[FLASH] L'EBIOS Risk Management de l'ANSSI

L'Agence Nationale pour la Sécurité des Systèmes d'Information (ANSSI) a produit récemment un nouveau référentiel de management des risques tout à fait pertinent, le référentiel de l'EBIOS Risk Manager. Pour avoir participé à la sensibilisation d'informaticiens à la gestion des risques et des situations critiques avec une approche non-spécifique, l'auteur de ces lignes voit d'un très bon œil l'émergence d'un référentiel de gestions des risques propre à ce domaine d'activité. Car il faut bien parler de domaine d'activité : la méthode EBIOS ne concerne pas que les « experts en cybersécurité » (RSSI) ou les DSI, elle a également vocation à être adoptée par des chefs de projets, etc.

Relevons quelques saillances particulièrement intéressantes de cette méthode :

- Le management des risques commence non pas par l'édification du socle le plus solide possible : c'est une démarche sans fin, donc chronophage et inadaptée à la réalité des menaces. Un socle est bien évidemment nécessaire, ne serait-ce que pour assurer la conformité. Mais la méthode se propose plutôt d'analyser les risques de façon dynamique (par des scénarios d'attaque) en prenant le système tel qu'il est à la base et en le confrontant à la menace existante, selon son profil particulier (fraude, espionnage, vol, sabotage...). Car tout travail de sécurisation n'atteint jamais la perfection, et implique des choix... autant faire les bons, et les faire évoluer au gré des situations.

-Ce premier point oblige les managers à s'intéresser à l'état des menaces (threat intelligence), autrement dit à sortir du cadre figé de la pure technique pour envisager les autres aspects du réel comme les tendances actuelles de la cybercriminalité, les points critiques particuliers à la structure dont il élabore la politique de sécurité des SI, l'écosystème du SI (analyse du risque inhérent aux différentes parties prenantes) etc. Le pont est ainsi fait entre la veille (qui ne saurait être superficielle et doit bien intégrer toutes les dimensions critiques) et l'audit.

Deux point évidents en apparence, comme toujours en matière de stratégie, mais qu'il fait bon avoir à l'esprit et auxquels tous les techniciens ne sont pas nécessairement acculturés. La diffusion de la méthode EBIOS, présentée et explicitée de façon claire, précise et ludique dans la documentation accessible via le lien que nous avons fourni, est donc une très bonne nouvelle pour tous les informaticiens qui tiennent là, pour leur gestion des risques, un outil de grande qualité qui leur est spécifiquement dédié.     

Commentaires

Posts les plus consultés de ce blog

[RECENSION] Le renseignement humain à l'ère numérique de Terry Zimmer

[REPORTAGE] Journée « Temporalités des crises » à Lyon

[FLASH] La France a désormais une doctrine militaire de « lutte informatique offensive »