Après 8 années d’utilisation de la méthode d’Analyse de risques EBIOS 2010, un nouveau concept voit le jour en fin d’année 2018, se basant sur l’agilité, la connaissance et l’engagement : EBIOS « RM », pour Risk Manager.
Rappelons que la première version de la méthode EBIOS remonte à 1995, puis qu’une première actualisation d’EBIOS a été réalisée en 2004, et une évolution significative en 2010. Cette dernière version, très majoritairement utilisée, introduisait les concepts de biens essentiels et d’événements redoutés pour apprécier les risques de sécurité de l’information au niveau des activités de l’organisation et non plus seulement au niveau technique.
Selon l’ANSSI, « La méthode EBIOS RM adopte une approche de management du risque qui part du plus haut niveau (grandes missions de l’objet étudié) pour s’intéresser progressivement aux éléments métiers et techniques, en étudiant les chemins d’attaque possibles. Elle vise à obtenir une synthèse entre « conformité » et « scénarios » par le repositionnement de ces deux approches complémentaires là où elles apportent le plus de valeur ajoutée. L’appréciation des risques par scénarios se concentre donc sur les menaces intentionnelles et ciblées. »
Figure 1 – Pyramide du management du risque numérique. Source : https://www.ssi.gouv.fr/uploads/2018/10/guide-methode-ebios-risk-manager.pdf
Comme la version 2010, RM se base sur 5 ateliers majeurs visant à répondre à plusieurs objectifs :
- Identifier le socle de sécurité adapté à l’objet de l’étude ;
- Etre en conformité avec les référentiels de sécurité numérique ;
- Evaluer le niveau de menace de l’écosystème vis-à vis de l’objet de l’étude ;
- Identifier et analyser les scénarios de haut niveau ;
- Réaliser une étude préliminaire de risque pour identifier les axes prioritaires d’amélioration de la sécurité ;
- Conduire une étude de risque complète et finie.
Une comparaison possible ?
Ci-dessous, les deux méthodes résumées.
Figure 2 – Méthode EBIOS 2010. Source : https://www.ssi.gouv.fr/guide/ebios-2010-expression-des-besoins-et-identification-des-objectifs-de-securite/
Figure 3 – Méthode EBIOS Risk Manager. Source : https://www.ssi.gouv.fr/uploads/2018/10/guide-methode-ebios-risk-manager.pdf
Comme on peut le constater, le déroulé de l’analyse est différent tant sur la forme que sur le fond.
La stratégie RM va permettre une étude plus en profondeur. Mais si EBIOS 2010 se base sur une approche concrète par critère de sécurité, avec une ligne conductrice logique et pragmatique, EBIOS RM se situe dans une analyse et une réflexion autour des scénarios des menaces intentionnelles qui peut paraître spéculative aux premiers abords.
L’analyse en profondeur consiste à déterminer les risques encourus par un métier en fonction de la capacité et des objectifs d’un attaquant, du chemin parcouru pour atteindre son but, et de son mode opératoire. Ces trois éléments majeurs permettront ainsi de déterminer les mesures à mettre en place pour réduire, voire occulter ces risques au travers des différents ateliers. Chaque atelier permet donc d’établir certaines mesures et sont à enrichir au fil de l’analyse de risques.
La méthode 2010 s’appuie quant à elle sur des objectifs de sécurité et sur un ratio vulnérabilité/gravité sur les sources de menaces et les événements redoutés.
Il est dès lors déconseillé de comparer stricto sensu les deux versions pour une meilleure compréhension de la méthode RM mais plutôt de voir cette dernière comme une nouvelle méthode à suivre :
Une source du Club EBIOS indique : « La grosse difficulté d’RM c’est d’avoir fait du 2010 avant. Le paradigme est tellement différent d’une AR standard. Il ne faut pas oublier que l’hygiène ne fait pas partie de l’AR, ce qui est censé faire gagner beaucoup de temps. »
EBIOS RM et ISO27005
Outre le débat continuel sur la question : « ISO27005 est-elle une méthode ? », on décelait des similitudes assez évidentes entre ISO 27005:2013 et EBIOS 2010.
Cependant avec cette nouvelle version, annoncée aux Assises de la Sécurité 2018 à Monaco, on tend à se poser de nouvelles interrogations quant à la véracité de la méthode vis-à-vis de ISO, surtout depuis sa dernière mise à jour en juillet 2018.
Ces interrogations peuvent sembler stériles puisque nous ne nous les posons certainement pas concernant les méthodes Mehari, Octave et autres. Ce qui peut être en revanche troublant, c’est la publication de l’ANSSI de la méthode EBIOS RM au détriment des autres et abjurant la version 2010.
L’ANSSI titre la présentation de la méthode EBIOS ainsi :
« La méthode EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité) est un outil complet de gestion des risques SSI conforme au RGS et aux dernières normes ISO 27001, 27005 et 31000. »
Avez-vous entendu parler du projet de norme ISO/DIS 34001 ‘Système de Management de la sécurité’, axée sur les actes frauduleux ?
Des discussions sur certains réseaux sociaux débattent sur la théorie que EBIOS RM ne vise pas spécialement à se conformer à la norme/méthode ISO27005 mais bien à s’axer autour de nouvelles interprétations de l’analyse de risques très proches de ce projet de norme.
Dans tous les cas, si aujourd’hui les outils et la méthodologie V2010 ne sont plus disponibles depuis le site de l’ANSSI (mais toujours accessibles par une recherche web), au profit du kit 2018 RM, de nombreux organismes proposent toujours l’ancienne version de EBIOS comme référence de méthodologie à connaître en vue de la certification « Risk Manager ».
Il est bon d’ajouter, enfin, que EBIOS RM permet l’extraction de mesures de sécurité au fil des différents ateliers ce qui constitue un avantage non négligeable, associé à la complémentarité de ces différents ateliers. Chaque élément peut constituer une valeur ajoutée aux ateliers passés et fournir de nouvelles mesures de sécurité à apporter au sein de l’organisme, ce qui n’est absolument pas le cas dans l’EBIOS 2010 dont l’étude des mesures de sécurité fait l’objet d’un module final entier. EBIOS RM peut paraître bancale de ce fait mais l’agilité de cet usage peut faire découler des éléments qu’une analyse de risques traditionnelle pourrait oublier.
Conclusion
EBIOS RM se veut donc plus simple et plus rapide à mettre en œuvre que la version 2010.
Nous n’avons pas fait état des délais de réalisation des différents ateliers dans cet article, mais il y des indications quant à l’estimation de temps accordé à chaque étape de la méthode dans le guide situé sur le site de l’ANSSI. Cependant, il est très difficile d’estimer le temps pour mener à bien chaque atelier si nous prenons en considération le périmètre de l’étude et le nombre de services à auditer.
Il est également utile de préciser que même si EBIOS RM est proposé par l’ANSSI, cette méthode n’est pas une exclusivité « obligatoire » applicable pour toutes les analyses de risques. En effet, à chacun de déduire une méthode de la norme ISO27005 pour réaliser ces études.
Cependant il est assez intéressant de se pencher sur cette version EBIOS pour sa nouvelle approche du risque plus axée sur l’attaquant et les scénarios (extérieurs) plutôt que sur les défenses de l’organisation (intérieur).
Le peu d’exhaustivité des différentes productions des 5 ateliers permet de se concentrer sur les risques les plus critiques pour l’entreprise et de définir des mesures de sécurité majeures permettant de couvrir un panel de biens supports et valeurs métiers plus large que l’ancienne méthode.
D’autre part, le Plan d’actions d’Amélioration Continue de la Sécurité (PACS) amènera peut-être les entreprises à mettre en place des comités de sécurité plus élaborés et à mieux s’impliquer dans la sécurité de l’information.
Cependant cette méthode est surtout applicable pour les entreprises dont la maturité est déjà bien évoluée, dont la cartographie des processus et des métiers est déjà clairement définie. Les TPE et PME seront donc moins les cibles de ces analyses de risques axées sur les scénarios et plus propice aux Analyses de Risques traditionnelles.
Ebios 2010 n’est en aucune manière d’une méthode à proscrire, ni même obsolète. Ebios RM est juste une autre manière de raisonner et de réaliser les analyses de risques, d’aucun dirait « une démarche contemporaine d’apprécier les risques ».
A voir ce que l’application de cette méthode peut apporter sur le long terme en entreprise, le recul n’est pas encore assez important pour le constater.
