gt « outils pratiques » (action 55) - club ebios...2017/09/13 · gt « outils pratiques »...
TRANSCRIPT
Club EBIOS - www.club-ebios.org
GT « Outils pratiques » (Action 55)Synthèse des travaux réalisés
Thierry PERTUS (CONIX)
13/09/2017
GT « Outils pratiques » (Action 55) - Synthèse des travaux réalisés 2
2 Sélection de l’étude de cas
3 Référentiel de risque lié à l’étude de cas
4 Rapport d’analyse lié à l’étude de cas
SOMMAIRE
5 Valeur ajoutée de l’outillage proposé
1 Rappel des objectifs du GT
6 Synthèse des livrables et suite des travaux
A Annexes
GT « Outils pratiques » (Action 55) - Synthèse des travaux réalisés 3
1. Rappel des objectifs du GT
GT « Outils pratiques » (Action 55) - Synthèse des travaux réalisés 4
Finalités recherchées :
❖ Proposer un outillage accessible, adapté et flexible de la méthode EBIOS (v2010)sous forme de fichier EXCEL, permettant une déclinaison opérationnelle et personnalisée de la méthode
❖ Concevoir cet outillage dans l’optique de pouvoir réaliser aussi bienune analyse organisationnelle (ex : état des lieux, PSSI, SMSI)qu’une analyse fonctionnelle (ex : exigences à intégrer au cahier des charges, EIVP/PIA/DPIA)
❖ Donner la possibilité d’introduire certaines améliorations faisant consensus au sein du Club EBIOS
❖ Adapter les bases de connaissances « historiques EBIOS »(biens supports, vulnérabilités/menaces, liste de référentiels de mesures)
❖ Proposer un outillage modulable, extensible et évolutif (ex : vers EBIOS NG),par le biais des critères et bases de connaissances, aux domaines de risque liés à la sécurité et à la résiliencenotamment couverts par les normes rattachées au référentiel TC 292
Précautions d’usage :
❖ N’introduire des simplification/améliorations qu’en cas de réelle valeur ajoutée
❖ Ne pas chercher à « inventer l’eau tiède »
❖ Ne pas dénaturer la méthode EBIOS(conservation a minima des 5 modules d’analyse en l’état et de la terminologie établie)
❖ Se mettre à la place d’un praticien novice d’EBIOS pour éviter toute complexification inutile
❖ Se mettre à la place d’un praticien expert d’EBIOS pour éviter toute simplification trop réductrice
Rappel des objectifs du GT
GT « Outils pratiques » (Action 55) - Synthèse des travaux réalisés 5
2. Sélection de l’étude de cas
GT « Outils pratiques » (Action 55) - Synthèse des travaux réalisés 6
1. Sélection de l’étude de cas
Retour sur les sujets proposés comme étude de cas
EC.01 : Etude portant sur la mise en place d'un SI sûreté physique "full IP" (système de contrôle d'accès par badge unique, système de détection d'intrusion, vidéosurveillance, télésurveillance, ...) au sein d'une entreprise de logistique.
Principaux enjeux pressentis : Risque de compromission du SI général de l'entreprise via un canal d'interconnexion, Risque de compromission du SI sûreté physique par un vecteur digital (médias amovibles, prise d'accès filaire, Wi-Fi, télémaintenance, ...), Risque d'atteinte au respect de la vie privée du personnel et des personnes filmées par les caméras, Asservissement des contrôles d'accès au système de sécurité incendie (contrainte héritée)
EC.02 : Etude portant sur la mise en place d'un système décisionnel Big Data visant à optimiser (dans le respect du cadre légal actuel et futur) la sélection de candidats dans le cadre d'une activité de recrutement d'une entreprise spécialisée dans le sourcing.
Principaux enjeux pressentis : Risque d'atteinte au respect de la vie privée des candidats (CR d'entretien, workflow) ou de discrimination basée sur des critères illégaux ou une analyse prédictive tendancieuse liées à une dérive des traitements analytiques (data mining) au regard des finalités initialement fixées
EC.03 : Etude portant sur la mise en place d'une plateforme en cloud permettant la récupération en ligne des résultats d'analyse par un laboratoire d'analyse médicale.
Principaux enjeux pressentis : Risque d'atteinte au respect de la vie privée des patients (non-conformité au cadre légal en vigueur et à horizon 2018, non-conformité à la réglementation HDS, légitimité d'accès aux résultats non garantie, fuite de données de santé, ...)
EC.04 : Etude portant sur la mise en place de nouveaux services d'hébergement en cloud communautaire délivrés par un GIE au sein d'ungroupement de sociétés d'un même secteur d'activité (ou par une entité orientées services du numérique au sein d'un groupe).
Principaux enjeux pressentis : mutualisation des ressources (infrastructure, services transverses, compétences, ...), cloisonnement inter-entités, niveaux de services (SLAs), co-responsabilité dans le traitement de DCP (RGPD), services managés (Administration, SOC, ...)
EC.05 : Etude portant sur la mise en place d'un réseau électrique intelligent "smart grid" à l'échelle d'une métropole (dans l'UE).
Principaux enjeux pressentis : obligations réglementaires applicables aux OSE (Directive NIS), security/resiliency by design, continuité d'activité, efficience énergétique et agilité dans la gestion de la capacité en énergie, traitement et accès aux données de consommation/facturation aux usagers (RGPD), ...
GT « Outils pratiques » (Action 55) - Synthèse des travaux réalisés 7
Opportunité d'Action [OPA]
Retour sur les résultats du sondage en ligne
EC.01 : SI sûreté physique au sein d'une entreprise de logistique
EC.02 : système décisionnel Big Data d’assistance au sourcing pour le recrutement RH (Analytics for Talent Management)
EC.03 : plateforme en cloud permettant la récupération en ligne des résultats d'analyse par un laboratoire d'analyse médicale.
EC.04 : nouveaux services d'hébergement en cloud communautaire délivrés par un GIE
EC.05 : réseau électrique intelligent "smart grid" à l'échelle d'une métropole au sein de l'UE
Source : https://club-ebios.org/forum/viewtopic.php?f=55&t=645
GT « Outils pratiques » (Action 55) - Synthèse des travaux réalisés 8
3. Référentiel de risque lié à l’étude de cas
Cf. ClubEBIOS.ATM.RPR (v0.9 R4 - FULL)
GT « Outils pratiques » (Action 55) - Synthèse des travaux réalisés 9
4. Rapport d’analyse lié à l’étude de cas
Cf. ClubEBIOS.ATM.RPAR (v0.9 R4 - FULL)
GT « Outils pratiques » (Action 55) - Synthèse des travaux réalisés 10
5. Valeur ajoutée de l’outillage proposé
Principaux éléments de simplification / sophistication (par rapport à une analyse « EBIOS 2010 classique »)
GT « Outils pratiques » (Action 55) - Synthèse des travaux réalisés 11
Principaux éléments de simplification utilisés par rapport à EBIOS 2010
Valorisation des biens essentiels :> Expression du vecteur DICL par déduction de chaque critère en fonction du MAX des natures d’impact en cas d’atteinte à ce même critère
Evènements redoutés :> Constitution d’un registre d’évènements redoutés limité à ceux associés à la gravité la plus élevée (> 2)
Scénarios de menaces :> Constitution d’un registre de scénarios de menaces agrégeant les menaces (simple correspondance proposée)et les vulnérabilités (occultées car considérées comme l’expression d’une « négation » ou d’un défaut de mesures)
Risques :> Constitution d’un registre de risques par factorisation des combinaisons entre scénarios de menaces et évènements redoutés
Réduction du risque :> Action directe sur le niveau de risque initial (Ri), par le biais de la notion de niveau de maîtrise du risque, réduisant en une seule dimension la « Vraisemblance » et la « Gravité » (traitées de façon induite en considérant la nature des mesures appliquées : prévention / protection / récupération)
GT « Outils pratiques » (Action 55) - Synthèse des travaux réalisés 12
Principaux éléments de sophistication utilisés par rapport à EBIOS 2010
Analyse conjointe Sécurité de l’information / Protection des DCP :> Regroupement de ces 2 domaines au travers des critères DICL
Impacts collatéraux / différenciés :> Permet d’exprimer l’impact sur les parties prenantes externes, qui par voie de conséquence sont susceptibles de générer des impacts (juridiques, financiers, réputation, …) sur l’organisme (« effet boomerang »)
Gravité cumulée :> Permet de prendre en compte la globalité des impacts de façon à affiner la hiérarchisation des risques (ex : pour une gravité maximale équivalente)
Matrice de vraisemblance :> Permet d’estimer la vraisemblance par calcul matriciel au regard du niveau d’exposition et du niveau de menaces (ces deux attributs étant eux-mêmes multi-facteurs)
Distinction entre fonctions métier et fonctions support :> Sur la base du modèle de la chaine de valeur de M. Porter, les fonctions métier permettent d’exprimer les impacts métier sur l’organisation et les parties prenantes externes (approche EBIOS classique) tandis que les fonctions support compète cette vision en se focalisant sur l’impact DICL sur ces mêmes fonctions métier
Dépendance entre biens essentiels et biens support :> Distinction entre les dépendances liées au fonctionnement (ex : infra) et celles liées à l’accès (ex : terminaux utilisateurs)
Sources de menaces :> Constitution d’un registre de sources de menaces (en correspondance avec la typologie EBIOS 2010) plus explicites
Scénarios de menaces chainés :> Sur le principe de la réaction en chaine ou encore de la « cyber kill chain », une colonne permet d’exprimer l’enchainement temporel possible entre scénarios de menaces
Décisions et Mesures juridiques, organisationnelles et techniques :> Distinction entre ces différentes notions (cf. slides ci-avant)
Réduction et Transfert du risque :> Options cumulables, le transfert étant une forme de réduction partielle du risque (par l’externalisation ou la souscription à une police d’assurance par exemple)
GT « Outils pratiques » (Action 55) - Synthèse des travaux réalisés 13
6. Synthèse des livrables et suite des travaux
GT « Outils pratiques » (Action 55) - Synthèse des travaux réalisés 14
4. Synthèse des livrables et suite des travaux
Titre| Référence du document
Version| Statut
Naturedu document
Formatdu document
Concepts, Critères et Métriques
Référentiel de Risque| ClubEBIOS.ATM.REF
v0.9 R4| en relecture
Tableaux de référence
Référentiel Pédagogique de Risque| ClubEBIOS.ATM.RPR
v0.9 R4| en relecture
Document pédagogique
Référentiel Synthétique de Risque| ClubEBIOS.ATM.RSR
v0.9 R4| en relecture
Document de restitution
Analyse de risques
Registres d’Analyse| ClubEBIOS.ATM.REG
v0.9 R4| en relecture
Tableaux analytiques
Rapport Synthétique Pédagogique d’Analyse de Risques| ClubEBIOS.ATM.RPAR
v0.9 R4| en relecture
Document pédagogique
Rapport Synthétique Pédagogique d’Analyse de Risques| ClubEBIOS.ATM.RSAR
v0.9 R4| en relecture
Document de restitution
Portage sous Egerie Risk Manager (v2.2.1)
Egerie Risk Manager (fichier de configuration pour module ERM)| Analyse_ATM_170910
N/A Document technique
Egerie Risk Manager (rapport d’analyse extrait en PDF) | Rapport_ATM_170910
N/A Document de restitution
Egerie Risk Manager (rapport d’élaboration lié à EBIOS 2010)| ClubEBIOS.ATM.ERM (v0.9 R4)
v0.9 R4| en relecture
Document pédagogique
Modèle de document
Registres d’Analyse (contenu vierge)| ClubEBIOS.TEMPLATE.REG
v0.9 R4| en relecture
Tableaux analytiques
GT « Outils pratiques » (Action 55) - Synthèse des travaux réalisés 15
4. Synthèse des livrables et suite des travaux
Appel à commentaires - Request for Comments (RFC)
Document faisant principalement l’objet de l’appel à commentaire : ClubEBIOS.ATM.REG.xlsx (Registres d’Analyse)
Lien direct sur le forum du club : https://club-ebios.org/forum/viewtopic.php?f=55&t=654
Contact pour l’envoi des commentaires : [email protected]
Note : La liste des contributeurs aux travaux et livrables du GT sera susceptible d’intégrer les personnes(avec leur consentement) ayant transmis des commentaires pertinents dans le cadre du présent RFC.
GT « Outils pratiques » (Action 55) - Synthèse des travaux réalisés 16
4. Synthèse des livrables et suite des travaux
Priorité 1 (objectif Q4 2017) : version 1.0 - alignement sur EBIOS 2010
Consolidation des livrables v0.9 suite aux retours des commentaires (RFC) après relecture Soumission des livrables v1.0 au CA du club et à l’avis de l’ANSSI et de la CNIL Publication en ligne sur www.club-ebios.fr | rubrique « Productions »
Priorité 2 (objectif Q2 2018) : version 2.0 - alignement sur EBIOS NG
Révision des livrables liés à l’étude de cas TAM Nouvelle étude de cas Optionnel : Transposition de l’analyse sous des solutions d’IT GRC (SIGR)
Priorité 3 (objectif Q4 2018) : version 2.0 EN (selon opportunité)
Traduction en anglais des modèles de fichiers d’analyse et rapports liés aux études de cas
GT « Outils pratiques » (Action 55) - Synthèse des travaux réalisés 17
Annexes
Captures d’écran, Alignement EBIOS 2010 et Acronymes
GT « Outils pratiques » (Action 55) - Synthèse des travaux réalisés 18
Annexes
Captures d’écran
Module 1
Module 2 Module 3
Module 4
Module 5
GT « Outils pratiques » (Action 55) - Synthèse des travaux réalisés 19
Annexes
Captures d’écran
Module 1
Module 2 Module 3
Module 4
Module 5
GT « Outils pratiques » (Action 55) - Synthèse des travaux réalisés 20
Annexes
Captures d’écran
Module 1
Module 2 Module 3
Module 4
Module 5
GT « Outils pratiques » (Action 55) - Synthèse des travaux réalisés 21
Annexes
Captures d’écran
Module 1
Module 2 Module 3
Module 4
Module 5
GT « Outils pratiques » (Action 55) - Synthèse des travaux réalisés 22
Annexes
Captures d’écran
Module 1
Module 2 Module 3
Module 4
Module 5
GT « Outils pratiques » (Action 55) - Synthèse des travaux réalisés 23
Annexes
Captures d’écran
Module 1
Module 2 Module 3
Module 4
Module 5
GT « Outils pratiques » (Action 55) - Synthèse des travaux réalisés 24
Annexes
Captures d’écran
Module 1
Module 2 Module 3
Module 4
Module 5
GT « Outils pratiques » (Action 55) - Synthèse des travaux réalisés 25
Annexes
Captures d’écran
Module 1
Module 2 Module 3
Module 4
Module 5
GT « Outils pratiques » (Action 55) - Synthèse des travaux réalisés 26
Annexes
Captures d’écran
Module 1
Module 2 Module 3
Module 4
Module 5
GT « Outils pratiques » (Action 55) - Synthèse des travaux réalisés 27
Annexes
Captures d’écran
Module 1
Module 2 Module 3
Module 4
Module 5
GT « Outils pratiques » (Action 55) - Synthèse des travaux réalisés 28
Annexes
Terminologie (alignement EIOS 2010) - Acronymes / Acronyms
Module 1
Module 2 Module 3
Module 4
Module 5
Club EBIOS - www.club-ebios.org