Accueil » Cours » Administration sécurité » Gestion des risques avec la méthode EBIOS Risk Manager

Objectif pédagogique :
Ce cours a pour objectif de permettre aux participants de comprendre et de mettre en œuvre la méthode EBIOS Risk Manager afin de conduire une analyse de risques à la fois systématique et opérationnelle. Ils seront en mesure de mener les cinq ateliers définis par la méthode pour identifier, analyser, et traiter les risques pesant sur le système d’information.

Public visé :
Risk managers, Responsables de la Sécurité des Systèmes d’Information (RSSI), chefs de projet, experts en cybersécurité, et personnes souhaitant apprendre à manager les risques liés à un système d’information.

Pré-requis :
Notions de base en cybersécurité et compréhension des enjeux de la sécurité des systèmes d’information.

Introduction et les fondamentaux de la gestion des risques

  1. Introduction à la méthode EBIOS Risk Manager

    • Origine et objectifs de la méthode : La méthode EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité) a été développée par l’ANSSI et le Club EBIOS pour aider les organisations à mieux comprendre et gérer leurs risques numériques. Son objectif principal est d’améliorer la sécurité des systèmes d’information en identifiant et en traitant les risques de manière systématique.

    • Présentation des concepts clés :

      • Risque : Possibilité qu’un événement indésirable compromette les objectifs ou missions d’un système. Cela implique une combinaison de la menace, de la vulnérabilité et de l’impact.

      • Actifs : Les éléments de valeur pour l’organisation qui doivent être protégés, tels que les données, les systèmes, les ressources humaines, etc.

      • Menace : La potentialité d’un événement ou d’une action qui pourrait porter atteinte à la sécurité des actifs.

      • Vulnérabilité : Faiblesses qui peuvent être exploitées par des menaces pour causer des dommages.

      • Impact : Les conséquences négatives pour l’organisation si une menace se matérialise.

      • Vraisemblance : Probabilité qu’un événement indésirable survienne.

    • Comprendre la vision de la méthode : EBIOS RM propose une approche structurée pour la prise de décision. L’objectif est de permettre une compréhension partagée des risques par les décideurs et les opérationnels, favorisant ainsi des mesures de sécurité appropriées.

  2. Les Bases de la Gestion des Risques

    • Définitions des concepts fondamentaux :

      • Risque : Définir clairement ce qu’est un risque et expliquer comment il peut être mesuré et analysé.

      • Gravité et vraisemblance : Présenter les échelles qui permettent de mesurer la gravité d’un impact et la probabilité de survenance d’une menace. Par exemple, expliquer comment une menace peut être classée comme critique, importante, moyenne ou faible.

      • Menace, vulnérabilité, impact : Illustrer par des exemples concrets comment une menace peut exploiter une vulnérabilité pour causer un impact négatif. Par exemple, une vulnérabilité logicielle pourrait être exploitée par un hacker pour voler des informations confidentielles.

    • Exemple interactif : Étude de cas sur une voiture percutant un arbre pour illustrer la notion de risque. Cet exemple vise à démontrer comment la gravité et la vraisemblance peuvent être évaluées de manière concrète et compréhensible.

  3. Introduction au Cadre de l’analyse

    • Définir le périmètre de l’analyse des risques : Il est essentiel de délimiter clairement le champ de l’analyse pour éviter des résultats dispersés. Cela inclut la définition des actifs à protéger, des menaces à prendre en compte, ainsi que des limites de l’étude (périmètre technique, organisationnel, etc.).

    • Discussions de groupe : Les participants sont invités à partager leurs attentes par rapport à la formation et à discuter des défis spécifiques auxquels ils sont confrontés dans leur propre contexte. Cela permet d’adapter la formation aux besoins réels des participants.

Les ateliers de la méthode EBIOS

  1. Atelier 1 : Cadrage et socle de sécurité

    • Objectif : Cet atelier vise à poser les bases de l’étude en définissant précisément le périmètre et les objectifs de l’analyse. Cela comprend l’identification des référentiels de sécurité existants (politiques internes, normes réglementaires, exigences contractuelles) pour créer un socle de sécurité cohérent.

    • Activités :

      • Définir les participants, les rôles et responsabilités : Utilisation d’une matrice RACI (Responsable, Approbateur, Consulté, Informé) pour clarifier qui est impliqué dans chaque activité de l’analyse des risques. Cela assure une bonne coordination et une répartition claire des responsabilités.

      • Identification des biens supports : Les biens supports sont les éléments sur lesquels reposent les valeurs métier. Cela inclut les systèmes informatiques, les réseaux, les ressources humaines, etc. L’objectif est de s’assurer que tous les composants essentiels sont identifiés et pris en compte dans l’analyse.

    • Exercice : Les participants travaillent sur la définition des biens supports et du périmètre métier d’une entreprise fictive. Cela permet de mettre en pratique les concepts appris et de mieux comprendre l’importance du cadrage.

  2. Atelier 2 : Identification des sources de risque

    • Objectif : L’objectif de cet atelier est d’identifier toutes les sources potentielles de risque, qu’elles soient internes (ex. : personnel, équipements, processus) ou externes (ex. : fournisseurs, partenaires, hackers).

    • Prise en compte de l’écosystème : L’écosystème d’une organisation inclut toutes les entités avec lesquelles elle interagit. Une vulnérabilité chez un fournisseur peut représenter une menace directe pour l’organisation. Cet atelier aide à identifier les points de connexion entre l’organisation et son écosystème, et à évaluer les risques associés.

    • Outils d’analyse : Utilisation de techniques telles que des brainstormings, des entretiens avec des experts, et des matrices de risque pour identifier les sources de risque et évaluer leur importance.

Scénarios stratégiques et opérationnels

  1. Atelier 3 : Scénarios stratégiques

    • Objectif : Dans cet atelier, les participants sont amenés à imaginer des scénarios d’attaque réalistes en se plaçant du point de vue de l’attaquant. L’objectif est d’identifier les motivations, les cibles, et les techniques possibles qu’un attaquant pourrait utiliser pour atteindre un objectif donné.

    • Méthodologie : On commence par identifier les valeurs métier les plus sensibles, puis on imagine les scénarios possibles qui pourraient compromettre ces valeurs. Ces scénarios stratégiques permettent de visualiser les conséquences potentielles d’une attaque réussie.

    • Exercice : Travail en équipe pour construire un scénario stratégique à partir d’une valeur métier sensible, en décrivant les étapes d’une attaque possible, les motivations de l’attaquant, et les mesures qui pourraient être mises en place pour s’en prémunir.

  2. Atelier 4 : Scénarios opérationnels

    • Objectif : Cet atelier se concentre sur l’identification des vulnérabilités internes qui pourraient être exploitées par des menaces. Contrairement aux scénarios stratégiques, qui adoptent une vision plus large, les scénarios opérationnels se concentrent sur les aspects internes, tels que des erreurs de configuration, des faiblesses dans les processus, ou des manques de formation.

    • Analyse des vulnérabilités : Utilisation de méthodes telles que des audits de sécurité, des tests de pénétration, et l’analyse des processus internes pour identifier les vulnérabilités.

    • Cas pratique : Les participants réalisent une analyse des vulnérabilités d’un système et proposent des contre-mesures appropriées. Par exemple, ils peuvent identifier des faiblesses dans la gestion des mots de passe ou dans la configuration des systèmes réseau.

Traitement des risques et conclusion

  1. Atelier 5 : Traitement des risques

    • Objectif : Choisir des mesures de traitement des risques adaptées aux scénarios identifiés. L’objectif est de réduire soit la gravité, soit la vraisemblance d’un risque, voire les deux.

    • Introduction aux méthodes de traitement :

      • Éviter le risque : Modifier ou supprimer l’activité à l’origine du risque.

      • Transférer le risque : Utiliser des assurances ou transférer la responsabilité à une autre partie (ex. : sous-traitance).

      • Réduire le risque : Mettre en place des mesures de sécurité pour réduire la probabilité ou l’impact d’un risque (ex. : installation de pare-feux, formation des employés).

      • Accepter le risque : Décider que le risque est acceptable sans action supplémentaire.

    • Exercice pratique : Création d’un plan de traitement pour chaque scénario identifié. Les participants définissent les actions à entreprendre, les ressources nécessaires, et les responsabilités associées.

  2. Conclusion : Avantages et vision globale de la méthode EBIOS

    • Avantages de la méthode :

      • Structuration par ateliers : Chaque atelier a un objectif précis, permettant de couvrir tous les aspects de la gestion des risques, de l’identification à la mitigation.

      • Adaptabilité : La méthode est flexible et peut être adaptée à différents types d’organisations, qu’il s’agisse de PME ou de grandes entreprises.

      • Vision collaborative : EBIOS RM implique les différentes parties prenantes (métiers, techniques, direction) afin de garantir une vision globale et partagée des risques.

    • Discussion ouverte : Les participants sont invités à réfléchir et à discuter de la façon dont la méthode peut être adaptée aux spécificités de leur organisation. Cela inclut l’intégration des référentiels existants, l’implication des parties prenantes, et l’adaptation des outils utilisés.

Retour en haut