelle en fonction de leur impact et de leur gravité. À l’issue de ce premier atelier, vous identifierez le socle de sécurité, autrement dit les dispositifs (intégrité, traçabilité, etc.) qui permettent de réduire, voire d’écarter complètement les ER. Et s’il y a un écart entre l’ER et le référentiel de sécurité, c’est le moment de se pencher sur l'origine de ce décalage au cours des ateliers suivants.

Appréhension et cartographie des sources de risques

Ce deuxième atelier est placé sous le signe de la compréhension et l'identification des risques. Pour ce faire, vous devrez déterminer les sources de risques (SR) et les objectifs visés (OV). Il s’agit respectivement de tout élément, personne, structure susceptible d’engendrer un risque et des motivations de cette source (espionner, voler à des fins lucratives, se venger, etc). Il sera alors plus aisé de retenir les duos SR/OV les plus pertinents, de les cartographier et d’en éliminer certains.

Élaboration de scénarios stratégiques 

À l’issue de ce troisième atelier, vous serez en mesure d’obtenir une vision claire de l’ensemble de votre écosystème grâce à une cartographie des menaces numériques. Pour atteindre cet objectif, vous élaborerez un ensemble de scénarios stratégiques à partir des sources de risque et des valeurs métiers. 

Concrètement, il s’agira d’imaginer les différents moyens et chemins d’attaque possibles pour qu’une SR parvienne à ses fins. Ce travail vous permettra encore une fois de prendre le recul nécessaire pour hiérarchiser les différents scénarios par ordre de gravité et d’en éliminer d'autres.

Élaboration de scénarios opérationnels

Vous l’aurez sans doute compris, les ateliers 3 et 4 sont étroitement liés. Ici, on se concentre sur l’opérationnel. Les chemins d’attaques les plus probables ont été imaginés lors de l’atelier 3, il faut désormais comprendre comment les attaquant·e·s s’y prennent et par quels moyens. La construction des ces scénarios reposent donc sur les biens supports, en particulier les biens supports critiques, c’est-à-dire les éléments du SI les plus susceptibles d’attiser la convoitise des SR.

Mise en place d’un plan de traitement des risques

Au cours de cette phase finale, il conviendra de reprendre la synthèse de tous les risques exprimés lors des ateliers précédents et de mettre au point un plan de traitement des risques. Celui-ci se concrétisera par un panel de mesures de sécurité concrètes et adaptées à chacun des risques évoqués.

Bonnes pratiques à mettre en place et écueils à éviter :

  • Avant de vous lancer dans l’atelier n° 1, préparez un temps dédié à l’explication de la méthodologie
  • Assurez-vous de passer le temps qu’il faut sur la partie compréhension des activités et des missions de votre organisme
  • Ne restez pas trop concentré·e sur l’application à la lettre de la méthode, vous risquez fort d’oublier votre objectif initial : l'analyse des risques
  • Exprimez tous les scénarios possibles, même les plus incongrus et les plus sophistiqués : vous éviterez de passer à côté de quelque chose d’important
  • Gardez toujours à l’esprit le “pourquoi du comment” : que protégez-vous ? Pourquoi ? Comment ? Contre qui ?
  • À la fin de chaque étape et de chaque atelier, veillez à prendre du recul et à faire appel à votre bon sens !
  • N’hésitez pas à faire lire le rapport EBIOS final à un.e collaborateur·trice qui n’a pas participé aux ateliers et qui ne connaît pas la méthode.

Avantages et limites de la méthode EBIOS Risk Manager

EBIOS Risk Manager en 8 bénéfices :

S’il y avait un seul avantage à retenir de la méthode EBIOS, ce serait sa capacité à guider les participant·e·s vers une compréhension très aboutie de leur environnement de travail. Comprendre les différentes interactions, les rôles de chaque métier, mais aussi acquérir un nouveau regard sur l’activité d’une organisation est un premier pas en matière de bonnes pratiques de cybersécurité. 

EBIOS constitue un tremplin extrêmement important pour les structures souhaitant renforcer leur volet sécurité. En voici les principaux bénéfices.

  1. Identifier, hiérarchiser les risques et la notion de danger
  2. Aider à la prise de décision éclairée
  3. Une méthode qui permet de faire l’inventaire de ses ressources et donc, d'éliminer le superflu 
  4. Une approche flexible qui sait s’adapter aux contextes organisationnels comme aux enjeux sociétaux et technologiques
  5. Une méthode qui peut être réutilisée régulièrement par la même structure à des fins d’amélioration continue
  6. Accompagne les structures vers la conformité réglementaire 
  7. Des équipes formées et sensibilisées, notamment à la gestion des incidents de sécurité
  8. Encourage les modes de collaboration agiles

Quelles limites à cette méthode ?

Néanmoins, la méthode EBIOS comporte des limites qu'il est important de considérer. Cette démarche souffre ainsi d’une faible diffusion en dehors des établissements publics et des OIV. Rappelons également que l’approche EBIOS repose sur un système d’auto-évaluation, il n’y a donc pas d’organismes d'évaluations ou d’audits externes. Autrement dit, il faut mettre la main à la pâte et savoir prendre beaucoup de recul !

Enfin, on reproche souvent à la méthode EBIOS RM de limiter son périmètre d’analyse aux menaces intentionnelles au détriment des menaces accidentelles (erreurs humaines, catastrophes naturelles, dysfonctionnements, etc.) Or, selon une étude Verizon 2022, les erreurs et autres menaces accidentelles constituent l’une des principales causes de compromission d’un système.

À qui s’adresse cette méthode de la gestion et l’analyse des risques ? Pour quels secteurs ?

Nous l’avons évoqué plus haut, la méthode EBIOS et le plus souvent sollicitée par les établissements publics et les OIV. Autrement dit, toute structure qui a pour activité principale d’assurer le bon fonctionnement de la nation et la sécurité et la santé des citoyen·ne·s. Cela s’applique donc à un large panel de secteurs : la santé, la justice, la finance, l’agriculture, les transports, l’éducation, la défense, l'énergie… pour ne citer que les plus évidents. 

Tous ces organismes ont comme particularités et points communs de :

  • Détenir du matériel informatique et des équipements connectés indispensables pour assurer ces missions vitales (équipements médicaux, fichiers relatifs aux casiers judiciaires, véhicules de transports, etc.) 
  • De traiter, reproduire, de stocker de la donnée, très souvent sensible et/ou à caractère personnel
  • Utiliser des interfaces d’interconnexion et de communication
  • D’être totalement dépendants des TIC (Technologies de l’Information et de la Communication)

Dès lors qu’une structure rentre dans l’un de ces cas de figure, elle devient une cible de choix pour les cybercriminels. Les ransomwares et les attaques de type DDoS dont ont été victimes un grand nombre d’hôpitaux, de CHU,de mairies,  de compagnies aériennes ou de nombreuses industries le démontrent depuis ces dernières années. Il paraît donc absolument crucial de déployer une méthodologie préventive de l’analyse et du traitement des risques à l’image d’EBIOS.

Pour plus d’informations sur notre formation à la méthode EBIOS Risk Manager, rendez-vous ici. Les prochaines sessions auront lieu dès la rentrée, il est encore temps de vous inscrire !

Conclusion

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Suspendisse varius enim in eros elementum tristique. Duis cursus, mi quis viverra ornare, eros dolor interdum nulla, ut commodo diam libero vitae erat. Aenean faucibus nibh et justo cursus id rutrum lorem imperdiet. Nunc ut sem vitae risus tristique posuere.

Découvrez d'autres actualités

Résilience
La cybersécurité des villes et des agglomérations : comment prévenir les risques et renforcer la sécurité ?
Sophie LERAULT
August 9, 2023
Formation
La méthode Ebios Risk Manager : avantages, exemples et limites
Sophie LERAULT
August 8, 2023
Voir toutes nos actualités