Les différentes techniques pour analyser les risques numériques.
Le but de l'analyse de risque est d'identifier les menaces qui peuvent entrainer un arrêt ou un dysfonctionnement d’une activité identifiée.
Un risque est catégorisé par sa vraisemblance et par la gravité qu’il pourrait avoir sur un périmètre défini.
Il existe quatre façons de traiter un risque :
- L’accepter ;
- Le réduire en appliquant des mesures spécifiques ;
- Le transférer pour ne plus porter la responsabilité (par exemple en souscrivant à une assurance) ;
- Le refuser ;
EBIOS Risk Management (RM) est la méthode de référence française portée par l’ANSSI.
Décomposée en cinq ateliers, cette méthode est fortement orientée vers les métiers. L’important ici étant d’identifier les risques numériques pouvant impacter la mission d’un système d’information.
EBIOS RM succède à la version de 2010 elle-même issue de la première version créée en 1995.
EBIOS pour Expression des Besoins et Identification des Objectifs de Sécurité est portée par le Club EBIOS qui a pour mission de faire évoluer la méthode. La méthode permet de cadrer le périmètre à étudier, sa mission, ses différentes fonctions appelées valeurs métiers et ce qui pourrait leur arriver, identifiés évènements redoutés.
L’écosystème du système d’information est aussi étudié, et ses parties prenantes seront identifiés.
Le déroulement des différents scénarios permettra d’envisager les sources de menaces, leur motivation à attaquer ainsi que leurs ressources.
Les scénarios stratégiques et opérationnels permettront de découvrir les chemins potentiels d’attaque (par exemple frontalement, en passant par une partie prenante et/ou en compromettant un élément du système d’information).
Cela permettra d’identifier les mesures à prendre pour renforcer la sécurité du système d’information.
MEHARI (Méthode harmonisée d'analyse des risques) est une méthode développée par le CLUSIF depuis 2014. Elle s’appui sur les lignes directrices de la famille ISO27001:2013.
Le principe de MEHARI est de toujours imaginer le pire en termes de conséquence.
Les questions que la méthode se pose sont :
Quels sont les événements qui peuvent provoquer quel incident en impactant quel actif ?
A l’issue du déroulé de la méthode, des actions seront définies pour dissuader l’attaquant, pour prévenir l’attaque, pour confiner son étendue et enfin pouvoir la corriger.
MEHARI s’appuie sur une base de connaissance permettant d’accélérer la mise en évidence des scénarios d’attaque et des dispositifs à mettre en place pour se défendre.
ISO27005 et ISO31000 offrent des normes de l’analyse de risque dans le cadre d’un standard international défini par l’ISO. A savoir que la version 2022 de l’ISO27005 reprend les grands concepts de EBIOS RM en s’appuyant exclusivement sur les risques numériques. Elle reprend la vision de l’ISO27001 et du management du système de management de la sécurité des systèmes d’information (SMSI) en suivant le parcours PDCA :
- Plan : Identification des risques cyber ;
- Do : Mise en place des actions de traitement du risque ;
- Check : Contrôle des mesures et de leur efficacité ;
- Act : Amélioration de la stratégie ;
L’axe étant donné sur la sécurité, la confidentialité et les risques liés au parties prenantes (supply chain).
Le framework se décompose en sept activités :
- La préparation permet à l’organisation de renforcer sa sécurité avant une attaque ;
- La catégorisation détermine les impacts liés à une attaque ;
- La sélection des mesures à appliquer suivant le référentiel NIST SP 800-53 ;
- L’implémentation des mesures et la documentation associée ;
- Le contrôle de la bonne application des contrôles ;
- L’autorisation permettant à un responsable d’employer un système d’information ;
- La supervision continue du système d’information ;
