EBIOS RM, portrait d’une nouvelle méthode d’analyse des risques de cybersécurité


Share Button
EBIOS- ORSYS

Fin 2018, l’ANSSI a publié la nouvelle version de sa méthode d’analyse de risque EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité). Pascal GOUACHE*, expert en cybersécurité, a accepté de répondre à nos questions afin de dresser un rapide portrait d’une méthodologie complexe.

Qu’est-ce que la méthode EBIOS Risk Manager ? À quoi sert-elle ?

EBIOS RM est une démarche dont le but est de répondre à un besoin de connaissance des risques cyber qui impactent aujourd’hui les systèmes d’information les plus sensibles. À l’origine de cette démarche se trouve l’ANSSI, le « cyber gendarme » de la sécurité en France, qui l’a conçue pour répondre à des cas d’usage d’organismes concernés par le cyber risque – on appelle ça des opérateurs d’importance vitale (OIV). Parmi les grands comptes français, dans tous les secteurs, on va être amené à utiliser EBIOS Risk Manager.

Comment permet-elle de gérer les risques ?

Elle ne permet pas tant de gérer les risques que de les connaître et les évaluer, et ainsi exprimer un risque résiduel acceptable. La méthode ne fait pas tout. Elle entre dans une action de gouvernance de la sécurité qui permet, dans cette action-là, de gérer le temps long de la sécurité puisque l’idée est que lorsqu’on veut protéger un système, on ne veut pas le protéger qu’à un instant T mais sur toute sa durée de vie. C’est pour cela qu’on a besoin d’une méthode qui apprécie les risques autant que leurs évolutions.

Comment la nouvelle méthode diffère-t-elle de sa dernière version datant de 2010 ? En quoi est-elle plus pertinente aujourd’hui ?

Elle est plus pertinente parce qu’elle permet d’optimiser la gestion des risques de base sans les réétudier comme si on les découvrait. Par « risques de base », j’entends, par exemple, des virus sous Windows, que tout le monde connaît et pour lesquels on sait exprimer une solution. C’est pourquoi on ne va pas étudier spécifiquement ces risques-là, mais des risques plus sophistiqués, plus dangereux aussi, qui vont au cœur des systèmes et nécessitent de la part de l’attaquant un mécanisme d’attaque complexe – et donc, de la part de ceux qui ripostent, un mécanisme de défense au moins aussi complexe. Cette méthode est optimale par rapport à la perspective des attaques dites « ciblées ». C’est d’ailleurs ce qui a évolué par rapport à l’approche d’EBIOS 2010, qui était plus généraliste, plus « standard ». Là, on a une méthode qui est vraiment dédiée aux risques cyber ciblés importants.

Est-ce qu’on peut parler de « nouveaux risques » ?

Pour les gens qui travaillent dans la cybersécurité, ils ne sont pas nouveaux. On savait depuis 2010 qu’ils existaient et qu’ils allaient prendre de l’ampleur. Mais les statistiques montrent qu’ils sont effectivement en forte progression, et qu’ils sont de plus en plus le fait d’États qui attaquent d’autres États.

Ces attaques-là sont aujourd’hui des faits concrets et avérés : tous les ans, plusieurs dizaines sont menées. Pour citer des exemples, un des faits les plus connus est une attaque partie des États-Unis vers l’Iran (Stuxnet). L’objectif était d’attaquer les centrifugeuses iraniennes. C’était une attaque logique, ciblée, qui a été caractérisée a posteriori.

Plus récemment, fin 2015, une attaque des Russes face à l’Ukraine (Blackenergy) a permis de démontrer qu’on pouvait paralyser à distance tout un pays, ou une partie du pays, en faisant un black-out énergétique, soit une coupure d’électricité massive.

C’est à ce genre d’attaques pointues que l’on se prépare. Elles nécessitent beaucoup de moyens et de temps, et l’appréciation des risques permet d’essayer de les décrire pour y faire face. Et c’est important, parce qu’on pense aujourd’hui que le pire est devant nous. On pense que les futures attaques qui vont impacter les sociétés numériques qu’on connaît, et les sociétés occidentales en particulier, sont à venir. (…) Nos sociétés dépendent tellement de l’outil informatique qu’on connaîtra forcément des attaques informatiques de plus grande envergure demain.

Est-ce qu’EBIOS est employée au-delà de la France ?

C’est un peu le défaut d’EBIOS : elle a toujours eu cette connotation franco-française, tout simplement parce que la source est française. (…) Mais je pense que la méthode peut s’imposer au niveau européen. Il n’y a pas de justification particulière au niveau mondial, puisqu’on a des méthodes anglo-saxonnes. Mais EBIOS peut, par la simple présence de l’ANSSI aujourd’hui au niveau de l’agence européenne, l’ENISA, prendre un peu d’importance au-delà des frontières vers l’Europe.

L’idée serait une mise en commun ?

Oui, et c’est d’ailleurs l’un des objectifs du règlement Européen Cyber Act paru en juin 2019, et qui dit que l’ENISA va créer les conditions de bonnes pratiques cyber au niveau européen. Parmi ces bonnes pratiques figure l’approche par le risque avec une méthodologie adaptée, pour laquelle EBIOS représente une bonne candidate.

L’ANSSI a mis beaucoup de temps à sortir cette méthode, mais le produit fini est plutôt intéressant. Encore peu de personnes ont de l’expérience dessus, vu que c’est tout nouveau – les premiers logiciels qualifiés sont sortis il y a quelques semaines. (…) On peut considérer que l’essentiel du développement est devant nous. Par contre, il est certain que le besoin en formation va être important. Il y a de la curiosité, de l’intérêt, et on a déjà de bons retours sur les cours intégrant un peu la question d’EBIOS RM en format court.

Pour entrer dans le concret, quelles sont les principales étapes d’une démarche évaluation des risques employant la méthode EBIOS ?

La première étape ou atelier consiste à savoir sur quoi on va l’appliquer. C’est ce qu’on appelle un « scope » ou domaine d’application (…). La deuxième consiste à identifier un socle de sécurité qui correspond à une politique de sécurité interne et des règles de sécurité basées sur des référentiels. On parle d’approche par « conformite ». La troisième étape est une approche par scénario sophistiqué où l’on se met dans la perspective d’une attaque ciblée directe ou indirecte passant par des parties prenantes. Plusieurs étapes qui font dire que la méthode est à géométrie variable. Il n’est pas nécessaire de suivre les cinq ateliers pour utiliser efficacement la méthode : en exploiter qu’une partie est possible. Ce qui implique que chacun personnalise ses objectifs, et donc sa méthode. (…)

Est-ce que toutes les entreprises peuvent appliquer EBIOS ?

Cette méthode a été « pensée » pour les applications des organismes privés ou publics les plus sensibles. Cependant si on l’applique aux PME, [c’est-à-dire aux organismes qui n’ont pas à faire face à des attaques plus sophistiquées,] il faut la simplifier et justement appliquer la méthode [en mode « light »]. Mais on aimerait bien que cette géométrie variable permette une application par tous, même si la méthode a été conçue pour des besoins plus exigeants. (…) L’avantage est un EBIOS « sur mesure » : chacun y prend ce dont il a besoin.

Des inconvénients/points faibles à prendre en compte ?

Il est trop tôt pour avoir déjà des retours d’expérience, mais on peut peut-être retenir le côté un peu « puriste » de l’ANSSI qui ne tient pas forcément compte des réalités du terrain. Certaines choses relèvent par exemple de l’utopie, comme la connaissance approfondie de l’écosystème, des parties prenantes les plus critiques… On reste donc faibles sur ces points-là alors que l’ANSSI aimerait qu’on aille plus loin. Mais est-ce que c’est un point faible – non. C’est une volonté de l’ANSSI de creuser un sujet difficile. On ne va simplement pas tous y arriver en même temps. (…)

Je pense qu’actuellement, malgré le peu de recul dont on dispose, la méthode 2018 a plus d’avantages que d’inconvénients par rapport à la précédente. Le « rajeunissement » est important et était nécessaire. EBIOS 2010 n’était pas en soi une mauvaise méthode mais elle avait atteint ses limites. Ce qui fait dire que MEHARI, qui était au même niveau qu’EBIOS 2010, a pris du retard et devra évoluer pour durer.

Formez-vous !

Share Button

Laissez un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *