Analyse du risque cybersécurité

La norme ISO 27005

L'ISO 27005 définit un cadre et des exigences en matière de gestion du risque pour la mise en place d'un système de management de la sécurité de l'information. Elle s'inscrit dans une logique d'amélioration continue PDCA (Plan, Do, Check, Act). Le risque est défini comme l'effet de l'incertitude sur l'atteinte des objectifs.

La démarche proposée par la norme est la suivante :

1. Établissement du contexte et définition des critères d'acceptation du risque.
2. Appréciation des risques : identification des actifs, des menaces, des mesures de sécurité existantes, des vulnérabilités et de leurs conséquences.
3. Traitement des risques par la réduction, le maintien, le refus et le transfert de ceux-ci.

Ce processus aboutit à des risques résiduels qui doivent ou non être acceptés. Il s'inscrit dans une communication permanente avec les parties prenantes et une surveillance et revue périodique des risques.

La méthode EBIOS

La méthode EBIOS est maintenue par l'Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI). Elle a été revue en 2018 et s'intitule EBIOS Risk Manager.

La méthode EBIOS Risk Manager adopte une approche de management du risque qui part du plus haut niveau (grandes missions de l'objet étudié) pour s'intéresser progressivement aux éléments métier et techniques, en étudiant les chemins d'attaque possibles. Elle vise à obtenir une synthèse entre conformité et scénarios par le repositionnement de ces deux approches complémentaires là où elles apportent le plus de valeur ajoutée.

Selon EBIOS Risk Manager, l'appréciation des risques par scénarios se concentre donc sur les menaces intentionnelles et ciblées. Elle positionne pleinement la sécurité numérique au niveau des enjeux stratégiques et opérationnels des organisations. Elle offre ainsi un véritable cadre en matière de management du risque numérique. La méthode est modulaire et s'adapte au contexte des organisations.

Un risque découle d'un scénario stratégique exploité par une source de risques visant un objectif et engendrant un évènement, composé d'un ou plusieurs chemins d'attaque impliquant plusieurs actions élémentaires formant un scénario opérationnel, utilisant ou non des parties prenantes comme vecteur d'attaque.

La méthode repose sur cinq ateliers ayant chacun un objectif.

1. Cadrage et socle de sécurité, reposant sur les principes de base en termes de sécurité et le cadre réglementaire et normatif.
2. Identification des sources de risques, c'est à dire un élément, une personne, un groupe de personnes ou une organisation susceptible d’engendrer un risque, et caractérisé par sa motivation, ses ressources, ses compétences, et ses modes opératoires.
3. Définition des scénarios stratégiques, qui sont des chemins d’attaque allant d’une source de risque à un objectif visé, en passant par l’écosystème et les valeurs métier de l’objet étudié.
4. Définition des scénarios opérationnels, définis comme des enchaînements d’actions élémentaires portées sur les biens supports de l’objet étudié ou de son écosystème.
5. Recensement des mesures de sécurité appropriées dans un plan d’amélioration continue de la sécurité.

Pour plus d'information, vous pouvez consulter le descriptif de la méthode EBIOS Risk Manager sur le site de l'ANSSI.