Actu
Anticipons grâce au management du risque cyber : l’ANSSI lance la méthode d’analyse de risque EBIOS Risk Manager
octobre 2018 par Patrick LEBRETON
Pour accompagner les organisations face au risque cyber, l’ANSSI lance une nouvelle méthode d’analyse de risque intitulée EBIOS Risk Manager, une solution innovante, collaborative et pratique, adaptée aux nouveaux enjeux de sécurité numérique. EBIOS Risk Manager positionne la sécurité numérique au niveau des enjeux stratégiques et opérationnels des organisations. EBIOS Risk Manager s’inscrit dans une démarche d’anticipation collective dont l’objectif est d’élever le niveau de cybersécurité des organisations, en France et en Europe.
EBIOS Risk Manager : comprendre pour décider
La transformation numérique bouleverse et enrichit nos activités en rendant les systèmes, dont nous dépendons, toujours plus évolutifs et interconnectés. Nous évoluons au sein d’écosystèmes particulièrement stimulants mais aussi complexes et mouvants. Les menaces n’échappent pas à ce constat, faisant de la sécurité numérique un véritable enjeu économique et stratégique.
Pour y faire face, l’ANSSI encourage la création et la mise en œuvre d’une politique de management des risques numériques complète, adaptée et intégrée au plus haut niveau des organisations. L’analyse de risque est au cœur de ce dispositif.
Ainsi, l’ANSSI lance la méthode d’analyse de risque EBIOS Risk Manager, dont l’objectif est de permettre aux dirigeants d’appréhender au juste niveau les risques cyber, au même titre que les risques stratégique, financier, juridique, d’image ou de ressources humaines.
EBIOS Risk Manager offre une compréhension et une responsabilité partagées des risques numériques entre les décideurs et les acteurs opérationnels. Elle se déploie autour de trois valeurs fondamentales : la connaissance, l’agilité et l’engagement.
EBIOS, méthode d’analyse de risque française de référence
Initiée en 1995, EBIOS, méthode d’analyse de risque française de référence, permet aux organisations d’apprécier et de traiter les risques.
Pour accompagner les organisations, l’ANSSI modernise cette méthode d’analyse de risque pour prendre en compte l’environnement actuel et positionner la sécurité numérique au niveau des enjeux stratégiques et opérationnels des organisations.
Cette évolution tient compte de nombreux retours d’expérience des organisations (OIV, administrations, entreprises, associations) et fait converger concepts et normes internationales du système de management de la sécurité de l’information.
La méthode EBIOS Risk Manager en 5 ateliers
La méthode EBIOS Risk Manager adopte une approche de management du risque qui part du plus haut niveau pour s’intéresser progressivement aux éléments métier et techniques, en étudiant les chemins d’attaque possibles.
La méthode se distingue donc par une synthèse entre conformité et scénarios. Selon EBIOS Risk Manager, la première étape consiste à bâtir un socle de sécurité solide en appliquant les référentiels de sécurité pertinents vis-à-vis de l’état de l’art et de la réglementation. La deuxième étape consiste à apprécier les risques en se concentrant sur les menaces intentionnelles et ciblées les plus dangereuses, à même de mettre à mal ce socle de sécurité. Pour y parvenir, la méthode EBIOS Risk Manager se décline en cinq ateliers :
– Atelier 1 : Cadrage et socle de sécurité
– Atelier 2 : Sources de risque
– Atelier 3 : Scénarios stratégiques
– Atelier 4 : Scénarios opérationnels
– Atelier 5 : Traitement du risque
Chacun peut ainsi s’approprier la méthode. En fonction du contexte et des outils déjà existants, les organisations peuvent mettre en place et adapter les ateliers à leurs besoins.
Une démarche collaborative et évolutive avec le label EBIOS Risk Manager
EBIOS Risk Manager est une méthode dynamique conçue pour être éprouvée, améliorée et discutée. Elle doit continuer de vivre et d’évoluer au contact d’une large communauté d’utilisateurs, déjà engagée dans cette démarche.
Le club EBIOS et le CLUSIF sont, à ce titre, des partenaires indissociables de cette démarche, garants de la reconnaissance, de l’utilisation et de l’animation de la méthode auprès de la communauté.
Afin d’outiller cette nouvelle méthode, l’ANSSI souhaite s’appuyer sur des partenaires externes, éditeurs de logiciel. Dans cette logique, l’ANSSI lancera en 2019 un label de conformité EBIOS Risk Manager, accessible à tout éditeur souhaitant développer une solution logicielle conforme aux principes et aux concepts de la méthode. Ce label de conformité vise à faciliter la création d’outils conformes aux attentes de l’ANSSI sur le plan méthodologique pour permettre aux utilisateurs de s’approprier les concepts et de réaliser des analyses de risques de bout en bout.
Plusieurs éditeurs se sont déjà rapprochés de l’ANSSI pour participer à l’expérimentation de la labellisation avant son lancement dans le cadre d’un accord de confidentialité.
Des dispositifs de formation EBIOS Risk Manager à venir
Le Centre de formation à la sécurité des systèmes d’information de l’ANSSI (CFSSI) dispensera dans les prochains mois une formation pour les administrations sur la méthode EBIOS Risk Manager.
En complément, des kits de formation à destination de formateurs externes à l’agence sont en cours d’élaboration avec le Club EBIOS, pour former et développer un réseau de formateurs en France et à l’international.
Ces différents dispositifs de formation favoriseront l’adoption de cette méthode d’analyse de risques par le plus grand nombre.
