Les méthodes d’analyse

de risque
Axel Legay, Inria Rennes
 Objectifs du cours
• Introduire quelques méthodes
d’analyse de risque
• Focus sur la méthode EBIOS (partie
1)
 Rappels
• Le but est d’estimer et d’analyser
chaque composante du risque
Quelques méthodes
 Mehari
• Développée par le CLUSIF
• Mehari = Méthode harmonisée
d’analyse des risques
• Similaire à ISO 27005
– Appréciation des risques
– Traitement des risques
– Gestion des risques
• Demande une certaine expertise
(logiciel, feuilles de calcul)
Mehari
 CRAMM
• Proposée par Siemens et l’état
britanique
• CRAMM= CCTA Risk analysis and
Managment method)
• Exhaustive : 3000 points de contrôle
• 3 points phases, logiciel sophistiqué
• Méthode payante

CCTA : Central Computer and Telecommunication Agency

 OCTAVE
• Proposée par Carnegie Mellon
• OCTAVE = Operationally Critical
Threat, Asset, and Vulnerability
• Logiciel payant
• Surtout pour de petites équipes
La Méthode EBIOS
 Introduction
• Proposée par ANSSI en 1995
• EBIOS = Expression des Besoins et
Indentification des Objectifs de Sécurité
• Dernière version en 2010
• Club EBIOS (experts, bases
d’informations)
• Conforme à la norme ISO 27001
• Utilisée en France
• Tout Gratuit
 Un adolescent de 15 ans « pirate » le système
informatique de son collège pour améliorer ses
notes.
Un adolescent de quinze ans a en effet été
interpellé pour s'être introduit dans le système
informatique de son collège dans le but de
modifier ses résultats scolaires. Dépité de
n'avoir pu
atteindre ce but, le collégien a saturé le
système informatique en expédiant plus de 40
000 courriels,
manœuvre qui a provoqué une indisponibilité
pendant quatre jours.
[Sources Internet : Le Point.fr et ZDNet]
 Grands principes à
appliquer
• Employer EBIOS comme une boîte à outils
pour une efficacité maximale ;
• Utiliser la méthode avec souplesse pour
adhérer au langage et aux pratiques de
l’organisme ;
• Améliorer progressivement l’étude, en temps
réel, pour rester cohérent avec la réalité ;
• Rechercher une adhésion des acteurs du
système d’information pour élaborer des
solutions de protection.
 Facilités
• La méthode dispose de bases de connaissances
riches, d'un logiciel libre et gratuit, de formations
et d'une documentation variée
• La communauté des experts et utilisateurs de
gestion des risques (industriels, administrations,
prestataires, universitaires…) se réunit
régulièrement au Club EBIOS pour échanger des
expériences et enrichir le référentiel
• EBIOS ne protège pas des risques, elle les met
en évidence!
 Module 1: Etude du
contexte
• Définir le context
• Etude bien supports/essentiels
– Essentiel = fonctions principales
réalisées par le système
– Support = parties du systèmes qui
réalisent les fonctions principales
• Métriques des attributs de sécurité
• Mesure de sécurité existantes
 Exemple
• Identifier les risques associés à
l’utilisation des UAI
• Biens essentiels
– Web, Téléphonie, Télévision, NAS (data
store)
• Biens supports
– Matériel, Fournisseur, Réseau,
Personnels, logiciels
 Besoins de sécurité
Disponibilité  

Besoin Description
1Plus de 72h Indisponibilité supérieure à 72h acceptée

2Entre 24h et 72h Indisponibilité entre 24h et 72h acceptée

3Entre 4h et 24h Indisponibilité entre 4h et 24h acceptée

4Moins de 4h Indisponibilité inférieure à 4h acceptée

Intégrité  

Besoin Description

1Non gênant Pas de besoin d’intégrité

2Détectable L’altération doit être identifiée

3Maîtrisé L’altération doit être identifiée et corrigée

4Intègre Les données doivent être intègres

Confidentialité
Besoin Description

1Public Pas de besoin de confidentialité

2Réservé Accessible en lecture par un groupe de personnes ou entités bien identifiées

3Privé Accessible en lecture par une seule personne ou entité bien identifiée

Authenticité  

Besoin Description

1Inconnu Pas de besoin d’authenticité

2Identifié Identité déclarée mais sans garantie d’intégrité
3Authentique Identité prouvée
Source de menaces
 Relation bien
support/essentiels
 Métriques
• Gravité:
– Négligeable: pas d’impact
– Limitée: Impact minime
– Importante: Impact sérieux mais les dégâts
restent réparables
– Critique: Impact grave, dégâts difficilement ou
pas réparables
• Vraisemblance:
– Minime: annuel
– Significative: mensuel
– Maximum: journalier
 Sécurité existante
Exemples:
• Identification (adresse MAC, …)
• Protection physique (bâtiment, …)
• Authentification WIFI
• Filtrage d’accès
 Module 2: Etudes des événements
redoutés
But: déterminer pour chaque critère de
sécurité de chaque bien essentiel la
gravité de l’impact

Pour chaque bien essentiel:

• Le besoin de sécurité
• Les sources de menace possible
• Les impacts possibles
• La gravité de l’impact
 Exemple
Web – confidentialité:
• Besoin de sécurité: confidentialité de nos
données envoyées ou reçues via https
(cartes banquaires),…
• Sources de menaces: opérateur, extérieur
avec attaques physiques ou réseau,…
• Impacts: financier, image de maque,
propriété intellectuelle, …
• Gravité: critique
Gravité de l’impact
Module 3: Etudes des scénarios de
menaces
But: déterminer la vraisemblance
d’occurrence de la défaillance.
Pour chaque bien support et chaque
critère de sécurité:
• Les sources de menaces envisagées
• Les menaces existantes
• Le niveau de vraisemblance de la
menace
Exemple
 Exemple
FAI authenticité, authenticité:
• Sources de menaces: personne extérieur
malveillante (physique ou réseau)
• Menace: usurpation d’identité
• Vraisemblance: significative
Boucle locale, confidentialité:
• Source de menace : personne extérieur
malveillante (physique)
• Menace: divulgation du contenu
• Vraisemblance: minime
Exemple
Module 4: Etude des risques
Risque = combinaison d’évènement
redouté avec un/des scénario(s) de
menace(s).

• Combiner chaque évènement

redouté selon leurs gravité et
• Leurs assigner la vraisemblance du
scénario de menace le plus grave
Ebios et 27001
 EBIOS et plan
Etape où EBIOS intervient le plus:
• Définition du périmètre
• Appréciation des risques
• Spécification du traitement des
risques
 EBIOS et Do
• Implémenter et maintenir
• EBIOS contribue à l’élaboration du
plan de traitement des risques
 EBIOS et Check
• Vérifier que les mesures fonctionnent
et identifier les améliorations
• EBIOS contribue en réactualisant son
étude/audit
 EBIOS et Act
• Mettre en œuvre les améliorations
identifies
• L’itération d’EBIOS permet une
traçabilité continue.
 Analyse du risque:
Recommandations et choix
 Choix d’une méthode
• La langue : il est important de bien comprendre le vocabulaire
employé par la méthode
• La culture du pays d’origine de la méthode : est à prendre en
considération
• La base de connaissance et les outils supportant la méthode :
leur existence est fortement souhaitable pour faciliter son utilisation
• La documentation : son existence et sa qualité sont d’un apport
certain
• La pérennité : Il est très important que l’éditeur de la méthode en
assure la pérennité
• La compatibilité: la compatibilité avec des normes internationales
doit peser énormément
• Le retour d’expérience: le support d’un club d’utilisateurs, de
forums, etc. est un atout
 Recommandations

• Ne pas être exhaustif et ne pas

travailler 3 mois sur la même chose
• Ne pas perdre de temps (c’est de
l’argent!)
• Ne pas se sentir « harcelé » par les
normes
 Recommandations
• Faire sa gestion soi-même (je dois
comprendre ce qui m’arrive)
• Importance du choix de la méthode
pour respecter le point précédent
• Se faire éventuellement aider
toujours en respectant son
autonomie
 Recommandations
• Ne pas faire une et une seule
appréciation des risques (le système
évolue, ex: objets connectés)
• Il faut faire vivre sa gestion du risque
– L’entreprise change
– Les gens changent
– Les objectifs changent
– Les risques changent (surtout en SSI)
 Exercice
• Télécharger le logiciel EEBIOS
• Télécharger le document suivant:

http://
www.club-ebios.org/site/documents/ClubEBIOS-EtudeDeCas-MedecineTravail-2011-11-29.
pdf

• Retranscrire le contenu du document

dans le logiciel EEBIOS.