FAQ – Méthode EBIOS RM


 

EBIOS c’est quoi ?

EBIOS (Expression des besoins et identification des objectifs de sécurité) est la méthode d’appréciation et de traitement des risques publiée par l’ANSSI.

Pourquoi une nouvelle méthode EBIOS ?

La méthode EBIOS (dont la dernière version datait de 2010) était très pertinente dans son contexte. Face aux évolutions du numérique de ces dernières années, elle s’est modernisée pour prendre en compte l’environnement actuel (systèmes interconnectés, prolifération des menaces, état de l’art et règlementation plus mature, connaissance de la menace), et permettre aux dirigeants d’appréhender correctement les enjeux majeurs de la sécurité du numérique (de nature stratégique, financière, juridique, d’image, de ressources humaines).

À qui s’adresse cette nouvelle méthode EBIOS Risk Manager ?

La méthode EBIOS doit offrir une compréhension partagée des risques cyber entre les décideurs et les opérationnels. L’objectif est que le risque cyber soit considéré au même niveau que les autres risques stratégiques (risque financier, juridique, d’image, etc.) par les dirigeants.
Les publics intéressés par cette méthode sont les RSSI et les risk managers.

Quel est l’apport essentiel d’EBIOS Risk Manager par rapport à EBIOS 2010 ?

Face au bouleversement numérique, il s’est avéré nécessaire de faire évoluer la méthode EBIOS pour prendre en compte l’environnement numérique actuel (systèmes interconnectés, prolifération des menaces, état de l’art et règlementation plus matures, exploitation de la connaissance de la menace). La version de 2010 était très pertinente dans son contexte mais proposait une analyse séquencée, système par système. Il fallait attendre la fin de l’analyse complète pour pouvoir obtenir des résultats. La nouvelle version EBIOS Risk Manager propose une méthode d’analyse plus agile et collaborative de l’ensemble des systèmes, dans leur environnement global, avec des résultats visibles étape par étape. Elle est ancrée dans la réalité de la menace cyber et prend en compte l’ensemble de l’écosystème de l’objet de l’étude. Ce procédé d’analyse offre un aperçu plus réaliste et actionnable des scénarios de risque. On estime qu’après appropriation, la mise en œuvre de cette démarche permet de gagner 30% de temps en comparaison avec la version de 2010.

Quelles sont les valeurs de la méthode EBIOS Risk Manager ?

La méthode EBIOS Risk Manager a été conçue en s’appuyant sur les valeurs suivantes :
– Une méthode concrète axée sur la réalité de l’état de la menace ;
– Une méthode efficiente, simple et suffisamment souple pour être complétée et adaptée rapidement ;
– Une méthode convaincante auprès des dirigeants, où le risque cyber doit être expliqué avec pédagogie ;
– Une méthode collaborative car les différents ateliers regroupent la direction, les métiers et les équipes SSI.

EBIOS RM : comment ça marche ?

En se constituant autour de 5 ateliers complémentaires, la méthode EBIOS RM offre :
– Une synthèse entre conformité et scénarios : la méthode s’appuie sur un socle de sécurité solide, construit grâce à une approche par conformité. L’approche par scénarios vient solliciter ce socle face à des scénarios de risque plus particulièrement ciblés ou sophistiqués ;
– Une valorisation de la connaissance cyber : pour construire des scénarios de risques du point de vue de l’attaquant, il est indispensable d’avoir une bonne connaissance de ceux-ci. L’ANSSI propose donc avec la méthode EBIOS une structure permettant d’évaluer les différents profils d’attaquants et leurs objectifs ainsi que des bases de connaissances ;
– Une prise en compte de l’écosystème : les attaquants ne cherchent plus forcément à atteindre de manière frontale les organismes mais à passer par des parties prenantes de leur écosystème, qui peuvent être plus vulnérables, pour parvenir à leurs fins. La prise en compte de l’écosystème dans l’étude des risques est donc à présent indispensable.

EBIOS RM est-elle adaptée pour démontrer une conformité réglementaire ?

La méthode EBIOS RM répond tout à fait à ce besoin. Le premier atelier permet de faire l’état des lieux de la conformité à une ou plusieurs règlementations en identifiant les éventuels écarts qui sont envisagés et les mesures qui sont prévues dans le socle de sécurité pour compenser ces écarts. Puis les phases d’appréciation et de maîtrise des risques (ateliers 2, 3, 4 et 5) permettent de consolider le socle de sécurité pour in fine attester de la conformité réglementaire, en précisant les écarts acceptés grâce à l’ensemble des mesures de sécurité qui permettent de diminuer suffisamment la criticité des risques.

De quelle façon puis-je prendre en compte les risques de nature non intentionnelle dans EBIOS Risk Manager ?

L’appréciation des risques dans EBIOS RM est par essence intentionnelle. Nous considérons que les risques accidentels et environnementaux sont traités a priori dans l’atelier 1 dans le cadre du socle de sécurité établi et évalué par conformité.
Toutefois, si vous souhaitez réaliser une appréciation des risques non intentionnels dans le cadre d’une EBIOS RM, vous pouvez procéder comme suit, mais dans tous les cas la phase d’appréciation des risques devra se concentrer sur les risques les plus extrêmes. Sans quoi, l’analyse serait trop lourde et inexploitable pour un décideur. Celui-ci doit en effet pouvoir poser une décision sur un jeu de scénarios concret et limité, représentatif des risques les plus critiques.
• Atelier 1 : identifiez les thématiques non intentionnelles relatives aux écarts de conformité dont vous souhaitez apprécier le risque (par exemple : la sécurité incendie, l’alimentation en énergie des locaux techniques, les intempéries et phénomènes climatiques, la protection contre les inondations).
• Atelier 2 : documentez les sources de risque non intentionnelles en précisant le cas échéant les valeurs métier ou biens supports plus particulièrement concernés (nota : documenter des objectifs visés n’aura ici pas de sens pour le non intentionnel).
• Atelier 3 : identifiez les parties prenantes associées aux sources de risque non intentionnelles ci-dessus (par exemple tel fournisseur qui assure la maintenance de vos biens supports si la source de risque est « erreur de maintenance ») ; vous pouvez aller au-delà en construisant une cartographie de menace de cet « écosystème non-intentionnel » sur la base de critères à adapter par rapport à ceux proposés pour l’intentionnel dans la fiche méthode n°5. Construisez ensuite pour chaque source de risque un scénario stratégique. Ce scénario illustre la manière selon laquelle la source de risque non intentionnelle peut conduire à des événements redoutés (de l’atelier 1) au travers d’un enchaînement d’événements non intentionnels ou de facteurs aggravants qui peuvent être relatifs aux écarts de conformité et/ou à une faible maîtrise de l’écosystème impliqué.
• Atelier 4 : si besoin, affinez certains scénarios stratégiques au travers de scénarios opérationnels dont la vocation sera simplement de préciser les modes de défaillance et d’erreur qui pourront également être liés à des écarts (ex : une absence de procédure). Évaluez la vraisemblance des scénarios de risque selon la métrique proposée dans la fiche méthode n°8.
• Atelier 5 : incorporez vos risques non intentionnels dans le traitement du risque au même titre que les risques intentionnels.
Une façon alternative (mais non exclusive de celle présentée ci-dessus) de « valoriser » les problèmes de nature non intentionnelle est de voir de quelle façon ils peuvent bénéficier aux attaquants dans vos scénarios de risque intentionnels.
Par exemple, un attaquant peut arriver à atteindre son objectif visé en raison d’un écart de sécurité environnementale qu’il exploitera volontairement ou opportunément. La vraisemblance d’une attaque peut être accrue à cause d’un manquement à une règle ISO 27001. Dans cette approche, vos écarts non intentionnels sont intégrés dans des scénarios de risques intentionnels en tant que facteurs aggravants qui faciliteront l’attaque. Cette approche peut se révéler très percutante car elle montre de quelle façon les faiblesses environnementales du socle de sécurité peuvent rendre une attaque intentionnelle bien plus vraisemblable ou aggraver fortement les conséquences.

Pour une TPE-PME, qui n’a pas de personne dédiée au management des risques, quelles sont les personnes qui doivent être autour de la table dans les ateliers ?

A minima, il est fortement conseiller d’impliquer dans les ateliers un représentant du métier ou de la direction et un responsable des systèmes d’information. Néanmoins, la cybersécurité étant un domaine particulièrement technique, nous conseillons aux PME de se faire accompagner par un prestataire maîtrisant les enjeux et la méthode. Pour cela le club EBIOS et le CLUSIF peuvent aider à prendre en main la méthode et à identifier des prestataires.

J’ai déjà réalisé des analyses de risques avec EBIOS dans sa version précédente (2010). Comment réintégrer le travail déjà effectué ?

Les analyses de risques réalisées avec la version précédente sont évidemment réutilisables dans la version actuelle. Grâce aux analyses de risques déjà réalisées, vous avez identifié et mis en place un certain nombre de mesures destinées à traiter les risques. Ces mesures pourront être directement intégrées au cours de l’atelier 1 de la méthode EBIOS Risk Manager, lors de la définition du socle de sécurité.
En effet, l’étape de définition du socle de sécurité permet d’identifier l’ensemble des bonnes pratiques, des mesures règlementaires et normatives qui s’appliquent à l’objet de l’étude, mais aussi les mesures spécifiques déjà en place sur votre périmètre.

L’outil développé en open source par l’ANSSI pour la version EBIOS 2010 est-il définitivement inaccessible ?

L’outil développé en open source par l’ANSSI pour la méthode EBIOS 2010 a été retiré du site internet car il était devenu obsolète. Il ne sera plus maintenu par l’ANSSI.

Qu’est-ce que le Label EBIOS Risk Manager ?

Afin d’outiller cette nouvelle méthode, l’ANSSI souhaite s’appuyer sur des partenaires externes, éditeurs de logiciel. La mise à disposition d’une ou plusieurs solutions logicielles conformes à l’esprit de la méthode apparaît comme un complément attendu qui facilitera son adoption par le plus grand nombre.
Dans cette logique, l’ANSSI travaille à la création et à l’attribution d’un label de conformité EBIOS RM, accessible à tout éditeur souhaitant développer une solution logicielle conforme aux principes et aux concepts de la méthode EBIOS « Risk Manager ».
Les éditeurs sont dès à présent invités à se rapprocher de l’ANSSI (contact : ebios[at]ssi.gouv.fr) pour participer à l’expérimentation de la labellisation avant son lancement et disposer du cahier des charges dans le cadre d’un accord de confidentialité.

Quelle date pour la disponibilité d’un outil compatible avec la nouvelle version d’EBIOS ?

Suite à l’appel à manifestation d’intérêt lancé cet été par l’ANSSI, plusieurs éditeurs ont répondu favorablement et travaillent activement au développement de solutions logicielles pour outiller la méthode EBIOS RM.
Le lancement d’un label qui attestera de la conformité des solutions logicielles aux principes et aux concepts de la méthode aura lieu début 2019.
La liste des solutions labellisées sera disponible sur le site de l’ANSSI.

Dans l’atelier 2 du guide, comment est évaluée la pertinence des couples « source de risque (SR) / objectif visé (OV) » dans le tableau page 37 ?

Dans l’exemple qui est donné, on a supposé que l’on dispose d’informations permettant d’évaluer la motivation, les ressources et l’activité de la source de risque. Une échelle de cotation à trois niveaux est utilisée, représentée par des « + ». La pertinence globale d’un couple SR/OV est estimée selon la métrique suivante : pertinence faible si la somme « motivation+ressources+activité » est égale à 3 ou 4 ; pertinence moyenne si la somme est égale à 5, 6 ou 7 ; pertinence élevée si le score est 8 ou 9.

Dans l’atelier 3 du guide, on évalue le niveau de menace de chaque partie prenante de l’écosystème. Dans la représentation radar qui est proposée, que représentent la taille et la couleur des ronds et comment sont-elles obtenues ?

La Fiche méthode n°5 décrit la méthode d’évaluation du niveau de menace d’une partie prenante et propose une métrique. Quatre critères d’évaluation sont pris en compte : deux qui reflètent le degré d’exposition de l’objet de l’étude vis-à-vis de la partie prenante (dépendance et pénétration) et deux qui concernent le niveau de fiabilité cyber de la partie prenante (maturité et confiance).
Dans la cartographie radar, vous pouvez simplement positionner chaque partie prenante selon son niveau de menace. Mais vous pouvez également affiner la représentation comme proposé dans la cartographie page 45 : la taille des ronds reflète le degré d’exposition relatif à la partie prenante (produit dépendance x pénétration) et la couleur des ronds traduit la fiabilité cyber (produit maturité x confiance).

A quoi servent les fiches méthodes qui accompagnent le guide EBIOS RM ?

En complément du guide EBIOS Risk Manager, des « fiches méthodes » ont été créées pour vous aider à réaliser chaque atelier décrit dans le guide. Elles contiennent notamment des bases de connaissances qui ont vocation à faciliter l’animation des ateliers d’appréciation des risques et l’identification des scénarios. Conçues comme des outils d’accompagnement à vocation pédagogique, ces fiches méthodes seront régulièrement enrichies et mises à jour.

Dans la fiche méthode n° 8 relative à l’évaluation de la vraisemblance des scénarios opérationnels dans l’atelier 4, que signifient les chiffres en italique et entre parenthèses dans les graphes d’attaque ?

Dans les graphes d’attaque présentés, la valeur en gras correspond à la probabilité ou difficulté technique de l’action élémentaire concernée du point de vue de l’attaquant. Par exemple en page 33 « Pr 4 » pour l’action élémentaire « Intrusion via mail de hameçonnage sur service RH » signifie que l’on considère que cette action d’hameçonnage a une probabilité quasi-certaine de réussir pour l’attaquant compte-tenu par exemple du très faible niveau de sensibilisation des personnes visées. La valeur entre parenthèses et en italique correspond à l’indice cumulé de probabilité ou de difficulté technique de la phase concernée du mode opératoire. Elle est calculée en appliquant les algorithmes proposés pages 32 et 33. La probabilité cumulée intermédiaire à une phase donnée du mode opératoire correspond donc à la probabilité que l’attaquant ait réussi toutes les actions élémentaires en amont y compris l’action élémentaire concernée. Par exemple, page 33, « (3) » au niveau de l’action élémentaire « Exploitation maliciel de collecte et d’exfiltration » signifie que l’on estime que l’attaquant a de très fortes chances (probabilité très élevée) d’arriver à ce stade du mode opératoire concerné, compte-tenu des probabilités de succès des actions élémentaires précédentes et de celle concernée.

Qu’Est-ce que le Club EBIOS ?

Instance d’échange et de coopération, le Club EBIOS fédère les utilisateurs et valorise les différents travaux réalisés autour d’EBIOS, en les rassemblant selon un processus collaboratif pour les proposer aux utilisateurs.
EBIOS Risk Manager s’appuie sur une communauté d’acteurs engagés qui fait vivre la méthode. C’est pourquoi l’ANSSI travaille étroitement avec le Club EBIOS pour animer ce groupe d’utilisateurs à travers une plate-forme dédiée à la méthode.

Une question concernant EBIOS Risk Manager ?

Contactez le Club EBIOS : contact@club-ebios.org