SlideShare une entreprise Scribd logo

Conix - EBIOS Risk Manager

Thierry Pertus
Thierry Pertus

EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber

Présentations et discours publics
1  sur  34
Télécharger pour lire hors ligne
EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber Thierry PERTUS Février 2019
EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber Février 2019 p 2 ►Avant-propos La publication de la méthode EBIOS Risk Manager par l’ANSSI constitue une avancée majeure en matière de management du risque cyber. En effet, cette nouvelle mouture, se voulant plus pertinente et plus agile, reflète à la fois une certaine maturité du domaine et une réelle attente des praticiens et décideurs, aussi bien en termes de modélisation de l’écosystème et de la menace que de partage des concepts et de vision. Pour autant, bien que déléguant le management des risques numériques « usuels » à la conformité [au socle de sécurité], force est de constater que la maîtrise de ces derniers n’est pas toujours au rendez-vous et que le cadre de référence applicable reste dans certain cas à préciser selon le contexte et le périmètre d’étude. A ce titre, une appropriation de la méthode par les praticiens s’avère indispensable, quitte à apporter des clés de lecture adaptées, certaines étant proposées ici, tandis que certaines initiatives (label produit pour l’outillage, bases de connaissance, référentiel de formation, …) portées par la communauté d’acteurs du management du risque numérique contribueront à enrichir la méthode par la pratique.
EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber p 3 EBIOS Risk Manager : l’émergence d’un nouveau paradigme Février 2019
EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber L’héritage EBIOS® (Expression des Besoins et Identification des Objectifs de Sécurité) EBIOS constitue plus que jamais LA méthode française de référence d’appréciation et de traitement de risques liés au numérique, et désormais plus spécifiquement le risque « cyber », sous toutes ses formes. La création de la méthode remonte à 1995 sous l’égide de la DCSSI (rattachée alors au SGDN), devenue par la suite l’ANSSI (rattachée au SGDSN). Une première actualisation a été opérée en 2004, puis une évolution en 2010, déjà en collaboration communautaire avec le Club EBIOS. Compatibilité avec le cadre normatif ISO/IEC 27005, lui-même aligné sur l’ISO 31000 EBIOS v2 (2004) (démarche générale en 5 étapes) 1 2 3 4 5 DCSSI EBIOS v3 (2010) (démarche générale en 5 modules) 1 2 3 4 5 ANSSI
EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber EBIOS « nouvelle génération » pour franchir un nouveau palier de maturité https://www.ssi.gouv.fr/administration/management-du-risque/la-methode-ebios-risk-manager/ Aux Assises de la sécurité, lors de son discours inaugural placé sous le signe de « l’anticipation collective », Guillaume Poupard, le directeur général de l'ANSSI, a insisté sur la généralisation de l'analyse de risque numérique au sein des entreprises. « Les analyses de risques doivent se faire avec des experts, mais aussi avec les décideurs et les métiers » « Cette méthode se veut accessible et évite les écueils du tout analyser et tout réinventer » 10 octobre 2018 : l’ANSSI publie EBIOS Risk Manager, une méthode repensée pour l’analyse agile du risque cyber « Le fruit d’un travail de deux années conduit par l’ANSSI et le Club EBIOS [avec contribution du CLUSIF] » @club_ebios #EBIOSRM « Miser sur la collaboration pour rendre la cybersécurité plus attrayante »
EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber Une démarche collaborative (pédagogique, inclusive) et agile (pragmatique, itérative) en 5 ateliers Cadrage et socle de sécurité Sources de risque Scénarios opérationnels Scénarios stratégiques Traitement du risque
EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber Une démarche méthodologique modulaire pour des cas d’usage multiples Cas d’usage
EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber Adhérence de la méthode EBIOS Risk Manager avec la norme ISO 31000 EBIOS Risk Manager (démarche itérative en 5 ateliers) ISO 31000:2018 (processus de management du risque) (cadre organisationnel)
EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber Méthodologie détaillée
EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber Modélisation d’un scénario de cyberattaque par décomposition analytique selon le point de vue attaque/défense Vision stratégique de la cyberattaque orientée opportunité Vision stratégique de la cyberdéfense orientée risque Vision opérationnelle de la cyber-attaque et de la cyberdéfense orientée moindre effort
EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber p 11 EBIOS Risk Manager : des concepts novateurs et une modélisation plus visuelle Février 2019
EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber Pyramide du management du risque numérique visant à définir le « socle de sécurité »
EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber Identification des couples sources de risques (SR) / objectifs visés (OV) les plus pertinents
EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber Cartographie des parties prenantes critiques (PPC)
EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber Sélection des mesures de sécurité stratégiques
EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber Détermination des chemins d’attaques stratégiques les plus pertinents
EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber Elaboration des scénarios opérationnels arbre/séquences d’attaque (« cyber kill chain ») (AE)
EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber Elaboration des scénarios opérationnels
EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber Modèle et thématiques de mesures de sécurité opérationnelles (réduction du risque) Protection Défense Résilience Gouvernance & anticipation Modèle de cyberdéfense en profondeur Facteur organisationnel Facteur technologique Facteur humain Facteurs de risques et leviers d’action
EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber Synthèse des scénarios de risques et sélection des mesures de sécurité opérationnelles
EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber p 21 Quel cadre de référence en guise de socle de sécurité ? Février 2019
EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber Niveau de cybermenace potentiel > Risque cyber [capacité, ciblage, sophistication des cyberattaques] OrdinaireElaboréAvancé Approche ciblée, par « scénarios » Application avec discernement du cadre légal et réglementaire, voire normatif Application ad hoc des règles élémentaires et recours aux standards de bonnes pratiques Approche à large spectre, par « conformité » au « socle de sécurité » Niveau de cyberprotection requis [fonction de la sensibilité SSI pondérée par l’exposition cyber] Risquesaccidentelsetenvironnementaux Avancé Appréciation du risque numérique Sources de risque numérique Traitement du risque numérique Analyse fine du risque cyber Adhérence normative avec l’ISO 31000:2018 Modèle EBIOS Risk Manager « raffiné » pour une approche graduée du management du risque numérique Standards de bonnes pratiques : Guide ANSSI « Hygiène informatique » (niv. std.) Guide CNIL « sécurité des données personnelles » Cadre normatif (normes / labels / standards) : ISO/IEC 27001, ISO/IEC 29100, ISO/IEC 15408, IEC 62443, PSCo/PASSI/PDIS/PRIS, PCI-DSS, … Cadre règlementaire (textes UE / nationaux / extraterritoriaux) : LPM, NIS, GDPR, LIL, eIDAS, RGS, RGI, PSSI-E, II901, IGI1300, HDS, SoX, ISAE-3402, … Veille cybermenace : cryptomalware / ransomware, cryptomining botnets, watering hole, fileless malware, spear phishing, scam, fake apps, … Guides techniques spécialisés : ANSSI, CNIL (PIA/AIPD), ENISA, CIS, NIST, OWASP, CSA, …
EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber Niveau de cybermenace potentiel > Risque cyber [capacité, ciblage, sophistication des cyberattaques] OrdinaireElaboréAvancé Risquesaccidentelsetenvironnementaux Avancé Appréciation du risque numérique Sources de risque numérique Traitement du risque numérique Adhérence normative avec l’ISO 31000:2018 Démarche hybride EBIOS Risk Manager / EBISO 2010 pour une approche différentiée puis consolidée du management du risque cyber / risques numériques usuels EBIOS 2010 (en mode simplifié) Approche à large spectre, par priorisation des mesures de sécurité issues du « socle de sécurité » au regard des « risques usuels » Approche ciblée, par modélisation de la cybermenace via des « chemins d’attaque sophistiqués » pertinents
EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber I - Sensibiliser et former II - Connaitre le système d’information III - Authentifier et contrôler les accès IV - Sécuriser les postes V - Sécuriser le réseau VI - Sécuriser l’administration VII - gérer le nomadisme VIII - Maintenir à jour le système d’information IX - Superviser, auditer, réagir X - Pour aller plus loin Structure et thématiques du guide d’hygiène informatique (ANSSI)
EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber Politique, Organisation, Gouvernance Ressources humaines Gestion des biens Intégration de la SSI dans le cycle de vie des systèmes d’information Sécurité physique Sécurité des réseaux Architecture des SI Exploitation des SI Sécurité du poste de travail Sécurité du développement des systèmes Traitement des incidents Continuité d’activité Conformité, audit, inspection, contrôle Structure et thématiques de la PSSI de l’Etat Domaine d’application : Sécurité des SI des administrations de l’Etat
EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber Protection Défense Résilience Gouvernance & anticipation Modèle de cyberdéfense en profondeur Structure et thématiques de Arrêté « transposition NIS » du 14/09/2018 (règles de sécurité) Domaine d’application : Cyber-résilience des infrastructures et services essentiels (SIE)
EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber Structure et thématiques du standard CIS Controls v7
EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber Management de la cybersécurité (sûreté numérique face à la cybercriminalité et au risque cyber) Management de la sécurité de l’information (sécurité numérique organisationnelle) SSI QSE / RSE Continuité d’activité Audit & Risques RH ISO 9001 ISO 9004 ISO 45001 ISO 14001 ISO/IEC 38500 ISO/IEC 20000-xx ISO 26000 ISO 31000 ISO Guide 73 ISO 19600 ISO 223xx ISO 8000-xxx ISO/IEC 38505-1 ISO/IEC 291xx ISO 304xx ISO/IEC 291xx Protection des données personnelles Gouvernance des données Gouvernance du SI Conformité Cyber -sécurité ISO/IEC 27032ISO/IEC 27xxx Sécurité de l’information Domaine d’application de la SSI global et intégré au sein d’un écosystème normatif ISO ConfidentialitéIntégritéDisponibilité Sécurité des systèmes d’information Sensibilité SSI = Max (D,I,C,T) D I C Traçabilité T
EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber A5. Politiques de sécurité de l’information A6. Organisation de la sécurité de l’information A7. Sécurité des ressources humaines A8. Gestion des actifs A9. Contrôle d’accès A10. Cryptographie A11. Sécurité physique et environnementale A12. Sécurité liée à l’exploitation A13. Sécurité des communications A14. Acquisition, développement et maintenance des systèmes d’information A15. Relations avec les fournisseurs A16. Gestion des incidents liés à la sécurité de l’information A17. Continuité de la sécurité de l’information A18. Conformité Structure et thématiques de la norme ISO/IEC 27001:2013 - Annexe A (SMSI/DdA**) ou ISO/IEC 27002:2013 (code de bonne pratique) et ses « ISO-topes » sectoriels ** * Système de Management de la Sécurité de l’Information / Déclaration d’Applicabilité (SoA) ** ISO/IEC 27011 (Télécoms), 27017 (Cloud Security), 27018 (Privacy Security), 27019 (Energy Utility Industry IS),27799 (Healthcare IS), …
EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber p 30 Pour aller plus loin … Février 2019
EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber Des supports pédagogiques (supplément fiches méthode, FAQ, études de cas, retours d’expérience, …) et des bases de connaissance communautaires (catalogues d’objets) pour faire vivre la méthode A venir : Un référentiel pédagogique et un kit de formation destinées aux formations certifiantes EBIOS Risk Manager pour accompagner et développer le réseau de praticiens de la méthode
EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber Un label ANSSI pour les solutions digitales et collaboratives Cyber RM/GRC en support de la méthode Source : https://www.ssi.gouv.fr/entreprise/management-du-risque/la-methode-ebios-risk-manager/label-ebios-risk-manager-des-outils-pour-faciliter-le-management-du-risque-numerique/ 2 plateformes phares en cours de développement parmi les solutions candidates au label :
EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber p 33 Source* : Zootopia (Disney) * Dialogues revisités ici dans le cadre du droit à la parodie (article L 122-5 du Code de la Propriété Intellectuelle) Eh bien figurez-vous que justement j’étais en train de le finaliser, Encore un peu de patience, plus qu’une ou deux itérations et je vous envoie cela sous Word. Dites, par rapport à mon dossier d’homologation, c’est pas que je suis pressé, mais j’attends votre rapport d’analyse de risques depuis bientôt 6 mois … Février 2019
Thierry PERTUS Consultant senior CISM, ISO/IEC 27001 LI, ISO/IEC 27005 RM, ISO 31000 RM Cybersécurité Powered by securite@conix.fr www.conix.fr Keep control.

Recommandé

EBIOS Risk Manager
EBIOS Risk ManagerEBIOS Risk Manager
EBIOS Risk Manager
Comsoce
 
Ebios
EbiosEbios
Ebios
kilojolid
 
Ebios
EbiosEbios
EbiosLandry Kientega
 
Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013
Bachir Benyammi
 
Présentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerPrésentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk Manager
Comsoce
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Bachir Benyammi
 
EBIOS
EBIOSEBIOS
EBIOS
Houda Elmoutaoukil
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatique
Mohamed Ali Hadhri
 

Recommandé

EBIOS Risk Manager
EBIOS Risk ManagerEBIOS Risk Manager
EBIOS Risk Manager
Comsoce
 
Ebios
EbiosEbios
Ebios
kilojolid
 
Ebios
EbiosEbios
EbiosLandry Kientega
 
Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013
Bachir Benyammi
 
Présentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerPrésentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk Manager
Comsoce
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Bachir Benyammi
 
EBIOS
EBIOSEBIOS
EBIOS
Houda Elmoutaoukil
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatique
Mohamed Ali Hadhri
 
Mehari
MehariMehari
Mehari
Houda Elmoutaoukil
 
Gestion des risques
Gestion des risquesGestion des risques
Gestion des risques
eGov Innovation Center
 
EBIOS RM - Cryptovirus & COVID-19
EBIOS RM - Cryptovirus & COVID-19EBIOS RM - Cryptovirus & COVID-19
EBIOS RM - Cryptovirus & COVID-19
Thierry Pertus
 
Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001
Intellectus services and consulting
 
Gestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivitéGestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivité
PECB
 
Mehari
MehariMehari
MehariImane ABOU EL MARAI
 
Audit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'informationAudit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'information
Manuel Cédric EBODE MBALLA
 
SMSI.pdf
SMSI.pdfSMSI.pdf
SMSI.pdf
HajarSalimi
 
BSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis RemliBSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis RemliShellmates
 
Référentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIRéférentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SI
Alghajati
 
La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesISACA Chapitre de Québec
 
French acreditation process homologation 2010-01-19
French acreditation process homologation 2010-01-19French acreditation process homologation 2010-01-19
French acreditation process homologation 2010-01-19
Laurent Pingault
 
ISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformité
PECB
 
ANALYSE DE RISQUES
ANALYSE DE RISQUESANALYSE DE RISQUES
ANALYSE DE RISQUES
ndelannoy
 
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
PECB
 
Mehari
MehariMehari
Mehari
Afaf MATOUG
 
La protection de données, La classification un premier pas
La protection de données, La classification un premier pasLa protection de données, La classification un premier pas
La protection de données, La classification un premier pas
Alghajati
 
Sensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéSensibilisation sur la cybersécurité
Sensibilisation sur la cybersécurité
OUSMANESoumailaYaye
 
Alphorm.com Formation Hacking et Sécurité 2020 (1/3) : Méthodologies de Pente...
Alphorm.com Formation Hacking et Sécurité 2020 (1/3) : Méthodologies de Pente...Alphorm.com Formation Hacking et Sécurité 2020 (1/3) : Méthodologies de Pente...
Alphorm.com Formation Hacking et Sécurité 2020 (1/3) : Méthodologies de Pente...
Alphorm
 
Netclu09 27005
Netclu09 27005Netclu09 27005
Netclu09 27005michaeldean
 
ClubEBIOS.ATM_.ERM_.SYN_.v1.1.pdf
ClubEBIOS.ATM_.ERM_.SYN_.v1.1.pdfClubEBIOS.ATM_.ERM_.SYN_.v1.1.pdf
ClubEBIOS.ATM_.ERM_.SYN_.v1.1.pdf
Jean-Marc Metzger
 
Ichec entrepr ah 2015
Ichec entrepr ah 2015Ichec entrepr ah 2015
Ichec entrepr ah 2015
Alain Huet
 

Contenu connexe

Tendances

Mehari
MehariMehari
Mehari
Houda Elmoutaoukil
 
Gestion des risques
Gestion des risquesGestion des risques
Gestion des risques
eGov Innovation Center
 
EBIOS RM - Cryptovirus & COVID-19
EBIOS RM - Cryptovirus & COVID-19EBIOS RM - Cryptovirus & COVID-19
EBIOS RM - Cryptovirus & COVID-19
Thierry Pertus
 
Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001
Intellectus services and consulting
 
Gestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivitéGestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivité
PECB
 
Audit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'informationAudit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'information
Manuel Cédric EBODE MBALLA
 
SMSI.pdf
SMSI.pdfSMSI.pdf
SMSI.pdf
HajarSalimi
 
BSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis RemliBSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis RemliShellmates
 
Référentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIRéférentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SI
Alghajati
 
La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesISACA Chapitre de Québec
 
French acreditation process homologation 2010-01-19
French acreditation process homologation 2010-01-19French acreditation process homologation 2010-01-19
French acreditation process homologation 2010-01-19
Laurent Pingault
 
ISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformité
PECB
 
ANALYSE DE RISQUES
ANALYSE DE RISQUESANALYSE DE RISQUES
ANALYSE DE RISQUES
ndelannoy
 
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
PECB
 
Mehari
MehariMehari
Mehari
Afaf MATOUG
 
La protection de données, La classification un premier pas
La protection de données, La classification un premier pasLa protection de données, La classification un premier pas
La protection de données, La classification un premier pas
Alghajati
 
Sensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéSensibilisation sur la cybersécurité
Sensibilisation sur la cybersécurité
OUSMANESoumailaYaye
 
Alphorm.com Formation Hacking et Sécurité 2020 (1/3) : Méthodologies de Pente...
Alphorm.com Formation Hacking et Sécurité 2020 (1/3) : Méthodologies de Pente...Alphorm.com Formation Hacking et Sécurité 2020 (1/3) : Méthodologies de Pente...
Alphorm.com Formation Hacking et Sécurité 2020 (1/3) : Méthodologies de Pente...
Alphorm
 

Tendances (20)

Mehari
MehariMehari
Mehari
 
Gestion des risques
Gestion des risquesGestion des risques
Gestion des risques
 
EBIOS RM - Cryptovirus & COVID-19
EBIOS RM - Cryptovirus & COVID-19EBIOS RM - Cryptovirus & COVID-19
EBIOS RM - Cryptovirus & COVID-19
 
Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001
 
Gestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivitéGestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivité
 
Mehari
MehariMehari
Mehari
 
Audit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'informationAudit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'information
 
SMSI.pdf
SMSI.pdfSMSI.pdf
SMSI.pdf
 
BSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis RemliBSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis Remli
 
Référentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIRéférentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SI
 
La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internes
 
French acreditation process homologation 2010-01-19
French acreditation process homologation 2010-01-19French acreditation process homologation 2010-01-19
French acreditation process homologation 2010-01-19
 
ISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformité
 
ANALYSE DE RISQUES
ANALYSE DE RISQUESANALYSE DE RISQUES
ANALYSE DE RISQUES
 
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
 
Mehari
MehariMehari
Mehari
 
La protection de données, La classification un premier pas
La protection de données, La classification un premier pasLa protection de données, La classification un premier pas
La protection de données, La classification un premier pas
 
Sensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéSensibilisation sur la cybersécurité
Sensibilisation sur la cybersécurité
 
Alphorm.com Formation Hacking et Sécurité 2020 (1/3) : Méthodologies de Pente...
Alphorm.com Formation Hacking et Sécurité 2020 (1/3) : Méthodologies de Pente...Alphorm.com Formation Hacking et Sécurité 2020 (1/3) : Méthodologies de Pente...
Alphorm.com Formation Hacking et Sécurité 2020 (1/3) : Méthodologies de Pente...
 
Netclu09 27005
Netclu09 27005Netclu09 27005
Netclu09 27005
 

Similaire à Conix - EBIOS Risk Manager

ClubEBIOS.ATM_.ERM_.SYN_.v1.1.pdf
ClubEBIOS.ATM_.ERM_.SYN_.v1.1.pdfClubEBIOS.ATM_.ERM_.SYN_.v1.1.pdf
ClubEBIOS.ATM_.ERM_.SYN_.v1.1.pdf
Jean-Marc Metzger
 
Ichec entrepr ah 2015
Ichec entrepr ah 2015Ichec entrepr ah 2015
Ichec entrepr ah 2015
Alain Huet
 
Sécurité Internet
Sécurité InternetSécurité Internet
Sécurité Internetproximit
 
Infosafe ah 2014 15
Infosafe ah 2014 15Infosafe ah 2014 15
Infosafe ah 2014 15
Alain Huet
 
AMAN - JNS4 Management sécurité 13 Mai 2014
AMAN - JNS4 Management sécurité 13 Mai 2014AMAN - JNS4 Management sécurité 13 Mai 2014
AMAN - JNS4 Management sécurité 13 Mai 2014
Abdeljalil AGNAOU
 
Séminaire SÉCURITÉ DES SYSTÈMES D’INFORMATION, SYNTHÈSE - ORSYS Formation
Séminaire SÉCURITÉ DES SYSTÈMES D’INFORMATION, SYNTHÈSE - ORSYS FormationSéminaire SÉCURITÉ DES SYSTÈMES D’INFORMATION, SYNTHÈSE - ORSYS Formation
Séminaire SÉCURITÉ DES SYSTÈMES D’INFORMATION, SYNTHÈSE - ORSYS Formation
ORSYS
 
E forum 2006--_securite_si_-_k_safir-1
E forum 2006--_securite_si_-_k_safir-1E forum 2006--_securite_si_-_k_safir-1
E forum 2006--_securite_si_-_k_safir-1
MustaphaChaoui1
 
Sécurité de l’information et gouvernance
Sécurité de l’information et gouvernanceSécurité de l’information et gouvernance
Sécurité de l’information et gouvernance
PECB
 
Hapsis - La Sécurité Numérique à la Carte
Hapsis - La Sécurité Numérique à la CarteHapsis - La Sécurité Numérique à la Carte
Hapsis - La Sécurité Numérique à la Carte
Hapsis
 
Portfolio services secu-2.1
Portfolio services secu-2.1Portfolio services secu-2.1
Portfolio services secu-2.1
Hilal El Akramine
 
Support formation en ligne : Manager et auditer les risques informatiques
Support formation en ligne : Manager et auditer les risques informatiquesSupport formation en ligne : Manager et auditer les risques informatiques
Support formation en ligne : Manager et auditer les risques informatiques
SmartnSkilled
 
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...PMI-Montréal
 
#NSD15 - Intelligence juridique & systèmes d'informations
#NSD15 - Intelligence juridique & systèmes d'informations#NSD15 - Intelligence juridique & systèmes d'informations
#NSD15 - Intelligence juridique & systèmes d'informations
NetSecure Day
 
Défis, enjeux et solutions de la GRC en sécurité de l’information
Défis, enjeux et solutions de la GRC en sécurité de l’informationDéfis, enjeux et solutions de la GRC en sécurité de l’information
Défis, enjeux et solutions de la GRC en sécurité de l’information
PECB
 
La sécurité au service de l’innovation [#CloudAccelerate 13/06/2014 @ IBM CC ...
La sécurité au service de l’innovation [#CloudAccelerate 13/06/2014 @ IBM CC ...La sécurité au service de l’innovation [#CloudAccelerate 13/06/2014 @ IBM CC ...
La sécurité au service de l’innovation [#CloudAccelerate 13/06/2014 @ IBM CC ...
IBM France PME-ETI
 
Webinar–Sécurité Applicative et DevSecOps dans un monde Agile
Webinar–Sécurité Applicative et DevSecOps dans un monde AgileWebinar–Sécurité Applicative et DevSecOps dans un monde Agile
Webinar–Sécurité Applicative et DevSecOps dans un monde Agile
Synopsys Software Integrity Group
 
ANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PME
polenumerique33
 
Accroître et préserver la valeur de l'entreprise avec COBIT5 for Risk AFAI APMG
Accroître et préserver la valeur de l'entreprise avec COBIT5 for Risk AFAI APMGAccroître et préserver la valeur de l'entreprise avec COBIT5 for Risk AFAI APMG
Accroître et préserver la valeur de l'entreprise avec COBIT5 for Risk AFAI APMG
Antoine Vigneron
 
Université laval présentation sur la gestion des risques 31-03-2015 vf2
Université laval présentation sur la gestion des risques 31-03-2015 vf2Université laval présentation sur la gestion des risques 31-03-2015 vf2
Université laval présentation sur la gestion des risques 31-03-2015 vf2
ISACA Chapitre de Québec
 
Stage Avant-Vente réseau et sécurité H/F
Stage Avant-Vente réseau et sécurité H/FStage Avant-Vente réseau et sécurité H/F
Stage Avant-Vente réseau et sécurité H/F
Certilience
 

Similaire à Conix - EBIOS Risk Manager (20)

ClubEBIOS.ATM_.ERM_.SYN_.v1.1.pdf
ClubEBIOS.ATM_.ERM_.SYN_.v1.1.pdfClubEBIOS.ATM_.ERM_.SYN_.v1.1.pdf
ClubEBIOS.ATM_.ERM_.SYN_.v1.1.pdf
 
Ichec entrepr ah 2015
Ichec entrepr ah 2015Ichec entrepr ah 2015
Ichec entrepr ah 2015
 
Sécurité Internet
Sécurité InternetSécurité Internet
Sécurité Internet
 
Infosafe ah 2014 15
Infosafe ah 2014 15Infosafe ah 2014 15
Infosafe ah 2014 15
 
AMAN - JNS4 Management sécurité 13 Mai 2014
AMAN - JNS4 Management sécurité 13 Mai 2014AMAN - JNS4 Management sécurité 13 Mai 2014
AMAN - JNS4 Management sécurité 13 Mai 2014
 
Séminaire SÉCURITÉ DES SYSTÈMES D’INFORMATION, SYNTHÈSE - ORSYS Formation
Séminaire SÉCURITÉ DES SYSTÈMES D’INFORMATION, SYNTHÈSE - ORSYS FormationSéminaire SÉCURITÉ DES SYSTÈMES D’INFORMATION, SYNTHÈSE - ORSYS Formation
Séminaire SÉCURITÉ DES SYSTÈMES D’INFORMATION, SYNTHÈSE - ORSYS Formation
 
E forum 2006--_securite_si_-_k_safir-1
E forum 2006--_securite_si_-_k_safir-1E forum 2006--_securite_si_-_k_safir-1
E forum 2006--_securite_si_-_k_safir-1
 
Sécurité de l’information et gouvernance
Sécurité de l’information et gouvernanceSécurité de l’information et gouvernance
Sécurité de l’information et gouvernance
 
Hapsis - La Sécurité Numérique à la Carte
Hapsis - La Sécurité Numérique à la CarteHapsis - La Sécurité Numérique à la Carte
Hapsis - La Sécurité Numérique à la Carte
 
Portfolio services secu-2.1
Portfolio services secu-2.1Portfolio services secu-2.1
Portfolio services secu-2.1
 
Support formation en ligne : Manager et auditer les risques informatiques
Support formation en ligne : Manager et auditer les risques informatiquesSupport formation en ligne : Manager et auditer les risques informatiques
Support formation en ligne : Manager et auditer les risques informatiques
 
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
 
#NSD15 - Intelligence juridique & systèmes d'informations
#NSD15 - Intelligence juridique & systèmes d'informations#NSD15 - Intelligence juridique & systèmes d'informations
#NSD15 - Intelligence juridique & systèmes d'informations
 
Défis, enjeux et solutions de la GRC en sécurité de l’information
Défis, enjeux et solutions de la GRC en sécurité de l’informationDéfis, enjeux et solutions de la GRC en sécurité de l’information
Défis, enjeux et solutions de la GRC en sécurité de l’information
 
La sécurité au service de l’innovation [#CloudAccelerate 13/06/2014 @ IBM CC ...
La sécurité au service de l’innovation [#CloudAccelerate 13/06/2014 @ IBM CC ...La sécurité au service de l’innovation [#CloudAccelerate 13/06/2014 @ IBM CC ...
La sécurité au service de l’innovation [#CloudAccelerate 13/06/2014 @ IBM CC ...
 
Webinar–Sécurité Applicative et DevSecOps dans un monde Agile
Webinar–Sécurité Applicative et DevSecOps dans un monde AgileWebinar–Sécurité Applicative et DevSecOps dans un monde Agile
Webinar–Sécurité Applicative et DevSecOps dans un monde Agile
 
ANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PME
 
Accroître et préserver la valeur de l'entreprise avec COBIT5 for Risk AFAI APMG
Accroître et préserver la valeur de l'entreprise avec COBIT5 for Risk AFAI APMGAccroître et préserver la valeur de l'entreprise avec COBIT5 for Risk AFAI APMG
Accroître et préserver la valeur de l'entreprise avec COBIT5 for Risk AFAI APMG
 
Université laval présentation sur la gestion des risques 31-03-2015 vf2
Université laval présentation sur la gestion des risques 31-03-2015 vf2Université laval présentation sur la gestion des risques 31-03-2015 vf2
Université laval présentation sur la gestion des risques 31-03-2015 vf2
 
Stage Avant-Vente réseau et sécurité H/F
Stage Avant-Vente réseau et sécurité H/FStage Avant-Vente réseau et sécurité H/F
Stage Avant-Vente réseau et sécurité H/F
 

Plus de Thierry Pertus

Etude de cas PERISKOP : Accidents corporels domestiques
Etude de cas PERISKOP : Accidents corporels domestiquesEtude de cas PERISKOP : Accidents corporels domestiques
Etude de cas PERISKOP : Accidents corporels domestiques
Thierry Pertus
 
Tranformation digitale : de la digitalisation à la disruption
Tranformation digitale : de la digitalisation à la disruptionTranformation digitale : de la digitalisation à la disruption
Tranformation digitale : de la digitalisation à la disruption
Thierry Pertus
 
Cybersurveillance : Risques & opportunités
Cybersurveillance : Risques & opportunitésCybersurveillance : Risques & opportunités
Cybersurveillance : Risques & opportunités
Thierry Pertus
 
Les « Smart Cities » sous l’angle du risque cyber : perspectives et challenge...
Les « Smart Cities » sous l’angle du risque cyber : perspectives et challenge...Les « Smart Cities » sous l’angle du risque cyber : perspectives et challenge...
Les « Smart Cities » sous l’angle du risque cyber : perspectives et challenge...
Thierry Pertus
 
Positionnement de la Cybersécurité entre Sécurité et Sûreté : « faux-amis » o...
Positionnement de la Cybersécurité entre Sécurité et Sûreté : « faux-amis » o...Positionnement de la Cybersécurité entre Sécurité et Sûreté : « faux-amis » o...
Positionnement de la Cybersécurité entre Sécurité et Sûreté : « faux-amis » o...
Thierry Pertus
 
Sécurité Positive : L'élévation par la Responsabilité Sociétale
Sécurité Positive : L'élévation par la Responsabilité SociétaleSécurité Positive : L'élévation par la Responsabilité Sociétale
Sécurité Positive : L'élévation par la Responsabilité Sociétale
Thierry Pertus
 
Le « Security by Design » et ses multiples facettes
Le « Security by Design » et ses multiples facettesLe « Security by Design » et ses multiples facettes
Le « Security by Design » et ses multiples facettes
Thierry Pertus
 

Plus de Thierry Pertus (7)

Etude de cas PERISKOP : Accidents corporels domestiques
Etude de cas PERISKOP : Accidents corporels domestiquesEtude de cas PERISKOP : Accidents corporels domestiques
Etude de cas PERISKOP : Accidents corporels domestiques
 
Tranformation digitale : de la digitalisation à la disruption
Tranformation digitale : de la digitalisation à la disruptionTranformation digitale : de la digitalisation à la disruption
Tranformation digitale : de la digitalisation à la disruption
 
Cybersurveillance : Risques & opportunités
Cybersurveillance : Risques & opportunitésCybersurveillance : Risques & opportunités
Cybersurveillance : Risques & opportunités
 
Les « Smart Cities » sous l’angle du risque cyber : perspectives et challenge...
Les « Smart Cities » sous l’angle du risque cyber : perspectives et challenge...Les « Smart Cities » sous l’angle du risque cyber : perspectives et challenge...
Les « Smart Cities » sous l’angle du risque cyber : perspectives et challenge...
 
Positionnement de la Cybersécurité entre Sécurité et Sûreté : « faux-amis » o...
Positionnement de la Cybersécurité entre Sécurité et Sûreté : « faux-amis » o...Positionnement de la Cybersécurité entre Sécurité et Sûreté : « faux-amis » o...
Positionnement de la Cybersécurité entre Sécurité et Sûreté : « faux-amis » o...
 
Sécurité Positive : L'élévation par la Responsabilité Sociétale
Sécurité Positive : L'élévation par la Responsabilité SociétaleSécurité Positive : L'élévation par la Responsabilité Sociétale
Sécurité Positive : L'élévation par la Responsabilité Sociétale
 
Le « Security by Design » et ses multiples facettes
Le « Security by Design » et ses multiples facettesLe « Security by Design » et ses multiples facettes
Le « Security by Design » et ses multiples facettes
 

Conix - EBIOS Risk Manager

  • 1. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber Thierry PERTUS Février 2019
  • 2. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber Février 2019 p 2 ►Avant-propos La publication de la méthode EBIOS Risk Manager par l’ANSSI constitue une avancée majeure en matière de management du risque cyber. En effet, cette nouvelle mouture, se voulant plus pertinente et plus agile, reflète à la fois une certaine maturité du domaine et une réelle attente des praticiens et décideurs, aussi bien en termes de modélisation de l’écosystème et de la menace que de partage des concepts et de vision. Pour autant, bien que déléguant le management des risques numériques « usuels » à la conformité [au socle de sécurité], force est de constater que la maîtrise de ces derniers n’est pas toujours au rendez-vous et que le cadre de référence applicable reste dans certain cas à préciser selon le contexte et le périmètre d’étude. A ce titre, une appropriation de la méthode par les praticiens s’avère indispensable, quitte à apporter des clés de lecture adaptées, certaines étant proposées ici, tandis que certaines initiatives (label produit pour l’outillage, bases de connaissance, référentiel de formation, …) portées par la communauté d’acteurs du management du risque numérique contribueront à enrichir la méthode par la pratique.
  • 3. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber p 3 EBIOS Risk Manager : l’émergence d’un nouveau paradigme Février 2019
  • 4. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber L’héritage EBIOS® (Expression des Besoins et Identification des Objectifs de Sécurité) EBIOS constitue plus que jamais LA méthode française de référence d’appréciation et de traitement de risques liés au numérique, et désormais plus spécifiquement le risque « cyber », sous toutes ses formes. La création de la méthode remonte à 1995 sous l’égide de la DCSSI (rattachée alors au SGDN), devenue par la suite l’ANSSI (rattachée au SGDSN). Une première actualisation a été opérée en 2004, puis une évolution en 2010, déjà en collaboration communautaire avec le Club EBIOS. Compatibilité avec le cadre normatif ISO/IEC 27005, lui-même aligné sur l’ISO 31000 EBIOS v2 (2004) (démarche générale en 5 étapes) 1 2 3 4 5 DCSSI EBIOS v3 (2010) (démarche générale en 5 modules) 1 2 3 4 5 ANSSI
  • 5. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber EBIOS « nouvelle génération » pour franchir un nouveau palier de maturité https://www.ssi.gouv.fr/administration/management-du-risque/la-methode-ebios-risk-manager/ Aux Assises de la sécurité, lors de son discours inaugural placé sous le signe de « l’anticipation collective », Guillaume Poupard, le directeur général de l'ANSSI, a insisté sur la généralisation de l'analyse de risque numérique au sein des entreprises. « Les analyses de risques doivent se faire avec des experts, mais aussi avec les décideurs et les métiers » « Cette méthode se veut accessible et évite les écueils du tout analyser et tout réinventer » 10 octobre 2018 : l’ANSSI publie EBIOS Risk Manager, une méthode repensée pour l’analyse agile du risque cyber « Le fruit d’un travail de deux années conduit par l’ANSSI et le Club EBIOS [avec contribution du CLUSIF] » @club_ebios #EBIOSRM « Miser sur la collaboration pour rendre la cybersécurité plus attrayante »
  • 6. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber Une démarche collaborative (pédagogique, inclusive) et agile (pragmatique, itérative) en 5 ateliers Cadrage et socle de sécurité Sources de risque Scénarios opérationnels Scénarios stratégiques Traitement du risque
  • 7. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber Une démarche méthodologique modulaire pour des cas d’usage multiples Cas d’usage
  • 8. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber Adhérence de la méthode EBIOS Risk Manager avec la norme ISO 31000 EBIOS Risk Manager (démarche itérative en 5 ateliers) ISO 31000:2018 (processus de management du risque) (cadre organisationnel)
  • 9. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber Méthodologie détaillée
  • 10. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber Modélisation d’un scénario de cyberattaque par décomposition analytique selon le point de vue attaque/défense Vision stratégique de la cyberattaque orientée opportunité Vision stratégique de la cyberdéfense orientée risque Vision opérationnelle de la cyber-attaque et de la cyberdéfense orientée moindre effort
  • 11. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber p 11 EBIOS Risk Manager : des concepts novateurs et une modélisation plus visuelle Février 2019
  • 12. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber Pyramide du management du risque numérique visant à définir le « socle de sécurité »
  • 13. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber Identification des couples sources de risques (SR) / objectifs visés (OV) les plus pertinents
  • 14. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber Cartographie des parties prenantes critiques (PPC)
  • 15. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber Sélection des mesures de sécurité stratégiques
  • 16. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber Détermination des chemins d’attaques stratégiques les plus pertinents
  • 17. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber Elaboration des scénarios opérationnels arbre/séquences d’attaque (« cyber kill chain ») (AE)
  • 18. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber Elaboration des scénarios opérationnels
  • 19. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber Modèle et thématiques de mesures de sécurité opérationnelles (réduction du risque) Protection Défense Résilience Gouvernance & anticipation Modèle de cyberdéfense en profondeur Facteur organisationnel Facteur technologique Facteur humain Facteurs de risques et leviers d’action
  • 20. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber Synthèse des scénarios de risques et sélection des mesures de sécurité opérationnelles
  • 21. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber p 21 Quel cadre de référence en guise de socle de sécurité ? Février 2019
  • 22. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber Niveau de cybermenace potentiel > Risque cyber [capacité, ciblage, sophistication des cyberattaques] OrdinaireElaboréAvancé Approche ciblée, par « scénarios » Application avec discernement du cadre légal et réglementaire, voire normatif Application ad hoc des règles élémentaires et recours aux standards de bonnes pratiques Approche à large spectre, par « conformité » au « socle de sécurité » Niveau de cyberprotection requis [fonction de la sensibilité SSI pondérée par l’exposition cyber] Risquesaccidentelsetenvironnementaux Avancé Appréciation du risque numérique Sources de risque numérique Traitement du risque numérique Analyse fine du risque cyber Adhérence normative avec l’ISO 31000:2018 Modèle EBIOS Risk Manager « raffiné » pour une approche graduée du management du risque numérique Standards de bonnes pratiques : Guide ANSSI « Hygiène informatique » (niv. std.) Guide CNIL « sécurité des données personnelles » Cadre normatif (normes / labels / standards) : ISO/IEC 27001, ISO/IEC 29100, ISO/IEC 15408, IEC 62443, PSCo/PASSI/PDIS/PRIS, PCI-DSS, … Cadre règlementaire (textes UE / nationaux / extraterritoriaux) : LPM, NIS, GDPR, LIL, eIDAS, RGS, RGI, PSSI-E, II901, IGI1300, HDS, SoX, ISAE-3402, … Veille cybermenace : cryptomalware / ransomware, cryptomining botnets, watering hole, fileless malware, spear phishing, scam, fake apps, … Guides techniques spécialisés : ANSSI, CNIL (PIA/AIPD), ENISA, CIS, NIST, OWASP, CSA, …
  • 23. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber Niveau de cybermenace potentiel > Risque cyber [capacité, ciblage, sophistication des cyberattaques] OrdinaireElaboréAvancé Risquesaccidentelsetenvironnementaux Avancé Appréciation du risque numérique Sources de risque numérique Traitement du risque numérique Adhérence normative avec l’ISO 31000:2018 Démarche hybride EBIOS Risk Manager / EBISO 2010 pour une approche différentiée puis consolidée du management du risque cyber / risques numériques usuels EBIOS 2010 (en mode simplifié) Approche à large spectre, par priorisation des mesures de sécurité issues du « socle de sécurité » au regard des « risques usuels » Approche ciblée, par modélisation de la cybermenace via des « chemins d’attaque sophistiqués » pertinents
  • 24. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber I - Sensibiliser et former II - Connaitre le système d’information III - Authentifier et contrôler les accès IV - Sécuriser les postes V - Sécuriser le réseau VI - Sécuriser l’administration VII - gérer le nomadisme VIII - Maintenir à jour le système d’information IX - Superviser, auditer, réagir X - Pour aller plus loin Structure et thématiques du guide d’hygiène informatique (ANSSI)
  • 25. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber Politique, Organisation, Gouvernance Ressources humaines Gestion des biens Intégration de la SSI dans le cycle de vie des systèmes d’information Sécurité physique Sécurité des réseaux Architecture des SI Exploitation des SI Sécurité du poste de travail Sécurité du développement des systèmes Traitement des incidents Continuité d’activité Conformité, audit, inspection, contrôle Structure et thématiques de la PSSI de l’Etat Domaine d’application : Sécurité des SI des administrations de l’Etat
  • 26. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber Protection Défense Résilience Gouvernance & anticipation Modèle de cyberdéfense en profondeur Structure et thématiques de Arrêté « transposition NIS » du 14/09/2018 (règles de sécurité) Domaine d’application : Cyber-résilience des infrastructures et services essentiels (SIE)
  • 27. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber Structure et thématiques du standard CIS Controls v7
  • 28. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber Management de la cybersécurité (sûreté numérique face à la cybercriminalité et au risque cyber) Management de la sécurité de l’information (sécurité numérique organisationnelle) SSI QSE / RSE Continuité d’activité Audit & Risques RH ISO 9001 ISO 9004 ISO 45001 ISO 14001 ISO/IEC 38500 ISO/IEC 20000-xx ISO 26000 ISO 31000 ISO Guide 73 ISO 19600 ISO 223xx ISO 8000-xxx ISO/IEC 38505-1 ISO/IEC 291xx ISO 304xx ISO/IEC 291xx Protection des données personnelles Gouvernance des données Gouvernance du SI Conformité Cyber -sécurité ISO/IEC 27032ISO/IEC 27xxx Sécurité de l’information Domaine d’application de la SSI global et intégré au sein d’un écosystème normatif ISO ConfidentialitéIntégritéDisponibilité Sécurité des systèmes d’information Sensibilité SSI = Max (D,I,C,T) D I C Traçabilité T
  • 29. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber A5. Politiques de sécurité de l’information A6. Organisation de la sécurité de l’information A7. Sécurité des ressources humaines A8. Gestion des actifs A9. Contrôle d’accès A10. Cryptographie A11. Sécurité physique et environnementale A12. Sécurité liée à l’exploitation A13. Sécurité des communications A14. Acquisition, développement et maintenance des systèmes d’information A15. Relations avec les fournisseurs A16. Gestion des incidents liés à la sécurité de l’information A17. Continuité de la sécurité de l’information A18. Conformité Structure et thématiques de la norme ISO/IEC 27001:2013 - Annexe A (SMSI/DdA**) ou ISO/IEC 27002:2013 (code de bonne pratique) et ses « ISO-topes » sectoriels ** * Système de Management de la Sécurité de l’Information / Déclaration d’Applicabilité (SoA) ** ISO/IEC 27011 (Télécoms), 27017 (Cloud Security), 27018 (Privacy Security), 27019 (Energy Utility Industry IS),27799 (Healthcare IS), …
  • 30. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber p 30 Pour aller plus loin … Février 2019
  • 31. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber Des supports pédagogiques (supplément fiches méthode, FAQ, études de cas, retours d’expérience, …) et des bases de connaissance communautaires (catalogues d’objets) pour faire vivre la méthode A venir : Un référentiel pédagogique et un kit de formation destinées aux formations certifiantes EBIOS Risk Manager pour accompagner et développer le réseau de praticiens de la méthode
  • 32. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber Un label ANSSI pour les solutions digitales et collaboratives Cyber RM/GRC en support de la méthode Source : https://www.ssi.gouv.fr/entreprise/management-du-risque/la-methode-ebios-risk-manager/label-ebios-risk-manager-des-outils-pour-faciliter-le-management-du-risque-numerique/ 2 plateformes phares en cours de développement parmi les solutions candidates au label :
  • 33. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber p 33 Source* : Zootopia (Disney) * Dialogues revisités ici dans le cadre du droit à la parodie (article L 122-5 du Code de la Propriété Intellectuelle) Eh bien figurez-vous que justement j’étais en train de le finaliser, Encore un peu de patience, plus qu’une ou deux itérations et je vous envoie cela sous Word. Dites, par rapport à mon dossier d’homologation, c’est pas que je suis pressé, mais j’attends votre rapport d’analyse de risques depuis bientôt 6 mois … Février 2019
  • 34. Thierry PERTUS Consultant senior CISM, ISO/IEC 27001 LI, ISO/IEC 27005 RM, ISO 31000 RM Cybersécurité Powered by securite@conix.fr www.conix.fr Keep control.