Article à la une...
La méthode EBIOS Risk Manager
Qu'est-ce que la méthode EBIOS Risk Manager ?
Comprendre pour décider
Pour assurer ses missions, l’organisation relative au management des risques numériques doit développer trois valeurs fondamentales : la connaissance, l’agilité et l’engagement.
EBIOS Risk Manager offre une compréhension et une responsabilité partagées des risques numériques entre décideurs et les acteurs opérationnels pour y parvenir. L’objectif est de permettre aux dirigeants d’appréhender correctement ces risques, au même titre que d’autres de nature stratégique, financière, juridique, d’image, de ressources humaines, etc.).
La méthode EBIOS, méthode d’analyse de risque française de référence, permet aux organisations de réaliser une appréciation et un traitement des risques. Mais face au bouleversement numérique, une modernisation de cette démarche s’avère indispensable, pour prendre en compte l’environnement actuel (systèmes interconnectés, prolifération de la menace, état de l’art et règlementation plus matures, connaissance de la menace).
L’ANSSI a fait évoluer sa méthode initiale en tenant compte des nombreux retours d’expérience tout en faisant converger concepts et normes internationales relatives au système de management de la sécurité de l’information.
La méthode EBIOS Risk Manager se distingue par une approche qui réalise une synthèse entre conformité et scénarios. Elle se fonde sur un socle de sécurité solide, construit grâce à une approche par conformité. La démarche par scénarios vient solliciter ce socle face à des menaces particulièrement ciblées ou sophistiquées, qui prennent en compte l’écosystème métier et technique dans lequel l’organisation ciblée évolue.
La méthode en cinq ateliers
La méthode EBIOS Risk Manager adopte une approche de management du risque qui part du plus haut niveau (grandes missions de l’objet étudié) pour s’intéresser progressivement aux éléments métier et techniques, en étudiant les chemins d’attaque possibles.
Elle vise à obtenir une synthèse entre « conformité » et « scénarios » par le repositionnement de ces deux approches complémentaires là où elles apportent le plus de valeur ajoutée.
Selon EBIOS Risk Manager, l’appréciation des risques par scénarios se concentre donc sur les menaces intentionnelles et ciblées.
Le premier atelier vise à identifier l’objet de l’étude, les participants aux ateliers et le cadre temporel. Au cours de cet atelier, vous recensez les missions, valeurs métier et biens supports relatifs à l’objet étudié. Vous identifiez les événements redoutés associés aux valeurs métier et estimez la gravité de leurs impacts. Vous évaluez également la conformité au socle de sécurité..
Les objectifs de l'atelier
Le but de ce premier atelier est de définir le cadre de l’étude, son périmètre métier et technique, les événements redoutés associés et le socle de sécurité.Cet atelier est un prérequis à la réalisation d’une appréciation des risques. A l’issue de cet atelier, des mesures de sécurité permettant de réduire les écarts du socle pourront être inscrites dans le plan de traitement du risque de l’atelier 5. La période à considérer pour cet atelier est celle du cycle stratégique.
Les participants à l'atelier
Les rôles des participants ou les rôles équivalents dans votre organisation sont :
Direction (ou décideurs ayant le bon niveau de délégation) ;
Métiers ;
Responsable de la sécurité des systèmes d’information (RSSI) ou Responsable de la sécurité numérique du périmètre de l’étude ;
Directeur des systèmes d’information (DSI) et/ou responsable informatique du périmètre de l’étude.
Source : ANSSI