Lors des assises de la sécurité organisées du 10 au 13 Octobre à Monaco, L’ANSSI a annoncé le lancement de la nouvelle version de sa méthodologie d’analyse de risques : EBIOS Risk Manager. L’ambition de cette nouvelle version est de mettre au goût du jour cette méthodologie, qui a plus de 20 ans maintenant, et qui a été revue la dernière fois en 2010. Mais quelles sont alors les nouvelles tendances de cette méthodologie ?
Travailler sur les basiques
A première vue, on reste sur les fondamentaux de la méthodologie : on part toujours du contexte, qui s’appelle maintenant « socle de sécurité », pour identifier les évènements redoutés et les scénarios de menace afin d’aboutir à une appréciation des risques et une identification des mesures de traitement des risques. On retrouve aussi le souci de convergence avec les méthodologies et normes internationales, avec des références aux normes ISO27001/2/5- Management de la sécurité de l‘information et ISO31000 – Management du risque.
Alléger l’approche et responsabiliser tout le monde
Mais là où la méthodologie proposait une approche exhaustive et complète, quitte à être perçue comme lourde et technicienne, cette nouvelle version s’affranchit de ce cadre pour miser sur une approche collaborative en ateliers. Le Responsable de la Sécurité n’est plus dans sa tour d’ivoire à apprécier des risques que lui seul – et son cercle d’initiés – peut comprendre. Maintenant, l’approche se base sur l’implication, dès le début de la démarche, des Dirigeants et des Directions Métiers. L’objectif est de démystifier le sujet et de le rapprocher des problématiques stratégiques et opérationnelles en s’appuyant sur une approche par les processus et par la valeur Métier. Nous voyons aussi ce changement de paradigme dans l’approche par des scénarios de risques stratégiques qui sont décomposés par la suite en risques opérationnels. Par exemple :
Scénario de risque stratégique : un concurrent qui pourrait voler des informations en espionnant les travaux de R&D en vue d’obtenir un avantage concurrentiel.
Mode opératoire opérationnel : l’attaquant s’introduit dans le système d’information par une attaque ciblée sur la messagerie, qui lui permet de rebondir sur les réseaux internes.
Cette dualité permet de rapprocher les risques numériques des enjeux Métiers et en même temps d’apprécier les risques opérationnels et de proposer des mesures techniques et fonctionnelles pour y remédier.
Est-ce que ça va marcher ?
Cette version en est à ses débuts et elle devra faire ses preuves et s’améliorer dans le temps, mais ce qui est sûr c’est qu’elle embarque des enjeux que nous rencontrons déjà depuis quelques années chez nos clients ; les principales sont :
Comment intéresser mes dirigeants à ces risques (mais les ransomwares Wannacry et NotPetya, entre autres, s’en sont aussi chargés au passage) ?
Comment expliquer clairement ces risques aux Métiers ?
Nous voyons aussi l’émergence des notions de conformité, de plus en plus reliées à la sécurité numérique, que ce soit par le RGPD ou la Loi de Programmation Militaire (LPM). Je pense d’ailleurs que la notion de conformité a été introduite et renforcée dans cette version d’EBIOS pour répondre aux attentes des Opérateurs d’Importance Vitale (OIV), qui sont les premiers « clients » de l’ANSSI et ceux qui appliquent ses méthodes et référentiels. Une vision plus haut niveau des risques, une implication plus forte des métiers et un allègement de la démarche, tels sont les ingrédients sur lesquels mise l’ANSSI pour faire adopter sa nouvelle version de la démarche. L’intention est louable et s’inscrit à mon avis dans l’évolution du Métier de la Sécurité, mais c’est peut-être l’allègement de la démarche qui pourrait poser problème à ceux qui souhaitent appliquer l’approche. Certains regretteront donc le cadre exhaustif de l’ancienne version. En effet, l’allègement de la démarche exige une prise de hauteur par rapport au métier de la sécurité.
Alors, on s’y met tous, et au régime, EBIOS !
Nidhal