Présentation de deux méthodes de gestion des risques SSI : Ebios et Méhari.

1. Gestion des risques SSI : approche
globale ou individuelle du risque ?
Novembre 2013

2. Panorama des méthodes
Le tableau suivant liste les principales méthodes utilisées dans le
cadre de la gestion des risques SSI.
Présentation BPMS
2

3. Gestion des risques : les concepts qui font consensus
Un risque provient du fait que l’entité, entreprise ou organisation, possède
des « valeurs », matérielles ou non, qui pourraient subir une dégradation ou
un dommage, dégradation ayant des conséquences pour l’entité considérée.
Actifs/ biens
• Tout ce qui peut représenter une valeur ou un enjeu pour l’entité.
• Essentiel : processus, information
• Support : Bien sur lequel reposent des biens essentiels (logiciel, matériel, ressources humaines)
Dégradation subie par un actif
• Types de dommages subis par des informations (perte de disponibilité, d’intégrité ou de
confidentialité).
• On évaluera la gravité de la dégradation.
Conséquences de la dégradation
• Conséquence d’une dégradation au niveau de l’entité.
• Ce terme recouvre la notion d’impact.
Causes de la dégradation
• Evénement certain ou non certains conduisant à la réalisation d’un risque.
• On évaluera la probabilité de survenance de l ’événement.
Présentation BPMS
3

4. Ebios : approche indirecte du risque
La gestion globale et indirecte des risques proposée par
Ebios vise à :
Identifier des éléments pouvant conduire à des risques (menaces et
vulnérabilité).
Hiérarchiser ces éléments.
En déduire une politique et des objectifs de sécurité.
Mettre en place, comme outil de pilotage, un suivi permanent des objectifs
de sécurité ou des éléments de la politique de sécurité.
Analyse générale afin de définir
des objectifs et des directives de
sécurité propres à réduire
globalement les risques.
Présentation BPMS
4

5. Méhari : approche directe du risque
La gestion individualisée et directe des risques proposée par
Méhari vise à :
Identifier l'ensemble des risques auxquels l’entreprise est exposée.
Quantifier le niveau de chaque risque (gravité et probabilité) et le seuil
d’acceptabilité.
Prendre, pour chaque risque considéré comme inadmissible, des mesures pour que le
niveau de ce risque soit ramené à un niveau acceptable.
Mettre en place, comme outil de pilotage, un suivi permanent des risques et de leur
niveau.
S’assurer que chaque risque, pris individuellement, est bien pris en charge et a fait
l’objet d’une décision soit d’acceptation soit de réduction, soit de transfert.
Analyse de chaque situation de
risque identifiée et prise de
décisions spécifiques et adaptées à
chacune d’elles
Présentation BPMS
5

6. Ebios et Méhari : la notion de risque
EBIOS : Actif, menace et vulnérabilité
MEHARI : scénarios de risques
• Le risque est la conjonction d’un actif,
d’une menace susceptible de faire
subir un dommage à cet actif et de
vulnérabilités exploitées par la
menace pour faire subir à l’actif ce
dommage.
• Ces définitions du risque conduisent à
une notion de « risques types ».
• Il s’agit donc d’une vision « statique »
des risques, au sens où les éléments
pris en compte ne font pas intervenir la
variable « temps » et ne permettent
pas de décrire des enchaînements
d’événements, de causes ou de
conséquences.
• Le risque est la conjonction d’un actif,
d’un type de dommage pouvant être
subi par cet actif et de circonstances
dans lesquelles ce dommage pourrait
survenir.
• Cette définition conduit, en pratique, à
définir des « situations de risque» ou
des « scénarios de risque» qui
décrivent, à la fois, le dommage subi et
les circonstances dans lesquelles se
produit ce dommage.
• Les circonstances recouvrent les
notions de lieux, de temps.
• Il s’agit donc d’une vision
«dynamique» des risques, dans
laquelle le temps peut intervenir.
Présentation BPMS
6

7. Ebios et Méhari : bottom-up et top-down
Méthode Méhari :
Démarche centrée sur les enjeux des
diverses activités de l’entité, et menée de
préférence à un niveau élevé de
management (approche top-down).
Cette démarche débouche sur une
recherche
des
circonstances
dans
lesquelles
les
dommages
pourraient
survenir et donc sur une définition de
scénarios de risques.
Quelles dégradations pourraient affecter
ces actifs et dans quelles circonstances ces
dégradations pourraient survenir?
Méthode Ebios :
Cette
démarche
débouche
sur
une
recherche des menaces pouvant agir sur un
actifs et des vulnérabilité de l’actif qui
pourraient faciliter la réalisation de la
menace.
Cette démarche suppose une analyse
techniques
des
actifs
par
les
opérationnels. Le management est donc
peu impliqué à ce stade de la démarche
(approche bottom-up).
Quelles menaces seraient susceptibles de
causer un dommage à ces actifs, et quelles
vulnérabilités pourraient être exploitées ?
Présentation BPMS
7

8. Ebios et Méhari : estimation du risque
EBIOS (gestion globale et
indirecte)
MEHARI (gestion individuelle et
directe)
• L’analyse des enjeux ou des
conséquences du risque
• L’estimation du niveau de la
menace
• L’estimation du niveau des
vulnérabilités
• L’analyse des enjeux ou des
conséquences du risque
• L’analyse de la probabilité de
survenance du scénario de
risque
• L’effet des mesures de sécurité
• L’estimation des risques
aboutit à une hiérarchisation
des risques.
• L’estimation des risques
aboutit à une évaluation de
l’impact (I) et de la probabilité
(P) de chaque risque.
Présentation BPMS
8

9. Focus sur la notion de vulnérabilité
Dans la méthode Ebios, la notion de vulnérabilité est
introduite dès la phase d’identification des risques :
Introduire les vulnérabilités dans la définition des risques revient à
considérer que ce sont bien elles que l’on entend évaluer et gérer.
Il s’agit bien alors d’une gestion indirecte des risques.
Introduire dans la définition des risques la liste des vulnérabilités
exploitées est source de difficultés pour une gestion directe des
risques et oblige à introduire une analyse technique (la recherche
de l’ensemble des vulnérabilités concernées par cette situation de
risque).
Dans la méthode Méhari, la notion de vulnérabilité est
introduite dans la phase d’analyse des risques :
Ne pas faire intervenir les vulnérabilités dans l’identification des
risques revient à considérer qu’un risque naît de la simple
conjonction d’un élément d’actif qui a une valeur et de
circonstances dans lesquelles cette valeur pourrait être mise en
cause et que c’est cette situation que l’on entend gérer.
Présentation BPMS
9

10. Conclusion
EBIOS
• Gestion globale et indirecte
• Objectif: définition d’une politique de sécurité
• Définition du risque basée sur les menaces et vulnérabilité de
l’actif
• Implication faible du management
• Vision statique des risques
MEHARI
• Gestion individuelle et directe
• Objectif: définition d’une politique de gestion des risques
• Définition du risque basée sur des scénarios de menace
• Implication forte du management
• Vision dynamique des risques
Présentation BPMS
10