Risk management - simplification et industrialisation de la méthode EBIOS

Les risques liés à la cybersécurité sont de plus en plus fréquents et critiques. Les entreprises ont donc recourt à la méthodologie d’analyse de risques : EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité)

La méthodologie EBIOS est rigoureuse mais lourde à réaliser, chronophage et aboutit à un nombre très important de risques. Sa réalisation, son utilisation et sa traçabilité ne sont pas efficaces.

En effet :

-       Les analyses sont réalisées sur un système figé à un instant donné et l’évaluation des risques est toujours conditionnée par certaines hypothèses et justifications.

-       La mise à jour des analyses de risques nécessite de garder une trace de l’ensemble des hypothèses et justifications.

-       La réalisation d’une analyse est longue et chronophage

-       Elle s’intègre difficilement aux processus projet.

L’industrialisation de la réalisation et de la gestion des risques par la méthode EBIOS nécessite donc un outillage adapté à ces enjeux.

Les outils existants ne sont pas compatibles avec les spécificités de certains clients /métiers notamment pour les systèmes industriels.

Nous avons développé l’outil CYPH-R, un client autonome qui simplifie et industrialise la réalisation et le maintien des analyses de risques suivant la méthodologie EBIOS (du module 1 à 5).

Il permet de répondre à l’ensemble des problématiques ci-dessus par les fonctionnalités suivantes :

Ergonomie : La gestion de milliers de risques est facilitée par les fonctions de traitement de masse, de filtre ou de groupement. L’ensemble des tableaux de risques, menaces, biens supports peut être customisé, filtré ou groupé selon n’importe quelle variable.

Connaissances métier incluses : Par défaut, l’outil contient l’ensemble de la base de connaissances ANSSI et les mesures de sécurité définies par la norme ISO 27002. Il est possible de l’enrichir de biens supports, biens essentiels, menaces ou mesures de sécurité préétablies pour gagner du temps dans la saisie des différents modules.

Gestion des versions : L’outil est conçu pour pouvoir gérer et maintenir plusieurs versions d’une étude. Cette fonctionnalité permet de

-       voir facilement l’évolution des risques au cours du temps.

-       cloner des études ou des versions d’études pour tester différents scénarios de sécurisation et visualiser directement l’impact sur les risques.

-       conserver une trace de toutes les notations et décisions réalisées au cours des différentes versions d’une analyse.

Modèle de donnée : L’ensemble des données est exportable en formats ouverts (XML, XLS) ce qui peut permettre d’enrichir les outils de gestion de risques existant, de faire des traitements ou de générer des rapports spécifiques.

Sécurité : Les analyses sont stockées de manière sécurisée dans une base de données locale sur votre poste de travail. Les données sont chiffrées et l’accès est protégé avec des mécanismes de sécurité conformes au RGS (référentiel général de sécurité).