Site du Club EBIOS Accueil     Membres     Productions     Réunions     Adhésion     FAQ EBIOS     Certification    

La foire aux questions sur EBIOS - Les réponses pratiques des membres aux questions méthodologiques

Mise à jour le 20 août 2017



Cette page, vouée à être enrichie de manière régulière, traite de questions relatives à la mise en œuvre de la méthode EBIOS :
  1. Comment éviter l'explosion combinatoire d'une étude ?
  2. Le critère de traçabilité est-il utile ?
  3. Comment utiliser des échelles d'impacts hétérogènes ?

Comment éviter l'explosion combinatoire d'une étude ?

Réponse d'un membre du Club EBIOS : on peut agir sur plusieurs éléments pour que le résultat corresponde aux attentes

La réalisation d'une étude est parfois critiquée en raison de l'explosion combinatoire des éléments à étudier. C'est pourquoi il convient, avant ou au début de toute étude, de se demander ce qu'est capable d'accepter le commanditaire en termes de lisibilité.

Certains souhaitent avoir autant de détails que nécessaire pour traiter les risques (et/ou justifier les mesures) de manière fine.
Dans ce cas, il est possible de traiter toute la combinatoire d'événements et de scénarios de menaces.
Si tel n'est pas le cas, voici quelques astuces qui vous permettront de diminuer l'entropie de l'analyse :

- agir sur la présentation : faire l'étude détaillée en tant que "document de travail" et regrouper les risques en familles dans un "document de synthèse" pour faciliter les prises de décision. Ce "document de synthèse" peut ne faire ressortir que les risques les plus importants (graves et/ou vraisemblables), ainsi que ceux qui intéressent spécifiquement le commanditaire ;

- agir sur le nombre de biens : regrouper les biens essentiels et/ou les biens supports dans l'étude du contexte. Il est possible par exemple d'adapter le niveau de détail de la modélisation sans forcément chercher l'homogénéité dans le modèle. Par exemple, la description des biens supports pourra à la fois contenir des systèmes (pour des biens sur lesquels l'analyse des menaces n'a pas besoin d'être détaillée) et des éléments de type réseau, matériel et logiciel (pour des biens sur lesquels l'analyse des menaces doit être plus fine) ;

- agir sur les hypothèses : limiter la complexité de l'étude en réduisant la combinatoire de l'analyse aux seules questions ou justifications que l'on souhaite exposer. Pour ce faire, il est possible de fixer des hypothèses dans le contexte de l'étude. Ainsi, on peut considérer comme postulat qu'un bien support (ou un bien essentiel) est protégé contre un type de menace (par exemple, "une homologation démontre que les serveurs et postes de travail sont suffisamment protégés de tous les scénarios malveillants issus d'attaques externes"). On peut aussi considérer qu'un risque est suffisamment couvert par une certification sans nécessiter une décomposition de ce dernier (par exemple, "la clé privée stockée dans les puces électroniques certifiées est suffisamment protégée contre toutes menaces conduisant à une divulgation"). Il est également possible d'émettre des hypothèses sur des risques résiduels pour lesquels il n'est pas attendu que l'étude apporte de justification ou que l'étude agisse sur le bien support afférent (par exemple, "le GPS est considéré comme non fiable. Il est susceptible fournir de mauvaises données de localisation") ;

- agir sur la décomposition en plusieurs études : une autre méthode peut consister à décomposer le système étudié pour transformer une analyse complexe en plusieurs études moins difficiles à réaliser. Dans ce cas, il faudra prêter une attention particulière aux interfaces entre ces sous-systèmes.

Le critère de traçabilité est-il utile ?

Réponse d'un membre du Club EBIOS : deux solutions

Plusieurs propositions sont possibles pour démontrer que les problématiques associées à la traçabilité sont traitées dans une étude EBIOS sans pour autant considérer la traçabilité comme un critère :
- une solution élégante mais un peu théorique : on considère l'information "traces" (ou "preuve", ou "log") comme un bien essentiel, et la traçabilité devient l'intégrité et la disponibilité de ce bien essentiel. Cela revient à limiter l'étude aux traces qui induisent un événement redouté et à mettre hors périmètre des biens essentiels les autres, pour éviter les colonnes remplies de "0" ;
- une solution appliquée : la traçabilité n'est pas un critère, mais une mesure de sécurité. Pouvoir tracer une action relève d'une mesure à la fois de dissuasion mais aussi de récupération, et considérer la traçabilité comme tel permet de se limiter à l'étude des événements (vraiment) redoutés : on admet que ne pas pouvoir tracer n'est pas réellement l'événement redouté, mais permet de réduire le risque associé.

Réponse d'un autre membre : la traçabilité n'est pas un critère de sécurité

Les critères de sécurité servent à apprécier les impacts en cas d'atteinte de chacun d'eux, et en particulier à étudier les besoins de sécurité. En sécurité de l'information, seules la disponibilité, l'intégrité et la confidentialité sont considérées comme des critères de sécurité (voir notamment les normes ISO/IEC 2700x).

Il ne faut pas les confondre ni avec les thèmes de mesures de sécurité, ni avec les références réglementaires. En effet, le (faux) besoin de traçabilité vient du fait qu'on souhaite savoir ce qui s'est passé après un incident (mesure de détection) et/ou d'obligations diverses (légales, réglementaires, sectorielles ou liées à la politique SSI). Il est donc inutile, et même contre-productif d'étudier le besoin de traçabilité.
En outre, il conviendrait de disposer d'une échelle de besoins et d'une échelle d'impacts liées à la traçabilité. C'est souvent en essayant de les construire qu'on se rend compte qu'il s'agit d'une "envie de quelqu'un" qui relève de la mesure de sécurité ou de la couverture d'un "risque" juridique.
Enfin, ceci impliquerait d'étudier toutes les menaces qui mènent à une perte de traçabilité ! Or, ceci relève de la bonne mise en œuvre d'une mesure de sécurité, qu'il n'est pas nécessaire de traiter comme un risque (ou sinon il faudrait le faire pour le chiffrement, le contrôle d'accès, etc.).

Toutefois, l'étude des besoins étant un instrument de communication avec les métiers, il est possible d'intégrer la traçabilité dans les critères de sécurité pour que les métiers adhèrent davantage à la démarche en voyant leur point de vue pris en compte...

Comment utiliser des échelles d'impacts hétérogènes ?

Réponse d'un membre du Club EBIOS : attention aux échelles utilisant plusieurs types d'impacts

Rappel du guide EBIOS : "Cette action [élaboration d'une échelle] consiste à créer une échelle décrivant tous les niveaux possibles des impacts. Tout comme les échelles de besoins, une échelle de niveaux d'impacts est généralement ordinale (les objets sont classés par ordre de grandeur, les nombres indiquent des rangs et non des quantités) et composée de plusieurs niveaux permettant de classer l'ensemble des risques".

Ainsi, il est habituel de voir des utilisateurs de la méthode construire plusieurs échelles ordinales selon la nature de l'impact (financier, juridique, sur les opérations, sur la vie privée...) pour estimer la gravité des évènements redoutés. La construction est alors faite en graduant individuellement chaque type d'impact, sans se préoccuper de la cohérence entre les niveaux.

Or, seul un résultat global est utilisé dans les cartographies de risques pour évaluer la gravité des uns par rapport aux autres. L'information sur la nature des impacts est perdue.
Pour éviter de fausses conclusions sur l'importance des risques, il faut donc veiller à vérifier la cohérence transverse de la gradation des impacts dans les échelles. Par exemple, vérifier que l'estimation d'un impact de niveau 3 sur les opérations sera de la même valeur pour l'organisme que les impacts financier et juridique de même niveau.
Lorsque c'est possible, le critère pivot (servant à la cohérence) peut être l'échelle financière. Dans le cas contraire (souvent le cas), il convient de présenter les impacts côte à côte et d'estimer leur importance auprès des responsables en recherchant un consensus. Dans ce cas là, les échelles peuvent avoir des cases vides (niveau n'ayant pas d'équivalence pour toutes les natures d'impacts considérées). Ça peut être le cas lorsque l'on estime par exemple la perte de vies humaines.

Il est parfois difficile à des responsables d'établir ces échelles de manière générique. Une bonne solution consiste alors à demander aux parties prenantes de hiérarchiser les événements redoutés après avoir identifié les impacts, et de construire les échelles sur la base de cette estimation.

Réponse d'un autre membre : il est utile de disposer d'échelles d'impacts hétérogènes, c'est un moyen important de communication avec les métiers

En complément, l'idéal est selon moi de :
- disposer d'une échelle pour chaque type d'impacts (financiers, sur l'image, juridiques, sur le fonctionnement, sur la vie privée...) en couvrant tout le spectre des possibles (du pire au mieux) ;
- présenter les impacts côte à côte quand on analyse les événements redoutés et estime leur gravité ;
- rappeler les différents impacts et leur estimation quand on présente la cartographie (qui ne garde au final que la valeur la plus importante).

On peut ainsi facilement réaliser une étude à la fois SSI et protection de la vie privée en présentant côte à côte les impacts pour l'organisme et les impacts pour les personnes concernées.


Site réalisé par le Club EBIOS - Logo par Florence Guittard - Icônes par Gan Khoon Lay de Noun Project.
Contact : webmaster [at] club-ebios.org