4 - MISE EN ŒUVRE

4.1 - Atelier 1 : « cadrage et socle de sécurité »
4.2 - Atelier 2 : « sources des risques »

$Figure 5 - Exemples de couple « sources de risques\motivations »$
4.3 - Atelier 3 : « scénarios stratégiques »
4.4 - Atelier 4 : « scénarios opérationnels »
4.5 - Atelier 5 : « traitement du risque »

Figure 11 - Exemple de restitutions

Bibliographie & annexes

Article de référence | Réf : H5350 v1

Mise en œuvre
EBIOS RM - Une méthode conforme aux exigences de cybersécurité

Auteur(s) : Dany CORGIAT

Date de publication : 10 mars 2025 | Read in English

Pour explorer cet article
Télécharger l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !

Présentation

RÉSUMÉ

Souvent dénigrée à cause de sa complexité de mise en œuvre, nous pensons qu’il convenait de briser de fausses idées concernant la méthode EBIOS RM 2024 (EBIOS RM pour Expression des besoins et identification des objectifs de Security Risk Management).

Dans cet article, nous allons démontrer aux lecteurs que cette méthode est une formidable boîte à outils en matière d’appréciation des risques. Nous verrons qu’elle est parfaitement adaptée aux exigences de la norme ISO 27001 :2022, de l’ISO 27005 :2022, et qu’elle peut activement participer à l’instauration d’une cyber-résilience effective de nos patrimoines informationnels conformément à la directive européenne NIS2.

Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.

Lire l’article

Auteur(s)

Dany CORGIAT : Président d’Alliance Cyber Technologies

INTRODUCTION

L'histoire de la gestion des risques remonte à plusieurs millénaires, car les premières traces de cette discipline remonteraient à l’Antiquité. L’évaluation des risques a ensuite évolué d’une façon constante et significative à travers différentes époques et civilisations pour devenir une discipline clé dans nos activités de cyberdéfense.

Plus que jamais, en 2024, évaluer des risques liés à la sécurité des systèmes d'information est devenue une priorité pour toutes les entreprises et toutes les institutions de notre pays.

Dans cet article, nous ne souhaitons pas revenir dans le passé, à la genèse des premières évaluations des risques. Nous voulons simplement faire comprendre aux lecteurs qu’anticiper la probabilité (la vraisemblance) et l’impact (la conséquence) d’un acte de malveillance peut changer notre avenir. Nous verrons qu’évaluer par anticipation des risques avec une méthode commune et internationalement éprouvée est ou doit être une priorité afin de protéger l’ensemble de nos patrimoines informationnels. Afin de vous faire comprendre du mieux que possible l’enjeu d’évaluer des risques, nous nous focaliserons sur la norme ISO 27005 et la méthode EBIOS Risk Manager (EBIOS RM 2024).

Nous verrons aussi qu’une amélioration continue de notre posture de cyber-défense et la mise en œuvre de mesures de cybersécurité imposent une identification précise des chemins d'attaques que pourraient emprunter des belligérants (ce que permet la méthode EBIOS RM).

Cet article est réservé aux abonnés.
Il vous reste 95% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !

L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.

+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.

De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

MOTS-CLÉS

cybersécurité Directive européenne management des risques ISO/IEC 27001 EBIOS RM norme ISO 27005

DOI (Digital Object Identifier)

https://doi.org/10.51257/a-v1-h5350

Cet article fait partie de l’offre

Sécurité des systèmes d'information

(80 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Des modules pratiques

Opérationnels et didactiques, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS

Lecture en cours
Présentation

Page
suivante

Conclusion

4. Mise en œuvre

4.1 Atelier 1 : « cadrage et socle de sécurité »

Selon l’ANSSI, page 8 – « Une démarche interactive en 5 ateliers » du document « EBIOS RM » (2024) : « Le premier atelier vise à identifier l’objet de l’étude, les participants aux ateliers et le cadre temporel. Au cours de cet atelier, vous recensez les missions, valeurs métiers et biens supports relatifs à l’objet étudié. Vous identifiez les événements redoutés associés aux valeurs métier et estimez lagravité de leurs impacts. Vous évaluez également la conformité au socle de sécurité ».

De son côté, la norme ISO/IEC 27005 :2022, chapitre 7 Établissement du contexte, page 6, indique : « Il convient d’établir le contexte externe et interne de la gestion des risques en sécurité de l’information, ce qui implique de déterminer les critères de base nécessaires à la gestion des risques en sécurité de l’information » et « Il est essentiel de déterminer l’objectif de la gestion des risques en sécurité de l’information puisqu’il influence l’ensemble du processus et, en particulier, l’établissement du contexte ».

L’atelier 1, « Cadrage et socle de sécurité », a pour objectif de définir le cadre global de l’étude en délimitant le périmètre métier, les aspects techniques et organisationnels liés aux risques à étudier. Il faut identifier les parties prenantes et les événements redoutés (les menaces) afin de protéger les actifs exposés à ce risque.

Dans cet atelier, il convient d’identifier les valeurs métiers (business values) en rassemblant, au minimum, ces informations :

processus, procédures et éventuellement, les modes opératoires ;
cartographie des applications, des systèmes de stockage ;
données et leurs exigences en termes de confidentialité : (personnelles, non personnelles, stratégiques, non stratégiques, sensibles, non sensibles, etc.) ;
schémas des infrastructures et des flux entre les réseaux ;
rôles et responsabilités...

Cet article est réservé aux abonnés.
Il vous reste 92% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !

L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.

+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.

De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

Cet article fait partie de l’offre

Sécurité des systèmes d'information

(80 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Des modules pratiques

Opérationnels et didactiques, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS

Lecture en cours
Mise en œuvre

Page
précédenteGouvernance des risques et EBIOS RM 2024 (v 1.5)

Page
suivante

Conclusion

BIBLIOGRAPHIE

(1) - TENEAU (G.), DUFOUR (N.) - La gestion des risques, un objet frontière. - Editions l’-Harmattan (2013).
(2) - ANSSI - Qu'est-ce que la méthode EBIOS Risk Manager ? - (2024). PDF disponible en ligne https://cyber.gouv.fr/la-methode-ebios-risk-manager
(3) - ANSSI - Guide EBIOS - (2024). PDF disponible en ligne https://cyber.gouv.fr/sites/default/files/document/20240326_np_anssi_guide_ ebios_fr_final_web.pdf

DANS NOS BASES DOCUMENTAIRES

NORMES

Systèmes de management de la sécurité de l’information - ISO/IEC 27001 - 2022
Lignes directrices en matière de normes organisationnelles relatives à la sécurité de l’information et des bonnes pratiques de management de la sécurité de l’information - ISO/IEC 27002 - 2022
Management du risque - ISO/IEC 31000 - 2018
Gestion des risques en sécurité de l’information - ISO/IEC 27005 - 2022
Dédiée au management de la qualité, l’amélioration continue - ISO 9001 -

Cet article est réservé aux abonnés.
Il vous reste 94% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !

L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.

+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.

De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

Cet article fait partie de l’offre

Sécurité des systèmes d'information

(80 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Des modules pratiques

Opérationnels et didactiques, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS