SlideShare une entreprise Scribd logo
EBIOS Risk Manager :
Vers une approche « raffinée » du risque cyber
Thierry PERTUS
Février 2019
EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber
Février 2019 p 2
►Avant-propos
La publication de la méthode EBIOS Risk Manager par l’ANSSI constitue une avancée majeure en matière de management du
risque cyber. En effet, cette nouvelle mouture, se voulant plus pertinente et plus agile, reflète à la fois une certaine maturité du
domaine et une réelle attente des praticiens et décideurs, aussi bien en termes de modélisation de l’écosystème et de la
menace que de partage des concepts et de vision.
Pour autant, bien que déléguant le management des risques numériques « usuels » à la conformité [au socle de sécurité],
force est de constater que la maîtrise de ces derniers n’est pas toujours au rendez-vous et que le cadre de référence applicable
reste dans certain cas à préciser selon le contexte et le périmètre d’étude.
A ce titre, une appropriation de la méthode par les praticiens s’avère indispensable, quitte à apporter des clés de lecture
adaptées, certaines étant proposées ici, tandis que certaines initiatives (label produit pour l’outillage, bases de connaissance,
référentiel de formation, …) portées par la communauté d’acteurs du management du risque numérique contribueront à enrichir
la méthode par la pratique.
EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber
p 3
EBIOS Risk Manager : l’émergence d’un nouveau paradigme
Février 2019
EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber
L’héritage EBIOS® (Expression des Besoins et Identification des Objectifs de Sécurité)
EBIOS constitue plus que jamais LA méthode française de référence d’appréciation et de traitement de risques
liés au numérique, et désormais plus spécifiquement le risque « cyber », sous toutes ses formes.
La création de la méthode remonte à 1995 sous l’égide de la DCSSI (rattachée alors au SGDN), devenue par la suite
l’ANSSI (rattachée au SGDSN). Une première actualisation a été opérée en 2004, puis une évolution en 2010,
déjà en collaboration communautaire avec le Club EBIOS.
Compatibilité avec le cadre normatif ISO/IEC 27005,
lui-même aligné sur l’ISO 31000
EBIOS v2 (2004)
(démarche générale en 5 étapes)
1
2 3
4
5
DCSSI
EBIOS v3 (2010)
(démarche générale en 5 modules)
1
2 3
4
5
ANSSI
EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber
EBIOS « nouvelle génération » pour franchir un nouveau palier de maturité
https://www.ssi.gouv.fr/administration/management-du-risque/la-methode-ebios-risk-manager/
Aux Assises de la sécurité, lors de son discours inaugural placé sous le signe de « l’anticipation collective »,
Guillaume Poupard, le directeur général de l'ANSSI, a insisté sur la généralisation de l'analyse de risque numérique
au sein des entreprises.
« Les analyses de risques
doivent se faire avec des experts,
mais aussi avec les décideurs et les métiers »
« Cette méthode se veut accessible
et évite les écueils du tout analyser
et tout réinventer »
10 octobre 2018 : l’ANSSI publie EBIOS Risk Manager,
une méthode repensée pour l’analyse agile du risque cyber
« Le fruit d’un travail de deux années conduit par l’ANSSI et le Club EBIOS [avec contribution du CLUSIF] »
@club_ebios
#EBIOSRM
« Miser sur la collaboration
pour rendre la cybersécurité plus attrayante »
EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber
Une démarche collaborative (pédagogique, inclusive) et agile (pragmatique, itérative) en 5 ateliers
Cadrage et
socle de sécurité
Sources
de risque
Scénarios
opérationnels
Scénarios
stratégiques
Traitement
du risque
EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber
Une démarche méthodologique modulaire pour des cas d’usage multiples
Cas d’usage
EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber
Adhérence de la méthode EBIOS Risk Manager avec la norme ISO 31000
EBIOS Risk Manager
(démarche itérative en 5 ateliers)
ISO 31000:2018
(processus de management du risque)
(cadre organisationnel)
EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber
Méthodologie détaillée
EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber
Modélisation d’un scénario de cyberattaque par décomposition analytique selon le point de vue attaque/défense
Vision stratégique
de la cyberattaque
orientée opportunité
Vision stratégique
de la cyberdéfense
orientée risque
Vision opérationnelle
de la cyber-attaque et de la cyberdéfense
orientée moindre effort
EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber
p 11
EBIOS Risk Manager :
des concepts novateurs et une modélisation plus visuelle
Février 2019
EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber
Pyramide du management du risque numérique visant à définir le « socle de sécurité »
EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber
Identification des couples sources de risques (SR) / objectifs visés (OV) les plus pertinents
EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber
Cartographie des parties prenantes critiques (PPC)
EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber
Sélection des mesures de sécurité stratégiques
EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber
Détermination des chemins d’attaques stratégiques les plus pertinents
EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber
Elaboration des scénarios opérationnels
arbre/séquences d’attaque (« cyber kill chain »)
(AE)
EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber
Elaboration des scénarios opérationnels
EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber
Modèle et thématiques de mesures de sécurité opérationnelles (réduction du risque)
Protection
Défense
Résilience
Gouvernance
& anticipation
Modèle de cyberdéfense
en profondeur
Facteur
organisationnel
Facteur
technologique
Facteur
humain
Facteurs de risques
et leviers d’action
EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber
Synthèse des scénarios de risques et sélection des mesures de sécurité opérationnelles
EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber
p 21
Quel cadre de référence
en guise de socle de sécurité ?
Février 2019
EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber
Niveau de cybermenace potentiel > Risque cyber
[capacité, ciblage, sophistication des cyberattaques]
OrdinaireElaboréAvancé
Approche ciblée,
par « scénarios »
Application avec discernement
du cadre légal et réglementaire,
voire normatif
Application ad hoc
des règles élémentaires
et recours aux standards
de bonnes pratiques
Approche à large spectre,
par « conformité »
au « socle de sécurité »
Niveau de cyberprotection requis
[fonction de la sensibilité SSI pondérée par l’exposition cyber]
Risquesaccidentelsetenvironnementaux
Avancé
Appréciation du risque
numérique
Sources de risque
numérique
Traitement du risque
numérique
Analyse fine
du risque cyber
Adhérence normative avec l’ISO 31000:2018
Modèle EBIOS Risk Manager « raffiné » pour une approche graduée
du management du risque numérique
Standards de bonnes pratiques :
Guide ANSSI « Hygiène informatique » (niv. std.)
Guide CNIL « sécurité des données personnelles »
Cadre normatif
(normes / labels / standards) :
ISO/IEC 27001, ISO/IEC 29100,
ISO/IEC 15408, IEC 62443,
PSCo/PASSI/PDIS/PRIS, PCI-DSS, …
Cadre règlementaire
(textes UE / nationaux / extraterritoriaux) :
LPM, NIS, GDPR, LIL, eIDAS, RGS, RGI, PSSI-E,
II901, IGI1300, HDS, SoX, ISAE-3402, …
Veille cybermenace :
cryptomalware / ransomware, cryptomining
botnets, watering hole, fileless malware,
spear phishing, scam, fake apps, …
Guides techniques spécialisés :
ANSSI, CNIL (PIA/AIPD), ENISA, CIS, NIST,
OWASP, CSA, …
EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber
Niveau de cybermenace potentiel > Risque cyber
[capacité, ciblage, sophistication des cyberattaques]
OrdinaireElaboréAvancé
Risquesaccidentelsetenvironnementaux
Avancé
Appréciation du risque
numérique
Sources de risque
numérique
Traitement du risque
numérique
Adhérence normative avec l’ISO 31000:2018
Démarche hybride EBIOS Risk Manager / EBISO 2010 pour une approche différentiée puis consolidée
du management du risque cyber / risques numériques usuels
EBIOS 2010
(en mode simplifié)
Approche à large spectre,
par priorisation des mesures de sécurité
issues du « socle de sécurité »
au regard des « risques usuels »
Approche ciblée,
par modélisation de la cybermenace
via des « chemins d’attaque sophistiqués »
pertinents
EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber
I - Sensibiliser et former
II - Connaitre le système d’information
III - Authentifier et contrôler les accès
IV - Sécuriser les postes
V - Sécuriser le réseau
VI - Sécuriser l’administration
VII - gérer le nomadisme
VIII - Maintenir à jour le système d’information
IX - Superviser, auditer, réagir
X - Pour aller plus loin
Structure et thématiques du guide d’hygiène informatique (ANSSI)
EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber
Politique, Organisation, Gouvernance
Ressources humaines
Gestion des biens
Intégration de la SSI dans le cycle de vie
des systèmes d’information
Sécurité physique
Sécurité des réseaux
Architecture des SI
Exploitation des SI
Sécurité du poste de travail
Sécurité du développement des systèmes
Traitement des incidents
Continuité d’activité
Conformité, audit, inspection, contrôle
Structure et thématiques de la PSSI de l’Etat
Domaine d’application : Sécurité des SI des administrations de l’Etat
EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber
Protection
Défense
Résilience
Gouvernance
& anticipation
Modèle de cyberdéfense
en profondeur
Structure et thématiques de Arrêté « transposition NIS » du 14/09/2018 (règles de sécurité)
Domaine d’application : Cyber-résilience des infrastructures et services essentiels (SIE)
EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber
Structure et thématiques du standard CIS Controls v7
EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber
Management de la cybersécurité
(sûreté numérique face à la cybercriminalité et au risque cyber)
Management de la sécurité de l’information
(sécurité numérique organisationnelle)
SSI
QSE / RSE
Continuité
d’activité
Audit &
Risques
RH
ISO 9001
ISO 9004
ISO 45001
ISO 14001
ISO/IEC 38500
ISO/IEC 20000-xx
ISO 26000
ISO 31000
ISO Guide 73
ISO 19600
ISO 223xx
ISO 8000-xxx
ISO/IEC 38505-1
ISO/IEC 291xx
ISO 304xx
ISO/IEC 291xx
Protection
des données
personnelles
Gouvernance
des données
Gouvernance
du SI
Conformité
Cyber
-sécurité
ISO/IEC 27032ISO/IEC 27xxx
Sécurité
de l’information
Domaine d’application de la SSI global et intégré au sein d’un écosystème normatif ISO
ConfidentialitéIntégritéDisponibilité
Sécurité des systèmes d’information
Sensibilité SSI = Max (D,I,C,T)
D I C
Traçabilité
T
EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber
A5. Politiques de sécurité de l’information
A6. Organisation de la sécurité de l’information
A7. Sécurité des ressources humaines
A8. Gestion des actifs
A9. Contrôle d’accès
A10. Cryptographie
A11. Sécurité physique et environnementale
A12. Sécurité liée à l’exploitation
A13. Sécurité des communications
A14. Acquisition, développement et maintenance
des systèmes d’information
A15. Relations avec les fournisseurs
A16. Gestion des incidents liés à la sécurité de l’information
A17. Continuité de la sécurité de l’information
A18. Conformité
Structure et thématiques de la norme ISO/IEC 27001:2013 - Annexe A (SMSI/DdA**)
ou ISO/IEC 27002:2013 (code de bonne pratique) et ses « ISO-topes » sectoriels **
* Système de Management de la Sécurité de l’Information / Déclaration d’Applicabilité (SoA)
** ISO/IEC 27011 (Télécoms), 27017 (Cloud Security), 27018 (Privacy Security),
27019 (Energy Utility Industry IS),27799 (Healthcare IS), …
EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber
p 30
Pour aller plus loin …
Février 2019
EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber
Des supports pédagogiques (supplément fiches méthode, FAQ, études de cas, retours d’expérience, …)
et des bases de connaissance communautaires (catalogues d’objets) pour faire vivre la méthode
A venir :
Un référentiel pédagogique et un kit de formation destinées aux formations certifiantes EBIOS Risk Manager
pour accompagner et développer le réseau de praticiens de la méthode
EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber
Un label ANSSI pour les solutions digitales et collaboratives Cyber RM/GRC en support de la méthode
Source : https://www.ssi.gouv.fr/entreprise/management-du-risque/la-methode-ebios-risk-manager/label-ebios-risk-manager-des-outils-pour-faciliter-le-management-du-risque-numerique/
2 plateformes phares en cours de développement parmi les solutions candidates au label :
EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber
p 33
Source* : Zootopia (Disney)
* Dialogues revisités ici dans le cadre du droit à la parodie (article L 122-5 du Code de la Propriété Intellectuelle)
Eh bien figurez-vous que justement
j’étais en train de le finaliser,
Encore un peu de patience, plus qu’une ou deux
itérations et je vous envoie cela sous Word.
Dites, par rapport à mon dossier d’homologation,
c’est pas que je suis pressé,
mais j’attends votre rapport d’analyse de risques
depuis bientôt 6 mois …
Février 2019
Thierry PERTUS
Consultant senior
CISM, ISO/IEC 27001 LI, ISO/IEC 27005 RM, ISO 31000 RM
Cybersécurité
Powered by
securite@conix.fr
www.conix.fr
Keep control.

Contenu connexe

Tendances

Mehari
MehariMehari
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...
Eric Clairvoyant, Adm.A.,T.P., CRISC
 
EBIOS RM - Cryptovirus & COVID-19
EBIOS RM - Cryptovirus & COVID-19EBIOS RM - Cryptovirus & COVID-19
EBIOS RM - Cryptovirus & COVID-19
Thierry Pertus
 
Normes ISO 2700X et CISO MINDMAP 2022-23.pptx
Normes ISO 2700X et CISO MINDMAP 2022-23.pptxNormes ISO 2700X et CISO MINDMAP 2022-23.pptx
Normes ISO 2700X et CISO MINDMAP 2022-23.pptx
AmorFranois
 
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entrepriseProgramme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
EyesOpen Association
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’information
Abbes Rharrab
 
ISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformité
PECB
 
Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001
Intellectus services and consulting
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Bachir Benyammi
 
SMSI.pdf
SMSI.pdfSMSI.pdf
SMSI.pdf
HajarSalimi
 
Mesure & Analyse: Mesurer les Risques
Mesure & Analyse: Mesurer les RisquesMesure & Analyse: Mesurer les Risques
Mesure & Analyse: Mesurer les Risques
Olivier Pinette
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatique
Mohamed Ali Hadhri
 
Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013
Bachir Benyammi
 
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
lancedafric.org
 
Gestion des risques
Gestion des risquesGestion des risques
Gestion des risques
eGov Innovation Center
 
BSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis RemliBSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis Remli
Shellmates
 
Défis, enjeux et solutions de la GRC en sécurité de l’information
Défis, enjeux et solutions de la GRC en sécurité de l’informationDéfis, enjeux et solutions de la GRC en sécurité de l’information
Défis, enjeux et solutions de la GRC en sécurité de l’information
PECB
 
Présentation audits de sécurité
Présentation   audits de sécuritéPrésentation   audits de sécurité
Présentation audits de sécurité
Harvey Francois
 

Tendances (20)

Ebios
EbiosEbios
Ebios
 
Mehari
MehariMehari
Mehari
 
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...
 
EBIOS RM - Cryptovirus & COVID-19
EBIOS RM - Cryptovirus & COVID-19EBIOS RM - Cryptovirus & COVID-19
EBIOS RM - Cryptovirus & COVID-19
 
Normes ISO 2700X et CISO MINDMAP 2022-23.pptx
Normes ISO 2700X et CISO MINDMAP 2022-23.pptxNormes ISO 2700X et CISO MINDMAP 2022-23.pptx
Normes ISO 2700X et CISO MINDMAP 2022-23.pptx
 
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entrepriseProgramme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’information
 
ISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformité
 
Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
 
SMSI.pdf
SMSI.pdfSMSI.pdf
SMSI.pdf
 
Mesure & Analyse: Mesurer les Risques
Mesure & Analyse: Mesurer les RisquesMesure & Analyse: Mesurer les Risques
Mesure & Analyse: Mesurer les Risques
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatique
 
Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013
 
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
 
Gestion des risques
Gestion des risquesGestion des risques
Gestion des risques
 
BSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis RemliBSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis Remli
 
Défis, enjeux et solutions de la GRC en sécurité de l’information
Défis, enjeux et solutions de la GRC en sécurité de l’informationDéfis, enjeux et solutions de la GRC en sécurité de l’information
Défis, enjeux et solutions de la GRC en sécurité de l’information
 
Présentation audits de sécurité
Présentation   audits de sécuritéPrésentation   audits de sécurité
Présentation audits de sécurité
 
Netclu09 27005
Netclu09 27005Netclu09 27005
Netclu09 27005
 

Similaire à Conix - EBIOS Risk Manager

ClubEBIOS.ATM_.ERM_.SYN_.v1.1.pdf
ClubEBIOS.ATM_.ERM_.SYN_.v1.1.pdfClubEBIOS.ATM_.ERM_.SYN_.v1.1.pdf
ClubEBIOS.ATM_.ERM_.SYN_.v1.1.pdf
Jean-Marc Metzger
 
Ichec entrepr ah 2015
Ichec entrepr ah 2015Ichec entrepr ah 2015
Ichec entrepr ah 2015
Alain Huet
 
Sécurité Internet
Sécurité InternetSécurité Internet
Sécurité Internet
proximit
 
Infosafe ah 2014 15
Infosafe ah 2014 15Infosafe ah 2014 15
Infosafe ah 2014 15
Alain Huet
 
AMAN - JNS4 Management sécurité 13 Mai 2014
AMAN - JNS4 Management sécurité 13 Mai 2014AMAN - JNS4 Management sécurité 13 Mai 2014
AMAN - JNS4 Management sécurité 13 Mai 2014
Abdeljalil AGNAOU
 
Séminaire SÉCURITÉ DES SYSTÈMES D’INFORMATION, SYNTHÈSE - ORSYS Formation
Séminaire SÉCURITÉ DES SYSTÈMES D’INFORMATION, SYNTHÈSE - ORSYS FormationSéminaire SÉCURITÉ DES SYSTÈMES D’INFORMATION, SYNTHÈSE - ORSYS Formation
Séminaire SÉCURITÉ DES SYSTÈMES D’INFORMATION, SYNTHÈSE - ORSYS Formation
ORSYS
 
E forum 2006--_securite_si_-_k_safir-1
E forum 2006--_securite_si_-_k_safir-1E forum 2006--_securite_si_-_k_safir-1
E forum 2006--_securite_si_-_k_safir-1
MustaphaChaoui1
 
Sécurité de l’information et gouvernance
Sécurité de l’information et gouvernanceSécurité de l’information et gouvernance
Sécurité de l’information et gouvernance
PECB
 
Hapsis - La Sécurité Numérique à la Carte
Hapsis - La Sécurité Numérique à la CarteHapsis - La Sécurité Numérique à la Carte
Hapsis - La Sécurité Numérique à la Carte
Hapsis
 
Portfolio services secu-2.1
Portfolio services secu-2.1Portfolio services secu-2.1
Portfolio services secu-2.1
Hilal El Akramine
 
Support formation en ligne : Manager et auditer les risques informatiques
Support formation en ligne : Manager et auditer les risques informatiquesSupport formation en ligne : Manager et auditer les risques informatiques
Support formation en ligne : Manager et auditer les risques informatiques
SmartnSkilled
 
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
PMI-Montréal
 
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
PECB
 
#NSD15 - Intelligence juridique & systèmes d'informations
#NSD15 - Intelligence juridique & systèmes d'informations#NSD15 - Intelligence juridique & systèmes d'informations
#NSD15 - Intelligence juridique & systèmes d'informations
NetSecure Day
 
La sécurité au service de l’innovation [#CloudAccelerate 13/06/2014 @ IBM CC ...
La sécurité au service de l’innovation [#CloudAccelerate 13/06/2014 @ IBM CC ...La sécurité au service de l’innovation [#CloudAccelerate 13/06/2014 @ IBM CC ...
La sécurité au service de l’innovation [#CloudAccelerate 13/06/2014 @ IBM CC ...
IBM France PME-ETI
 
Webinar–Sécurité Applicative et DevSecOps dans un monde Agile
Webinar–Sécurité Applicative et DevSecOps dans un monde AgileWebinar–Sécurité Applicative et DevSecOps dans un monde Agile
Webinar–Sécurité Applicative et DevSecOps dans un monde Agile
Synopsys Software Integrity Group
 
ANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PME
polenumerique33
 
Accroître et préserver la valeur de l'entreprise avec COBIT5 for Risk AFAI APMG
Accroître et préserver la valeur de l'entreprise avec COBIT5 for Risk AFAI APMGAccroître et préserver la valeur de l'entreprise avec COBIT5 for Risk AFAI APMG
Accroître et préserver la valeur de l'entreprise avec COBIT5 for Risk AFAI APMG
Antoine Vigneron
 
Université laval présentation sur la gestion des risques 31-03-2015 vf2
Université laval   présentation sur la gestion des risques 31-03-2015 vf2Université laval   présentation sur la gestion des risques 31-03-2015 vf2
Université laval présentation sur la gestion des risques 31-03-2015 vf2
ISACA Chapitre de Québec
 
ANALYSE DE RISQUES
ANALYSE DE RISQUESANALYSE DE RISQUES
ANALYSE DE RISQUES
ndelannoy
 

Similaire à Conix - EBIOS Risk Manager (20)

ClubEBIOS.ATM_.ERM_.SYN_.v1.1.pdf
ClubEBIOS.ATM_.ERM_.SYN_.v1.1.pdfClubEBIOS.ATM_.ERM_.SYN_.v1.1.pdf
ClubEBIOS.ATM_.ERM_.SYN_.v1.1.pdf
 
Ichec entrepr ah 2015
Ichec entrepr ah 2015Ichec entrepr ah 2015
Ichec entrepr ah 2015
 
Sécurité Internet
Sécurité InternetSécurité Internet
Sécurité Internet
 
Infosafe ah 2014 15
Infosafe ah 2014 15Infosafe ah 2014 15
Infosafe ah 2014 15
 
AMAN - JNS4 Management sécurité 13 Mai 2014
AMAN - JNS4 Management sécurité 13 Mai 2014AMAN - JNS4 Management sécurité 13 Mai 2014
AMAN - JNS4 Management sécurité 13 Mai 2014
 
Séminaire SÉCURITÉ DES SYSTÈMES D’INFORMATION, SYNTHÈSE - ORSYS Formation
Séminaire SÉCURITÉ DES SYSTÈMES D’INFORMATION, SYNTHÈSE - ORSYS FormationSéminaire SÉCURITÉ DES SYSTÈMES D’INFORMATION, SYNTHÈSE - ORSYS Formation
Séminaire SÉCURITÉ DES SYSTÈMES D’INFORMATION, SYNTHÈSE - ORSYS Formation
 
E forum 2006--_securite_si_-_k_safir-1
E forum 2006--_securite_si_-_k_safir-1E forum 2006--_securite_si_-_k_safir-1
E forum 2006--_securite_si_-_k_safir-1
 
Sécurité de l’information et gouvernance
Sécurité de l’information et gouvernanceSécurité de l’information et gouvernance
Sécurité de l’information et gouvernance
 
Hapsis - La Sécurité Numérique à la Carte
Hapsis - La Sécurité Numérique à la CarteHapsis - La Sécurité Numérique à la Carte
Hapsis - La Sécurité Numérique à la Carte
 
Portfolio services secu-2.1
Portfolio services secu-2.1Portfolio services secu-2.1
Portfolio services secu-2.1
 
Support formation en ligne : Manager et auditer les risques informatiques
Support formation en ligne : Manager et auditer les risques informatiquesSupport formation en ligne : Manager et auditer les risques informatiques
Support formation en ligne : Manager et auditer les risques informatiques
 
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
 
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
 
#NSD15 - Intelligence juridique & systèmes d'informations
#NSD15 - Intelligence juridique & systèmes d'informations#NSD15 - Intelligence juridique & systèmes d'informations
#NSD15 - Intelligence juridique & systèmes d'informations
 
La sécurité au service de l’innovation [#CloudAccelerate 13/06/2014 @ IBM CC ...
La sécurité au service de l’innovation [#CloudAccelerate 13/06/2014 @ IBM CC ...La sécurité au service de l’innovation [#CloudAccelerate 13/06/2014 @ IBM CC ...
La sécurité au service de l’innovation [#CloudAccelerate 13/06/2014 @ IBM CC ...
 
Webinar–Sécurité Applicative et DevSecOps dans un monde Agile
Webinar–Sécurité Applicative et DevSecOps dans un monde AgileWebinar–Sécurité Applicative et DevSecOps dans un monde Agile
Webinar–Sécurité Applicative et DevSecOps dans un monde Agile
 
ANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PME
 
Accroître et préserver la valeur de l'entreprise avec COBIT5 for Risk AFAI APMG
Accroître et préserver la valeur de l'entreprise avec COBIT5 for Risk AFAI APMGAccroître et préserver la valeur de l'entreprise avec COBIT5 for Risk AFAI APMG
Accroître et préserver la valeur de l'entreprise avec COBIT5 for Risk AFAI APMG
 
Université laval présentation sur la gestion des risques 31-03-2015 vf2
Université laval   présentation sur la gestion des risques 31-03-2015 vf2Université laval   présentation sur la gestion des risques 31-03-2015 vf2
Université laval présentation sur la gestion des risques 31-03-2015 vf2
 
ANALYSE DE RISQUES
ANALYSE DE RISQUESANALYSE DE RISQUES
ANALYSE DE RISQUES
 

Plus de Thierry Pertus

Etude de cas PERISKOP : Accidents corporels domestiques
Etude de cas PERISKOP : Accidents corporels domestiquesEtude de cas PERISKOP : Accidents corporels domestiques
Etude de cas PERISKOP : Accidents corporels domestiques
Thierry Pertus
 
Tranformation digitale : de la digitalisation à la disruption
Tranformation digitale : de la digitalisation à la disruptionTranformation digitale : de la digitalisation à la disruption
Tranformation digitale : de la digitalisation à la disruption
Thierry Pertus
 
Cybersurveillance : Risques & opportunités
Cybersurveillance : Risques & opportunitésCybersurveillance : Risques & opportunités
Cybersurveillance : Risques & opportunités
Thierry Pertus
 
Les « Smart Cities » sous l’angle du risque cyber : perspectives et challenge...
Les « Smart Cities » sous l’angle du risque cyber : perspectives et challenge...Les « Smart Cities » sous l’angle du risque cyber : perspectives et challenge...
Les « Smart Cities » sous l’angle du risque cyber : perspectives et challenge...
Thierry Pertus
 
Positionnement de la Cybersécurité entre Sécurité et Sûreté : « faux-amis » o...
Positionnement de la Cybersécurité entre Sécurité et Sûreté : « faux-amis » o...Positionnement de la Cybersécurité entre Sécurité et Sûreté : « faux-amis » o...
Positionnement de la Cybersécurité entre Sécurité et Sûreté : « faux-amis » o...
Thierry Pertus
 
Sécurité Positive : L'élévation par la Responsabilité Sociétale
Sécurité Positive : L'élévation par la Responsabilité SociétaleSécurité Positive : L'élévation par la Responsabilité Sociétale
Sécurité Positive : L'élévation par la Responsabilité Sociétale
Thierry Pertus
 
Le « Security by Design » et ses multiples facettes
Le « Security by Design » et ses multiples facettesLe « Security by Design » et ses multiples facettes
Le « Security by Design » et ses multiples facettes
Thierry Pertus
 

Plus de Thierry Pertus (7)

Etude de cas PERISKOP : Accidents corporels domestiques
Etude de cas PERISKOP : Accidents corporels domestiquesEtude de cas PERISKOP : Accidents corporels domestiques
Etude de cas PERISKOP : Accidents corporels domestiques
 
Tranformation digitale : de la digitalisation à la disruption
Tranformation digitale : de la digitalisation à la disruptionTranformation digitale : de la digitalisation à la disruption
Tranformation digitale : de la digitalisation à la disruption
 
Cybersurveillance : Risques & opportunités
Cybersurveillance : Risques & opportunitésCybersurveillance : Risques & opportunités
Cybersurveillance : Risques & opportunités
 
Les « Smart Cities » sous l’angle du risque cyber : perspectives et challenge...
Les « Smart Cities » sous l’angle du risque cyber : perspectives et challenge...Les « Smart Cities » sous l’angle du risque cyber : perspectives et challenge...
Les « Smart Cities » sous l’angle du risque cyber : perspectives et challenge...
 
Positionnement de la Cybersécurité entre Sécurité et Sûreté : « faux-amis » o...
Positionnement de la Cybersécurité entre Sécurité et Sûreté : « faux-amis » o...Positionnement de la Cybersécurité entre Sécurité et Sûreté : « faux-amis » o...
Positionnement de la Cybersécurité entre Sécurité et Sûreté : « faux-amis » o...
 
Sécurité Positive : L'élévation par la Responsabilité Sociétale
Sécurité Positive : L'élévation par la Responsabilité SociétaleSécurité Positive : L'élévation par la Responsabilité Sociétale
Sécurité Positive : L'élévation par la Responsabilité Sociétale
 
Le « Security by Design » et ses multiples facettes
Le « Security by Design » et ses multiples facettesLe « Security by Design » et ses multiples facettes
Le « Security by Design » et ses multiples facettes
 

Conix - EBIOS Risk Manager

  • 1. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber Thierry PERTUS Février 2019
  • 2. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber Février 2019 p 2 ►Avant-propos La publication de la méthode EBIOS Risk Manager par l’ANSSI constitue une avancée majeure en matière de management du risque cyber. En effet, cette nouvelle mouture, se voulant plus pertinente et plus agile, reflète à la fois une certaine maturité du domaine et une réelle attente des praticiens et décideurs, aussi bien en termes de modélisation de l’écosystème et de la menace que de partage des concepts et de vision. Pour autant, bien que déléguant le management des risques numériques « usuels » à la conformité [au socle de sécurité], force est de constater que la maîtrise de ces derniers n’est pas toujours au rendez-vous et que le cadre de référence applicable reste dans certain cas à préciser selon le contexte et le périmètre d’étude. A ce titre, une appropriation de la méthode par les praticiens s’avère indispensable, quitte à apporter des clés de lecture adaptées, certaines étant proposées ici, tandis que certaines initiatives (label produit pour l’outillage, bases de connaissance, référentiel de formation, …) portées par la communauté d’acteurs du management du risque numérique contribueront à enrichir la méthode par la pratique.
  • 3. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber p 3 EBIOS Risk Manager : l’émergence d’un nouveau paradigme Février 2019
  • 4. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber L’héritage EBIOS® (Expression des Besoins et Identification des Objectifs de Sécurité) EBIOS constitue plus que jamais LA méthode française de référence d’appréciation et de traitement de risques liés au numérique, et désormais plus spécifiquement le risque « cyber », sous toutes ses formes. La création de la méthode remonte à 1995 sous l’égide de la DCSSI (rattachée alors au SGDN), devenue par la suite l’ANSSI (rattachée au SGDSN). Une première actualisation a été opérée en 2004, puis une évolution en 2010, déjà en collaboration communautaire avec le Club EBIOS. Compatibilité avec le cadre normatif ISO/IEC 27005, lui-même aligné sur l’ISO 31000 EBIOS v2 (2004) (démarche générale en 5 étapes) 1 2 3 4 5 DCSSI EBIOS v3 (2010) (démarche générale en 5 modules) 1 2 3 4 5 ANSSI
  • 5. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber EBIOS « nouvelle génération » pour franchir un nouveau palier de maturité https://www.ssi.gouv.fr/administration/management-du-risque/la-methode-ebios-risk-manager/ Aux Assises de la sécurité, lors de son discours inaugural placé sous le signe de « l’anticipation collective », Guillaume Poupard, le directeur général de l'ANSSI, a insisté sur la généralisation de l'analyse de risque numérique au sein des entreprises. « Les analyses de risques doivent se faire avec des experts, mais aussi avec les décideurs et les métiers » « Cette méthode se veut accessible et évite les écueils du tout analyser et tout réinventer » 10 octobre 2018 : l’ANSSI publie EBIOS Risk Manager, une méthode repensée pour l’analyse agile du risque cyber « Le fruit d’un travail de deux années conduit par l’ANSSI et le Club EBIOS [avec contribution du CLUSIF] » @club_ebios #EBIOSRM « Miser sur la collaboration pour rendre la cybersécurité plus attrayante »
  • 6. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber Une démarche collaborative (pédagogique, inclusive) et agile (pragmatique, itérative) en 5 ateliers Cadrage et socle de sécurité Sources de risque Scénarios opérationnels Scénarios stratégiques Traitement du risque
  • 7. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber Une démarche méthodologique modulaire pour des cas d’usage multiples Cas d’usage
  • 8. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber Adhérence de la méthode EBIOS Risk Manager avec la norme ISO 31000 EBIOS Risk Manager (démarche itérative en 5 ateliers) ISO 31000:2018 (processus de management du risque) (cadre organisationnel)
  • 9. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber Méthodologie détaillée
  • 10. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber Modélisation d’un scénario de cyberattaque par décomposition analytique selon le point de vue attaque/défense Vision stratégique de la cyberattaque orientée opportunité Vision stratégique de la cyberdéfense orientée risque Vision opérationnelle de la cyber-attaque et de la cyberdéfense orientée moindre effort
  • 11. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber p 11 EBIOS Risk Manager : des concepts novateurs et une modélisation plus visuelle Février 2019
  • 12. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber Pyramide du management du risque numérique visant à définir le « socle de sécurité »
  • 13. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber Identification des couples sources de risques (SR) / objectifs visés (OV) les plus pertinents
  • 14. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber Cartographie des parties prenantes critiques (PPC)
  • 15. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber Sélection des mesures de sécurité stratégiques
  • 16. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber Détermination des chemins d’attaques stratégiques les plus pertinents
  • 17. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber Elaboration des scénarios opérationnels arbre/séquences d’attaque (« cyber kill chain ») (AE)
  • 18. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber Elaboration des scénarios opérationnels
  • 19. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber Modèle et thématiques de mesures de sécurité opérationnelles (réduction du risque) Protection Défense Résilience Gouvernance & anticipation Modèle de cyberdéfense en profondeur Facteur organisationnel Facteur technologique Facteur humain Facteurs de risques et leviers d’action
  • 20. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber Synthèse des scénarios de risques et sélection des mesures de sécurité opérationnelles
  • 21. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber p 21 Quel cadre de référence en guise de socle de sécurité ? Février 2019
  • 22. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber Niveau de cybermenace potentiel > Risque cyber [capacité, ciblage, sophistication des cyberattaques] OrdinaireElaboréAvancé Approche ciblée, par « scénarios » Application avec discernement du cadre légal et réglementaire, voire normatif Application ad hoc des règles élémentaires et recours aux standards de bonnes pratiques Approche à large spectre, par « conformité » au « socle de sécurité » Niveau de cyberprotection requis [fonction de la sensibilité SSI pondérée par l’exposition cyber] Risquesaccidentelsetenvironnementaux Avancé Appréciation du risque numérique Sources de risque numérique Traitement du risque numérique Analyse fine du risque cyber Adhérence normative avec l’ISO 31000:2018 Modèle EBIOS Risk Manager « raffiné » pour une approche graduée du management du risque numérique Standards de bonnes pratiques : Guide ANSSI « Hygiène informatique » (niv. std.) Guide CNIL « sécurité des données personnelles » Cadre normatif (normes / labels / standards) : ISO/IEC 27001, ISO/IEC 29100, ISO/IEC 15408, IEC 62443, PSCo/PASSI/PDIS/PRIS, PCI-DSS, … Cadre règlementaire (textes UE / nationaux / extraterritoriaux) : LPM, NIS, GDPR, LIL, eIDAS, RGS, RGI, PSSI-E, II901, IGI1300, HDS, SoX, ISAE-3402, … Veille cybermenace : cryptomalware / ransomware, cryptomining botnets, watering hole, fileless malware, spear phishing, scam, fake apps, … Guides techniques spécialisés : ANSSI, CNIL (PIA/AIPD), ENISA, CIS, NIST, OWASP, CSA, …
  • 23. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber Niveau de cybermenace potentiel > Risque cyber [capacité, ciblage, sophistication des cyberattaques] OrdinaireElaboréAvancé Risquesaccidentelsetenvironnementaux Avancé Appréciation du risque numérique Sources de risque numérique Traitement du risque numérique Adhérence normative avec l’ISO 31000:2018 Démarche hybride EBIOS Risk Manager / EBISO 2010 pour une approche différentiée puis consolidée du management du risque cyber / risques numériques usuels EBIOS 2010 (en mode simplifié) Approche à large spectre, par priorisation des mesures de sécurité issues du « socle de sécurité » au regard des « risques usuels » Approche ciblée, par modélisation de la cybermenace via des « chemins d’attaque sophistiqués » pertinents
  • 24. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber I - Sensibiliser et former II - Connaitre le système d’information III - Authentifier et contrôler les accès IV - Sécuriser les postes V - Sécuriser le réseau VI - Sécuriser l’administration VII - gérer le nomadisme VIII - Maintenir à jour le système d’information IX - Superviser, auditer, réagir X - Pour aller plus loin Structure et thématiques du guide d’hygiène informatique (ANSSI)
  • 25. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber Politique, Organisation, Gouvernance Ressources humaines Gestion des biens Intégration de la SSI dans le cycle de vie des systèmes d’information Sécurité physique Sécurité des réseaux Architecture des SI Exploitation des SI Sécurité du poste de travail Sécurité du développement des systèmes Traitement des incidents Continuité d’activité Conformité, audit, inspection, contrôle Structure et thématiques de la PSSI de l’Etat Domaine d’application : Sécurité des SI des administrations de l’Etat
  • 26. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber Protection Défense Résilience Gouvernance & anticipation Modèle de cyberdéfense en profondeur Structure et thématiques de Arrêté « transposition NIS » du 14/09/2018 (règles de sécurité) Domaine d’application : Cyber-résilience des infrastructures et services essentiels (SIE)
  • 27. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber Structure et thématiques du standard CIS Controls v7
  • 28. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber Management de la cybersécurité (sûreté numérique face à la cybercriminalité et au risque cyber) Management de la sécurité de l’information (sécurité numérique organisationnelle) SSI QSE / RSE Continuité d’activité Audit & Risques RH ISO 9001 ISO 9004 ISO 45001 ISO 14001 ISO/IEC 38500 ISO/IEC 20000-xx ISO 26000 ISO 31000 ISO Guide 73 ISO 19600 ISO 223xx ISO 8000-xxx ISO/IEC 38505-1 ISO/IEC 291xx ISO 304xx ISO/IEC 291xx Protection des données personnelles Gouvernance des données Gouvernance du SI Conformité Cyber -sécurité ISO/IEC 27032ISO/IEC 27xxx Sécurité de l’information Domaine d’application de la SSI global et intégré au sein d’un écosystème normatif ISO ConfidentialitéIntégritéDisponibilité Sécurité des systèmes d’information Sensibilité SSI = Max (D,I,C,T) D I C Traçabilité T
  • 29. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber A5. Politiques de sécurité de l’information A6. Organisation de la sécurité de l’information A7. Sécurité des ressources humaines A8. Gestion des actifs A9. Contrôle d’accès A10. Cryptographie A11. Sécurité physique et environnementale A12. Sécurité liée à l’exploitation A13. Sécurité des communications A14. Acquisition, développement et maintenance des systèmes d’information A15. Relations avec les fournisseurs A16. Gestion des incidents liés à la sécurité de l’information A17. Continuité de la sécurité de l’information A18. Conformité Structure et thématiques de la norme ISO/IEC 27001:2013 - Annexe A (SMSI/DdA**) ou ISO/IEC 27002:2013 (code de bonne pratique) et ses « ISO-topes » sectoriels ** * Système de Management de la Sécurité de l’Information / Déclaration d’Applicabilité (SoA) ** ISO/IEC 27011 (Télécoms), 27017 (Cloud Security), 27018 (Privacy Security), 27019 (Energy Utility Industry IS),27799 (Healthcare IS), …
  • 30. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber p 30 Pour aller plus loin … Février 2019
  • 31. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber Des supports pédagogiques (supplément fiches méthode, FAQ, études de cas, retours d’expérience, …) et des bases de connaissance communautaires (catalogues d’objets) pour faire vivre la méthode A venir : Un référentiel pédagogique et un kit de formation destinées aux formations certifiantes EBIOS Risk Manager pour accompagner et développer le réseau de praticiens de la méthode
  • 32. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber Un label ANSSI pour les solutions digitales et collaboratives Cyber RM/GRC en support de la méthode Source : https://www.ssi.gouv.fr/entreprise/management-du-risque/la-methode-ebios-risk-manager/label-ebios-risk-manager-des-outils-pour-faciliter-le-management-du-risque-numerique/ 2 plateformes phares en cours de développement parmi les solutions candidates au label :
  • 33. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber p 33 Source* : Zootopia (Disney) * Dialogues revisités ici dans le cadre du droit à la parodie (article L 122-5 du Code de la Propriété Intellectuelle) Eh bien figurez-vous que justement j’étais en train de le finaliser, Encore un peu de patience, plus qu’une ou deux itérations et je vous envoie cela sous Word. Dites, par rapport à mon dossier d’homologation, c’est pas que je suis pressé, mais j’attends votre rapport d’analyse de risques depuis bientôt 6 mois … Février 2019
  • 34. Thierry PERTUS Consultant senior CISM, ISO/IEC 27001 LI, ISO/IEC 27005 RM, ISO 31000 RM Cybersécurité Powered by securite@conix.fr www.conix.fr Keep control.