La cybermenace dans l’actualité

• Les cyber vols et le cyber espionnage de données sensibles.
• Vers une nouvelle guerre froide Est-Ouest, USA-Chine.
• Les dénis de services d’envergure mondiale.
• Les groupes de hackers organisés, le rôle des agences de renseignements.
• Phishing/ingénierie sociale, Spear phishing : des scénarios bien rodés.
• Les APT : persistance et profondeur des attaques.
• Vol de données sensibles, intrusions réseaux, malwares, bots/botnets et ransomwares.

Identification et analyse de la cyber menace

• L’approche des militaires appliquée au monde cyber.
• L'approche US avec le Find, Fix, Track, Target, Engage, Assess.
• La cyber kill chain comme base de description. Exemple type : Lockheed Martin.
• Les phases Reconnaissance, Weaponization, Delivery, Exploit, Installation, Control (C2). Actions on Objectives.
• Le portrait robot d’une attaque ciblée selon l’ANSSI.
• Les phases du processus (Connaître, Rentrer, Trouver, Exploiter).
• L’identification des chemins d’attaque directs et indirects.

La méthode EBIOS

• Rôle de l’ANSSI et du club EBIOS.
• EBIOS face aux enjeux de la LPM.
• Apport de la nouvelle méthode EBIOS RM (2018) et EBIOS 2010.
• La compatibilité EBIOS RM versus ISO 31000 et ISO 27005.

Les fondamentaux de la méthode

• Valeur métier, bien supporté, écosystème, partie prenante.
• Approche par conformité versus approche par scénarios de risques.
• Prise en compte des menaces intentionnelles sophistiquées de type APT.
• Appréciation de son écosystème et des parties prenantes critiques de rang 1, 2, 3.
• EBIOS RM au processus d’homologation de la LPM et de la directive NIS.
• Règles de sécurité de l’approche par conformité (guide d’hygiène, mesures LPM/NIS…).
• Processus Gestion de Risques comme mesure de la gouvernance SSI.

Les objectifs de EBIOS RM

• Identifier le socle de sécurité adapté à l’objet de l’étude.
• Être en conformité avec les règlements de sécurité (métier/juridique/contractuel).
• Identifier et analyser les scénarios de haut niveau en intégrant l’écosystème et les parties prenantes.
• Identifier et impliquer les mesures de sécurité pour les parties prenantes critiques.
• Réaliser une étude préliminaire de risque pour identifier les axes prioritaires d’amélioration.
• Les axes prioritaires d’amélioration : la sécurité et les points faibles exploitables des attaquants.
• Conduire une étude de risque détaillée visant, par exemple, l’homologation type ANSSI.

Les activités de la méthode (1 et 2)

• 1. Atelier – Cadrage et socle de sécurité :
• Quelles valeurs métiers, bien, supports faut-il cartographier ?
• Quels événements à redouter, vus de l’activité métier ?
• Quel socle de sécurité intégrer : ANSSI, PSSI interne… ?
• Quels référentiels de réglementation identifier comme obligatoires ?
• 2. Atelier – Sources de risque et objectifs visés :
• Quelle attractivité des valeurs métiers, cyber attaquants ?
• Quelle implication des métiers dans la connaissance des sources de risques ?
• Quels critères pour évaluer les couples SR-OV : l’évaluation des ressources et motivation des groupes attaquants.

Les activités de la méthode (3, 4 et 5)

• 3.4. Atelier – Scénarios stratégiques et opérationnels :
• Quelles sont les parties prenantes de l’écosystème ?
• Quels scénarios vus des métiers puis vus de la technique ?
• Quels chemins d’attaques directs et indirects décrire ?
• Comment calculer les vraisemblances des scénarios : de la méthode expresse à la méthode avancée.
• 5. Atelier – Traitement du risque :
• Quels risques considérer comme inacceptables dans le contexte ?
• Quels livrables pour une étude EBIOS RM ?
• Déclaration d’applicabilité type ISO 27001, rapport d’appréciation des risques LPM/NIS, etc.

EBIOS, étude de cas

• 1.Le contexte de l’étude : implication des métiers dans l’identification des valeurs métiers et des impacts ressentis.
• Détermination des sources de risques et des objectifs d’attaques potentiels.
• Détermination des obligations réglementaires, juridiques et l’identification des parties prenantes critiques de rang 1.
• La construction de la cartographie de menace numérique de l’écosystème dans le contexte.
• 2. Les activités des ateliers nécessaires à la construction des scénarios stratégiques puis opérationnels.
• L’évaluation des risques en termes de gravité et de vraisemblance.
• Élaboration d’une méthode de calcul de la maturité cyber et dépendance par rapport aux parties prenantes.
• 3. Élaboration du plan de traitement des risques.
• L’élaboration d’un plan d’actions.
• Les mesures de sécurité techniques (protection, défense) et organisationnelles (gouvernance, résilience).
• Le choix des mesures parmi les règles de sécurité des référentiels LPM/NIS ou ISO ou autre.
• Le choix d’un logiciel certifié ANSSI (en cours de certification : ARIMES, EGERIE, AGILE RM, FENCE, IBM OpenPages, …).
• La construction provisoire de son « logiciel » sur base tableur.