Club EBIOS - www.club-ebios.org

GT « Outils pratiques » (Action 55)Synthèse des travaux réalisés

Thierry PERTUS (CONIX)

13/09/2017

GT « Outils pratiques » (Action 55) - Synthèse des travaux réalisés 2

2 Sélection de l’étude de cas

3 Référentiel de risque lié à l’étude de cas

4 Rapport d’analyse lié à l’étude de cas

SOMMAIRE

5 Valeur ajoutée de l’outillage proposé

1 Rappel des objectifs du GT

6 Synthèse des livrables et suite des travaux

A Annexes

GT « Outils pratiques » (Action 55) - Synthèse des travaux réalisés 3

1. Rappel des objectifs du GT

GT « Outils pratiques » (Action 55) - Synthèse des travaux réalisés 4

Finalités recherchées :

❖ Proposer un outillage accessible, adapté et flexible de la méthode EBIOS (v2010)sous forme de fichier EXCEL, permettant une déclinaison opérationnelle et personnalisée de la méthode

❖ Concevoir cet outillage dans l’optique de pouvoir réaliser aussi bienune analyse organisationnelle (ex : état des lieux, PSSI, SMSI)qu’une analyse fonctionnelle (ex : exigences à intégrer au cahier des charges, EIVP/PIA/DPIA)

❖ Donner la possibilité d’introduire certaines améliorations faisant consensus au sein du Club EBIOS

❖ Adapter les bases de connaissances « historiques EBIOS »(biens supports, vulnérabilités/menaces, liste de référentiels de mesures)

❖ Proposer un outillage modulable, extensible et évolutif (ex : vers EBIOS NG),par le biais des critères et bases de connaissances, aux domaines de risque liés à la sécurité et à la résiliencenotamment couverts par les normes rattachées au référentiel TC 292

Précautions d’usage :

❖ N’introduire des simplification/améliorations qu’en cas de réelle valeur ajoutée

❖ Ne pas chercher à « inventer l’eau tiède »

❖ Ne pas dénaturer la méthode EBIOS(conservation a minima des 5 modules d’analyse en l’état et de la terminologie établie)

❖ Se mettre à la place d’un praticien novice d’EBIOS pour éviter toute complexification inutile

❖ Se mettre à la place d’un praticien expert d’EBIOS pour éviter toute simplification trop réductrice

Rappel des objectifs du GT

GT « Outils pratiques » (Action 55) - Synthèse des travaux réalisés 5

2. Sélection de l’étude de cas

GT « Outils pratiques » (Action 55) - Synthèse des travaux réalisés 6

1. Sélection de l’étude de cas

Retour sur les sujets proposés comme étude de cas

EC.01 : Etude portant sur la mise en place d'un SI sûreté physique "full IP" (système de contrôle d'accès par badge unique, système de détection d'intrusion, vidéosurveillance, télésurveillance, ...) au sein d'une entreprise de logistique.

Principaux enjeux pressentis : Risque de compromission du SI général de l'entreprise via un canal d'interconnexion, Risque de compromission du SI sûreté physique par un vecteur digital (médias amovibles, prise d'accès filaire, Wi-Fi, télémaintenance, ...), Risque d'atteinte au respect de la vie privée du personnel et des personnes filmées par les caméras, Asservissement des contrôles d'accès au système de sécurité incendie (contrainte héritée)

EC.02 : Etude portant sur la mise en place d'un système décisionnel Big Data visant à optimiser (dans le respect du cadre légal actuel et futur) la sélection de candidats dans le cadre d'une activité de recrutement d'une entreprise spécialisée dans le sourcing.

Principaux enjeux pressentis : Risque d'atteinte au respect de la vie privée des candidats (CR d'entretien, workflow) ou de discrimination basée sur des critères illégaux ou une analyse prédictive tendancieuse liées à une dérive des traitements analytiques (data mining) au regard des finalités initialement fixées

EC.03 : Etude portant sur la mise en place d'une plateforme en cloud permettant la récupération en ligne des résultats d'analyse par un laboratoire d'analyse médicale.

Principaux enjeux pressentis : Risque d'atteinte au respect de la vie privée des patients (non-conformité au cadre légal en vigueur et à horizon 2018, non-conformité à la réglementation HDS, légitimité d'accès aux résultats non garantie, fuite de données de santé, ...)

EC.04 : Etude portant sur la mise en place de nouveaux services d'hébergement en cloud communautaire délivrés par un GIE au sein d'ungroupement de sociétés d'un même secteur d'activité (ou par une entité orientées services du numérique au sein d'un groupe).

Principaux enjeux pressentis : mutualisation des ressources (infrastructure, services transverses, compétences, ...), cloisonnement inter-entités, niveaux de services (SLAs), co-responsabilité dans le traitement de DCP (RGPD), services managés (Administration, SOC, ...)

EC.05 : Etude portant sur la mise en place d'un réseau électrique intelligent "smart grid" à l'échelle d'une métropole (dans l'UE).

Principaux enjeux pressentis : obligations réglementaires applicables aux OSE (Directive NIS), security/resiliency by design, continuité d'activité, efficience énergétique et agilité dans la gestion de la capacité en énergie, traitement et accès aux données de consommation/facturation aux usagers (RGPD), ...

GT « Outils pratiques » (Action 55) - Synthèse des travaux réalisés 7

Opportunité d'Action [OPA]

Retour sur les résultats du sondage en ligne

EC.01 : SI sûreté physique au sein d'une entreprise de logistique

EC.02 : système décisionnel Big Data d’assistance au sourcing pour le recrutement RH (Analytics for Talent Management)

EC.03 : plateforme en cloud permettant la récupération en ligne des résultats d'analyse par un laboratoire d'analyse médicale.

EC.04 : nouveaux services d'hébergement en cloud communautaire délivrés par un GIE

EC.05 : réseau électrique intelligent "smart grid" à l'échelle d'une métropole au sein de l'UE

Source : https://club-ebios.org/forum/viewtopic.php?f=55&t=645

GT « Outils pratiques » (Action 55) - Synthèse des travaux réalisés 8

3. Référentiel de risque lié à l’étude de cas

Cf. ClubEBIOS.ATM.RPR (v0.9 R4 - FULL)

GT « Outils pratiques » (Action 55) - Synthèse des travaux réalisés 9

4. Rapport d’analyse lié à l’étude de cas

Cf. ClubEBIOS.ATM.RPAR (v0.9 R4 - FULL)

GT « Outils pratiques » (Action 55) - Synthèse des travaux réalisés 10

5. Valeur ajoutée de l’outillage proposé

Principaux éléments de simplification / sophistication (par rapport à une analyse « EBIOS 2010 classique »)

GT « Outils pratiques » (Action 55) - Synthèse des travaux réalisés 11

Principaux éléments de simplification utilisés par rapport à EBIOS 2010

Valorisation des biens essentiels :> Expression du vecteur DICL par déduction de chaque critère en fonction du MAX des natures d’impact en cas d’atteinte à ce même critère

Evènements redoutés :> Constitution d’un registre d’évènements redoutés limité à ceux associés à la gravité la plus élevée (> 2)

Scénarios de menaces :> Constitution d’un registre de scénarios de menaces agrégeant les menaces (simple correspondance proposée)et les vulnérabilités (occultées car considérées comme l’expression d’une « négation » ou d’un défaut de mesures)

Risques :> Constitution d’un registre de risques par factorisation des combinaisons entre scénarios de menaces et évènements redoutés

Réduction du risque :> Action directe sur le niveau de risque initial (Ri), par le biais de la notion de niveau de maîtrise du risque, réduisant en une seule dimension la « Vraisemblance » et la « Gravité » (traitées de façon induite en considérant la nature des mesures appliquées : prévention / protection / récupération)

GT « Outils pratiques » (Action 55) - Synthèse des travaux réalisés 12

Principaux éléments de sophistication utilisés par rapport à EBIOS 2010

Analyse conjointe Sécurité de l’information / Protection des DCP :> Regroupement de ces 2 domaines au travers des critères DICL

Impacts collatéraux / différenciés :> Permet d’exprimer l’impact sur les parties prenantes externes, qui par voie de conséquence sont susceptibles de générer des impacts (juridiques, financiers, réputation, …) sur l’organisme (« effet boomerang »)

Gravité cumulée :> Permet de prendre en compte la globalité des impacts de façon à affiner la hiérarchisation des risques (ex : pour une gravité maximale équivalente)

Matrice de vraisemblance :> Permet d’estimer la vraisemblance par calcul matriciel au regard du niveau d’exposition et du niveau de menaces (ces deux attributs étant eux-mêmes multi-facteurs)

Distinction entre fonctions métier et fonctions support :> Sur la base du modèle de la chaine de valeur de M. Porter, les fonctions métier permettent d’exprimer les impacts métier sur l’organisation et les parties prenantes externes (approche EBIOS classique) tandis que les fonctions support compète cette vision en se focalisant sur l’impact DICL sur ces mêmes fonctions métier

Dépendance entre biens essentiels et biens support :> Distinction entre les dépendances liées au fonctionnement (ex : infra) et celles liées à l’accès (ex : terminaux utilisateurs)

Sources de menaces :> Constitution d’un registre de sources de menaces (en correspondance avec la typologie EBIOS 2010) plus explicites

Scénarios de menaces chainés :> Sur le principe de la réaction en chaine ou encore de la « cyber kill chain », une colonne permet d’exprimer l’enchainement temporel possible entre scénarios de menaces

Décisions et Mesures juridiques, organisationnelles et techniques :> Distinction entre ces différentes notions (cf. slides ci-avant)

Réduction et Transfert du risque :> Options cumulables, le transfert étant une forme de réduction partielle du risque (par l’externalisation ou la souscription à une police d’assurance par exemple)

GT « Outils pratiques » (Action 55) - Synthèse des travaux réalisés 13

6. Synthèse des livrables et suite des travaux

GT « Outils pratiques » (Action 55) - Synthèse des travaux réalisés 14

4. Synthèse des livrables et suite des travaux

Titre| Référence du document

Version| Statut

Naturedu document

Formatdu document

Concepts, Critères et Métriques

Référentiel de Risque| ClubEBIOS.ATM.REF

v0.9 R4| en relecture

Tableaux de référence

Référentiel Pédagogique de Risque| ClubEBIOS.ATM.RPR

v0.9 R4| en relecture

Document pédagogique

Référentiel Synthétique de Risque| ClubEBIOS.ATM.RSR

v0.9 R4| en relecture

Document de restitution

Analyse de risques

Registres d’Analyse| ClubEBIOS.ATM.REG

v0.9 R4| en relecture

Tableaux analytiques

Rapport Synthétique Pédagogique d’Analyse de Risques| ClubEBIOS.ATM.RPAR

v0.9 R4| en relecture

Document pédagogique

Rapport Synthétique Pédagogique d’Analyse de Risques| ClubEBIOS.ATM.RSAR

v0.9 R4| en relecture

Document de restitution

Portage sous Egerie Risk Manager (v2.2.1)

Egerie Risk Manager (fichier de configuration pour module ERM)| Analyse_ATM_170910

N/A Document technique

Egerie Risk Manager (rapport d’analyse extrait en PDF) | Rapport_ATM_170910

N/A Document de restitution

Egerie Risk Manager (rapport d’élaboration lié à EBIOS 2010)| ClubEBIOS.ATM.ERM (v0.9 R4)

v0.9 R4| en relecture

Document pédagogique

Modèle de document

Registres d’Analyse (contenu vierge)| ClubEBIOS.TEMPLATE.REG

v0.9 R4| en relecture

Tableaux analytiques

GT « Outils pratiques » (Action 55) - Synthèse des travaux réalisés 15

4. Synthèse des livrables et suite des travaux

Appel à commentaires - Request for Comments (RFC)

Document faisant principalement l’objet de l’appel à commentaire : ClubEBIOS.ATM.REG.xlsx (Registres d’Analyse)

Lien direct sur le forum du club : https://club-ebios.org/forum/viewtopic.php?f=55&t=654

Contact pour l’envoi des commentaires : thierry.pertus@conix.fr

Note : La liste des contributeurs aux travaux et livrables du GT sera susceptible d’intégrer les personnes(avec leur consentement) ayant transmis des commentaires pertinents dans le cadre du présent RFC.

GT « Outils pratiques » (Action 55) - Synthèse des travaux réalisés 16

4. Synthèse des livrables et suite des travaux

Priorité 1 (objectif Q4 2017) : version 1.0 - alignement sur EBIOS 2010

Consolidation des livrables v0.9 suite aux retours des commentaires (RFC) après relecture Soumission des livrables v1.0 au CA du club et à l’avis de l’ANSSI et de la CNIL Publication en ligne sur www.club-ebios.fr | rubrique « Productions »

Priorité 2 (objectif Q2 2018) : version 2.0 - alignement sur EBIOS NG

Révision des livrables liés à l’étude de cas TAM Nouvelle étude de cas Optionnel : Transposition de l’analyse sous des solutions d’IT GRC (SIGR)

Priorité 3 (objectif Q4 2018) : version 2.0 EN (selon opportunité)

Traduction en anglais des modèles de fichiers d’analyse et rapports liés aux études de cas

GT « Outils pratiques » (Action 55) - Synthèse des travaux réalisés 17

Annexes

Captures d’écran, Alignement EBIOS 2010 et Acronymes

GT « Outils pratiques » (Action 55) - Synthèse des travaux réalisés 18

Annexes

Captures d’écran

Module 1

Module 2 Module 3

Module 4

Module 5

GT « Outils pratiques » (Action 55) - Synthèse des travaux réalisés 19

Annexes

Captures d’écran

Module 1

Module 2 Module 3

Module 4

Module 5

GT « Outils pratiques » (Action 55) - Synthèse des travaux réalisés 20

Annexes

Captures d’écran

Module 1

Module 2 Module 3

Module 4

Module 5

GT « Outils pratiques » (Action 55) - Synthèse des travaux réalisés 21

Annexes

Captures d’écran

Module 1

Module 2 Module 3

Module 4

Module 5

GT « Outils pratiques » (Action 55) - Synthèse des travaux réalisés 22

Annexes

Captures d’écran

Module 1

Module 2 Module 3

Module 4

Module 5

GT « Outils pratiques » (Action 55) - Synthèse des travaux réalisés 23

Annexes

Captures d’écran

Module 1

Module 2 Module 3

Module 4

Module 5

GT « Outils pratiques » (Action 55) - Synthèse des travaux réalisés 24

Annexes

Captures d’écran

Module 1

Module 2 Module 3

Module 4

Module 5

GT « Outils pratiques » (Action 55) - Synthèse des travaux réalisés 25

Annexes

Captures d’écran

Module 1

Module 2 Module 3

Module 4

Module 5

GT « Outils pratiques » (Action 55) - Synthèse des travaux réalisés 26

Annexes

Captures d’écran

Module 1

Module 2 Module 3

Module 4

Module 5

GT « Outils pratiques » (Action 55) - Synthèse des travaux réalisés 27

Annexes

Captures d’écran

Module 1

Module 2 Module 3

Module 4

Module 5

GT « Outils pratiques » (Action 55) - Synthèse des travaux réalisés 28

Annexes

Terminologie (alignement EIOS 2010) - Acronymes / Acronyms

Module 1

Module 2 Module 3

Module 4

Module 5

Club EBIOS - www.club-ebios.org