Rechercher

EBIOS Risk Manager : notre retour d’expérience

La méthode EBIOS Risk Manager est-elle efficace ? Réponse de nos consultant.e.s.

La méthode EBIOS, qu’est-ce que c’est ?

EBIOS  veut dire « Expression des Besoins et Identification des Objectifs de Sécurité ». C’est depuis plus de vingt ans la méthode de référence pour les analyses de risque des systèmes d’information des administrations et grandes entreprises françaises. Fin 2018, l’ANSSI(1) et le Club EBIOS ont édité une nouvelle version de la méthode, désormais nommée EBIOS Risk Manager

Cette nouvelle version vise à démocratiser la cybersécurité auprès des dirigeants et acteurs dits « métiers » par une approche pédagogique, et se concentre beaucoup plus sur la menace intentionnelle (les cyberattaques) que les précédentes versions d’EBIOS. 

Après deux ans de pratique de cette méthode, cet article est l’occasion pour nous de livrer un retour d’expérience et de proposer quelques recommandations pour en améliorer la mise en œuvre. 

EBIOS Risk Manager : notre retour d’expérience

Les résultats fournis par EBIOS Risk Manager sont indéniablement plus lisibles et compréhensibles qu’avec la précédente version, EBIOS v3 (communément appelée EBIOS 2010).  

Ce bénéfice est dû à une refonte de l’approche de détermination des risques. Avec EBIOS 2010, les risques étaient obtenus par un mécanisme combinatoire entre « événements redoutés » et « scénarios de menace », dont les paramétrages étaient assez peu accessibles aux non-initiés.  

Même si elle a montré son efficacité, notamment en termes d’exhaustivité, cette approche pouvait induire de nombreux biais et était surtout peu lisible. A l’inverse, EBIOS Risk Manager adopte une démarche progressive permettant d’inclure les différents acteurs (responsables «métiers», décideurs, responsables techniques) dans le processus de détermination et d’appréciation des risques.  

Les résultats de l’analyse sont ainsi plus facilement démontrables, ce qui permet une meilleure acceptation des mesures recommandées en fin d’étude. Il n’y a plus l’effet « boîte noire » auquel pouvait faire penser l’approche combinatoire d’EBIOS 2010. 

Au cours de cette démarche progressive de détermination des risques, EBIOS Risk Manager fait apparaître de nouvelles notions qui n’étaient pas présentes dans EBIOS 2010. Ainsi, un atelier spécifique est maintenant consacré à l’analyse de la menace avec l’introduction de la notion d’«objectif visé», permettant de se placer du point de vue de l’attaquant. La méthodologie aborde également la question des menaces induites par les «parties prenantes» (partenaires, clients, prestataires, SI connectés, et autres tiers de l’écosystème en qui on a plus ou moins confiance) pouvant avoir des accès privilégiés au système à étudier.  

Enfin, le recours aux graphes d’attaque est à présent un passage obligé pour la détermination des scénarios de menace. Cela permet d’une part de reproduire plus fidèlement les modes opératoires des attaquants, et d’autre part d’apprécier plus finement la vraisemblance des scénarios. 

Toutes ces nouvelles notions font cependant apparaître la méthodologie comme plus complexe que la précédente. Heureusement, afin de faciliter l’appréhension de ces notions, des représentations graphiques ont été imaginées, notamment pour la visualisation des menaces provenant des attaquants potentiels, appelées «sources de risque», et des parties prenantes.  

Par ailleurs, la réalisation des graphes d’attaques devient assez accessible grâce aux choix de simplification effectués par les concepteurs de la méthode et aux fiches d’explication accompagnant le guide méthodologique.  

Enfin, plusieurs solutions logicielles compatibles avec EBIOS Risk Manager sont désormais disponibles, et permettent donc la production des représentations et graphes d’attaque dans le respect de la méthodologie. 

EBIOS Risk Manager : nos conseils de mise en œuvre

A partir de l’expérience obtenue au travers des études menées en EBIOS Risk Manager par nos consultant.e.s, nous faisons ici part de quelques conseils et recommandations pour la mise en application de la méthode. 

EBIOS Risk Manager a été conçue avec un fort parti pris privilégiant l’étude des menaces intentionnelles. Les menaces accidentelles sont censées être adressées par le biais d’une analyse des écarts vis-à-vis des référentiels de sécurité applicables. Néanmoins, en fonction du contexte de l’étude, il apparaît tout de même nécessaire de formuler des risques accidentels en plus des risques issus d’attaques, déterminés eux grâce à l’approche progressive évoquée précédemment.  

Pour obtenir ces risques accidentels, nous préconisons de réaliser en fin d’atelier 1 une sous-analyse de type EBIOS 2010 en croisant une liste de scénarios accidentels avec celle des événements redoutés, et d’inclure les mesures associées dans le plan d’action de sécurité qui sera complété à l’atelier 5. Une approche similaire peut être aussi mise en œuvre pour intégrer les risques relatifs aux données personnelles. 

Il est important de réaliser que les résultats de chaque atelier doivent être validés avant de passer à l’atelier suivant. Les livrables d’un atelier servent en effet d’entrants au prochain atelier. Des choix non partagés ou validés peuvent donc avoir de lourdes conséquences en fin d’étude. 

EBIOS Risk Manager fournit un cadre qu’il est nécessaire d’adapter en fonction de l’objectif de l’étude. Par exemple, dans le cas d’une analyse macroscopique sur un système vaste et interconnecté avec de nombreux tiers, il sera probablement nécessaire de privilégier l’approche par scénarios stratégiques et l’analyse des parties prenantes de l’atelier 3, quitte en première approche à mettre de côté les scénarios opérationnels de l’atelier 4. 

Lors de cet atelier 4, la réalisation des scénarios opérationnels au moyen de graphes d’attaque est une étape délicate. D’une part, le niveau de finesse des scénarios dépendra forcément de la richesse d’informations disponibles sur le système (configurations, résultats d’audits de scan, etc.) et de la maturité en sécurité de l’organisation étudiée.  

D’autre part, elle peut nécessiter de recourir à des compétences pointues pour la détermination et l’appréciation des modes opératoires. Dans ce contexte, un référentiel de techniques d’attaques tel que MITRE ATT&CK apparaît comme une source d’informations incontournable.  

Cependant, pour la grande majorité des systèmes étudiés, ce référentiel est trop vaste et détaillé, et donc finalement peu adapté en l’état à la granularité demandée lors d’une analyse de risque. Il nous paraît donc nécessaire de constituer un catalogue de techniques d’attaques spécifiquement conçu pour l’exercice d’analyse de risque. 

EBIOS Risk Manager : conclusion

Après quelques mois de pratique, les consultants d’Orange Cyberdefense peuvent témoigner des bénéfices apportés par EBIOS Risk Manager : 

  • Une implication des différents métiers favorisée par la démarche progressive et les nombreux supports graphiques. 
  • Une appréciation des risques fine et démontrable, notamment par le recours aux graphes d’attaque. 
  • Un lien établi entre les divers métiers de cybersécurité (audits de conformité, gouvernance, analyses de la menace, techniques d’attaque) et permettant de développer la transversalité des compétences. 

Afin de tirer l’ensemble des bénéfices d’EBIOS Risk Manager, il devient nécessaire de s’appuyer sur une solution logicielle. L’ANSSI a d’ailleurs devancé cet aspect en lançant très rapidement un programme de labellisation des solutions supportant la méthode. Cette initiative permet de dynamiser l’écosystème et déjà quatre éditeurs ont obtenu ce label. 

Ressources 

Page de présentation de la méthode sur le site de l’ANSSI 

Liste des solutions logicielles labellisées

 Note :  

  1. Agence nationale de la sécurité des systèmes d’information