Début octobre, lors des Assises de la sécurité de l’information, l’ANSSI a annoncé la publication de la nouvelle version de sa méthode de référence d’analyse des risques : EBIOS Risk Manager. Le maître-mot : anticiper pour ne plus subir. Des principes à contrepied de la version 2010 et une nouvelle approche. Visite guidée.
Uniquement les menaces intentionnelles ?
Première nouveauté, la méthode se focalise sur les menaces intentionnelles et ciblées. Plus précisément, elle concentre les efforts sur l’analyse des attaques ciblées, considérant les risques informatiques habituels comme traités par une approche par conformité. Il s’agit de ne plus perdre d’énergie et de temps à justifier par des risques la nécessité de la mise en place de règles d’hygiène de sécurité ou à réécrire la règlementation sous forme de mesures de sécurité. Les conséquences sont immédiates et bienvenues : les mesures de sécurité résultats ne seront plus une redite de la PSSI ou une liste de bonnes pratiques déjà connues, mais bel et bien des objectifs de sécurité spécifiquement adaptés au système étudié et à son écosystème.
La fin de l’exhaustivité ?
Oui. La démarche proposée d’analyse des scénarios d’attaque ne recherche pas l’exhaustivité, mais l’efficacité. Dès lors que l’on sait qu’une mesure de sécurité viendra couvrir complètement plusieurs menaces, est-il bien nécessaire de lister tous les scénarios ?
Ici, l’expertise de ceux qui contribuent à l’analyse de risque est absolument nécessaire pour effectuer le meilleur choix des scénarios d’attaque. Il ne s’agit pas d’analyser des scénarios trop proches ou forcément les plus vraisemblables a priori, mais un panel de scénarios permettant de garantir la meilleure couverture possible. Des bases de connaissances seront d’ailleurs prochainement disponibles avec des indicateurs sur les attaques avérées.
Intégration de l’écosystème entourant le système à analyser
L’expérience montre une complexification des attaques. Les attaquants exploitent parfois des vulnérabilités annexes pour atteindre leur cible. La version RM intègre une modélisation des parties prenantes qui interagissent avec le système : infogérants, fournisseurs, partenaires, directions supports, etc. avec pour objectif d’intégrer à la réflexion la menace que représentent ces parties prenantes et l’exposition qu’elle engendre pour la cible.
Une approche par graphe d’attaque
Vous pouvez dire adieu aux tableaux à rallonge et aux indicateurs chiffrés, réservés aux initiés. L’avenir est à la kill chain et à la représentation graphique des chemins d’attaque.
Une volonté forte de cette nouvelle méthode est d’impliquer davantage les métiers et interlocuteurs SI qui ne sont pas des experts de la sécurité. Ces graphes, au-delà d’illustrer les résultats, facilitent la co-construction et la prise de décision pour identifier les meilleures stratégies.
L’approfondissement successif
Alors que les précédentes méthodes demandaient de « dérouler » l’ensemble des modules pour obtenir risques et mesures, EBIOS RM a choisi une approche par approfondissement successif. À chaque fin d’étape, vous êtes en mesure de constituer des risques. Plus vous avancez dans la méthode, plus les risques seront détaillés. L’arrêt est possible à chaque étape, ce qui permet de faciliter grandement l’adaptation du niveau de granularité des résultats.
Ces nouveautés sont le fruit d’un long travail de recueil des retours terrain et de prise en compte des bonnes pratiques en matière d’analyse de risques et de modélisation de la menace.
Guillaume Poupard veut rendre l’analyse de risque « sexy ». Avec EBIOS RM, il a, avec certitude, gagné le pari du visuel et de l’efficacité*.
Si vous souhaitez en savoir plus sur la méthode EBIOS RM, n’hésitez pas à nous contacter directement.