Présentation
RÉSUMÉ
Souvent dénigrée à cause de sa complexité de mise en œuvre, nous pensons qu’il convenait de briser de fausses idées concernant la méthode EBIOS RM 2024 (EBIOS RM pour Expression des besoins et identification des objectifs de Security Risk Management).
Dans cet article, nous allons démontrer aux lecteurs que cette méthode est une formidable boîte à outils en matière d’appréciation des risques. Nous verrons qu’elle est parfaitement adaptée aux exigences de la norme ISO 27001 :2022, de l’ISO 27005 :2022, et qu’elle peut activement participer à l’instauration d’une cyber-résilience effective de nos patrimoines informationnels conformément à la directive européenne NIS2.
Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.
Lire l’articleAuteur(s)
-
Dany CORGIAT : Président d’Alliance Cyber Technologies
INTRODUCTION
L'histoire de la gestion des risques remonte à plusieurs millénaires, car les premières traces de cette discipline remonteraient à l’Antiquité. L’évaluation des risques a ensuite évolué d’une façon constante et significative à travers différentes époques et civilisations pour devenir une discipline clé dans nos activités de cyberdéfense.
Plus que jamais, en 2024, évaluer des risques liés à la sécurité des systèmes d'information est devenue une priorité pour toutes les entreprises et toutes les institutions de notre pays.
Dans cet article, nous ne souhaitons pas revenir dans le passé, à la genèse des premières évaluations des risques. Nous voulons simplement faire comprendre aux lecteurs qu’anticiper la probabilité (la vraisemblance) et l’impact (la conséquence) d’un acte de malveillance peut changer notre avenir. Nous verrons qu’évaluer par anticipation des risques avec une méthode commune et internationalement éprouvée est ou doit être une priorité afin de protéger l’ensemble de nos patrimoines informationnels. Afin de vous faire comprendre du mieux que possible l’enjeu d’évaluer des risques, nous nous focaliserons sur la norme ISO 27005 et la méthode EBIOS Risk Manager (EBIOS RM 2024).
Nous verrons aussi qu’une amélioration continue de notre posture de cyber-défense et la mise en œuvre de mesures de cybersécurité imposent une identification précise des chemins d'attaques que pourraient emprunter des belligérants (ce que permet la méthode EBIOS RM).
Cet article est réservé aux abonnés.
Il vous reste 92 % à découvrir.
Déjà abonné ? Se connecter
MOTS-CLÉS
cybersécurité Directive européenne management des risques ISO/IEC 27001 EBIOS RM norme ISO 27005
DOI (Digital Object Identifier)
Présentation
Gouvernance des risques et EBIOS RM 2024 (v 1.5)Article inclus dans l'offre
"Sécurité des systèmes d'information"
(80 articles)
Actualisée et enrichie d’articles validés par nos comités scientifiques.
Quiz, médias, tableaux, formules, vidéos, etc.
Opérationnels et didactiques, pour garantir l'acquisition des compétences transverses.
Un ensemble de services exclusifs en complément des ressources.
2. Complexité de gérer et d’évaluer des cyber-risques
Gilles Teneau et Nicolas Dufour indiquent, dans leur ouvrage que : « La gestion des risques est un enjeu stratégique contribuant à la sauvegarde de la valeur pour les organisations. Il s’agit d’un "objet frontière" car gérer le risque consiste à faire le lien entre les différentes parties prenantes au sein des entreprises. Une partie met en exergue les notions et enjeux liés à la gestion des risques, une autre vise à apporter un éclairage complémentaire sur des enjeux précis auxquels la gestion des risques peut apporter des solutions ».
Le cyberespace que nous utilisons à outrance pour échanger des données à chaque instant et de n’importe quel endroit du monde connaît une expansion rapide et brutale. Cet élargissement perpétuel, induit par des besoins de plus en plus grands que nous pensons devoir assouvir en communiquant impose l’utilisation de systèmes informatisés complexes, interdépendants et interconnectés. Être relié à ce réseau qui n’est pas de confiance, à ce cyberespace sans frontière temporelle et géographique, n’est pas sans conséquence puisqu’il complique la gestion d’une palette de risques issue de personnes plus ou moins malveillantes. Cette « consommation massive » de technologies numériques augmente la vraisemblance et la conséquence de menaces qui imposent d’évaluer et de gérer des risques. Elle freine, percute ou transforme les enjeux stratégiques contribuant à la sauvegarde de la valeur de nos organisations.
De ce fait, plusieurs facteurs de complexités qui s’entrecroisent ou qui s’entrechoquent doivent être pris en compte :
-
la surface d’attaque : qui est considérablement étendue, car toutes les technologies sont potentiellement des points d’entrées pour des attaques ;
-
l’évolution rapide des formes de menaces : qui évoluent constamment lors de l’apport de nouvelles technologies, lors de la découverte de vulnérabilités ou de nouveaux enjeux de pouvoir, de cyberguerres ;
-
la diversité...
Cet article est réservé aux abonnés.
Il vous reste 94 % à découvrir.
Déjà abonné ? Se connecter
Complexité de gérer et d’évaluer des cyber-risques
Article inclus dans l'offre
"Sécurité des systèmes d'information"
(80 articles)
Actualisée et enrichie d’articles validés par nos comités scientifiques.
Quiz, médias, tableaux, formules, vidéos, etc.
Opérationnels et didactiques, pour garantir l'acquisition des compétences transverses.
Un ensemble de services exclusifs en complément des ressources.
BIBLIOGRAPHIE
-
(1) - TENEAU (G.), DUFOUR (N.) - La gestion des risques, un objet frontière. - Editions l’-Harmattan (2013).
-
(2) - ANSSI - Qu'est-ce que la méthode EBIOS Risk Manager ? - (2024). PDF disponible en ligne https://cyber.gouv.fr/la-methode-ebios-risk-manager
-
(3) - ANSSI - Guide EBIOS - (2024). PDF disponible en ligne https://cyber.gouv.fr/sites/default/files/document/20240326_np_anssi_guide_ ebios_fr_final_web.pdf
DANS NOS BASES DOCUMENTAIRES
NORMES
-
Systèmes de management de la sécurité de l’information - ISO/IEC 27001 - 2022
-
Lignes directrices en matière de normes organisationnelles relatives à la sécurité de l’information et des bonnes pratiques de management de la sécurité de l’information - ISO/IEC 27002 - 2022
-
Management du risque - ISO/IEC 31000 - 2018
-
Gestion des risques en sécurité de l’information - ISO/IEC 27005 - 2022
-
Dédiée au management de la qualité, l’amélioration continue - ISO 9001 -
Cet article est réservé aux abonnés.
Il vous reste 93 % à découvrir.
Déjà abonné ? Se connecter
Article inclus dans l'offre
"Sécurité des systèmes d'information"
(80 articles)
Actualisée et enrichie d’articles validés par nos comités scientifiques.
Quiz, médias, tableaux, formules, vidéos, etc.
Opérationnels et didactiques, pour garantir l'acquisition des compétences transverses.
Un ensemble de services exclusifs en complément des ressources.
