Name: Road to CISO #3 | La méthode EBIOS Risk Manager | Gouvernance Risk & Compliance
Uploaded: 2024-03-24 09:30:02
Duration: 10 min 23 s

Question 1

C’est quoi la méthode EBIOS Risk Manager ?

Accepted Answer

EBIOS Risk Manager, c’est une méthode d’analyse de risque créée à l’origine en France et aujourd’hui portée par l’ANSSI. Le but, c’est “comprendre pour décider” : j’analyse les risques, puis je choisis quoi traiter et comment. Elle est très pédagogique et se base sur des scénarios de menace intentionnels et ciblés.

Question 2

Quels sont les 5 ateliers EBIOS Risk Manager ?

Accepted Answer

Je présente les 5 ateliers : cadrage et socle de sécurité, sources de risque, scénarios stratégiques, scénarios opérationnels, puis traitement du risque. On part du haut niveau (métier/gouvernance) et on descend progressivement vers des chemins d’attaque plausibles. À la fin, on synthétise et on construit un plan d’action.

Question 3

Qui doit participer à une analyse de risque EBIOS ?

Accepted Answer

Dans l’atelier 1, j’ai besoin de la direction, des métiers, du RSSI et du DSI (ou leurs représentants) pour cadrer correctement. Dans l’atelier 2, j’ajoute un spécialiste de l’analyse de la menace numérique. Et oui, souvent certains n’ont pas envie ou ne voient pas l’intérêt : c’est là que la communication fait toute la différence.

Question 4

À quoi sert l’atelier 1 (cadrage et socle de sécurité) ?

Accepted Answer

L’atelier 1 sert à définir l’objet de l’étude, le périmètre, le cadre temporel et les participants. Je mets au clair les missions et valeurs métier, les biens supports, et surtout les événements redoutés. Sans ce cadrage, le reste de l’analyse part vite dans tous les sens.

Question 5

Comment identifier les sources de risque dans EBIOS ?

Accepted Answer

C’est l’atelier 2 : je cherche qui ou quoi pourrait porter atteinte aux missions et valeurs métier, et dans quel but. Je caractérise et j’évalue ces sources de risque et leurs objectifs pour garder les plus pertinents. Ensuite, ça nourrit directement la construction des scénarios des ateliers 3 et 4.

Question 6

Quelle est la différence entre scénarios stratégiques et opérationnels ?

Accepted Answer

Les scénarios stratégiques (atelier 3) donnent une vision globale, une cartographie des menaces numériques. Les scénarios opérationnels (atelier 4) descendent dans le concret : modes opératoires, étapes, comment une source de risque peut réaliser le scénario stratégique. En gros : le “quoi/pourquoi” d’un côté, et le “comment” de l’autre.

Question 7

C’est quoi le PACS dans EBIOS Risk Manager ?

Accepted Answer

Le PACS, c’est le plan d’amélioration continue de la sécurité qui sort du traitement du risque (atelier 5). Je synthétise les scénarios de risque et je définis des mesures de sécurité associées. Et je n’oublie pas les risques résiduels : ceux qu’on ne traite pas tout de suite doivent être identifiés et suivis.

Road to CISO #3 | La méthode EBIOS Risk Manager | Gouvernance Risk & Compliance

🛍️ Products Mentioned (2)

Medium

Twitch

About This Video

Frequently Asked Questions

🎬 More from Hack & Dev avec Rémi