Analyse de risques cybersécurité

DIGITEMIS adopte la méthodologie EBIOS-RISK MANAGER de l’ANSSI pour l’analyse des risques cybersécurité

Dans la démarche de mise en place de bonnes pratiques cybersécurité, l’appréciation des risques est une étape majeure. Elle permet de positionner le niveau optimal et adéquat de sécurité dans tous les composants d’un Système d’Information, et ceci en fonction des besoins des métiers et des clients. La méthodologie utilisée par DIGITEMIS pour la réalisation d’analyse de risques cybersécurité s’appuie sur la méthode EBIOS-RISK MANAGER (2018) éditée par l’ANSSI et sur la norme ISO 27005.

EBIOS RM permet d’apprécier les risques numériques et d’identifier les mesures de sécurité à mettre en œuvre pour les maîtriser. Elle permet aussi de valider le niveau de risque acceptable et de s’inscrire à plus long terme dans une démarche d’amélioration continue. Enfin, cette méthode permet de faire émerger les ressources et arguments utiles à la communication et à la prise de décision au sein de l’organisation et vis-à-vis de ses partenaires.


Définir le niveau de sécurité à atteindre

Au sein d’une organisation, l’analyse des risques cybersécurité est utilisée pour plusieurs objectifs.
Il s’agit d’abord de mettre en place et renforcer le processus de management du risque sécurité au sein d’une organisation.

Ensuite, il convient de définir le niveau de sécurité à atteindre selon ses cas d’usage envisagés, les risques à contrer et les exigences légales, réglementaires et contractuelles à respecter.

EBIOS RM se caractérise par une approche sous deux axes : par la conformité avec la définition d’un socle de sécurité de base à mettre en place (issue du référentiel 27001, des exigences légales, réglementaires et contractuelles applicables et des bonnes pratiques de l’état de l’art en sécurité) ; par scénarios par la construction de la démarche d’analyse des risques basée sur la mise en place d’ateliers participatifs pour la construction des scénarios de risques métiers et techniques.
Analyse de risques

Définir une stratégie de traitement du risque

Dans une première étape, le cadrage du socle de sécurité permet d’identifier l’objet de l’étude, les participants aux ateliers et le cadre temporel. Il s’agit également de recenser des missions, valeurs métier et biens supports du système d’information 27001, identifier des événements redoutés associés aux valeurs métier et évaluer la gravité de leurs impacts ; définir le socle de sécurité et les écarts (conformité aux exigences 27001 et autres exigences légales, réglementaires et contractuelles applicables)

Dans un seconde étapes, DIGITEMIS identifie et caractérise des sources de risque (SR) et leurs objectifs de haut niveau.

Dans une troisième étape, sont construits des scénarios de haut niveau (scénarios stratégiques) représentant les chemins d’attaque qu’une source de risque est susceptible d’emprunter pour atteindre son objectif. La cartographie de la menace sécurité est établie et évaluée en termes de gravité.

Dans un quatrième temps, DIGITEMIS construit des scénarios techniques reprenant les modes opératoires susceptibles d’être utilisés par les sources de risque pour réaliser les scénarios stratégiques, puis évalue le niveau de vraisemblance des scénarios opérationnels obtenus.

Enfin, lors d’une cinquième étape, une synthèse de l’ensemble des risques étudiés est produite en vue de définir une stratégie de traitement du risque. Le plan de traitement des risques décrit les mesures de sécurité d’amélioration continue, les risques résiduels sont identifiés au sein d’un cadre de suivi des risques.

L’approche de l’analyse des risques par DIGITEMIS combine l’ensemble des cas d’usages d’une organisation : systèmes industriels, protection des données personnelles, objets connectés… L’ensemble des critères de sécurité sont abordés : la confidentialité de l’information, la continuité des activités, la traçabilité des événements, l’intégrité des données.

DIGITEMIS a adapté la méthodologie EBIOS RM de l’ANSSI, grâce à un outillage avec la solution Make IT Safe.
Elle adresse l’ensemble des risques d’une organisation : services supports, filiales, fournisseurs, partenaires…

    Besoin de plus d'information ?

     

    *Informations obligatoires
    Les informations recueillies à partir de ce formulaire sont traitées par DIGITEMIS pour donner suite à votre demande de contact. Pour connaître vos droits et la politique de DIGITEMIS sur la protection des données, cliquez ici .

     

    Services complémentaires

    PSSI - Politique de sécurité des systèmes d'information

    PSSI : Politique de Sécurité des Systèmes d’Information

    Voir la prestation
    Pilotage des risques fournisseurs

    Pilotage des risques fournisseurs

    Voir la prestation